Mystery‑Check‑Programm

Wenn in der Ausschreibung ein Mystery-Check-Programm verlangt wird, sollte der Auftraggeber die Bieter auffordern, ein dokumentiertes Konzept für Mystery-Checks als Teil ihres Angebots einzureichen. So wird sichergestellt, dass jeder Anbieter darlegt, wie er das Programm umzusetzen gedenkt.

• Check-Arten und Szenarien: Der Bieter muss das Spektrum der vorgesehenen Testszenarien darlegen. Diese sollten auf das Objekt und die Risikolage des Auftraggebers zugeschnitten sein. Beispielsweise könnte ein Konzept für die Bewachung eines Bürogebäudes Szenarien umfassen wie: eine Besucherempfangs-Simulation, bei der getestet wird, ob der Empfangsdienst Ausweise konsequent kontrolliert; ein Versuch eines Unbefugten, sich Zutritt zu verschaffen (Tailgating am Drehkreuz oder Hintereingang); eine Zustellungssimulation mit einem Paket und gefälschtem Lieferausweis; ein inszenierter verbaler Konflikt mit einer aggressiven Person im Eingangsbereich; oder eine Überprüfung der Revierstreife (z. B. indem der Tester einen bewusst ausgelassenen Kontrollpunkt „zufällig“ entdeckt). Jedes Szenario sollte einen bestimmten Aspekt des Wachpersonals prüfen (Zutrittskontrolle, Besuchermanagement, Aufmerksamkeit bei Rundgängen, Deeskalation etc.). Wichtig ist die Realitätsnähe der Szenarien – sie sollten zu den Risiken und Abläufen des betreffenden Standorts passen, um die Mitarbeiter wirklich praxisnah zu testen. Anbieter, die lediglich allgemeine oder unrealistische Tests vorschlagen, bieten wenig Mehrwert; die Szenarien müssen „den Bedrohungen und Umständen Rechnung tragen, denen Sicherheitsteams… am Arbeitsplatz ausgesetzt sind.“

• Methodik und Durchführungshäufigkeit: Das Konzept muss beschreiben, wer die Mystery-Checks durchführt und wie. Wird der Sicherheitsanbieter ein internes Qualitätssicherungsteam einsetzen, das als „mysteriöse Besucher“ auftritt, oder beauftragt er ein externes Audit-Unternehmen? Manche Auftraggeber bevorzugen unabhängige Dritte für diese Aufgabe, um Unparteilichkeit sicherzustellen. (Falls externe Prüfer vorgesehen sind, sollte idealerweise sichergestellt sein, dass diese nicht in direkter Konkurrenz im Bewachungsgewerbe stehen, um Interessenskonflikte zu vermeiden.) In der Methodik-Beschreibung sollte auch der Einsatz standardisierter Bewertungsbögen oder Checklisten erwähnt werden, die der verdeckte Tester ausfüllt und die alle relevanten Beobachtungspunkte abdecken. Ebenso ist die Häufigkeit der Checks anzugeben – z. B. könnte ein Anbieter zusagen, mindestens einen Mystery-Check pro Objekt und Monat durchzuführen oder quartalsweise eine bestimmte Anzahl, ergänzt durch spontane Stichproben. (Die Frequenz kann sich nach dem Sicherheitsniveau des Objekts richten; ein Hochsicherheitsbereich erfordert ggf. häufigere Tests als ein Empfang in einem Standardbüro.) Das Konzept kann eine Mischung aus festen Intervallen (z. B. monatlich) und echten Zufallsstichproben vorsehen, um das Personal aufmerksam zu halten. All diese Angaben zeigen einen strukturierten Ansatz.

• Ablauf nach dem Check (Reporting und Nachbereitung): Ein wesentlicher Bestandteil des Konzepts ist die Erklärung, was nach Durchführung eines Mystery-Checks passiert. Erwartet wird ein klar definierter Prozess für Berichtserstellung und Verbesserungsmaßnahmen. Die Bieter sollten einen Musterbericht oder zumindest die geplanten Inhalte eines Mystery-Check-Berichts beifügen. Dieser enthält in der Regel ein Bewertungssystem (quantitative Punkte oder Ampelskalen für verschiedene Kriterien wie Protokollbefolgung, Reaktionszeit, Auftreten etc.) sowie qualitative Beobachtungen des Testers. Beispielsweise könnte ein Auditbericht aufführen: „Ausweiskontrolle ordnungsgemäß durchgeführt – Ja/Nein“, „Verhalten des Sicherheitsmitarbeiters in Stresssituation – Note xy, Kommentar: …“. Außerdem sollte im Konzept dargelegt sein, wie die Ergebnisse kommuniziert werden: Üblich ist ein direktes Feedback nach dem Test – oft erfolgt zunächst eine sofortige mündliche Rückmeldung (Debriefing) an den Objekt- oder Schichtleiter – gefolgt von einem schriftlichen Bericht, der dem Auftraggeber innerhalb kurzer Zeit vorgelegt wird. Der Bieter sollte ebenso erläutern, wie etwaige Mängel behoben werden: Gibt es definierte Eskalationsstufen? Zum Beispiel könnte im Konzept stehen, dass bei geringfügigen Abweichungen der betreffende Mitarbeiter nachgeschult wird, während bei gravierenden Verstößen (z. B. komplettes Versagen bei einem Zugangsversuch) umgehend das Management und der Auftraggeber informiert werden. Ein schlüssiges Konzept wird hervorheben, dass man bei einem schwerwiegenden Vorfall, der während eines Mystery-Checks entdeckt wird, sofort reagiert – etwa indem man die eigene Einsatzleitung und den Kunden alarmiert und Verbesserungsmaßnahmen einleitet.

Indem der Auftraggeber in der Ausschreibung diese Details verlangt, stellt er sicher, dass jeder Bieter nicht nur über ein Mystery-Check-Programm verfügt, sondern dieses auch durchdacht hat. Das eingereichte Konzept fließt dann in die Bewertung der Angebote ein (siehe nächster Abschnitt).

Tabelle: Wichtige Elemente, die ein Mystery-Check-Plan des Bieters in einer Sicherheitsausschreibung abdecken sollte.

Bewertung der Konzepte: Die Prüfer der Angebote werden diese Mystery-Check-Konzepte genau analysieren, um reine Absichtserklärungen von robusten Qualitätsmaßnahmen zu unterscheiden. Ein Bieter, der sehr allgemeine oder seltene „Mystery Shopper“-Besuche vorsieht, wird in Sachen Realismus oder Frequenz möglicherweise schlecht bewertet. Hingegen zeigt ein Angebot, das konkrete, auf die Umgebung des Kunden zugeschnittene Szenarien aufzählt, dass der Bieter die Sicherheitsrisiken des Auftrags verstanden hat. Wenn im Plan eines Bieters ein klarer Verbesserungsprozess fehlt (z. B. kein Beispielbericht oder keine Erklärung, wie auf Ergebnisse reagiert wird), wirft das Zweifel an seinem Engagement für kontinuierliche Verbesserung auf. Ein weiterer Punkt ist die Durchführungsverantwortung – ein Plan, der unabhängige, zertifizierte Prüfer vorsieht oder ein dediziertes internes Team für die Mystery-Checks aufführt, wirkt vertrauenswürdiger als ein Plan, der vage angibt „die Objektleitung übernimmt gelegentliche Kontrollen“, da unabhängige oder spezialisierte Prüfer in der Regel gründlicher und unvoreingenommener vorgehen. Der Auftraggeber wird auch solche Angebote bevorzugen, die die Mystery-Check-Ergebnisse deutlich in den Gesamtkontext der Vertragsleistung einbinden (z. B. Verknüpfung mit SLA/KPI, siehe nächster Abschnitt). Kurz gesagt, Bieter sollten damit rechnen, dass ihr Mystery-Check-Konzept im Vergabeverfahren nach Vollständigkeit, Realitätsnähe und Stringenz bewertet wird.

Worauf genau achtet ein Mystery-Tester, wenn er einen unangekündigten Sicherheitscheck durchführt? Ein gut konzipierter Mystery-Check wird mehrere Dimensionen der Leistung und Compliance eines Wachpersonals überprüfen. Sowohl die „harten“ Kriterien der Protokolleinhaltung als auch die „weichen“ Faktoren im Umgang mit Menschen fließen in die Bewertung ein.

• Professionelles Auftreten und Ausrüstungsbereitschaft: Ist der Sicherheitsmitarbeiter korrekt uniformiert und mit der erforderlichen Ausrüstung ausgestattet (Funkgerät, Dienstausweis, Einsatztasche etc.)? Ein Mystery-Besucher wird darauf achten, ob das Sicherheitspersonal dem erwarteten Dresscode und Erscheinungsbild entspricht (saubere Uniform, deutlich sichtbare Identifikation) und ob es wach und aufmerksam wirkt oder abgelenkt und unkonzentriert. Dies ist bedeutsam, weil ein nachlässiges oder unaufmerksames Auftreten auf Selbstgefälligkeit hindeuten kann. Beispielsweise könnte ein Prüfer den Posten betreten und beobachten, ob die Wachkraft die Umgebung im Blick hat oder etwa mit dem Handy beschäftigt ist – letzteres würde natürlich negativ vermerkt.

• Pünktlichkeit und Präsenz am Posten: Mystery-Checks können gezielt zu bestimmten Zeiten durchgeführt werden, etwa während Schichtübergaben oder in verkehrsarmen Nachtstunden, um zu sehen, ob Posten unbesetzt sind oder die Wachsamkeit zu Nebenzeiten nachlässt. Der Prüfer wird kontrollieren, ob der Wachmann zum erwarteten Zeitpunkt an seinem Platz ist und aufmerksam seinen Dienst tut. Ein unerwarteter „Besucher“ könnte genau dann auftauchen, wenn planmäßig eine Kontrollrunde stattfindet, um zu prüfen, ob der Ersatzmann rechtzeitig vor Ort ist. Sollte ein Wachmann abwesend oder gar schlafend angetroffen werden, wäre das selbstverständlich ein gravierendes Durchfallen. Durch solche Tests wird sichergestellt, dass Wachsamkeit und personelle Abdeckung kontinuierlich gewährleistet sind – nicht nur, wenn Vorgesetzte in der Nähe sind.

• Einhaltung der SOPs und Dienstanweisungen: Die Befolgung der vorgeschriebenen Abläufe ist der Kern der Bewertung. Die Mystery-Szenarien werden gezielt so gestaltet, dass sie prüfen, ob die Sicherheitskräfte die Kundenrichtlinien korrekt befolgen. Wenn z. B. in der Dienstanweisung steht „Jeder Besucher muss am Empfang registriert und mit Ausweis versehen werden“, dann wird der verdeckte Prüfer als Besucher auftreten und darauf achten, ob der Mitarbeiter tatsächlich den Ausweis verlangt und den Besucher ins Register einträgt. Lässt der Wachmann ihn einfach passieren, ohne Kontrolle, ist das ein klarer SOP-Verstoß. Weitere Beispiele: Der Prüfer könnte versuchen, hinter einem Mitarbeiter unbemerkt durchs Drehkreuz zu schlüpfen (Tailgating), um die Zutrittskontrolle zu testen – hier sollte der Wachmann eingreifen. Oder er übergibt ein Paket mit offensichtlich unzutreffender Lieferanschrift, um zu sehen, ob der Empfangsdienst dem vorgeschriebenen Prüfprozess für Lieferungen folgt. Ebenso wird die Zutrittsberechtigung geprüft: Der Mystery-Tester versucht vielleicht, ohne gültigen Passierschein ins Gebäude zu kommen, um zu sehen, ob ihn die Sicherheitskraft gemäß Vorschrift stoppt und hinterfragt. In all diesen Fällen sind die erwarteten Handlungen durch die SOP definiert, und der Mystery-Check misst die Einhaltung. Hat der Wachmann die vorgesehenen Schritte befolgt (z. B. Ausweis kontrolliert, Besucherschein ausgegeben, Taschenkontrolle durchgeführt)? Viele Mystery-Audits dokumentieren genau, ob der Mitarbeiter jeden vorgeschriebenen Schritt ausgeführt hat. Jede Unterlassung – etwa das Nichtanfertigen eines Eintrags ins Besucherbuch – wird notiert. Auch die Aufmerksamkeit für Unregelmäßigkeiten fällt unter die Einhaltung von Vorschriften: Bemerkt das Personal z. B. eine Person ohne sichtbaren Besucherausweis im Gebäude? Laut gängiger Sicherheitsrichtlinien sollte das Personal proaktiv unbekannte Personen ansprechen oder melden; ein Mystery-Test wird diese Wachsamkeit gezielt prüfen. Von Wachleuten wird erwartet, Unbekannte höflich anzuhalten bzw. anzusprechen („Guten Tag, kann ich Ihnen helfen? Wen möchten Sie besuchen?“). Wenn es dem verdeckten „Eindringling“ gelingt, sich 10 Minuten lang unbehelligt im Gebäude zu bewegen, ohne dass jemand reagiert, ist das ein deutliches Alarmzeichen.

• Reaktions- und Eskalationsverhalten: Wie die Sicherheitskraft auf das gestellte Szenario reagiert, wird genau beobachtet. Hält sie sich an den vorgesehenen Eskalationspfad, wenn ein Regelverstoß oder sicherheitsrelevanter Vorfall eintritt? Beispiel: In einem Test, bei dem die gespielte Person aggressiv oder streitsüchtig wird, interessiert, ob der Wachmann ruhig und professionell bleibt und Deeskalationstechniken anwendet. Der Prüfer könnte einen wütenden Besucher simulieren, der sich nicht an die Vorschriften halten will, um zu sehen, ob der Mitarbeiter gemäß seiner Schulung die Situation beherrscht (ruhig, aber bestimmt bleiben, notfalls Verstärkung rufen usw.). Oder falls das Szenario ein Einbruchsversuch ist, beobachtet der Auditor, ob der Wachmann den Zugang verweigert und umgehend seinen Vorgesetzten oder die Leitstelle informiert, wie es die Vorschrift verlangt. Die zeitnahe Kommunikation nach oben ist hier ein Schlüsselkriterium. Ein guter Mystery-Check wird auch notieren, ob der Mitarbeiter die richtigen Mittel benutzt hat – etwa ob er bei einer ernsten Lage den Alarmknopf gedrückt oder per Funk Hilfe angefordert hat. Im Kern prüft das Audit also, ob die Wachleute ihre Schulung unter Stress befolgen – kennen und befolgen sie die Protokolle auch dann, wenn etwas Unvorhergesehenes passiert?

• Dokumentation und Meldung: Einige Mystery-Szenarien zielen ebenfalls darauf ab, ob Vorfälle korrekt dokumentiert und gemeldet werden. So könnte ein Prüfer z. B. absichtlich einen kleineren Zwischenfall verursachen (etwa einen Zutrittsversuch mit abgelaufenem Ausweis) und danach prüfen, ob der Wachmann diesen Vorfall gemäß Vorgabe im Wachbuch vermerkt oder einen Bericht schreibt. Oder der Tester gibt sich nach dem Check zu erkennen und fragt nach, ob es einen Eintrag zu seinem „Besuch“ gibt. Ordnungsgemäße Dokumentation (z. B. vollständige Besucherlogs, ausgefüllte Übergabeprotokolle oder Alarmmeldungen) gehört zur Compliance und wird daher in die Bewertung einbezogen. Wenn der Mystery-Check ergibt, dass ein Sicherheitsmitarbeiter trotz eines besonderen Vorkommnisses keinerlei Meldung erstellt hat, weist das auf einen Schulungsbedarf in puncto Berichtswesen hin.

• Kommunikation und Umgangsformen: Da viele Sicherheitsdienste in Unternehmen auch Aufgaben des Empfangs oder Kundenkontakts übernehmen, ist die Qualität der Kommunikation ein wichtiger Aspekt. Mystery-Checks achten daher auf Auftreten, Höflichkeit und Klarheit in der Kommunikation des Personals. Hat der Wachmann den Besucher angemessen begrüßt? Hat er die verlangten Schritte (z. B. „Bitte zeigen Sie mir Ihren Ausweis“ oder „Tragen Sie sich bitte ins Besucherbuch ein“) deutlich und freundlich erklärt? Wenn das Szenario eine aufgebrachte Person beinhaltete, wie gut gelang es der Sicherheitskraft, mit Tonfall und Wortwahl zu deeskalieren? Diese „Soft Skills“ wirken sich auch auf das Image des Auftraggebers aus und werden daher oft qualitativ bewertet. Ein ruhiges, souveränes Auftreten in einer stressigen Simulation wird positiv vermerkt, während Unhöflichkeit oder Nervosität negativ auffallen. In der Praxis stellt der Mystery-Tester vielleicht einen verwirrten oder verirrten Besucher dar, um zu sehen, ob der Wachmann hilfsbereit reagiert – was auf Serviceorientierung zusätzlich zur Sicherheit schließen lässt.

• Optionale erweiterte Tests: Je nach Vertragsumfang könnte der Auftraggeber auch erweiterte Mystery-Tests vorsehen, insbesondere in Hochsicherheitsbereichen. Dies könnten Notfallübungen sein – etwa löst ein Mystery-Tester einen (vorher mit der Leitung abgesprochenen) Probealarm aus, um zu prüfen, ob die Wachleute die Evakuierungs- oder Notfallprozeduren einhalten. Oder es wird ein „Red Team“-Test durchgeführt, bei dem versucht wird, physische Sicherheitsbarrieren zu umgehen, um sowohl das Personal als auch die Technik zu testen. Solche aufwendigen Prüfungen werden allerdings selten und nur mit Absprache durchgeführt, um keine Unruhe auszulösen. Der Hauptpunkt ist hier, dass das Audit-Programm alle kritischen Aspekte des Sicherheitsdienstes abdecken sollte – von Alltagsabläufen bis hin zu seltenen, aber potenziell folgenschweren Ereignissen.

Während der Ausschreibung kann der Auftraggeber bereits angeben, welche Schwerpunktbereiche von den Mystery-Checks abgedeckt werden sollen, damit die Bieter dies in ihrer Methodik berücksichtigen. Ein umfassendes Mystery-Check-Programm verwendet meist einen Bewertungsbogen, der all die oben genannten Punkte enthält. So könnte z. B. ein Musterformular Rubriken haben wie „Vorschriftsmäßige Ausweiskontrolle (Ja/Nein)“, „Aufmerksamkeit des Sicherheitsmitarbeiters (Skala 1–5)“, „Auftreten in Stresssituationen (Beschreibung)“, „Reaktion gemäß Alarmplan (Ja/Nein oder nicht zutreffend)“ usw.. Durch die Bewertung vieler unterschiedlicher Verhaltensaspekte vermittelt der Mystery-Check ein Gesamtbild der Dienstleistungsqualität.

Um das Mystery-Check-Programm wirksam in den Ausschreibungsprozess einzubinden, sollte der Auftraggeber in den Unterlagen nicht nur die Anforderungen (wie im vorherigen Abschnitt beschrieben) festlegen, sondern auch klar machen, wie die vorgelegten Konzepte bewertet werden. Wir haben bereits erörtert, was die Bieter liefern müssen (Szenarien, Methodik etc.). Hier liegt der Fokus darauf, wie der Auftraggeber diese Konzepte beurteilt und im Auswahlprozess berücksichtigt.

Pflicht zur Vorlage eines Mystery-Check-Plans: Die Ausschreibung sollte verbindlich vorschreiben, dass die Anbieter einen eigenen Abschnitt in ihrem Angebot dem Mystery-Check-Programm widmen. Dadurch wird allen Bietern von vornherein signalisiert, dass laufende Qualitätssicherung durch verdeckte Tests keine freiwillige Zugabe ist, sondern ein Muss. In den Ausschreibungsbedingungen könnte das z. B. so formuliert sein: „Der Bieter hat einen Plan zur Durchführung von Mystery-Checks vorzulegen, der Szenarientypen, Häufigkeit, Verantwortlichkeiten, Bewertungsverfahren und Einbindung in die Vertragssteuerung beschreibt.“ Dieser Plan fließt dann als Bestandteil der technischen Wertung in die Angebotsbeurteilung ein. Sollte ein Bieter keinen solchen Plan vorlegen oder nur sehr oberflächliche Angaben machen, könnte dies je nach Ausschreibungsregularien zu Punktabzug führen oder im Extremfall das Angebot als nicht konzeptkonform erscheinen lassen.

Bewertungskriterien: Im Bewertungsraster der Ausschreibung können dem Mystery-Check-Programm Punkte bzw. Gewichtungen zugewiesen werden – beispielsweise im Rahmen der Qualitätsbewertung des Angebots.

• Klarheit und Struktur des Konzepts: Stellt der Bieter einen klaren, logischen Plan dar? Sind alle geforderten Elemente (Szenarien, Häufigkeit, Reporting, Maßnahmen) in schlüssiger Weise angesprochen? Die Gutachter werden auf die Vollständigkeit achten. Ein gut strukturiertes Konzept mit Schritt-für-Schritt-Beschreibung und Beispielen zeigt das Engagement des Bieters. Wenn Ziele und Zuständigkeiten deutlich definiert sind, ist dies positiv. Hingegen wirken vage oder lückenhafte Ausführungen negativ.

• Relevanz und Realitätsnähe der Szenarien: Wie bereits erwähnt, bevorzugt der Auftraggeber Pläne, die Mystery-Szenarien an die tatsächliche Umgebung anpassen. Während der Bewertung könnte sich das Prüfgremium fragen: „Hat der Bieter die wichtigsten Sicherheitsrisiken identifiziert und sinnvolle Tests vorgeschlagen, die diese abdecken?“ Für ein Empfangs- und Objektschutzmandat in einem öffentlich zugänglichen Gebäude wäre etwa relevant, ob der Bieter an Besucherströme, Lieferverkehr und ähnliche Szenarien gedacht hat. Ein Plan, der z. B. nur Mystery-Calls zur Überprüfung der telefonischen Erreichbarkeit enthält, aber keine physischen Zutrittsversuche, würde hier als unzureichend gelten. Entscheidend ist, dass die vorgeschlagenen Tests das tatsächliche Gefährdungspotential und die Aufgaben vor Ort widerspiegeln. Sind die Szenarien praxisnah (z. B. ein unberechtigter Zutrittsversuch während der Stoßzeit im Foyer) oder weit hergeholt? Pläne, die stark objektspezifisch wirken – etwa indem sie ein sensibles Thema des Standorts aufgreifen (z. B. Test der Ausweiskontrolle an der Lkw-Zufahrt, wenn das Objekt eine solche hat) – werden positiv bewertet.

• Wirksamkeit des Feedback- und Korrekturmechanismus: Der Auftraggeber bewertet, wie der Bieter mit den Ergebnissen der Mystery-Checks umzugehen gedenkt. Ein überzeugendes Konzept zeigt einen Regelkreis: Sofortige Behebung gefundener Mängel, Nachschulungen bei wiederholten Problemen, regelmäßige Zusammenfassung der Ergebnisse etc. Legt der Bieter einen Beispielbericht bei oder beschreibt zumindest dessen Inhalt? Das wäre ein Indiz für einen systematischen Ansatz. Außerdem sollte der Plan die Einbindung des Managements erwähnen – z. B., dass die Berichte von seinem Objektmanager geprüft und mit dem Auftraggeber besprochen werden. In der Bewertung werden Angebote bevorzugt, die ein deutliches Engagement für Transparenz (Weitergabe der Befunde) und kontinuierliche Verbesserung erkennen lassen. Wenn ein Angebot einen Eskalationsprozess bei schweren Vorfällen klar darlegt (z. B.: „Bei kritischem Fehlverhalten in einem Mystery-Check wird binnen 24 Stunden die Geschäftsführung informiert und ein Korrekturplan an den Kunden übermittelt“), zeigt das ein reifes Qualitätsmanagement. Im Gegensatz dazu wirkt ein Plan schwach, der lediglich sagt „Die Ergebnisse werden protokolliert“, ohne weitere Details zu nennen.

• Qualifikation des Audit-Personals: Wer führt die Mystery-Checks durch? Der Auftraggeber könnte höhere Punktzahlen vergeben, wenn der Bieter erfahrenes Personal oder externe Spezialisten für diese Rolle vorsieht. Beispiel: Hat das Sicherheitsunternehmen ein internes Qualitätssicherungsteam, das unabhängig von den regulären Wachleuten operiert und diese Audits übernimmt, zeugt das von Professionalität und Unabhängigkeit. Manche Bieter erwähnen vielleicht sogar Zertifizierungen (eventuell sind die Prüfer nach bestimmten Normen geschult oder bringen polizeiliche Erfahrung mit). Sollte im Plan stehen, dass eine externe, zertifizierte Prüforganisation periodisch die Kontrollen validiert, könnte dies ebenfalls positiv gewertet werden, da es Unparteilichkeit garantiert. Umgekehrt könnte ein Plan, der vorsieht „der Schichtleiter macht die Mystery-Checks selbst“, als problematisch gesehen werden (weil der Schichtleiter den Kollegen bekannt ist und nicht wirklich verdeckt agieren kann, oder weil eine Vorgesetztenrolle zu Interessenskonflikten führen könnte). Die Unabhängigkeit und Kompetenz der Prüfer sind entscheidend, und die Bewertung wird darauf achten. Bieter, die deutlich machen, dass ihre Mystery-Tester genau wissen, worauf sie achten müssen (z. B. ehemalige Kriminalbeamte oder erfahrene Sicherheitsmanager als Tester), können hier punkten.

• Verankerung in der Vertrags-/Leistungssteuerung: In der Ausschreibung kann ausdrücklich gefragt werden, wie die Mystery-Check-Ergebnisse in die Service Level Agreement (SLA) oder generelle Leistungsüberwachung einfließen. Bei der Bewertung wird dann geprüft, ob der Bieter darauf eingegangen ist. Ein hochwertiger Vorschlag könnte anführen, dass „die Einhaltung der Mystery-Check-Vorgaben (% der Tests ohne Beanstandung) als KPI in die Quartalsberichte an den Kunden einfließt und bei Abweichungen Bonus-Malus-Mechanismen greift“. Oder dass „wiederholtes Scheitern bei Mystery-Checks einen formellen Gesprächsanlass bzw. eine Abmahnung gemäß den Vertragsbedingungen auslöst“. Dies zeigt, dass der Bieter das Programm ernst nimmt und es als Teil der vertraglich überwachten Leistung betrachtet. Die Gutachter werden geneigt sein, solchen Konzepten mehr Gewicht beizumessen, die eine klare Verzahnung der Mystery-Audits mit der Vertragssteuerung erkennen lassen. Das zeigt, dass der Anbieter bereit ist, sich an den Ergebnissen messen zu lassen. Wir gehen im nächsten Abschnitt auf die SLA-Integration ein; bei der Angebotsbewertung kann dieser Aspekt jedoch bereits als Unterscheidungsmerkmal dienen. Ein Anbieter, der Mystery-Checks bereits in anderen Verträgen systematisch nutzt, wird dies in seinem Konzept hervorheben und damit einen Vorteil haben.

Es sollte der Auftraggeber das Mystery-Check-Programm sowohl als Anforderung als auch als Bewertungskriterium in die Ausschreibung einbinden. Dadurch wird nicht nur von den Bietern eine fundierte Auseinandersetzung mit dem Thema eingefordert, sondern es ermöglicht dem Vergabeteam auch, den Anbieter auszuwählen, der sich nachweislich einer hohen Dienstleistungsqualität verschrieben hat. Ausschreibungen, die klare Kriterien für Mystery-Checks enthalten, tragen dazu bei, „Qualität von Anfang an“ in den Vertrag einzubauen, indem sichergestellt wird, dass der gewählte Sicherheitsdienstleister einen proaktiven Ansatz zur Sicherstellung der Leistungsqualität verfolgt.

Damit ein Mystery-Check-Programm wirklich wirksam ist, sollte es in das allgemeine Qualitätssicherungssystem und die SLA-Überwachung des Sicherheitsvertrags integriert werden.

• Teil der regelmäßigen Leistungsüberprüfung: In der Regel sehen Sicherheitsdienst-Verträge monatliche oder vierteljährliche Besprechungen zwischen Dienstleister und Auftraggeber vor, in denen die Performance diskutiert wird (Bericht über Vorkommnisse, Personalthemen, KPI-Auswertung etc.). Die Ergebnisse der Mystery-Checks sollten einen festen Tagesordnungspunkt in diesen Besprechungen bilden. Beispielsweise könnte der Dienstleister jeden Monat eine Zusammenfassung der durchgeführten Mystery-Audits vorlegen: Anzahl der Tests, welche Szenarien wurden geprüft, und was waren die Resultate (Bestanden/Nicht bestanden, ggf. Detailbefunde). Dadurch können Auftraggeber und Anbieter Trends verfolgen. Sollten z. B. über drei Monate hinweg die Mystery-Checks immer wieder ergeben, dass die Wachleute ein bestimmtes Protokoll nicht einhalten (etwa immer wieder Lücken bei der Ausweiskontrolle am Hintereingang), kann man dieses Muster gezielt angehen – etwa durch zusätzliche Schulungen oder Anpassungen im Prozess. Umgekehrt kann konsequenter Erfolg bei Mystery-Checks als positives Leistungsmerkmal hervorgehoben werden. Mystery-Check-Daten sollten also Teil des vertraglichen Kennzahlen-Cockpits werden, analog zur Erfassung anderer Kennzahlen wie Anzahl der Sicherheitsvorfälle, Reaktionszeiten etc.. Manche Verträge definieren konkrete Zielwerte, z. B. „mindestens 90 % aller Mystery-Checks pro Quartal ohne Beanstandungen“, was dann regelmäßig überprüft wird.

• Verknüpfung mit SLA und KPI-Metriken: In Service Level Agreements (SLAs) sind die erwarteten Leistungsstandards festgehalten, oft mit zugehörigen Kennzahlen (KPIs). Die Ergebnisse von Mystery-Checks lassen sich quantifizieren und als KPI aufnehmen. Beispielsweise könnte ein KPI lauten: „Quote der Compliance bei unangekündigten Tests“ oder ein durchschnittlicher Mystery-Check-Score (z. B. in Prozent). Da diese Audits ja wesentliche Aspekte der Sicherheitsleistung prüfen, liefern sie messbare Qualitätsindikatoren. Indem man solche Kennzahlen ins SLA schreibt, stellt der Auftraggeber sicher, dass der Dienstleister auch tatsächlich dafür geradesteht. Es verdeutlicht im Prinzip: „Wir werden nicht nur auf dem Papier Regeln vereinbaren, sondern deren Einhaltung auch in der Praxis überprüfen und in die Leistungsbewertung einfließen lassen.“ Dieser Ansatz wird zunehmend als Methode gesehen, Sicherheitsqualität objektiv belegbar zu machen.

• Bonus-/Malus-Systeme: Viele Sicherheitsverträge beinhalten Bonuszahlungen bei Übererfüllung oder Vertragsstrafen bei Unterschreitung gewisser Leistungswerte. Die Ergebnisse der Mystery-Checks können in solche Anreizsysteme integriert werden. Beispielsweise könnte im Vertrag festgelegt sein, dass der Anbieter eine Bonuszahlung erhält, wenn er ein Jahr lang durchgehend alle Mystery-Checks ohne kritische Beanstandung besteht, oder umgekehrt eine Vertragsstrafe droht, wenn ein kritischer Test (z. B. jemand gelangt unbefugt ins Gebäude, ohne vom Personal aufgehalten zu werden) eintritt. Dies schafft einen finanziellen Anreiz für den Dienstleister, zu jeder Zeit höchste Wachsamkeit walten zu lassen. Manche anspruchsvollen Programme schließen sogar eine Anerkennung einzelner Wachleute ein – so verleiht ein unabhängiges Auditprogramm (wie z. B. das britische Silver-Fox-Audit) Auszeichnungen oder Anstecknadeln an Sicherheitsmitarbeiter, die einen Mystery-Test mit Bravour bestehen. Auch wenn das außerhalb der Vertragskonditionen geschieht, könnte ein Sicherheitsunternehmen ähnliches intern praktizieren, um sein Personal zu motivieren, was letztlich auch dem Auftraggeber zugutekommt. In der Ausschreibung kann der Auftraggeber die Bieter ermutigen, etwaige solche Anreizmechanismen in ihrem Qualitätskonzept zu beschreiben.

• Dokumentation und Transparenz: Die Integration in die Qualitätssicherung bedeutet auch, einen klaren Audit-Trail aller Mystery-Checks zu führen. Die Dienstleister sollten Aufzeichnungen über jeden durchgeführten Test (Datum, Uhrzeit, Szenario, Prüfer, Ergebnis, empfohlene Maßnahmen) behalten und dem Auftraggeber auf Wunsch oder regelmäßig zur Verfügung stellen. Einige fortschrittliche Anbieter richten hierfür Online-Portale oder Dashboards ein, in die der Auftraggeber Einblick erhält. So könnte der Kunde sich jederzeit anmelden und die Historie der Mystery-Checks samt Berichten einsehen. Ein solcher Grad an Transparenz ist für den Kunden sehr beruhigend, da er die aktive Umsetzung des Programms nachverfolgen kann und die Entwicklungen sieht. Falls ein Anbieter in seinem Angebot ein digitales Dashboard erwähnt, ist das ein Pluspunkt (z. B. „Dem Kunden wird Zugang zu unserem QS-Portal gewährt, um die Mystery-Check-Ergebnisse und deren Bearbeitungsstatus einzusehen“). Mindestens jedoch sollten monatliche Zusammenfassungen schriftlich geliefert werden. Die Integration in die QS-Prozesse bedeutet auch, dass Mystery-Check-Berichte wie interne Vorfälle behandelt werden – d. h. sie fließen in das Korrekturmaßnahmen-System des Anbieters ein, werden Verantwortlichen zur Behebung zugewiesen und bis zum Abschluss nachverfolgt. Das entspricht dem Gedanken der ISO-9001-Qualitätsmanagement, wonach jeder Auditbefund dokumentiert und gelöst werden muss.

• Kontinuierliche Verbesserung: Wenn Mystery-Checks regelmäßig stattfinden und in SLA-Besprechungen einfließen, kann sich der Sicherheitsdienst stetig verbessern. Angenommen, anfangs decken die Mystery-Checks eine Schulungslücke auf (beispielsweise stellen sie fest, dass die Sicherheitskräfte Ausweise nicht gründlich prüfen). Der Dienstleister kann dann gezielte Nachschulungen zu diesem Punkt durchführen, und nachfolgende Mystery-Checks können überprüfen, ob die Schulung gewirkt hat (ob die Mitarbeiter nun die gefälschten Ausweise erkennen und korrekt reagieren). Dieser Zyklus aus Test -> Problem finden -> Problem beheben -> erneut testen führt dazu, dass die Servicequalität im Laufe der Zeit steigt. Der Auftraggeber kann in der Ausschreibung seine Erwartung einer solchen kontinuierlichen Verbesserung deutlich machen. Ein engagierter Bieter wird eventuell ausdrücklich erwähnen, „dass die Ergebnisse der Mystery-Checks auf Ursachen analysiert und zur gezielten Mitarbeiterschulung oder Prozessanpassung genutzt werden“, was die Integration in ein Gesamt-QS-System erkennen lässt.

Aus Sicht des Auftraggebers bietet die Einbindung der Mystery-Check-Resultate in die SLA-Überwachung auch einen zusätzlichen Schutz in Sachen Risiko- und Compliance-Management. Sie verringert die Wahrscheinlichkeit, dass unentdeckte Sicherheitslücken im Vertrag schlummern. Und sollte doch einmal etwas schieflaufen bei einem echten Sicherheitsvorfall, kann der Auftraggeber nachweisen, dass er proaktive Maßnahmen (in Form von Mystery-Audits) ergriffen hat, um die Einhaltung der Sicherheitsmaßnahmen sicherzustellen – was im Haftungs- oder Auditfall relevant sein kann. In manchen regulierten Branchen oder sensitiven Bereichen (z. B. Chemieindustrie, Rechenzentren) schätzen es auch externe Prüfer, wenn ein Unternehmen nachweisen kann, dass es seine Sicherheitsvorkehrungen regelmäßig testet; ein Mystery-Check-Programm erfüllt diese Anforderung.

Um maximalen Nutzen zu bringen, darf das Mystery-Check-Programm kein isoliertes Instrument bleiben, sondern sollte in den vertraglichen Qualitätsregelkreis eingebettet werden. Dies bedeutet regelmäßige Berichterstattung an den Kunden, Einbeziehung in die Leistungsbewertung (ggf. mit finanziellen Konsequenzen) und Ausrichtung am allgemeinen QS- und Compliance-Regime des Dienstleisters. Wenn dies gelingt, wandelt sich der Mystery-Check von einer reinen „Kontrollmaßnahme“ zu einem konstruktiven, kennzahlengetriebenen Prozess, der die Partnerschaft zwischen Auftraggeber und Sicherheitsdienstleister stärkt – indem er beide Seiten auf realitätsgeprüfte Resultate fokussieren lässt.

Nachdem der Zuschlag erteilt und der Sicherheitsdienst seinen Betrieb aufgenommen hat, haben sowohl der Dienstleister als auch der Auftraggeber bestimmte Rollen, um sicherzustellen, dass das Mystery-Check-Programm effektiv umgesetzt und aufrechterhalten wird.

• Verantwortlichkeiten des Dienstleisters: Der Sicherheitsanbieter (der gewählte Auftragnehmer) ist vertraglich verpflichtet, die Mystery-Checks wie vorgesehen durchzuführen und in sein Einsatzkonzept einzubetten. Er muss also die dafür erforderlichen Ressourcen (qualifiziertes Prüfpersonal intern oder extern) bereitstellen und die vereinbarte Frequenz der Tests einhalten. Praktisch sollte der Anbieter einen Auditplan bzw. -kalender erstellen. Wenn z. B. vereinbart ist, mindestens einen Test pro Monat durchzuführen, wird der Dienstleister intern planen, in welcher Woche dieser stattfinden soll (ohne die genauen Daten natürlich im Voraus an das eingesetzte Personal zu verraten). Einige Mystery-Checks bleiben vollkommen spontan, andere können planmäßig, aber für die Wachleute trotzdem überraschend, ablaufen – der Anbieter kann dem Auftraggeber gegenüber einen groben Zeitrahmen nennen (z. B. „im 2. Quartal sind zwei unangekündigte Prüfungen vorgesehen, eine davon nachts“), falls der Vertrag dies vorsieht.

• Der Dienstleister muss zudem für eine schnelle Berichterstattung der Ergebnisse sorgen. Teil seiner Verpflichtung ist es, die Mystery-Check-Berichte dem Auftraggeber innerhalb des festgelegten Zeitraums zu übermitteln (z. B. innerhalb von zwei Werktagen nach jedem Audit). Stößt ein Check auf einen gravierenden Mangel, sollte der Anbieter den Kunden unverzüglich informieren – möglicherweise ist dies in den Vertragsbedingungen für kritische Zwischenfälle so festgelegt. Angenommen, ein Mystery-Tester konnte tatsächlich ungehindert in einen hochsensiblen Bereich gelangen (ein massiver Sicherheitsverstoß), dann könnte der Vertrag festlegen, dass die Anbieter-Führung den Sicherheitsverantwortlichen des Kunden innerhalb von 24 Stunden benachrichtigt und umgehend Korrekturmaßnahmen einleitet. Dieser Grad an Transparenz ist in Hochsicherheitsumgebungen unerlässlich.

• Routinemäßig sollte der Dienstleister Zusammenfassungen der Mystery-Check-Ergebnisse als Teil seines Monats- oder Quartalsberichts liefern. Er könnte z. B. auflisten: „Im letzten Monat wurden 3 Mystery-Checks durchgeführt: 2 ohne Befund bestanden, 1 mit einer Nebenabweichung (Detail siehe Bericht), kein gravierender Fail.“ Dazu gehören dann kurze Angaben, was vorgefallen ist und was man dagegen unternommen hat. So zeigt der Anbieter, dass er seinen Verpflichtungen nachkommt. Manche Dienstleister bieten dem Auftraggeber sogar an, an einzelnen Audits mitzuwirken oder zumindest bei der Planung informiert zu werden. In der Regel bleibt aber der Zeitpunkt dem Anbieter vorbehalten, damit der Überraschungseffekt erhalten bleibt.

• Fortgeschrittene Anbieter stellen dem Kunden eventuell auch Zugang zu einem Online-Dashboard bereit, worin der Kunde die durchgeführten Mystery-Checks und deren Status verfolgen kann, wie bereits erwähnt. Falls das vertraglich vereinbart wurde, muss der Anbieter diese Plattform pflegen und aktuell halten. Unabhängig davon sollten alle Dokumentationen (Berichte, ausgefüllte Checklisten etc.) ordentlich archiviert und für den Kunden zugänglich sein, z. B. im Rahmen von Audits oder gemeinsamen Leistungsreviews.

• Rechte und Beteiligung des Auftraggebers: Der Auftraggeber seinerseits sollte sich das Recht vorbehalten, eigene Mystery-Checks oder Audits durchzuführen, auch zusätzlich zu jenen, die der Dienstleister organisiert. Dies wird oft in Verträgen als generelles Audit-Recht verankert – der Kunde (oder ein von ihm beauftragter Dritter) darf die Leistung des Dienstleisters unangekündigt überprüfen, um die Vertragseinhaltung zu verifizieren. Es stellt eine zusätzliche Absicherung dar. So könnte es sein, dass der Auftraggeber beschließt, einmal jährlich einen unabhängigen „Penetrationstest“ seines Objekts durch einen externen Spezialisten durchführen zu lassen, selbst wenn der Dienstleister monatlich testet. Der Vertrag sollte gewährleisten, dass der Dienstleister solche Prüfungen duldet und unterstützt bzw. ihnen nicht im Wege steht. In der Praxis würde der Kunde so einen eigeninitiierten Mystery-Check natürlich nicht ankündigen, um dessen Wirksamkeit nicht zu schmälern. Ein Beispiel aus dem öffentlichen Bereich: Die Parlamentsverwaltung in einem Fall beabsichtigte, verdeckte „Testpersonen“ einzusetzen, um zu prüfen, ob die Sicherheitskräfte ihre Ausweiskontrollen konsequent durchführen und alle Personen gleich behandeln – hier fungierte der Auftraggeber selbst als Initiator solcher Tests.

• Der Auftraggeber kann außerdem ad-hoc Mystery-Checks einfordern, wenn bestimmte Anlässe oder Sorgen dies notwendig erscheinen lassen. Gab es z. B. Meldungen oder Beschwerden, dass Wachpersonal öfter den Empfang unbeaufsichtigt lässt, könnte der Kunde den Dienstleister bitten, außerplanmäßig einen zusätzlichen Mystery-Check zu diesem Punkt durchzuführen (oder er lässt es durch eigene Leute prüfen). Im Vertrag kann dafür Flexibilität vorgesehen sein – eventuell mit Regelungen zur Kostenübernahme, falls es deutlich über die vereinbarte Frequenz hinausgeht. In einem gut aufgesetzten Vertrag ist jedoch meist eine ausreichende Anzahl an Routine-Checks eingeplant, sodass adhoc-Anforderungen selten nötig sind.

• Nutzung der Ergebnisse in der Steuerung: Wichtig ist, dass der Auftraggeber die Mystery-Check-Ergebnisse auch aktiv in die Vertragssteuerung einbringt. Wenn der Vertrag Strafklauseln bei Schlechtleistung vorsieht, kann ein nicht bestandener Mystery-Check unter diese Kategorie fallen. Beispielsweise könnte vereinbart sein, dass ein „erheblicher Verstoß gegen die Sicherheitsprozeduren“ (etwa ein Simulant gelangt unkontrolliert ins Gebäude) als Leistungsstörung gilt und entsprechende Sanktionen nach sich zieht. Umgekehrt, wenn es variable Vergütungsbestandteile gibt, fließen die Ergebnisse natürlich in die Berechnung mit ein – z. B. kein Abzug vom Qualitätsbonus, solange alle Mystery-Checks im oberen Bewertungsbereich liegen. Wiederholte schlechte Ergebnisse würden zu einer Eskalation führen – zunächst ein Gespräch auf Managementebene, eventuell eine formelle Abmahnung und im Extremfall könnte der Auftraggeber gemäß Vertrag sogar ein Sonderkündigungsrecht haben, falls der Dienstleister trotz Mystery-Checks die Leistung nicht verbessert. Derartige Eskalationen sind natürlich ultima ratio; der eigentliche Zweck ist es ja, schon vorher gegenzusteuern. Durch die Verknüpfung mit Vertragsklauseln erhält der Mystery-Check jedoch noch mehr Gewicht und Verbindlichkeit.

• Kommunikation und Zusammenarbeit: Der Auftraggeber sollte sicherstellen, dass es einen offenen Kanal gibt, um die Ergebnisse der Mystery-Checks mit der Anbieterführung zu besprechen. Nach jedem Audit – abgesehen vom schriftlichen Bericht – ist ein kurzes Debriefing-Meeting oder Telefonat oft sehr hilfreich. Dies ermöglicht es dem Auftraggeber, Erwartungen zu verdeutlichen und dem Dienstleister, eventuell Hintergründe zu erklären. Beispiel: Der Mystery-Tester stellt fest, der Wachmann habe eine Prozedur nicht befolgt; beim Gespräch stellt sich heraus, dass vor Ort Unklarheit über diese Prozedur herrschte. Zusammen kann man dann entscheiden, ob die Dienstanweisung präzisiert werden muss oder ob der Mitarbeiter einfach falsch lag. Dieser Dialog trägt dazu bei, Vertrauen zu erhalten und den Fokus auf Verbesserung statt Schuldzuweisung zu legen.

• Rechtevorbehalt: Wie erwähnt, enthalten die meisten Verträge ohnehin eine Klausel, wonach der Auftraggeber das Recht hat, Audits (Überprüfungen, Inspektionen) durchzuführen – dazu zählen auch unangekündigte Leistungsüberprüfungen. In der Praxis könnte das im Vertrag z. B. so stehen: „Der Auftraggeber behält sich vor, jederzeit unangekündigte Kontrollen der vertraglich vereinbarten Sicherheitsleistungen durchzuführen oder durchführen zu lassen.“ Der Dienstleister kann somit solche Prüfungen nicht ablehnen. In sehr sicherheitssensiblen Verträgen ist es mitunter sogar üblich, dass die eigene Konzernsicherheit oder Revision des Kunden in Abständen verdeckte Kontrollen durchführt. Wie wir sahen, wurde in einem Bericht an das britische Parlament empfohlen, „Mystery Shopper“-Sicherheitstests einzusetzen, um zu prüfen, ob Mitarbeiter und Sicherheitspersonal in der Lage sind, Bedrohungen zu erkennen und richtig zu reagieren. Dies verdeutlicht, dass aus Kundensicht solche unabhängigen Überprüfungen als wichtiger Teil der Sicherheitsstrategie angesehen werden.

• Lernen und Verbessern: Sowohl Auftraggeber als auch Dienstleister sollten jeden Mystery-Check als Chance zum Lernen betrachten. Nach der unmittelbaren Auswertung gibt es oft breitere Lehren. Wenn z. B. mehrere Audits denselben Mangel aufzeigen, deutet das auf ein systemisches Problem hin – vielleicht muss die entsprechende Vorschrift klarer formuliert oder intensiver geübt werden. In so einem Fall kann der Auftraggeber mit dem Dienstleister zusammenarbeiten, um z. B. eine bestimmte Regel im Sicherheitshandbuch zu überarbeiten oder eine Schulungsoffensive zu starten. Der Auftraggeber kann auch eigenes Feedback einbringen: Vielleicht ist dem Mystery-Tester aufgefallen, dass der Empfangstresen zu hoch ist und die Kommunikation erschwert – das könnte den Auftraggeber veranlassen, bauliche Anpassungen vorzunehmen, falls es die Interaktion behindert. So fördert das Programm einen kollaborativen Ansatz, die Sicherheit kontinuierlich zu verbessern.

Es wird das Mystery-Check-Programm nach der Vergabe zu einem lebendigen Bestandteil der Dienstleistungserbringung. Der Anbieter muss es gewissenhaft durchführen und transparent über die Ergebnisse berichten. Der Kunde sollte die Resultate aktiv auswerten und sich das Recht bewahren, eigene Prüfungen durchzuführen. Wenn beide Seiten diesen Prozess ernsthaft verfolgen, erhöht dies das Vertrauen in die Sicherheitsdienstleistung erheblich. Der Auftraggeber kann mit größerer Ruhe darauf vertrauen, dass die Sicherheitskräfte regelmäßig und gründlich geprüft werden – und der Dienstleister kann seine hohe Leistungsfähigkeit belegen bzw. Probleme adressieren, bevor daraus echte Sicherheitsvorfälle werden. Es ist für beide ein Gewinn, um dauerhaft hohe Sicherheitsstandards während der gesamten Vertragslaufzeit sicherzustellen.