3A5 Business-Continuity-Plan (BCP)

Kontinuität der Dienstleistung: Sicherstellung der unterbrechungsfreien Erbringung der vertraglich vereinbarten Sicherheits- und Facility-Management-Dienstleistungen – auch bei unvorhergesehenen Störungen oder Notfällen.

Minimierung von Ausfallzeiten: Begrenzung von Betriebsunterbrechungen sowie Schutz der Sicherheit, der Vermögenswerte und der betrieblichen Abläufe des Auftraggebers vor negativen Folgen einer Störung.

Rechtliche und vertragliche Compliance: Einhaltung aller relevanten gesetzlichen, regulatorischen und vertraglichen Verpflichtungen auch im Krisenfall. Insbesondere werden die Vorgaben gemäß § 34a Gewerbeordnung (GewO) und der Bewachungsverordnung sowie die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) berücksichtigt.

Orientierung an Standards: Ausrichtung an anerkannten Standards und Best Practices des Business-Continuity-Managements (z.B. ISO 22301) sowie Qualitätsnormen der Sicherheitswirtschaft (z.B. DIN 77200), um einen hohen professionellen Standard der Notfallvorsorge sicherzustellen.

Abgedeckte Störungsszenarien: Der BCP umfasst eine Vielzahl möglicher Störungen, darunter Naturkatastrophen (z.B. Brand, Überschwemmung, Sturm), Ausfälle von Versorgungsdiensten (z.B. Strom- oder IT-Netzausfall), gesundheitliche Krisen/Pandemien, arbeitsbedingte Ausfälle (z.B. Streiks, erheblicher Personalmangel), Cyber-Zwischenfälle (z.B. Hackerangriffe) sowie gravierende sicherheitsrelevante Vorfälle (z.B. schwere Einbrüche, Sabotage oder Terrorbedrohungen).

Räumlicher und organisatorischer Geltungsbereich: Dieser Plan gilt für alle Standorte, Objekte und Leistungsbereiche, die der Dienstleister im Rahmen des vorliegenden Vertrages betreut. Er umfasst sämtliche beauftragten Sicherheitsdienstleistungen und gegebenenfalls damit verbundene Facility-Management-Services – einschließlich aller operativen Teams und etwaiger Subunternehmer, die an der Leistungserbringung beteiligt sind.

Zeitrahmen der Vorsorge: Der BCP deckt sowohl kurzzeitige Vorfälle (im Minuten- oder Stundenbereich) als auch länger andauernde Unterbrechungen (über Tage oder Wochen) ab. Je nach Dauer und Ausmaß einer Störung sieht der Plan abgestufte Maßnahmen vor, um sowohl unmittelbare Störungen als auch anhaltende Krisensituationen wirksam bewältigen zu können.

Kritische Dienstleistungen und Prozesse: Im Rahmen der BIA werden alle sicherheitsrelevanten Kernaufgaben identifiziert, die kontinuierlich erbracht werden müssen. Dazu zählen beispielsweise Objektbewachung/Werkschutz, Pforten- und Empfangsdienste, Zutrittskontrollsysteme, Alarmaufschaltung und -intervention sowie der Betrieb von Notruf- und Serviceleitstellen. Diese Prozesse und Dienstleistungen werden priorisiert betrachtet, da ihr Ausfall unmittelbare Risiken für die Sicherheit und den Geschäftsbetrieb des Auftraggebers mit sich bringt.

Maximal tolerierbare Ausfallzeit (MTD): Für jede kritische Dienstleistung ist festgelegt, wie lange ein Ausfall dieser Leistung maximal dauern darf, ohne gravierende Schäden oder Gefährdungen zu verursachen. Beispieldaten: Eine durchgehende Objektbewachung darf höchstens 30 Minuten unterbrochen sein; Störungen im elektronischen Zutrittskontrollsystem sollten innerhalb von 1 Stunde behoben sein. Diese MTD-Werte dienen als Planungsgrundlage für Notfallmaßnahmen und Wiederherstellungsfristen.

Wesentliche Abhängigkeiten: Die BIA analysiert zudem alle Ressourcen und Vorbedingungen, von denen die kritischen Prozesse abhängig sind. Hierzu zählen insbesondere qualifiziertes Sicherheitspersonal (gemäß den Anforderungen des § 34a GewO geschultes und zugelassenes Personal), eine funktionierende technische Infrastruktur (z.B. Alarmanlagen, IT-Systeme, Stromversorgung), zuverlässige Kommunikationsmittel (Betriebsfunk, Telefon, Internet) sowie externe Partner und Dienstleister (z.B. Polizei, Feuerwehr, Rettungsdienste, Lieferanten für sicherheitstechnische Ausrüstung). Es wird berücksichtigt, dass der Ausfall einer dieser Ressourcen die Fähigkeit zur Leistungserbringung direkt beeinträchtigen kann.

Identifikation und Klassifizierung der Risiken: Mögliche interne und externe Gefahren für die Servicekontinuität werden systematisch erfasst. Beispiele hierfür sind Brandereignisse am Einsatzort, technische Ausfälle (etwa von IT-Systemen oder sicherheitstechnischen Anlagen), plötzlicher Personalausfall, Naturereignisse (Sturm, Hochwasser) oder gezielte Sabotageakte. Jedes identifizierte Risiko wird hinsichtlich des potenziellen Schadensausmaßes bewertet und in Kategorien wie gering, mittel oder hoch eingestuft.

Wahrscheinlichkeitsanalyse und Priorisierung: Für alle identifizierten Risiken wird die Eintrittswahrscheinlichkeit abgeschätzt (z.B. selten, möglich, wahrscheinlich). In Kombination mit der Schadensklasse ergibt sich so eine Risikomatrix, anhand derer Risiken priorisiert werden. Risiken, die sowohl mit hoher Wahrscheinlichkeit eintreten könnten als auch gravierende Auswirkungen hätten, erhalten höchste Priorität in der Notfallplanung. Auf diese Weise wird sichergestellt, dass die verfügbaren Ressourcen und Vorsorgemaßnahmen zuerst auf die kritischsten Szenarien ausgerichtet sind.

Vorbeugende Risikominimierung: Bereits implementierte Maßnahmen zur Reduktion von Risiken werden dokumentiert. Hierzu gehören z.B. bauliche und technische Brandschutzeinrichtungen, redundante IT-Systeme und Datenleitungen, regelmäßige Datensicherungen, vorausschauende Personalplanung (einschließlich Rufbereitschaften und Springerpool) sowie Schulungen und Unterweisungen der Mitarbeiter. Diese Vorkehrungen tragen dazu bei, entweder die Eintrittswahrscheinlichkeit bestimmter Ereignisse zu verringern oder ihre Auswirkungen zu begrenzen.

Fortführung der Betriebsabläufe (Continuity of Operations): Es werden Vorkehrungen getroffen, um die wichtigsten Betriebsfunktionen auch bei Ausfall des Hauptstandorts oder kritischer Ressourcen aufrechtzuerhalten. So sind alternative Arbeitsorte bzw. Notfall-Leitstellen vordefiniert, an die im Ernstfall umgeschaltet werden kann. Mobile Einsatzteams und Technik (z.B. mobile Kontrollzentren, Ersatzfahrzeuge) stehen bereit, um Lücken vor Ort zu schließen. Wichtige Sicherheitssysteme (etwa Zutrittskontrolle, Videoüberwachung) sind redundant ausgelegt oder es existieren Backup-Systeme, die bei Ausfall sofort aktiviert werden können. Kritische digitale Daten werden regelmäßig gesichert und in ausgelagerten Rechenzentren oder Cloud-Systemen vorgehalten, um auch bei einem lokalen IT-Ausfall verfügbar zu sein.

Kontinuität des Personals (Workforce Continuity): Um auch bei Personalausfällen die Dienstleistung sicherzustellen, werden Maßnahmen zur Personalredundanz umgesetzt. Hierzu zählen die Umschichtung von Personal zwischen verschiedenen Objekten, das Vorhalten von geschulten Reservekräften (Springer) und Rufbereitschaften sowie Mehrfachqualifikationen (Cross-Training) der Mitarbeiter, damit im Notfall jeder kritische Posten besetzt werden kann. Die Schichtpläne sind flexibel gestaltbar, um auf kurzfristige Ausfälle zu reagieren. Dabei wird sichergestellt, dass auch im Vertretungs- oder Notfall ausschließlich ordnungsgemäß gemäß § 34a GewO ausgebildetes und zertifiziertes Sicherheitspersonal eingesetzt wird.

Technologische Kontinuität (Technology Continuity): Für den Ausfall technischer Systeme und IT-Infrastruktur existieren konkrete Notfallkonzepte. Kritische IT-Systeme unterliegen einem Disaster-Recovery-Plan mit regelmäßigen Datensicherungen und definierten Wiederanlaufzeiten (RTO/RPO). Bei Störungen der Telekommunikation stehen Ersatzmittel bereit, z.B. Betriebsfunk oder Satellitentelefone, um die Kommunikation aufrechtzuerhalten. Alle sicherheitsrelevanten elektronischen Anlagen – Alarmanlagen, Zutrittskontrollen, Brandmeldeanlagen – sind mit Notstromversorgungen (USV, Generatoren) ausgestattet, sodass ihr Betrieb bei Stromausfall für definierte Zeit weiterläuft. Im Falle von Cyber-Zwischenfällen oder IT-Sicherheitsverletzungen werden zusätzlich die Vorgaben der DSGVO eingehalten (insbesondere hinsichtlich Datensicherheit und eventueller Meldepflichten bei Datenschutzvorfällen).

Lieferketten-Kontinuität (Supply Chain Continuity): Um auch bei Störungen in der Zuliefererkette handlungsfähig zu bleiben, hat der Dienstleister Alternativlösungen vorbereitet. Es wurden sekundäre Lieferanten und Partner vertraglich vereinbart, die im Notfall kurzfristig einspringen können – etwa ein zweites Sicherheitsunternehmen zur Unterstützung, alternative Technikzulieferer für sicherheitsrelevante Ausrüstung oder Mietfahrzeuganbieter. Wichtige Verbrauchsmaterialien (z.B. Batterien für Funkgeräte, Ersatzakkus, Treibstoff für Fahrzeuge und Generatoren) werden in angemessener Menge auf Vorrat gehalten. Durch diese Maßnahmen wird die Abhängigkeit von einzelnen Zulieferern reduziert und die Versorgung kritischer Ressourcen im Krisenfall sichergestellt.

BCP-Koordinator: Eine eindeutig benannte Person innerhalb des Dienstleister-Unternehmens, die die Hauptverantwortung für den Business Continuity Plan trägt. Der BCP-Koordinator koordiniert im Ernstfall sämtliche im Plan vorgesehenen Maßnahmen, trifft Entscheidun­gen zur Alarmierung und Ressourcenallokation und fungiert als primärer Ansprechpartner – sowohl intern für die Mitarbeiter als auch extern, z.B. gegenüber dem Auftraggeber oder Behörden. Ihm obliegt zudem die fortlaufende Pflege und Aktualisierung des BCP in Friedenszeiten.

Stellvertretender BCP-Koordinator: Eine Person, die als Stellvertretung für den BCP-Koordinator benannt ist. Der stellvertretende Koordinator übernimmt dessen Aufgaben, falls der Hauptverantwortliche abwesend oder selbst im Notfall gebunden ist. Dies stellt sicher, dass die Führung im Krisenmanagement jederzeit gewährleistet ist.

Standortbezogene Continuity-Verantwortliche: Für jeden betreuten Standort oder jedes Objekt wird ein verantwortlicher Mitarbeiter als örtlicher Notfallkoordinator bestimmt (z.B. Objektleiter oder leitender Sicherheitsmitarbeiter vor Ort). Diese Person ist dafür zuständig, die BCP-Maßnahmen an ihrem Standort umzusetzen, lokale Vorfälle unverzüglich an den BCP-Koordinator zu melden und die unterstellten Mitarbeiter im Krisenfall anzuleiten. Sie kennt die spezifischen Gegebenheiten des Objekts und stellt die Kommunikation zwischen zentralem Krisenstab und operativer Ebene sicher.

Verbindungsstelle zum Auftraggeber (Liaison Officer): Eine spezielle Rolle, die im Krisenfall die kontinuierliche Kommunikation mit dem Auftraggeber übernimmt. Der benannte Liaison Officer informiert den Kunden über die Lageentwicklung und die ergriffenen Maßnahmen – zunächst bei BCP-Aktivierung umgehend und anschließend in regelmäßigen Abständen. Er dient als Schnittstelle, um Anweisungen oder Prioritäten des Auftraggebers aufzunehmen und dafür zu sorgen, dass diese bei der Einsatzbewältigung berücksichtigt werden.

Geschäftsführung des Dienstleisters: Die oberste Leitungsebene des Dienstleisters trägt die Gesamtverantwortung für das Business Continuity Management. Die Geschäftsführung stellt sicher, dass alle organisatorischen und personellen Voraussetzungen für eine effektive Notfallbewältigung geschaffen werden (z.B. ausreichend qualifiziertes Personal, benötigte Ausrüstung, finanzielle Mittel). Sie unterstützt den BCP-Koordinator durch Bereitstellung von Ressourcen und hat die Pflicht, den BCP regelmäßig auf Angemessenheit zu prüfen. Zudem entscheidet sie in besonders kritischen Lagen über strategische Maßnahmen und kommuniziert bei Bedarf mit der Geschäftsleitung des Auftraggebers.

Mitarbeiter: Alle Mitarbeiter des Sicherheitsdienstleisters sind mit den Inhalten des BCP vertraut zu machen und angehalten, im Ernstfall gemäß den vorgesehenen Prozessen zu handeln. Jeder Mitarbeiter muss Störungen, Gefahren oder Unregelmäßigkeiten unverzüglich an seinen Vorgesetzten oder die Leitstelle melden. Die Mitarbeiter befolgen die Anweisungen ihrer Führungskräfte während eines Notfalls und unterstützen aktiv die Maßnahmen zur Aufrechterhaltung bzw. Wiederherstellung des Normalbetriebs, soweit dies sicher und möglich ist.

Aktivierungskriterien: Der Business Continuity Plan tritt in Kraft, sobald bestimmte definierte Ereignisse oder Schwellwerte erreicht sind, die den normalen Betrieb erheblich beeinträchtigen. Solche Kriterien sind u.a.: der Ausfall einer kritischen Dienstleistung oder Infrastruktur über eine vorgegebene Dauer, die Evakuierung eines betreuten Objekts, die behördliche Ausrufung des Notstands oder andere Vorfälle, die eine unmittelbare Gefahr für Leben, Gesundheit, Sicherheit oder Eigentum darstellen. Die Entscheidung über die offizielle Aktivierung des BCP trifft der BCP-Koordinator bzw. dessen Stellvertreter in Abstimmung mit der Geschäftsführung, sobald die festgelegten Bedingungen erfüllt sind.

Meldeweg und Eskalationskette: Im Notfall sind klare Melde- und Alarmierungswege definiert. Jeder Mitarbeiter, der eine gravierende Störung oder Gefahr feststellt, meldet diese unverzüglich an die zuständige Stelle – in der Regel an den direkten Vorgesetzten oder an die ständig besetzte Leitstelle. Von dort aus erfolgt umgehend die Weiterleitung der Information an den BCP-Koordinator. Dieser bewertet die Lage und leitet entsprechend der vorgegebenen Eskalationsstufen weitere Schritte ein. Die Eskalationskette sieht beispielsweise vor: 1. Alarmierung interner Schlüsselpersonen (Geschäftsführung, weitere Mitglieder des Krisenteams), 2. Information des Auftraggebers über die Störung, 3. Hinzuziehen externer Stellen (Polizei, Feuerwehr, Rettungsdienste) je nach Art und Schwere des Ereignisses. Die Kontaktdaten aller relevanten Ansprechpersonen und Institutionen sind im Anhang in einem Notfallkontaktverzeichnis hinterlegt, um schnelle Erreichbarkeit sicherzustellen.

Kommunikation mit dem Auftraggeber: Sobald der BCP aktiviert wurde, wird der Auftraggeber (bzw. dessen benannte Kontaktperson) unverzüglich über die Art der Störung und die eingeleiteten Gegenmaßnahmen informiert. Während der Dauer des Notbetriebs erhält der Auftraggeber in festgelegten Intervallen Updates zum Status der Lage und zur Wirksamkeit der Maßnahmen (beispielsweise stündliche Lageberichte, sofern nicht anders vereinbart). Die Kommunikation mit dem Kunden erfolgt über die vereinbarten Kanäle – in der Regel telefonisch für dringende Meldungen sowie schriftlich per E-Mail für ausführlichere Berichte – und wird protokolliert. Der Liaison Officer stellt sicher, dass die Informationsweitergabe konsistent und transparent erfolgt und dass Rückmeldungen oder Weisungen des Auftraggebers umgehend ins Krisenmanagement einfließen.

Interne Alarmierung und Mitarbeiterinformation: Parallel zur Kundenbenachrichtigung wird eine interne Alarmierung aller betroffenen Mitarbeiter ausgelöst. Dies geschieht gemäß dem Alarmplan, z.B. durch eine Telefonkette, SMS/Rundruf-System oder Alarmierungs-App, je nachdem welche Mittel vereinbart sind. Alle relevanten Mitarbeiter erhalten klare Handlungsanweisungen, zum Beispiel sich an einem definierten Sammelpunkt oder der Ausweichleitstelle einzufinden, besondere Sicherheitsmaßnahmen umzusetzen oder auf weitere Instruktionen zu warten. Die interne Kommunikation stellt sicher, dass jeder Beschäftigte weiß, was von ihm im Notfall erwartet wird, und dass Gerüchte oder Fehlinformationen vermieden werden. Die Eskalationsmatrix innerhalb des Unternehmens sorgt dafür, dass Informationen schnell von der operativen Ebene bis zur Geschäftsführung gelangen und umgekehrt Weisungen an alle Ebenen verteilt werden.

Schrittweise Rückkehr zum Normalbetrieb: Ist die akute Krise überwunden oder unter Kontrolle, koordiniert der BCP-Koordinator die Übergangsphase zurück zum Normalbetrieb. Ein abgestufter Wiederanlaufplan beschreibt, welche Dienste und Prozesse in welcher Reihenfolge wieder hochgefahren werden. Typischerweise werden zunächst die Sicherheitskräfte und Mitarbeiter vom Notbetrieb in den Regelbetrieb zurückgeführt (z.B. Rückverlegung von einem Ausweichstandort an den regulären Arbeitsplatz, Ablösung von Personal, das im Notdienst in Überstunden war). Anschließend werden sämtliche technischen Systeme umfassend geprüft und, falls abgeschaltet oder im Notmodus betrieben, wieder in den Normalzustand versetzt. Während dieser Phase bleibt die Kommunikation mit dem Auftraggeber eng, um sicherzustellen, dass die Wiederaufnahme der normalen Dienste in dessen Interesse koordiniert erfolgt.

Überprüfung und Bestätigung: Nach der Wiederherstellung aller Hauptfunktionen wird verifiziert, dass die Sicherheitsdienstleistungen wieder vollständig gemäß Vertrag erbracht werden. Kritische Anlagen (Alarmanlagen, Zutrittskontrolle, IT-Systeme etc.) werden einem Funktionstest unterzogen, um die ordnungsgemäße Betriebsbereitschaft zu bestätigen. Eventuell notwendige Feinjustierungen oder Reparaturen werden unverzüglich vorgenommen. Dem Auftraggeber wird das Ende der Notfallsituation und die Wiederaufnahme des Normalbetriebs offiziell mitgeteilt. Gegebenenfalls wird gemeinsam mit dem Auftraggeber eine Abnahme durchgeführt, um sicherzustellen, dass alle Servicelevels wieder erreicht sind. Rückmeldungen oder Beanstandungen des Auftraggebers in dieser Phase werden dokumentiert und sofort adressiert.

Dokumentation und Berichtswesen: Jeder Vorfall, der zur BCP-Aktivierung geführt hat, wird im Nachgang vollständig dokumentiert. Der Dienstleister erstellt einen schriftlichen Einsatzbericht, der den Hergang des Zwischenfalls, die getroffenen Maßnahmen, Zeitabläufe und die Verantwortlichkeiten festhält. In diesem Bericht werden auch Lessons Learned festgehalten: also Erkenntnisse darüber, was gut funktioniert hat und welche Verbesserungsmöglichkeiten sich zeigen. Die Dokumentation dient intern der kontinuierlichen Optimierung des BCP und kann auf Wunsch oder gemäß vertraglicher Vereinbarung dem Auftraggeber zur Einsicht oder für Auditzwecke zur Verfügung gestellt werden. Außerdem kann sie gegenüber Aufsichtsbehörden oder bei Zertifizierungen als Nachweis für ein professionelles Notfallmanagement herangezogen werden.

Regelmäßige Übungen: Um die Wirksamkeit des Business Continuity Plans sicherzustellen, werden regelmäßige Notfallübungen durchgeführt. Mindestens einmal pro Jahr – oder häufiger, falls durch Risikolage oder Auftraggeber vorgegeben – findet eine planmäßige BCP-Übung statt. Diese Übungen variieren in Umfang und Szenario: von Tischübungen (gedankliche Planspiele mit dem Führungsteam) bis hin zu umfassenden praktischen Drills vor Ort, bei denen Alarmierungen, Evakuierungen und der Einsatz von Ersatzsystemen unter realistischen Bedingungen getestet werden. Verschiedene Störungsszenarien (z.B. Brand im Gebäude, IT-Ausfall, Bombendrohung) werden durchgespielt, um ein breites Spektrum abzudecken.

Auswertung und kontinuierliche Verbesserung: Im Anschluss an jede Übung – sowie nach realen Notfalleinsätzen – erfolgt eine strukturierte Nachbesprechung (Debriefing). Dabei wird analysiert, inwieweit die vorgesehenen Prozesse und Maßnahmen effektiv waren. Identifizierte Schwachstellen, Kommunikationsprobleme oder Abweichungen vom Plan werden festgehalten. Die Ergebnisse jeder Übung/Analyse fließen direkt in Verbesserungsmaßnahmen ein: Der BCP-Koordinator aktualisiert bei Bedarf den Plan, schult Mitarbeiter nach oder passt Prozesse an. Dieses Lessons-Learned-Verfahren stellt sicher, dass der BCP einem kontinuierlichen Verbesserungsprozess unterliegt und aus jeder Erfahrung gelernt wird.

Planpflege und Revisionen: Der Business Continuity Plan wird als lebendes Dokument verstanden und bei Veränderungen im Unternehmen oder Umfeld zeitnah angepasst. Verantwortlich hierfür ist der BCP-Koordinator in Zusammenarbeit mit der Geschäftsführung. Änderungen, die eine Aktualisierung des BCP erfordern können sein: organisatorische Änderungen (neue Objekte, geänderte Dienstleistungsumfänge), personelle Wechsel in Schlüsselpositionen, Einführung neuer Technologie oder geänderte Bedrohungslagen (z.B. neue Risiken, Pandemielagen). Der Plan wird mindestens einmal jährlich umfassend überprüft, selbst wenn keine größeren Veränderungen aufgetreten sind, um seine Aktualität und Wirksamkeit zu gewährleisten. Alle Aktualisierungen werden mit Versionsstand und Datum dokumentiert; sofern vertraglich vorgesehen, werden wesentliche Änderungen auch dem Auftraggeber mitgeteilt.

Schulungsplan für Mitarbeiter: Alle Mitarbeiter, die an der Erbringung der Sicherheitsdienstleistungen beteiligt sind, erhalten regelmäßige Schulungen zum Inhalt und zur Umsetzung des BCP. Dies stellt sicher, dass jeder seine Rolle im Notfall kennt und die Abläufe verinnerlicht hat. Schulungen finden in festgelegten Intervallen statt (z.B. einmal jährlich), zudem bei Bedarf anlassbezogen (etwa nach relevanten Planänderungen oder Einführung neuer Systeme). Führungskräfte und Schlüsselpersonen nehmen an vertiefenden Trainings und Simulationen teil, um ihre Entscheidungskompetenz im Krisenfall zu stärken.

Einweisung neuer Mitarbeiter: Neue Mitarbeiter – insbesondere im Wachdienst oder in der Leitstellenfunktion – werden im Rahmen ihrer Einarbeitung auf den Business Continuity Plan verpflichtet. Vor Dienstantritt in sicherheitsrelevanten Bereichen erhalten sie eine grundlegende Unterweisung in die Notfall- und Alarmprozesse, Zuständigkeiten und Kommunikationswege. So wird sichergestellt, dass auch neues Personal von Anfang an in der Lage ist, im Notfall richtig zu reagieren. Die Teilnahme an einer BCP-Schulung ist Teil des Onboardings und wird dokumentiert.

Auffrischungen und Sensibilisierung: Um das Bewusstsein für kontinuierliche Betriebsbereitschaft hochzuhalten, finden in regelmäßigen Abständen Auffrischungs- und Sensibilisierungsmaßnahmen statt. Dies kann in Form von Kurzschulungen in Teammeetings, internen Newslettern zum Thema Notfallvorsorge oder unangekündigten Probealar­men geschehen. Der Dienstleister fördert eine Unternehmenskultur, in der Sicherheit und Notfallbereitschaft als gemeinsame Verantwortung angesehen werden. Mitarbeiter werden ermutigt, Vorschläge zur Verbesserung der Notfallverfahren einzubringen. Durch diese Kultur der Aufmerksamkeit wird sichergestellt, dass der BCP nicht nur ein Dokument bleibt, sondern im Arbeitsalltag präsent ist.

Notfall-Kontaktlisten: Um in einer Krisensituation schnell handeln zu können, sind im Anhang aktuelle Kontaktinformationen aller wichtigen Stellen und Personen aufgeführt. Dazu zählen interne Kontakte (Geschäftsführung, BCP-Koordinator und Stellvertreter, Leiter der jeweiligen Objekte, Leitstellenpersonal) ebenso wie externe Notfallkontakte: Polizei, Feuerwehr, Rettungsdienste, Krankenhäuser, Energie- und Wasserversorger, IT-Notfallhotline, wichtige Zulieferer und Dienstleister. Diese Listen werden regelmäßig auf ihre Aktualität geprüft und bei personellen Änderungen oder Wechsel der Rufnummern umgehend korrigiert.

Pläne und Evakuierungsunterlagen: Für alle vom Vertrag umfassten Objekte liegen Gebäudepläne, Geländepläne oder Etagenübersichten bei, in denen sicherheitsrelevante Informationen vermerkt sind. Hierzu gehören Flucht- und Rettungswege, Standorte von Notausgängen, Feuerlöschern, Erste-Hilfe-Ausrüstungen und Sammelplätzen. Ferner sind objektbezogene Evakuierungsanweisungen, Alarmpläne und Hausordnungen beigefügt, die im Ereignisfall als Referenz dienen. Diese visuellen Hilfsmittel erleichtern Einsatzkräften und Mitarbeitern die Orientierung im Notfall und unterstützen eine geordnete Räumung oder Intervention.

Technische Notfall- und Wiederanlaufpläne: Dieser Abschnitt des Anhangs enthält detaillierte technische Pläne und Dokumentationen, die im Krisenfall benötigt werden. Dazu zählen u.a. Netzwerk- und IT-Infrastrukturpläne, Übersichten der sicherheitstechnischen Anlagen (Alarmanlagen, Videoüberwachung, Zutrittskontrollsysteme) sowie die zugehörigen Backup- und Recovery-Konzepte. Es werden die Intervalle der Datensicherungen, Speicherorte der Backups und verantwortliche IT-Ansprechpartner benannt. Ebenso sind die angestrebten Wiederherstellungszeiten (RTOs) und maximal tolerierten Datenverluste (RPOs) für kritische Systeme festgelegt. Informationen über vorhandene Notstromaggregate, Kraftstoffvorräte und Umschaltpläne bei Stromausfall sind hier ebenfalls dokumentiert.

Vereinbarungen mit Drittparteien: Abschließend werden relevante vertragliche Vereinbarungen aufgeführt, die im Notfall eine Rolle spielen können. Hierzu gehören beispielsweise Kooperationsvereinbarungen mit alternativen Sicherheitsdienstleistern, die im Fall großflächiger Personalausfälle unterstützend tätig werden können, oder Verträge mit Unternehmen, die bei Ausfall der technischen Infrastruktur schnell Reparaturen oder Ersatz stellen (z.B. Serviceverträge für Alarm- und IT-Systeme). Ebenso werden etwaige Notfall-Lieferverträge mit Zweitlieferanten (für Fahrzeuge, Treibstoff, Ausrüstung etc.) dokumentiert. Diese Unterlagen stellen sicher, dass in einer Krisensituation auf zusätzliche Ressourcen zurückgegriffen werden kann, die rechtlich und organisatorisch bereits abgesichert sind.