Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

Vorfall- & Risikoberichtsformular)

Technisches Facility Management: TFM » Anforderungen » Betriebsabläufe » Vorfall- & Risikoberichtsformular)

Vorfall- und Risikoberichtsformular im Technischen Facility Management

Vorfall- und Risikoberichtsformular im Technischen Facility Management

Im Ausschreibungsprozess für technische Facility-Management-Leistungen dient ein standardisiertes Vorfall- und Risikoberichtsformular dem Zweck, Vorfälle und Risiken systematisch zu erfassen und den Informationsfluss zwischen Auftraggeber und Dienstleister zu strukturieren. Eine solche strukturierte Berichterstattung gewährleistet Transparenz, verbessert die Sicherheit im Betrieb und stellt die Einhaltung gesetzlicher Vorgaben sicher. Insbesondere in sicherheitskritischen Infrastrukturen – etwa Industrieanlagen mit strengen Zutrittskontrollsystemen – ist ein klar definiertes Berichtswesen unerlässlich, um technische Störungen oder Sicherheitsvorfälle zeitnah zu kommunizieren und wirksam zu beheben.

Rechtliche und regulatorische Grundlagen

Die Nutzung eines Vorfall- und Risikoberichtsformulars im technischen Facility Management stützt sich auf mehrere gesetzliche Vorgaben und Normen. Das deutsche Arbeitsschutzgesetz (ArbSchG) verpflichtet Arbeitgeber, für die Sicherheit und Gesundheit der Beschäftigten zu sorgen. In diesem Rahmen sind Gefährdungsbeurteilungen durchzuführen und Arbeitsunfälle zu dokumentieren. Ergänzend dazu geben die berufsgenossenschaftlichen Vorschriften der Deutschen Gesetzlichen Unfallversicherung (DGUV) konkrete Richtlinien zur Unfallverhütung und Meldepflicht von Arbeitsunfällen vor. So müssen beispielsweise Unfälle, die zu einer mehrtägigen Arbeitsunfähigkeit führen, an die Berufsgenossenschaft gemeldet werden. Ein systematisches Vorfall-Reporting unterstützt die Erfüllung dieser Pflichten und trägt zur Prävention weiterer Zwischenfälle bei.

Zudem sind beim Umgang mit Vorfalls- und Risikodaten datenschutzrechtliche Bestimmungen zu beachten. Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) legen fest, dass personenbezogene Informationen – etwa Name des Verunfallten oder Details zu sicherheitsrelevanten Vorfällen – vertraulich zu behandeln und nur im erforderlichen Umfang zu erheben sind. Ein standardisiertes Berichtsformular hilft dabei, nur relevante Daten zu erfassen und diese sicher zu speichern, sodass den Anforderungen an den Datenschutz Genüge getan wird.

Auch vergaberechtliche Aspekte spielen eine Rolle: Bei öffentlichen Ausschreibungen müssen Transparenz- und Gleichbehandlungsgrundsätze gemäß dem Gesetz gegen Wettbewerbsbeschränkungen (GWB) und der Vergabeverordnung (VgV) eingehalten werden. Ein einheitliches Berichtsformular, das von allen Bietern im Rahmen ihrer Angebote auszufüllen ist, sorgt für vergleichbare Angaben und faire Wettbewerbsbedingungen. Die Standardisierung der Berichtsstruktur stellt sicher, dass alle Anbieter die gleichen Informationen liefern und erleichtert der Vergabestelle die Bewertung der Konzepte.

Schließlich sind einschlägige FM-Standards und Normen zu berücksichtigen. Die europäische Normenreihe DIN EN 15221 für Facility Management empfiehlt standardisierte Prozesse und Dokumentationen im FM-Bereich, wozu auch das strukturierte Meldewesen zählt. Im Bereich Risikomanagement setzt die ISO 31000 einen internationalen Rahmen für den Umgang mit Risiken, der die Identifizierung, Bewertung und Dokumentation von Risiken fordert. Ebenso verlangt die Arbeitsschutzmanagement-Norm ISO 45001 eine systematische Erfassung und Meldung von Arbeits- und Sicherheitsvorfällen, um kontinuierlich Verbesserungen im Arbeitsschutz zu erreichen. Die Anforderungen des Vorfall- und Risikoberichtsformulars sollten mit diesen Normen im Einklang stehen, sodass der zukünftige technische FM-Dienstleister ein professionelles und normgerechtes Sicherheits- und Risikomanagement nachweisen kann.

Umfang der Berichterstattung- Typische Kategorien des Berichtsumfangs sind unter anderem:

  • Technische Störungen: Auftreten von technischen Defekten oder Ausfällen an Anlagen und Systemen. Dazu zählen z.B. Fehlfunktionen der Heizungs-, Lüftungs- und Klimatechnik (HLK), Stromausfälle, Störungen an sicherheitstechnischen Anlagen wie Brandmelde- oder Sprinklersystemen sowie ungeplante Ausfallzeiten von Aufzügen oder Förderanlagen. Solche Vorfälle sind detailliert zu protokollieren, da sie die Betriebsabläufe beeinträchtigen und unter Umständen Folgeschäden verursachen können.

  • Sicherheits- und Arbeitsunfälle: Ereignisse, bei denen Personen zu Schaden gekommen sind oder beinahe gekommen wären (Beinaheunfälle), sowie sonstige sicherheitsrelevante Vorfälle im Gebäude. Hierunter fallen Arbeitsunfälle mit Personenschaden, meldepflichtige Verletzungen, aber auch Gefahrensituationen wie Beinahe-Unfälle, Brände, chemische Leckagen oder Umweltereignisse (z.B. Austritt gefährlicher Stoffe). Die Meldung dieser Vorfälle dient nicht nur der Erfüllung gesetzlicher Unfallmeldepflichten, sondern ermöglicht auch die Auswertung zur Verbesserung von Arbeitsschutzmaßnahmen.

  • Risikoerkennungen und -bewertungen: Proaktive Identifizierung von Schwachstellen und potenziellen Risiken im technischen Betrieb. Dies kann beispielsweise die Feststellung von überalterten Anlagenkomponenten, unzureichenden Redundanzen bei kritischen Systemen oder unklaren Verantwortlichkeiten in Notfallsituationen umfassen. Solche erkannten Risiken sind im Formular zu dokumentieren, inklusive einer Bewertung der möglichen Folgen und vorgeschlagener präventiver Maßnahmen. Auch festgestellte Restrisiken nach Umsetzung von Maßnahmen sollten hier festgehalten werden, um ein Bewusstsein für verbleibende Risiken zu schaffen.

  • Zutrittskontroll- und Sicherheitsvorfälle: Alle Vorkommnisse im Zusammenhang mit der Zugangssicherheit des Objekts. Dazu zählen unautorisierte Zutrittsversuche (etwa unbefugte Personen, die versuchen, ins Gebäude zu gelangen), der Missbrauch oder Verlust von Zugangskarten oder Schlüsselmedien, technische Störungen in Zutrittskontrollanlagen (z.B. Ausfall eines Kartenlesers oder Fehlfunktion einer biometrischen Zugangskontrolle) sowie etwaige Datenschutzvorfälle im Kontext der Zutrittskontrolle (z.B. unzulässige Einsicht in Zutrittsprotokolle). Da solche Vorfälle die Sicherheit der gesamten Einrichtung betreffen, ist eine lückenlose Dokumentation und anschließende Bewertung entscheidend, um Schwachstellen im Sicherheitskonzept rasch zu beheben.

Dokumentationsanforderungen für Bieter

Im Rahmen der Ausschreibung müssen die teilnehmenden Dienstleistungsunternehmen nachweisen, dass sie ein wirksames Verfahren zur Vorfalls- und Risikoberichterstattung implementiert haben. Daher ist ein vom Bieter ausgefülltes Vorfall- und Risikoberichtsformular als Bestandteil der Angebotsunterlagen einzureichen.

Dieses Dokument sollte mindestens folgende Informationen und Nachweise enthalten:

  • Vorfallsdetails: Konkrete Angaben zum Vorfall wie Art des Ereignisses (z.B. technischer Defekt, Unfall, Sicherheitsverstoß), Datum und Uhrzeit des Auftretens, Ort bzw. betroffener Gebäudebereich und die involvierte Anlage oder das System. Diese Basisdaten ermöglichen eine eindeutige Zuordnung des Ereignisses.

  • Beschreibung und Sofortmaßnahmen: Eine kurz gefasste, aber präzise Schilderung des Hergangs des Vorfalls sowie der unmittelbar ergriffenen Maßnahmen zur Schadensbegrenzung oder Gefahrenabwehr. Hierbei ist darzustellen, wie der Dienstleister auf den Vorfall reagiert hat (z.B. Abschalten einer Anlage, Erste-Hilfe-Maßnahmen, Alarmierung von Rettungskräften, Evakuierung eingeleitet) und ob die Situation zeitnah unter Kontrolle gebracht werden konnte.

  • Ursachenanalyse und Prävention: Eine erste Einschätzung oder bereits durchgeführte Analyse der vermutlichen Ursache des Vorfalls. Darauf aufbauend sind die geplanten oder ergriffenen langfristigen Maßnahmen darzulegen, die eine Wiederholung des Ereignisses verhindern sollen. Dies kann beispielsweise Anpassungen im Wartungsplan, zusätzliche Schulungen des Personals, technische Nachrüstungen oder Änderungen von Prozessen umfassen. Der Bieter soll hiermit zeigen, dass er über ein systematisches Verbesserungsmanagement verfügt.

  • Nachweis der Maßnahmenerledigung: Dokumentation, welche korrektiven Schritte tatsächlich umgesetzt wurden, und entsprechende Belege. Dazu können Wartungs- oder Reparaturberichte, Einträge in einem Instandhaltungsprotokoll, Fotodokumentationen von behobenen Mängeln oder Updates von Software/Systemeinstellungen gehören. Diese Nachweise untermauern die Wirksamkeit der Sofort- und Präventivmaßnahmen und demonstrieren die Fähigkeit des Bieters, Probleme nachhaltig zu lösen.

  • Qualifikation des Verantwortlichen: Angabe der für die Bearbeitung des Vorfalls und die Risikoanalyse verantwortlichen Personen inklusive deren Qualifikation oder Funktion. Beispielsweise sollte ersichtlich sein, ob ein Sicherheitsbeauftragter, ein Fachingenieur oder ein anderes qualifiziertes Fachpersonal mit der Untersuchung des Vorfalls betraut war. Ggf. sind Zertifikate oder Nachweise über spezielle Schulungen (etwa für Arbeitssicherheit oder Risikomanagement) beizufügen, um die Kompetenz des Personals zu belegen.

Durch diese Anforderungen stellt der Auftraggeber sicher, dass jeder Bieter ein vollständiges und schlüssiges Konzept zum Umgang mit Vorfällen und Risiken vorweisen kann. Lückenhafte oder unzureichend belegte Angaben können im Bewertungsprozess der Angebote entsprechend negativ gewichtet werden.

Verfahrensvorgaben im Ausschreibungsprozess- Um eine einheitliche Handhabung des Vorfall- und Risikoberichtsformulars sicherzustellen, gelten im Rahmen der Ausschreibung und späteren Vertragserfüllung folgende Verfahrensvorgaben:

  • Vorlage im Angebot: Das ausgefüllte Vorfall- und Risikoberichtsformular ist vom Bieter mit dem Angebot fristgerecht einzureichen. Es dient der Vergabestelle als Entscheidungsgrundlage, um die Leistungsfähigkeit und das Verständnis des Bieters für das geforderte Berichtswesen zu beurteilen.

  • Prüfung auf Vollständigkeit und Konformität: Die eingereichte Formularvorlage wird durch den Auftraggeber dahingehend geprüft, ob alle geforderten Angaben enthalten sind und den Vorgaben entsprechen. Gegebenenfalls behält sich der Auftraggeber Nachforderungen oder Klarstellungen vor, falls Unklarheiten bestehen oder Mindestanforderungen nicht erfüllt wurden.

  • Regelmäßige Berichtsintervalle: Nach Zuschlag und während der Vertragslaufzeit hat der beauftragte FM-Dienstleister regelmäßige Vorfalls- und Risikoberichte vorzulegen. Die Intervalle dafür werden vertraglich festgelegt (z.B. monatliche Zusammenfassungen aller Ereignisse, vierteljährliche Risiko-Reports und ein jährlicher Gesamtbericht). Diese periodischen Berichte gewährleisten eine fortlaufende Überwachung der Betriebs- und Sicherheitslage im Objekt und ermöglichen dem Auftraggeber, Trends oder wiederkehrende Probleme frühzeitig zu erkennen.

  • Meldepflicht bei kritischen Vorfällen: Unabhängig von den turnusmäßigen Berichten müssen sicherheitskritische oder betriebswichtige Vorfälle unverzüglich gemeldet werden. Hierzu sind im Vertrag Eskalationsstufen definiert, z.B. unmittelbare telefonische Benachrichtigung der zuständigen Stelle bei Gefahr für Personen oder erheblichem Sachschaden, gefolgt von einer schriftlichen Kurzmeldung innerhalb von 24 Stunden. Dieses Verfahren stellt sicher, dass der Auftraggeber bei gravierenden Ereignissen umgehend informiert ist und gemeinsam mit dem Dienstleister Gegenmaßnahmen einleiten kann.

  • Sanktionen bei Verstoß gegen Berichtspflichten: Die Einhaltung der Berichtspflichten ist essenziell. Bei verspäteter, unvollständiger oder unterlassener Berichterstattung behält sich der Auftraggeber vertraglich festgelegte Sanktionen vor. Diese können von formellen Abmahnungen über die Einbehaltung von Zahlungen bis hin zur Vertragsstrafe reichen. In schweren Fällen von Pflichtverletzung – etwa bewusster Falschinformation oder wiederholter Nichteinhaltung – kann dies sogar ein Kündigungsgrund sein. Durch diese Konsequenzen wird die Bedeutung des Berichtswesens für den Auftragnehmer hervorgehoben und sichergestellt, dass es mit der nötigen Sorgfalt betrieben wird.

Spezifische Anforderungen für Zutrittskontrollsysteme

Da das vorliegende Projekt eine in hohem Maße sicherheitsrelevante Zugangskontrolle beinhaltet, werden im Berichtsformular besondere Anforderungen im Bereich Zutrittssicherheit gestellt.

Bieter müssen darauf eingehen, wie sie folgende Punkte behandeln:

  • Meldung sicherheitsrelevanter Zutrittsvorfälle: Jegliche unbefugten Zugriffsversuche, Einbruchsversuche oder sonstige sicherheitsrelevanten Ereignisse an den Zutrittskontrollpunkten sind umgehend im Bericht festzuhalten. Dazu zählt auch der Missbrauch von Berechtigungen (z.B. wenn ein Zugangsausweis von einer unberechtigten Person verwendet wurde) und der Versuch, Sicherheitseinrichtungen zu manipulieren oder außer Kraft zu setzen.

  • Dokumentation von Gegenmaßnahmen: Für jeden Vorfall im Bereich Zutrittskontrolle ist anzugeben, welche unmittelbaren Gegenmaßnahmen ergriffen wurden. Beispielsweise sind die Sperrung kompromittierter Zugangskarten, das Zurücksetzen betroffener Systeme, der Austausch beschädigter Schlösser oder die Verstärkung von Überwachungsmaßnahmen (z.B. zusätzliche Sicherheitskräfte oder Kameras) zu dokumentieren. Auch etwaige Strafanzeigen bei kriminellen Handlungen sollten erwähnt werden.

  • Risikobewertung des Zutrittssystems: Im Nachgang zu sicherheitsrelevanten Vorfällen ist eine Überprüfung des Zutrittskontrollsystems auf Schwachstellen durchzuführen. Im Bericht sollten die Bieter aufzeigen, wie sie identifizierte Lücken analysieren (etwa veraltete Software, unzureichend gesicherte Zutrittspunkte oder unklar geregelte Zutrittsberechtigungen) und welche Maßnahmen sie ergreifen, um die Sicherheit zu erhöhen. Dies kann z.B. regelmäßige Penetrationstests der Systeme, Software-Updates, organisatorische Änderungen der Zutrittsvergabe oder zusätzliche Schulungen des Sicherheitspersonals umfassen.

  • Vertraulichkeits- und Datenschutzmaßnahmen: Da Zutrittskontrollsysteme personenbezogene Daten (wie Mitarbeiterdaten, Zutrittsprotokolle, biometrische Informationen) verarbeiten, müssen Bieter darlegen, wie sie die Vertraulichkeit dieser sensiblen Daten wahren. Im Berichtsformular sollte vermerkt sein, welche Vorkehrungen getroffen werden, damit nur autorisierte Personen Zugang zu den Vorfalldaten erhalten, wie lange diese Daten aufbewahrt werden und wann sie gelöscht werden. Zudem ist sicherzustellen, dass bei der Berichterstattung keine sicherheitskritischen Details öffentlich werden – der Bericht sollte also in Abstimmung mit Datenschutzbeauftragten erstellt werden, um DSGVO/BDSG-konform zu bleiben.

  • Einhaltung von Sicherheitsnormen: Der Umgang mit sicherheitsrelevanten Vorfällen hat nach den geltenden technischen Normen zu erfolgen. Bieter müssen bestätigen, dass ihre Maßnahmen und Prozesse im Zutrittskontrollmanagement den Standards wie DIN EN 60839 (Elektronische Zutrittskontrollsysteme) und DIN VDE 0833 (Gefahrenmeldeanlagen für Brand und Einbruch) entsprechen. Diese Normen definieren Anforderungen an Zuverlässigkeit, Aufzeichnung und Alarmierung bei sicherheitsrelevanten Systemen. Die Konformität mit solchen Standards gewährleistet, dass das Berichtswesen nicht nur den vertraglichen, sondern auch den fachlichen Qualitätsansprüchen genügt.

Bestätigung der Konformität

Abschließend muss jeder Bieter im Angebot eine verbindliche Erklärung abgeben, dass er die Anforderungen an das Vorfall- und Risikoberichtsformular vollumfänglich erfüllt. Diese Bestätigung umfasst die Zusicherung, alle Vorfälle und Risiken korrekt, vollständig und fristgerecht zu melden, wie im Leitfaden vorgegeben. Ferner ist vom Bieter eine Selbstverpflichtung zu erklären, dass er für die Umsetzung der notwendigen Korrektur- und Präventionsmaßnahmen Verantwortung übernimmt und im Falle eines Zuschlags aktiv ein kontinuierliches Verbesserungsmanagement im Sinne der Sicherheit und Compliance betreiben wird.