Konformitätsbescheinigungen

Die Dienstleistungsqualität im TFM wird maßgeblich durch Normen bestimmt. Europäische Richtlinien und deutsche Gesetze verweisen auf anerkannte Standards, um Mindestanforderungen zu definieren. Für technische Anlagen greifen insbesondere die DIN‑EN‑ und DIN‑VDE‑Reihen, die Anforderungen an Sicherheits- und Zugangskontrollsysteme beschreiben. Die ISO‑Normen definieren Managementsysteme für Qualität, Umwelt, Sicherheit und Informationssicherheit. In Ausschreibungen ist sicherzustellen, dass die Bieter über gültige Zertifikate der relevanten Normen verfügen und diese während der Vertragslaufzeit aufrechterhalten. Fehlende oder abgelaufene Zertifikate können zum Ausschluss führen.

Werden technische Anlagen ohne die erforderlichen Zertifizierungen betrieben, drohen vielfältige Risiken: Vertragsstrafen wegen Nichterfüllung, Schadensersatzforderungen, Verlust von Versicherungsdeckung und im schlimmsten Fall strafrechtliche Folgen. Bei der Vergabe müssen Auftraggeber daher lückenlos prüfen, dass alle relevanten Nachweise vorliegen. Die Verantwortlichkeit für den regelkonformen Betrieb liegt bei dem Auftragnehmer. Dieser muss sämtliche gesetzlichen und normativen Bestimmungen einhalten und stellt sicher, dass die eingesetzten Mitarbeiter entsprechend qualifiziert sind.

Zutrittskontrollsysteme und Gebäudeautomationsanlagen verarbeiten personenbezogene Daten. Die Datenschutz‑Grundverordnung (GDPR) gilt in allen EU‑Mitgliedstaaten unmittelbar und wird in Deutschland durch das Bundesdatenschutzgesetz (BDSG) ergänzt. Seit dem 25. Mai 2018 dürfen personenbezogene Daten nur verarbeitet werden, wenn ein rechtmäßiger Zweck besteht und geeignete Schutzmaßnahmen implementiert sind. Unternehmen müssen technische und organisatorische Maßnahmen nach dem Stand der Technik nachweisen. Außerdem ist die Verarbeitung auf das notwendige Maß zu beschränken, und betroffene Personen müssen über ihre Rechte informiert werden. Zertifizierte Informationssicherheits‑Managementsysteme (ISO/IEC 27001) sowie Datenschutzkonzepte sind verpflichtend, wenn Zutrittskontrollsysteme eingesetzt werden.

In der Ausschreibung sind die Zertifikate anzugeben, die der Bieter vorlegen muss. Sie decken unterschiedliche Management‑ und Sicherheitsbereiche ab. Folgende Zertifizierungen sind im technischen Facility Management gängig und sollten Bestandteil der Ausschreibung sein:

ISO 9001 ist der weltweit verbreitetste Standard für Qualitätsmanagementsysteme. Er verlangt, dass Unternehmen ihre Prozesse dokumentieren, Risiken analysieren und kontinuierliche Verbesserungen implementieren. Eine Zertifizierung nach ISO 9001 belegt, dass das Unternehmen qualitativ hochwertige Leistungen erbringt, Fehlerursachen systematisch ermittelt und eine hohe Kundenzufriedenheit anstrebt. Insbesondere für die Wartung technischer Anlagen ist ein strukturiertes Qualitätsmanagement unerlässlich, um die Zuverlässigkeit von Gebäudebetrieb und Sicherheitssystemen zu gewährleisten.

ISO 14001 legt Anforderungen für Umweltmanagementsysteme fest. Sie bietet einen Rahmen, um Umweltaspekte zu identifizieren, Ziele zu definieren und deren Einhaltung zu überwachen. Durch effiziente Ressourcennutzung, Abfallvermeidung und Energieeinsparung wird der ökologische Fußabdruck reduziert. Für den technischen Betrieb von Industriegebäuden ist ein umweltbewusstes Vorgehen wichtig, etwa durch optimierten Energieeinsatz bei Heizungs‑, Lüftungs‑ und Klimaanlagen. Eine gültige ISO 14001‑Zertifizierung zeigt, dass das Unternehmen Umweltauflagen einhält und Nachhaltigkeit ernst nimmt.

ISO 45001 ersetzt die frühere OHSAS 18001 und fokussiert sich auf Arbeits- und Gesundheitsschutz. Der Standard basiert auf einem risikoorientierten Ansatz und fordert, Gefährdungen systematisch zu ermitteln und angemessene Schutzmaßnahmen zu ergreifen. Unternehmen müssen regelmäßig Schulungen durchführen, Arbeitsplätze sicher gestalten und präventive Maßnahmen implementieren. Für technische Anlagenbetreiber reduziert ein zertifiziertes Arbeitsschutzsystem das Unfallrisiko, verbessert die Motivation der Mitarbeitenden und trägt dazu bei, gesetzliche Vorgaben einzuhalten.

ISO/IEC 27001 definiert Anforderungen an Informationssicherheits‑Managementsysteme (ISMS). Der Standard stellt sicher, dass Vertraulichkeit, Integrität und Verfügbarkeit von Informationen geschützt werden. Zutrittskontrollsysteme, Gebäudeleittechnik und digitale Überwachungssysteme sammeln und verarbeiten sensible Daten. Ein zertifiziertes ISMS garantiert, dass Risiken identifiziert, geeignete technische und organisatorische Maßnahmen implementiert und die Anforderungen des Datenschutzes eingehalten werden. Darüber hinaus unterstützt ISO 27001 die Einhaltung gesetzlicher Anforderungen wie GDPR und BDSG.

Die Normenreihe DIN EN 15221 definiert Strukturen und Prozesse des Facility Managements in Europa. Sie enthält Begriffsdefinitionen, beschreibt FM‑Prozesse, Kennzahlen und Leistungsmodelle. Teil 4 benennt die Bandbreite der FM‑Leistungen: Sie reicht von Flächenmanagement und Infrastruktur über technische Systeme bis hin zu personellen und organisatorischen Dienstleistungen. Für Ausschreibungen ist wichtig, dass Anbieter ihre Leistungen in Anlehnung an diese Normen strukturieren und entsprechende Nachweise über die Einhaltung der Standards vorlegen.

Die DIN VDE 0833‑2 regelt Planung, Installation und Betrieb von Brandmeldeanlagen sowie visuellen und akustischen Alarmierungssystemen. Sie setzt die Anforderungen der europäischen Produktnorm EN 54 – insbesondere EN 54‑23 für visuelle Alarmgeber – in deutsches Recht um. Die Norm verlangt, dass der Betreiber ein Alarmierungskonzept erstellt und mit den zuständigen Behörden abstimmt. Außerdem gilt das Zwei‑Sinne‑Prinzip: Alarmierungen müssen so erfolgen, dass mindestens zwei Sinne angesprochen werden, etwa durch kombinierte optische und akustische Signale. Dies dient insbesondere dem Schutz von Menschen mit eingeschränktem Hör- oder Sehvermögen.

Die DIN EN 60839‑11‑1 beschreibt Anforderungen an elektronische Zutrittskontrollsysteme. Sie legt Sicherheitsstufen und Mindestfunktionen fest, darunter Zugangserkennung, Anzeige und Alarmierung, Protokollierung sowie Selbstschutz. Außerdem definiert die Norm Anforderungen an die elektromagnetische Verträglichkeit und die Umgebungsbedingungen. Ein Zutrittskontrollsystem muss alle relevanten Funktionen erfüllen, ohne von anderen Anlagen negativ beeinflusst zu werden, und die Komponenten müssen den jeweiligen Sicherheitsgraden entsprechen. Bieter müssen nachweisen, dass ihre Systeme diesen Normanforderungen entsprechen.

• Zertifikate: Kopien aller relevanten Zertifikate (ISO 9001, ISO 14001, ISO 45001, ISO/IEC 27001, DIN EN 15221, DIN VDE 0833, DIN EN 60839) ausgestellt von akkreditierten Zertifizierungsstellen. Jedes Zertifikat muss den Geltungsbereich und die Gültigkeitsdauer ausweisen.

• Akkreditierungsnachweise: Bestätigung, dass die ausstellende Zertifizierungsstelle akkreditiert ist (z. B. durch die Deutsche Akkreditierungsstelle). Dies belegt, dass die Zertifikate international anerkannt sind.

• Gültigkeit und Geltungsbereich: Dokumentation des jeweiligen Zertifizierungsumfangs, einschließlich der Prozesse oder Standorte, auf die sich die Zertifizierung bezieht, sowie des Ablaufdatums. Gültige Zertifikate müssen während der gesamten Vertragslaufzeit vorliegen.

• Nachweise für Subunternehmer: Wird ein Teil der Leistung an Subunternehmer vergeben, muss der Hauptbieter sicherstellen, dass auch diese Firmen über die entsprechenden Zertifikate verfügen. Die Nachweise sind dem Angebot beizufügen.

• Relevanz für sicherheitskritische Systeme: Erklärungen darüber, welche Zertifikate für Zutrittskontrolle, Gebäudeautomation, Energieversorgung und Brandschutz relevant sind und wie sie im Betrieb angewendet werden. Die Bieter müssen den Zusammenhang zwischen Zertifikat und konkreter Leistung darstellen.

• Qualifikationsnachweise: Nachweise über die Qualifikation des eingesetzten Personals (z. B. Sachkundigenprüfungen, Schulungszertifikate) insbesondere für den Umgang mit sicherheitskritischen Systemen, Wartungsaufgaben und Software‑Konfigurationen.

• Versicherungsnachweise: Aktuelle Haftpflicht‑ und Berufshaftpflichtversicherungen mit ausreichender Deckung für Schäden, die durch fehlerhafte technische Dienstleistungen entstehen können.

Die eingereichten Dokumente müssen vollständig und lesbar sein. Unvollständige Unterlagen können zum Ausschluss führen.

Die Ausschreibungsunterlagen legen den Umfang und die Form der Einreichung fest. Zertifikate und Nachweise sind in digitaler Form im PDF‑Format einzureichen, zusätzlich kann eine beglaubigte Kopie verlangt werden. Alle Unterlagen müssen bis zu dem in der Ausschreibung angegebenen Termin vorliegen. Verspätete Einreichungen werden nicht berücksichtigt.

Die Vergabestelle überprüft die eingereichten Zertifikate hinsichtlich Gültigkeit, Geltungsbereich und Echtheit. Dazu können sowohl öffentliche Register der Akkreditierungsstellen als auch Rückfragen bei der Zertifizierungsstelle genutzt werden. Stellt sich heraus, dass Zertifikate abgelaufen oder ungültig sind, führt dies in der Regel zum Ausschluss des Bieters. Für Zertifikate, die während der Angebotsphase ablaufen, muss der Bieter den Verlängerungsprozess dokumentieren und spätestens vor Vertragsunterzeichnung nachreichen.

Viele Zertifikate werden für begrenzte Zeiträume ausgestellt und müssen regelmäßig erneuert werden. Der Auftragnehmer verpflichtet sich, alle relevanten Zertifizierungen rechtzeitig zu verlängern und auf Anfrage aktuelle Nachweise vorzulegen. Werden während der Vertragslaufzeit Zertifikate widerrufen oder der Geltungsbereich eingeschränkt, muss der Auftraggeber umgehend informiert werden. Der Auftragnehmer trägt die Verantwortung für die fristgerechte Erneuerung.

Sollten Zertifikate während der Ausschreibungsphase oder Vertragslaufzeit ablaufen, ist dies der Vergabestelle unverzüglich anzuzeigen. Wird ein Zertifikat ausgesetzt oder aufgrund von Verstößen entzogen, ist der Auftraggeber zur Kündigung aus wichtigem Grund berechtigt. In solchen Fällen kann eine Ersatzleistung oder der Nachweis über die unmittelbare Beantragung einer Rezertifizierung gefordert werden.

Bieter, die die geforderten Zertifikate nicht vorlegen oder deren Gültigkeit nicht nachweisen können, werden von der Teilnahme am Vergabeverfahren ausgeschlossen. Während der Vertragsausführung können fehlende Zertifikate zur Vertragsstrafe, zur Minderung des Entgelts oder zur fristlosen Kündigung führen.

Zutrittskontrollsysteme schützen sensible Bereiche und müssen hohen Sicherheitsanforderungen genügen. Im Rahmen der Ausschreibung sind folgende Aspekte besonders zu berücksichtigen:

Elektronische Zutrittskontrollsysteme müssen die Anforderungen der DIN EN 60839‑11‑1 erfüllen. Die Norm definiert Sicherheitsgrade, Mindestfunktionen und Testmethoden für Systeme und Komponenten.

• Systemarchitektur und Sicherheitsgrade: Das System muss in einheitliche Sicherheitsklassen eingeteilt werden. Für jede Klasse sind Anforderungen an Zuverlässigkeit und Funktionsumfang definiert. Komponenten wie Leser, Steuerungen und Software müssen entsprechend klassifiziert sein.

• Funktionalität: Die Norm verlangt Funktionen wie Identifikation, Authentifizierung, Protokollierung von Zutrittsereignissen, Anzeige und Alarmierung, Selbstschutz gegen Manipulation sowie Notfallfunktionen. Zusätzliche Funktionen dürfen nicht dazu führen, dass verpflichtende Anforderungen missachtet werden.

• Schnittstellen und Kommunikation: Anforderungen an Schnittstellen (z. B. Zugangspunkte) sowie an die Kommunikation zwischen Systemkomponenten und zu anderen Systemen (Alarmanlagen, Videoüberwachung) müssen eingehalten werden. Elektromagnetische Verträglichkeit und Umweltbedingungen sind zu berücksichtigen.

• Testmethoden: Die Norm legt Prüfverfahren fest, mit denen die Funktionsfähigkeit der Komponenten unter verschiedenen Bedingungen nachzuweisen ist. Der Anbieter muss dokumentieren, dass diese Tests erfolgreich absolviert wurden.

Da Zutrittskontrollsysteme personenbezogene Daten verarbeiten, muss ein zertifiziertes Informationssicherheits‑Managementsystem (ISO/IEC 27001) vorhanden sein. Dies umfasst die Verschlüsselung von Daten, Authentifizierungsmechanismen, Zugriffssteuerungen sowie Protokollierung und Monitoring. Die Daten dürfen nur für den vorgesehenen Zweck genutzt werden, und es muss sichergestellt sein, dass unbefugte Dritte keinen Zugriff erhalten. Darüber hinaus müssen Lösch‑ und Aufbewahrungsfristen gemäß GDPR und BDSG definiert werden.

Zutrittskontrollsysteme sind häufig mit Alarmanlagen und Brandmeldesystemen verbunden. Für die Integration gelten die Anforderungen der DIN VDE 0833‑2. Insbesondere muss gewährleistet sein, dass im Brandfall Türen automatisch entriegelt werden, um eine schnelle Evakuierung zu ermöglichen. Gleichzeitig darf die Sicherheitsfunktion nicht durch den Anschluss weiterer Systeme beeinträchtigt werden. Bieter müssen nachweisen, dass die Schnittstellen kompatibel sind und alle relevanten VDE‑ oder DIN‑Normen eingehalten werden.

Personen, die Zutrittskontrollsysteme installieren und warten, benötigen spezielle Qualifikationen. Neben technischen Fachkenntnissen sind Schulungen in Datenschutz und Informationssicherheit erforderlich. Für Sicherheitspersonal, das Zugangskontrollsysteme überwacht oder bei Veranstaltungen einsetzt, ist gegebenenfalls eine Bewachungserlaubnis nach § 34a GewO erforderlich. Entsprechende Schulungszertifikate sind dem Angebot beizufügen.

Bieter müssen im Angebot eine rechtsverbindliche Erklärung abgeben, dass alle geforderten Zertifikate zum Zeitpunkt der Angebotsabgabe gültig sind und während der gesamten Vertragslaufzeit aufrechterhalten werden. Ferner ist zu erklären, dass alle gesetzlichen und normativen Anforderungen eingehalten werden. Dies umfasst die Verpflichtung, Änderungen der Zertifizierungslage unverzüglich mitzuteilen, die Verantwortung für das gesamte eingesetzte Personal sowie für Subunternehmer zu übernehmen und sämtliche gesetzlichen Vorgaben, insbesondere zum Datenschutz, einzuhalten. Die Erklärung dient der Rechtssicherheit und ist Voraussetzung für die Teilnahme am Vergabeverfahren.