Versicherungsnachweise

Technische Facility‑Management‑Dienstleistungen sind mit vielfältigen Risiken verbunden. Der Auftraggeber hat daher in den Vergabeunterlagen anzugeben, welche Deckungen zwingend einzuschließen sind.

• Schäden durch elektrische Anlagen: Diese umfassen Feuer durch Kurzschluss, Blitzeinschläge, Überspannungen und daraus resultierende Folgeschäden an Anlagen und Gebäuden. Da das TGM die technische Gebäudeausrüstung betreibt, sind Betreiber verpflichtet, Gefährdungen zu minimieren und Versicherungsschutz gegen daraus entstehende Sach‑ und Personenschäden vorzuhalten.

• HVAC‑Unfälle: Heizung, Lüftung und Klimaanlagen können durch Fehlfunktionen gefährliche Situationen verursachen, etwa durch defekte Ventile oder austretende Kältemittel. Die Betriebshaftpflicht muss Schäden an der Gesundheit von Mitarbeitern sowie Sachschäden abdecken.

• Aufzugsausfälle: Betreiber von Aufzugsanlagen tragen die Verantwortung für den sicheren Betrieb. Ein fehlendes Monitoring der TGA kann sicherheitsrelevante Ereignisse zu spät erkennen und zu Gefährdungen führen. Versicherungsschutz sollte daher Notfallkosten (Befreiung eingeschlossener Personen), Reparaturkosten und Haftungsansprüche von Fahrgästen umfassen.

• Umweltverschmutzungen: In Industriegebäuden können Leckagen von Gefahrstoffen (z. B. Öle, Kühlmittel) auftreten. Die Haftpflichtversicherung muss Umweltschäden abdecken, einschließlich Sanierungskosten und eventueller Bußgelder.

• Zutrittskontrollsysteme und IT‑Risiken: Digitale Zutrittskontrollen verarbeiten personenbezogene Daten. Gemäß DSGVO und BDSG müssen Unbefugte vom Zugriff ausgeschlossen werden und die Daten verschlüsselt werden. Versichert werden müssen daher Haftungsfälle durch unbefugten Zutritt infolge Systemversagens, Datenschutzverletzungen oder Cyber‑Angriffe. Auch Sachschäden durch defekte Zugangsanlagen (z. B. blockierte Türen) sind einzubeziehen.

• Tätigkeits‑ und Bearbeitungsschäden: Schäden, die während Arbeiten an der TGA entstehen, etwa beim Austausch von Komponenten oder bei Modernisierungsmaßnahmen, sind über die Betriebshaftpflicht zu decken. Dies betrifft insbesondere Schäden an fremden Sachen, die in unmittelbarem Zusammenhang mit der Dienstleistung stehen.

Die erforderliche Deckungshöhe sollte sich an der Größe und Komplexität des Gebäudes und der technischen Anlagen orientieren. In der Praxis werden Deckungssummen häufig in den Vergabeunterlagen vorgegeben. Ein Branchenbeispiel zeigt, dass für holistische Facility‑Management‑Leistungen eine Deckung von 5 Mio € für Personen‑ und Sachschäden einschließlich Folgeschäden, 1,5 Mio € für reine Vermögensschäden einschließlich Datenschutzverletzungen, 1 Mio € für Tätigkeits‑ und Bearbeitungsschäden sowie 250 000 € für Schlüssel‑ und Zugangskartenverluste verlangt werden. Diese Werte dienen als Orientierung; der Auftraggeber kann je nach Risikoanalyse höhere oder niedrigere Beträge festlegen.

Um ihre Eignung nachzuweisen, müssen Bewerber im Rahmen der Ausschreibung vollständige und gültige Versicherungszertifikate vorlegen. Die folgenden Unterlagen sind mindestens erforderlich:

Der Bieter hat Bescheinigungen des Versicherers vorzulegen, die den Namen des Versicherers, die Policennummer, die Laufzeit und die Deckungssummen ausweisen. Die Bescheinigung muss bestätigen, dass die Versicherung zum Zeitpunkt der Angebotsabgabe gültig ist und die im Leistungsverzeichnis geforderten Risiken abdeckt. Die Versicherungsbestätigung sollte zudem mögliche Selbstbeteiligungen und Ausschlüsse nennen. Wie das Beispiel eines Facility‑Management‑Vertrages zeigt, sind Versicherungsbescheinigungen spätestens mit Beginn der Leistungserbringung vorzulegen; ohne Vorlage darf der Auftraggeber fällige Zahlungen zurückhalten.

Die Deckung muss alle Bereiche des technischen Facility Managements umfassen, einschließlich Betrieb und Wartung der TGA, Notdienste und Modernisierungsarbeiten. Auch Tätigkeiten im Bereich der Gebäudeautomation (GA) und der IT‑Infrastruktur sind einzubeziehen. Wenn Zutrittskontrollsysteme betrieben werden, muss der Versicherungsschutz Cyber‑Risiken und Datenschutzverletzungen abdecken. Der Bieter hat zu bestätigen, dass seine Police Schadensersatzansprüche aus der Verletzung von DSGVO‑Pflichten abdeckt (reine Vermögensschäden).

Neben der Betriebshaftpflicht sind je nach Tätigkeit Arbeitgeberhaftpflicht‑ und Berufshaftpflichtversicherungen erforderlich. Die Arbeitgeberhaftpflicht schützt vor Schadensersatzansprüchen von Beschäftigten. Die Berufshaftpflicht ist relevant, wenn Ingenieur‑ oder Planungsleistungen erbracht werden. Der Bieter muss entsprechende Zertifikate mit Laufzeit und Deckungssummen einreichen. Bei Subunternehmern ist nachzuweisen, dass diese in den Versicherungsschutz einbezogen sind; andernfalls muss der Hauptauftragnehmer eine Anschlussversicherung abschließen.

Einige Auftraggeber verlangen neben Versicherungsnachweisen weitere Dokumente, wie z. B. die Kopie einer Zertifizierung nach DIN EN ISO 9001 (Qualitätsmanagement) oder die Bescheinigung der Krankenkasse über die ordnungsgemäße Zahlung der Sozialbeiträge. Ein Branchenvertrag sieht vor, dass eine Kopie der Zertifizierung nach ISO 9001:2000 ff. sowie eine Bescheinigung der Krankenkasse vorgelegt werden müssen. Solche Unterlagen können als Indikator für die Zuverlässigkeit des Bieters herangezogen werden.

Die BSI‑Grundschutzempfehlungen betonen, dass fehlende Dokumentation von Zuständigkeiten und Sicherheitszertifikaten zu Verzögerungen bei Systemausfällen führen kann und im Ernstfall sogar Personen gefährdet. Daher sind Bieter verpflichtet, während der gesamten Vertragslaufzeit aktuelle Zertifikate, Nachweise über Fortführungsbestätigungen der Versicherung und Hinweise auf Änderungen (etwa durch Wechsel des Versicherers) unverzüglich mitzuteilen. Die Dokumentation muss für den Auftraggeber jederzeit zugänglich sein. Wird eine Police erneuert oder geändert, ist eine aktualisierte Bestätigung unaufgefordert vorzulegen. Der Auftragnehmer hat jährliche Bescheinigungen (z. B. Fortführungsbestätigung der Haftpflichtversicherung) einzureichen.

Die Vergabeunterlagen müssen angeben, in welchem Format die Versicherungsdokumente einzureichen sind (z. B. PDF‑Dateien über die Vergabeplattform) und bis zu welchem Termin. Die Frist sollte so bemessen sein, dass der Auftraggeber die Echtheit der Dokumente prüfen kann. Im offenen Verfahren ist das Einreichungsdatum meist identisch mit dem Schlusstermin für die Angebotsabgabe. Spätere Nachreichungen von Versicherungsbescheinigungen sind gemäß VgV nur zulässig, wenn der Auftraggeber die Unterlagen nachfordert. Fehlt ein Nachweis, ist der Auftraggeber berechtigt, den Bieter auszuschließen oder die Angebotswertung anzupassen.

Die Vergabestelle hat die Pflicht, die Gültigkeit der Versicherungsnachweise zu prüfen und mit den geforderten Deckungssummen abzugleichen. Sie sollte die Versicherungsscheine stichprobenartig bei den Versicherern verifizieren, um Manipulationen auszuschließen. In Fällen, in denen die wirtschaftliche und finanzielle Leistungsfähigkeit fraglich erscheint, kann der Auftraggeber gemäß § 45 VgV Bankerklärungen oder Jahresabschlüsse verlangen. Werden die Versicherungsanforderungen nur teilweise erfüllt, ist zu prüfen, ob eine Ergänzung oder Erhöhung der Deckung innerhalb einer angemessenen Frist möglich ist. Ist dies nicht der Fall, muss der Bieter aus Gründen der Gleichbehandlung ausgeschlossen werden.

Da Versicherungspolicen befristet sind, müssen Auftragnehmer sicherstellen, dass die Deckung während der gesamten Vertragslaufzeit besteht. Der Auftraggeber sollte im Vertrag festlegen, dass der Auftragnehmer spätestens einen Monat vor Ablauf einer Police eine neue Versicherungsbestätigung vorlegen muss. Bei Versicherungswechseln ist die Kontinuität des Versicherungsschutzes nachzuweisen. Eine Deckungslücke kann zu Vertragsstrafen, Schadenersatzforderungen und sogar zur außerordentlichen Kündigung führen.

Werden abgelaufene Versicherungsnachweise eingereicht oder entsprechen die Deckungssummen nicht den Anforderungen, ist der Auftraggeber verpflichtet, den Bieter darauf hinzuweisen und eine Nachfrist zur Korrektur zu gewähren. Bleibt diese erfolglos, erfolgt der Ausschluss vom Vergabeverfahren. Bei bereits bestehendem Vertrag kann ein Verstoß zu Vertragsstrafen und zur Aussetzung der Zahlungen führen. Auftragnehmer sollten zudem bedenken, dass gemäß BSI mangelnde Dokumentation oder fehlende Sicherheitszertifikate nicht nur rechtliche Konsequenzen haben, sondern auch die Schadenregulierung durch Versicherer gefährden können.

Die Nichteinhaltung der Versicherungsanforderungen kann gravierende Folgen haben. Einerseits droht der Ausschluss aus dem Vergabeverfahren oder die Kündigung des bestehenden Vertrags. Andererseits können bei Schäden, die durch fehlenden Versicherungsschutz entstehen, Regressansprüche auf den Auftragnehmer zukommen. Die Versicherer können bei grob fahrlässiger oder vorsätzlicher Verletzung der Vertragspflichten ihre Leistung kürzen oder verweigern. Für Zutrittskontrollsysteme kommen zusätzlich Bußgelder der Datenschutzaufsichtsbehörden in Betracht.

Zutrittskontrollsysteme sind zentrale Elemente in Industriegebäuden und müssen integrativ mit Sicherheitssystemen wie Brandmelde‑, Einbruch‑ und Gebäudeautomationsanlagen zusammenarbeiten. Sie verarbeiten personenbezogene Daten (z. B. Namen, Identifikationsnummern, biometrische Daten) und steuern den Zugang zu sicherheitsrelevanten Bereichen. Daraus ergeben sich besondere Anforderungen an den Versicherungsschutz sowie an die Einhaltung der Datenschutz‑ und Sicherheitsnormen.

Ein Ausfall oder eine Fehlfunktion elektronischer Zutrittssysteme kann zu Betriebsunterbrechungen, Personenschäden und erheblichen Sachschäden führen. Beispielsweise können blockierte Türen im Brandfall die Flucht erschweren oder ungewollt Alarmanlagen auslösen, wie das BSI anhand der Kompromittierung von Schnittstellen zwischen TGM und sicherheitsrelevanten Systemen erläutert. Die Versicherung sollte daher Kosten für die Notfallöffnung, Schäden durch den Ausfall (z. B. Produktionsstillstand) sowie Folgeschäden übernehmen. Da solche Systeme integraler Bestandteil der TGA sind, ist die Deckung im Rahmen der Betriebshaftpflicht sicherzustellen.

Fehlfunktionen können zu Verletzungen (z. B. eingeklemmte Personen) oder Beschädigungen an Türen und Gebäudeteilen führen. Versicherungen müssen Personenschäden, Sachschäden und daraus resultierende Vermögensschäden umfassen. Für Schlüssel‑ und Zugangskartenverluste sieht ein Mustervertrag eine Deckungssumme von 250 000 € vor. Dies gilt gleichermaßen für elektronische Zugangstoken. Die Deckungshöhe sollte an die Anzahl der Nutzer und den Sicherheitsstandard angepasst werden.

Digitale Zutrittskontrollsysteme nutzen Netzwerke und sind potenzielle Ziele von Cyber‑Angriffen. Die DSGVO fordert, dass personenbezogene Daten pseudonymisiert, verschlüsselt und vor unbefugtem Zugriff geschützt werden. Unternehmen müssen regelmäßig die Wirksamkeit ihrer technischen und organisatorischen Maßnahmen überprüfen. Im Schadensfall haften sie für materielle und immaterielle Schäden der Betroffenen. Bieter sollten daher nachweisen, dass ihre Haftpflicht‑ oder Cyber‑Versicherung Schadensersatzansprüche aus Datenschutzverletzungen einschließt (z. B. Vermögensschäden in Höhe von 1,5 Mio €). Außerdem ist sicherzustellen, dass Versicherungen die Kosten für Incident‑Response‑Maßnahmen, Datenwiederherstellung und Benachrichtigung der Betroffenen abdecken.

Zutrittskontrollsysteme sind häufig mit Brandschutz‑ und Einbruchmeldeanlagen sowie mit der Gebäudeautomation verknüpft. Fehler in diesen Schnittstellen können zu Sicherheitsrisiken führen. Das BSI weist darauf hin, dass eine Kompromittierung der Schnittstellen zu Gefahr für Leib und Leben sowie zu Gesetzesverstößen führen kann. Versicherungen müssen daher auch Schäden durch fehlerhafte Schnittstellen abdecken. Die Ausschreibung sollte fordern, dass die Dienstleister nur zertifizierte Systeme verwenden, regelmäßig Wartungen durchführen und die Schnittstellen nachweislich testen. Ferner müssen sie nachweisen, dass sie für den Fall von Systemausfällen einen Notfallplan mit Ersatzverfahren (z. B. manuelle Zugangskontrolle) vorbereitet haben.

Bei Angebotsabgabe muss jeder Bieter eine rechtsverbindliche Erklärung abgeben, in der er bestätigt, über die geforderten Versicherungen zu verfügen und diese während der gesamten Vertragslaufzeit aufrechtzuerhalten.

• Verpflichtung zur fortlaufenden Versicherungsdeckung: Der Bieter verpflichtet sich, die im Leistungsverzeichnis genannten Policen (Betriebshaftpflicht, Berufshaftpflicht, Arbeitgeberhaftpflicht, Cyber‑Versicherung für Zutrittskontrollsysteme) während der gesamten Vertragslaufzeit unverändert zu halten und dem Auftraggeber jede Änderung rechtzeitig mitzuteilen.

• Mitteilungspflichten: Der Bieter erklärt, den Auftraggeber unverzüglich zu informieren, wenn Versicherungsbedingungen, Deckungssummen, Versicherer oder Laufzeiten geändert werden. Er verpflichtet sich, neue Versicherungsbestätigungen spätestens einen Monat vor Ablauf der laufenden Versicherung vorzulegen.

• Deckung für Subunternehmer: Der Bieter stellt sicher, dass alle von ihm beauftragten Subunternehmer in den Versicherungsschutz einbezogen sind oder über eine gleichwertige Versicherung verfügen. Er bestätigt, bei Bedarf entsprechende Nachweise zu erbringen.

• Verantwortung für Datenschutz und Zutrittskontrolle: Im Bereich digitaler Zutrittskontrollsysteme sichert der Bieter zu, alle Anforderungen der DSGVO und des BDSG einzuhalten, geeignete technische und organisatorische Maßnahmen zu implementieren und eine Cyber‑Versicherung zu unterhalten, die auch Datenschutzverletzungen abdeckt.

• Hinweis auf unbegrenzte Haftung: Es ist klarzustellen, dass der Abschluss der Versicherung die Haftung des Auftragnehmers gegenüber dem Auftraggeber nicht einschränkt. Die Versicherungen dienen der finanziellen Absicherung, entbinden aber nicht von der gesetzlichen und vertraglichen Verantwortung.

Eine solche Erklärung ist vom vertretungsberechtigten Organ des Bieters zu unterschreiben. Sie wird Bestandteil der Vergabeunterlagen und kann im Falle falscher Angaben zu Schadenersatzansprüchen und zum Ausschluss aus dem Verfahren führen.

Die Ausschreibung technischer Facility‑Management‑Leistungen für Industriegebäude erfordert einen strukturierten Umgang mit Versicherungsnachweisen. Auftraggeber sollten in den Vergabeunterlagen detaillierte Anforderungen an den Versicherungsschutz festlegen, die Risikobereiche definieren und Deckungssummen angeben. Die rechtliche Grundlage findet sich im BGB, im VVG sowie im Vergaberecht (GWB/VgV). Insbesondere § 45 VgV ermöglicht es, den Nachweis einer Betriebshaftpflichtversicherung zu verlangen. Eine Orientierungshilfe für Deckungssummen bieten branchenspezifische Vertragsmuster.

Bieter sind verpflichtet, vollständige, aktuelle und aussagekräftige Versicherungszertifikate einzureichen, die sämtliche geforderten Risiken abdecken. Sie müssen während der gesamten Vertragslaufzeit für kontinuierlichen Versicherungsschutz sorgen und Änderungen unverzüglich mitteilen. Eine sorgfältige Dokumentation und regelmäßige Aktualisierung der Unterlagen sind unerlässlich; fehlende Dokumentation kann zu Verzögerungen und Gefährdungen führen. Zudem sollten Bieter Cyber‑Risiken und Datenschutzpflichten bei Zutrittskontrollsystemen berücksichtigen und entsprechende Versicherungen abschließen.

Auftraggeber wiederum haben sicherzustellen, dass sie die Unterlagen prüfen, die Echtheit verifizieren und bei Unvollständigkeit angemessene Nachfristen setzen. Sie sollten vertraglich verankern, dass Versicherungsnachweise regelmäßig erneuert werden müssen und dass Verstöße sanktioniert werden. Nur durch eine klare Regelung der Versicherungsanforderungen und der Dokumentationspflichten kann ein sicherer und rechtskonformer Betrieb der technischen Anlagen gewährleistet werden.