Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

Compliance Management: Betreiberpflichten, Auditstruktur, Nachweisführung

Technisches Facility Management: TFM » Konzept » Anhänge zum Betriebskonzept TTS im TFM » Compliance Management: Betreiberpflichten, Auditstruktur, Nachweisführung

Compliance Management Betreiberpflichten Auditstruktur und Nachweisführung im technischen Facility Management

Compliance-Management

Hiermit wird die Compliance-Struktur für den im TTS-Leistungsumfang enthaltenen technischen Betrieb festgelegt. Die Ausführungen regeln die Zuordnung delegierbarer Betreiberpflichten, die auditierbare Nachweisführung, die Prüf- und Eskalationslogik, die Anforderungen an Dienstleister sowie die digitale Dokumentation und Steuerung über CAFM- und Dokumentensysteme.

Compliance und Betreiberpflichten im Betrieb

Ziel und Anwendungsbereich

Das Compliance Management umfasst sämtliche organisatorischen, technischen und dokumentarischen Festlegungen, die erforderlich sind, um die dem Betreiber obliegenden Anforderungen im laufenden Betrieb wirksam zu steuern, fristgerecht umzusetzen und revisionsfähig nachzuweisen. Erfasst werden insbesondere Gefährdungsbeurteilungen, Unterweisungs- und Beauftragungsnachweise, Betreiber- und Prüfpflichten, wiederkehrende Prüfungen, Freigaben, Mängel- und Maßnahmensteuerung, Fremdfirmenkoordination, Ereignis- und Unfallmeldungen, Auditierungen sowie die digitale Vorhaltung der zugehörigen Nachweisdokumente. Maßgebliche Vollzugshilfen für die auszuschreibende Struktur ergeben sich aus den einschlägigen Rechtsquellen und Veröffentlichungen der Bundesanstalt für Arbeitsschutz und Arbeitsmedizin, der Deutsche Gesetzliche Unfallversicherung und des Bundesamt für Sicherheit in der Informationstechnik.

Der Anwendungsbereich erstreckt sich auf alle Anlagen, Flächen, technischen Einrichtungen, Medienversorgungen, Sonderbereiche und Schnittstellen, die in den TTS-Leistungsumfang einbezogen werden. Erfasst sind zudem alle ausgelagerten oder nachunternehmerisch erbrachten Tätigkeiten, soweit diese sicherheits-, prüf-, freigabe-, dokumentations- oder betriebsrelevante Auswirkungen entfalten. Die Compliance-Steuerung ist dabei nicht auf Arbeitsschutz im engeren Sinn beschränkt, sondern umfasst die vollständige Pflichtenwahrnehmung für sicheren Anlagenbetrieb, Instandhaltung, Prüfung, Nachweisführung, Ereignisbehandlung, Fremdfirmenkoordination und digitale Integrität der Betriebsdokumentation.

Die Schnittstelle zur technischen Betriebsführung ist so auszugestalten, dass Compliance-Anforderungen nicht parallel, sondern integriert in Service Desk, Betriebsführung, Instandhaltung, ProVI, Freigabeprozesse, Change Management, Dokumentationslenkung und Berichtswesen geführt werden. Betreiberpflichten, Prüffälligkeiten, Maßnahmenfristen und Eskalationen sind daher nicht in isolierten Einzellisten, sondern in einer einheitlichen Führungslogik mit eindeutiger Rollen- und Systemzuordnung abzubilden.

Rollen und Verantwortlichkeiten

Die Letztverantwortung für die wirksame Organisation des Arbeitsschutzes und der Betreiberpflichten verbleibt beim Auftraggeber. Delegierbar sind definierte Vollzugs-, Koordinations- und Nachweisaufgaben; nicht delegierbar bleiben Organisationsverantwortung, Auswahl- und Überwachungspflicht, Freigabe von Ausnahmen, Entscheidung über Restrisiken, Eskalation bei wesentlichen Abweichungen und die Wirksamkeitskontrolle der getroffenen Maßnahmen. Verantwortliche Personen sind schriftlich zu benennen; bei Aufgabenübertragung ist die Befähigung der eingesetzten Personen zu berücksichtigen. Schriftliche Pflichtenübertragungen müssen Verantwortungsbereich und Befugnisse klar festlegen.

Die Arbeitsschutzorganisation ist mit benannten Betriebsärzten und Fachkräften für Arbeitssicherheit zu hinterlegen; Sicherheitsbeauftragte sind in erforderlicher Anzahl zu bestellen und in die Betriebsbesichtigungen, Unfalluntersuchungen und Maßnahmenverfolgung einzubinden. Für prüfpflichtige Arbeitsmittel und Anlagenteile sind befähigte Personen einzusetzen; für elektrische Anlagen und Betriebsmittel sind Elektrofachkräfte oder Personen unter deren Leitung und Aufsicht vorzusehen. Für Tätigkeiten mehrerer Unternehmen auf einem Arbeitsplatz ist eine koordinierende Person mit klaren Abstimmungs- und, bei besonderen Gefahren, Weisungsbefugnissen festzulegen.

Rolle

Federführende Verantwortung

Verbindliche Nachweise

Auftraggeber / retained organisation

Organisationsverantwortung, Freigabe von Ausnahmen, Risikoentscheidungen, Audit- und Eskalationshoheit

Organigramm, Benennung, Freigabematrix, Eskalationsmatrix

Technische Betriebsführung

operative Umsetzung des Compliance-Regimes im Tagesgeschäft, Fristensteuerung, Maßnahmenverfolgung

Verantwortungsmatrix, Monatsreport, Maßnahmenstatus

HSE-/Arbeitsschutzfunktion

fachliche Prüfung von Gefährdungsbeurteilungen, Unterweisungen, Kontroll- und Präventionsmaßnahmen

Stellungnahmen, Begehungsprotokolle, Unterweisungsstatus

CAFM-/Dokumentationsverantwortung

Datenqualität, Dokumentenlenkung, Revisionsstände, Audit-Trail

Datenmodell, Rechtematrix, Versions- und Löschprotokolle

Auftragnehmerische Objektleitung

operative Pflichterfüllung, Nachunternehmersteuerung, Sofortmaßnahmen, Berichtspflichten

Benennungsnachweise, Tages- und Monatsberichte, Eskalationsprotokolle

Befähigte Personen / Fachverantwortliche

anlagen- und gewerkespezifische Prüfungen, fachliche Bewertungen, Freigabeempfehlungen

Befähigungsnachweise, Prüfberichte, Prüfbücher

Koordinierende Person Fremdfirmen

Abstimmung konkurrierender Tätigkeiten, Schutzmaßnahmen, Einweisung und Aufsicht bei besonderen Gefahren

Koordinationsprotokolle, Einweisungsnachweise, Freigabescheine

Die Matrix verdichtet die gesetzlichen Anforderungen an schriftliche Pflichtenübertragung, Auswahl befähigter Personen, sicherheitstechnische Betreuung, gesetzliche Prüfzuständigkeiten und Fremdfirmenkoordination in eine ausschreibungstaugliche Rollenlogik.

Compliance-Anforderungen

Betreiberpflichten. Das Compliance-Regime ist auf einem objektspezifischen Rechts- und Pflichtenkataster aufzubauen. Dieses Kataster hat sämtliche relevanten Rechtspflichten, behördlichen Auflagen, Prüffristen, Betriebs- und Freigabevorgaben, internen Regelungen, Versichereranforderungen und herstellerbedingten Nutzungsbedingungen in prüffähiger Form abzubilden und den betroffenen Anlagen, Bereichen und Rollen eindeutig zuzuordnen. Darauf aufbauend sind Gefährdungsbeurteilungen zu erstellen und fortzuschreiben, Schutzmaßnahmen festzulegen, Beschäftigte zu unterweisen, schriftliche Beauftragungen zu führen, sichere Instandhaltung zu gewährleisten, Prüfungen festzulegen und durchzuführen sowie Abweichungen und Mängel unverzüglich zu bewerten. Werden Mängel festgestellt, durch die nicht anders abzuwendende Gefahren entstehen, ist die weitere Nutzung zu unterbinden oder der betroffene Ablauf bis zur Mangelbeseitigung zu unterbrechen.

Nachweise. Sämtliche Pflichterfüllungen sind digital, objektbezogen und fortschreibbar nachzuweisen. Erforderlich sind mindestens Nachweise über Gefährdungsbeurteilungen, Unterweisungen, Beauftragungen, Prüfungen, Freigaben, Mängelbewertungen, Sofortmaßnahmen, Ereignisse, Unfallmeldungen, Auditfeststellungen, Korrekturmaßnahmen sowie die Vollständigkeit der technischen Dokumentation. Unterweisungen sind vor erstmaliger Verwendung von Arbeitsmitteln und wiederkehrend, mindestens jährlich, zu dokumentieren. Erste-Hilfe-Leistungen sind aufzuzeichnen; meldepflichtige Arbeitsunfälle sind fristgerecht dem Unfallversicherungsträger anzuzeigen, schwere Ereignisse unverzüglich zu melden.

Nachweisdokument

Führende Rolle

Mindestprüfung / Fortschreibung

Rechts- und Pflichtenkataster

Auftraggeber / technische Betriebsführung

laufend, mit formaler Monatsprüfung

Gefährdungsbeurteilungen

HSE / verantwortliche Führungskraft

anlassbezogen und bei Änderungen

Schriftliche Pflichtenübertragungen

Auftraggeber

vor Leistungsaufnahme, danach bei jeder Rollenänderung

Unterweisungs- und Beauftragungsnachweise

Auftragnehmer / HSE

vor Tätigkeitsaufnahme, danach mindestens jährlich

Prüfberichte / Prüfbücher / Bescheinigungen

befähigte Person / Fachverantwortliche

gemäß Prüffrist bzw. Prüfanlass

Arbeitsfreigaben / Permit-to-work

verantwortliche Freigabestelle

je Vorgang, vor Arbeitsbeginn

Mängel- und Maßnahmenregister

technische Betriebsführung

fortlaufend bis Abstellung und Wirksamkeitsnachweis

Unfall- und Ereignisdokumentation

HSE / Objektleitung

unverzüglich nach Ereignis, Abschluss nach Ursachenanalyse

Auditberichte / CAPA-Register

Auditverantwortliche Stelle

je Audit, bis vollständige Maßnahmenschließung

Revisions- und Änderungsnachweise

CAFM-/Dokumentationsverantwortung

unmittelbar nach Freigabe und Umsetzung

Die Tabelle beschreibt den verbindlichen Mindestbestand der Nachweisdokumente. Gesetzlich kürzere Prüffristen, anlagenspezifische Sondernachweise und behördlich abweichende Dokumentationsanforderungen gehen vor.

Audit- und Prüfstruktur

Das Auditmodell ist als risikobasiertes, dokumentiertes System aus internen und externen Prüfungen auszugestalten. Interne Audits haben einen System- und einen Complianceteil zu umfassen und insbesondere die Eignung von Politik und Zielen, den Aufbau der Verfahren, die Einhaltung rechtlicher Verpflichtungen sowie die praktische Umsetzung im Betrieb zu bewerten. Abweichungen sind nicht nur festzustellen, sondern ursachenbezogen zu analysieren, in Korrektur- und Vorbeugungsmaßnahmen zu überführen, mit Frist und Verantwortlichem zu versehen und einer Wirksamkeitsprüfung zu unterziehen.

Das Prüfregime für Anlagen und Arbeitsmittel ist davon getrennt, aber mit dem Auditregime zu verknüpfen. Für Arbeitsmittel und Anlagen sind Art, Umfang und Fristen der Prüfungen aus Gefährdungsbeurteilung und Spezialregelwerk abzuleiten; für wiederkehrende Prüfungen sind die Fristen so zu bemessen, dass entstehende Mängel rechtzeitig festgestellt werden. Prüfungen dürfen nur durch befähigte Personen erfolgen; elektrische Anlagen und Betriebsmittel sind vor erster Inbetriebnahme, nach Änderung oder Instandsetzung sowie in bestimmten Zeitabständen zu prüfen. Gesetzliche und anlagenbezogene Pflichtprüfungen bleiben immer vorrangig gegenüber den nachfolgend festgelegten Governance-Zyklen.

Prüf- oder Auditformat

Mindestintervall

Schwerpunkt

Schicht- bzw. tagesbezogene Compliance-Kontrolle in kritischen Bereichen

je Schicht oder täglich

Freigaben, Sperrungen, erkennbare Mängel, sichere Betriebszustände

Monatliche Betreiber-Compliance-Prüfung

monatlich

Fristenstatus, Nachweisvollständigkeit, Unterweisungen, offene Mängel

Interne Compliance-Audits

quartalsweise

Prozesskonformität, Stichproben im Feld, CAPA-Status

Management-Review Compliance

halbjährlich

Eskalationen, Wiederholabweichungen, Ressourcen- und Freigabeentscheidungen

Externes Audit / Auftraggeberaudit

jährlich

Systemwirksamkeit, Rechtskonformität, Dienstleistersteuerung

Sonderaudit

anlassbezogen

schweres Ereignis, erheblicher Verzug, wesentliche System- oder Organisationsänderung

Anlagen- und arbeitsmittelbezogene Pflichtprüfungen

gemäß Rechtskataster / Prüffristen

gesetzliche, behördliche und herstellerbezogene Einzelpflichten

Die Tabelle definiert vertragliche Mindestzyklen für Eigenkontrolle, Auditierung und Managementbewertung. Sie ersetzt weder gesetzliche Prüffristen noch anlagenspezifische Sonderregelungen; kürzere Pflichten aus BetrSichV, DGUV-Regelwerk oder behördlichen Bescheiden gelten vorrangig.

Bescheide gelten vorrangig bei Betreiberpflichten und Compliance im TFM

Der Audit-Zyklus ist als geschlossener Regelkreis zu führen. Für cyberrelevante sicherheitsbezogene MSR-Einrichtungen ist zusätzlich ein regelmäßiges Audit zur Wirksamkeit der Cybersicherheitsmaßnahmen vorzusehen.

Jede unmittelbare erhebliche Gefahr, jeder Defekt an Schutzvorrichtungen oder Schutzsystemen,

  • jede Fristüberschreitung bei Pflichtprüfungen,

  • jeder schwerwiegende Dokumentationsmangel und

  • jedes Ereignis mit Personen-, Anlagen-, Medien- oder Brandrisiko

ist unverzüglich zu melden. Der Arbeitgeber hat Notfallmaßnahmen zu planen, Beschäftigte für Erste Hilfe, Brandbekämpfung und Evakuierung zu benennen und sicherzustellen, dass nach Unfällen unverzüglich Hilfe geleistet wird. Tödliche Unfälle, Massenunfälle und Unfälle mit schwerwiegenden Gesundheitsschäden sind sofort dem Unfallversicherungsträger zu melden; Arbeitsunfälle mit mehr als drei Kalendertagen Arbeitsunfähigkeit sind anzeigepflichtig.

    • Melde- und Eskalationsprozesse im Compliance Management und Betreiberpflichten
    • Melde- und Eskalationsprozesse zur Nachweisführung und Betreiberverantwortung im TFM

Die Eskalationslogik ist mindestens in operative, fachliche, Management- und externe Eskalation zu gliedern. Bei nicht anders beherrschbaren Gefährdungen ist die Nutzung der betroffenen Anlage oder Einrichtung zu entziehen, der Ablauf zu unterbrechen oder die Anlage stillzulegen, bis der Mangel beseitigt ist; für elektrische Anlagen gilt dies gleichermaßen bei dringender Gefahr nach Feststellung eines Mangels. Alle Eskalationen sind mit Zeitstempel, Meldeweg, Verantwortlichem, Entscheidung, Maßnahmenstatus und Abschlussvermerk zu protokollieren.

Anforderungen an Dienstleister

Dienstleister dürfen nur eingesetzt werden, wenn ihre Fachkunde, personelle Eignung, Organisationsfähigkeit und Nachweisstruktur für die geplanten Arbeiten ausreichen. Der Auftraggeber darf für Arbeiten in seinem Betrieb nur solche Auftragnehmer heranziehen, die über die erforderliche Fachkunde verfügen; zugleich sind die Auftragnehmer über Gefährdungen aus Arbeitsmitteln, Umgebung und Wechselwirkungen mit anderen Tätigkeiten zu informieren. Werden Beschäftigte mehrerer Unternehmen an einem Arbeitsplatz tätig, sind die Arbeiten abzustimmen und, soweit erforderlich, eine koordinierende Person mit klaren Arbeitsschutzbefugnissen zu benennen. Für die Vergabe von Werk- und Dienstverträgen empfiehlt die DGUV ausdrücklich ein standardisiertes Verfahren zur Bewertung der Arbeitsschutzleistung potenzieller Auftragnehmer.

Nachweis des Dienstleisters

Im Vergabeverfahren

Vor Betriebsaufnahme

Laufend während der Vertragslaufzeit

Organigramm und Schlüsselrollen

vorzulegen

namentlich zu bestätigen

bei Änderungen fortzuschreiben

Fachkundenachweise der verantwortlichen Personen

vorzulegen

personenbezogen nachzuweisen

aktuell zu halten

Nachweise befähigter Personen für vorgeschriebene Prüfungen

vorzulegen, soweit einschlägig

vollständig vorzuhalten

vor jeder relevanten Beauftragung zu verifizieren

Nachweise für Elektrofachkräfte / Schaltberechtigte

vorzulegen, soweit einschlägig

vollständig vorzuhalten

aktuell zu halten

Unterweisungs- und Beauftragungsnachweise

Systembeschreibung vorzulegen

personenbezogen vorzulegen

mindestens jährlich bzw. anlassbezogen fortzuführen

Nachunternehmerregister mit Freigabestatus

vorzulegen

freigegeben zu führen

fortlaufend zu aktualisieren

HSE- und Notfallkontakte

grundsätzlich vorzulegen

24/7-Erreichbarkeit sicherzustellen

versionsgeführt nachzuhalten

Gewerkspezifische gesetzlich erforderliche Zertifikate

anzugeben

aktuell vorzulegen

vor Ablauf zu erneuern

Die vorstehende Nachweisstruktur ist als Mindeststandard für Präqualifikation, Mobilisierung und laufende Vertragserfüllung zu verstehen. Zertifizierungen oder Managementsysteme können unterstützend berücksichtigt werden, ersetzen aber weder gesetzlich erforderliche Fachkunde noch die personenbezogenen Befähigungs- und Beauftragungsnachweise.

Steuerung, Nachweis und Abweichungsbehandlung

Reporting und KPI-Anforderungen. Das Reporting ist monatlich, quartalsweise und anlassbezogen aufzubauen. Monatlich sind mindestens der Status aller fälligen und überfälligen Pflichtprüfungen, die Vollständigkeit der Nachweisdokumente, der Stand der Unterweisungen und Beauftragungen, offene Mängel nach Priorität, offene Auditfeststellungen, laufende Risikoakzeptanzen, die Vollständigkeit der Dienstleisterunterlagen sowie alle Eskalationen der höchsten Stufe zu berichten. Quartalsweise sind Trendberichte zur Fristentreue, Wiederholfehlerquote, CAPA-Schließungsquote, Auditwirksamkeit und Datenqualität vorzulegen. KPI-seitig sind insbesondere die Quote fristgerecht durchgeführter Pflichtprüfungen, die Quote fristgerecht geschlossener kritischer Mängel, die Vollständigkeit des Nachweisbestands, der Anteil gültiger Unterweisungs- und Beauftragungsnachweise, der Anteil vollständiger Dienstleisterdokumente und die Anzahl überfälliger Auditmaßnahmen zu steuern.

IT- und Dokumentationsanforderungen. CAFM oder ein gleichwertiges führendes System ist als System of Record für Pflichten-, Fristen-, Nachweis- und Maßnahmensteuerung vorzusehen. Alle Gebäudeeinrichtungen der TGA einschließlich Gebäudeautomation sind vollständig zu dokumentieren; die Dokumentation hat sämtliche für Nutzung, Betrieb und Instandhaltung erforderlichen Informationen zusammenzuführen. Protokollierung ist mindestens auf Komponenten-, Management- und zentraler Ebene vorzusehen. Für sicherheitsrelevante MSR-Einrichtungen sind Cybersicherheitsmaßnahmen, Remote-Zugriffe, Änderungen und Wirksamkeitsprüfungen gesondert zu steuern; Fernzugriffe sind wegen des hohen Risikos technisch zu unterbinden oder nur mit besonderen Sicherungsmaßnahmen und zwingender Freigabe des Arbeitgebers zuzulassen. Änderungen an Cybersicherheitsmaßnahmen sind zu dokumentieren; bei eingeführtem Management der Cybersicherheit ist regelmäßig ein Audit zum Wirksamkeitsnachweis durchzuführen.

Maßnahmen bei Verstößen. Verstöße gegen Compliance-Anforderungen sind nach Schwere, Wiederholung und Gefährdungspotenzial zu klassifizieren. Mindestfolgen sind Sofortmaßnahme und Sicherung, formale Erfassung im Maßnahmenregister, Fristsetzung, Ursachenanalyse, Wirksamkeitsprüfung und Managemententscheidung über weitere Schritte. Bei erheblichen Verstößen sind Arbeitsfreigaben zu entziehen, Tätigkeiten auszusetzen, Personal auszutauschen, Sonderaudits auszurufen oder Leistungen bis zur Wiederherstellung der Konformität zu sperren. Unberührt bleiben behördliche Anordnungen sowie Ordnungswidrigkeiten- und Straftatbestände nach Arbeitsschutz- und Betriebssicherheitsrecht; bei gefährdenden Mängeln ist die weitere Nutzung der betroffenen Arbeitsmittel oder Anlagen bis zur Abstellung zu untersagen.

Angaben, die im Zuge der Ausschreibung noch zu präzisieren sind:

  • der endgültige Geltungsbereich des Rechts- und Pflichtenregisters je Gebäude, Anlage, Gewerk und Sonderbereich,

  • die vollständige Liste objektspezifischer Spezialmaterien und behördlicher Auflagen,

  • die namentliche Besetzung der entsprechenden Funktionen und Freigaberollen,

  • die detaillierte Eskalationsmatrix einschließlich Meldewegen zu Behörden und Unfallversicherungsträgern,

  • die endgültigen Audit- und Reviewkalender,

  • die Zielwerte und Grenzwerte des KPI-Sets,

  • die exakten Formate der Pflichtnachweise,

  • die Systemarchitektur von CAFM, DMS und ggf. Service Desk einschließlich Schnittstellen und Rechten,

  • die gewerkespezifisch geforderten Fachkunden und Zertifikate,

  • die Definition kritischer Mangelklassen mit Reaktions- und Abstellfristen,

  • die vertraglichen Sanktionen bei Pflichtverletzungen,

  • die Aufbewahrungsfristen über gesetzliche Mindestfristen hinaus sowie

  • die Abgrenzung zu produktionsseitigen, OEM-gebundenen oder anderweitig ausgenommenen Verantwortungsbereichen.