Dokumentationsstruktur: Revisionssichere Dokumentation und Nachweise

Die Dokumentationsstruktur wird als zentrale, gelenkte Dokumentenumgebung mit DMS/ECM-Archiv eingerichtet. Lokale Laufwerke, E-Mail-Postfächer, projektbezogene Schattenablagen oder produktionsnahe Einzelverzeichnisse gelten nicht als führende Ablage. Für jede Informationsklasse ist genau ein führendes System festgelegt. Freigegebene Dokumente, Nachweise, Revisionsstände, archivierte Vorgängerversionen, Auditprotokolle und Übergabepakete werden im DMS/ECM geführt. CAFM führt die Kontextstammdaten zu Standort, Gebäude, Ebene, Raum, Fläche, Asset, Gewerk, Kritikalität, Vorgang, Freigabe- und Maßnahmenbezug. ERP führt kaufmännische Belege, Verträge, Bestellungen, Rechnungen und Kreditorenbezüge. GLT und Monitoring führen Echtzeit- und Zeitreihendaten; freigabepflichtige Punktelisten, Sicherungssätze, Parametrierlisten, Alarmexporte, Trendauszüge und evidenzrelevante Snapshot-Dateien werden in der Dokumentenumgebung mit eindeutiger Referenz auf das Ursprungssystem abgelegt. Damit wird eine Schattenstammdatenhaltung ausgeschlossen und je Datenklasse ein eindeutiges System-of-Record festgelegt.

Die Dokumentenklassifikation unterscheidet lenkungspflichtige Dokumente, Nachweisdokumente, transaktions- und handelsrechtlich relevante Dokumente, Referenzdokumente, temporäre Arbeitsunterlagen und Systemprotokolle. Lenkungspflichtig sind insbesondere Betreiber- und Governance-Dokumente, Prozess- und Arbeitsanweisungen, Betriebsanweisungen, Revisionsunterlagen, Freigabedokumente, Notfallunterlagen, Kalibrier- und Prüfgrundlagen, GA-/GLT-Punktelisten, Schalt- und Fahrschemata sowie versionsrelevante Vertrags- und Schnittstellendokumente. Nachweisdokumente sind insbesondere Prüfberichte, Wartungs- und Instandsetzungsnachweise, Gefährdungsbeurteilungen, Unterweisungsnachweise, Permit-to-work-Dokumente, Havarie- und Incident-Berichte, Auditberichte und Maßnahmennachweise. Transaktionsrelevante Dokumente umfassen Verträge, Nachträge, Bestellungen, Rechnungen, Lieferscheine und vertragsbezogene Korrespondenz. Referenzdokumente umfassen OEM-Handbücher, Datenblätter und Herstellerinformationen. Temporäre Arbeitsunterlagen dürfen erzeugt werden, verlieren jedoch mit Freigabe des Enddokuments ihren Führungsstatus und werden entweder in eine freigegebene Version überführt oder fristgerecht gelöscht. Freigegebene und archivierte Dokumente dürfen nicht überschrieben werden; Änderungen erfolgen ausschließlich über neue Revisionen mit dokumentiertem Änderungsgrund. Die Ordnungsvorschriften verlangen nachvollziehbare, vollständige, richtige, zeitgerechte, geordnete und unveränderbare Aufzeichnungen; die GoBD verlangen darüber hinaus eine verständliche Verfahrensdokumentation mit historisch nachvollziehbarer Änderungshistorie.

Die Ablagestruktur wird hierarchisch und konsistent zur Objekt- und Anlagenstruktur aufgebaut. Die erste Ebene gliedert die Dokumentenumgebung in Governance, Standorte, Prozesse, Betreiberpflichten/HSE, Prüfungen, Instandhaltung, Störungen/Notfälle, Energie/Medien, Projekte/Changes, Kaufmännisch und Archiv. Innerhalb der standortbezogenen Bereiche erfolgt die Ablage entlang der Kette Standort, Gebäude, Ebene oder Bereich, Raum oder Fläche, Gewerk oder Anlagengruppe, Asset-ID, Dokumenttyp. Für flächen- oder anlagenübergreifende Dokumente wird auf Prozess-, Gewerk- oder Governance-Ebene abgelegt; dennoch bleibt die Verknüpfung zu allen betroffenen Assets, Räumen und Prozessen als Metadatum verpflichtend. Für Revisionsunterlagen, Prüfungen und Betriebsanweisungen kritischer Systeme ist die zusätzliche Kennzeichnung von Kritikalitätsklasse, Sicherheitsbezug und Freigabestufe verpflichtend. Die Dokumentationslogik folgt damit dem Betriebsprinzip, dass die Dokumentation alle Informationen umfasst, die zur Nutzung, zum Betrieb und zur Instandhaltung erforderlich sind.

Für jedes lenkungspflichtige Dokument sind Pflichtmetadaten zu führen. Mindestumfang sind Dokument-ID, Dokumenttyp, Dokumentklasse, Titel, Kurzbeschreibung, Standort-ID, Gebäude-ID, Ebene/Bereich, Raum-/Flächen-ID, Asset-/AKS-ID, Gewerk, Kritikalitätsklasse, Prozessbezug, Sicherheitsbezug, Schutzklasse, Version, Status, Erstellungsdatum, Gültig-ab-Datum, Gültig-bis-Datum, Autor, fachlicher Prüfer, Freigeber, Dokumenteneigner, Aufbewahrungsklasse, Archivierungsdatum, führendes Ursprungssystem, Dateiformat, Prüfsumme des Archivobjekts sowie Verweise auf verknüpfte Vorgänge, Prüfungen, Aufträge, Verträge, Maßnahmen und Nachfolgedokumente. Ein Dokument ohne vollständige Pflichtmetadaten erhält keinen Freigabestatus. Die Metadatenschemata werden zentral versioniert; Änderungen am Metadatenmodell selbst sind dokumentations- und freigabepflichtig. Die GoBD verlangen eine Verfahrensdokumentation, die Indizierung, Verarbeitung, Speicherung, eindeutiges Wiederfinden, maschinelle Auswertbarkeit, Sicherung gegen Verlust und Verfälschung sowie Reproduktion abbildet; daraus folgt die Verpflichtung, Metadaten nicht fakultativ, sondern als festen Bestandteil der Dokumentenlenkung zu führen.

Die Versions- und Freigabelogik wird systemgestützt betrieben. Der Statusfluss lautet Entwurf, formell geprüft, fachlich geprüft, freigegeben, in Kraft, außer Kraft, ersetzt, archiviert oder gesperrt. Für lenkungspflichtige Dokumente darf je Geltungsbereich nur eine Version den Status „in Kraft“ tragen. Revisionssprünge werden als Hauptrevision bei fachlich oder betrieblich wirksamen Änderungen und als Nebenversion bei rein formalen Änderungen ohne inhaltliche Wirkung geführt. Jede neue Revision erhält Änderungsgrund, Auslöser, Betroffene Objekte, Freigabedatum, Freigeber und Wirksamkeitsdatum. Alte Revisionen werden mit Archivstatus unveränderbar gespeichert, bleiben recherchierbar und sind gegen Wiedereinspielung in den Regelbetrieb gesperrt. Für sicherheits-, prüf-, vertrags-, behörden-, HSE-, GLT-/GA- und kritikalitätsrelevante Dokumente ist die Freigabe durch eine benannte Auftraggeberrolle obligatorisch. Für Dokumente mit rein operativem Charakter kann die Fachfreigabe durch den Auftragnehmer innerhalb definierter Grenzen erfolgen; eine automatische In-Kraft-Setzung ohne Freigabeschritt ist ausgeschlossen. Änderungen der Verfahrensdokumentation müssen historisch nachvollziehbar sein; dem wird durch versionierte Dokumente mit nachvollziehbarer Änderungshistorie entsprochen.

Das Zugriffs- und Berechtigungskonzept ist rollenbasiert und personenbezogen umzusetzen. Rollen sind mindestens Dokumenteneigner, Dokumentationsmanager, Fachautor, formeller Prüfer, fachlicher Prüfer, Freigeber, Auditor, Leser, Systemadministrator, Archivadministrator und externer Dienstleister. Erstellung, Prüfung, Freigabe, Administration und Löschung werden personell getrennt; Administratoren erhalten keinen fachlichen Freigabestatus, Freigeber keine Systemadministrationsrechte. Externe Dienstleister erhalten ausschließlich den für ihren Leistungsumfang erforderlichen Zugriff auf definierte Dokumentenzonen. Für HSE-, Personal-, Sicherheits-, Vertrags- und kaufmännische Dokumente gilt zusätzlich eine Schutzklassentrennung. Fernzugriffe, privilegierte Konten, Rechteänderungen und Archivierungs-/Löschvorgänge sind protokollpflichtig. Gemeinsame Benutzerkonten sind nur für technische Schnittstellen zulässig und müssen einem verantwortlichen Systemkonto zugeordnet werden. Für personenbezogene Daten ist ein dem Risiko angemessenes Schutzniveau durch technische und organisatorische Maßnahmen sicherzustellen; für sicherheitsrelevante MSR-Einrichtungen nennt die TRBS 1115 ausdrücklich Zugangs- und Zugriffskontrolle, Härtung, Überwachung und das Prinzip der minimalen Rechte.

Die revisionssichere Archivierung wird als eigener Lifecycle-Schritt geführt. Archivobjekte werden im Freigabemoment oder bei Außerkraftsetzung in ein unveränderbares Archiv überführt. Das Archiv speichert die Originaldatei, das Archivformat, die Pflichtmetadaten, die Versionshistorie, das Freigabeprotokoll, die Prüfsumme und den Verknüpfungsindex zum führenden Objekt- und Assetkontext. Löschen im Archiv ist innerhalb laufender Aufbewahrungsfristen unzulässig. Nach Fristablauf erfolgt keine automatische physische Löschung; zuerst ist ein Lösch- oder Vernichtungsworkflow mit Legal-Hold-Prüfung, Freigabe und Löschprotokoll durchzuführen. BSI beschreibt Archivierung als langfristige, sichere, unveränderbare und reproduzierbare Aufbewahrung digitaler Dokumente; für die Protokollierung sicherheitsrelevanter Ereignisse verlangt das BSI eine definierte Speicherfrist.

Die Aufbewahrungsfristen werden über Aufbewahrungsklassen gesteuert. Für buchführungs- und steuerrelevante Unterlagen gelten die Mindestfristen des AO-/HGB-Regimes; diese Unterlagen müssen während der Frist jederzeit verfügbar, unverzüglich lesbar und maschinell auswertbar sein. Für arbeitsschutz- und betriebssicherheitsrechtliche Nachweise gelten die jeweiligen Sonderregeln. Prüfaufzeichnungen nach § 14 BetrSichV müssen mindestens Art der Prüfung, Prüfumfang, Ergebnis und die prüfende Person enthalten; Prüfbescheinigungen überwachungsbedürftiger Anlagen sind während der gesamten Verwendungsdauer am Betriebsort aufzubewahren; TRBS 1201 verlangt für bestimmte Prüfaufzeichnungen die Aufbewahrung über die gesamte Verwendungsdauer und bestätigt ausdrücklich die elektronische Dokumentation. Wo keine unmittelbare gesetzliche Frist normiert ist, gelten die in diesem Anhang festgelegten vertraglichen Mindestfristen. Bei Schadensfällen, Behördenverfahren, Audit- oder Gerichtsverfahren, Gewährleistungs- oder Versicherungsfällen wird jede automatische Löschung per Legal Hold ausgesetzt.

Die Nachweisführung wird objekt- und vorgangsbezogen geführt. Jeder Prüfbericht, jede Arbeitskarte, jeder Wartungsnachweis, jede Störungsbearbeitung, jeder Permit-to-work, jede Freigabe, jede Schalthandlung, jede kritische GLT-/GA-Änderung und jede revisionsrelevante Projektänderung ist einem konkreten Standort-, Raum- und Assetbezug sowie einem verantwortlichen Vorgang zugeordnet. Für Prüfaufzeichnungen werden mindestens Prüfung, Prüfumfang, Ergebnis, Datum, Anlass, Prüfer, Qualifikation, nächste Frist und ggf. elektronische Signatur erfasst. Fotos, Videos, Trendexporte, Alarmjournale und Messwertreihen dürfen als Anhang geführt werden, wenn sie mit Dokument-ID, Zeitstempel, Ursprungssystem und Objektbezug verknüpft sind. HSE-Dokumente, Gefährdungsbeurteilungen und Unterweisungsnachweise sind so zu führen, dass der Bezug auf Tätigkeit, Bereich, Datum, Teilnehmer und Freigabestatus jederzeit nachprüfbar ist. ArbSchG verlangt die Dokumentation der Arbeitsschutzmaßnahmen und eine arbeitsplatz- bzw. aufgabenbezogene Unterweisung; BetrSichV und TRBS konkretisieren Inhalt und Aufbewahrung von Prüfaufzeichnungen.

Die Schnittstellen zu CAFM, ERP, GLT und Monitoring werden standardisiert. Vom DMS in das CAFM werden Dokument-ID, Version, Status, Titel, Schutzklasse, Gültigkeit, Asset-/Raumbezug und Linkziel übertragen. Vom CAFM in das DMS werden Arbeitsauftrags-ID, Prozess-ID, Asset-ID, Flächenbezug und Maßnahmenbezug übergeben. Zwischen ERP und DMS werden Vertrags-ID, Bestell-ID, Beleg-ID, Kreditor, Laufzeit und Abrechnungsbezug synchronisiert oder referenziert. Zwischen GLT/Monitoring und DMS werden Revisionsunterlagen, Punktelisten, Parametrierlisten, Backup- und Restore-Dateien, Alarmexporte, Trendauszüge und Incident-Snapshots übergeben. Laufzeitdaten verbleiben grundsätzlich in GLT oder Monitoring; das DMS übernimmt nur freigegebene oder evidenzrelevante Auszüge. Sämtliche Systeme verwenden synchronisierte Zeitquellen. Eine fehlende Zeitsynchronisation erschwert nach BSI die Auswertung erhobener Protokollierungsdaten und kann die Beweissicherung beeinträchtigen.

Für Dateiformate gilt eine zweigleisige Vorgabe aus Arbeitsformat und Archivformat. Freigegebene Text- und Berichtsdokumente werden als PDF/A bereitgestellt, Tabellen zusätzlich im nativen Arbeitsformat und als PDF/A, strukturierte Datenaustausche in CSV UTF‑8, XML oder JSON, CAD-/Modellunterlagen im nativen Quellformat und als neutral lesbare Ausgabe, Bilddokumentationen in PNG oder TIFF für beweisrelevante Ablagen sowie in JPEG für rein operative Fotodokumentation. Scans werden als durchsuchbares PDF/A mit ausreichender Auflösung und vollständigem Seitenbezug abgelegt. Für Archivobjekte mit Beweis- und Revisionswert wird verlustfreie oder verlustarm kontrollierte Kompression verwendet. Elektronisch erzeugte Handels- und Buchungsunterlagen müssen im Rahmen der gesetzlichen Aufbewahrung maschinell auswertbar bleiben; BSI empfiehlt für revisionssichere Archivierung verlustfreie Verfahren.

Der Start-up- und Übergabeprozess umfasst einen Baseline-Dokumentenstand, ein Übergabeverzeichnis, ein Lückenregister, ein Verzeichnis offener Revisionen, ein Register kritischer Dokumente, eine Rechte- und Kontenliste, Export- und Wiederherstellungstests, eine Prüfliste der Schnittstellen und ein vollständiges Mapping zwischen Standort-/Asset-ID und Dokument-ID. Vor Betriebsaufnahme müssen für alle kritischen Anlagen, sicherheitsrelevanten Systeme, Betreiberpflichten, Notfallprozesse und HSE-Prozesse die lenkungspflichtigen Dokumente im Status „freigegeben“ und „in Kraft“ vorliegen. Bei Dienstleisterwechsel oder Projektübergabe sind Dokumente, Metadaten, Versionshistorien, Prüfsummen, Verlinkungsindizes, offenen Changes, Protokolle und Wiederherstellungsinformationen vollständig in einer maschinell verwertbaren Exportstruktur zu übergeben. Die betriebliche Informationslogik der Betriebsphase und die TGA-Dokumentationspflichten sind auch bei Übergängen aufrechtzuerhalten.

Die Verantwortlichkeiten werden verbindlich getrennt. Dokumenteneigner ist der Auftraggeber. Der Auftragnehmer stellt einen Dokumentationsmanager als operative Steuerungsrolle, sorgt für termingerechte Ersterfassung, Pflege, Verlinkung, Vollständigkeitskontrolle und Übergaben und weist je Gewerk Fachautoren und fachliche Prüfer nach. Freigaben von Betreiber-, HSE-, Notfall-, Vertrags-, Rechtskataster-, Prüfgrundlagen- und kritischen Revisionsdokumenten liegen beim Auftraggeber oder einer ausdrücklich benannten retained Rolle. Systemadministration und Archivadministration werden organisatorisch getrennt von fachlicher Prüfung und Freigabe betrieben. Die Vollständigkeit, Aktualität und Verfügbarkeit der TGA-Dokumentation ist laufend sicherzustellen; das BSI fordert hierfür aktuelle und verfügbare Dokumentation für TGM und GA, ISO 41001 verlangt eine FM-Systematik, die die Organisationsziele wirksam und effizient unterstützt.

Für die Spalte „Aufbewahrungsfrist“ gelten, soweit gesetzlich bestimmt, die Mindestfristen aus AO/HGB sowie die Sonderregeln aus ArbSchG, BetrSichV und TRBS 1201; im Übrigen handelt es sich um vertragliche Mindestfristen dieser Ausschreibung. Gesetzlich relevante Unterlagen müssen während der Frist verfügbar, lesbar und maschinell auswertbar bleiben.

Die Dateinamen werden ohne Leerzeichen, Umlaute und Sonderzeichen geführt. Zulässig sind Buchstaben A–Z, Zahlen 0–9, Bindestrich und Unterstrich. Datumsangaben werden in Dateinamen im Format YYYYMMDD, Zeitstempel in Logs und Metadaten im Format YYYY-MM-DDThh:mm:ss±hh:mm geführt. Versionen werden als Rmm.nn gebildet, wobei mm die Hauptrevision und nn die Unterversion bezeichnet. Statuskürzel lauten mindestens EN für Entwurf, PR für in Prüfung, FG für freigegeben, IK für in Kraft, AK für außer Kraft und AR für archiviert. Für native Quellformate wird der Suffix _SRC, für Archivdateien _ARC und für Redline-/Kommentarstände _MRK verwendet. Die Systemzeit aller protokollierenden Systeme und Anwendungen ist zu synchronisieren; BSI weist ausdrücklich darauf hin, dass fehlende Zeitsynchronisation die Auswertung und Beweissicherung von Protokolldaten erschwert.

• Die konkrete Systemlandschaft einschließlich Produktbezeichnungen, Tenant-/Mandantenmodell, API- und Exportmechanismen von DMS/ECM, CAFM, ERP, GLT und Monitoring.

• Die endgültigen Standort-, Gebäude-, Ebenen-, Raum-, Flächen-, Asset- und Dokument-ID-Schemata sowie die verbindlichen Kürzel für Dokumentklassen und Dokumenttypen.

• Die Schutzklassenmatrix für vertrauliche, personenbezogene, sicherheitskritische und vertragssensible Dokumente einschließlich konkreter Rollenrechte je Rolle und Dokumentenzone.

• Die Frage, welche GLT-/Monitoring-Daten vollständig archiviert, nur referenziert oder ausschließlich als freigegebene Snapshot-/Exportdatei ins DMS übernommen werden.

• Die finalen Dateiformate für BIM-/CAD-/GA-Unterlagen, Sicherungssätze, PLC-/GA-Exports, Trenddaten und strukturierte Datenübergaben sowie etwaige zusätzlich geforderte herstellerneutrale Neutralformate.

• Die konkreten Aufbewahrungsklassen für Unterweisungen, Freigabescheine, Rohmessdaten, Fotodokumentationen und Zugriffslogs, soweit unternehmensintern strengere Fristen gelten sollen als in diesem Anhang vorgesehen.

• Die konkreten Freigaberollen des Auftraggebers und des Auftragnehmers je Dokumenttyp, insbesondere für HSE, Betreiberpflichten, kritische TGA, GLT-/GA-Änderungen, Schnittstellen, Verträge und CAPEX-nahe Changes.

• Die Vollständigkeits- und Qualitätskriterien für Start-up, Projektübergabe, Hypercare und Exit, insbesondere Sollstände für kritische Dokumente, offene Redlines, Mängeldokumentation und Übergabeprotokolle.

• Die Anforderungen an Legal Hold, Export-Manifest, Prüfsummenverfahren, Verschlüsselung, Signaturverfahren und Wiederherstellungstests bei Archiv- und Übergabepaketen.

• Die Behandlung von OEM-vertraulichen Unterlagen, produktionsnahen Dokumenten und Dokumenten mit eingeschränkter Weitergabe sowie die Abgrenzung zum Leistungsumfang des TTS.