Notfallhandbuch: Notfallpläne, Alarmierung, Wiederanlauf

Die Notfallorganisation ist dreistufig aufzubauen. Die erste Stufe bildet die 24/7 erreichbare Ereignisannahme über Service Desk, Leitstand oder vergleichbare Führungsstelle mit Pflicht zur sofortigen Erfassung, Erstqualifizierung und Alarmweiterleitung. Die zweite Stufe bildet die operative Notfallführung durch einen benannten Notfallkoordinator mit fachlicher Einsatzleitung je Gewerk und mit dokumentierter Entscheidungs- und Freigabekompetenz für Sicherungsmaßnahmen, Abschaltungen, Absperrungen, Evakuierungsunterstützung und Notbetrieb. Die dritte Stufe bildet der aktivierbare Krisenstab für lageübergreifende oder länger andauernde Ereignisse; der BBK-Leitfaden beschreibt den Krisenstab als zentrales Krisenreaktionsinstrument, das Kompetenzen unter einheitlicher Leitung bündelt, und fordert zugleich Meldewege, Alarmierung, Eskalations- und Deeskalationsmodelle, Erreichbarkeit interner und externer Ansprechpartner sowie szenariobezogene Maßnahmen zum Wiederanlauf und zur Rückkehr in den Normalbetrieb.

Die namentlich zu hinterlegenden Rollen umfassen mindestens Betreibervertreter, Notfallkoordinator, Einsatzleiter Technik, HSE-/Arbeitsschutzschnittstelle, Elektroverantwortung, GA-/GLT-Verantwortung, Dokumentationsführer, Kommunikationsverantwortung, Dienstleisterkoordinator und benannte Vertretungen. Sind Beschäftigte mehrerer Arbeitgeber oder externe Dienstleister beteiligt, ist die Zusammenarbeit abgestimmt zu organisieren; dies betrifft insbesondere Fremdfirmen, OEMs, Sicherheitsdienste, Fachplaner, Entsorger und Bereitschaftsdienste. Für ausgelagerte technische Leistungen sind Service Levels, Ortskenntnis, Zugangsregelungen, Qualifikation, Schaltberechtigungen und Kontrollmöglichkeiten des Betreibers vorab vertraglich festzulegen.

Die Alarmierung ist redundant, mehrkanalig und medienübergreifend auszuführen. Mindestbestandteile sind die automatische Auslösung aus GLT, BMA und sonstigen technischen Überwachungssystemen, manuelle Auslösung über Telefon und Notruf, unternehmensinterne Massenalarmierung per Push-/SMS-/Sprachnachricht, optisch-akustische Alarmierung in kritischen Bereichen sowie lokale Weckmittel, wo ein reiner Informationskanal nicht ausreicht. Der BBK beschreibt moderne Warnsysteme ausdrücklich als hochverfügbar, gehärtet, redundant und auf die Verbreitung über mehrere Kanäle ausgelegt; zugleich verlangt die ASR A2.3, dass im Rahmen von Übungen überprüft wird, ob die Alarmierung jederzeit unverzüglich ausgelöst werden kann und die anwesenden Personen erreicht. Für die Gebäudeautomation fordert der BSI-Grundschutz sichere Kommunikationswege und zentrale Protokollierung; für Fernwartungszugänge im industriellen Umfeld verlangt der BSI eine besonders zuverlässige und leistungsfähige Auslegung, gerade für Störungen.

Die Alarm- und Eskalationskette ist so zu dokumentieren, dass sowohl die Ausrufung als auch die Deeskalation des Not- oder Krisenfalls regelgebunden erfolgen. Das BSI verlangt hierfür ausdrücklich Regeln und Abläufe im Notfallhandbuch; der Übergang in den Normalbetrieb ist nach Abschluss der Tätigkeiten zur Überführung in den Normalbetrieb zu deeskalieren und zu dokumentieren.

Für die Ausschreibung ist folgende Stufenmatrix als Mindestvorgabe sachgerecht. Die Reaktionszeiten sind als Vergabevorgabe aus der arbeitschutzrechtlichen Pflicht zur unverzüglichen Alarmierung, der Evakuierungslogik der ASR, den BBK-Anforderungen an Meldewege und Erreichbarkeit sowie den BSI-Vorgaben zur Notfallausrufung und Deeskalation abgeleitet und in den endgültigen Vergabeunterlagen anlagenscharf zu finalisieren.

Für das Brandszenario sind Zielbild, Alarmierung, technische Brandfallsteuerungen, Fluchtorganisation, Feuerwehrschnittstelle und Wiederfreigabezuständigkeiten verbindlich festzulegen. Die ASR A2.2 verlangt Maßnahmen zur Erkennung, Alarmierung und Bekämpfung von Entstehungsbränden; die DIN 14096 beschreibt die Brandschutzordnung als Regelwerk für das Verhalten im Brandfall und für brandverhütende Maßnahmen im Betrieb. Im Notfallhandbuch ist deshalb festzulegen, welche Anlagen automatisch angesteuert werden, welche Abschaltungen manuell zu veranlassen sind, wer die Feuerwehr einweist, wer Informationen zu gesperrten Bereichen und Medienführungen bereitstellt und unter welchen Voraussetzungen eine Rückkehr in Teil- oder Vollbetrieb zugelassen wird.

Für Evakuierungen sind Auslösegründe, Räumungsbereiche, Sammelstellen, Wegeführung, Räumungshelfer, Vollzähligkeitskontrolle, Wiederbetretungsfreigabe und Schnittstellen zu Brandschutzordnung, Flucht- und Rettungsplan sowie eventuell erforderlichen Alarm- und Gefahrenabwehrplänen festzulegen. Die ASR A2.3 verlangt Flucht- und Rettungspläne bei unübersichtlicher Fluchtwegführung, hohem Anteil ortsunkundiger Personen, erhöhter Gefährdung oder benachbarten Gefährdungsmöglichkeiten; sie fordert aktualisierte Aushänge, lagerichtige Anbringung, regelmäßige Unterweisung sowie Evakuierungsübungen, mit denen insbesondere Alarmierung, Erreichbarkeit der Anwesenden, sicheres Benutzen der Fluchtwege und geräumte Bereiche überprüft werden. Sammelstellen sind in Anzahl, Größe und Lage abhängig von der Personenzahl und den örtlichen Gegebenheiten festzulegen und deutlich zu kennzeichnen.

Für allgemeine technische Störungen sind Priorisierung, Eskalationsschwellen, Sofortmaßnahmen, Notbetriebskriterien, Freigaben für Eingriffe sowie Übergänge zwischen Störung und Notfall zu definieren. Die Betriebssicherheitsverordnung verlangt Instandhaltungsmaßnahmen zur Aufrechterhaltung des sicheren Zustands der Arbeitsmittel während der gesamten Verwendungsdauer und verpflichtet zu Prüfungen vor Inbetriebnahme sowie wiederkehrend nach Art und Umfang der ermittelten Gefährdung. Das Notfallhandbuch hat deshalb für kritische Anlagenfamilien die Schwelle zu definierten Notfallmaßnahmen festzulegen, insbesondere bei Verlust von Sicherheits- oder Versorgungsfunktionen, Ausfall von Redundanzen, Kommunikationsverlusten, Störungen an prüfpflichtigen Anlagenteilen oder fehlgeschlagenen Umschaltungen in Ersatzbetrieb.

Für das Stromausfallszenario ist der Übergang in Notstromversorgung bzw. kontrollierten Lastabwurf mit festgelegter Verbraucherpriorisierung, Verantwortlichkeiten, Erreichbarkeitslisten und Führungsorganisation zu regeln. Das BBK fordert für kritische Geschäftsprozesse ein Notfallkonzept „Betrieb unter Notstromversorgung“, in dem festgelegt wird, welche Arbeitsplätze und Aufgaben weitergeführt werden, welches Personal eingesetzt wird, wie die Führungsorganisation strukturiert ist und wie Erreichbarkeit sichergestellt wird; zugleich ist regelmäßig zu prüfen, ob die installierte Notstromleistung den tatsächlich angeschlossenen Verbraucherlasten entspricht. Für Neubauten weist das BBK zudem auf die vorausschauende Planung von Nachrüstbarkeit und auf die Möglichkeit hin, über Gebäudeleittechnik Stromkreise und Steckdosen im Notfall zu überwachen und zu steuern.

Für Leckagen und Gefahrstoffereignisse sind Lageerkennung, Absperrung, Lüftung, Abschaltung von Zündquellen, PSA-Regime, Rückhaltung, Aufnahme, Entsorgungsweg, Freigabe und Nachreinigung festzulegen. Nach TRGS 510 muss für freigesetzte Gefahrstoffe eine Notfallausrüstung vorhanden sein; hierzu gehören insbesondere persönliche Schutzausrüstung, geeignete Bindemittel bzw. Adsorbenzien, dicht verschließbare Behälter, Gerätschaften zur Aufnahme freigesetzter Stoffe und Reinigungsmittel. Das Notfallhandbuch hat die Lagekarten, Materialdepots, deklaratorischen Informationen aus Sicherheitsdatenblättern, Freimess- oder Freigabeverfahren sowie die Schnittstellen zu Entsorgern, HSE und externen Einsatzkräften verbindlich zu hinterlegen.

Für IT-Ausfälle mit technischer Betriebswirkung sind Ausfallbilder, degradierte Betriebsarten, manuelle Ersatzverfahren, sichere Fernwartung, Kommunikationsersatz und Wiederherstellung der zeitkritischen Ressourcen festzulegen. Das BSI sieht für Gebäudeautomation und technisches Gebäudemanagement sichere Kommunikationswege, zentrale Protokollierung und abgesicherte Fernwartungszugänge vor; für den Wiederanlauf beschreibt das BSI den Wiederanlauf-/Wiederherstellungsplan als Ressourcendokument mit allen Informationen zum Wiederanlauf oder zur Wiederherstellung einer zeitkritischen Ressource. Im Notfallhandbuch sind deshalb insbesondere GLT-/GA-Server, Historian, Alarmserver, Netzsegmente, Remote-Zugänge, Zeitserver, Schnittstellen zu CAFM und Kommunikationsplattformen mit Fallback-Verfahren, Berechtigungswegen und Freigaben für den Wiederanlauf zu führen.

Für den Pandemiefall ist ein eigener Teilplan mit Personalverfügbarkeit, Schutzmaßnahmen, Vertretungsmodell, Schichtentflechtung, Mindestbesetzung, Schutz kritischer Funktionen, Kommunikationsregeln und Priorisierung des reduzierten Betriebs vorzuhalten. Der Nationale Pandemieplan des RKI benennt als Ziel der betrieblichen Pandemieplanung die Minimierung des Infektionsrisikos am Arbeitsplatz, die Aufrechterhaltung der Betriebsabläufe soweit möglich, den Erhalt der betrieblichen Infrastruktur und die Begrenzung des wirtschaftlichen Schadens; der betriebliche Pandemieplan umfasst organisatorische Maßnahmen sowie Maßnahmen des Arbeits- und Infektionsschutzes im Betrieb und ist an den unternehmensspezifischen Gegebenheiten auszurichten. Daraus folgt für das TTS-Notfallhandbuch eine verbindliche Festlegung von Vertretungsstufen, Mindestbesetzungen, Regeln für Zutritt und Dienstleistereinsatz, Schutzregime für medizinisch oder betrieblich sensible Bereiche sowie Lagekommunikation mit arbeitsmedizinischer Einbindung.

Der Wiederanlauf ist als eigener Führungsabschnitt zwischen Schadensbeherrschung und Normalbetrieb zu regeln. Maßgeblich sind priorisierte betriebskritische Ressourcen, anlagenbezogene Wiederanlauf- und Wiederherstellungspläne, definierte Freigaben, technische und organisatorische Abhängigkeiten, temporäre Betriebsgrenzen, personelle Mindestbesetzungen und dokumentierte Reihenfolgen. Das BSI sieht hierfür Wiederanlauf-/Wiederherstellungspläne für zeitkritische Ressourcen vor; der BBK fordert ereignisspezifische Maßnahmen zum Wiederanlauf und zur Rückkehr in den Normalbetrieb. Wiederanlaufsequenzen sind deshalb nicht pauschal, sondern je kritischer Anlagenfamilie festzulegen.

Für die Ausschreibung ist folgende vorläufige Priorisierungsmatrix sachgerecht. Die Zuordnung ist aus BCM-, Verfügbarkeits- und Notstromlogik abgeleitet; die geschätzten Wiederanlaufzeiten sind als orientierende Vergabegrößen zu verstehen und nach Vorliegen der endgültigen Anlagen- und Lastlisten anlagenscharf zu verifizieren.

Die Wiederherstellung ist nach OPEX- und CAPEX-Wirkung getrennt zu steuern. OPEX-relevant sind Sofortmaßnahmen, provisorische Wiederherstellungen, Mietaggregate, Sondereinsätze, befristete Bereitschaften, Ersatzgeräte und erhöhte Servicevorhaltung. CAPEX-relevant sind dauerhafte Redundanzen, Netzausbau, Erweiterungen der Notstromkapazität, Erneuerung kritischer Komponenten, zusätzliche Umschaltfelder, neue Kommunikations- oder Alarmserver sowie strukturelle bauliche oder anlagentechnische Anpassungen. Das entspricht der BBK-Logik, wonach Notstromversorgung sowohl organisatorische als auch technische Vorbereitungen verlangt, und der BSI-Logik, wonach BC-Strategien und Wiederanlaufpläne auf zeitkritische Ressourcen und deren dauerhafte Beherrschbarkeit ausgerichtet werden müssen.

Für den Notfall sind Personal, Material und technische Hilfsmittel als definierte Vorhaltung im Handbuch zu verankern. Dazu gehören Ruf- und Bereitschaftspläne, Eskalationskontakte, Ortskenntnis, Schalt- und Zutrittsberechtigungen, PSA, mobile Beleuchtung, Mess- und Prüfmittel, Bindemittel, Leckagesets, verschließbare Auffangbehälter, mobile Kommunikationsmittel, Papierformulare für den IT-Ausfall sowie anlagenbezogene Ersatzteile und Ersatzgeräte. Für Gefahrstoffbereiche ist die Notfallausrüstung nach TRGS 510 konkret zu hinterlegen; für Anlagen mit Sicherheits- und Verfügbarkeitsrelevanz sind Instandhaltung, Prüf- und Wartungspläne sowie Material- und Ersatzteilvorgaben sauber mit dem Notfallregime zu verzahnen.

Für Notstrom- und Ersatzversorgung sind Lastlisten, Kraftstoffkonzept, Prüfintervalle, vertraglich gesicherte Verfügbarkeit mobiler Netzersatzanlagen, Anschlusspunkte, Energiebilanz und regelmäßige Funktionstests zu dokumentieren. Das BBK weist ausdrücklich darauf hin, dass die Bereitstellung mobiler Netzersatzanlagen vertraglich zu regeln, die Kraftstoffversorgung auch unter widrigen Umständen sicherzustellen und die Übereinstimmung zwischen installierter Leistung und tatsächlich angeschlossenen Notstromverbrauchern regelmäßig zu prüfen ist. Im dienstleistergestützten Betrieb sind Leistungsumfang, Service Levels, Zugangsregeln, Sicherheitsüberprüfungen und notwendige Qualifikationen der eingesetzten Personen ausdrücklich zu vereinbaren.

Alarm- und Kommunikationssysteme sind mit 24/7-Verfügbarkeit, Redundanz, Fallback-Funktion, Notstrom- bzw. USV-Anbindung, zentraler Protokollierung und sicheren Übertragungswegen auszustatten. Der BBK beschreibt moderne Warn- und Kommunikationssysteme als hochverfügbar und redundant; das BSI verlangt für Gebäudeautomation sichere Kommunikationswege und zentrale Protokollierung; die ASR A2.3 verlangt, dass Alarmierungen im Gefahrenfall unverzüglich ausgelöst werden können und die anwesenden Personen erreichen. Daraus folgt für die Ausschreibung, dass Primär- und Sekundärkanäle, Umschaltlogik, Überwachung des Kanalzustands, Protokollierung aller Alarmierungen sowie definierte SLA-Werte für Erreichbarkeit, Zustellung und Wiederherstellung verbindlich festzulegen sind.

Für Übungen ist ein stufiger Jahresplan festzulegen. Die ASR A2.3 fordert bei erforderlichen Flucht- und Rettungsplänen regelmäßige Evakuierungsübungen; die Unterweisung hat mindestens jährlich zu erfolgen. Die ASR A2.2 verlangt fachkundige Unterweisung der Brandschutzhelfer einschließlich praktischer Löschübungen; der BBK-Leitfaden nennt Alarmierungsübungen, Teilfunktionsübungen, Stabsübungen und Vollübungen ausdrücklich als geeignete Formate; der Übungsbaukasten des BSI empfiehlt jährlich mindestens eine Stabsübung und eine Alarmierungsübung. Für das Notfallhandbuch ist deshalb ein verbindlicher Mix aus Alarmierungsübung, Evakuierungsübung, Stabsübung, Teilfunktionsübung für Notstrom/IT/Leckage sowie dokumentierter Nachauswertung festzulegen.

Die Dokumentation ist ereignisvollständig und revisionssicher zu führen. Nach dem BBK sind alle eingehenden und ausgehenden Meldungen, Entscheidungen, Maßnahmen und Aktivitäten schriftlich zu dokumentieren; als Hilfsmittel nennt der Leitfaden Vordrucke, Ein- und Ausgangsnachweise, Ereignistagebücher, Lagekarten, Meldeprotokolle und elektronische Medien. Die Dokumentation dient zugleich Evaluierung, Versicherungs- und Rechtsfragen; nach Rückkehr zum Normalbetrieb ist eine zeitnahe Nachbereitung in Form eines Berichts vorzunehmen, der Lücken, Wirksamkeit des Krisenplans und erforderliche Verbesserungsmaßnahmen bewertet. Das Notfallhandbuch hat daher mindestens Ereignisprotokoll, Lagebericht, Maßnahmenjournal, Kommunikationsprotokoll, Freigabeprotokoll, Wiederanlaufprotokoll und Lessons-Learned-Bericht vorzusehen.

Die Schnittstellen zu Behörden, Feuerwehren, Rettungsdiensten, Netzbetreibern, Entsorgern, Versicherern, OEMs und sonstigen Schlüsseldienstleistern sind als feste Kontakt- und Meldematrix zu führen. Das Arbeitsschutzgesetz verlangt die Einrichtung der notwendigen Verbindungen zu außerbetrieblichen Stellen; der BBK fordert Erreichbarkeit von Ansprechpartnern innerhalb und außerhalb der Einrichtung; VdS-Leitfäden verlangen dokumentierte Notfallmaßnahmen sowie festgelegte Alarmierungsprozedere und Meldewege zu Behörden, Hilfsorganisationen und verantwortlichen Betriebsfunktionen. Für versicherungsrelevante Ereignisse ist zusätzlich eine Schaden- und Wiederherstellungsschnittstelle mit Fristen für Erstmeldung, Beweissicherung, Schadenminderung, Dokumentenablage und Freigabe von Sofortmaßnahmen zu hinterlegen; VdS weist darauf hin, dass BCM und Betriebsunterbrechungsversicherung sich ergänzen und Versicherungsleistungen auch Kosten der Minderung und Abwendung von Unterbrechungsschäden betreffen können.

Vor Betriebsaufnahme ist das Notfallhandbuch vollständig zu mobilisieren, zu testen und freizugeben. Dazu gehören die vollständige Benennung aller Rollen und Vertretungen, die Freigabe der Alarm- und Eskalationskette, die Befüllung aller Erreichbarkeitslisten, die Integration der GLT-/BMA-Meldungen, Funktionstests der Alarmierungskanäle, der Nachweis der Umschaltung in Notstrom- bzw. Notbetrieb, die Verfügbarkeit manueller Ersatzverfahren für IT-Ausfall sowie ein dokumentierter Alarm- und Wiederanlauftest. Das BBK fordert die regelmäßige Aktualisierung der Notfallkonzepte und hebt Erreichbarkeitslisten, Führungsorganisation und vertraglich definierte Service Levels hervor; BSI-Hilfsmittel sehen Notfallhandbuch, Übungskonzept und Wiederanlaufplan als vorbereitete Dokumente des BCM vor.

Dem Notfallhandbuch sind standardisierte Anlagen beizufügen. Dazu gehören mindestens Einsatzkarten für die betroffenen Bereiche, Feuerwehrplan bzw. feuerwehrgeeignete Lagedarstellungen, Kontaktliste mit Primär- und Sekundärkontakten, Alarmierungsplan, Wiederanlauf-Checklisten je kritischer Anlagenfamilie, Last- und Abschaltliste für Notstrom, Materialliste für Leckage- und Absperrmaterial, Kommunikationsmatrix, Ereignisprotokollvorlage und Nachbereitungsprotokoll. Die Anforderungen an Feuerwehrpläne für bauliche Anlagen werden durch DIN 14095 beschrieben; sie dienen der effektiven Unterstützung von Einsatzkräften und können Grundlage für Einsatzpläne sein. Für Flucht- und Rettungspläne sowie Brandschutzordnungen bestehen ergänzende Anforderungen aus ASR A2.3 und DIN 14096. Die entsprechenden Anlagen sind im Ausschreibungsdokument als mitzuliefernde Dokumentenklassen festzuschreiben.

• endgültige Anlagen- und Bereichsliste einschließlich Kritikalitätszuordnung

• die konkreten GLT-, BMA-, EMA-, Zutritts- und Kommunikationsschnittstellen

• die anlagenscharfen Alarmstufen und Reaktionszeiten

• die vollständigen internen und externen Kontaktlisten einschließlich Vertretungen

• die konkrete retained-Organisation und die verbindliche Benennung der Rollen

• die örtlich abgestimmten Feuerwehr- und Evakuierungskonzepte einschließlich Sammelstellen und Feuerwehrpläne

• die tatsächliche Notstrom- und USV-Kapazität mit Autarkiezeiten und priorisierten Verbrauchern

• die OEM- und Drittverträge mit reservierten Eingriffsrechten

• die spezifischen Gefährdungsbeurteilungen für Sonderbereiche und Gefahrstoffe

• die vollständigen Sicherheitsdatenblätter und Stoffverzeichnisse

• die konkret gewünschten SLA-Werte für Alarmierung, Eskalation und Wiederherstellung

• die Anforderungen an Massenalarmierungs-App bzw. Push-System

• die endgültige Dokumentations- und Systemlandschaft aus CAFM, DMS, GLT und Ticketing

• die Anforderungen der Versicherer an Erstmeldung, Beweissicherung und Schadenminderung

• die konkreten Übungsintervalle je Szenario

• die Sprachen- und Nutzeranforderungen für Aushänge und Alarmtexte

• sowie die endgültige Zuordnung von CAPEX- und OPEX-Maßnahmen im Wiederanlauf- und Resilienzprogramm.

Die Objekt- und Szenariospezifik ergibt sich zwingend erst aus den finalen Auftraggeberunterlagen, der endgültigen Anlagendokumentation, den Sicherheits- und Genehmigungsunterlagen und den abgestimmten Betreiberentscheidungen.