Risiken, Gegenmaßnahmen: TTS-Vertrag

Unklare Betreiber- und Kontrollpflichten. Das gravierendste Einzelrisiko ist eine scheinbare Delegation ohne belastbare Governance. Die Übertragung von Unternehmerpflichten muss schriftlich erfolgen; sie ändert aber nichts an der unternehmerischen Gesamtverantwortung. Gleichzeitig müssen sicherheitsrelevante Anforderungen organisatorisch eingebunden, überwacht und dokumentiert werden. Ohne standortweite Pflichtenübertragungs-, Kontroll- und Eskalationsmatrix bleiben Verantwortlichkeiten zwischen Auftraggeber, TTS-Dienstleister, Infra-Dienstleister, Security und OEMs faktisch unscharf.

Mehrere Helpdesks, doppelte Ticketketten und unklare Sonderflächenzuständigkeit. Wo mehrere Leistungserbringer hinter unterschiedlichen Service Desks arbeiten, leidet fast immer der Zugang der Nutzer zum Service. Das offizielle ITIL-Verständnis beschreibt den Service Desk als single point of contact zwischen Service Provider und Nutzern. Wenn daneben technische Spezialdesks, Security-Meldungen und infrastrukturelle Tickets nebeneinander bestehen, verliert der Standort Transparenz über Prioritäten, Ownership und SLA-Erfüllung. Besonders anfällig sind Sonderflächen und Querschnittsprozesse wie Wareneingang, Konferenzzonen, Labore, Logistikflächen, kritische Technikräume oder Mischflächen mit Nutzer-, Sicherheits- und Technikbezug.

Reibungen zwischen Security, Zutritt und Technik. In der Fremdfirmenkoordination ist längst Standard, dass Auftraggeber lokale Gefährdungen, Zutrittsbeschränkungen, Notfallmaßnahmen, Fluchtwege und das Zusammenwirken mehrerer Unternehmen steuern müssen. Wird Security separat organisiert, Technik aber separat entstört und gewartet, sind Zutrittsfreigaben, Permit-to-Work-Logik, Schlüssel- und Medienfreigaben, Alarmierung und Einweisung häufig nicht synchron. Dann entstehen Wartezeiten, Sicherheitslücken oder verbotene informelle Abkürzungen.

Fragmentierte Datenbestände und lückenhafte Revisionsunterlagen. Die ISO-19650-Systematik ist für genau dieses Problem relevant: ISO 19650-1 versteht das Common Data Environment als agreed source of information; ISO 19650-3 fordert geregeltes Informationsmanagement in der Betriebsphase; ISO 19650-4 legt Kriterien für qualitätsgesicherte Informationsübergaben fest. Parallel verlangt die BetrSichV Prüfaufzeichnungen und das Vorhalten technischer Unterlagen für prüfpflichtige Anlagen. Wird die Datenhoheit zwischen TTS, Infra, Projektwelt, OEM-Portalen und Auftraggeber zersplittert, startet der Betrieb mit unsauberen Asset-Stammdaten, fehlenden Prüfunterlagen und unklarer Dokumentenverbindlichkeit.

Unsichere Fernzugänge, unkoordinierte Patches und Rechtewildwuchs. Für operative Technik und Gebäudeautomation sind genau diese Themen inzwischen klar adressiert. Die IT-Grundschutz-Bausteine verlangen für OT-Fernwartung unter anderem die explizite Freigabe jeder Fernwartungssitzung und die zentrale Verwaltung aller Konten; für Patch- und Änderungsmanagement sollen Patches zeitnah bewertet und priorisiert werden; Berechtigungsmanagement umfasst Zuweisung, Entzug und Kontrolle von Rechten. Wo mehrere Dienstleister mit eigenen Zugängen, eigenen Wartungsfenstern und eigener Eskalationslogik arbeiten, steigt das Cyber- und Betriebsunterbrechungsrisiko deutlich.

Streit über CAPEX/OPEX und Verlust des Gesamtblicks auf Qualität und Kosten. Lebenszykluskosten werden in Bundesquellen gerade nicht nur als Betriebskosten verstanden, sondern als Zusammenspiel von Herstellung, Ersatzinvestitionen, Betrieb, Reinigung, Pflege und Instandhaltung. Parallel zeigt ISO/TR 41030, dass Performance Management im FM die Bedürfnisse von Nachfrageorganisation und FM-Organisation zusammenführen muss. Wenn Investitionen, Störungsbeseitigung, Optimierungen, Ersatzstrategien und Energieleistungen vertraglich getrennt werden, ohne einheitliche Kostenlogik und Ergebniskennzahlen, entstehen Fehlanreize: Der eine Dienstleister optimiert seine OPEX, der andere schiebt CAPEX, und der Auftraggeber verliert die Quersicht.

Retained organization mit echter Entscheidungsmacht. Der Auftraggeber braucht eine retained organization, die nicht nur moderiert, sondern entscheidet: mit Eskalationsrecht, Freigaberecht, Budgetnähe und Weisungsfähigkeit in den standortweiten Kernprozessen. Das ist keine Komfortfunktion, sondern die logische Folge daraus, dass FM-Policy und FM-Strategie Ziele, Risiko und operative Anforderungen ausrichten müssen und dass die Gesamtverantwortung trotz Delegation nicht verschwindet. Praktisch umfasst das mindestens Governance für Betreiberpflichten, Datenhoheit, Leistungssteuerung, OT-/Informationssicherheit, Übergaben und Re-Sourcing.

Gemeinsames Service- und Datenmodell über alle Lose. Notwendig ist ein standortweit einheitliches Modell für Front Door, Prioritäten, Meldungsarten, Ereignisse, Ursachen, Maßnahmen, Flächen, Anlagen, Dokumente und Eskalationsstufen. Für Nutzer muss der Zugang eindeutig sein; hinter diesem Front Door können technische Spezialdesks bestehen, aber nicht als parallele Eingangswelt. Für Daten braucht der Standort eine gemeinsame Datenumgebung mit klaren Stammdatenregeln, Qualitätskriterien und Dokumentenverbindlichkeit. Nur so entstehen aus Tickets, Prüfungen, Wartungen, Störungen und Modernisierungen konsistente Informationen statt Los-Silos.

Standortweite RACI-Matrix bis auf Prozess- und Anlagenebene. Die Losabgrenzung muss vor der Ausschreibung stehen, nicht danach. Eine belastbare RACI-Matrix gehört daher nicht nur auf Gewerkebene, sondern auf die Ebene der Kernprozesse: Störung, Wartung, Prüfung, Freischaltung, Abschaltung, Zutritt, Alarmierung, Fremdfirmenkoordination, Patch-Fenster, Datenupload, Dokumentenfreigabe, Mängelverfolgung, Sonderflächenbetrieb. Gerade in Mischzonen zwischen Security, Empfang, Logistik und Technik verhindert nur diese Tiefe, dass Verantwortlichkeit im Tagesgeschäft “zwischen den Losen” verschwindet.

Einheitliche Notfall-, Sicherheits- und Fremdfirmenlogik. Notfallmanagement, Alarmierung, Evakuierung, Zutrittsregeln, Permit-to-Work, Fremdfirmenordnung und Fernwartungsfreigaben müssen standortweit einheitlich sein. Der modernisierte BSI-Standard 200-4 beschreibt BCM als praxistauglichen Rahmen für Institutionen beliebiger Art und Größe. Die DGUV ordnet Alarmierung und Evakuierung eindeutig der Verantwortung des Unternehmers zu. Daraus folgt für TTS-Modelle: Notfall-, Sicherheits- und Fremdfirmenprozesse dürfen nicht losweise erfunden werden, sondern müssen als gemeinsame Standortlogik vorgegeben werden.

Gemeinsame KPI-/SLA-Regeln mit wenigen standortweiten Ergebniskennzahlen. Für die operative Steuerung ist eine kleine Zahl standortweiter Outcome-KPIs wichtiger als ein großer Kennzahlenfriedhof je Los. ISO/TR 41030 beschreibt Leistungsmessung ausdrücklich als Abgleich der Bedürfnisse von Nachfrageorganisation und FM-Organisation; ITIL-Practice-Beschreibungen betonen zusätzlich Stakeholder, Verantwortlichkeiten und Accountabilities. Empfehlenswert ist deshalb eine zweistufige Architektur: wenige standortweite Ergebniskennzahlen für Nutzer, Verfügbarkeit, Reaktions- und Wiederherstellungsleistung, Datenqualität und Energieperformance plus ergänzende losspezifische Steuerungskennzahlen im Hintergrund.

Vertragliches Handover- und Hypercare-Regime mit Nachoptimierungspflicht. Übergänge sind die riskanteste Phase. Die Vendor-Transition-Literatur hebt Wissenstransfer, Personalübergang, Scope-Klärung und Leistungsstabilität als Kernkonflikte hervor. Parallel zeigt die Literatur zum Building Performance Gap, dass reale Energie- und Anlagenperformance oft erst nach Inbetriebnahme oder Bezug sichtbar wird und ohne Monitoring, kontinuierliche Bewertung und Nachregulierung hinter der Planung zurückbleibt. Ein vertraglich festes Handover-Regime mit Asset-Baseline, Dokumentengates, Shadowing, Parallelbetrieb, Defect-Backlog und einem nachlaufenden Hypercare-Fenster ist daher zentral. Ihr Vorschlag eines 90- bis 180-tägigen Hypercare-Fensters ist in dieser Logik sachgerecht.

Periodische Reifegradreviews und Rebaselining des Leistungsmodells. FM-Strategie ist kein Einmaleffekt. ISO 41014 verlangt die Ausrichtung von FM-Anforderungen an Ziele, Bedürfnisse und Randbedingungen der Bedarfsorganisation; ISO/TR 41030 zeigt zugleich, dass Performance Management im FM als eigenes Entwicklungsfeld zu behandeln ist. Für TTS-Verträge folgt daraus: Das Leistungsmodell sollte periodisch auf Reifegrad, Datenqualität, Betreibergovernance, Sourcing-Schnittstellen und Ergebniskennzahlen überprüft und bei Bedarf neu justiert werden, statt fünf Jahre lang unverändert “durchzulaufen”.