CAFM: Datenschutz-/Sicherheitsreviews und Audit-Nachweise

Datenschutz- und Sicherheitsreviews in CAFM-Systemen orientieren sich an verschiedenen gesetzlichen und normativen Vorgaben. Zentral ist die EU-Datenschutz-Grundverordnung (DSGVO), die seit Mai 2018 – zusammen mit dem nationalen Bundesdatenschutzgesetz (BDSG) – für alle Unternehmen in Deutschland gilt. Die DSGVO verpflichtet u. a. dazu, jede Verarbeitung personenbezogener Daten zu dokumentieren, bei hohen Risiken eine Datenschutz-Folgenabschätzung (DSFA/DPIA) durchzuführen und erweiterte Informationspflichten gegenüber Betroffenen einzuhalten. Ein Verstoß gegen diese Pflichten kann empfindliche Strafen nach sich ziehen (bis zu 20 Mio. € oder 4 % des Jahresumsatzes). Daher müssen CAFM-Verantwortliche sicherstellen, dass ihr System datenschutzkonform betrieben wird und alle nötigen Nachweisdokumente (z. B. Verarbeitungsverzeichnis, Richtlinien) vorliegen.

Sobald externe Dienstleister involviert sind – etwa wenn das CAFM als Cloud-Lösung betrieben wird – greift Art. 28 DSGVO: Es muss ein schriftlicher Auftragsverarbeitungsvertrag (AV-Vertrag) geschlossen werden, der den korrekten Umgang mit den Daten regelt. Der Auftraggeber (verantwortliche Stelle) darf nur solche CAFM-Dienstleister beauftragen, die hinreichende Garantien für Datenschutz und Datensicherheit bieten. Im AV-Vertrag verpflichtet sich der Auftragnehmer insbesondere, alle technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO umzusetzen. Dazu zählen z. B. Zugriffsbeschränkungen, Verschlüsselung, Löschkonzepte etc., die idealerweise als Anlage (Sicherheitskonzept) detailliert beschrieben werden. Außerdem müssen Prüf- und Audit-Rechte vereinbart werden, damit der Auftraggeber die Einhaltung der Datenschutzvorgaben beim Dienstleister kontrollieren kann.

Neben Datenschutzgesetzen spielt IT-Sicherheits-Compliance eine Rolle. International anerkannte Normen wie ISO/IEC 27001 definieren bewährte Praktiken für ein Informationssicherheits-Managementsystem (ISMS). Viele Unternehmen richten ihre Sicherheitsprozesse daran aus oder lassen sich zertifizieren, um gegenüber Kunden und Prüfern eine strukturierte Sicherheit nachzuweisen. Ein ISO 27001-konformes ISMS umfasst beispielsweise strukturierte Risikobewertungen, definierte Sicherheitsrichtlinien, klare Zuständigkeiten sowie eine umfassende Dokumentation aller Sicherheitsprozesse. Die in ISO enthaltenen Kontrollen (Annex A) – etwa Zugangskontrolle, Kryptografie, Patch-Management – decken sich mit den Anforderungen der DSGVO an technische und organisatorische Maßnahmen. Eine Zertifizierung nach ISO 27001 oder vergleichbaren Standards kann daher als Qualitätsmerkmal dienen und wird von der DSGVO als anerkannter Nachweis geeigneter Sicherheitsmaßnahmen akzeptiert. Für CAFM-Verantwortliche bedeutet dies, dass sie ihre Datenschutz- und Sicherheitsreviews idealerweise in ein solches ganzheitliches Rahmenwerk einbetten. Auch nationale Richtlinien (z. B. BSI IT-Grundschutz in Deutschland) geben Empfehlungen: So sollten regelmäßige Audits und Sicherheitsüberprüfungen fester Bestandteil des Sicherheitsprozesses sein. Insgesamt müssen alle relevanten gesetzlichen Vorgaben (DSGVO/BDSG) und Standards berücksichtigt werden, um das CAFM-System compliant und auditierbar zu betreiben.

Ein Datenschutz- und Sicherheitsreview für ein CAFM-/IWMS-System sollte umfassend angelegt sein und alle wichtigen Bereiche abdecken. Das bedeutet, die Prüfungen müssen sowohl technische als auch organisatorische Sicherheitsmaßnahmen einbeziehen. Typischerweise erfolgt zunächst eine Bestandsaufnahme: Welche Daten werden im CAFM-System verarbeitet? Welche Schutzbedarfe bestehen (z. B. besonders sensible Daten)? Anschließend werden alle relevanten Kontrollfelder durchgegangen. Dazu gehören etwa Zugriffsrechte und Benutzerrollen, Authentifizierungsmechanismen, Netzwerk- und Server-Sicherheit, Verschlüsselung im System, Backup- und Notfallkonzepte, sowie organisatorische Prozesse wie Schulungen, Rechte- und Rollenmanagement, Löschkonzepte und das Führen von Verarbeitungsverzeichnissen. Die Reviews prüfen, ob festgelegte Richtlinien eingehalten werden – z. B. ob regelmäßige Passwortwechsel erfolgen, ob Löschfristen für Altdaten beachtet werden und ob neue Funktionalitäten vor dem Einsatz datenschutzrechtlich bewertet wurden. Wichtig ist hierbei ein risikobasierter Ansatz: Bereiche mit hohem Schutzbedarf (z. B. personenbezogene Nutzerdaten) verdienen besonderes Augenmerk.

In der Praxis kommen bei solchen Reviews verschiedene Prüfmethoden zum Einsatz. Häufig wird mit internen Audits begonnen, bei denen das eigene Datenschutz- oder IT-Security-Team anhand von Checklisten Schwachstellen aufdeckt. Ergänzend können technische Tests durchgeführt werden: z. B. Schwachstellenanalysen und Penetrationstests auf das CAFM-System, um Sicherheitslücken in Infrastruktur oder Applikation aufzuspüren. Ebenso wichtig ist eine Risikobewertung: Dabei werden mögliche Bedrohungen und ihre potenziellen Auswirkungen auf die CAFM-Daten analysiert, um Prioritäten für Maßnahmen zu setzen. Regelmäßige Reviews – etwa jährlich oder halbjährlich – stellen sicher, dass einmal identifizierte Risiken nicht übersehen werden. Die Inhalte eines solchen Reviews sollten klar definiert sein. Typische Prüfpunkte sind beispielsweise: Sind die Benutzer- und Berechtigungskonzepte aktuell und wirksam? Werden Zugriffe und Änderungen am System protokolliert und ausgewertet? Ist das Datensicherungskonzept (Backups, Recovery-Tests) implementiert? Werden alle DSGVO-Dokumentationspflichten erfüllt (Verzeichnis der Verarbeitungstätigkeiten, aktuelle Datenschutzerklärung etc.)? Die Prüfungen münden in einem Bericht, der sowohl Befunde als auch empfohlene Korrekturmaßnahmen festhält. So wird ein kompletter Überblick geschaffen, wo das CAFM-System bereits konform ist und wo Nachbesserungsbedarf besteht.

• Benutzerrechte: Überprüfung aller Nutzerkonten, Rollen und Berechtigungen (Stichwort Least Privilege). Abgleich, ob jeder Nutzer nur den für seine Aufgabe nötigen Zugriff hat; Deaktivierung veralteter Accounts.

• Sicherheitsfunktionen: Kontrolle der technischen Maßnahmen im System – etwa Verschlüsselungseinstellungen, Protokollierungseinstellungen, Firewall/Netzwerkschutz und Virenschutz auf Servern, aktuelle Patch-Stände der CAFM-Software.

• Datenschutz-Compliance: Prüfung, ob die Verarbeitung im CAFM im Einklang mit DSGVO/BDSG erfolgt. Dazu gehört z. B. die Datenminimierung (werden nur notwendige personenbezogene Daten erfasst?), die Einhaltung von Löschfristen (werden historische Daten fristgerecht gelöscht oder anonymisiert?) und Vorhandensein aller erforderlichen Verträge (z. B. AV-Verträge mit Dienstleistern).

• Organisatorische Maßnahmen: Bewertung, ob es aktuelle Datenschutz- und IT-Sicherheitsrichtlinien gibt und ob diese im Alltag umgesetzt werden. Ebenso, ob Mitarbeiter-Schulungen zum Umgang mit dem CAFM-System stattgefunden haben und ob Meldewege für Sicherheitsvorfälle definiert sind.

• Dokumentenlage: Check der vorhandenen Dokumentation (z. B. Sicherheitskonzept für das CAFM, Verarbeitungsverzeichnis, zuletzt erstellte Prüfberichte). Diese sollten vollständig und auf dem neuesten Stand sein, da sie bei Audits vorgelegt werden müssen.

Durch diesen breiten Umfang – von technischen Details bis hin zur Dokumentation – erhält man ein ganzheitliches Bild der Datenschutz- und Sicherheitslage des CAFM-Systems. Wichtig ist, die Ergebnisse des Reviews im Anschluss zu priorisieren und in Maßnahmen umzusetzen (siehe Abschnitt Dokumentation und Maßnahmenpläne), um die festgestellten Lücken zu schließen.

Damit Datenschutz- und Sicherheitsreviews effektiv sind, müssen sie fest in den laufenden Betrieb und die Change-Management-Prozesse eingebunden werden. Ein Review sollte nicht als losgelöstes Ereignis verstanden werden, sondern als wiederkehrender Bestandteil des IT-Betriebs. Viele Organisationen etablieren hierfür einen festen Review-Zyklus (z. B. viertel- oder jährlich), in dem das CAFM-System auf den Prüfstand kommt. Dieser Prozess kann analog zu Management-Reviews im ISMS oder als Teil der regulären IT-Qualitätssicherung durchgeführt werden. Wichtig ist, einen verantwortlichen Prozessowner (oft der CAFM-Systemverantwortliche in Abstimmung mit DSB und IT-Sicherheit) zu benennen und einen Terminplan aufzustellen. Die Integration in den Betriebsalltag bedeutet z. B., dass Findings aus einem Review gleich in das Ticket-System oder Maßnahmenregister des Betriebs überführt und nachverfolgt werden. So werden entdeckte Mängel nicht vergessen, sondern zeitnah behoben. Außerdem empfiehlt es sich, Ergebnisse und Erfahrungen aus den Reviews regelmäßig in Teambesprechungen des CAFM-Betriebs und der IT-Sicherheit zu thematisieren, um kontinuierlich dazuzulernen. Dieser PDCA-Zyklus (Plan-Do-Check-Act) im Kleinen sorgt dafür, dass Datenschutz und Sicherheit als Daueraufgabe begriffen werden.

Ein weiterer wichtiger Aspekt ist die Verankerung im Change-Prozess. Änderungen am CAFM-System – seien es Software-Updates, neue Module/Funktionen oder Schnittstellen zu anderen Systemen – können Einfluss auf die Sicherheits- und Datenschutzlage haben. Daher sollte jede wesentliche Änderung vor der Umsetzung geprüft werden: Gibt es neue Risiken? Ändern sich die verarbeiteten Datenarten oder -mengen? Muss ggf. eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden? Gemäß ISO 27001 ist ein formales Change-Management erforderlich, das sicherstellt, dass jede Änderung risikobewertet und autorisiert wird, bevor sie produktiv geht. Praktisch bedeutet dies z. B.: Bevor ein Update installiert oder eine Konfiguration geändert wird, fragen Verantwortliche: „Beeinträchtigt das die Sicherheit oder den Datenschutz?“. Ist die Änderung genehmigungspflichtig, sollte eine zweite Person (Vier-Augen-Prinzip) zustimmen, idealerweise nach Durchsicht einer Risikoanalyse und Testdurchführung in einer Testumgebung. Falls die Änderung scheitert oder unerwartete Probleme verursacht, müssen Fallback-Prozeduren bereitstehen (z. B. Möglichkeit zum schnellen Rollback). Durch solch einen strukturierten Change-Prozess wird verhindert, dass gut gemeinte Änderungen unbeabsichtigte Sicherheitslücken reißen.

Gerade bei größeren Neuerungen – beispielsweise der Einführung eines neuen CAFM-Moduls zur Personaleinsatzplanung oder der Integration von IoT-Sensordaten in die FM-Plattform – ist die Einbindung des Datenschutzbeauftragten (DSB) und der IT-Sicherheit unerlässlich. Diese sollten frühzeitig in Projekt- oder Change-Meetings konsultiert werden. Oft wird dabei eine formelle Datenschutz-Folgenabschätzung erstellt, um die Auswirkungen auf den Datenschutz systematisch zu bewerten]. Das Ergebnis bestimmt, ob zusätzliche Schutzmaßnahmen nötig sind (z. B. Pseudonymisierung von Daten, Anpassung der Benutzerrechte oder zusätzliche Einwilligung der Betroffenen). Dieser Prozess – Datenschutz und Security by Design – sollte fester Bestandteil jeder CAFM-Systemänderung sein. Nach Umsetzung der Änderung muss zudem überprüft werden, ob alle Dokumentationen angepasst wurden: Etwaige Sicherheitskonzepte, Verfahrensverzeichnisse oder Benutzerhandbücher sind auf den neuesten Stand zu bringen. So bleibt der Audit-Trail intakt und jeder Zeitpunkt des Systemlebenszyklus ist sauber dokumentiert. Kurz gesagt: Datenschutz- und Security-Reviews dürfen nicht isoliert ablaufen, sondern müssen in den täglichen Betrieb integriert und in IT- und FM-Change-Prozesse eingebaut sein – nur so wird kontinuierliche Sicherheit gewährleistet.

Für wirksame Datenschutz- und Sicherheitsreviews ist eine klare Rollenverteilung entscheidend. In der Praxis sind mehrere Personen bzw. Funktionsträger involviert, die jeweils spezifische Verantwortlichkeiten tragen. Im CAFM-Umfeld lassen sich insbesondere drei Kernrollen ausmachen: Datenschutzbeauftragter (DSB), IT-Sicherheitsverantwortlicher (z. B. Informationssicherheitsbeauftragter, CISO oder IT-Security-Team) und die CAFM-Betriebsverantwortlichen (Systemeigner, Administratoren im Fachbereich FM oder IT). Daneben spielen Management und ggf. Interne Revision ebenfalls eine Rolle bei der Etablierung der Prozesse.

• Datenschutzbeauftragter (DSB): Der DSB ist gemäß DSGVO in vielen Fällen zu benennen (insbesondere bei umfangreicher Datenverarbeitung oder öffentlichen Stellen) und überwacht die Einhaltung der Datenschutzvorschriften im Unternehmen. Im CAFM-Kontext berät er bei allen Fragen zur zulässigen Verarbeitung von personenbezogenen Daten im System. Er kontrolliert die Umsetzung der gesetzlichen und internen Datenschutzvorgaben – z. B. prüft er regelmäßig, ob das Verzeichnis der Verarbeitungstätigkeiten aktuell ist, ob alle Nutzer über die Verarbeitung informiert sind und ob Daten nur im erlaubten Rahmen genutzt werden. Der DSB ist oft Initiator von Datenschutzreviews und begleitet Audits, um sicherzustellen, dass identifizierte Mängel behoben werden. Außerdem ist er Anlaufstelle für Meldungen von Datenschutzvorfällen im CAFM-System und arbeitet mit der IT-Sicherheit bei der Untersuchung solcher Vorfälle zusammen. Hinweis: Der DSB hat in der Regel eine unabhängige Stellung im Unternehmen und berichtet direkt an die Geschäftsleitung, um Interessenkonflikte zu vermeiden.

• IT-Sicherheitsverantwortliche (Informationssicherheitsbeauftragter / IT-Security Officer): Diese Rolle kümmert sich um die technische IT-Sicherheit des CAFM-Systems. Sie stellt sicher, dass angemessene Sicherheitsmaßnahmen implementiert sind (z. B. Firewalls, Verschlüsselung, Zugriffskontrollsysteme) und kontinuierlich funktionieren. In Bezug auf Reviews plant und koordiniert der IT-Sicherheitsverantwortliche interne Sicherheitsaudits, wertet technische Scannergebnisse (Schwachstellen-Scans, Log-Auswertungen) aus und empfiehlt Verbesserungen. Er oder sie pflegt das ISMS (sofern vorhanden) bzw. die Sicherheitsrichtlinien, und aktualisiert z. B. das Sicherheitskonzept des CAFM-Systems auf Basis der Review-Ergebnisse. Zudem trägt die IT-Sicherheit die Verantwortung, Sicherheitsvorfälle zu behandeln: Von der Entgegennahme interner Meldungen über die Analyse (forensische Untersuchungen) bis zur Einleitung von Gegenmaßnahmen und der Kommunikation an den DSB und ggf. Management. Oft ist auch eine Mitarbeiterschulung in IT-Sicherheitsthemen in seinem Aufgabenbereich – das erhöht die Awareness im täglichen Umgang mit dem System. Wichtig: Bei der Change-Planung für das CAFM-System prüft die IT-Sicherheitsfunktion jede geplante Änderung auf Risiken (siehe Abschnitt 4) und gibt eine Freigabe aus technischer Sicherheitssicht.

• CAFM-Betrieb (Systemverantwortliche/Admins im Facility Management oder IT): Diese Rolle umfasst die tägliche Betriebsverantwortung für das CAFM-System. Oft handelt es sich um einen CAFM-Manager im FM-Team in Zusammenarbeit mit IT-Administratoren. Ihre Aufgabe ist es, die implementierten Datenschutz- und Sicherheitsmaßnahmen praktisch umzusetzen und aufrechtzuerhalten. Beispielsweise legen sie Benutzerkonten an und entfernen sie, setzen die vom IT-Sicherheitskonzept vorgegebenen Zugriffsrechte um, überprüfen regelmäßig die Berechtigungen der Nutzer (Rezertifizierung) und kümmern sich um Backup/Recovery-Routinen. Im Review-Prozess liefern sie notwendige Informationen und Dokumente – etwa aktuelle Berechtigungslisten, Nachweise zu Backup-Tests oder Protokolle über durchgeführte Updates. Sie führen ggf. Änderungen aus, die aus Reviews resultieren (z. B. Konfigurationsanpassungen, Patch-Einspielungen) und dokumentieren diese. Außerdem sorgen sie dafür, dass alle Administrationsschritte protokolliert werden, sodass ein Audit-Trail entsteht. Die CAFM-Betriebsverantwortlichen sind somit die „Operative Hand“ der Sicherheits- und Datenschutzvorgaben. Sie stehen in engem Austausch mit DSB und IT-Sicherheit, insbesondere wenn es um die Umsetzung von Maßnahmenplänen aus den Reviews geht. Zudem stellen sie oft als Key-User sicher, dass auch die Endanwender (z. B. Sachbearbeiter im FM) die Datenschutzrichtlinien einhalten – etwa indem sie auf korrekte Dateneingabe achten oder Unregelmäßigkeiten melden.

• Management und Auditoren (weitere Stakeholder): Die Unternehmensführung spielt insofern eine Rolle, als sie die Ressourcen und Prioritäten für Datenschutz und Sicherheit festlegt. Sie sollte durch regelmäßige Reporting (z. B. jährlicher Datenschutzbericht) informiert werden und bei gravierenden Risiken Entscheidungen treffen (z. B. Budget für Sicherheitsupdates oder personelle Verstärkung). Interne oder externe Auditoren schließlich führen unabhängige Prüfungen durch und bewerten das CAFM-System aus neutraler Sicht. Sie prüfen die Arbeit der obigen Rollen (z. B. ob DSB und IT-Sicherheit effektiv handeln) und stellen formelle Auditberichte aus, die als Grundlage für Zertifizierungen oder behördliche Nachweise dienen.

Durch diese klare Aufgabenteilung wird sichergestellt, dass Datenschutz- und Sicherheitsreviews nicht im luftleeren Raum stattfinden. Jeder weiß, wer wofür verantwortlich ist. Insbesondere die Bestellung eines Datenschutzbeauftragten und eines Informationssicherheitsbeauftragten (oder vergleichbarer Funktionen) ist unabdingbar, um die Einhaltung der Richtlinien kontinuierlich zu überwachen. Gleichzeitig müssen die Rollen aber verzahnt zusammenarbeiten: Der DSB achtet auf Datenschutz-Compliance, die IT-Sicherheit auf technische Robustheit, und der CAFM-Betrieb setzt beides um. Durch definierte Meldewege (z. B. meldet der CAFM-Admin jeden Datenschutzvorfall sofort an DSB und Security) und gemeinsame Abstimmungsrunden entsteht eine Sicherheitskultur, in der Datenschutz Teil des Alltags ist.

Tipp: Oft hilft ein RACI-Diagramm oder Verantwortungstableau, um die Zuständigkeiten schriftlich festzuhalten. Darin wird für typische Aufgaben (z. B. „Durchführung jährliches Datenschutzaudit“, „Pflege Verarbeitungsverzeichnis“, „Freigabe von Änderungen im CAFM“) festgelegt, wer verantwortlich (R), wer mitwirkend (A – accountable, C – consulted, I – informed) ist. Dies schafft Transparenz und verhindert Zuständigkeitslücken.

Für CAFM-Systeme gelten die gleichen hohen Anforderungen an IT-Sicherheit wie für andere kritische Informationssysteme. Technische Maßnahmen bilden das Fundament zum Schutz vor unbefugtem Zugriff, Datenverlust oder Manipulation.

• Zugriffskontrollen (Access Control): Das CAFM-System muss sicherstellen, dass nur berechtigte Personen auf Daten zugreifen können. Dies wird durch ein feingranulares Berechtigungs- und Rollenkonzept erreicht. Jeder Nutzer sollte einen individuellen Login mit sicherem Kennwort besitzen; gemeinsame Accounts sind zu vermeiden. Es gilt das Prinzip der Minimalberechtigung (Least Privilege): Nutzer erhalten nur die Zugriffsrechte, die sie für ihre Aufgaben benötigen. Administrationstätigkeiten sind auf wenige Administratoren beschränkt, und selbst diese arbeiten nach Möglichkeit mit getrennten, eingeschränkten Accounts (für normale vs. admin Tätigkeiten). Mehrstufige Authentifizierung (MFA) sollte für kritische Zugänge eingerichtet sein (z. B. Zwei-Faktor-Authentisierung für Administratoren oder beim Fernzugriff). Darüber hinaus sind regelmäßige Rezertifizierungen wichtig: Mindestens jährlich sollte überprüft werden, ob alle vergebenen Accounts und Rechte noch aktuell und gerechtfertigt sind – um „Rechte-Müll“ und verwaiste Zugänge zu vermeiden. Das Rechte- und Rollenkonzept sowie dessen Überprüfung sind typischerweise Teil der technischen Dokumentation (Sicherheitskonzept) und werden in Audits genau angeschaut.

• Logging & Monitoring (Protokollierung): Eine lückenlose Protokollierung sicherheitsrelevanter Ereignisse ist essentiell, um später nachvollziehen zu können, wer wann was im System getan hat. Im CAFM-Kontext bedeutet das: Anmeldevorgänge, Zugriff auf sensible Datensätze, Änderungen an Stammdaten, Berechtigungsänderungen und ähnliche Aktionen sollten vom System protokolliert werden. Moderne CAFM-Software bringt hierfür oft Logging-Module mit, die auch Integration in zentrale SIEM-Systeme (Security Information and Event Management) erlauben. Wichtig ist, dass die Logdaten regelmäßig ausgewertet werden – entweder automatisiert durch Alarme bei bestimmten Ereignissen oder manuell durch die IT-Sicherheitsbeauftragten. So können unautorisierte Zugriffsversuche oder ungewöhnliche Nutzungsmuster frühzeitig erkannt werden. Beispielsweise könnte ein Monitoring-Alarm ausgelöst werden, wenn ein normaler Sachbearbeiter plötzlich versucht, administrative Funktionen aufzurufen. Reviews überprüfen, ob die Protokollierung umfassend aktiviert ist (und nicht etwa aus Performancegründen abgeschaltet wurde) und ob es definierte Prozesse zur Log-Analyse gibt. Außerdem muss geklärt sein, wie lange Logs aufbewahrt und wo sie sicher gespeichert werden (Stichwort Manipulationssicherheit der Logs, z. B. auslagerung auf ein zentrales Log-Archiv mit Schreibschutz). In vielen Datenschutzregelungen gilt Logging selbst als Verarbeitung, die zweckgebunden und dokumentiert sein muss – auch das wird geprüft. Ein weiterer Punkt: Datenschutzkonforme Protokollierung – z. B. sollten Zugriffslogs keine unnötigen personenbezogenen Inhalte mitschreiben (Datenminimierung auch im Logging).

• Datenverschlüsselung: Verschlüsselung ist ein zentrales technisches Mittel, um personenbezogene und vertrauliche Daten vor Zugriff zu schützen. Ein CAFM-System sollte zweifach verschlüsseln: Zum einen Transportverschlüsselung (TLS/SSL) für alle Datenübertragungen, damit auf dem Netzwerkweg niemand mitlauschen kann. Zum anderen Speicherverschlüsselung (Encryption at Rest) für die Datenbank und Backups, sodass selbst bei Entwendung eines Servers oder eines Backup-Mediums kein Klartext ausgelesen werden kann. Die DSGVO nennt die Verschlüsselung ausdrücklich als Beispiel einer angemessenen Schutzmaßnahme – entsprechend wird ein Auditor immer nachfragen, ob und wie die Daten verschlüsselt werden. Im CAFM-Kontext sind oft geografisch verteilte Standorte oder mobile Zugriffe (z. B. Techniker mit Tablet) involviert, was Transportverschlüsselung unabdingbar macht. Starke Verschlüsselungsverfahren (aktuelle Standards wie AES-256, RSA-2048 usw.) sollten eingesetzt und veraltete Algorithmen vermieden werden. Auch das Schlüsselmanagement ist wesentlich: Wo werden z. B. die Datenbankschlüssel abgelegt? Wer hat Zugang dazu? Sind Prozesse zum regelmäßigen Schlüsselwechsel definiert? Reviews kontrollieren all diese Punkte. Ein gut umgesetztes Verschlüsselungskonzept stellt sicher, dass im Fall eines Datenlecks die Informationen für Unbefugte unlesbar sind und somit kein meldepflichtiger Datenschutzvorfall entsteht.

• Weitere technische Maßnahmen: Neben den oben genannten Hauptbereichen prüfen Reviews natürlich weitere Controls. Dazu gehören z. B. System- und Netzwerk-Härtung (sind alle Server aktuell gepatcht? Sind unnötige Dienste deaktiviert? Firewall-Regeln korrekt gesetzt?), Malware-Schutz (läuft aktuelle Anti-Virus-Software auf relevanten Systemen?), Physische Sicherheit der Rechenzentrum-Räume (Zutrittskontrollen, Alarmanlagen – relevant, wenn CAFM on-premise betrieben wird) und Verfügbarkeitsmaßnahmen wie Redundanzen oder georedundante Datenspeicherung. Ein wichtiger Aspekt ist auch das Backup- und Notfallmanagement: Liegen regelmäßige Backup-Protokolle vor? Werden Wiederherstellungsübungen (Disaster-Recovery-Tests) durchgeführt? Gemäß Art. 32 DSGVO muss die Fähigkeit gegeben sein, Daten nach einem Zwischenfall wiederherzustellen, was dokumentierte Backups und Notfallpläne voraussetzt. Schließlich spielt die Datenintegrität eine Rolle: Mechanismen wie Checksummen oder Write-Once-Read-Many-Speicher können verhindern, dass Daten unbemerkt manipuliert werden.

All diese technischen Maßnahmen sollten im Sicherheitskonzept/TOM-Dokument für das CAFM-System beschrieben sein und werden im Rahmen von Reviews auf Aktualität und Wirksamkeit geprüft. Die Erfahrung zeigt: Oft sind technische Controls zwar vorhanden, jedoch nicht konsequent genutzt (z. B. Logging eingerichtet, aber niemand wertet die Logs aus). Daher liegt der Fokus der Audits darauf, nicht nur das Vorhandensein, sondern auch die Effektivität der technischen Maßnahmen nachzuweisen.

Technische Sicherheit alleine genügt nicht – ebenso wichtig sind organisatorische Maßnahmen, die den Datenschutz im CAFM-Betrieb verankern. Diese Maßnahmen bilden den Rahmen, innerhalb dessen technische Controls geplant, umgesetzt und überwacht werden.

• Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO): Jede Organisation muss ein Verarbeitungsverzeichnis führen, in dem alle Prozesse aufgeführt sind, bei denen personenbezogene Daten verarbeitet werden – also auch das CAFM-System. In diesem Verzeichnis werden für die CAFM-Software u. a. Zweck der Verarbeitung (z. B. Vertragsverwaltung, Raumvergabe etc.), Kategorien betroffener Personen (Mitarbeiter, Dienstleister, Besucher), Datenkategorien (z. B. Kontaktdaten, Zugangsprotokolle), Empfänger (z. B. externe Wartungsfirmen, wenn sie Zugriff haben) sowie Löschfristen dokumentiert. Das Verfahrensverzeichnis ist ein zentrales Dokument für Datenschutz-Audits, da es einen Überblick gibt, welche Datenflüsse existieren. Ein regelmäßiges Review beinhaltet daher, zu prüfen, ob das Verzeichnis für das CAFM-System aktuell ist und alle relevanten Angaben nach Art. 30 DSGVO enthält. Sollte das CAFM-System z. B. um ein neues Modul erweitert werden (etwa Besuchermanagement mit Erfassung von Ausweisdaten), muss dies im Verzeichnis ergänzt werden. Der Datenschutzbeauftragte ist meist für die Pflege des Verzeichnisses verantwortlich und wird es im Rahmen von Audits vorlegen.

• Technische und Organisatorische Maßnahmen (TOMs): Unter TOMs versteht man die Gesamtheit der implementierten Sicherheitsmaßnahmen im Sinne von Art. 32 DSGVO. Viele Unternehmen halten diese Maßnahmen in einem Sicherheitskonzept oder einer TOM-Liste schriftlich fest – oft identisch mit dem Informationssicherheitskonzept. Darin sind alle relevanten Kategorien abgedeckt: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungsgebot (dies sind die klassischen DSGVO-TOM-Kategorien). Im Kontext CAFM wird in diesem Dokument z. B. beschrieben, wie die Gebäudemanagement-Daten vor unbefugtem Zutritt geschützt sind (physische Sicherheit), wie die Zugangsberechtigungen im System geregelt sind (logische Zugänge), wer im Fall einer Auftragsdatenverarbeitung Zugriff erhält (Auftragskontrolle), wie Änderungen protokolliert werden (Eingabekontrolle), dass regelmäßige Backups existieren (Verfügbarkeit) usw. Ein solches Dokument ist sowohl intern wichtig, um alle Maßnahmen transparent darzustellen, als auch extern als Audit-Nachweis. Regelmäßige Reviews sollten beinhalten, die TOM-Dokumentation zu überprüfen: Sind alle beschriebenen Maßnahmen noch aktuell? Wurden eventuell neue Risiken identifiziert, die zusätzliche Maßnahmen erfordern? Entsprechen die getroffenen Maßnahmen dem Stand der Technik? Oft wird im Audit abgeglichen, ob das, was im Konzept steht, auch tatsächlich umgesetzt wird (Stichwort „Papier ist geduldig“). Daher sollte das Sicherheitskonzept laufend fortgeschrieben werden – idealerweise fließen die Ergebnisse jeder Überprüfung direkt ein. Ein gut gepflegtes Sicherheitskonzept ist ein Schlüsseldokument für Audits.

• Risikobewertungen und Datenschutz-Folgenabschätzungen: Ein effektives Sicherheitsmanagement fußt auf einer systematischen Risikobewertung. Das heißt, Bedrohungen und Schwachstellen im Zusammenhang mit dem CAFM-System werden identifiziert und hinsichtlich Eintrittswahrscheinlichkeit und Schadensausmaß bewertet. Hieraus leitet man dann priorisierte Maßnahmen ab. Viele Unternehmen führen solche Risk Assessments jährlich durch oder wenn größere Änderungen anstehen. Im Datenschutzbereich schreibt die DSGVO bei bestimmten hohen Risiken eine Datenschutz-Folgenabschätzung (DSFA) vor (Art. 35 DSGVO) – dies kann z. B. der Fall sein, wenn das CAFM-System besonders umfangreiche Verhaltensdaten von Gebäudenutzern verarbeitet oder neue Technologien (z. B. Gesichtserkennung für Zugangssysteme) eingeführt werden. Im Rahmen der Reviews ist zu prüfen, ob eine DSFA erforderlich ist und falls ja, ob sie durchgeführt und dokumentiert wurde. Generell sollten alle größeren Projekte rund um das CAFM vorab datenschutzlich bewertet werden. Wenn neue Risiken auftauchen (z. B. bekannt gewordene Sicherheitslücken in der genutzten Software), muss dies ebenfalls in eine aktualisierte Risikoanalyse einfließen. Die Dokumentation der Risiko- und Schutzbedarfsanalyse ist häufig Teil der Audit-Unterlagen. Auditoren erwarten, dass das Unternehmen seine Risiken kennt und angemessen adressiert – das demonstriert Verantwortungsbewusstsein. Auch das BSI-Grundschutz oder ISO 27001 verlangen dokumentierte Risikoanalysen als Grundlage des Sicherheitskonzepts.

• Schulungen und Awareness: Ein oft unterschätzter organisatorischer Faktor ist der Mensch. Mitarbeiter, die mit dem CAFM-System arbeiten (sowohl Endanwender als auch Administratoren), müssen regelmäßig zu Datenschutz und IT-Sicherheit geschult und sensibilisiert werden. Das beinhaltet Schulungen zu den Datenschutzrichtlinien des Unternehmens, zum korrekten Umgang mit dem System (z. B. keine Schattenlisten in Excel führen, sondern Daten nur im System pflegen), zur Erkennung von Social-Engineering-Versuchen (z. B. Phishing-Mails, die Zugangsdaten fürs CAFM ergaunern wollen) und zu Meldewegen bei Vorfällen. Ein gut informiertes Team ist entscheidend, denn in vielen Fällen ist der Mensch das schwächste Glied der Sicherheit. Entsprechend überprüfen Reviews, ob Schulungskonzepte vorliegen (Datenschutz-Schulungen mind. jährlich, neue Mitarbeiter zeitnah schulen) und ob die Teilnahme dokumentiert ist. Auch Vertraulichkeitserklärungen der Mitarbeiter (insbesondere Administratoren) gehören zu den organisatorischen Maßnahmen – diese sollten unterschrieben vorliegen und in Audits gezeigt werden können. Eine gelebte Sicherheitskultur zeigt sich auch darin, dass Mitarbeiter sich trauen, Vorfälle oder Schwachstellen zu melden, statt sie zu vertuschen; daher sollte es einen definierten Meldeprozess geben (z. B. Meldeformular oder Hotline an IT-Security/DSB) und dieser den Mitarbeitern bekannt sein.

• Policies, Prozesse und Verantwortlichkeiten: In einem gereiften Datenschutz- und Sicherheitskonzept sind viele der obigen Punkte in Richtlinien und Verfahrensanweisungen gegossen. Beispiele: eine Datenschutzrichtlinie für das FM, eine IT-Sicherheitsrichtlinie, ein definierter Prozess für Zugriffsberechtigung (Beantragung, Genehmigung, Rezertifizierung), ein Vorfall-Management-Prozess bei Sicherheitsvorfällen, Change-Management-Prozess (siehe Abschnitt 4) und klare Regelungen zur Zusammenarbeit zwischen FM, IT und Datenschutz (ggf. in einer Betriebsvereinbarung oder Arbeitsanweisung dokumentiert). Reviews prüfen, ob solche Policies existieren, den Mitarbeitern bekannt sind und tatsächlich eingehalten werden. Gerade im Hinblick auf Audit-Fähigkeit (Abschnitt 9) ist es wichtig, schriftliche Richtlinien zu haben, da Auditoren diese als erstes anfordern, um das Regelwerk des Unternehmens zu verstehen.

Zusammenfassend schaffen die organisatorischen Maßnahmen das Rückgrat der Datenschutz-Compliance. Sie sorgen dafür, dass technische Maßnahmen nicht ins Leere laufen und dass alle Aktivitäten rund um das CAFM in geordneten Bahnen verlaufen. Dokumentation und regelmäßige Überprüfung dieser organisatorischen Vorkehrungen sind daher ebenso wichtig wie die Technologie selbst – sie demonstrieren, dass Datenschutz und Sicherheit im Unternehmen systematisch gemanagt werden.

Eine saubere und vollständige Dokumentation ist das A und O, um Datenschutz- und Sicherheitsreviews nachvollziehbar zu machen und Audit-Anforderungen zu genügen. Die DSGVO fordert im Rahmen der Rechenschaftspflicht (Art. 5 Abs. 2), dass ein Unternehmen die Einhaltung der Datenschutzvorgaben jederzeit nachweisen kann – dies gelingt nur mit schriftlichen Belegen über die implementierten Maßnahmen und Kontrollen. Daher müssen alle im Rahmen von Reviews und Audits durchgeführten Aktivitäten und Ergebnisse sorgfältig dokumentiert werden.

• Review-Protokolle: Für jedes durchgeführte Datenschutz- oder Sicherheitsreview sollte ein Protokoll erstellt werden. Darin wird festgehalten: Datum und Umfang der Überprüfung, beteiligte Personen (z. B. DSB, IT-Sicherheitsbeauftragter, CAFM-Admin), die Prüfpunkte bzw. Kriterienkataloge, nach denen vorgegangen wurde, sowie natürlich die Ergebnisse. Festgestellte Abweichungen oder Schwachstellen werden hier beschrieben, idealerweise mit Einstufung (z. B. Schweregrad gering/mittel/hoch) und Fundstelle. Auch positive Feststellungen (Compliance erfüllt) sollten erwähnt werden, um Vollständigkeit zu zeigen. Wichtig ist, dass die Protokolle unterschrieben oder freigegeben werden von den Verantwortlichen, damit klar ist, dass das Management Kenntnis genommen hat. Ein solches Protokoll dient intern als Ausgangsbasis für Verbesserungen und extern als erster Nachweis, dass überhaupt überprüft wurde.

• Maßnahmenpläne (Aktionspläne): Aus jedem Review leitet sich in der Regel ein Maßnahmenplan ab. Dieser listet alle identifizierten Verbesserungspunkte oder Findings auf und ordnet ihnen konkrete Maßnahmen zu. Typischerweise enthält der Plan Spalten für: Beschreibung der Maßnahme, Verantwortlicher (Person/Abteilung), Priorität oder Frist, Status (offen/in Bearbeitung/abgeschlossen). Beispiel: "Berechtigungskonzept überarbeiten – Verantwortlich: IT-Sicherheit, bis: 30.06., Priorität: hoch, Status: in Arbeit". Solche Maßnahmenpläne sollten versioniert geführt und regelmäßig aktualisiert werden, bis alle Punkte abgeschlossen sind. Im nächsten Review wird geprüft, ob die alten Maßnahmen umgesetzt wurden – dieser Kontrollzyklus ist wichtig für kontinuierliche Verbesserung. Auditorn gegenüber sind Maßnahmenpläne ein wertvolles Dokument, da sie zeigen, dass das Unternehmen proaktiv an der Schließung von Compliance-Lücken arbeitet. Gegebenenfalls wird in Audits nach den Evidenzen für abgeschlossene Maßnahmen gefragt (z. B. Nachweis, dass Berechtigungskonzept tatsächlich aktualisiert wurde – etwa neues Rollenkonzept-Dokument).

• Prüfberichte (Audit-Berichte): Wurden formelle Audits durchgeführt – sei es interne Audits durch die Revision oder externe Audits (z. B. ISO 27001-Zertifizierungsaudit oder Audit der Datenschutz-Aufsichtsbehörde) – so entstehen Auditberichte. Diese Berichte fassen in strukturierter Form zusammen, inwieweit das CAFM-System den Anforderungen entspricht, und listen Abweichungen (Non-Conformities bzw. Empfehlungen) auf. Ein interner Auditbericht könnte z. B. feststellen: "Benutzerrechte-Review erfolgt nicht regelmäßig, dies ist zu verbessern". Ein externer Auditbericht (z. B. eines Zertifizierers) hat meist Kapitel zu verschiedenen Kontrollbereichen und vergibt eine Bewertung. Alle diese Berichte müssen abgelegt und ausgewertet werden. Sie dienen als offizielle Nachweise gegenüber Dritten. Insbesondere bei externen Audits sollte man Kopien der Berichte bereithalten, um gegenüber Kunden oder Aufsichtsbehörden den Erfüllungsgrad belegen zu können.

• Sicherheits- und Datenschutzkonzept: Als ergänzende Dokumentation ist auch das eigentliche Sicherheitskonzept/Datenschutzkonzept (siehe organisatorische Maßnahmen) zu nennen, das alle implementierten Maßnahmen beschreibt. Dieses Konzept wird idealerweise im Anhang von Dienstleisterverträgen geführt und intern bei jedem Audit vorgelegt. Hier sollte vermerkt sein, wann es zuletzt aktualisiert wurde (z. B. "Stand: Review Nov. 2025 eingearbeitet"). Ein aktuelles Konzept zeigt, dass die Organisation ihr Regelwerk pflegt.

• Sonstige Nachweise: Jenach Bedarf können weitere Dokumente relevant sein: z. B. Schulungsnachweise (Listen der geschulten Mitarbeiter, Inhalte der Schulungen), Vertraulichkeitserklärungen, Notfallpläne, Penetrationstest-Reports, Netzwerkpläne usw. Die Kunst besteht darin, eine Ablage (z. B. in einem DMS oder Audit-Ordner) zu etablieren, in der alle auditrelevanten Unterlagen zentral gesammelt sind. So kann bei einer Prüfung schnell auf alles zugegriffen werden.

• Wichtig ist, dass alle diese Dokumente eine einheitliche Linie verfolgen: Die Findings im Review-Protokoll müssen im Maßnahmenplan ihren Niederschlag finden; die Umsetzung der Maßnahmen spiegelt sich dann bei Folgereviews im Prüfbericht wider. Für interne Zwecke kann es sinnvoll sein, nach jedem größeren Review einen Managementbericht zu erstellen, der die Kernerkenntnisse und notwendigen Entscheidungen für die Leitung zusammenfasst.

• Praxis-Tipp: Legen Sie einen „Audit-Trail“-Ordner an (physisch oder digital), der für eine externe Prüfung bereitsteht. Darin enthalten: aktuelles Verarbeitungsverzeichnis, letzte zwei Review-Protokolle, aktueller Maßnahmenplan, letztes Audit (intern/extern), Sicherheitskonzept, AV-Verträge, Schulungsdokumentation, exemplarische Logfiles oder Berichte aus dem CAFM (z. B. Berechtigungsreport). Diese Sammlung stellt sicher, dass im Audit alle Nachweise greifbar sind und nichts wichtiges vergessen wird. Eine solche Vorbereitung erleichtert die Auditierung erheblich.

• Durch gewissenhafte Dokumentation wird Transparenz geschaffen – sowohl intern, sodass jeder den Status kennt, als auch extern für Auditoren und Behörden. Letztlich gilt: „Nicht dokumentiert = nicht gemacht.“ Nur was schriftlich belegt ist, kann als Erfüllung einer Anforderung gewertet werden. Daher sind Review-Dokumente und Audit-Nachweise immer sorgfältig zu pflegen und über die vorgeschriebenen Aufbewahrungsfristen hinaus verfügbar zu halten.

Unter Audit-Fähigkeit versteht man die Fähigkeit einer Organisation, zu jedem Zeitpunkt überprüfbar zu sein und die Einhaltung von Datenschutz und Sicherheit nachweisen zu können. Dies erfordert vorbereitende Maßnahmen und eine gewisse Routine im Umgang mit Audits – sei es durch interne Prüfer oder externe Stellen (z. B. Zertifizierer, Kunden oder Aufsichtsbehörden).

• Ein erster Schritt zur Audit-Fähigkeit ist die Durchführung regelmäßiger Selbstprüfungen bzw. interner Audits (siehe Abschnitt 3). Regelmäßige interne Audits sind notwendig, um die Wirksamkeit der getroffenen Maßnahmen zu bewerten und laufend die Compliance sicherzustellen. Idealerweise wird hierfür ein Auditplan erstellt, der festlegt, in welchem Turnus und mit welchem Scope geprüft wird. Beispielsweise könnten die Datenschutzprozesse jährlich durch den DSB auditiert werden, während technische Security-Audits halbjährlich durch IT-Sicherheit erfolgen. Diese internen Audits sind Probe-Audits, die Schwachstellen aufdecken, bevor ein externer Auditor kommt. Die internen Berichte und Maßnahmenpläne daraus sind vertraulich, sollten aber dem Management präsentiert werden, damit es unterstützt (z. B. Ressourcen bereitstellt, um Lücken zu schließen). Besonders in Vorbereitung auf eine externe Zertifizierung (z. B. ISO 27001) sind interne Audits unerlässlich, da erst deren Korrekturmaßnahmen das Unternehmen auditreif machen. Auch das Management-Review (z. B. jährlicher Bericht an die Geschäftsleitung zur Informationssicherheit) gehört dazu, um Führungskräfte einzubinden.

• Zur Vorbereitung auf externe Audits (etwa durch eine Zertifizierungsstelle oder eine Aufsichtsbehörde) empfiehlt es sich, frühzeitig alle geforderten Nachweise zusammenzustellen (siehe Abschnitt 8 zur Dokumentation). Viele Unternehmen führen vor einem externen Audit ein Mock-Audit oder einen Pre-Audit-Check durch: Dabei wird ein externer Berater oder erfahrener interner Auditor gebeten, das CAFM-System genauso zu prüfen, wie es der externe Auditor tun würde. Dies kann Aufschluss über eventuelle Schwachpunkte geben, die man vorher ausbessern kann. Wichtig ist, dass alle Mitarbeiter – insbesondere Administratoren, DSB und IT-Sicherheitsverantwortliche – auditfähig auftreten. Das bedeutet, sie kennen ihre Prozesse und Dokumente und können Fragen der Auditoren kompetent beantworten. Im Vorfeld sollte man alle Beteiligten briefen: Welche Fragen könnten gestellt werden (z. B. "Wie verwalten Sie Benutzerberechtigungen im CAFM?" oder "Wo ist dokumentiert, welche personenbezogenen Daten im CAFM gespeichert sind?") und wer antwortet darauf? Rollenspiele oder Auditschulungen können helfen, die Nervosität zu nehmen. Zudem ist zu klären, wer den Auditor begleitet, wer ihm Unterlagen zeigt und wie mit evtl. festgestellten Abweichungen umgegangen wird (z. B. sofortige Korrektur noch während des Audits, wenn möglich).

• Ein zentraler Punkt der Audit-Fähigkeit ist die Nachweisführung. Hier zahlt sich gründliche Dokumentation (Abschnitt 8) aus. Alle relevanten Nachweise sollten griffbereit sein, wenn Auditoren sie sehen möchten. Das umfasst z. B.: aktuelles Verarbeitungsverzeichnis, Sicherheitskonzept, Nachweise über Schulungen, Berichte und Protokolle der letzten Reviews, Auszüge aus Logfiles oder Systemberichten (etwa ein Report, der zeigt, wann die letzten 10 Benutzerkennungen angelegt wurden und durch wen – um User-Management nachvollziehbar zu machen). Auch Verträge (z. B. AV-Vertrag mit dem CAFM-Anbieter) sollten unterschrieben bereitliegen, ebenso Nachweise zu technischen Tests (z. B. ein Pentest-Zertifikat oder ein Sicherheitsaudit-Bericht eines Dienstleisters). Externe Auditoren – gerade von Zertifizierungsstellen – achten darauf, dass Entscheidungen belegt sind. Beispielsweise muss gezeigt werden können, wie Risiken beurteilt wurden (Risikoanalyse-Dokument) oder welche Kriterien für die Vergabe von Admin-Rechten gelten (Richtlinie/Zugehöriger Antrag). Die Organisation sollte ferner Audit-Rechte vertraglich verankert haben – etwa gegenüber dem Cloud-CAFM-Anbieter, damit bei Bedarf auch dessen Rechenzentrum auditiert werden kann.

• Für Audits durch Behörden (Datenschutzaufsichtsbehörden) gilt: Diese können teils kurzfristig Prüfungen ankündigen oder durchführen. Hier hilft es, wenn man die internen Unterlagen stets aktuell hält und vielleicht einen Audit-Notfallplan hat. Dieser könnte regeln: Wer ist Ansprechpartner für die Behörde? Welche Unterlagen werden als erstes bereitgestellt? Gibt es vorformulierte Erläuterungen zum System (um Missverständnisse zu vermeiden)? Eine gute Praxis ist, vorab eine Liste möglicher Fragen der Behörde zusammenzustellen (basierend auf bekannten Prüfungsleitfäden der Behörden) und die Antworten inkl. Verweis auf Dokumente vorzubereiten. So gerät man im Ernstfall nicht ins Schwimmen.

• Nicht zuletzt kann die Zertifizierung nach anerkannten Standards die Audit-Fähigkeit erhöhen. Ein Unternehmen, das ein ISO 27001-Zertifikat oder z. B. eine TISAX-Zertifizierung (in der Automobilindustrie) für seinen IT-Bereich erworben hat, hat damit bereits extern geprüfte Nachweise in der Hand. Die DSGVO erkennt Zertifizierungen ausdrücklich als möglichen Compliance-Nachweis an. Im CAFM-Kontext gibt es z. B. auch Gütesiegel für Software (GEFMA 444 Zertifikat für CAFM-Software), die jedoch eher die Softwarefunktionalität prüfen. Für den Betrieb ist ISO 27001 oder BSI-Grundschutz der Maßstab. Auditoren schenken zertifizierten Organisationen tendenziell mehr Vertrauen, da sie davon ausgehen können, dass ein systematisches Managementsystem existiert. Dennoch müssen natürlich auch zertifizierte Unternehmen im Audit alle angeforderten Detailnachweise erbringen – ein Zertifikat allein ersetzt keine Prüfung, erleichtert aber oft die Kommunikation.

• Zusammengefasst bedeutet Audit-Fähigkeit: Keine Angst vor Audits, weil man gut vorbereitet ist. Durch regelmäßige Selbstkontrolle hält man das Niveau hoch, durch komplette Nachweisdokumentation kann man jede Anforderung erfüllen, und durch geschulte Mitarbeiter verlaufen Audits reibungslos. Wenn doch Lücken aufgedeckt werden, sollte man diese konstruktiv aufnehmen – jeder Audit ist letztlich auch eine Chance, das Datenschutzniveau weiter zu heben.

Die Durchführung von Datenschutz- und Sicherheitsreviews sowie das Management der Nachweise lässt sich durch geeignete Tools und Vorlagen erheblich erleichtern.

• Audit-Checklisten und Vorlagen: Standardisierte Checklisten sind ein bewährtes Mittel, um Reviews und Audits systematisch anzugehen. Solche Checklisten enthalten typischerweise alle relevanten Prüffragen und Kontrollen – von A wie Zugriffskontrolle bis Z wie Zerstörung von Datenträgern – und dienen als Leitfaden für den Auditor. Es gibt frei verfügbare Muster, etwa vom BSI oder von Datenschutzaufsichtsbehörden, die grundlegende Maßnahmen und Fragestellungen übersichtlich darstellen. Diese können an das eigene CAFM-Umfeld angepasst werden. So stellt man sicher, dass kein wichtiger Aspekt vergessen wird. Beispielhafte Prüfpunkte einer solchen Liste könnten sein: "Existiert ein aktuelles Verzeichnis der Verarbeitungstätigkeiten für das CAFM?", "Werden Zugriffsrechte nach dem Need-to-know-Prinzip vergeben und jährlich überprüft?", "Sind alle Datenträger mit personenbezogenen CAFM-Daten verschlüsselt?", "Liegen unterschriebene AV-Verträge für alle Dienstleister vor?", "Werden erfolgreiche Backup-Wiederherstellungen regelmäßig nachgewiesen?" etc. Indem man diese Fragen mit Ja/Nein/Bemerkung dokumentiert, erhält man einen klaren Maßnahmenkatalog. Viele Unternehmen erstellen sich aus solchen Vorlagen ein eigenes Audit-Template (z. B. in Excel oder als Webformular), das jede Review-Runde ausgefüllt wird. Vorteil: Man kann Fortschritte über die Zeit verfolgen und hat stets einen dokumentierten Nachweis der Prüfung.

• Dokumenten-Management-System (DMS) oder GRC-Tools: Die Vielzahl an Dokumenten – Richtlinien, Protokolle, Berichte, Verträge – lässt sich mit einem geeigneten DMS oder speziellen Governance-Risk-Compliance (GRC)-Tools besser verwalten. Ein DMS (oder auch ein simples strukturiertes Laufwerksverzeichnis) kann als zentrale Ablage für alle auditrelevanten Dateien dienen. Wichtig ist eine klare Ordnerstruktur (z. B. nach Kategorien: Policies, Verträge, Protokolle, Berichte, Nachweise) und eine Versionierung, damit ältere Stände nachvollziehbar bleiben. Einige Unternehmen setzen auf Softwarelösungen für das ISMS/DSMS (Informationssicherheits- oder Datenschutz-Managementsystem). Solche Tools (z. B. Module in gängigen Compliance-Softwares) erlauben es, Risiken, Maßnahmen und Dokumente an einem Ort zu pflegen, Verantwortliche zuzuweisen und automatisierte Erinnerungen für Review-Termine zu versenden. Für CAFM-spezifische Belange gibt es bisher keine dedizierten Tools am Markt, aber die allgemeinen Lösungen lassen sich anpassen. Ein praktischer Ansatz ist auch die Verwendung von Ticketing-Systemen (z. B. JIRA, ServiceNow): Hier können Datenschutz- und Security-Aufgaben als Tickets angelegt und verfolgt werden, inklusive Verlinkung von Nachweisdokumenten.

• CAFM-spezifische Sicherheitsberichte und Funktionen: Moderne CAFM-Softwarelösungen bieten oft bereits eingebaute Funktionen, die bei Sicherheitsreviews helfen. Beispielsweise gibt es Auswertungen/Reports, mit denen man alle Benutzer und ihre Berechtigungen auflisten kann – so ein Berechtigungsreport erleichtert die Überprüfung der Zugriffskontrollen enorm. Ebenso können viele Systeme Protokolle über Nutzeraktionen erzeugen; daraus lassen sich Berichte generieren, die z. B. auffällige Aktivitäten anzeigen. Einige Anbieter gehen noch weiter und integrieren Compliance-Module: So werden etwa automatisierte Berichte bereitgestellt, die regelmäßig den Datenverkehr und die Zugriffsrechte auswerten und bei Abweichungen Hinweise geben. Auch Echtzeit-Monitoring von Systemnutzung und Alarmfunktionen können Teil des CAFM sein. Künftige Trends zeigen sogar den Einsatz von KI-Technologien, die Benutzerverhalten analysieren, um potenzielle Sicherheitsrisiken proaktiv zu erkennen (z. B. ungewöhnliche Zugriffsmuster). Als Verantwortlicher sollte man diese Features des CAFM-Systems aktiv nutzen, sofern vorhanden. Zudem kann man das System gezielt auf Audit-Unterstützung trimmen: Beispielsweise könnte man ein Rollenmodell im System abbilden, das exakt mit dem genehmigten Berechtigungskonzept übereinstimmt – so ist jederzeit per Knopfdruck ersichtlich, wer welche Rolle hat. Ein weiteres Beispiel: Einige CAFM-Systeme erlauben es, für Datensätze sogenannte Datenschutzstufen oder Markierungen zu setzen, die dann bei Exporten berücksichtigt werden (z. B. Anonymisierung bei Berichten). Solche Mechanismen helfen, im Tagesgeschäft datenschutzkonform zu handeln.

• Templates und Musterdokumente: Insbesondere für Dokumentationen lohnt es sich, auf bewährte Muster zurückzugreifen. So gibt es z. B. Muster-Datenschutzkonzepte, Policy-Vorlagen (Passwortrichtlinie, Incident Response Plan etc.) und Beispielverzeichnisse, die man anpassen kann. Ebenso existieren Mustervorlagen für AV-Verträge oder Auftragskontroll-Anhänge, die speziell auf IT-Dienstleistungen wie CAFM zugeschnitten sind. Die FM-Branche hat teils eigene Leitfäden: etwa Whitepapers von Branchenverbänden (GEFMA etc.) zur Umsetzung von DSGVO im Facility Management. Diese können als Orientierung dienen. Auch ISO 27001-Checklisten, die viele Beratungsfirmen veröffentlichen, decken relevante Punkte ab (wenngleich sie nicht speziell auf CAFM zielen). Insgesamt spart man Zeit, wenn man das Rad nicht neu erfindet, sondern vorhandene Templates nutzt und mit spezifischen Details füllt.

• Zusammenarbeitstools: Da bei Reviews meist Personen aus verschiedenen Abteilungen mitwirken (FM, IT, Datenschutz, ggf. externe Berater), ist die Koordination wichtig. Hier können Collaboration-Tools helfen: etwa geteilte Task-Listen (z. B. in Microsoft Teams oder Trello) für die Nachverfolgung der Maßnahmen oder ein Team-Wiki, in dem alle relevanten Prozesse beschrieben sind. Ein solches Wiki könnte auch einen Bereich „Audit-FAQ“ enthalten, wo Antworten auf häufige Auditfragen zum CAFM gesammelt werden – damit alle Auditoren die gleiche konsistente Info erhalten.

(*) Legende: ✓ = in Ordnung, ✗ = nicht erfüllt, △ = teilweise/Verbesserungsbedarf.

Diese exemplarische Checkliste zeigt, wie Tools (hier: Tabellenvorlage) eingesetzt werden können, um den Status quo schnell zu erfassen und transparent darzustellen. Im echten Einsatz würde man zusätzlich Bemerkungen ergänzen und Verantwortliche für etwaige offene Punkte benennen.

Durch den geschickten Einsatz von Hilfsmitteln wird das komplexe Thema Datenschutz- und Sicherheitsreview handhabbar. Checklisten verhindern, dass Punkte übersehen werden, Templates sparen Aufwand und elektronische Tools sorgen für Struktur und Nachverfolgbarkeit. Nicht zuletzt signalisieren gut genutzte Tools auch dem Auditor Professionalität: Wenn man auf Nachfragen sofort einen Report ziehen oder ein Dokument zeigen kann, hinterlässt das einen guten Eindruck und erleichtert die Prüfung. Wichtig bleibt aber, dass die Tools nur Mittel zum Zweck sind – den eigentlichen Inhalt (nämlich gelebter Datenschutz und echte Sicherheit) müssen sie unterstützen, aber nicht ersetzen. Mit der richtigen Kombination aus Menschlicher Aufmerksamkeit und technischer Unterstützung lassen sich jedoch Datenschutz- und Sicherheitsanforderungen im CAFM-Kontext effizient und nachweisbar erfüllen.

Fazit: Ein CAFM-System datenschutzkonform und sicher zu betreiben erfordert kontinuierliche Anstrengungen – von regelmäßigen Reviews über angemessene technische und organisatorische Maßnahmen bis hin zur akkuraten Dokumentation aller Schritte. Die Verantwortlichen (CAFM-Manager, IT-Sicherheit, Datenschutzbeauftragte) sollten Hand in Hand arbeiten, um sowohl den rechtlichen Verpflichtungen (DSGVO, BDSG etc.) gerecht zu werden, als auch die praktische Sicherheit der Systeme zu gewährleisten. Mit etablierten Prozessen, klaren Rollen, modernen Tools und einem Bewusstsein bei allen Beteiligten wird das CAFM zum auditierbaren und vertrauenswürdigen Bestandteil der Unternehmens-IT. So können nicht nur Auditoren überzeugt werden, sondern vor allem die Personen, deren Daten verwaltet werden – denn ihr Vertrauen ist letztlich das höchste Gut im Umgang mit Informationen.