CAFM: Compliance-Konzeption (Datenschutz, Auditfähigkeit, Auftragsverarbeitung)

Gemäß Art. 32 DSGVO muss der Verantwortliche technische und organisatorische Maßnahmen (TOMs) implementieren, um ein dem Risiko angemessenes Schutzniveau der Datenverarbeitung zu gewährleisten. Im CAFM-Konzept sind diese Sicherheitsmaßnahmen detailliert festzulegen.

• Zugriffs- und Zugriffskontrollen: Nur befugte Personen dürfen auf das System und die Daten zugreifen. Ein striktes Rechte- und Rollenkonzept regelt, welche Nutzer welche Funktionen und Datensichten haben. Prinzipien wie Least Privilege (minimal notwendige Rechte) und Need-to-know sind umzusetzen. Administrative Zugriffe werden auf ein Minimum beschränkt und besonders überwacht. Physische Zugänge zu Serverräumen oder Archiven sind ebenfalls zu sichern (Schließsysteme, Alarmanlagen etc.). Alle Anmeldeversuche und Zugriffe auf kritische Daten sollten protokolliert werden, um unautorisierte Aktivitäten erkennen zu können. Durch solche Maßnahmen bleibt die Vertraulichkeit gewahrt und keine unbefugte Person kann auf personenbezogene Daten zugreifen.

• Datensicherheit, Integrität und Verfügbarkeit: Das Compliance-Konzept muss den Schutz vor Datenverlust und -manipulation gewährleisten. Regelmäßige Backups aller wichtigen CAFM-Daten sind verpflichtend, idealerweise redundanzbasiert (z. B. tägliche inkrementelle und wöchentliche Vollsicherungen auf getrennten Systemen). Die Sicherungen sind ihrerseits zu schützen (verschlüsselte Ablage) und regelmäßig auf Wiederherstellbarkeit zu testen. Ebenso ist ein Notfallkonzept zu erstellen für den Fall schwerwiegender IT-Zwischenfälle oder Systemausfälle. Dieses sollte Verfahren für Disaster Recovery definieren (etwa Ausfallpläne, Ersatzsysteme, Verantwortlichkeiten im Krisenfall). Ziel ist, die Verfügbarkeit des CAFM und der Daten auch bei Störungen zeitnah wiederherzustellen. Ergänzend sind organisatorische Regeln zur Datenaufbewahrung und -entsorgung zu treffen, einschließlich sicherer Löschung nicht mehr benötigter Daten und physischer Vernichtung ausgedienter Datenträger. All diese Maßnahmen sorgen dafür, dass Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten gewahrt bleiben – Kernanforderungen nach Art. 32 DSGVO.

• Verschlüsselung und Pseudonymisierung: Sensible personenbezogene Informationen sollten stets verschlüsselt übertragen und gespeichert werden. Das Konzept verlangt Transportverschlüsselung (z. B. SSL/TLS für Webzugriffe und Schnittstellen) und Verschlüsselung at rest (Datenbank- oder Plattenverschlüsselung) nach dem Stand der Technik. Die DSGVO nennt Verschlüsselung explizit als Beispiel einer geeigneten Sicherheitsmaßnahme, da so auch im Falle eines Datenlecks die Informationen für Unbefugte unlesbar sind. Es sind Mindeststandards für Algorithmen (etwa AES mit ausreichender Schlüssellänge) festzulegen und ein sicheres Schlüsselmanagement (Generierung, Verteilung, Aufbewahrung, Rotation der Schlüssel) zu etablieren. Wo möglich, sollte auch Pseudonymisierung genutzt werden – z. B. Ersetzung von Klarnamen durch IDs, wobei der Schlüssel getrennt verwahrt wird. Pseudonymisierte Daten gelten zwar weiterhin als personenbezogen, bieten aber einen erhöhten Schutz, da ein direkter Personenbezug ohne Zusatzinformationen nicht mehr gegeben ist. Insbesondere beim Einsatz von Echtdaten in Testsystemen oder bei der statistischen Auswertung von FM-Daten sollte geprüft werden, ob Anonymisierung oder Pseudonymisierung angewendet werden kann.

• Monitoring und regelmäßige Überprüfung: Sicherheitsmaßnahmen dürfen nicht statisch bleiben. Art. 32 Abs. 1 lit. d DSGVO fordert ein Verfahren zur laufenden Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs. Im CAFM-Compliance-Konzept sollten daher Sicherheitsaudits in definierten Abständen vorgesehen sein, intern oder durch externe Experten. Dazu zählen Schwachstellenanalysen, Penetrationstests und Risiko-Assessments, deren Ergebnisse dokumentiert und zur Verbesserung der Sicherheitsmaßnahmen genutzt werden. Bei Abweichungen oder neuen Bedrohungslagen ist das Sicherheitskonzept entsprechend anzupassen, um ein hohes Schutzniveau aufrechtzuerhalten. Zudem sollte ein Prozess zur Meldung und Behandlung von Sicherheitsvorfällen etabliert sein. Bekanntgewordene Datenschutzpannen müssen unverzüglich dem Datenschutzbeauftragten gemeldet und gemäß Art. 33 DSGVO innerhalb 72 Stunden der Aufsichtsbehörde angezeigt werden, sofern erforderlich. Ein Incident-Response-Plan definiert die Schritte bei Verletzungen des Schutzes personenbezogener Daten (Kommunikation, Eindämmung, forensische Analyse, Benachrichtigung der Betroffenen nach Art. 34 DSGVO, etc.).

Alle Schutzmechanismen sind dabei risikobasiert auszulegen – je sensibler die Daten oder je kritischer die Prozesse, desto strikter und umfangreicher müssen die Vorkehrungen sein. Dies reduziert das Risiko von Datenschutzverletzungen und gewährleistet die Compliance mit Art. 32 DSGVO im Facility-Management-Kontext.

Ein wesentliches Ziel des Compliance-Konzepts ist die Auditfähigkeit des CAFM-Systems. Das bedeutet, dass alle relevanten Vorgänge und Änderungen nachvollziehbar dokumentiert werden, um interne oder externe Prüfungen jederzeit zu bestehen.

• Änderungsprotokollierung (Audit-Trail): Das System sollte sämtliche Änderungen an Daten, Stammdaten, Konfigurationen und Dokumenten protokollieren. Jeder Eintrag, jede Aktualisierung oder Löschung sollte mit Zeitstempel, verantwortlichem Nutzer und Art der Änderung festgehalten werden. Ein CAFM-System mit Fokus auf Audit-Sicherheit versieht z. B. alle hinterlegten Dokumente und Datensätze mit einem Änderungsverlauf. So kann auch nachträglich lückenlos nachvollzogen werden, wer was wann geändert hat. Eine robuste Audit-Trail-Funktion stellt sicher, dass Manipulationen oder unautorisierte Änderungen erkannt und zugeordnet werden können.

• Protokollierung von Zugriffen: Neben Datenänderungen sind auch Zugriffe an sich relevant. Das Compliance-Konzept sollte vorsehen, dass Zugriffshistorien geführt werden – also wer wann welche Module oder Datensätze im CAFM eingesehen hat. Gerade bei sensiblen Informationen (z. B. Personal- oder Gesundheitsdaten) ist es wichtig, im Nachhinein prüfen zu können, ob nur Berechtigte Einsicht genommen haben. Moderne Systeme loggen Anmeldeaktivitäten, erfolglose Zugriffsversuche und die Nutzung privilegierter Funktionen. Diese Logs müssen vor Manipulation geschützt und regelmäßig ausgewertet werden.

• Revisionssichere Ablage: Dokumente und Nachweise, die im CAFM-System verwaltet werden (etwa Wartungsprotokolle, Verträge, Prüfberichte), sollten revisionssicher gespeichert werden. Revisionssicher bedeutet, dass Dokumente unveränderbar (bzw. nur mit nachvollziehbarer Versionierung) und entsprechend festgelegter Aufbewahrungsfristen gespeichert sind. Das System sollte idealerweise Versionierung unterstützen: frühere Versionen eines Dokuments werden nicht überschrieben, sondern bleiben mit Historie abrufbar. Außerdem ist sicherzustellen, dass keine Dokumente oder Datensätze unprotokolliert gelöscht werden können – Löschvorgänge sollten nur durch berechtigte Personen und mit Protokoll erfolgen, ggf. mit vorgelagerter Archivierung. So wird die Nachvollziehbarkeit aller Daten über deren gesamten Lebenszyklus gewährleistet.

• Audit-Readiness und externe Prüfungen: Ein auditfähiges CAFM-System erleichtert sowohl interne Reviews als auch externe Audits erheblich. Sämtliche compliance-relevanten Informationen sollten zentral und geordnet vorliegen, sodass sie für Auditoren auf Knopfdruck bereitgestellt werden können. Beispielsweise kann man für ein externes Audit (etwa nach ISO 45001 für Arbeitsschutz) dem Auditor zeitlich begrenzten Lesezugriff auf bestimmte Bereiche geben oder automatisierte Reports generieren. Dadurch werden Audits effizienter und transparenter. Ein gutes System hält alle erforderlichen Zertifikate, Prüfprotokolle und Nachweisdokumente an einem Ort vor und bietet Filter- bzw. Suchfunktionen, um die Einhaltung von Vorgaben schnell nachzuweisen. Eine umfassende Audit-Trail-Funktion stellt dabei sicher, dass bei jeder Prüfung alle Nachweise lückenlos erbracht werden können. Wie ein CAFM-Anbieter betont, ermöglicht ein vollständiger Audit-Trail, dass die Organisation jederzeit bereit für behördliche Inspektionen ist.

Mit diesen Maßnahmen wird erreicht, dass das Unternehmen jederzeit auditbereit ist. Interne Revisionen können sich auf die CAFM-Daten stützen, um Schwachstellen aufzudecken, und externe Prüfer (z. B. von Zertifizierungsstellen oder Aufsichtsbehörden) erhalten auf Wunsch strukturierte Nachweise der Compliance. Im Ergebnis minimiert die hohe Auditfähigkeit das Risiko von Beanstandungen bei Audits und erhöht die Transparenz und Vertrauenswürdigkeit des FM-Betriebs.

Ein CAFM-System kann Compliance nur dann wirksam unterstützen, wenn es bestimmte funktionale Anforderungen erfüllt, die die oben genannten Prozesse abbilden. Bei der Auswahl oder Konfiguration eines CAFM/IWMS sollten daher folgende Features berücksichtigt werden.

Ein modernes CAFM-System stellt übersichtliche Dashboards und Reports zur Verfügung, die den Compliance-Status in Echtzeit visualisieren. Im gezeigten Beispiel werden für verschiedene Bereiche die Erfüllungsquoten planmäßiger Wartungen angezeigt (z. B. PPM Compliance 96%), sowie die Anzahl offener Abweichungen und Korrekturmaßnahmen. Solche Kennzahlen ermöglichen es dem Facility Manager, auf einen Blick den Stand der Pflichterfüllung zu erkennen und gezielt einzugreifen. Durch automatische Erinnerungen und Eskalationen stellt das System sicher, dass keine Prüftermine oder Fristen versäumt werden. Ein CAFM mit zentralem Compliance-Modul erlaubt es, alle Compliance-Aufgaben – von Wartungen über Unterweisungen bis hin zu Audit-Action-Items – auf einer Plattform zu managen. Dadurch entsteht ein ganzheitlicher Überblick über den Erfüllungsgrad aller Vorschriften im gesamten Gebäudebetrieb.

• Differenziertes Berechtigungskonzept: Die Software muss eine granulare Vergabe von Rollen und Rechten erlauben (Admins, Fachanwender, Externe etc.), um Need-to-know-Prinzipien umzusetzen. Jede Rolle darf nur auf die für sie notwendigen Module und Daten zugreifen. Änderungen an Rollen/Rechten sollten versioniert und genehmigungspflichtig sein, um das Prinzip der minimalen Rechte durchzusetzen. Idealerweise unterstützt das System regelmäßige Rezertifizierungen der Benutzerrechte (Überprüfung und Entzug veralteter Berechtigungen).

• Protokollierung und Nachvollziehbarkeit: Eine eingebaute Audit-Trail-Funktion ist essenziell (s. oben). Änderungsprotokolle sollten vom System automatisch geführt werden und prüfbar sein (z. B. über ein Änderungsjournal oder ein Protokoll-Modul). Die Protokollierung sollte nicht deaktivierbar sein und gegen Manipulation geschützt, etwa durch interne Prüfsummen oder Schreibschutz. Ebenso wichtig ist die Protokollierung von Benutzeraktionen (Login-Historie, Aufruf sensibler Datensätze), um verdächtige Zugriffe erkennen zu können. Diese Logs müssen auswertbar und exportierbar sein, damit interne Auditoren oder Datenschutzbeauftragte sie prüfen können.

• Versionierung und revisionssichere Archivierung: Das System sollte Versionen von Datensätzen und Dokumenten verwalten können. Insbesondere bei Dokumenten (z. B. Verträgen, Wartungsberichten) ist eine Versionshistorie hilfreich, um Änderungen nachzuverfolgen. Für eine revisionssichere Archivierung sollten Dokumente nachträglich nicht unbemerkt veränderbar sein – ggf. muss eine Check-in/Check-out-Funktion oder ein PDF/A-Archiv genutzt werden. Zudem sollten Retentionsregeln technisch unterstützt werden (automatisches Archivieren oder Löschen nach definierten Fristen, vorbehaltlich Freigabe durch Verantwortliche).

• Schutz sensibler Daten: Da ein CAFM sowohl technische Gebäudedaten als auch personenbezogene Daten enthalten kann, muss die Software Möglichkeiten bieten, sensible Datenfelder besonders zu schützen. Beispielsweise könnten Personaldaten oder Zutrittsinformationen verschlüsselt in der Datenbank abgelegt werden oder durch zusätzliche Zugriffshürden (z. B. 2-Faktor-Authentifizierung für den Zugriff auf Personaldaten) gesichert sein. Ferner sollte es möglich sein, bestimmte Datensätze als vertraulich zu markieren, sodass nur ein eng definierter Nutzerkreis Zugriff erhält. Das System sollte Protokolle unterstützen, die nach DSGVO erforderlich sein könnten, etwa Auskunftsberichte pro Person (um Betroffenenanfragen zu beantworten) oder Datenexport-Funktionen zur Erfüllung der Datenübertragbarkeitsansprüche.

• Schnittstellen und Integrität: In vielen Fällen wird das CAFM mit anderen Systemen gekoppelt (z. B. HR-System, ERP, Gebäudeleittechnik). Die Software sollte sichere Schnittstellen (APIs) bereitstellen, die nur authentifizierten Systemen den Datenaustausch erlauben. Dabei sind verschlüsselte Protokolle (HTTPS, SFTP, o. Ä.) Pflicht, um die Vertraulichkeit der Datenübermittlung zu gewährleisten. Eine integrierte Schnittstellenprotokollierung ist hilfreich, um nachzuverfolgen, welche Daten wann an Drittsysteme geschickt oder von dort empfangen wurden. So lassen sich Fehlabgleiche oder unautorisierte Transfers erkennen. Zudem sollte das Berechtigungskonzept auch für Schnittstellen greifen – z. B. durch getrennte Service-Accounts mit minimal nötigen Rechten für jede angebundene Anwendung.

Erfüllt ein CAFM-System diese Anforderungen, kann es als Compliance-Werkzeug dienen und die Einhaltung von Datenschutz- und Dokumentationspflichten aktiv unterstützen. In der Praxis ist es ratsam, diese Anforderungen bereits im Lastenheft für die CAFM-Auswahl festzuschreiben. Viele Qualitätskriterien sind auch Bestandteil von Zertifizierungen oder ISO-Normen – ein Hinweis darauf, dass das ausgewählte System professionellen Standards entspricht. Insgesamt gilt: Das Werkzeug CAFM sollte so beschaffen sein, dass es die Organisation bei der Erfüllung ihrer Pflichten entlastet und nicht zusätzliche Risiken schafft.

Wird das CAFM-System von einem Softwareanbieter gehostet oder greift man auf Cloud-Dienste zurück, liegt eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO vor. Das Compliance-Konzept muss dann die besonderen Anforderungen an die Vertragsgestaltung mit dem Dienstleister berücksichtigen. Ein schriftlicher Auftragsverarbeitungsvertrag (AV-Vertrag) zwischen Auftraggeber (Verantwortlicher) und Auftragnehmer (Auftragsverarbeiter) ist Pflicht. Darin werden die Rechte und Pflichten beider Parteien detailliert geregelt, um eine DSGVO-konforme Datenverarbeitung sicherzustellen.

• Verarbeitung nur auf Weisung: Der Dienstleister darf personenbezogene Daten ausschließlich nach dokumentierter Weisung des Auftraggebers verarbeiten. Eigene Zwecke oder Entscheidungen des Auftragsverarbeiters hinsichtlich der Daten sind unzulässig. Dies stellt sicher, dass der Auftraggeber die volle Kontrolle über die Verwendung der Daten behält.

• Vertraulichkeitspflichten: Das Personal des Dienstleisters muss auf Vertraulichkeit verpflichtet sein. Alle Mitarbeiter, die mit den CAFM-Daten umgehen, sind durch entsprechende Vereinbarungen oder gesetzliche Vorgaben (z. B. § 53 BDSG) zur Verschwiegenheit zu verpflichten. Unbefugten darf kein Zugriff auf die Daten möglich sein – weder beim Dienstleister noch anderswo.

• Einsatz von Subunternehmern: Die Einschaltung weiterer Sub-Auftragsverarbeiter (z. B. ein externes Rechenzentrum oder Cloud-Subdienstleister) darf nur mit vorheriger schriftlicher Genehmigung des Auftraggebers erfolgen. Etwaige Unterauftragnehmer sind vertraglich auf dieselben Datenschutzstandards zu verpflichten wie der Haupt-Dienstleister. Eine Kette von AVVs muss also sichergestellt werden, damit auch bei Weitergabe an Dritte das Datenschutzniveau gehalten wird.

• Technische und organisatorische Maßnahmen: Der Auftragsverarbeiter muss alle erforderlichen Sicherheitsmaßnahmen gemäß Art. 32 DSGVO umsetzen. Im Vertrag oder einer Anlage sollten die konkreten TOMs benannt werden (Zugangs- und Zugriffskontrollen, Verschlüsselung, Backup-Konzept, Sicherheitsupdates etc.), die der Dienstleister einhält. Damit wird ein angemessenes Schutzniveau vertraglich zugesichert. Oft wird auf bestehende Zertifizierungen (z. B. ISO 27001) oder etablierte Sicherheitskonzepte Bezug genommen, um die Eignung der Maßnahmen zu belegen.

• Unterstützung der Verantwortlichen: Der Dienstleister verpflichtet sich, den Auftraggeber bei der Einhaltung weiterer DSGVO-Pflichten zu unterstützen. Insbesondere muss er helfen, Betroffenenrechte zu erfüllen (d.h. wenn das FM-Unternehmen eine Auskunfts- oder Löschanfrage erhält, muss der IT-Dienstleister die benötigten Daten bereitstellen oder löschen). Ebenso soll er bei der Datenschutz-Folgenabschätzung (DSFA) mitwirken, falls das CAFM-Projekt eine solche erfordert, und generell bei Sicherheitsüberprüfungen kooperieren.

• Meldung von Datenschutzvorfällen: Sollte dem Dienstleister ein Datenpannen-Vorfall bekannt werden (z. B. unbefugter Zugriff, Datenverlust), hat er diesen unverzüglich an den Auftraggeber zu melden. Dies ermöglicht es dem Verantwortlichen, seinerseits ggf. die Aufsichtsbehörde innerhalb von 72 Stunden zu informieren (Art. 33 DSGVO) und Schadenbegrenzungsmaßnahmen einzuleiten. Eine klare Incident-Meldungsregelung ist daher integraler Vertragsbestandteil.

• Löschung nach Auftragsende: Nach Abschluss der Dienstleistung (etwa bei Vertragsbeendigung) darf der Auftragsverarbeiter die erhaltenen personenbezogenen Daten nicht behalten. Er muss sie nach Weisung des Auftraggebers löschen oder zurückgeben und etwaige Kopien vernichten. Ausnahmen gelten nur, soweit gesetzliche Aufbewahrungspflichten entgegenstehen (dann darf er die Daten entsprechend länger vorhalten, aber nicht mehr aktiv nutzen). Diese Klausel verhindert, dass Daten nach Ende des Projekts beim Dienstleister verbleiben.

• Nachweispflichten und Auditrechte: Der Dienstleister muss dem Auftraggeber alle Informationen zur Verfügung stellen, die zum Nachweis der DSGVO-Compliance erforderlich sind. Konkret räumt er dem Auftraggeber vertraglich Kontroll- und Auditrechte ein: Der Kunde darf die Einhaltung der vereinbarten Maßnahmen überprüfen – sei es durch eigene Audits, durch externe Prüfer oder durch Anfordern von Zertifikaten/Prüfberichten. Der Dienstleister verpflichtet sich, solche Audits zu ermöglichen und zu unterstützen. Diese Kontrollrechte stellen sicher, dass Datenschutz nicht nur auf dem Papier steht, sondern tatsächlich gelebt wird.

Durch einen gut gestalteten AV-Vertrag wird erreicht, dass der externe CAFM-Anbieter die gleichen Datenschutzprinzipien einhält, die auch intern gelten. Der Auftraggeber darf laut DSGVO nur Dienstleister einsetzen, die hinreichende Garantien für Datenschutz und Datensicherheit bieten – der Vertrag schafft hierfür die Grundlage und reduziert Haftungsrisiken für beide Seiten. Wichtig ist außerdem, dass das auftraggebende Unternehmen den Dienstleister sorgfältig auswählt und dokumentiert (Due Diligence), und die Einhaltung der Vertragsregeln während der Laufzeit regelmäßig überwacht (z. B. jährliche Security-Reports einfordern, Audittermine wahrnehmen). Im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO muss die Auslagerung an den Auftragsverarbeiter inklusive der getroffenen Schutzmaßnahmen ebenfalls verzeichnet werden, was durch das vorliegende Konzept erleichtert wird.

Zusätzlich zu Datenschutz-Aspekten sollte der Vertrag auch Leistungskomponenten regeln, die für Compliance relevant sind – etwa Reaktionszeiten bei sicherheitskritischen Updates, Verpflichtung zu regelmäßigen Penetrationstests, Regeln zum Umgang mit Anfragen von Behörden oder Betroffenen, etc. All diese Punkte zusammen formen das Compliance-Rückgrat der Zusammenarbeit mit dem Softwareanbieter oder Hoster.

Betreiberverantwortung bezeichnet die Pflichten eines Eigentümers bzw. Betreibers von Gebäuden und Anlagen, für einen sicheren und rechtskonformen Betrieb zu sorgen. In Deutschland umfasst dies eine Vielzahl an Rechtsbereichen (Arbeitssicherheit, Brandschutz, Technische Anlagen, Umweltschutz, Verkehrssicherungspflichten etc.) mit jeweils eigenen Vorschriften. Die Einhaltung dieser Pflichten ist kritisch, da Verstöße zu Unfällen, Haftungsansprüchen oder behördlichen Sanktionen führen können. Ein CAFM-Compliance-Konzept muss daher gezielt darauf abzielen, die Betreiberpflichten systematisch zu managen und dokumentieren.

• Ermittlung der Pflichten und Rechtsgrundlagen: Zuallererst müssen alle relevanten Gesetze, Verordnungen, Normen und Auflagen, die für den konkreten Gebäudebetrieb gelten, vollständig identifiziert werden. Dies kann hunderte von Einzelvorschriften umfassen (z. B. Arbeitsstättenverordnung, Betriebssicherheitsverordnung, DGUV-Regeln, Feuerungsverordnungen, Umweltauflagen etc.). Eine bewährte Methode ist die Erstellung eines Rechtskatasters oder einer Compliance-Matrix, in der pro Themengebiet alle einschlägigen Vorschriften aufgelistet werden. Ziel ist, nichts zu übersehen: Nur was bekannt ist, kann umgesetzt werden. Moderne Compliance-Management-Systeme können dabei unterstützen, indem sie aus großen Vorschriftendatenbanken die relevanten Anforderungen für den jeweiligen Standort filtern.

• Delegation von Verantwortlichkeiten: Die Unternehmensleitung (Eigentümer, Geschäftsführer) kann die Vielzahl an Betreiberpflichten nicht persönlich ausführen. Daher ist eine klare Delegation unabdingbar. Für jede identifizierte Pflicht muss eine verantwortliche Person oder Stelle benannt werden. Durch formale Beauftragung wird festgelegt, wer welche Pflicht wann und wie zu erfüllen hat. Beispielsweise kann festgelegt werden, dass die Verkehrssicherungspflicht für Außenanlagen (Winterdienst, Gehwegsicherung) beim Objektleiter liegt, während die Durchführung an einen Dienstleister delegiert ist und der HSE-Manager beratend einbezogen wird. Wichtig ist, dass keine Pflicht unbeaufsichtigt bleibt und dass Delegationen schriftlich dokumentiert werden. Die Geschäftsleitung bleibt trotz Delegation in der Gesamtverantwortung, hat aber ihre Sorgfaltspflicht erfüllt, wenn sie geeignete und befähigte Personen beauftragt, diese unterweist und überwacht. Das CAFM sollte die Organisationsstruktur und Rollenverteilung abbilden (z. B. hinterlegt es, welcher Verantwortliche für welche Anlage zuständig ist), sodass jederzeit Klarheit über Zuständigkeiten herrscht.

• Umsetzung und Integration in Prozesse: Delegation allein genügt nicht – die Pflichten müssen im Alltag tatsächlich erfüllt werden. Hier kommt das CAFM ins Spiel: Wartungs- und Prüfpläne, Checklisten, Arbeitsanweisungen und Termine werden im System hinterlegt, um sicherzustellen, dass jeder Verantwortliche weiß, was bis wann zu tun ist. Beispiel: Die Pflicht zur jährlichen Prüfung elektrischer Anlagen gemäß DGUV Vorschrift 3 wird durch einen entsprechenden Wartungsplan im CAFM umgesetzt. Die wiederkehrende Unterweisung der Mitarbeiter in Arbeitsschutzregeln wird über ein Schulungsmodul geplant und dokumentiert. Operative FM-Prozesse (Instandhaltung, Prüftermine, Unterweisungen) werden also so mit den Rechtspflichten verknüpft, dass die Erfüllung Teil des täglichen Workflows ist. Das Compliance-Konzept sorgt dafür, dass kein Pflichttermin “vergessen” wird: Offene Aufgaben werden im CAFM angezeigt, zuständige Personen automatisch erinnert und bei Fristüberschreitung erfolgt eine Eskalation. Dadurch wird die Betreiberverantwortung von einer abstrakten Vorgabe zu gelebter Praxis – Compliance wird in die Abläufe integriert und nicht dem Zufall überlassen.

• Regelmäßige Kontrolle der Pflichterfüllung: Ein Unternehmen kann sich nicht ausschließlich darauf verlassen, dass alle Mitarbeiter ihre Pflichten schon erfüllen. Überwachung und Kontrollen sind essentiell. Führungskräfte oder Beauftragte (z. B. Sicherheitsingenieur, Umweltbeauftragter) müssen interne Audits, Begehungen und Wirksamkeitsprüfungen durchführen. In einigen Bereichen ist dies sogar explizit vorgeschrieben – etwa fordert die Arbeitsschutzverordnung regelmäßige Überprüfungen der Schutzmaßnahmen. Solche internen Kontrollen dienen nicht nur der Prävention, sondern bieten auch einen handfesten rechtlichen Vorteil: Wenn ein Unternehmen nachweisen kann, dass es seine Betreiberpflichten systematisch überwacht, wird im Schadensfall vermutet, dass diese Pflichten eingehalten wurden. Nach § 6 Abs. 4 Umwelthaftungsgesetz führt eine dokumentierte Pflichtenüberwachung zu einer gesetzlichen Vermutung ordnungsgemäßer Erfüllung. Das erleichtert im Ernstfall die Beweisführung erheblich. Ebenso erlaubt § 52a BImSchG dem Betreiber, durch Überwachungsmaßnahmen die Einhaltung von Umweltschutzpflichten sicherzustellen. Mit anderen Worten: Wer sich selbst kontrolliert, dem wird eher geglaubt. Daher sollte das CAFM-Compliance-System Funktionen zur Planungen solcher Kontrollen bieten (Erinnerungen für Audits, Erfassung von Prüfberichten, Verwaltung festgestellter Mängel). Offene Abweichungen werden im System erfasst, Verantwortliche erhalten automatische Nachverfolgungsaufgaben und Korrekturmaßnahmen können dokumentiert werden. So behält die Führung jederzeit den Überblick über den Compliance-Status und kann bei Problemen gegensteuern.

• Dokumentation und Nachweisführung: Die lückenlose Dokumentation aller vorgenannten Schritte ist von entscheidender Bedeutung. Jede Festlegung, jede Delegation, jede Schulung, jede Prüfung und jede Kontrolle muss protokolliert werden. Dadurch entsteht ein vollständiger Nachweis auf Vorrat, der im Ernstfall belegt, dass der Betreiber seinen Organisationspflichten nachgekommen ist. Ein IT-gestütztes System wie CAFM kann diese Dokumentation weitgehend automatisieren: Es zeichnet beispielsweise auf, welcher Mitarbeiter welche Pflicht (Arbeitsauftrag, Prüftermin) am welchen Datum zugewiesen bekam, welche Maßnahmen er wann erledigt hat und wer die Durchführung kontrolliert hat. Diese Protokolle dienen im Haftungsfall als rettender Beweis, dass das Unternehmen seinen Pflichten nachgekommen ist. Die Geschäftsleitung kann über ein Management-Dashboard jederzeit einsehen, welche Pflichten erfüllt sind, welche Änderungen am Pflichtenregister erfolgten und dass die vorgeschriebenen Kontrollen stattfinden. Mit solch einer Nachweiskette ist man faktisch vor Compliance-Vorwürfen und Haftungsrisiken geschützt.

Durch die Umsetzung dieser Elemente wird die Betreiberverantwortung effizient und rechtssicher gemanagt. Das Compliance-Konzept macht die Flut an Vorschriften beherrschbar und nutzt digitale Werkzeuge, um Transparenz zu schaffen. Letztlich profitiert nicht nur die Rechtssicherheit, sondern auch die Betriebsführung: Klar definierte Pflichten und geregelte Abläufe erhöhen die Sicherheit der Anlagen, verringern Ausfallrisiken und steigern die Effizienz, weil proaktiv gehandelt wird statt reaktiv. Die Unternehmensleitung kann ihrer Sorgfaltspflicht nachkommen, ohne jede Detailaufgabe selbst im Blick behalten zu müssen – sie behält aber über Berichte und Dashboards stets die Kontrolle über die Compliance im Gebäudebetrieb.

Im Facility Management fallen neben technischen auch personenbezogene Daten an, die teilweise hochsensibel sein können.

• Zutritts- und Sicherheitsdaten: Zugangskontrollsysteme, Besuchermanagement oder Zeiterfassungssysteme generieren Protokolldaten, die Aufschluss darüber geben, wann welche Person bestimmte Bereiche betreten hat. Diese Daten sind sensibel, da sie Bewegungsprofile und Arbeitszeiten von Personen erkennen lassen. Im CAFM-Konzept ist festzulegen, dass Zutrittsprotokolle ausschließlich für den vorgesehenen Zweck (z. B. Sicherheitsauswertungen oder Nachvollziehung von Vorfällen) verwendet werden. Eine zweckfremde Nutzung (etwa zur Leistungskontrolle von Mitarbeitern ohne gesetzliche Grundlage) ist unzulässig. Zugriff auf solche Protokolle dürfen nur ausdrücklich berechtigte Personen haben (z. B. Sicherheitsbeauftragter, Personalabteilung im Bedarfsfall). Technisch sollte das System Zugriffsberechtigungen so steuern, dass Zutrittsdaten automatisch vertraulich behandelt werden. Zudem gilt der Grundsatz der Speicherbegrenzung auch hier: Zutrittslogs sollten nur für einen angemessenen Zeitraum aufbewahrt und anschließend gelöscht oder anonymisiert werden, sofern keine Vorfälle eine längere Vorhaltung erfordern.

• Personaldaten von Mitarbeitern und Dienstleistern: Im CAFM werden oft Daten von eigenem Personal (etwa zur Ressourcenplanung, Schlüsselverwaltung, Qualifikationen) und externen Dienstleistern (z. B. Kontaktdaten, Einsatzdokumentation) gespeichert. All diese personenbezogenen Daten unterliegen dem Datenschutz. Das Konzept sollte festlegen, welche Kategorien von Personaldaten überhaupt im CAFM geführt werden dürfen – hier greift der Grundsatz der Datenminimierung. Beispielsweise könnte entschieden werden, dass keine sensiblen personenbezogenen Daten wie Gesundheitsdaten oder Religionszugehörigkeit im CAFM erfasst werden, da sie für Facility-Prozesse irrelevant sind. Notwendige Daten (Name, Funktion, Kontaktdaten, Qualifikationsnachweise, Zutrittsberechtigungen etc.) sind durch entsprechende TOMs zu schützen. Ferner sind die Mitarbeiter über die Datenverarbeitung zu informieren (z. B. im Rahmen von Mitarbeiter-Datenschutzhinweisen). Dienstleisterdaten (z. B. Ansprechpartner eines Wartungsunternehmens, Ausweisdaten für Zugang) dürfen ebenfalls nur zweckgebunden genutzt werden (etwa zur Zugangskontrolle oder Nachweisführung von Prüfungen). Wenn Dienstleister über das CAFM-System Zugang zu bestimmten Bereichen erhalten (z. B. Self-Service-Portale), muss auch deren Zugriff auf personenbezogene Daten eingeschränkt und überwacht sein.

• Besondere Datenkategorien: Falls im FM spezielle Kategorien personenbezogener Daten verarbeitet würden (Art. 9 DSGVO, z. B. Gesundheitsdaten bei Arbeitsunfällen, biometrische Daten bei Zugangssystemen), sind besonders strenge Maßstäbe anzulegen. Solche Daten sollten nach Möglichkeit vermieden oder getrennt von regulären FM-Daten verarbeitet werden. Ist dies unvermeidbar (z. B. biometrische Zutrittssysteme oder Impfstatus in Pandemiezeiten), sind zusätzliche Schutzmaßnahmen (starke Verschlüsselung, Pseudonymisierung, getrennte Speicherung, begrenzter Personenkreis) erforderlich. Eine DSFA wäre hier i.d.R. Pflicht, um die Risiken für die Betroffenen zu analysieren.

• Smart Building und IoT-Daten: Moderne Gebäude sind zunehmend digitalisiert und vernetzt. Dabei entstehen potenziell auch personenbezogene Informationen – etwa Belegungsdaten von Räumen (wer nutzt wann welchen Arbeitsplatz), Daten aus Videoüberwachungssystemen, oder Sensorik im Kontext von Smart Office Apps (z. B. App zur Buchung von Arbeitsplätzen, die Nutzerdaten enthält). Das Konzept muss sicherstellen, dass auch solche neuartigen Datenströme DSGVO-konform gehandhabt werden. Betreiber sind verpflichtet, für alle diese Anwendungen technische und organisatorische Schutzmaßnahmen zu ergreifen. Beispielsweise sind für Videoüberwachung klare Regelungen zur Speicherdauer der Aufnahmen und zur Zugriffskontrolle notwendig, und es muss Beschilderung sowie eine Rechtsgrundlage (z. B. Hausrecht/Schutz des Eigentums) geben. Bei Smart-Building-Sensoren ist darauf zu achten, dass sie nach Möglichkeit anonymisiert erfassen (z. B. nur Zählung von Personenströmen statt Identifikation einzelner). Werden dennoch personenbezogene Daten erfasst, gelten alle genannten Prinzipien (Minimierung, Zweckbindung, Information der Betroffenen).

Das Compliance-Konzept sollte Richtlinien oder Policies für den Umgang mit solchen sensiblen Daten enthalten. Darin wird festgelegt, wer auf welche Daten zugreifen darf, wie lange diese gespeichert werden, wofür sie genutzt werden und wie sie zu schützen sind. Wichtig ist auch die Sensibilisierung der Mitarbeiter: Allen Nutzern des CAFM-Systems muss bewusst sein, dass z. B. Zugangsdaten vertraulich sind und ein unberechtigter Blick in Personaldaten Konsequenzen haben kann. Durch regelmäßige Schulungen und eine klare „Need-to-know“-Kultur wird der verantwortungsvolle Umgang mit sensiblen FM-Daten gefördert. So gelingt es, einerseits die Sicherheit im Gebäude zu gewährleisten (wofür bestimmte Daten nötig sind), und andererseits die Privatsphäre der Betroffenen bestmöglich zu schützen.

CAFM-Systeme agieren selten isoliert – häufig bestehen Schnittstellen zu anderen Anwendungen (z. B. ERP, Personalverwaltung, Gebäudeautomation, Ticket-Systeme).

• Datenweitergabe nur mit Zweck und Rechtsgrundlage: Wenn personenbezogene Daten vom CAFM an andere Systeme übertragen werden (oder umgekehrt), muss dies einem klaren Zweck dienen und datenschutzrechtlich zulässig sein. Beispielsweise werden Personaldaten aus dem HR-System ans CAFM übermittelt, um Berechtigungen für Türen zu steuern – hier ist der Zweck die Zugangskontrolle, und die Rechtsgrundlage könnte die Vertragserfüllung (Arbeitsvertrag, Bereitstellung eines sicheren Arbeitsplatzes) sein. Das Konzept sollte für jede Schnittstelle dokumentieren, welche Daten fließen und warum. Unnötige Datenfelder sollten nicht übertragen werden (Datenminimierung über Systemgrenzen hinweg). Zudem ist zu regeln, welcher Systembetreiber für die Daten nach der Übertragung verantwortlich ist (Stichwort Joint Controllership oder klarer Verantwortlichkeitszuschnitt in Vereinbarungen).

• Drittstaatentransfers: Befindet sich ein angebundenes System oder der Dienstleister außerhalb der EU bzw. des EWR, gilt es Art. 44 ff. DSGVO (Datenübermittlung in Drittländer) zu beachten. Eine Übermittlung personenbezogener Daten in ein unsicheres Drittland ist nur erlaubt, wenn zusätzliche Garantien greifen. Das Konzept muss in solchen Fällen vorsehen, dass entweder ein Angemessenheitsbeschluss der EU-Kommission für das betreffende Land existiert oder Standardvertragsklauseln (SCC) mit dem Empfänger abgeschlossen wurden. Ggf. kommen auch Binding Corporate Rules, Zertifizierungen oder ausdrückliche Einwilligungen der Betroffenen in Betracht. Praktisch relevant: Cloud-Services aus den USA – hier sind seit dem Wegfall von Privacy Shield besondere Vorsichtsmaßnahmen nötig (SCC und zusätzliche Prüfungen). Im AV-Vertrag mit einem nicht-europäischen CAFM-Cloudanbieter sollten daher die EU-Standardklauseln integriert sein und der Anbieter zusichern, ein dem DSGVO-Niveau entsprechendes Datenschutzkonzept zu verfolgen. Außerdem muss dokumentiert sein, wohin überall Daten fließen (auch etwaige Weiterübermittlungen durch den Dienstleister im Drittland müssen kontrolliert werden). Das Ziel: Das Datenschutzniveau darf durch Auslandsverarbeitung nicht ausgehöhlt werden.

• Verschlüsselung der Datenströme: Alle Schnittstellen, ob intern oder extern, sollten zwingend verschlüsselt kommunizieren. Unverschlüsselte Verbindungen (FTP, HTTP, E-Mail im Klartext) sind zu unterbinden. Stattdessen ist z. B. HTTPS mit aktuellem TLS-Standard, SFTP oder VPN-Tunnel zu nutzen. Damit wird verhindert, dass Daten unterwegs abgefangen werden können. Insbesondere bei Fernzugriffen auf das CAFM (Mobile App, Webportal für Dienstleister) ist Transportverschlüsselung unabdingbar. Wo möglich, sollten auch Datenpakete selbst noch einmal verschlüsselt oder signiert werden (z. B. XML-Signaturen bei Webservices), um Manipulationen oder Abstreitbarkeit auszuschließen. Das Konzept sollte Mindestanforderungen an die Kryptografie definieren (kein veralteter Algorithmus, Schlüssellängen, regelmäßiger Zertifikatswechsel etc.).

• Zugriffsrechte auf Umsysteme: Wenn das CAFM auf externe Systeme zugreift (oder sie auf das CAFM), sind auch hier Least-Privilege-Prinzipien umzusetzen. Beispielsweise könnte das CAFM über eine Schnittstelle auf das HR-System lesend zugreifen, um Mitarbeiterdaten zu importieren. In so einem Fall sollte ein spezieller Service-Account im HR-System angelegt werden, der nur Lesezugriff auf die unbedingt nötigen Felder (Name, Personalnummer, Abteilung) hat – nicht jedoch auf Gehalt, Krankenstände etc. Ebenso sollte ein externer Dienstleister, der über eine API Anlagendaten aus dem CAFM erhält, nur die Daten bekommen, die für seine Aufgabe erforderlich sind. Authentifizierung und Protokollierung sind auch bei Schnittstellenzugriffen wichtig: Jeder technische Zugriff sollte durch API-Keys oder Zertifikate eindeutig einem Partner zugeordnet sein und im Log festgehalten werden. Damit lässt sich nachvollziehen, welcher Drittservice wann Daten abgerufen hat. So wird Missbrauch vorgebeugt und im Fall eines Datenleckes kann man den Verantwortlichen eingrenzen.

• Vertragsgestaltung bei Schnittstellen: Gibt es Anbindungen an externe Dienstleister (z. B. ein externes Analyse-Tool, eine Energieoptimierungsplattform), ist zu klären, ob diese als eigener Verantwortlicher agieren oder als Auftragsverarbeiter. Im Zweifel sollte ein Vertrag geschlossen werden, der den Datenaustausch regelt und die Verantwortlichkeiten festlegt. Beispiel: Das CAFM sendet Störmeldungen an einen externen Alarmierungsdienst -> Vertraglich muss definiert sein, dass dieser Dienst die personenbezogenen Meldedaten nur zur Alarmierung nutzt und nicht zu anderen Zwecken. Ebenso sind Kontrollrechte zu vereinbaren, falls relevante Daten außerhalb wandern.

Datenflüsse enden nicht an der Systemgrenze, daher müssen Datenschutz und IT-Sicherheit über alle verbundenen Systeme hinweg sichergestellt sein. Das CAFM-Compliance-Konzept sollte daher auch einen Überblick aller Schnittstellen und Datentransfers enthalten, inkl. Bewertung, ob hier zusätzliche Schutzmaßnahmen oder Verträge nötig sind. So wird vermieden, dass an den "Nahtstellen" der ansonsten sicheren Plattform Schwachpunkte entstehen.

• Interne Revision und Audits: Mindestens jährlich – besser halbjährlich oder quartalsweise – sollte intern überprüft werden, ob das CAFM-System und die FM-Prozesse den Compliance-Anforderungen gerecht werden. Dies kann durch die interne Revision, den Datenschutzbeauftragten oder einen dafür benannten Compliance-Manager erfolgen. Beispielsweise kann ein internes Audit den Instandhaltungsprozess unter die Lupe nehmen: Wurden alle gesetzlich geforderten Prüfungen im letzten Jahr durchgeführt? Gibt es Nachweise im System, und wurden festgestellte Mängel behoben? In vielen Organisationen ist es sinnvoll, solche Audits in den bestehenden Qualitätsmanagement-Zyklus zu integrieren (etwa im Rahmen einer ISO 9001-Zertifizierung, falls vorhanden). Wichtig ist, dass die Ergebnisse dokumentiert und an die Geschäftsführung berichtet werden. Offene Findings (Feststellungen) sollten in Maßnahmen überführt und nachgehalten werden – hier kann das CAFM wiederum helfen, indem es Auditmaßnahmen als Aufgaben erfasst.

• Externe Audits und Zertifizierungen: Ein erstklassiges Compliance-Konzept strebt oft auch externe Zertifizierungen an, um seine Qualität zu untermauern. Im Bereich Informationssicherheit ist ISO/IEC 27001 der anerkannte Standard. Die Einführung eines ISMS nach ISO 27001 stellt sicher, dass alle relevanten Sicherheitsprozesse strukturiert gemanagt und kontinuierlich verbessert werden. Viele der hier beschriebenen Maßnahmen (Zugriffskontrolle, Verschlüsselung, Backup, Überwachung) decken sich mit den Kontrollen des Annex A der ISO 27001. Eine Zertifizierung nach ISO 27001 oder die Ausrichtung am Standard gilt als Qualitätsmerkmal – sie zeigt, dass das Unternehmen Sicherheit nach internationalen Best Practices handhabt. Zudem erkennt auch die DSGVO an, dass anerkannte Zertifizierungsverfahren als Nachweis für geeignete Maßnahmen dienen können. Neben ISO 27001 sind im FM-Bereich weitere Zertifikate relevant: etwa ISO 9001 (Qualitätsmanagement) für Prozessqualität, ISO 45001 (Arbeitssicherheit) für HSE-Management oder ISO 55001 (Asset Management) wenn es um Anlagenverwaltung geht.

Speziell für Facility Management wurde 2018 auch die ISO 41001 eingeführt – ein Managementsystemstandard für FM. Er definiert Anforderungen an Planung, Betrieb und Kontrolle von FM-Leistungen und fördert damit ebenfalls die Compliance-Kultur.

• Behördliche und kundenseitige Audits: Das Konzept sollte das Unternehmen auch auf externe Prüfungen durch Dritte vorbereiten. Datenschutzaufsichtsbehörden können z. B. stichprobenartig prüfen, ob die DSGVO eingehalten wird – hier sollte man in der Lage sein, Verarbeitungsverzeichnisse, Verträge und TOM-Dokumentationen sofort vorzuzeigen. Ebenso kann es Audits durch Auftraggeber geben (etwa wenn das FM an einen Dienstleister outgesourct ist und der Auftraggeber Auditrechte vereinbart hat, um die Betreiberpflichten zu kontrollieren). Für all diese Fälle gilt: Eine gute Vorarbeit zahlt sich aus. Alle relevanten Unterlagen – von Gefährdungsbeurteilungen über Wartungsnachweise bis zu Schulungsplänen – sollten aktuell und griffbereit sein. Das CAFM kann dienen, diese Nachweise strukturiert zu speichern und im Auditfall zusammenzustellen. Unternehmen, die kritische Infrastrukturen (KRITIS) betreiben, unterliegen besonderen Auditpflichten durch das BSI-Gesetz und NIS2-Richtlinie. Hier ist die Implementierung eines ISMS sogar gesetzlich vorgeschrieben.

• Kontinuierlicher Verbesserungsprozess: Nach dem Audit ist vor dem Audit – das Compliance-Konzept lebt davon, dass aus Prüfungen gelernt wird. Ergebnisse aus Audits (intern wie extern) sollten ausgewertet und Verbesserungsmaßnahmen abgeleitet werden. Dieser PDCA-Zyklus (Plan-Do-Check-Act) sorgt dafür, dass das Compliance-Niveau ständig steigt und neue Risiken früh erkannt werden. Viele Zertifizierungsstandards verlangen ohnehin regelmäßige interne Audits und Management-Reviews, was diese Vorgehensweise institutionalisiert.

Es geben Audits und Zertifizierungen dem Unternehmen wertvolles Feedback und Sicherheit. Eine bestandene Zertifizierung (z. B. ISO 27001) oder ein erfolgreiches Audit signalisiert Kunden, Partnern und Aufsichtsbehörden, dass Compliance ernst genommen wird. Zudem motiviert es intern die Mitarbeiter, weiterhin auf hohem Niveau zu agieren. Das CAFM-Compliance-Konzept sollte daher immer auch die Perspektive “Wie weisen wir unsere Compliance nach?” berücksichtigen – denn letztlich muss man sie nicht nur intern erreichen, sondern im Zweifel auch belegen können.

Dokumentation ist ein Grundpfeiler von Compliance. Ein oft zitierter Satz lautet: „Was nicht dokumentiert ist, wurde nicht getan.“ Entsprechend muss das Compliance-Konzept definieren, welche Dokumente und Aufzeichnungen zu erstellen sind, um die Einhaltung aller Anforderungen nachzuweisen.

• Verzeichnis der Verarbeitungstätigkeiten: Gemäß Art. 30 DSGVO hat jedes Unternehmen ein Verarbeitungsverzeichnis zu führen, in dem alle Prozesse mit personenbezogenen Daten beschrieben werden. Die Einführung eines CAFM-Systems ist eine neue Verarbeitungstätigkeit, die ins Verzeichnis aufgenommen werden muss, inklusive Zweck, Datenkategorien, Beteiligte, Rechtsgrundlage, Empfänger, Speicherfristen und getroffenen TOMs. Das Compliance-Konzept sollte die Erstellung oder Erweiterung dieses Verzeichnisses vorsehen. Oft arbeiten Datenschutzbeauftragte hier eng mit dem CAFM-Projektteam zusammen, um alle relevanten Angaben zu erfassen. Dieses Dokument dient später auch als Grundlage für eine DSFA (falls notwendig) und für Auskünfte gegenüber Aufsichtsbehörden.

• Datenschutz-Folgenabschätzung (DSFA): Eine DSFA nach Art. 35 DSGVO ist durchzuführen, wenn die geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringt. Ob das bei einem CAFM-System der Fall ist, hängt von dessen Umfang und Einsatz ab. Kriterien können sein: umfangreiche Verarbeitung von Beschäftigtendaten, systematische Überwachung öffentlich zugänglicher Bereiche (z. B. Video, Zugangskontrolle), Verwendung innovativer Technologien (IoT mit Personenbezug, KI-Auswertungen von Personalbewegungen) etc. Das Compliance-Konzept sollte prüfen, ob eine DSFA erforderlich ist. Falls ja, muss sie vor Inbetriebnahme des Systems erfolgen. In der DSFA werden Risiken identifiziert und bewertet sowie Maßnahmen zu deren Bewältigung festgelegt. Typische Risiken könnten etwa unbefugte Profilbildung über Mitarbeiter sein oder Missbrauch von Zugangsdaten. Die DSFA-Dokumentation ist aufzubewahren und ggf. der Aufsichtsbehörde bereitzustellen. Wichtig: Auch wenn keine DSFA Pflicht ist, lohnt sich eine Risikoanalyse in komplexen Projekten, um frühzeitig Schwachstellen zu entdecken.

• Interne Richtlinien und Policies: Ein Compliance-Konzept sollte ausformulierte Richtlinien enthalten, die den Umgang mit dem CAFM-System regeln. Dazu gehört z. B. eine IT-Benutzerrichtlinie, welche festlegt, dass User sich nur mit eigenen Accounts anmelden dürfen, Passwörter regelmäßig wechseln, keine fremden USB-Sticks ins System stecken etc. (IT-Sicherheitspolitik). Eine Datenschutz-Policy könnte definieren, wie mit besonders schützenswerten Daten umzugehen ist, wer im Zweifel Freigaben erteilen muss, wie bei Auskunftsersuchen vorzugehen ist. Ferner sind Prozessbeschreibungen hilfreich: etwa ein dokumentierter Prozess “Wie reagieren wir auf ein Datenschutz-Incident” oder “Löschkonzept für personenbezogene Daten im CAFM”. Diese Policies sollten allen relevanten Mitarbeitern bekannt gemacht und leicht zugänglich sein. Sie dienen auch als Schulungsgrundlage. Zusätzlich sind Verträge und Einwilligungstexte zu dokumentieren, falls nötig – z. B. Datenschutzeinwilligungen für Videoüberwachung am Empfang, Betriebsvereinbarungen bei Mitarbeiter-Tracking etc.

• Nachweisführung und Protokollierung: Wie bereits im Kontext Betreiberpflichten erwähnt, müssen alle durchgeführten Maßnahmen dokumentiert werden. Dazu zählen z. B. Prüfprotokolle (vom TÜV, von Sachverständigen), Wartungsberichte, Schulungsnachweise der Mitarbeiter, Gefährdungsbeurteilungen, Auditberichte, Protokolle von Lenkungskreis-Sitzungen im Projekt usw. Das CAFM-Compliance-Konzept sollte aufzählen, welche Nachweise aufbewahrt werden müssen und wo. Idealerweise werden diese direkt im CAFM-System oder einem angebundenen Dokumentenmanagement elektronisch archiviert – revisionssicher, wie oben beschrieben. So entsteht ein Compliance-Dossier des gesamten Projekts. Wichtig ist auch die Ordnung dieser Dokumentation: Eine klare Struktur (z. B. Ordner nach Bereichen: Datenschutz, Betreiberverantwortung, Verträge, Schulungen, Audits) erleichtert das Wiederfinden. Zudem sollten Verantwortlichkeiten definiert sein, wer welche Dokumente pflegt (z. B. HR pflegt Schulungslisten, Techniker pflegen Wartungsdokumente im System).

• Fortlaufende Aktualisierung: Dokumentation ist kein Einmalevent. Das Konzept muss beschreiben, wie Dokumente aktuell gehalten werden. Rechtsänderungen, Systemänderungen oder neue Prozesse machen Anpassungen nötig. Beispielsweise sollte das Verarbeitungsverzeichnis jährlich überprüft werden oder sobald eine neue Datenkategorie dazukommt (z. B. Einführung eines Besucher-Apps). Auch Policies gehören regelmäßig auf den Prüfstand – etwa bei neuen Bedrohungslagen (Homeoffice-Trend, Corona-Maßnahmen etc.) können zusätzliche Regeln nötig sein. Ein Verfahren zur Dokumentenkontrolle (Versionierung, Freigabe, Verantwortlicher pro Dokument) stellt sicher, dass man nicht mit veralteten Anweisungen arbeitet.

Dokumentieren, dokumentieren, dokumentieren. Das schafft Transparenz und schützt im Zweifel vor Strafen. Sollte es zu einer Prüfung durch die Behörde oder einem Rechtsstreit kommen, kann das Unternehmen lückenlos nachweisen, welche Überlegungen es angestellt und welche Maßnahmen ergriffen wurden. Dieser Grundsatz der Rechenschaftspflicht zieht sich durch alle Ebenen – und ein gutes CAFM-Compliance-Konzept liefert die Struktur und Werkzeuge, um dieser Pflicht ohne unnötigen Mehraufwand nachzukommen. Viele Unternehmen unterschätzen anfangs die Bedeutung der Dokumentation; hier zahlt es sich aus, von Beginn an ein systematisches Ablagesystem und klare Zuständigkeiten dafür zu etablieren.

Kein Compliance-System funktioniert ohne die Menschen, die es bedienen. Deshalb legt ein umfassendes Konzept großen Wert auf Schulung, klare Verantwortlichkeiten und Awareness.

• Schulung der Mitarbeiter: Alle Nutzer und Beteiligten am CAFM-System sollten passend zu ihrer Rolle geschult werden. Dazu gehören Fachschulungen (wie bediene ich das System korrekt?) ebenso wie Compliance-Schulungen (worauf muss ich hinsichtlich Datenschutz und Sicherheit achten?). Beispielsweise müssen Administratoren wissen, wie sie Benutzerrechte regelkonform verwalten, und Instandhaltungsplaner sollten die Bedeutung von Prüfintervallen kennen. Das Konzept sollte einen Schulungsplan enthalten: Wer erhält wann welche Trainings. Neue Mitarbeiter brauchen eine Einweisung vor der ersten Nutzung, bestehende Mitarbeiter Auffrischungen zumindest jährlich. Themen sind u. a.: DSGVO-Grundlagen, Umgang mit vertraulichen Daten, IT-Sicherheitsregeln, Notfallprozesse bei Incidents, korrekte Dokumentation. Laut einer Erhebung des DIN bleiben 40 % der Sicherheitsvorfälle in Unternehmen auf mangelhafte Dokumentation und unzureichende Schulungen zurückzuführen – ausreichende Weiterbildung ist also nicht nur Formalie, sondern vermindert ganz praktisch Risiken. Alle Schulungen sind zu dokumentieren (Teilnehmerlisten, Inhalte, Lernkontrolle), um im Bedarfsfall nachweisen zu können, dass das Personal befähigt wurde.

• Awareness und Kultur: Schulung ist mehr als ein einmaliger Workshop – es geht darum, eine Kultur der Achtsamkeit für Compliance zu schaffen. Das Konzept sollte regelmäßige Awareness-Maßnahmen vorsehen, z. B. quartalsweise kurze E-Learning-Nuggets, Plakate oder Reminder-Mails mit “Tipps des Monats” (z. B. Phishing-Gefahr, sicheres Passwort, Meldewege bei Vorfällen). In Meetings kann das Thema Sicherheit routinemäßig angesprochen werden. Ziel ist, dass alle Mitarbeiter – vom Haustechniker bis zum Objektleiter – verstehen, warum gewisse Regeln existieren, und diese verinnerlichen. Beispielsweise sollten technische Mitarbeiter sensibilisiert sein, keine Fremdgeräte ans Netzwerk anzuschließen, und Servicekräfte im Empfang müssen wissen, wie Besucheranmeldungen datenschutzkonform erfolgen. Wenn Datenschutz und Sicherheit Teil der täglichen Denkweise werden, sinkt die Fehleranfälligkeit erheblich. Das Konzept kann z. B. vorsehen, dass neue Prozesse immer auf Compliance-Freundlichkeit geprüft werden (Privacy by Design in der Organisation) und dass Mitarbeiter ermutigt werden, potentielle Probleme zu melden (eine “offene Tür”-Politik bei Compliance-Bedenken, ggf. anonyme Meldestellen).

• Benennung von Verantwortlichen: Neben Schulung aller sollte es definierte Verantwortliche Rollen geben. Eine Schlüsselfigur ist der Datenschutzbeauftragte (DSB) – sofern ein solcher bestellt werden muss oder freiwillig benannt ist, sollte er früh ins CAFM-Projekt einbezogen werden. Der DSB überwacht die Einhaltung der Datenschutzvorgaben und berät, z. B. ob eine DSFA nötig ist oder wie mit Betroffenenrechten umzugehen ist. In größeren Organisationen kann es sinnvoll sein, einen spezifischen Compliance-Manager FM oder Koordinator zu bestimmen, der die Betreiberverantwortung im Blick behält. Nach Implementierung geht das Projekt in den Regelbetrieb über – oft wird dann eine Stelle im Organigramm geschaffen, welche das Compliance-System betreut und weiterentwickelt (z. B. ein QMB oder Compliance-Beauftragter im FM). Diese Person koordiniert Updates des Rechtskatasters, organisiert jährliche Reviews der Prozesse und moderiert Lessons Learned Workshops. Auch die IT-Abteilung bzw. ein Informationssicherheitsbeauftragter spielen eine Rolle, gerade bei technischen Schutzmaßnahmen. Wichtig ist, dass Zuständigkeiten klar verteilt sind: Wer ist verantwortlich für die Aktualisierung von Policies? Wer pflegt das Verarbeitungsverzeichnis? Wer überwacht Fristen und Wiedervorlagen? – All dies sollte im Konzept benannt sein, damit keine “Grauzonen” entstehen. Im Idealfall gibt es einen Lenkungskreis oder regelmäßige Treffen zwischen FM, IT, Datenschutz, Arbeitssicherheit etc., um das Zusammenspiel zu steuern.

• Verankerung in Führungsverantwortung: Die Unternehmensleitung muss hinter dem Konzept stehen. Das bedeutet einerseits, ausreichende Ressourcen bereitzustellen (Zeit für Schulungen, Budget für sichere IT-Lösungen usw.), und andererseits selbst mit gutem Beispiel voranzugehen. Wenn die Geschäftsführung regelmäßig Reportings zum Compliance-Status einfordert und in Meetings betont, wie wichtig die Betreiberpflichten sind, prägt das die Einstellung im ganzen Team. Das Konzept könnte z. B. vorsehen, dass Key Performance Indicators (KPIs) zur Compliance entwickelt und im Managementreport besprochen werden (etwa “Prozentsatz fristgerecht erfüllter Prüfungen” oder “Anzahl der Datenschutzvorfälle pro Quartal”). Dadurch wird Fortschritt messbar und das Thema behält Management Attention.

In Summe sorgt dieser dreistufige Ansatz – klare Verantwortlichkeiten, umfassende Schulung und ständige Sensibilisierung – dafür, dass das schönste Compliance-Konzept nicht nur auf dem Papier existiert, sondern im Bewusstsein aller Mitarbeiter ankommt. Die Kombination aus technischen Kontrollen, regelmäßigen Audits und qualifiziertem, sensibilisiertem Personal gewährleistet eine robuste, nachhaltige Sicherheits- und Compliancestrategie. Sobald Compliance als fester Bestandteil der täglichen Abläufe wahrgenommen wird und nicht als lästige Bürokratie, ist das eigentliche Ziel erreicht.

Die Implementierung eines CAFM-Compliance-Konzepts ist komplex und birgt einige Herausforderungen. Ebenso gibt es erprobte Best Practices, um typische Risiken zu mitigieren.

• Initiale Komplexität: Zu Beginn können Umfang und Detailtiefe der Anforderungen überfordernd wirken. Die Vielzahl an Gesetzen und internen Prozessen macht es schwierig, alle Compliance-Aspekte gleichzeitig zu erfassen. Hier besteht das Risiko, dass wichtige Punkte übersehen werden oder das Projekt ins Stocken gerät. Priorisierung ist daher essenziell – etwa zuerst die kritischsten Rechtsbereiche (Arbeitssicherheit, Datenschutz) und größten Risiken adressieren, dann schrittweise erweitern.

• Widerstand und Akzeptanzprobleme: Veränderungen in Richtung mehr Compliance werden von Mitarbeitern anfangs mitunter als “Bürokratie” empfunden. Zusätzliche Dokumentationspflichten oder strengere Prozesse können Unmut erzeugen. Ohne aktives Change Management droht die Gefahr, dass Regeln umgangen oder insgeheim abgelehnt werden. Deshalb sollten Mitarbeiter früh eingebunden, der Nutzen erläutert und Quick Wins aufgezeigt werden. Sobald die Vorteile spürbar werden – weniger Stress bei Audits, klarere Zuständigkeiten, glattere Abläufe – schwenkt die Stimmung meist um. Es gilt, Geduld zu haben und Erfolge sichtbar zu machen.

• Technische Integration: Die Einbindung des Compliance-Konzepts in die IT-Landschaft kann Herausforderung sein. Nicht alle CAFM-Systeme erfüllen out-of-the-box sämtliche Anforderungen (z. B. detaillierte Protokollierung oder spezielle Rollen). Hier muss ggf. mit Zusatzentwicklungen oder Workarounds gearbeitet werden. Auch die Schnittstellen zu Alt-Systemen bergen Risiken: Dateninkonsistenzen oder Sicherheitslücken an den Nahtstellen. Ein Risiko ist zudem, dass die Technik als Allheilmittel gesehen wird – aber ohne parallel angepasste Prozesse und Schulungen kann selbst die beste Software keine Compliance garantieren.

• Fortlaufende Gesetzesänderungen: Das Rechtsumfeld (Datenschutz, Arbeitsrecht, Sicherheitsnormen) ändert sich kontinuierlich. Was heute compliant ist, kann morgen überholt sein. Ein typisches Risiko ist, dass das einmal implementierte Konzept “einfriert” und neue Vorgaben nicht integriert werden. Dem begegnet man, indem im Konzept ein Monitoring von Rechtsänderungen verankert ist (z. B. regelmäßige Updates durch den DSB oder externe Dienste). Aber es bleibt eine Herausforderung, am Ball zu bleiben – insbesondere für kleinere Unternehmen ohne eigene Rechtsabteilung.

• Personelle Abhängigkeiten: Oft hängt der Erfolg an einzelnen “Key Playern” – z. B. ein Projektleiter, der sich sehr für das Thema einsetzt. Wenn diese Personen wechseln oder ausfallen, kann Wissen wegbrechen. Deshalb ist es riskant, wenn Compliance-Arbeit nicht ausreichend dokumentiert oder auf mehrere Schultern verteilt ist. Die Institutionalisierung (z. B. über feste Rollen und Gremien) ist wichtig, um personelle Risiken zu minimieren.

• Top-Management Support: Sorgen Sie von Anfang an für Rückendeckung durch die Geschäftsführung. Wenn Compliance als Chefsache wahrgenommen wird, erhalten notwendige Maßnahmen Priorität und Ressourcen. Das Management sollte klare Ziele formulieren (z. B. “Wir wollen in einem Jahr auditready sein” oder “Zero-Compliance-Findings als KPI”) und diese kommunizieren.

• Privacy by Design & Security by Design: In jedem Schritt der CAFM-Einführung sollten Datenschutz und Sicherheit mitgedacht werden. Beispielsweise bei der Datenmodellierung nur erforderliche Felder vorsehen (Datensparsamkeit), beim Workflow-Design Berechtigungen fein steuern und vor Livegang einen Security-Test durchführen. Änderungen am System (Updates, neue Module) sollten stets durch eine Compliance-Prüfung laufen, um keine neuen Risiken einzuschleusen.

• Schrittweises Vorgehen mit Quick Wins: Teilen Sie das Mammutprojekt in Etappen. Zunächst Grundlagen schaffen (AV-Vertrag, grobes Pflichtenkataster, Hauptprozesse in CAFM abbilden), dann Feinheiten angehen (Detail-Optimierung, weitere Automatisierung, Zertifizierung anstreben). Feiern Sie Erfolge frühzeitig – z. B. erste vollständig protokollierte Wartungsrunde, bestandenes internes Audit – um Motivation hochzuhalten.

• Einbindung aller Stakeholder: Beziehen Sie alle relevanten Abteilungen ein: IT, HR, Recht, Arbeitssicherheit, externe FM-Dienstleister. Compliance in FM ist interdisziplinär. Bilden Sie einen Lenkungskreis oder zumindest eine regelmäßige Runde, wo Informationen ausgetauscht werden. So entstehen Verständnis füreinander (z. B. IT versteht FM-Bedürfnisse besser und umgekehrt) und ein gemeinsames Verantwortungsgefühl.

• Nutzung externer Expertise: Scheuen Sie nicht, Expertenrat einzuholen. Spezialisierte Berater im Bereich FM-Compliance oder Datenschutz können helfen, blinde Flecken aufzudecken. Penetrationstests durch externe Security-Spezialisten erhöhen die Systemsicherheit. Auch ein externer Rechtscheck der Dokumente (Verträge, Datenschutzerklärungen) ist empfehlenswert. Zertifizierungen wie ISO 27001 bringen ebenfalls externes Auditwissen ein, das zur Verbesserung beiträgt.

• Kontinuierliche Verbesserung leben: Etablieren Sie einen Zyklus von Plan – Do – Check – Act. Nach der Implementierung darf nicht Schluss sein. Nutzen Sie Audit-Ergebnisse und Feedback der Mitarbeiter, um das System laufend zu optimieren. Halten Sie das Konzept aktuell und “lebendig” – d.h. passen Sie es an, wenn sich etwas ändert, und messen Sie den Erfolg. Eine Idee ist die Einführung eines Compliance-Score (z. B. Prozent der fristgerecht erledigten Aufgaben, Anzahl der Abweichungen im letzten Audit), um objektiv zu sehen, ob die Organisation auf dem gewünschten Niveau ist.

• Kultur und Bewusstsein stärken: Langfristig sollte Compliance ins Unternehmensleitbild integriert werden. Wenn alle verstehen, dass es nicht nur um Vermeidung von Strafen geht, sondern um Sicherheit, Qualität und Reputation, wird Compliance selbstverständlich. Anekdotisch berichten Führungskräfte nach erfolgreicher Implementierung, dass sie “besser schlafen, weil alles geregelt und dokumentiert ist”. Dieses Gefühl der Sicherheit auf allen Ebenen ist Gold wert – und es stellt sich ein, wenn aus vielen einzelnen Maßnahmen eine echte Kultur des Verantwortungsbewusstseins geworden ist.

Ein CAFM-Compliance-Konzept lohnt sich. Trotz der Herausforderungen überwiegen die Vorteile deutlich: weniger Risiken, weniger Überraschungen, mehr Effizienz und ein gutes Gewissen, alle Pflichten im Griff zu haben. Das Unternehmen wird resilienter, sicherer und effizienter – und die Betreiberverantwortung ist nicht mehr eine lästige Pflicht, sondern ein gelebter Bestandteil der Unternehmensführung. Mit den genannten Best Practices und einer strukturierten Vorgehensweise wird die komplexe Aufgabe handhabbar und erfolgreich umsetzbar. Jede investierte Mühe im Bereich Compliance zahlt sich durch vermiedene Zwischenfälle, bestandene Audits und ein höheres Vertrauen von Kunden, Mitarbeitern und Behörden vielfach aus.

• Alle relevanten Datenschutzprinzipien (Rechtmäßigkeit, Datenminimierung, Speicherbegrenzung, Betroffenenrechte) im System umgesetzt und dokumentiert.

• Art. 32 DSGVO TOMs etabliert: Zugriffsberechtigungen, Verschlüsselung, Backup, Notfallkonzept, regelmäßige Security-Tests.

• Auditfähigkeit sichergestellt: lückenloser Audit-Trail, Nachvollziehbarkeit aller Änderungen, revisionssichere Archivierung wichtiger Dokumente.

• CAFM-System mit benötigten Funktionen ausgestattet: Rollen- und Rechtemanagement, Protokollierung, Versionierung, Compliance-Dashboard, Schnittstellenkontrolle.

• AV-Vertrag mit Softwareanbieter abgeschlossen (Art. 28 DSGVO) inkl. Weisungsrecht, Vertraulichkeit, TOMs, Subunternehmer-Kontrolle, Unterstützungsleistungen, Meldepflichten, Löschkonzept, Auditrechte.

• Betreiberverantwortung abgedeckt: Pflichtenkataster erstellt, Verantwortlichkeiten delegiert, im CAFM als Prüf- und Wartungspläne hinterlegt, Kontrollen/Audits geplant, alles dokumentiert.

• Umgang mit sensiblen Daten geregelt: Zutrittslogs und Personaldaten zweckgebunden, zugriffsbeschränkt, mit Löschfristen; besondere Daten besonders geschützt.

• Schnittstellen-Compliance gewährleistet: Datenflüsse dokumentiert, Verträge für Datentransfers, Verschlüsselung aktiv, Drittlandübermittlungen mit SCC oder Adequacy, Prinzip der minimalen Rechte auf alle Systeme ausgedehnt.

• Prüfprozesse etabliert: interne Audits (z. B. jährliche Compliance-Reviews), Management-Reviews, externe Zertifizierungen (z. B. ISO 27001) angestrebt oder erreicht.

• Dokumentation vollständig: Verzeichnis der Verarbeitungstätigkeiten aktualisiert, Policies (IT-Security, Datenschutz, Notfall) vorhanden, DSFA durchgeführt falls nötig, Nachweise geordnet archiviert.

• Schulungen und Awareness durchgeführt: Mitarbeiter regelmäßig geschult, Verantwortliche (DSB, Compliance-Manager) benannt, Kultur des bewussten Umgangs mit Pflichten geschaffen.

• Kontinuierliche Verbesserung implementiert: Feedback-Schleifen, Rechtsmonitoring, Anpassungsprozess für das Compliance-Konzept definiert.

Mit dieser Checkliste und den im Dokument erläuterten Maßnahmen kann ein Unternehmen sicherstellen, dass die Einführung eines CAFM-Systems rechtssicher, datenschutzkonform und auditfähig erfolgt – eine solide Basis für einen effizienten und verantwortungsvollen Gebäudebetrieb.