CAFM: Sicherheits- und Datenschutz-Vorprüfung

Parallel zur Datenschutz-Betrachtung erfolgt eine Überprüfung der Informationssicherheit der geplanten Lösung.

• ISO/IEC 27001: Dieser internationale Standard für Informationssicherheits-Managementsysteme (ISMS) dient vielen Unternehmen als Rahmen, um Vertraulichkeit, Integrität und Verfügbarkeit von Informationen systematisch zu schützen. Ein an ISO 27001 ausgerichtetes Sicherheitskonzept umfasst eine strukturierte Risikoanalyse, definierte Sicherheitsrichtlinien, klare Zuständigkeiten und die Dokumentation aller Sicherheitsprozesse. Typische technische Maßnahmen wie Zugriffskontrolle, Verschlüsselung oder Backups entsprechen den Kontrollen aus Anhang A der ISO 27001. Für den Auftraggeber gilt ein solches ISO-Standard-basiertes Konzept als Qualitätsmerkmal: Eine Zertifizierung oder nachweisliche Anwendung von ISO 27001 zeigt, dass der Dienstleister Sicherheit nach international anerkannten Best Practices handhabt. Die DSGVO selbst erkennt an, dass zertifizierte Verfahren als Nachweis geeigneter Maßnahmen dienen können. Daher wird im Zuge der Vorprüfung geprüft, ob der Anbieter eine ISO 27001-Zertifizierung besitzt oder sein Sicherheitsmanagement an diesem Standard ausrichtet. Ist dies der Fall, kann man darauf aufbauen; falls nicht, sollten zumindest gleichwertige Kontrollen nachgewiesen werden.

• BSI IT-Grundschutz: In Deutschland bietet der BSI-Grundschutz einen vergleichbaren Rahmen. Er besteht aus Katalogen bewährter Sicherheitsmaßnahmen und ist mit ISO 27001 kompatibel. Gerade im öffentlichen Sektor oder bei Betreibern Kritischer Infrastrukturen (KRITIS) ist der Grundschutz häufig gefordert. Beispiel: Bundesbehörden oder kommunale Verwaltungen verlangen bei CAFM-Ausschreibungen oft die Einhaltung des BSI-Grundschutz-Kompendiums. In der Vorprüfung wird daher geprüft, ob der Anbieter die relevanten BSI-Grundschutz-Bausteine (z. B. Basismaßnahmen für Anwendungen, Server, Netzwerke) erfüllt. Ein effektives ISMS im KRITIS-Umfeld orientiert sich in der Regel entweder an ISO 27001 oder am BSI-Grundschutz – beide Normen gelten als anerkannter Stand der Technik.

• KRITIS-Anforderungen: Ist der Auftraggeber oder die betriebene Einrichtung als Kritische Infrastruktur eingestuft (z. B. ein Energieversorger, Krankenhaus, Verkehrsunternehmen), greifen zusätzlich die Vorgaben aus dem IT-Sicherheitsgesetz (IT-SiG) und §8a BSI-Gesetz. Diese schreiben “angemessene technische und organisatorische Maßnahmen nach dem Stand der Technik” verbindlich vor sowie eine Meldepflicht für erhebliche IT-Sicherheitsvorfälle. Im Rahmen der Vorprüfung wird daher gesondert untersucht, ob das CAFM-System kritische Dienstleistungen unterstützt und somit KRITIS-relevant ist. Falls ja, müssen erhöhte Sicherheitsstandards umgesetzt werden. Dazu gehört insbesondere ein umfassendes Notfall- und Redundanzkonzept: Hohe Verfügbarkeit ist essenziell, Ausfälle müssen durch Backup-Systeme oder manuelle Verfahren abgefedert werden. Ein Beispiel sind Rechenzentrums-Standards in KRITIS-Umgebungen: Das BSI fordert etwa, dass georedundante Rechenzentren einen Abstand von mindestens 200 km haben, um regionalen Katastrophen vorzubeugen. Solche Kriterien fließen in die Bewertung der Cloud-Architektur ein. Auch branchenspezifische Sicherheitsstandards (B3S) werden berücksichtigt, falls vorhanden und einschlägig. Ergebnis: Die Vorprüfung stellt sicher, dass die Lösung den ggf. strengeren KRITIS-Vorgaben genügt, z. B. durch ein dokumentiertes ISMS und die Benennung eines Sicherheitsbeauftragten.

Unabhängig vom konkreten Standard achtet die Vorprüfung darauf, dass Datenschutz und Informationssicherheit verzahnt gedacht werden. Während die DSGVO den Fokus auf personenbezogene Daten legt, erweitert ein ISO-27001- oder Grundschutz-Ansatz den Blick auf alle schützenswerten Informationen und die Betriebsfähigkeit insgesamt. Aspekte wie Netzwerksicherheit (Firewalls, IDS/IPS), Patch-Management, Notfallmanagement und Lieferantenmanagement werden mit einbezogen. Die Vorprüfung bewertet demnach nicht nur den reinen Datenschutz, sondern auch die allgemeine IT-Sicherheit der CAFM-Lösung. Wenn der Anbieter bereits ein Informationssicherheitskonzept hat, wird dessen Einbindung geprüft – idealerweise wird das Datenschutzkonzept in ein übergreifendes ISMS eingebettet.

Der CAFM-Anbieter legt im Vorab-Workshop sein Sicherheitskonzept vor. Es zeigt sich, dass er nach ISO 27001 zertifiziert ist und z. B. regelmäßige Penetrationstests durchführt, Schwachstellenanalysen erstellt und einen kontinuierlichen Verbesserungsprozess etabliert hat. Solche Prüfungen (Schwachstellen-Scans, Pen-Tests, Risiko-Assessments) dienen dazu, mögliche Lücken frühzeitig zu erkennen; ihre Ergebnisse werden dokumentiert und führen zu Updates des Sicherheitskonzepts. Dies entspricht dem Stand der Technik und wird als sehr positiv bewertet. Sollte hingegen der Anbieter kein formales ISMS haben, würde die Vorprüfung detaillierte Nachweise einfordern, dass alle Kernbereiche der Informationssicherheit abgedeckt sind.

Ein zentrales Element der Dienstleistung ist eine umfassende Risikoanalyse.

• Technische Risiken: Hier wird evaluiert, welche technologischen Schwachstellen oder Bedrohungen mit dem Einsatz der CAFM-Software einhergehen. Beispiele: fehlende Verschlüsselung, anfällige Schnittstellen (APIs) zu anderen Systemen, unzureichende Netzwerksegmentierung oder veraltete Softwarekomponenten. Die Vorprüfung prüft, ob Sicherheitslücken bekannt sind oder durch die Systemarchitektur impliziert werden. Auch Integrationsaspekte spielen eine Rolle: Eine CAFM-Lösung wird oft in die bestehende IT-Landschaft eingebunden, was zusätzliche Risiken birgt. Beispiel: Die CAFM-Software soll mit dem Active Directory verbunden werden, um Nutzer zu synchronisieren. Hier könnte ein Risiko sein, dass über die Schnittstelle unberechtigte Zugriffe auf das AD möglich wären. Dies würde als technisches Risiko erfasst und bewertet (Eintrittswahrscheinlichkeit vs. Schadensausmaß). Weitere technische Risiken könnten Cloud-spezifisch sein, z. B. Datenverlust bei Ausfall eines Rechenzentrums, Datenlecks durch Fehlkonfiguration (etwa öffentliche S3-Buckets) oder Cyberangriffe (SQL-Injection, Ransomware). Solche Bedrohungen werden identifiziert und in die Bewertung aufgenommen. In Anlehnung an Art. 32 DSGVO wird beurteilt, ob das vorhandene Sicherheitsniveau dem Risiko angemessen ist – unter Berücksichtigung von Stand der Technik, Implementierungskosten, Art und Umfang der Datenverarbeitung und der potenziellen Folgen für Betroffene.

• Organisatorische Risiken: Neben der Technik betrachtet die Vorprüfung die organisatorischen Rahmenbedingungen. Hier geht es um Fragen der Betriebsprozesse und Zuständigkeiten. Risiken können entstehen, wenn z. B. kein klarer Prozess für Berechtigungsverwaltung existiert (Gefahr übermäßiger Zugriffsrechte) oder wenn Mitarbeiter nicht ausreichend geschult sind (Gefahr von Phishing oder Bedienungsfehlern). Menschliches Versagen ist oft das schwächste Glied der Sicherheit. Die Risikoanalyse bewertet daher z. B.: Gibt es einen definierten Verantwortlichen für das System? Sind die Rollen (Admin, Key-User, Nutzer) klar abgegrenzt? Wurden der Datenschutzbeauftragte und IT-Sicherheitsbeauftragte einbezogen (dazu später mehr)? Ein Beispiel für ein organisatorisches Risiko: Wenn im Facility-Management bisher Excel-Listen mit Personendaten geführt wurden und nun alles ins CAFM migriert wird, besteht das Risiko, dass Alt-Daten unsachgemäß übernommen werden (Datenqualität, Dubletten) oder Löschfristen nicht beachtet werden. Dieses Risiko würde organisatorisch adressiert – etwa durch Schulung des CAFM-Administrators in datenschutzgerechter Datenpflege oder Einführung eines Löschkonzepts. Weitere organisatorische Risiken: Unklare Incident-Response-Prozesse (wer alarmiert wen bei einem Datenschutzvorfall?), fehlende Regelungen zur regelmäßigen Sicherheitsüberprüfung oder mangelnde Einbindung der Führungsebene. Solche Punkte fließen in die Analyse ein und es werden Maßnahmenempfehlungen entwickelt (z. B. Etablierung eines regelmäßigen Security-Audits, Einüben eines Notfallplans für IT-Ausfälle etc.).

• Vertragliche Risiken: Ein oft unterschätzter Bereich sind Risiken aus Verträgen und rechtlichen Zusagen. Bei SaaS-Lösungen werden wesentliche Punkte in Verträgen (Lizenzvertrag, Service Level Agreement, Auftragsverarbeitungsvertrag) geregelt – oder eben nicht geregelt, was ein Risiko darstellt. Die Vorprüfung nimmt daher den CAFM-Anbietervertrag genau unter die Lupe: Enthält er alle nötigen Klauseln zu Datenschutz und Sicherheit? Was passiert bei Verstößen oder Ausfällen? Gibt es Haftungsbegrenzungen, die für den Auftraggeber problematisch wären? Beispielhafte vertragliche Risiken: Der Vertrag enthält keine klaren Regelungen zur Datenherausgabe bei Vertragsende – somit droht Datenportabilitäts-Stress. Oder: Es fehlen Zusagen zu Verfügbarkeiten (Uptime) und Reaktionszeiten – dann besteht das Risiko, dass im Störfall kein ausreichender Support geleistet wird. Weiteres Beispiel: Der Anbieter nutzt Subunternehmer (Cloud-Hoster, Dritt-Services), ohne dass der Vertrag genau festlegt, wie deren Einbindung erfolgt. Dies wäre ein Datenschutz-Risiko (fehlende Transparenz über Sub-Prozessoren) und gleichzeitig rechtlich heikel. Die Risikoanalyse identifiziert solche Lücken. Praxisbeispiel: Im AV-Vertrag des Anbieters steht zwar, dass er technische Maßnahmen umsetzt, aber es ist kein Audit-Recht für den Kunden vorgesehen. Damit ginge der Kunde das Risiko ein, sich im Zweifel nicht selbst von der Compliance überzeugen zu können. Dies wird als vertragliches Risiko markiert, mit der Empfehlung, ein Auditrecht zu vereinbaren. Generell wird geprüft, ob der Anbieter vertraglich hinreichende Garantien für Datenschutz und Datensicherheit bietet – was Art. 28 DSGVO ausdrücklich fordert.

Die Risikoanalyse führt letztlich zu einem Risikobericht, der die identifizierten technischen, organisatorischen und vertraglichen Risiken nach Schwere und Eintrittswahrscheinlichkeit bewertet. Zu jedem wesentlichen Risiko werden Maßnahmen vorgeschlagen, um es zu vermeiden, mindern oder zu transferieren (z. B. Versicherung oder vertragliche Haftung). Ein zentrales Prinzip ist dabei, präventiv aktiv zu werden: Schon vor Go-Live sollen soweit wie möglich alle Roten Flaggen eliminiert werden. Einige Risiken lassen sich vielleicht nicht vollständig beseitigen – etwa ein Rest-Restrisiko durch unbekannte Software-Schwachstellen – doch sollte zumindest ein Plan zur Reaktion bestehen (Incident Response, Notfallkonzept).

Falls das Risiko „unzureichende Verschlüsselung“ identifiziert wurde, wäre die Maßnahme: konsequente TLS-Verschlüsselung aller Datenübertragungen (HTTPS, SFTP etc.) und Encryption at Rest in der Datenbank. Genau solche Punkte werden auch vom Anbieter eingefordert: Ein robustes Datenschutz- und Sicherheitskonzept verlangt, dass alle sensiblen Daten sowohl bei der Übertragung (Transportverschlüsselung, z. B. SSL/TLS) als auch bei der Speicherung (Verschlüsselung „at rest“, z. B. Datenbankverschlüsselung) geschützt werden. Wenn der Anbieter dies nicht standardmäßig erfüllt, wird es im Rahmen der Vorprüfung auf die Maßnahmenliste gesetzt.

Technik, Organisation und Verträge werden kritisch hinterfragt. So entsteht ein vollständiges Risikoprofil der CAFM-Implementierung, das als Grundlage für alle weiteren Schritte dient.

Die DSGVO verlangt in Art. 32, dass bei der Verarbeitung personenbezogener Daten angemessene technische und organisatorische Maßnahmen (TOMs) getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Ein Kernstück der Vorprüfung ist daher die Überprüfung und Bewertung der TOMs, die der CAFM-Anbieter bereits implementiert hat oder zusichert. In der Praxis stellt der Anbieter hierfür häufig ein Sicherheitskonzept oder eine Liste von Maßnahmen bereit – zum Beispiel als Anlage zum Vertrag (häufig „technisch-organisatorische Maßnahmen“ genannt).

• Zugriffsbeschränkungen und Zugangskontrollen: Wer kann auf das System und die Daten zugreifen? Idealerweise verfügt der Anbieter über ein ausgefeiltes Rechte- und Rollenkonzept. Best Practice ist, dass jeder Nutzer einen persönlichen Login hat, starke Passwörter verwendet und nur minimal notwendige Berechtigungen erhält (Need-to-know-Prinzip). Administrationsrechte sollten auf wenige Personen begrenzt, protokolliert und regelmäßig überprüft werden. Die Vorprüfung bewertet, ob solche Zugriffskontrollen umgesetzt sind. Beispiel: Der Anbieter sollte Multi-Faktor-Authentifizierung (MFA) für Administratoren vorschreiben und eine Protokollierung aller Admin-Aktivitäten durchführen. Wenn Mitarbeiter zu weitreichende Zugriffsrechte haben, besteht die Gefahr von Datenschutzverletzungen – die Vorprüfung würde empfehlen, ein strenges rollenbasiertes Konzept einzuführen. Aus dem Anbieter-Dokument muss hervorgehen, dass unbefugten Dritten der Zugriff konsequent verwehrt ist (physisch und logisch). So wird z. B. erwartet, dass Rechenzentren gesichert sind (Zutrittskontrolle) und im System selbst Berechtigungsprüfungen implementiert sind.

• Verschlüsselung und Datensicherheit: Es wird geprüft, ob Datenverschlüsselung im Ruhezustand und bei Übertragung eingesetzt wird. Moderne CAFM-Cloudlösungen sollten alle Verbindungen per TLS absichern und sensible Datenbanken verschlüsseln (TDE oder Applikationsverschlüsselung). Die Vorprüfung sucht nach Nachweisen hierfür im Konzept. Auch Backups und deren Verschlüsselung werden betrachtet: Sind regelmäßige Backups vorgesehen? Werden sie sicher aufbewahrt (z. B. getrenntes Backup-Rechenzentrum, Verschlüsselung der Backup-Medien)? Ein weiteres Kriterium ist die Datenintegrität – Maßnahmen gegen unbemerkte Manipulation. Beispielsweise Checksummen, Protokollierung von Änderungen oder Four-Eyes-Prinzip bei kritischen Änderungen. Beispiel: Ein gutes Zeichen ist, wenn der Anbieter Hash-Werte oder digitale Signaturen einsetzt, um die Integrität von Wartungsdokumentationen oder Prüfberichten zu gewährleisten. Insgesamt muss das Maßnahmenpaket gewährleisten, dass kein Unbefugter Daten lesen, ändern oder löschen kann. Die Vorprüfung kann hier zum Beispiel die Verschlüsselungsverfahren hinterfragen: “Werden Passwörter gehasht und gesalzen gespeichert? Welche Verschlüsselungsstandards kommen zum Einsatz (AES-256, RSA etc.)?”.

• Netzwerk- und Systemsicherheit: Dazu zählen Firewalls, Intrusion-Detection/Prevention-Systeme (IDS/IPS), Malware-Schutz und sichere Software-Entwicklung. Die Vorprüfung sichtet, ob der Anbieter solche Schutzmechanismen erwähnt. Wichtig ist auch das Patch-Management – werden Sicherheitsupdates zeitnah eingespielt? (Gerade bei Cloud-Services ein Muss, um bekannte Schwachstellen zu schließen.) Zudem: isoliert der Anbieter die Kundendaten (Mandantentrennung)? Nutzt er sichere Protokolle (keine unsicheren Legacy-Protokolle)? Ein Beispiel aus der Praxis: Der Anbieter sollte bestätigen, dass er regelmäßige Schwachstellen-Scans durchführt und z. B. an einem Bug-Bounty-Programm teilnimmt oder externe Penetrationstests beauftragt. Solche Vorgehensweisen zeigen proaktive Sicherheitskultur und würden in der Bewertung positiv hervorgehoben. Falls der Anbieter dagegen nur minimalistische Aussagen macht („Unsere Software ist sicher.“), würde die Vorprüfung hier tiefer bohren und ggf. Nachbesserungen fordern.

• Verfügbarkeits- und Notfallmanagement: CAFM-Systeme unterstützen oft geschäftskritische Prozesse (z. B. Störungsmanagement, Raumverwaltung). Daher begutachtet die Vorprüfung die Maßnahmen zur Gewährleistung der Verfügbarkeit. Gibt es redundante Server? Wie ist die Ausfallsicherheit gestaltet (Cluster, Load Balancing)? Werden Daten regelmäßig gesichert und gibt es einen Disaster-Recovery-Plan? Ein zentraler Punkt ist die Notfallplanung: Der Anbieter sollte darlegen, wie er bei schweren Störungen verfährt – etwa durch einen IT-Notfallplan, der beschreibt, wie der Betrieb aufrechterhalten wird. Für kritische Kunden wird erwartet, dass es Ausweichmöglichkeiten gibt (z. B. Zweitrechenzentrum, manuelle Verfahren). Beispiel: Ein Facility-Management-Dienstleister, der KRITIS-Kunden (z. B. Kliniken) bedient, muss möglicherweise georedundante Rechenzentren nachweisen. Die Vorprüfung würde dann z. B. checken, ob die Standorte der Primär- und Sekundär-Rechenzentren ausreichend auseinander liegen (wie erwähnt: BSI-Empfehlung ~200 km) und ob im Fall eines Ausfalls eine automatisierte Umschaltung erfolgt. Auch Notstromversorgung, Brandschutz etc. können hier Thema sein – meist liegen dazu Zertifikate (z. B. Tier III/IV, ISO 27001) vor, die eingefordert und geprüft werden.

• Organisatorische Maßnahmen beim Anbieter: Neben der Technik wird bewertet, welche organisatorischen Vorkehrungen der Anbieter getroffen hat. Dazu zählt, ob Personal auf Vertraulichkeit verpflichtet wurde, ob es klare Sicherheitsrichtlinien gibt und regelmäßige Mitarbeiterschulungen stattfinden. Im Idealfall schult der Anbieter alle Mitarbeiter, die an den Systemen oder mit den Daten arbeiten, regelmäßig in Datenschutz und IT-Sicherheit. Themen wie Phishing-Prävention, Social Engineering, sichere Passwörter und Meldewege für Vorfälle sollten Teil dieser Schulungen sein. Die Vorprüfung würde z. B. Punkte vergeben, wenn der Anbieter nachweisen kann, dass jedes Jahr Security-Awareness-Trainings durchgeführt werden und ein Sicherheitsbeauftragter intern benannt ist. Auch die organisatorische Trennung von Zuständigkeiten (Prinzip der Gewaltenteilung) wird geprüft: z. B. wer hat Zugriff auf Produktivdaten, gibt es ein Vier-Augen-Prinzip bei Datenexporten etc. Wenn hier Lücken sichtbar sind, kommt es als Empfehlung in den Bericht.

Die Bewertung der TOMs erfolgt anhand einer Kombination aus Checklisten und Benchmarks (z. B. Anforderungen ISO 27001 Anhang A, BSI-Grundschutz-Kataloge oder kundeninterne Security Policies). Jeder Bereich (Zugriff, Verschlüsselung, Netzwerk, Backup, Orga) wird mit erfüllt / teilweise / offen markiert.

Die Vorprüfung dokumentiert, welche Sicherheitsmaßnahmen der Anbieter bereits implementiert hat und wo Nachbesserungen nötig sind. Dieser Teil des Berichts kann später auch als Anlage zum Auftragsverarbeitungsvertrag dienen, um die vereinbarten Sicherheitsmaßnahmen konkret festzuhalten. Wichtig ist, dass die Maßnahmen dem zuvor ermittelten Risiko angemessen sind – eine hochsichere Verschlüsselung nützt wenig, wenn z. B. ein einfaches Standardpasswort „admin/admin“ für alle Benutzer gesetzt würde. Daher wird Gesamtkonzept und Umsetzungstiefe betrachtet.

Oftmals hat der Dienstleister bereits eine TOM-Liste vorbereitet. Die Vorprüfung geht diese Liste Punkt für Punkt durch. Wo nötig, werden Belege eingefordert (z. B. ein Pen-Test-Report, ein ISO-Zertifikat, ein Auszug aus dem Berechtigungskonzept) – so wird aus einer reinen Papierzusage echte Nachprüfbarkeit. Dies ist essentiell, denn letztlich haftet auch der Auftraggeber mit, wenn die Schutzmaßnahmen unzureichend sind. Daher gilt: Vertrauen ist gut, Kontrolle ist besser – die Dienstleistung liefert diese Kontrolle in strukturierter Form.

Sobald personenbezogene Daten im Spiel sind und ein externer Dienstleister (wie der CAFM-Anbieter) sie in seinem System verarbeitet, schreibt Art. 28 DSGVO den Abschluss eines Auftragsverarbeitungsvertrags (AVV) vor. Ein wichtiger Teil der Vorprüfung ist daher die Überprüfung und ggf. Erstellung/Anpassung dieses AV-Vertrags. Ziel ist es, dass alle rechtlichen Anforderungen abgedeckt sind und spezielle Aspekte von Cloud- oder Drittanbietern berücksichtigt werden.

Zunächst wird sichergestellt, dass überhaupt ein schriftlicher AV-Vertrag zwischen Auftraggeber (Verantwortlicher) und dem CAFM-Anbieter (Auftragsverarbeiter) geschlossen wird – dies ist gesetzliche Pflicht, wenn der Dienstleister personenbezogene Daten im Auftrag verarbeitet. In vielen Fällen stellen Anbieter einen Standard-AVV zur Verfügung. Die Vorprüfung analysiert diesen auf Vollständigkeit und Angemessenheit.

• Weisungsrecht des Auftraggebers: Der Dienstleister darf die überlassenen personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Kunden verarbeiten. Eigene Zwecke oder Datenverwendungen für Dritte sind strikt untersagt. Die Vorprüfung checkt, ob dies klar im Vertrag steht (Schlüsselwort: weisungsgebundene Verarbeitung).

• Vertraulichkeit: Der Anbieter muss garantieren, dass alle Personen, die mit den Kundendaten umgehen, auf Vertraulichkeit verpflichtet sind. Dies beinhaltet interne Mitarbeiter wie auch evtl. externe Admins. Hier schauen wir, ob der AVV eine Klausel hat, dass z. B. alle Mitarbeiter NDAs oder gesetzliche Verschwiegenheitspflichten haben. Unbefugten darf kein Zugriff auf die Daten gewährt werden – diese Selbstverpflichtung gehört ebenso in den Vertrag.

• Einsatz von Subunternehmern (Unterauftragsverarbeitern): Gerade bei Cloud-Lösungen hochrelevant: Der Anbieter setzt oft Drittanbieter ein (z. B. Hosting in einer Cloud-Infrastruktur wie AWS/Azure, E-Mail-Versanddienste, etc.). Der AVV muss regeln, dass jede Einschaltung von Subunternehmern nur mit vorheriger schriftlicher Zustimmung des Kunden erfolgen darf. Zudem sind alle Unterauftragnehmer vertraglich auf die gleichen Datenschutzstandards zu verpflichten. Die Vorprüfung prüft, ob eine Liste der genehmigten Subunternehmer beigefügt ist und wie das Prozedere für Neubeauftragungen aussieht (der Kunde sollte informiert werden und ein Vetorecht haben). Praxisbeispiel: Wenn der CAFM-Anbieter z. B. eine externe Ticketing-Software für Support nutzt, in der Kundendaten auftauchen, muss auch das im Vertrag abgedeckt sein.

• Technische und organisatorische Maßnahmen: Hier werden die im vorherigen Abschnitt bewerteten TOMs vertraglich festgeschrieben. Der AVV sollte entweder die konkreten Maßnahmen aufführen oder auf eine Anlage (Sicherheitskonzept) verweisen, in der sie beschrieben sind. Wichtig ist die Formulierung, dass der Auftragsverarbeiter alle erforderlichen Sicherheitsmaßnahmen gemäß Art. 32 DSGVO einhält, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. In unserem Bericht wird stehen, ob die vorhandene Aufstellung der Maßnahmen ausreichend detailliert ist. Oft sind Stichpunkte genannt (z. B. „Rechenzentrum ISO 27001-zertifiziert, TLS 1.2, tägliche Backups, role-based access“ etc.). Die Vorprüfung achtet darauf, dass nichts wesentliches fehlt. Außerdem gilt: Die Vereinbarung dieser Maßnahmen ist nicht statisch – bei neuen Risiken muss der Anbieter nachbessern. Daher kann es sinnvoll sein, im Vertrag eine Klausel zur Anpassung der TOMs bei geänderten Umständen aufzunehmen.

• Unterstützung der Verantwortlichen: Der Dienstleister muss laut DSGVO den Auftraggeber unterstützen, wenn Betroffene ihre Rechte geltend machen (z. B. Auskunftsverlangen, Löschbegehren). Ebenso hat er bei der Einhaltung weiterer Pflichten des Verantwortlichen mitzuhelfen – dazu zählen Sicherheitsüberprüfungen, Meldungen von Datenschutzverletzungen und ggf. die Datenschutz-Folgenabschätzung (DSFA). Die Vorprüfung überprüft, ob im AVV Verpflichtungen des Anbieters stehen wie „Unterstützung bei Anfragen Betroffener innerhalb von X Tagen“ oder „Hilfe bei Erstellung von DSFA“. Beispiel: Wenn ein Mitarbeiter Auskunft nach Art. 15 DSGVO über seine im CAFM-System gespeicherten Daten verlangt, muss der Anbieter zeitnah alle relevanten Daten liefern können. Fehlt eine solche Zusage, sollte man dies ergänzen.

• Meldung von Datenschutzvorfällen: Der AVV muss regeln, dass der Auftragsverarbeiter dem Verantwortlichen unverzüglich Bescheid gibt, sobald ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird. Nur so kann der Verantwortliche seiner gesetzlichen Meldepflicht (72-Stunden-Frist an die Aufsichtsbehörde, Art. 33 DSGVO) nachkommen. Die Vorprüfung checkt die entsprechende Klausel. Beispielsweise sollte klar definiert sein, wie die Meldung zu erfolgen hat (an welche Stelle, in welcher Form) und dass sie ohne schuldhaftes Zögern nach Bekanntwerden des Vorfalls geschehen muss.

• Löschung nach Auftragsende: Nach Beendigung des Vertrages muss der Dienstleister alle personenbezogenen Daten nach Wahl des Kunden entweder zurückgeben oder sicher löschen. Eine längerfristige Aufbewahrung darf nur erfolgen, wenn gesetzliche Aufbewahrungspflichten bestehen. Die Vorprüfung prüft, ob diese Option im Vertrag steht. In Cloud-Umgebungen ist besonders wichtig: Wie erhält der Kunde seine Daten zurück (Format, Frist) und wie wird die Löschung bestätigt? Idealerweise lässt man sich die vollständige Datenlöschung vom Anbieter schriftlich bestätigen oder durch Logs nachweisen.

• Nachweispflichten und Audit-Rechte: Ein sehr wichtiger Punkt: Der Anbieter verpflichtet sich, dem Kunden alle Informationen bereitzustellen, die zum Nachweis der DSGVO-Compliance erforderlich sind, und erlaubt Audits/Inspektionen durch den Kunden oder einen Prüfer. Diese Kontrollrechte stellen sicher, dass der Datenschutz nicht nur auf dem Papier existiert, sondern auch praktisch umgesetzt wird. Die Vorprüfung achtet darauf, dass kein Audit-Verbot o. Ä. im Vertrag steht. Oft schränken Cloud-Anbieter das etwas ein (z. B. „Audit nur einmal jährlich mit Vorankündigung“), was akzeptabel ist – aber ein generelles Recht sollte vorhanden sein. Auch Reports wie externe Zertifizierungen oder Prüfberichte sollte der Anbieter auf Anfrage zur Verfügung stellen müssen.

Wenn der Standard-AVV des Anbieters in einem der obigen Punkte Lücken hat, erarbeitet die Vorprüfung Vorschläge zur Anpassung. Entweder über Ergänzungen im Vertragstext oder als Zusatzvereinbarung. Beispiel aus der Praxis: Ein Cloud-CAFMM-Anbieter hatte im Standardvertrag keine dedizierte Klausel zum Datenexport bei Vertragsende. Die Vorprüfung empfahl, das explizit zu regeln: Der Anbieter verpflichtet sich, dem Kunden auf Verlangen sämtliche Daten in einem gängigen Format zu übergeben (z. B. SQL-Dump, XML/CSV-Export) und danach die Löschung zu bestätigen. Diese Ergänzung schützt den Kunden vor Datenverlust und erleichtert einen Anbieterwechsel (Datenportabilität).

• Subdienstleister des CAFM-Anbieters: Wie oben erwähnt, muss der Hauptanbieter seine Unterauftragnehmer vertraglich binden. Die Vorprüfung prüft indirekt auch diese Ketten. Beispielsweise: Nutzt der CAFM-Anbieter für das Hosting Microsoft Azure, so sollte zwischen ihm und Microsoft ebenfalls ein DSGVO-konformer Vertrag (meist Microsoft’s Online Services Terms inkl. Data Protection Addendum) bestehen. Oft wird der Endkunde darauf verwiesen, dass solche Subdienstleisterlisten öffentlich einsehbar sind. Es ist wichtig, dass der Kunde weiß, wo seine Daten überall landen (Transparenz der Verarbeitungskette).

• Direkte Drittanbieter des Kunden: Mitunter werden im Rahmen des CAFM-Projekts weitere Dienstleister eingeschaltet (z. B. ein Implementierungspartner, der beim Aufbau hilft, oder ein externer Support). Ggf. müssen auch mit diesen Parteien separate Verträge geschlossen werden, wenn sie Zugriff auf personenbezogene Daten haben. Die Vorprüfung identifiziert solche Konstellationen und sorgt dafür, dass kein Auftragsverarbeiter „ohne Vertrag“ bleibt.

Wenn Cloud-Dienste in Drittstaaten (außerhalb EU/EWR) involviert sind, stellt sich die Frage des internationalen Datentransfers. Die Vorprüfung beleuchtet, ob z. B. ein US-Anbieter involviert ist und ob die Daten ggf. in die USA übertragen oder dort gespeichert werden. Nach dem Schrems II-Urteil des EuGH darf ein solcher Transfer nur erfolgen, wenn zusätzliche Schutzmaßnahmen ergriffen werden (Standardvertragsklauseln + ggf. Verschlüsselung/zusätzliche Vereinbarungen). In der Dienstleistungsbeschreibung gehört daher auch die Empfehlung, Cloud-Dienste möglichst in der EU zu nutzen oder vertraglich sicherzustellen, dass ein gleichwertiges Datenschutzniveau eingehalten wird. Beispiel: Der AVV sollte Klauseln enthalten, die den Anbieter verpflichten, nur Rechenzentren in bestimmten Regionen zu verwenden (z. B. „EU-only hosting“) oder Standard Contractual Clauses (SCC) mit Subunternehmern in unsicheren Drittstaaten abzuschließen. Ebenso sollte geprüft werden, ob technische Maßnahmen wie Verschlüsselung ohne Zugriffsmöglichkeit des US-Anbieters umgesetzt werden, falls Daten in die USA fließen.

Zusammengefasst garantiert dieser Teil der Vorprüfung, dass die vertragliche Basis für Datenschutz und Sicherheit robust ist. Der Kunde erhält am Ende einen rechtskonformen AV-Vertrag, der alle kritischen Punkte abdeckt, und Klarheit darüber, welche Drittanbieter eingebunden sind und unter welchen Bedingungen. Dies schützt nicht nur die Betroffenen, sondern auch rechtlich beide Seiten, da klare Verantwortlichkeiten festgelegt sind – Verstöße gegen den AVV hätten sonst für beide Seiten Haftungsrisiken (Art. 82 DSGVO, gemeinsamer Schadensersatz). Durch die vertragliche Absicherung wird gewährleistet, dass der Dienstleister den Datenschutz nicht nur formal, sondern auch tatsächlich lebt.

Rechenzentrumsstandorte (Location Requirements): In Zeiten von Cloud-Computing ist die Frage “Wo liegen meine Daten physisch?” von großer Bedeutung – sowohl aus rechtlicher Sicht (Datenschutz, Zugriffsrechte durch Behörden) als auch bzgl. Ausfallsicherheit.

• Jurisdiktion und Datenschutzniveau: Idealerweise werden personenbezogene Daten im Europäischen Wirtschaftsraum (EWR) gespeichert, wo die DSGVO gilt. Die meisten CAFM-Cloud-Anbieter betreiben Rechenzentren in EU-Ländern (z. B. Irland, Deutschland, Niederlande). Die Vorprüfung bestätigt, in welchen Ländern die Primär- und Backup-Datenzentren stehen und ob diese datenschutzrechtlich unproblematisch sind. Sollte ein Standort außerhalb der EU liegen, müssen geeignete Garantien vorhanden sein (z. B. das neue Trans-Atlantic Data Privacy Framework oder Standardvertragsklauseln + ggf. zusätzliche Maßnahmen). Falls der Kunde öffentlichen Sektor ist, gibt es oft die Anforderung „EU-only“ oder sogar „Deutschland-Hosting“. Diese Vorgaben werden aufgenommen und mit dem Anbieter abgeglichen.

• Sicherheitsprofil des Standorts: Nicht jeder Rechenzentrumsstandort ist gleich – Unterschiede gibt es bei Naturgefahren, Versorgungssicherheit und physischer Sicherheit. Die Vorprüfung berücksichtigt solche Kriterien: Liegt das Rechenzentrum in einem politisch stabilen Gebiet? Besteht Risiko für Naturkatastrophen (Überschwemmungen, Erdbeben)? Wie ist die physische Sicherung (Bunkergebäude, Wachschutz, Zutrittskontrollen)? Für KRITIS-Anwendungen gibt es konkrete Standortanforderungen: Das BSI nennt z. B. Kriterien, dass mindestens eines der redundant ausgelegten Rechenzentren erdbebenfrei liegen soll und ein geografischer Abstand von 200 km zwischen redundanten Rechenzentren einzuhalten ist. Solche Punkte fließen in die Bewertung ein, insbesondere bei hohen Verfügbarkeitsanforderungen. Beispiel: Hat der Anbieter zwei Rechenzentren in verschiedenen Städten, wird geprüft, ob sie ausreichend voneinander entfernt sind (nicht beide in derselben Erdbebenregion oder am selben Stromnetz hängen). Das erhöht die Ausfallsicherheit.

• Datenresidenz und Zugriff durch Dritte: Manche Kunden – insbesondere Behörden oder kritische Unternehmen – verlangen, dass Daten nur in bestimmten Ländern gespeichert werden, um z. B. dem Zugriff ausländischer Behörden (Patriot Act etc.) vorzubeugen. Die Vorprüfung erfasst solche Anforderungen. Wenn z. B. ausgeschlossen werden soll, dass Daten in den USA liegen, muss dies vertraglich fixiert sein. Ein weiterer Aspekt: Support-Zugriff – selbst wenn die Server in der EU stehen, könnten Administratoren aus Nicht-EU-Ländern (etwa vom Softwarehersteller in Indien oder den USA) remote zugreifen. Auch hier gilt: Wenn ungewollt, muss man vertraglich und technisch Vorkehrungen treffen (z. B. Zugriff nur via EU-VPN, Protokollierung und strenge Kontrolle solcher Zugriffe).

• Datenverfügbarkeit bei Standortwechsel: Sollte der Anbieter seine Datenzentren wechseln (z. B. aus Kostengründen in ein anderes Land verlagern wollen), braucht der Kunde ein Mitspracherecht. Die Vorprüfung empfiehlt entsprechende Vertragsklauseln oder mindestens Informationsrechte.

Insgesamt wird der Abschnitt Rechenzentrumsstandorte oft im Zusammenhang mit Ausfallsicherheit und Disaster Recovery gesehen. Unsere Dienstleistung würde daher mit dem Anbieter auch das Thema Lokation der Backups ansprechen: Liegen Backups am selben Ort oder in einer anderen Region? Besser ist georedundante Backuphaltung. Ebenso wichtig: Strom- und Netzredundanzen am Standort, Notstromaggregat, Brandschutz (Inertgas-Löschanlage etc.). Zwar geht dies ins Detail des Betriebs, aber in einer umfassenden Vorprüfung werden solche Aspekte angesprochen – zumindest soweit sie Einfluss auf Datensicherheit und Datenschutz haben.

Dieser Punkt adressiert das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO und allgemein die Vermeidung von Vendor Lock-in. Ein gutes CAFM-System sollte dem Kunden jederzeit ermöglichen, seine Daten in einem gängigen Format zu exportieren. Die Vorprüfung stellt dazu zwei Fragen: (1) Können einzelne personenbezogene Datensätze auf Verlangen extrahiert werden (z. B. alle Daten zu einem bestimmten Mitarbeiter, wenn dieser sein Recht auf Datenportabilität ausübt)? und (2) Können gesamte Datenbestände exportiert werden (für Sicherungen oder bei Anbieterwechsel)?

Es gilt für personenbezogene Daten, die der Betroffene dem Verantwortlichen bereitgestellt hat und die automatisiert auf Basis Einwilligung oder Vertrag verarbeitet werden. In einem CAFM könnte das z. B. für Mitarbeiterdaten zutreffen, die im System geführt werden, da sie im Kontext des Arbeitsvertrags verarbeitet werden (vertragliche Grundlage). Wenn ein Mitarbeiter nun sein Art. 20-Recht ausübt, müsste das Unternehmen ihm seine personenbezogenen CAFM-Daten in einem strukturierten, gängigen, maschinenlesbaren Format bereitstellen. Die Vorprüfung sorgt dafür, dass das System solche Exporte ermöglicht – mindestens CSV/Excel-Exporte der relevanten Datensätze. Beispiel: Ein Mitarbeiter möchte eine Übersicht aller für ihn erfassten Zeiten, Raumbuchungen und Arbeitsschutzunterweisungen. Das CAFM sollte eine Funktion haben, diese Personaldaten gebündelt zu exportieren. Der Anbieter sollte im Idealfall entsprechende Funktionen vorsehen oder zugesichert haben, die dem Kunden die Erfüllung solcher Rechte erleichtern. Dies wird abgefragt und getestet.

Sprich, dass der Kunde nicht in eine Daten-Abhängigkeit gerät. Die Vorprüfung prüft daher, ob das CAFM-System vollständige Massenexporte zulässt. Idealerweise gibt es ein offenes Datenformat oder Schnittstellen (APIs), um alle Stammdaten, Transaktionsdaten und Dokumente herauszuladen. Ein Anbieter, der transparente Exportmöglichkeiten bietet, zeigt damit Offenheit und senkt den Aufwand für Support und Compliance, was positiv zu bewerten ist. Denn einfache Exportwege sind auch ein Qualitätsmerkmal und schaffen Vertrauen. Die Dienstleistung würde empfehlen, sich im Vertrag ein Recht auf Datenexport zu sichern, insbesondere bei Vertragsende. Zum Beispiel: „Der Kunde kann jederzeit und insbesondere am Vertragsende die Rückgabe sämtlicher Daten in strukturiertem Format verlangen“. Damit wird ausgeschlossen, dass der Anbieter den Kunden durch proprietäre Datenformate „festhält“.

Angenommen, das CAFM läuft 5 Jahre und der Kunde möchte dann den Anbieter wechseln. Dank guter Vorbereitung in der Vorprüfung ist im Vertrag geregelt, dass der alte Anbieter innerhalb von 30 Tagen nach Vertragsende einen kompletten Datenexport liefert – etwa als SQL-Dump oder als Archiv mit allen Dateien und einer Datenbankkopie – und zwar ohne zusätzliche Kosten. Dieses Szenario wird in der Vorprüfung durchgespielt und vorbereitet. Auch Interoperabilität kann ein Thema sein: Werden Standards (z. B. IFC für Gebäudedaten, GAEB für Ausschreibungsdaten etc.) unterstützt, die einen leichteren Wechsel erlauben? Solche Fragen werden gestellt, um ein rundes Bild zu haben.

Der Kunde weiß, wo seine Daten liegen und dass er darüber die Kontrolle behält. Rechenzentrums-Standards werden ebenso geprüft wie die Möglichkeit, Daten herauszulösen. Das Ergebnis sind klare Vorgaben/Empfehlungen, die dann in Verträgen und technischen Lösungen umgesetzt werden. Somit wird sowohl regulatorischen Anforderungen (Datenübertragbarkeitsrecht) als auch praktischen Bedürfnissen (Wechselmöglichkeit, Katastrophenvorsorge durch Offline-Backups) Rechnung getragen.

Die DSGVO folgt dem Prinzip der Rechenschaftspflicht (Accountability): Ein Unternehmen muss nachweisen können, dass es die Datenschutzvorschriften einhält (Art. 5 Abs. 2 DSGVO). Daraus resultieren umfangreiche Dokumentationspflichten für den Verantwortlichen, die auch bei einer CAFM-Einführung beachtet werden müssen.

• Verzeichnis von Verarbeitungstätigkeiten: Gemäß Art. 30 DSGVO muss für jede Verarbeitung eine Dokumentation mit den wichtigsten Angaben geführt werden. Die Einführung einer CAFM-Software bedeutet eine neue Verarbeitungstätigkeit (oder mehrere, je nach Modulen: z. B. „Verwaltung von Mitarbeiter- und Gebäudedaten im CAFM“). Die Vorprüfung stellt sicher, dass ein Eintrag im Verarbeitungsverzeichnis erstellt oder angepasst wird. Darin werden u. a. festgehalten: der Zweck der Verarbeitung (z. B. Facility- und Instandhaltungsmanagement), Kategorien betroffener Personen (Mitarbeiter, Dienstleister, Besucher), Kategorien personenbezogener Daten (Kontaktdaten, Zutrittsdaten, Vertragsdaten etc.), Empfänger (z. B. der CAFM-Dienstleister als Auftragsverarbeiter), Übermittlungen in Drittstaaten (falls zutreffend), Löschfristen und eine grobe Beschreibung der Sicherheitsmaßnahmen. Die Vorprüfung kann hier in Form eines Templates helfen, diese Informationen strukturiert zu sammeln. Somit ist der Kunde bei Go-Live im Besitz aller nötigen Angaben für das Verzeichnis.

• Dokumentation der Rechtsgrundlagen und Bewertungen: Wie oben im Abschnitt DSGVO-Konformität beschrieben, werden die Rechtsgrundlagen und evtl. die Notwendigkeit einer DSFA geklärt. Diese Ergebnisse müssen ebenfalls dokumentiert sein. Beispielsweise: Wenn eine Datenschutz-Folgenabschätzung durchgeführt wurde, gehört der Bericht darüber zu den Aufbewahrungsdokumenten. Interessanterweise dient laut Erwägungsgrund 90 DSGVO die DSFA nicht nur zur Risikoermittlung, sondern auch dem Nachweis der DSGVO-Einhaltung. Die Vorprüfung sorgt also dafür, dass – falls eine DSFA nötig ist – diese schriftlich erfolgt und später als Nachweis bereitliegt. Sollte keine DSFA erforderlich sein, wird die Entscheidungsbegründung (mit Verweis auf die Kriterien) ebenfalls kurz festgehalten.

• TOM-Dokumentation (Anlage): Oftmals wird die Gesamtheit der technischen und organisatorischen Maßnahmen in einem Dokument oder Anhang zusammengefasst (z. B. als „Anlage zu AVV: TOM“). Die Vorprüfung kann dieses Dokument mit erstellen bzw. validieren. Darin wird z. B. tabellarisch festgehalten, welche Maßnahmen zu Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle etc. umgesetzt sind. Dies dient zweierlei: zum einen der internen Übersicht und zum anderen als Anhang für Verträge oder für Prüfer. Hinweis: Nach § 8a BSIG (für KRITIS) müssen Betreiber ein aktuelles Sicherheitskonzept, Richtlinien, Risikoanalysen und Nachweise über getroffene Maßnahmen vorhalten. Auch wenn ein Kunde kein KRITIS-Betreiber ist, empfiehlt es sich, in ähnlicher Weise Dokumente parat zu haben. Die Vorprüfung orientiert sich an solchen Best Practices und erstellt eine kompakte aber vollständige Dokumentation aller relevanten Aspekte.

• Nachweispflichten bei Vorfällen: Sollte es später einmal zu einem Datenschutzvorfall kommen, verlangt Art. 33 Abs. 5 DSGVO die Dokumentation des Vorfalls und der ergriffenen Gegenmaßnahmen. Die Vorprüfung richtet den Blick nach vorne und stellt sicher, dass Prozesse definiert sind, um diese Dokumentationen zu führen. Zwar passiert dies erst im laufenden Betrieb, aber schon im Sicherheitskonzept sollte festgehalten sein, wie Vorfälle dokumentiert werden (z. B. Führen eines Incident-Logs). Empfehlung: Der Kunde sollte ein Datenschutz- und IT-Sicherheitsvorfall-Formular bereit haben, in dem künftig eventuelle Störungen (z. B. unberechtigter Zugriffsversuch) erfasst werden. Das gehört zu den Nachweisen, die im Auditfall der Behörde präsentiert werden können.

• Schulungs- und Awareness-Dokumentation: Wenn Mitarbeiter (sowohl beim Anbieter als auch beim Kunden) geschult werden, sollten Teilnahmenachweise oder Schulungsinhalte dokumentiert werden. Die Vorprüfung rät dazu, auch diese Unterlagen aufzubewahren (z. B. Folien der Datenschutzunterweisung, Teilnehmerlisten). Denn sollten jemals Ansprüche wegen Organisationsverschuldens erhoben werden, kann man nachweisen, dass man seine Mitarbeiter sensibilisiert hat.

• Betriebliche Vereinbarungen / Policies: Falls die Einführung des CAFM im Unternehmen neue Richtlinien erfordert (etwa eine Richtlinie zur Nutzung von IT-Systemen, Anpassung der Arbeitsordnung bezüglich Überwachungssysteme, etc.), müssen auch diese dokumentiert und z. B. vom Betriebsrat genehmigt werden. Die Vorprüfung identifiziert solche Notwendigkeiten und unterstützt die Dokumentation. Beispiel: Eine Betriebsvereinbarung zur Nutzung des Zugangskontrollsystems, um die Mitbestimmung zu wahren und transparent festzuhalten, was erlaubt ist und was nicht.

Der ausgefüllte Prüfbericht, Risikomatrix, Kopien/Zusammenfassungen von Verträgen (z. B. AVV), das Datenflussdiagramm, DSFA-Bericht (falls erstellt), das TOM-Dokument, Verarbeitungsverzeichnis-Eintrag, Schulungskonzept, etc. Diese Sammlung bildet die Compliance-Dokumentation für das Projekt. Sie kann intern abgelegt und bei Audits oder Anfragen von Aufsichtsbehörden vorgelegt werden. So kann der Verantwortliche jederzeit zeigen: “Wir haben unsere Hausaufgaben gemacht und Datenschutz sowie Sicherheit von Anfang an berücksichtigt.” Gemäß Artikel 24 DSGVO muss der Verantwortliche nämlich durch geeignete technische und organisatorische Maßnahmen den Nachweis erbringen, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Mit der Dokumentation erfüllt man genau diese Rechenschafts- und Nachweispflichten.

Ein Jahr nach Go-Live führt der interne Revisor oder die Datenschutzbehörde eine Prüfung durch. Dank der Vorprüfung liegen alle erforderlichen Unterlagen griffbereit vor – vom Vertrag bis zur Risikoanalyse. Der Auditor kann nachvollziehen, dass z. B. eine Löschroutine implementiert wurde (durch Sichtung des Löschkonzepts) und dass der Datenschutzbeauftragte eingebunden war (durch dessen Stellungnahme im DSFA-Bericht). Dieser rote Faden der Dokumentation sorgt nicht nur für Rechtskonformität, sondern auch für Ordnung und klare Zuständigkeiten im Betrieb. Oft stellt sich beim Dokumentieren auch ein positiver Nebeneffekt ein: Prozesse werden verbessert und transparenter gestaltet.

Die Vorprüfung überlässt nichts dem Zufall – jede relevante Entscheidung und Maßnahme wird schriftlich fixiert. Das schützt das Unternehmen vor späteren Gedächtnislücken und beweist im Zweifel die eigene Compliance-Bemühung. Eine lückenhafte Dokumentation hingegen könnte im Ernstfall zu Bußgeldern oder Schadensersatzansprüchen führen. Dem wird proaktiv entgegengewirkt.

Eine praxisorientierte Vorprüfung stützt sich auf bewährte Methoden und Tools, um systematisch alle Punkte abzufragen. Daher gehören Checklisten, Fragebögen und Vorab-Audits zum Werkzeugkasten dieser Dienstleistung.

• Einsatz von strukturierten Fragebögen: Bereits zum Start der Vorprüfung kann dem CAFM-Anbieter ein detaillierter Fragebogen zugesandt werden, der alle wichtigen Aspekte von Datenschutz und IT-Sicherheit abdeckt. Darin werden beispielsweise Fragen gestellt wie: “Welche personenbezogenen Daten werden in Ihrem System gespeichert?”, “Ist Ihre Software nach OWASP-Standards gehärtet?”, “Haben Sie eine/n Datenschutzbeauftragte/n und Informationssicherheitsbeauftragte/n benannt?”, “Wo befinden sich Ihre Rechenzentren?”, “Wie unterstützen Sie uns bei der Erfüllung von Betroffenenrechten?” etc. Der Anbieter füllt diese Selbstauskunft aus und gibt idealerweise auch gleich Nachweise (z. B. Zertifikate, Policies) an. Vorteil: Ein Fragebogen stellt sicher, dass keine Themen vergessen werden und die Aussagen schriftlich vorliegen. Die Vorprüfung wertet den Fragebogen aus und nutzt ihn als Basis für gezielte Nachfragen. Viele Organisationen verwenden interne Standardschablonen für solche Zwecke; falls vorhanden, wird diese natürlich berücksichtigt und ggf. erweitert.

• Checklisten für die interne Prüfung: Parallel dazu arbeitet die Vorprüfung mit Audit-Checklisten. Diese basieren oft auf Normen oder gesetzlichen Anforderungen (z. B. eine Checkliste gemäß DSGVO-Artikeln, oder basierend auf ISO 27001 Annex A Controls). Für Datenschutz gibt es z. B. Checklisten der Aufsichtsbehörden oder standardisierte Fragen aus dem Standard-Datenschutzmodell (SDM). Für IT-Sicherheit kann man eine BSI-Grundschutz-Checkliste heranziehen. Die Dienstleistung greift auf solche Vorlagen zurück, um nichts zu übersehen. Beispiel: Eine Checkliste könnte Punkte enthalten wie „AV-Vertrag vorhanden?“, „Verarbeitungsverzeichnis aktualisiert?“, „Datenverschlüsselung implementiert?“, „Passwortrichtlinie vorhanden?“ etc., die dann mit OK / offen / nicht zutreffend markiert werden. Diese Liste wird am Ende dem Kunden übergeben, so dass er eine klare Übersicht hat, welche Felder grün und welche noch rot/gelb sind.

• Vorab-Audit (Simulationsprüfung): In manchen Fällen wird sinnvoll sein, ein Mini-Audit als Trockenübung durchzuführen. Das kann bedeuten, dass man den CAFM-Anbieter um eine kurze Live-Demo mit Fokus auf Security bittet: Er soll z. B. zeigen, wie das Berechtigungssystem funktioniert, wie ein Admin-Benutzer eingerichtet wird, wie Logging funktioniert. Dabei kann ein Audit-Team (Datenschutzbeauftragter, IT-Sicherheitsverantwortlicher, evtl. externer Berater) gezielte Fragen stellen. Diese Vorgehensweise ist praxisnah und entlarvt schnell eventuelle Diskrepanzen zwischen Papier und Realität. Beispiel: Der Anbieter behauptet im Fragebogen „Ja, wir bieten Multi-Faktor-Authentisierung (MFA)“. In der Demo stellt sich heraus: MFA ist nur für Admins optional, nicht aber für normale Nutzer verfügbar. Solche Erkenntnisse sind wichtig für die Risikoabwägung und würden in den Abschlussbericht einfließen (hier: Empfehlung, MFA für alle Benutzer zu verlangen, zumindest optional).

• Templates für Vorabkontrolle (Privacy Impact): Für den Datenschutz-Teil kann man auf Vorabkontrolle- bzw. DSFA-Templates zurückgreifen. Früher schrieb das BDSG eine „Vorabkontrolle“ durch den DSB vor, heute ersetzt durch die DSFA. Einige Unternehmen haben dafür Formulare, in denen man neue Projekte beurteilt (inkl. Fragen zu Datenarten, Umfang, Bewertung der Risiken). Die Vorprüfung nutzt solche Formulare – entweder eigene oder die des Kunden – um die Datenschutzbewertung strukturiert durchzuführen und zu dokumentieren. Das Ergebnis ist oft ein Ampelsystem: Rot = DSFA zwingend nötig, Gelb = genauer prüfen, Grün = kein hohes Risiko erkennbar. So ein Fragebogen wird in unserem Bericht als Anlage beigefügt, sodass intern nachvollzogen werden kann, wie die Entscheidung zustande kam.

• Sicherheits-Audit-Checklisten: Falls der Kunde über ein ISMS verfügt, gibt es dort meist interne Audit-Fragebögen zu Lieferantenbewertungen. Die Vorprüfung kann diese adaptieren. Falls nicht vorhanden, können anerkannte Catalogs genutzt werden, z. B. die Cloud Security Alliance (CSA) stellt mit dem CAIQ eine umfangreiche Fragenliste für Cloud-Anbieter bereit, oder der BSI C5 Kriterienkatalog für Cloud Computing gibt Anhaltspunkte. Wir überfrachten den Kunden aber nicht mit Theorie – stattdessen schnüren wir eine praxistaugliche Liste. Praxisbeispiel: Aus der BSI C5-Liste könnten wir relevante Punkte auswählen, wie „Protokollierung und Monitoring implementiert?“, „Schutz vor Malware auf allen Ebenen?“, „Identity- und Access-Management dokumentiert?“. Diese werden dann in einem Auditgespräch mit dem Anbieter durchgegangen. Die Antworten – und unsere Bewertung dazu – finden Eingang in das Protokoll der Vorprüfung.

• Fragebögen für Referenzkunden/Audits: Gelegentlich macht es Sinn, auch Referenzen oder vorhandene Auditberichte des Anbieters anzufordern. Die Vorprüfung kann empfehlen, einen bereits vorhandenen Prüfbericht (z. B. ISO 27001 Zertifikat und zugehöriges Statement of Applicability, oder ein SOC 2 Report, ein Pentest-Report etc.) einzusehen. Diese geben ein objektives Bild der Sicherheitslage. Wenn etwa ein TÜV-Prüfbericht vorliegt, in dem der Anbieter auf DSGVO-Konformität getestet wurde, spart das eigene Fragen. Die Dienstleistung prüft dann den Report und checkt, ob er aktuell und umfassend genug ist. Andernfalls wird ein ergänzender Fragebogen dennoch nötig sein.

Die Vorprüfung nachvollziehbar und vollständig zu gestalten. Am Ende sollen sowohl Kunde als auch Anbieter ein klares Bild haben, welche Anforderungen gestellt wurden und wie der Erfüllungsgrad ist. Für den Anbieter wirkt das übrigens auch verbindlich: Er sieht, dass der Kunde großen Wert auf Security & Privacy legt und entsprechend Verantwortung einfordert – das schafft oft eine bessere Arbeitsgrundlage und beugt Nachlässigkeiten vor.

Während der Vorprüfung füllt der Anbieter einen umfangreichen Security & Privacy Questionnaire aus. Daraus geht hervor, dass z. B. zwar eine Backup-Verschlüsselung vorhanden ist, aber (überraschenderweise) kein formelles Notfallhandbuch. Unser Team markiert dies und empfiehlt dringend, ein Notfallkonzept zu erstellen und zu testen. Gleichzeitig liefern wir dem Kunden vielleicht eine Audit-Checkliste (z. B. eine Liste mit 50 Kontrollfragen nach DSGVO/ISO), die er intern verwenden kann, um in Zukunft jährlich die Einhaltung zu prüfen. Damit ist nicht nur initial, sondern auch langfristig ein Werkzeug vorhanden, um die Wirksamkeit der Maßnahmen zu überprüfen (Stichwort kontinuierlicher Verbesserungsprozess).

Die Vorabkontrollen mit strukturierten Tools sorgen dafür, dass die Prüfung systematisch abläuft, anstatt lückenhaft oder adhoc. Sie liefern zugleich praktische Hilfsmittel für den Kunden, die auch nach der Implementierung weiter genutzt werden können (z. B. für regelmäßige Audits oder Supplier-Reviews). Das macht die Dienstleistung nachhaltig wertvoll und nicht nur eine einmalige Momentaufnahme.

Eine entscheidende Erfolgsbedingung bei der Einführung eines neuen Systems ist die frühzeitige Einbindung der internen Experten, insbesondere des Datenschutzbeauftragten (DSB) und des IT-Sicherheitsbeauftragten (oft CISO oder ISB genannt). Unsere Dienstleistung legt daher großen Wert darauf, diese Stakeholder von Anfang an mit ins Boot zu holen – im Einklang mit den gesetzlichen Anforderungen und den Erfahrungswerten aus der Praxis.

Gemäß Art. 38 DSGVO muss ein benannter Datenschutzbeauftragter „frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden“. Das heißt konkret: Schon bei der Planungsphase der CAFM-Implementierung sollte der DSB konsultiert werden. Die Vorprüfung unterstützt dies, indem wir z. B. Kick-off-Workshops explizit mit dem DSB (und ggf. IT-Security Officer) durchführen. Dort werden die Pläne vorgestellt und die Experten können auf mögliche Fallstricke hinweisen. Beispiel: Der Datenschutzbeauftragte könnte anmerken, dass bei bestimmten geplanten Funktionen (z. B. Dauerüberwachung von Gebäuden via IoT-Sensorik) eine DSFA erforderlich wird oder dass ggf. Mitbestimmungsrechte des Betriebsrats tangiert sind. Solche Hinweise sind Gold wert und verhindern teure Umwege. Aus unserer Erfahrung gilt: „Die frühe Einbindung des DSB minimiert rechtliche Risiken deutlich.“ Es ist übrigens nicht nur ein Rat, sondern Pflicht – die Missachtung kann zu Bußgeldern führen (Art. 83 Abs. 4 DSGVO: bis 10 Mio € oder 2% Umsatz). Ein reales Beispiel zeigte, dass ein Unternehmen bestraft wurde, weil es den DSB erst nach Beschwerden einband und nicht an Entscheidungsprozessen teilnehmen ließ. Solche Fehler sollen hier vermieden werden.

Ähnlich wichtig ist der IT-Sicherheitsbeauftragte bzw. Informationssicherheits-Verantwortliche. In vielen Organisationen (gerade größeren oder KRITIS-Unternehmen) gibt es eine Person oder Abteilung, die die Gesamtverantwortung für die IT-Sicherheit trägt. Diese kennt die unternehmensinternen Sicherheitsrichtlinien, Standards und bereits implementierten Schutzmaßnahmen. Die Vorprüfung bindet diese Person(en) ein, um sicherzustellen, dass das neue CAFM-System sich nahtlos in die bestehende Sicherheitsarchitektur einfügt. Best Practice: Der IT-Sicherheitsbeauftragte sollte z. B. die Netzwerkarchitektur freigeben – also prüfen, ob das System in einer DMZ betrieben werden muss, ob Firewall-Regeln angepasst werden, wie die Authentifizierung (Single Sign-On?) integriert wird etc. Auch sollte er bewerten, ob der Anbieter-Sicherheitsstandard dem Unternehmensniveau entspricht (manchmal hat ein Unternehmen eigene Vorgaben, etwa „alle Passwörter mindestens 12 Zeichen, regelmäßiger Wechsel“, oder „MFA verpflichtend für externe Zugriffe“). Solche Policies müssen kommuniziert werden, damit der Anbieter sie umsetzen kann. Unsere Dienstleistung moderiert diesen Austausch zwischen Anbieter-IT und Kunden-IT-Security.

Ganz praktisch bedeutet Einbindung auch, dass DSB und IT-SiBe in Entscheidungsrunden vertreten sind. Die aktive Teilnahme an Projektmeetings, Abnahme-Workshops und das Gegenlesen wichtiger Dokumente (z. B. AV-Vertrag, Datenschutzkonzept) sind hier gemeint. Praxisbeispiel: Vor Abschluss des Auftragsverarbeitungsvertrags wird der Entwurf dem Datenschutzbeauftragten vorgelegt. Er prüft und gibt Feedback (z. B. „Paragraph X fehlt das Auditrecht, das muss rein“). Dieses Feedback fließt ein, bevor der Vertrag unterschrieben wird – so vermeidet man nachträgliches Ändern. Ebenso könnte der IT-Sicherheitsbeauftragte verlangen, dass vor dem Go-Live ein Penetrationstest der Anwendung durchgeführt wird. Die Vorprüfung würde diese Forderung aufnehmen und in den Projektplan integrieren.

Der Datenschutzbeauftragte agiert intern als Berater und Kontrolleur. Er soll also unabhängig prüfen, ob alle Datenschutzmaßnahmen angemessen sind. In unserer Dienstleistung wird er deshalb auch gebeten, den Abschlussbericht der Vorprüfung zu kommentieren. So hat die Geschäftsführung eine doppelte Absicherung: externe Expertise durch uns und interne durch den DSB. Der IT-Sicherheitsbeauftragte hingegen trägt oft die operative Verantwortung für die Sicherstellung der IT-Sicherheit. Er sollte daher die Umsetzung der empfohlenen Maßnahmen begleiten. Beispielsweise wenn wir vorschlagen, Logging zu aktivieren und Logfiles ins SIEM-System des Kunden einzuspeisen, dann wird der IT-SiBe dafür sorgen, dass dies technisch umgesetzt wird.

Ein oft übersehener Aspekt ist, dass Datenschutz und IT-Security Hand in Hand gehen sollten, anstatt in Silos zu agieren. Die Vorprüfung fördert den Austausch zwischen DSB und IT-SiBe. Im besten Fall bilden sie ein Team, das gemeinsam über das Projekt schaut (ggf. zusammen mit dem Projektleiter). Beispielsweise können regelmäßige kurze Abstimmungen stattfinden: „Haben wir alle Anliegen geklärt? Was ist mit den offenen Punkten aus dem Maßnahmenkatalog?“. So geht nichts unter.

• Der Datenschutzbeauftragte wird offiziell beauftragt, die CAFM-Einführung zu begleiten. Er erhält alle Projektdokumente, darf an allen Meetings teilnehmen und wird von der Leitung unterstützt, kritische Punkte anzusprechen (Weisungsfreiheit wahren). Er berät die Projektverantwortlichen zur DSGVO und genehmigt final die Datenschutzeinstellungen des Systems. ActiveMind formuliert es so: “Der DSB muss frühzeitig in Planungen für neue Verarbeitungsvorgänge eingebunden werden, um eine datenschutzrechtliche Bewertung vornehmen zu können.”.

• Der IT-Sicherheitsbeauftragte (sofern vorhanden) oder der CISO sorgt dafür, dass das neue System im Rahmen des bestehenden ISMS betrachtet wird. Er integriert es ggf. in das Risikomanagement der IT. D.h., er ergänzt die Unternehmens-Risikoliste um das CAFM mit den identifizierten Risiken und Maßnahmen. Er prüft weiter, ob für das System eine Sicherheitsfreigabe nötig ist (z. B. interne Zertifizierung). Falls ja, wird diese parallel durchgeführt. Außerdem plant er zukünftige Audits: z. B. könnte festgelegt werden, dass 6 Monate nach Einführung ein interner Audit erfolgt, um zu prüfen, ob alle datenschutzrechtlichen Vorgaben eingehalten werden (sozusagen ein Review der Vorprüfung). Dies würde u.a. der DSB begleiten.

• Beide Rollen sollten auch bei Schulungen und Awareness-Maßnahmen einbezogen werden. Etwa könnte der Datenschutzbeauftragte eine kurze Info-Session für alle CAFM-Nutzer geben, um die neuen Regeln (z. B. wer darf was, keine Zweckentfremdung der Daten etc.) zu erklären. Der IT-Sicherheitsbeauftragte könnte z. B. passgenaue Sicherheitshinweise erstellen (z. B. „Wie wähle ich ein sicheres Passwort für das CAFM?“ oder „Was tun, wenn ich einen Security Incident im CAFM bemerke?“). Dadurch werden die Mitarbeiter auf das neue System und seine sicheren Umgangsweisen vorbereitet.

“Kein Go-Live ohne Go von DSB und CISO.” Die Vorprüfung stellt sicher, dass beide ihre Zustimmung geben können, weil ihre Anliegen ernstgenommen und umgesetzt wurden. Diese Einbindung ist nicht nur ein Compliance-Faktor, sondern verbessert auch die Qualität des Projekts – denn Datenschutz- und Security-Experten haben oft einen Blick fürs Detail, der anderen entgeht. Man vermeidet dadurch Fehlplanungen und schont Ressourcen. Zudem signalisiert man intern wie extern: Dieses Projekt wird verantwortungsvoll durchgeführt.

Durch die konsequente Beteiligung der Datenschutz- und Sicherheitsbeauftragten wird aus einer reinen IT-Einführung ein ganzheitliches, compliance-orientiertes Vorhaben. Es zeigt sich immer wieder, dass Datenschutz und Sicherheit keine Hemmschuhe sind, sondern im Gegenteil zum Erfolg beitragen, wenn sie von Anfang an integriert werden. So entsteht eine echte Sicherheitskultur, in der Datenschutz kein einmaliges Projekt, sondern fester Bestandteil der täglichen Abläufe ist – genau das ist das Ziel einer solchen Vorprüfung.

Die CAFM Sicherheits- und Datenschutz-Vorprüfung bildet den Grundstein für eine erfolgreiche und rechtskonforme CAFM/IWMS/CMMS-Implementierung. Durch die strukturierte Auseinandersetzung mit DSGVO-Konformität, Informationssicherheits-Standards, Risikoanalyse, technischen Maßnahmen, vertraglichen Regelungen, Standortfragen, Dokumentation und organisatorischer Einbindung werden sämtliche relevanten Aspekte abgedeckt. Der Kunde erhält am Ende eine praxisorientierte Dienstleistungsbeschreibung und einen umfangreichen Bericht mit Befunden und Empfehlungen. Dieser Bericht dient als Fahrplan: Er zeigt, welche Punkte bereits erfüllt sind und wo noch nachgebessert werden muss, um höchsten Sicherheits- und Datenschutzanforderungen zu genügen.

Indem die Vorprüfung klar gegliedert (wie oben dargestellt) vorgeht und Best Practices sowie anerkannte Standards zugrunde legt, minimiert sie Risiken noch bevor das System live geht. Probleme, die später teuer oder gar rufschädigend wären, können so proaktiv vermieden werden – sei es ein fehlender AV-Vertrag, eine unsichere Konfiguration oder der Unmut eines Betriebsrats wegen nicht beachteter Datenschutzbelange.

Für den CAFM-Anbieter bedeutet der Prozess gleichzeitig, dass er seine Hausaufgaben machen muss – wovon letztlich beide Seiten profitieren: Ein Anbieter, der Datenschutz und Sicherheit ernst nimmt, verschafft dem Kunden Wettbewerbsvorteile durch Vertrauen und Compliance. Und ein Kunde, der sorgfältig prüft, zeigt Verantwortungsbewusstsein gegenüber den eigenen Mitarbeitern und Kunden.

Die Vorprüfung ist Investition in Qualität und Sicherheit. Sie liefert nicht nur Dokumente, sondern schafft Bewusstsein und Klarheit. Datenschutz und IT-Sicherheit werden von Anfang an integrierter Bestandteil des CAFM-Projekts – und nicht etwas, das man hinterher „draufschrauben“ muss. Damit legt die Organisation den Grundstein, ihr digitales Facility Management auf einem soliden, vertrauenswürdigen Fundament aufzubauen.