Besucher- und Auftragnehmermanagement

Zweck: Die Verpflichtung, alle Besucher und Auftragnehmer vorab im digitalen Besuchermanagement-System der Einrichtung zu registrieren, dient der Steigerung der Effizienz und der Stärkung der Zugangskontrolle. Durch die Voranmeldung weiß die Sicherheit im Voraus, wer erwartet wird, und kann Besucher bereits vor Ankunft überprüfen, was Engpässe beim Einlass verringert und überraschende bzw. nicht angemeldete Besuche verhindert.

• Pflicht zur Voranmeldung: Alle Besucher und Fremdfirmen-Mitarbeiter müssen vorab im Besuchermanagement-System (VMS) angemeldet werden, noch bevor sie am Standort eintreffen. Der einladende Mitarbeiter (Gastgeber) soll im System den Namen des Besuchers, dessen Firma/Organisation, das geplante Datum und die Uhrzeit, den Besuchsgrund, den zuständigen Gastgeber sowie etwaige benötigte Zugangsrechte oder -beschränkungen eintragen. Diese Informationen ermöglichen eine Freigabe des Besuchs, noch bevor der Besucher das Gelände betritt. Moderne VMS-Plattformen bieten oft die Möglichkeit, dass Besucher ihre Daten selbst vorab über ein Web-Portal eingeben und eine Bestätigung oder QR-Code für einen schnelleren Check-in erhalten.

• Dokumentation für Auftragnehmer: Auftragnehmer haben erforderliche Arbeitsgenehmigungen, Gefährdungsbeurteilungen oder Methodenerklärungen (Risk Assessments/Method Statements) im Vorfeld vorzulegen, falls ihre Tätigkeit spezielle Risiken birgt oder behördlichen Auflagen unterliegt. Sollte z. B. für bestimmte Arbeiten eine behördliche Anzeige oder Genehmigung notwendig sein, muss der Auftragnehmer diese dem Auftraggeber vor Arbeitsbeginn zur Verfügung stellen. Die Vergabestelle sollte in der Ausschreibung fordern, dass Bieter ein Verfahren darlegen, wie sie solche Dokumente bereits im Rahmen der Voranmeldung einholen und überprüfen.

• Systemeinträge und -sicherheit: Das VMS muss die Voranmeldedaten sicher speichern und datenschutzkonform behandeln. Die Einträge sollen das geplante Besuchsdatum und -zeit enthalten und dem Empfang/der Pforte ermöglichen, nicht vorgemeldete oder unerwartete Besucher sofort zu erkennen und ggf. abzuweisen. Idealerweise benachrichtigt das System das Empfangspersonal über anstehende Besuche und kann den Gastgeber automatisch informieren, sobald der Besucher eingetroffen ist. Alle im Rahmen der Voranmeldung erfassten personenbezogenen Daten sind gemäß Datenschutz (DSGVO) zu schützen (siehe Abschnitt 7); d. h. Zugriff nur für Berechtigte, keine längere Aufbewahrung als nötig etc.

Durch die strikte Umsetzung der Voranmeldepflicht kann die Einrichtung Personen ohne vorherige Genehmigung den Zutritt verweigern, was die Sicherheit am Werkstor erheblich erhöht. Gleichzeitig beschleunigt die Voranmeldung den Check-in-Prozess, da Besucherdaten und Besuchszweck bereits vorliegen, wodurch Identitätskontrollen und Ausweiserstellung zügiger erfolgen können. Diese Anforderung ist besonders in stark frequentierten Betrieben entscheidend, wo ein gut gesteuertes Besuchstermin-System Warteschlangen und Sicherheitslücken verhindert.

Zweck: Die Überprüfung der Identität jedes Besuchers und Auftragnehmers bei Ankunft ist unerlässlich, um gesetzliche Auflagen zu erfüllen und unbefugten Zutritt zu verhindern. Dieser Schritt stellt sicher, dass die erscheinende Person tatsächlich die zuvor angemeldete ist und gültige Ausweispapiere besitzt. Er erfüllt die Pflicht zur Kenntnis der anwesenden Personen und verhindert, dass sich Trittbrettfahrer oder unberechtigte Personen Zutritt erschleichen – ein Aspekt, der sowohl für die Sicherheit als auch im Rahmen der Sorgfaltspflichten des Unternehmens wichtig ist.

• Überprüfung von amtlichen Ausweisen: Besucher und Auftragnehmer müssen beim Betreten der Empfangszone/Pforte einen gültigen, amtlichen Lichtbildausweis vorlegen (z. B. Personalausweis, Reisepass oder Führerschein). Das Empfangs- oder Sicherheitspersonal hat die Ausweisdaten mit den Voranmeldungsdaten abzugleichen, um zu bestätigen, dass die ankommende Person angemeldet und berechtigt ist, Zutritt zu erhalten. Es ist im Vorfeld festzulegen, welche Ausweisarten akzeptiert werden; abgelaufene oder nicht mit Foto versehene Ausweise sind zurückzuweisen. In Hochsicherheitsbereichen kann die Identitätsprüfung durch biometrische Verfahren oder einen Abgleich mit Sanktions-/Watchlisten ergänzt werden. Ohne zuverlässige Ausweiskontrolle besteht die Gefahr, dass Unbefugte oder Personen mit gefälschter Identität ins Gebäude gelangen und Zugang zu vertraulichen Bereichen erhalten.

• Validierung der Besuchsdaten: Das Empfangspersonal muss wesentliche Angaben des Ausweises mit dem VMS-Eintrag überprüfen, z. B. Übereinstimmung von Name und Foto, ob die Person zum aktuellen Zeitpunkt erwartet wird, und ob der angegebene Gastgeber den Besuch genehmigt hat. Nur vorab genehmigte Personen mit passendem Ausweis dürfen weiter ins Gebäude vorgelassen werden. Weichen die Angaben ab (z. B. Name nicht im System, falscher Zeitpunkt) oder fehlt die Voranmeldung, ist ein zweiter Prüfschritt einzuleiten – etwa Rücksprache mit dem Gastgeber oder Sicherheitsdienst, bevor Zutritt gewährt wird.

• Dokumentation der Prüfung: Der Umstand, dass eine Identitätsprüfung durchgeführt wurde, soll im System protokolliert werden (z. B. durch einen entsprechenden Vermerk im VMS oder das sichere Scannen/Erfassen bestimmter Ausweisdaten, sofern datenschutzrechtlich zulässig). Kein Besucher/Auftragnehmer darf den Empfangsbereich unüberprüft passieren. Diese Vorgabe schützt vor Social-Engineering-Angriffen und ist eine grundlegende Anforderung bei Sicherheitsaudits.

• DSGVO-gerechter Umgang: Die im Zuge der Identitätsprüfung erfassten Daten sind DSGVO-konform zu behandeln. Das bedeutet insbesondere, dass ggf. gescannte Ausweiskopien oder personenbezogene Angaben nicht länger als nötig aufbewahrt und nur für den Zweck der Zugangskontrolle genutzt werden dürfen. Nur befugtes Personal darf Zugriff auf diese Daten haben. Besucher sollten – beispielsweise über einen Datenschutzhinweis am Empfang oder im digitalen Check-in – informiert werden, dass ihre Ausweisdaten zu Sicherheitszwecken verarbeitet und gemäß DSGVO geschützt gespeichert werden.

Eine strikte Identitätsprüfung bei Ankunft gewährleistet Rechtssicherheit und Schutz: Sie erfüllt gesetzliche Vorgaben (z. B. aus Arbeits- und Sicherheitsgesetzen, die verlangen, dass nur befugte Personen Zutritt erhalten) und verhindert, dass nicht autorisierte Personen ins Gebäude gelangen. Durch den Abgleich von Ausweis und Voranmeldung wird z. B. „Tailgating“ (ein unberechtigtes Hinterherlaufen) oder das Auftauchen nicht angemeldeter Besucher unterbunden. Dies untermauert sowohl die Sicherheit im Betrieb als auch die dem Arbeitgeber obliegende Fürsorgepflicht, ein sicheres Arbeitsumfeld für alle zu gewährleisten.

Zweck: Die Ausgabe von temporären Ausweisen an Besucher und Auftragnehmer ist ein zentrales Mittel, um kontrollierte und zeitlich begrenzte Zugangsrechte innerhalb der Einrichtung zu gewähren. Besucherausweise dienen als sichtbare Identifikation und ggf. als Zugangsmedium und stellen sicher, dass betriebsfremde Personen nur für die genehmigte Dauer und nur in den freigegebenen Bereichen anwesend sind. Dieses Vorgehen erhöht die Sicherheit (Mitarbeiter können Fremde sofort als solche erkennen) und verbessert die Nachvollziehbarkeit (jeder Besucher ist einem Ausweis und damit einem Datensatz zugeordnet).

• Verpflichtende Ausweisausgabe: Alle Besucher und Auftragnehmer erhalten vor dem Betreten der gesicherten Bereiche einen temporären Besucher- bzw. Dienstleistungsausweis. Dieser kann z. B. ein gedruckter Besucherausweis, ein Aufkleber oder eine elektronische Zugangskarte sein, muss aber eindeutig sichtbar machen, dass die Person kein Mitarbeiter ist. Der Ausweis sollte den Namen des Besuchers und ggf. dessen Firma zeigen, den Namen des Gastgebers oder der besuchten Abteilung und idealerweise eine einmalige Besuchs- oder Ausweisnummer (bzw. einen QR-/Barcode) tragen, der mit dem Eintrag im VMS verknüpft ist. Der Ausweis ist personengebunden und darf nicht an Dritte weitergegeben werden.

• Zeit- und bereichsbeschränkte Zugangsrechte: Jeder Besucher-/Auftragnehmerausweis muss mit zeitlich begrenzten und bereichsbezogenen Zutrittsrechten ausgestattet sein. Bei elektronischen Ausweisen bedeutet dies, dass sie nur für die Dauer des angemeldeten Besuchs und nur für die erforderlichen Gebäudezonen gültig sind. Beispielsweise erhält ein Auftragnehmer, der von 10:00 bis 14:00 Uhr Wartungsarbeiten durchführt, Zugangsdaten, die ausschließlich von 10 bis 14 Uhr und nur für die definierten Arbeitsbereiche gelten. Außerhalb dieses Zeitfensters oder in anderen Bereichen darf der Ausweis keinen Zutritt gewähren. Auf physischen Ausweisen kann die Gültigkeitsdauer aufgedruckt sein (zur visuellen Kontrolle durch Mitarbeiter oder Sicherheitspersonal). Diese Maßnahme stellt sicher, dass Besuche nicht unkontrolliert verlängert werden können und z. B. vergessene Besucherausweise nach Feierabend keinen Zutritt ermöglichen.

• Sichtbares Tragen: Besucher und Auftragnehmer sind verpflichtet, ihren ausgestellten Ausweis während des gesamten Aufenthalts gut sichtbar zu tragen. Der Ausweis sollte an einem Schlüsselband (Lanyard) um den Hals oder mit einer Clip-Halterung an der Kleidung getragen werden, sodass Security und Mitarbeiter auf einen Blick erkennen können, dass es sich um einen Besucher oder Fremdfirmen-Mitarbeiter handelt. Eine solche „Ausweispflicht“ ermöglicht es den Mitarbeitern, jede Person ohne sichtbaren Ausweis anzusprechen oder den Sicherheitsdienst zu informieren, falls jemand ohne Ausweis oder mit abgelaufenem Ausweis in sensiblen Bereichen angetroffen wird.

• Inhalt des Ausweises: Der Besucherausweis (bzw. der dazugehörige Besucherschein) soll wichtige Informationen tragen, u. a. Name und Vorname des Besuchers, dessen Firma (bei Auftragnehmern), Name des Ansprechpartners/Gastgebers im Hause, Gültigkeitsdauer (Datum/Uhrzeit oder Tagesausweis) und die Bereiche bzw. Zugangsstufe, die betreten werden dürfen. Viele Unternehmen nutzen z. B. farbliche Markierungen: Besucherausweise in einer Farbe, Fremdfirmenausweise in einer anderen, oder unterschiedliche Farben für verschiedene Sicherheitszonen. Dadurch lässt sich sofort erkennen, ob sich jemand in einem für ihn erlaubten Bereich aufhält. Diese Informationen auf dem Ausweis dienen sowohl der Sicherheit (Erkennung und Kontrolle) als auch der schnellen Zuordnung im Notfall (Wer befindet sich wo?).

• Rückgabe/Deaktivierung: Alle temporären Ausweise sind beim Verlassen der Einrichtung zurückzugeben oder elektronisch zu deaktivieren. Das bedeutet: Entweder sammelt der Empfang/Pforte die Ausweise am Ausgang wieder ein, oder digitale Ausweise werden im System sofort ungültig gesetzt, sobald der Besuch als „beendet“ registriert wird. Auftragnehmer, die über mehrere Tage hinweg arbeiten, können einen Dauerausweis für die Projektdauer erhalten; dennoch muss dieser Ausweis nach Feierabend oder bei längeren Pausen zumindest deaktiviert oder eingezogen werden. In der Ausschreibung ist festzuhalten, dass der Dienstleister ein Verfahren sicherstellt, wonach kein Besucherausweis über die genehmigte Zeit hinaus aktiv bleibt und dass Besucher beim Verlassen den Ausweis abgeben und sich ordnungsgemäß ausbuchen (auschecken).

Die Ausweisausgabe ist eine fundamentale Kontrollmaßnahme: Sie vermittelt Besuchern Professionalität und ein Gefühl von Willkommensein, untermauert aber vor allem die Sicherheit, indem klar erkennbar ist, wer betriebsfremd ist. Zeitlich begrenzte und bereichsspezifische Berechtigungen auf den Ausweisen reduzieren erheblich das Risiko, dass Besucher sich frei im Gebäude bewegen oder „Ausweis-Missbrauch“ betreiben. Die Forderung, dass Ausweise stets sichtbar zu tragen sind und eine Ablaufzeit aufweisen, ermöglicht es auch allen Mitarbeitern, Teil der Sicherheitskette zu sein – beispielsweise indem sie einen Besucher mit abgelaufenem Ausweis oder in verbotener Zone melden können. Insgesamt stellt die konsequente Ausgabe und Kontrolle von Besucherausweisen durch den Auftragnehmer (bzw. Dienstleister) sicher, dass dieser zentrale Aspekt der Zugangssicherheit im täglichen Betrieb zuverlässig umgesetzt wird.

Zweck: Die sichere Protokollierung aller Ein- und Austrittszeiten von Besuchern und Auftragnehmern ist unverzichtbar für die Sicherheitsüberwachung, die Notfallplanung und eine DSGVO-konforme Nachverfolgung. Ein detailliertes Besucherprotokoll – wer sich wann im Gebäude aufgehalten hat – liefert eine Prüfspur, die bei Vorfällen oder Audits herangezogen werden kann. Zudem stellt es sicher, dass das Unternehmen zu jeder Zeit überblicken kann, welche betriebsfremden Personen sich aktuell auf dem Gelände befinden – ein kritischer Faktor bei Notfällen (z. B. Evakuierungen im Brandfall).

• Genaue Erfassung von Ein- und Austritt: Das Besuchermanagement-System muss Zeitpunkt des Check-ins und Check-outs für jeden Besucher und jeden Auftragnehmer erfassen. Dies kann z. B. über einen digitalen Check-in-Kiosk erfolgen, durch manuelle Eingabe des Empfangspersonals oder automatisiert über das Scannen des Ausweises beim Zutritt/Austritt durch Drehkreuze. Das Protokoll sollte Namen, Datum, Uhrzeit des Eintritts und Austritts sowie idealerweise die Ausweisnummer oder den Gastgeber enthalten. Durch die Dokumentation der Ein- und Austrittszeiten kann die Einrichtung jederzeit feststellen, wer sich derzeit auf dem Gelände befindet – ein wichtiger Sicherheitsfaktor, etwa bei einer Evakuierung, um niemanden zu übersehen. In einem Notfall (Feueralarm, etc.) ist es entscheidend, einen aktuellen Auszug aller Besucher im Haus zu haben; manuelle Listen sind hier oft unzureichend oder veraltet. Daher ist eine elektronische Protokollierung in Echtzeit zu bevorzugen, um höchste Genauigkeit zu gewährleisten.

• Sichere Datenspeicherung: Alle Besucherdaten und Logbucheinträge sind sicher zu speichern und gemäß DSGVO/DSGVO nur so lange aufzubewahren, wie es erforderlich ist. Die DSGVO betont, dass personenbezogene Daten (wozu auch die Verbindung von Namen mit Zeitstempeln zählt) nicht länger als nötig aufbewahrt werden sollen. In der Ausschreibung sollte ein zulässiger Aufbewahrungszeitraum für Besucherdaten vorgegeben oder vom Bieter anzugeben sein (z. B. müssen Besuchsprotokolle für 6 Monate aufbewahrt und dann gelöscht oder anonymisiert werden, es sei denn, es gibt einen Vorfall, der eine längere Speicherung rechtfertigt). Die DSGVO schreibt zwar keine konkreten Fristen vor, verlangt aber ein Löschkonzept; typische Praxis ist die Festlegung eigener Fristen durch das Unternehmen – beispielsweise eine Woche bis ein Jahr – mit sicherer Speicherung und anschließender Löschung. Bieter müssen ein entsprechendes Datenschutzkonzept für Protokolldaten vorlegen, um sicherzustellen, dass keine überflüssigen Alt-Daten herumliegen und dass z. B. regelmäßige Löschläufe im System implementiert sind.

• Revisionssichere Aufzeichnung: Die Erfassung der Ein-/Austritte muss manipulationssicher (revisionssicher) erfolgen. Digitale Logbücher sollten so geführt werden, dass nachträgliche Änderungen vermieden oder zumindest protokolliert werden (z. B. durch fälschungssichere Zeitstempel und Änderungsverlauf). Dies ist wichtig, um bei internen oder externen Audits nachweisen zu können, dass die Besucherprotokolle verlässlich sind und nicht „geschönt“ wurden. Das System sollte im Idealfall auch Exportfunktionen bieten, damit die Sicherheitsabteilung oder Auditoren die Logs eines bestimmten Zeitraums einsehen können, ohne die Live-Daten zu gefährden.

• Verfügbarkeit für Audits und Ermittlungen: Der Auftragnehmer muss zustimmen, dass diese Zutrittsprotokolle dem Auftraggeber bei Bedarf für Audits, Compliance-Prüfungen oder Untersuchungen zur Verfügung gestellt werden. Kommt es z. B. zu einem Sicherheitsvorfall oder einem Unfall, können die Protokolle zeigen, welche Besucher zur fraglichen Zeit anwesend waren und eventuell befragt werden müssen. Ein umfassendes, detailliertes digitales Besuchsprotokoll – von Check-in-Zeit über Host-Freigaben bis zu Zutrittsbereichen – liefert eine klare Nachvollziehbarkeit zur Unterstützung von Untersuchungen und behördlichen Prüfungen. Daher sollte in den Vertragsbedingungen verankert sein, dass der Auftraggeber z. B. jederzeit Einsicht in die Besucherdaten verlangen oder sich regelmäßige Berichte vorlegen lassen kann (siehe auch Abschnitt 8 bezüglich Audit-Rechten).

Durch die vollständige Protokollierung jeder Ankunft und jedes Verlassens des Standorts behält die Organisation jederzeit den Überblick und die Kontrolle über die Bewegungen betriebsfremder Personen. Es erhöht die Rechenschaftspflicht (jeder Besucher ist erfasst) und verbessert die Sicherheit (man weiß im Notfall, wer wo sein könnte). Für die Vergabestelle wird ein Bieter umso attraktiver sein, wenn er nachweisen kann, dass er ein sicheres digitales Logbuch-System einsetzt, das die Datenschutzgesetze einhält und auf Knopfdruck Berichte für Audits erstellen kann.

Zweck: In sicherheitskritischen oder sensiblen Bereichen einer Einrichtung genügt es oft nicht, Besuchern einfach nur einen Ausweis zu geben – zusätzliche Begleitvorschriften bieten hier eine weitere Sicherheitsebene. Die Forderung, dass Besucher und Auftragnehmer in besonders geschützten Zonen jederzeit von berechtigtem Personal begleitet werden, soll sicherstellen, dass betriebsfremde Personen keinen unkontrollierten Zugang erlangen und nichts Unbefugtes tun oder sehen. Zudem dient eine Begleitung auch der Unfallverhütung, da ortsfremde Personen in gefährlichen Bereichen (etwa in Produktionsstätten) Anleitung und Aufsicht benötigen.

• Begleitung in Sperrzonen: In allen sensiblen oder eingeschränkten Bereichen (die in der Sicherheitsrichtlinie des Auftraggebers definiert sind) müssen Besucher und Auftragnehmer durchgehend von autorisiertem Personal begleitet werden. Das bedeutet konkret: Ein Besucher wird am Eingang vom vorgesehenen Mitarbeiter (Gastgeber oder Sicherheitskraft) abgeholt und bis zu seinem Zielort begleitet. Der Besucher darf sich in diesen Bereichen nicht frei und allein bewegen. Beispielsweise kann in der Sicherheitsanweisung festgelegt sein: „Alle betriebsfremden Personen müssen während ihres gesamten Aufenthalts auf dem Gelände von einem Beauftragten des Unternehmens begleitet werden. Ein Zutritt zu gesperrten Bereichen ist Besuchern nur nach vorheriger Genehmigung und in Begleitung einer autorisierten Person gestattet.“.

• Festlegung der Begleitzonen und -regeln: Die Richtlinie muss klar definieren, für welche Bereiche oder Situationen die Begleitpflicht gilt, und ob es Ausnahmen gibt. Typischerweise werden sog. „rote Bereiche“ (Hochsicherheitsbereiche wie Rechenzentren, Labore, Vorstandsetagen, militärische Anlagen etc.) nur mit Begleitung zugänglich sein, während „grüne Bereiche“ (allgemeine Büros, Kantine, Empfangsbereich) möglicherweise für Besucher mit gültigem Ausweis auch unbegleiteten Zugang erlauben. Die Ausschreibungsunterlagen sollten Bieter auffordern darzustellen, wie sie diese Vorgaben umsetzen: Etwa wie Begleiter zugewiesen werden, ob dies durch den Gastgeber oder durch speziell gestelltes Personal erfolgt, und wie sichergestellt wird, dass kein Besucher alleine in einen roten Bereich gelangt. Standortspezifische Sicherheitsprotokolle (z. B. Schlüsselzuweisungen für Begleiter, Verfahren zur Übergabe an einen neuen Begleiter bei Schichtwechsel) müssen eingehalten werden.

• Vorab-Erlaubnis für unbeaufsichtigte Tätigkeiten: In Ausnahmefällen kann es sein, dass erfahrene Auftragnehmer unbegleitet arbeiten dürfen – jedoch nur, wenn der Auftraggeber dies im Voraus ausdrücklich genehmigt hat. Beispielsweise könnte ein IT-Techniker einer Fremdfirma, der eine Hintergrundüberprüfung bestanden hat und dauerhaft im Haus tätig ist, eine Sondergenehmigung erhalten, bestimmte Technikräume ohne ständige Begleitung zu betreten. Solche Ausnahmen sind jedoch streng zu kontrollieren – die Grundregel lautet Begleitungspflicht, es sei denn es liegt eine dokumentierte Ausnahmegenehmigung vor. Jegliche Erlaubnis zum unbegleiteten Zutritt ist schriftlich festzuhalten, an strenge Voraussetzungen geknüpft (z. B. Sicherheitsüberprüfung, Unterzeichnung besonderer Vereinbarungen) und im VMS zu hinterlegen, damit Empfang und Sicherheitspersonal informiert sind.

• Verantwortlichkeit des Gastgebers: In der Regel liegt die Verantwortung dafür, dass ein Besucher begleitet wird, beim einladenden Bereich bzw. Mitarbeiter. Das heißt, derjenige, der den Besucher anmeldet, muss entweder selbst als Begleiter fungieren oder jemanden bestimmen. Das Besucherprozedere sollte daher vorsehen, dass ein Besucher am Empfang nur in Obhut eines Berechtigten das Empfangsareal verlässt. Viele Unternehmen verlangen z. B., dass der interne Gastgeber seinen Besuch persönlich am Empfang abholt. Die Ausschreibung kann festlegen, dass der Dienstleister (Empfangsdienst) dies strikt durchsetzt – d. h. kein Besucher darf alleine „durchgewinkt“ werden, ohne dass der Gastgeber erschienen ist. So wird verhindert, dass Besucher sich im Gebäude verirren oder unkontrolliert bewegen.

• Lückenlose Aufsicht: Während sich der Besucher/Auftragnehmer im sensiblen Bereich befindet, muss der Begleiter sicherstellen, dass der Betreffende sich nur in den genehmigten Zonen aufhält und alle Sicherheitsregeln einhält. Der Begleiter bleibt idealerweise die ganze Zeit in der Nähe des Besuchers. Wenn der Begleiter den Besucher kurzfristig verlassen muss (z. B. unerwarteter Notfall beim Begleiter), ist entweder ein Ersatzbegleiter zu stellen oder der Besucher hat den sensiblen Bereich sofort zu verlassen und zum Empfang/Gästebereich zurückzukehren.

Begleitvorschriften schützen kritische Ressourcen und Informationen, indem sie dafür sorgen, dass Besucher niemals unbeaufsichtigt dort sind, wo sie Schaden anrichten oder Geheimhaltungspflichten verletzen könnten. Sie tragen auch zur Arbeitssicherheit bei – ein Begleiter weist Besucher z. B. darauf hin, einen Helm und Gehörschutz in einer Produktionshalle zu tragen und kennt die Notausgänge. Die Richtlinie macht künftigen Auftragnehmern also unmissverständlich klar, dass die Bereitstellung ausreichend geschulten Personals für Begleitaufgaben (bzw. die Durchsetzung, dass Gastgeber dies übernehmen) Teil des Service ist. Unbegleiteter Zutritt in Hochsicherheits-Umgebungen stellt ein enormes Risiko dar und wird daher standardmäßig untersagt.

Zweck: Alle Prozesse im Besucher- und Auftragnehmermanagement müssen mit den geltenden Gesetzen und Vorschriften im Einklang stehen. Zentrale Bereiche sind hier der Datenschutz (DSGVO) bei Umgang mit personenbezogenen Daten sowie der Arbeitsschutz und die Unfallverhütungsvorschriften (ArbSchG und DGUV) bei der Beschäftigung von Fremdfirmen im Betrieb. Zusätzlich sind, je nach Einsatzbereich, weitergehende Verpflichtungen wie Verschwiegenheitserklärungen (NDAs) oder Sicherheitsüberprüfungen einzuhalten. Dieser Abschnitt stellt sicher, dass die Anforderungen der Richtlinie die rechtlichen Vorgaben widerspiegeln und der zukünftige Auftragnehmer Maßnahmen zur Einhaltung dieser Vorgaben darlegen muss. So werden sowohl die Vergabestelle als auch der Dienstleister vor rechtlichen Risiken geschützt.

• DSGVO-Konformität: Die Abläufe im Besuchermanagement müssen vollumfänglich der EU-Datenschutz-Grundverordnung (DSGVO) entsprechen. Das betrifft jegliche Erhebung, Verarbeitung und Speicherung personenbezogener Daten von Besuchern und Auftragnehmern (Name, Kontaktinformationen, Ausweisdaten, Foto, Fahrzeugkennzeichen etc.). Bieter müssen aufzeigen, wie sie die DSGVO-Grundprinzipien umsetzen: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Transparenz, Integrität und Vertraulichkeit. Konkret bedeutet das z. B.: Besucherdaten dürfen nur für Sicherheits-/Zutrittszwecke erhoben werden und nicht für andere Zwecke genutzt werden. Vor der Datenerhebung ist der Besucher über den Zweck und die Nutzung seiner Daten zu informieren und – falls erforderlich – um Einwilligung zu bitten (z. B. elektronische Unterschrift unter eine Datenschutzerklärung beim Check-in). Es dürfen nur Daten erhoben werden, die wirklich benötigt werden (also z. B. Besuchsgrund ja, aber private Details nein). Das System muss unberechtigten Zugriff verhindern (Passwortschutz, Rollenberechtigungen) und die Übertragung sowie Speicherung der Daten verschlüsselt erfolgen (technische und organisatorische Maßnahmen). Altdaten sind zu löschen, sobald der Zweck erfüllt ist und keine Aufbewahrungspflicht mehr besteht. Papieraushänge wie offene Gästelisten, in die sich jeder einsehen kann, sind unzulässig. Ein Bieter sollte idealerweise darlegen, welche Funktionen sein VMS zur DSGVO-Umsetzung hat (z. B. automatisches Löschen nach X Tagen, Besucherdaten-Auszüge für Auskunftsersuchen, etc.) und ob es Datenschutzzertifikate oder Prüfungen gibt. Verstöße gegen Datenschutz können mit hohen Geldbußen geahndet werden – daher ist dies ein kritischer Punkt, auf den die Vergabestelle bei Angebotsprüfung achten muss.

• Einhaltung von ArbSchG und DGUV: Wenn Fremdfirmen im Betrieb tätig werden, trägt der Arbeitgeber (Auftraggeber) weiterhin Verantwortung für die Sicherheit im Betrieb. Gemäß § 8 Abs. 2 Arbeitsschutzgesetz muss sich der Arbeitgeber vergewissern, dass die Beschäftigten anderer Arbeitgeber, die in seinem Betrieb tätig sind, hinsichtlich der Gefahren für Sicherheit und Gesundheit angemessene Anweisungen erhalten haben. Im Besucher-/Auftragnehmermanagement heißt das: Auftragnehmer müssen vor Beginn ihrer Tätigkeit eine Sicherheitsunterweisung erhalten, die auf die Gegebenheiten des Einsatzortes eingeht. Die vorliegende Richtlinie verlangt daher, dass z. B. jeder Auftragnehmer-Mitarbeiter vor dem Betreten des Werksgeländes eine Sicherheitsunterweisung durchläuft, sei es in Form einer kurzen Einweisung am Besucherterminal/Pforte oder durch einen vorab absolvierten Online-Kurs. Tatsächlich praktizieren viele Firmen dies bereits: So bekommt jede betriebsfremde Person vor dem Gelände zutritt z. B. eine Unterweisung an einem Besucherterminal und muss diese bestätigen. Weiterhin fordert die DGUV Vorschrift 1 (Allgemeine Unfallverhütungsvorschrift) in § 2 und § 5, dass der Unternehmer (hier: Auftraggeber) die Fremdfirma schriftlich auf die Einhaltung der UVV verpflichtet und der Auftragnehmer alle erforderlichen Maßnahmen zur Unfallverhütung zu treffen hat. Bieter müssen daher erklären, wie sie diese Pflichten umsetzen – z. B. durch Ausgabe eines „Merkblatts für Fremdfirmen“ bei Anmeldung, das der Auftragnehmer unterschreiben muss (Bestätigung der Kenntnis aller Sicherheitsregeln), oder durch ein E-Learning-Modul, das vorab absolviert werden muss. Die Vergabestelle könnte einen beispielhaften Inhalt solcher Sicherheitsanweisungen vorgeben oder anfordern, dass der Bieter sein Sicherheitskonzept für Fremdfirmen vorlegt. Entscheidend ist: Arbeitsschutz und Unfallverhütung gelten auch für Externe, und das Management dieser Pflichten muss fester Bestandteil des Besucher-/Auftragnehmermanagements sein.

• Verschwiegenheit und Geheimhaltung: In sensiblen Bereichen muss gegebenenfalls ein Non-Disclosure Agreement (NDA) oder eine Geheimhaltungsvereinbarung mit Besuchern und Auftragnehmern abgeschlossen werden, um die Vertraulichkeit zu wahren. Die Richtlinie sollte vorsehen, dass der Empfangsprozess die Unterzeichnung einer Verschwiegenheitserklärung umfasst, wo angebracht. Viele moderne Systeme integrieren das bereits: Der Besucher muss z. B. am Tablet bestätigen, dass er nichts Vertrauliches weitergeben wird, bevor er den Ausweis erhält. Die Bieter sollen darlegen, ob und wie sie NDAs in den Prozess einbinden – sei es digital oder in Papierform. Gerade in Forschungs-, Technik- oder Unternehmensberatungsumgebungen ist dies essenziell, da Besucher eventuell Einblicke in vertrauliche Daten, Prototypen oder Gespräche bekommen. Eine allgemeine Klausel könnte lauten: „Der Auftragnehmer stellt sicher, dass alle Besucher bei Bedarf vor Betreten des Betriebs eine Geheimhaltungsverpflichtung unterzeichnen.**“ Ein unterzeichnetes NDA schafft rechtliche Handhabe, falls doch etwas ausplaudert wird, und signalisiert dem Besucher direkt beim Check-in, dass das Unternehmen großen Wert auf Diskretion legt.

• Sicherheitsüberprüfungen (bei Bedarf): Sollte der Auftrag in Bereichen stattfinden, die eine Sicherheitsüberprüfung erfordern (z. B. kritische Infrastruktur, militärische Liegenschaften, hochsensible Datenbereiche), so ist in der Richtlinie festzulegen, dass Auftragnehmerpersonal nur nach erfolgter Überprüfung/einem bestimmten Zuverlässigkeitscheck eingesetzt werden darf. Der Auftragnehmer muss dann schon im Angebot bestätigen, dass er nur entsprechend überprüftes Personal einsetzt oder bereit ist, dies vor Dienstbeginn durchführen zu lassen. Das Besucher- und Fremdfirmenmanagement muss in solchen Fällen vorsehen, dass der Empfang die Freigabe prüft – z. B. gegen eine Liste von freigegebenen Personen. Ein Beispiel wäre ein Flughafen-Sicherheitsbereich, wo Auftragnehmer einen behördlichen Ausweis (Zuverlässigkeitsüberprüfung nach §7 LuftSiG in Deutschland) brauchen. Die Richtlinie sollte solche Anforderungen aufführen, damit Bieter wissen, welche Nachweise für ihr Personal erforderlich sind, und das Check-in Personal entsprechend gebrieft ist, diese Nachweise kontrollieren zu können.

• Vertragliche Verpflichtungen und Kontrollen: Die Ausschreibung sollte alle o. g. Punkte als verbindliche Vertragspflichten aufnehmen. Dazu gehört, dass der Dienstleister zusichert, die DSGVO einzuhalten (oft wird ein Auftragsverarbeitungsvertrag nötig sein, wenn der Dienstleister das VMS in Cloud betreibt), die Arbeitsschutzvorschriften zu beachten und mit dem Auftraggeber zu kooperieren (Informationsaustausch, Unterweisungsnachweise etc.), NDAs einzusammeln und Sicherheitsprüfungen durchzuführen. Ferner sollte dem Auftraggeber das Recht eingeräumt werden, diese Prozesse zu prüfen (siehe Abschnitt 10, laufende Überwachung). Bieter müssen in ihrem Konzept deutlich machen, dass sie diese Compliance-Aspekte verstanden haben und bereits entsprechende Maßnahmen umsetzen oder implementieren werden. Ein Verweis auf bestehende Zertifizierungen (z. B. ISO 9001 Qualitätsmanagement, ISO 27001 Informationssicherheit) kann die Glaubwürdigkeit erhöhen. Im Vertrag selbst kann festgehalten werden, dass Verstöße – etwa ein DSGVO-Verstoß oder wiederholte Verletzungen der Sicherheitsregeln – als schwerwiegende Pflichtverletzungen gelten, was den Auftraggeber zu Abmahnung oder Kündigung berechtigt.

Durch die Berücksichtigung der rechtlichen und regulatorischen Anforderungen in der Besucher- und Auftragnehmermanagement-Richtlinie stellt die Vergabestelle sicher, dass jeder zukünftige Dienstleister nicht nur effizient, sondern vor allem rechtskonform arbeitet. Es schützt das Unternehmen vor Datenschutzvorfällen und Arbeitsunfällen mit Fremdpersonal und stellt sicher, dass hohe Sicherheitsstandards (inklusive Geheimhaltung) gewahrt bleiben. Für die Bieter bedeutet dies, dass sie ein solides Verständnis der einschlägigen Gesetze mitbringen und proaktive Maßnahmen zu deren Einhaltung präsentieren müssen – ein nicht verhandelbarer Bestandteil einer erfolgreichen Angebotswertung.

Zweck: Um sicherzustellen, dass die Bieter ihr Besucher- und Auftragnehmermanagement konkret darstellen und die Einhaltung der Anforderungen nachgewiesen werden kann, sollte die Vergabestelle in den Ausschreibungsunterlagen spezifische Einreichungs- und Nachweispflichten festlegen. Diese dienen einer einheitlichen Bewertung und geben dem Auftraggeber die Möglichkeit, die Konzepte schon im Angebotsstadium zu prüfen. Darüber hinaus definieren sie Rechte zur Überprüfung während der Vertragserfüllung (z. B. Auditmöglichkeiten für den Auftraggeber). Kurz: Dieser Abschnitt übersetzt die vorherigen Richtlinienpunkte in klare Forderungen an die Angebotsunterlagen und spätere Kontrollrechte.

• Management-Konzept einreichen: Jeder Bieter muss mit seinem Angebot ein schriftliches “Besucher- und Auftragnehmermanagement-Konzept” einreichen. Darin soll detailliert beschrieben sein, wie der Bieter die in den Abschnitten 1–7 genannten Anforderungen umzusetzen gedenkt. Das Konzept sollte den gesamten Prozess abdecken – von der Voranmeldung über die Anmeldung am Empfang, Identitätskontrolle, Ausweiserstellung, Begleitung bis zur Protokollierung und dem Verlassen der Gäste. Ebenso sind Aspekte wie Datenschutzhinweise, Unterweisungen für Fremdfirmen, Umgang mit Zwischenfällen etc. darzustellen. Für die Vergabestelle wird dieses Dokument die zentrale Bewertungsgrundlage: Es zeigt, ob der Bieter die Aufgaben verstanden hat und über die nötigen Mittel und Verfahren verfügt, um sie zu erfüllen. Im Vertrag kann dieses Konzept später als verbindliche Leistungsbeschreibung aufgenommen werden.

• Nachweis eines funktionierenden Besuchermanagement-Systems: Der Bieter soll belegen, dass er ein elektronisches Besuchermanagement-System (VMS) betreibt oder bis Leistungsbeginn implementieren wird, das die Anforderungen erfüllt. Als Nachweise eignen sich z. B. Screenshots oder Ausdrucke aus dem System (etwa Beispielmasken für Voranmeldungen, Check-in-Bildschirme, Beispiel eines Besucherausweises aus dem Drucker), eine Produktbeschreibung des eingesetzten Systems oder Referenzen, wo dieses System bereits eingesetzt wird. Wichtig ist der Nachweis der DSGVO-Konformität des Systems: Etwa Zertifikate, Herstellerangaben zur Datensicherheit oder ein vom Bieter bereitgestelltes Datenschutzkonzept, das Verschlüsselung, Hosting-Standort der Daten (möglichst EU) und Löschfristen erläutert. Wenn ein Bieter kein digitales System vorsieht (sondern z. B. manuelle Listen), muss er umso überzeugender darlegen, wie er trotzdem alle Vorgaben (Datenschutz, schnelle Verfügbarkeit von Daten, etc.) erfüllen will – was schwierig sein dürfte. Daher ist davon auszugehen, dass nur Anbieter mit modernen Systemen im Vorteil sind.

• Muster und Ablaufpläne: Der Bieter sollte dem Angebot exemplarische Formulare, Checklisten oder Ablaufpläne beilegen, um die praktische Umsetzung greifbar zu machen. Beispiele: ein Muster-Besuchererfassungsformular, das im Empfang auszufüllen wäre (falls digital, entsprechende Screens); ein Muster eines Besucherausweises (wie sieht er aus, welche Felder enthält er); eine Belehrungsbestätigung für Fremdfirmen, die unterschrieben werden muss; oder ein Flowchart, das den Weg eines Besuchers von der Anmeldung bis zum Verlassen schematisch darstellt. Solche Unterlagen ermöglichen der Vergabestelle, die behaupteten Prozesse nachzuvollziehen. Darüber hinaus signalisieren sie, dass der Bieter bereits ausgearbeitete Tools und Dokumente hat – was Professionalität unterstreicht. Falls der Auftraggeber eigene Vordrucke verlangt (z. B. ein vorgegebenes Sicherheitsmerkblatt), sollte der Bieter im Angebot zusichern, diese nutzen zu werden, oder er kann eigene gleichwertige Unterlagen anbieten.

• Schulungskonzept und Qualifikation: Der Bieter soll beschreiben, wie das eingesetzte Personal für den Empfangs-/Sicherheitsdienst in Bezug auf Besucher- und Auftragnehmermanagement geschult ist bzw. geschult wird. Hier kann der Bieter z. B. Nachweise über Schulungen (interne Trainingspläne, Teilnahmezertifikate an Datenschutz- oder Sicherheitsschulungen) beilegen. Erwartet wird, dass das Personal in Themen wie Ausweiskontrolle, Umgang mit dem VMS, Notfallverfahren, Datenschutz etc. unterrichtet ist. Die Ausschreibung kann verlangen, dass vor Dienstbeginn alle Mitarbeiter eine Einweisung in die standortspezifischen Regeln erhalten. Der Bieter sollte im Angebot auch angeben, welche Qualifikationen das Personal mitbringt – etwa Sachkunde nach §34a GewO (Bewachungserlaubnis), Erste-Hilfe-Kurse, Fremdsprachenkenntnisse für den Empfang internationaler Gäste usw. Diese Angaben fließen in die qualitative Bewertung ein.

• Audit- und Kontrollrechte des Auftraggebers: Die Vergabeunterlagen sollten klarstellen, dass der Auftraggeber sich das Recht vorbehält, die Einhaltung der Besucher- und Auftragnehmermanagement-Prozesse zu überprüfen. Bieter akzeptieren dies mit Angebotsabgabe. Konkrete Ausgestaltung: Der Auftraggeber darf z. B. jederzeit Einsicht in die Besuchsprotokolle verlangen, unangekündigte Begehungen am Empfang durchführen oder eine Vorführung des Systems (etwa der Löschfunktion oder Berichtsfunktion) einfordern. Ein Beispiel aus der Praxis: “Der Auftraggeber behält sich vor, jederzeit alle Anmeldeformulare, Ein-/Ausgangs-Logbücher und sonstige aufzeichnungspflichtigen Unterlagen einzusehen”. Ein guter Bieter wird im Konzept erläutern, wie er diese Zusammenarbeit gestaltet – etwa durch regelmäßige Meetings, Bereitstellung von monatlichen Reports, oder Einrichtung eines Auditzugangs im VMS für den Auftraggeber. Wichtig ist, dass die Vergabestelle mit diesen Rechten in der Hand später wirklich verifizieren kann, ob der Dienstleister die versprochenen Leistungen erbringt (z. B. stichprobenhaft prüfen, ob wirklich jeder Besucher einen Ausweis erhalten hat, ob die Logs lückenlos sind etc.).

Indem von den Bietern konkrete Konzepte, Nachweise und Muster gefordert werden, stellt die Vergabestelle sicher, dass das Thema Besuchermanagement nicht im Angebot übergangen wird. Es zwingt die Bewerber dazu, sich intensiv mit den Anforderungen auseinanderzusetzen und praktikable Lösungen darzulegen. Für die Bewertung hat der Auftraggeber so greifbare Unterlagen, um die Qualität der Angebote zu vergleichen. Und nach Zuschlag dienen die eingereichten Konzepte als Referenz – der Dienstleister muss das, was er versprochen hat, auch umsetzen, und der Auftraggeber kann anhand dieser Unterlagen die Leistung messen und ggf. einfordern.

Zweck: Die Bedeutung eines sicheren Besucher- und Auftragnehmermanagements soll sich auch in der Bewertung der Angebote widerspiegeln. Daher sollten spezifische Bewertungskriterien in der Ausschreibung verankert werden, die sich auf die in dieser Richtlinie beschriebenen Standards beziehen. Dies gewährleistet, dass Bieter, die hohe Sicherheits- und Compliance-Standards anbieten, einen Vorteil in der Wertung erhalten, und motiviert alle Bieter, diesem Aspekt viel Aufmerksamkeit zu widmen. Klare Bewertungskriterien schaffen zudem Transparenz für die Bieter, worauf es dem Auftraggeber ankommt, und vermeiden rein preisgetriebene Entscheidungen zu Lasten der Sicherheit.

• Muss-Kriterien (Ausschlusskriterien): Bestimmte essenzielle Anforderungen sollten als Mindestkriterium formuliert werden, deren Nichterfüllung zum Angebotsausschluss führt. Dazu gehören etwa: Vorhandensein eines elektronischen VMS oder gleichwertigen Systems zur Erfassung (ein Anbieter, der nur mit Papierlisten arbeiten will, würde z. B. ausgeschlossen), Umsetzung einer Ausweispflicht und Identitätskontrolle (wenn ein Bieter hierauf verzichten würde, wäre das inakzeptabel), und Bereitschaft zur Einhaltung aller gesetzlichen Vorgaben (DSGVO, ArbSchG etc.). Diese Muss-Kriterien werden nicht mit Punkten bewertet, sondern führen im Falle der Nichterfüllung zur Nichtberücksichtigung des Angebots. So ist sichergestellt, dass nur qualifizierte und willige Bieter in die engere Wahl kommen.

• Qualitative Punktebewertung: Für die qualitativen Unterschiede in den Konzepten sollte ein Punktesystem definiert werden. Beispielsweise könnte das Besucher-/Auftragnehmermanagement mit einem bestimmten Gewicht in der technischen Bewertung eingehen (z. B. 20 von 100 Punkten).

• Digitales VMS und Integration: X Punkte für den Einsatz eines modernen, digitalen Systems mit Voraus-Anmeldung, Ausweisdruck, Ausweisverwaltung und Logbuch. Weitere Punkte, wenn das System mit der Zugangssteuerung integriert ist (Automatiktüren etc.) und temporäre Berechtigungen steuern kann.

• DSGVO & Datensicherheit: X Punkte für ein schlüssiges Datenschutzkonzept (bspw. Serverstandort EU, Verschlüsselung, Nachweis von Schulungen der Mitarbeiter zum Datenschutz). Eventuell Bonus, wenn der Bieter besondere Datenschutzmaßnahmen hat, die über den Standard hinausgehen (z. B. Pseudonymisierung, regelmäßige externe Datenschutzaudits).

• Prozessqualität & Vollständigkeit: X Punkte für die Ausführlichkeit und Nachvollziehbarkeit des eingereichten Konzepts. Hier wird bewertet, inwiefern das Konzept alle geforderten Schritte enthält (Voranmeldung, ID-Check, Ausweis, Begleitung, Log, Unterweisung, etc.) und wie überzeugend die Abläufe sind (z. B. ob klare Zuständigkeiten beschrieben sind, ob realistische Zeitabläufe genannt werden, ob es Notfallprozeduren gibt). Ein umfassendes, durchdachtes Konzept erzielt hier die volle Punktzahl, während ein knappes oder unkonkretes Konzept Abzüge bekommt.

• Personal & Training: X Punkte für die Qualifikation des eingesetzten Personals und das dargestellte Schulungskonzept. Punkte gibt es z. B. dafür, wenn das Personal besonders erfahren oder qualifiziert ist (Sicherheitsausbildung, Fremdsprachenkenntnisse, lange Betriebszugehörigkeit auf ähnlichen Posten) und wenn der Bieter nachweisen kann, dass er seine Leute im Thema Besucher-/Sicherheitsmanagement regelmäßig schult. Auch die personelle Ausstattung – etwa ob genügend Mitarbeiter zur Stoßzeit vorhanden sind, um zügiges Einchecken und nötige Begleitungen sicherzustellen – fließt hier ein.

• Technische Zusatzfeatures (Bonus): Innovative Zusatzleistungen könnten Bonuspunkte erhalten. Beispielsweise ein Bieter, der eine digitale Besuchererfassung mit Echtzeit-Analytics anbietet, wodurch der Auftraggeber z. B. Live-Dashboards einsehen kann, wer sich gerade auf dem Gelände befindet. Oder der Einsatz von IoT-Lösungen: Etwa kleine Tracker, die ein Signal geben, wenn ein Besucher einen gesperrten Bereich betritt, oder eine mobile App für Begleitpersonen, um den Standort der Besuchergruppe zu loggen. Oder Systeme, die automatisch Mails/SMS an den Gastgeber senden, wenn der Besucher eintrifft, um Wartezeiten zu reduzieren. Solche zusätzlichen technischen Hilfsmittel sind nicht zwingend gefordert, könnten aber den Unterschied ausmachen und zeigen, dass der Bieter über den Tellerrand schaut. Die Vergabestelle kann daher im Bewertungsschema z. B. 5 Extrapunkte für „Mehrwert durch Technik/Innovationen im Besuchermanagement“ vorsehen.

• Bewertung der Umsetzungskompetenz: Eventuell kann auch berücksichtigt werden, wie der Bieter in der Vergangenheit mit solchen Anforderungen umging. Zum Beispiel durch Referenzen: Hat der Bieter bereits für ähnliche Kunden gearbeitet und dort erfolgreich ein hohes Sicherheitsniveau gehalten? Referenzauskünfte könnten abgefragt werden: „Auf einer Skala 1-5, wie zufrieden waren Sie mit dem Besuchermanagement des Dienstleisters X?“ Positive Rückmeldungen würden die Bewertung stützen. Dieser Aspekt kann qualitativ einfließen, wenn auch eher indirekt (z. B. im Rahmen eines Kriterienpunktes „Erfahrung des Bieters in vergleichbarem Umfeld“).

Durch diese differenzierte Bewertungssystematik stellt der Auftraggeber sicher, dass Sicherheit und Compliance messbar in die Entscheidung einfließen. Die Bieter wissen dann, dass ein paar kamerale Kinderkrankheiten (wie „vergessenes Logbuchführen“) ihnen Punktabzüge und möglicherweise den Zuschlag kosten können. Das erhöht die Motivation, schon im Angebot höchste Sorgfalt darzulegen. Letztlich führt das Scoring dazu, dass der Zuschlag an den Dienstleister geht, der das beste und durchdachteste Konzept für Besucher- und Auftragnehmermanagement bietet – was für den Auftraggeber in der späteren Umsetzung einen Mehrwert an Sicherheit und Effizienz bringt.

Zweck: Gute Verfahren auf dem Papier genügen nicht – das Unternehmen muss sicherstellen, dass das Besucher- und Auftragnehmermanagement kontinuierlich und zuverlässig in der Praxis umgesetzt wird. Dieser Abschnitt legt die Erwartung fest, dass sowohl der Auftragnehmer als auch der Auftraggeber während der gesamten Vertragslaufzeit die Prozesse überwachen, Schwachstellen beheben und sich an veränderte Anforderungen anpassen. Ziel ist es, Abweichungen oder Fehler frühzeitig zu erkennen und zu korrigieren sowie die Einhaltung der Vorgaben auch bei personellen oder regulatorischen Änderungen aufrechtzuerhalten.

• Regelmäßige Audits und Berichte: Der Auftragnehmer muss in regelmäßigen Abständen interne Überprüfungen seines Besucher- und Auftragnehmermanagements durchführen und dem Auftraggeber auf Anforderung darüber Bericht erstatten. So könnte vertraglich etwa festgelegt werden, dass vierteljährlich ein kurzes Compliance-Review-Meeting stattfindet oder ein Report vorgelegt wird. In diesem Report sollten Kennzahlen und Vorkommnisse aufgeführt sein, z. B.: Anzahl der Besucher im Quartal, Anzahl der Fälle, in denen Ausweise nicht zurückgegeben wurden, besondere Vorkommnisse (z. B. Besucher ohne Anmeldung abgewiesen), Ergebnisse von Zufriedenheitsumfragen (sofern erhoben, z. B. Feedback von Besuchern zur Empfangserfahrung) usw. Parallel dazu behält sich der Auftraggeber das Recht vor, eigene Audits durchzuführen – angekündigt oder unangekündigt. Beispielsweise könnte die interne Revision einmal im Jahr stichprobenartig prüfen, ob die in den Logs erfassten Besucher mit den Besucherscheinen übereinstimmen, oder ob bei 100 % der Besucher ein ID-Scan im System hinterlegt ist. Diese Audits dienen der Früherkennung von Abweichungen und der Gewissheit, dass die Dokumentation jederzeit audit-ready ist. Der Auftragnehmer sollte verpflichtet werden, bei solchen Audits voll zu kooperieren.

• Sofortige Korrekturmaßnahmen: Werden bei einem Audit oder auch im Tagesbetrieb Abweichungen von den vorgeschriebenen Prozessen festgestellt, sind unverzüglich Korrekturmaßnahmen einzuleiten. Beispiele: Falls festgestellt wird, dass gelegentlich Besucher ohne Ausweis im Betrieb umherlaufen (Verstöße gegen Abschnitt 4), müsste der Dienstleister umgehend die Mitarbeiter nachschulen und ggf. zusätzliche Kontrollen einführen (z. B. der Sicherheitsdienst kontrolliert stichprobenartig Besucher auf sichtbare Ausweise). Oder falls datenschutzrechtlich relevante Versäumnisse auftreten (z. B. das Vergessen, alte Besucherdaten zu löschen), müsste der Dienstleister dies sofort nachholen und den Prozess anpassen (etwa eine automatische Löschfunktion aktivieren). Die Richtlinie sollte klar machen, dass Protokollverstöße oder Sicherheitsmängel nicht toleriert werden und vom Auftragnehmer proaktiv abgestellt werden müssen. Idealerweise wird ein Verfahren vereinbart: bei Feststellung eines Mangels informiert der Auftragnehmer den Auftraggeber, erarbeitet umgehend eine Abstellmaßnahme und berichtet über deren Umsetzung. In gravierenden Fällen kann der Auftraggeber auch verlangen, dass für die Zukunft zusätzliche Sicherungsmaßnahmen implementiert werden. Wiederholte oder unbehebbare Verstöße könnten nach vorheriger Abmahnung zur Kündigung des Vertrags führen – dies sollte als Druckmittel im Vertrag verankert werden.

• Vorfallsmanagement: Der Auftragnehmer muss ein klar definiertes Vorgehen bei sicherheitsrelevanten Vorfällen im Besucher-/Auftragnehmerkontext haben. Das betrifft etwa: einen Besucher, der gegen Regeln verstößt (z. B. unbefugt fotografiert, wie es oft verboten ist), einen Auftragnehmer, der einen Unfall hat, oder auch einen Datenschutzvorfall (z. B. Verlust einer Besucherliste). Die Richtlinie sollte erwarten, dass der Auftragnehmer solche Vorfälle unverzüglich dem Auftraggeber meldet, interne Untersuchungen einleitet und mit dem Auftraggeber zusammenwirkt, um den Vorfall zu klären. Zum Vorfallsmanagement gehört auch, dass aus Fehlern gelernt wird – nach einem Vorfall sollten Auftraggeber und Auftragnehmer gemeinsam prüfen, welche Änderungen im Prozess nötig sind, damit sich so etwas nicht wiederholt. Beispielsweise könnte nach einem „Beinahe-Sicherheitsvorfall“ entschieden werden, die Begleitpflicht zu verschärfen oder zusätzliche Checkpoints einzuführen. Bieter sollten in ihrem Konzept bereits skizzieren, wie sie mit Vorfällen umgehen (Meldeketten, Kontaktpersonen, Sofortmaßnahmen, Dokumentation).

• Überwachung durch den Auftraggeber: Parallel zur Selbstüberwachung des Dienstleisters wird der Auftraggeber typischerweise ebenfalls Kontrollmaßnahmen vorsehen. Dazu können unangekündigte Besuche am Empfang zählen (um zu sehen, ob Prozesse eingehalten werden), Auswertung von Zugangskontrollsystem-Logs (z. B. Abgleich der Türenlogs mit dem Besuchersystem, um sicherzustellen, dass Besucher nicht ohne Buchung reingelassen wurden), oder einfache Tests (z. B. lässt man einen internen Mitarbeiter versuchen, ohne Ausweis an der Pforte vorbei zu gehen, um die Aufmerksamkeit des Personals zu testen). Der Auftragnehmer sollte solche Kontrollen nicht als Misstrauen, sondern als Teil des Qualitätsmanagements betrachten. Wichtig ist, dass der Auftraggeber diese Überwachungsrechte bereits im Vertrag festlegt (siehe Abschnitt 8) und der Dienstleister zustimmt. Regelmäßige Gespräche (z. B. monatliche Sicherheits-Meetings) können eingerichtet werden, bei denen der Auftraggeber Feedback gibt – sowohl positiv (z. B. “gute Leistung, keine unbegleiteten Besucher gesichtet”) als auch negativ – damit der Dienstleister kontinuierlich weiß, wo er steht.

• Anpassung an neue Anforderungen: Die Richtlinie verpflichtet den Dienstleister, auf Veränderungen flexibel zu reagieren. Das kann regulatorische Änderungen betreffen (wenn z. B. neue Datenschutzbestimmungen in Kraft treten oder sich Arbeitsstättenrichtlinien ändern, muss der Prozess entsprechend angepasst werden) oder auch vom Auftraggeber vorgegebene Änderungen (etwa strengere Sicherheitsregeln bei Events, geänderte Öffnungszeiten, Einführung neuer Technologie). Beispielsweise könnte während der Vertragslaufzeit ein neues Zutrittssystem eingeführt werden (mit Biometrie oder Gesichtserkennung für Besucher); der Dienstleister muss dann bereit sein, sein Personal darin zu schulen und die Abläufe neu zu organisieren. Oder die DSGVO könnte durch lokale Gesetzgebung konkretisiert werden – der Dienstleister müsste dann vielleicht zusätzliche Maßnahmen zum Datenschutz ergreifen. In der Praxis ist es sinnvoll, jährlich oder bei Bedarf ein Review der Richtlinie durchzuführen: Passt noch alles? Gibt es neue Risiken (z. B. Pandemie-Screenings für Besucher) oder Änderungen, die eingebaut werden müssen? Der Dienstleister ist verpflichtet, solche Änderungen ohne Verzögerung umzusetzen. Falls dadurch Mehrkosten entstehen, müssen diese im Rahmen der Verträge abgestimmt werden, aber im Regelfall werden organisatorische Anpassungen als Bestandteil der vereinbarten Leistung angesehen.

• Streben nach kontinuierlicher Verbesserung: Ein fortschrittlicher Dienstleister wird nicht nur auf Vorfälle reagieren, sondern selbst Ansätze zur Verbesserung einbringen. Die Ausschreibung kann dies ermutigen, indem z. B. im Kriterienkatalog positiv bewertet wird, wenn ein Bieter ein Konzept zur fortlaufenden Optimierung vorlegt. Nach Vertragsbeginn könnte vereinbart werden, dass der Dienstleister nach z. B. 6 Monaten Betrieb einen Workshop anbietet, in dem er und der Auftraggeber gemeinsam Bilanz ziehen und Optimierungspotential diskutieren (z. B. “Können wir den Check-in noch beschleunigen? Brauchen wir zusätzliche Beschilderung für Besucher?”). In jedem Fall sollte dokumentiert werden, dass Sicherheit ein fortlaufender Prozess ist und beide Seiten gewillt sind, aus Erfahrungen zu lernen und up to date zu bleiben.

Durch diese Vorgaben für die laufende Überwachung stellt der Auftraggeber sicher, dass die anfangs hohe Qualität nicht im Alltag erodiert. Der Dienstleister weiß, dass er ständig liefern muss – die Besucher- und Auftragnehmerverwaltung bleibt im Fokus. Gerade weil Bedrohungen sich weiterentwickeln und manchmal Nachlässigkeit einschleicht, hält dieser kontinuierliche Verbesserungs- und Kontrollprozess das Niveau hoch. Für das Unternehmen bedeutet das dauerhaft Schutz für Mitarbeiter, Anlagen und vertrauliche Informationen sowie die Gewissheit, dass alle externen Personen, die das Gelände betreten, nach wie vor den vereinbarten Protokollen entsprechend behandelt werden – vom ersten Tag des Vertrags bis zum letzten.