Zutrittskontrolle & Sicherheitsprotokolle

Zweck: Gewährleistung der Compliance und Gefahrenabwehr durch Kontrolle von Lieferungen und mitgeführten Gepäckstücken.

• Verpflichtende Durchsuchung: Alle Taschen, Pakete und eingehenden Lieferungen müssen gemäß den objektspezifischen Sicherheitsregeln überprüft werden, bevor sie hinter den Dienst- bzw. Lieferanteneingang gelangen. Das Sicherheitspersonal hat Handtaschen, Rucksäcke, Werkzeugkoffer sowie angelieferte Pakete auf verbotene Gegenstände (wie z.B. Waffen, Sprengstoffe oder anderes gefährliches/unerlaubtes Material) zu kontrollieren, die eine Bedrohung für die Einrichtung darstellen könnten. Das Ausmaß der Durchsuchung (Sichtkontrolle, manuelle Durchsuchung oder Einsatz von technischen Scannern) richtet sich nach dem Sicherheitsrisiko des Standorts. Es gilt: eher zu gründlich kontrollieren als ein Risiko übersehen.

• Einsatz von Screening-Geräten: Wo verfügbar, sollen technische Hilfsmittel zur Kontrolle genutzt werden (z.B. Röntgenanlagen für Pakete oder Metalldetektoren für Personen), um den Inhalt von Lieferungen und Taschen effizient und sicher zu überprüfen. Das Sicherheitspersonal muss im Umgang mit dieser Technik geschult sein und auch in der Lage sein, manuelle Kontrollen sachgerecht durchzuführen, falls technische Mittel nicht vorhanden oder temporär außer Betrieb sind. Einheitliche Checklisten oder Anweisungen sind zu verwenden, damit kein Gegenstand unkontrolliert ins Gebäude gelangt.

• Dokumentation der Lieferungen: Jede am Dienst-/Waren-Eingang entgegen genommene Lieferung ist zu protokollieren und nachvollziehbar zu dokumentieren. Das Lieferprotokoll sollte Details enthalten wie Datum/Uhrzeit, Name des Kuriers bzw. der Lieferfirma, Identität des Fahrers (Überprüfung mittels Ausweis), Inhalt oder Referenz der Lieferung (z.B. Lieferschein-Nummer) und der Name der Abteilung oder Person, für die die Lieferung bestimmt ist. Jegliche Unregelmäßigkeiten (z.B. unerwartete Pakete, beschädigte Verpackungen oder gebrochene Sicherheitssiegel) sind zu vermerken und umgehend der Sicherheitsleitung zu melden. Eine sorgfältige Lieferdokumentation gewährleistet Verantwortlichkeit, erleichtert die Nachverfolgung von Sendungen im Einklang mit den Unternehmensrichtlinien und ermöglicht eine schnelle Auskunft, falls ein sicherheitsrelevanter Vorfall untersucht werden muss.

Zweck: Ermöglicht eine diskrete Notfallreaktion auf Bedrohungen oder Sicherheitsvorfälle, ohne potenzielle Täter zu alarmieren.

• Implementierung eines stillen Alarms: Am Empfangs- bzw. Dienstzugang muss ein stiller Alarm installiert sein, der es dem Personal ermöglicht, unbemerkt Alarm zu schlagen. Dies kann z.B. ein versteckter Panikknopf unter dem Tresen, ein Fußschalter oder ein Duress-Code (bedrohungsspezifischer Code) am Zugangskontrollleser sein. Bei Auslösung sendet der stille Alarm sofort eine Meldung an die zentrale Sicherheitsleitstelle des Gebäudes oder direkt an externe Interventionskräfte (Wachzentrale/Polizei), ohne vor Ort ein hörbares Alarmsignal auszulösen (um den Täter nicht zu warnen).

• Schulung der Mitarbeiter zur Alarmnutzung: Empfangs- und Sicherheitspersonal ist darin zu schulen, wie und wann der stille Alarm auszulösen ist und was anschließend zu tun ist. Die Schulung soll auch regelmäßige Szenarienübungen umfassen (z.B. Training für Situationen wie einen aggressiven Eindringling oder den Fund eines verdächtigen Gegenstands), in denen die Mitarbeiter das Auslösen des Alarms und die folgenden Schritte gemäß Eskalationsprotokoll üben. Zudem müssen die Mitarbeiter darin unterwiesen werden, Ruhe zu bewahren und unauffällig zu handeln, sodass die Person, die eine Bedrohung darstellt, nicht erkennt, dass Alarm ausgelöst wurde.

• Integriertes Eskalationsprotokoll: Sobald ein stiller Alarm aktiviert wird, muss ein klar definiertes Eskalationsverfahren greifen. Die Sicherheitszentrale (oder eine entsprechende Überwachungsstelle) verifiziert den Alarm umgehend und leitet sofortige Maßnahmen ein: Dazu gehören das Entsenden des Wachpersonals vor Ort und/oder das Verständigen der Polizei bzw. des Notrufs, je nach Art des Vorfalls. Parallel dazu können vordefinierte interne Maßnahmen eingeleitet werden (z.B. diskrete Benachrichtigung des Sicherheitsmanagers oder Verriegelung bestimmter Türen über das Zutrittskontrollsystem). Das Verfahren stellt sicher, dass eine schnelle und effektive Reaktion erfolgt, ohne unnötige Aufmerksamkeit vor Ort zu erregen. Jeder ausgelöste stille Alarm und die ergriffenen Maßnahmen sind zu dokumentieren. Außerdem muss das Alarmsystem regelmäßig getestet und gewartet werden, um seine Funktionsfähigkeit jederzeit zu gewährleisten.

Zweck: Verhindern von unbefugtem Zugang oder Social-Engineering-Angriffen, die als Lieferungen getarnt erfolgen.

• Abgleich mit Lieferplänen: Das Empfangs- oder Sicherheitspersonal muss Zugriff auf aktuelle Lieferpläne und autorisierte Lieferantenlisten der Einrichtung haben (bereitgestellt durch den Auftraggeber bzw. die zuständigen Abteilungen). Trifft ein Lieferant oder Kurier ein, so ist zu prüfen, ob diese Lieferung erwartet wurde – z.B. Abgleich mit einem vorangemeldeten Liefertermin oder einer Bestellung – und ob Identität und Firma des Lieferanten mit den hinterlegten Daten übereinstimmen. Unerwartete Lieferungen oder solche außerhalb der üblichen Zeitfenster sind besonders sorgfältig zu behandeln und zu hinterfragen.

• Vorab-Anmeldung von Lieferungen: Als Teil des Protokolls sollte die Betriebsleitung bzw. der Auftraggeber sicherstellen, dass Abteilungen ihre erwarteten Lieferungen und Servicebesuche vorab anmelden (inklusive Angaben zum Lieferanten, voraussichtliche Lieferzeit etc.). Das Sicherheitspersonal am Dienstzugang gleicht eintreffende Lieferanten mit dieser Liste ab. Nicht angemeldete Lieferungen oder Lieferanten, die nicht auf der autorisierten Liste stehen, müssen höflich zurückgestellt werden: Der Empfang nimmt Kontakt mit einem Vorgesetzten oder dem vorgesehenen Empfänger der Lieferung auf, um eine Freigabe zu erhalten. Bis zur Bestätigung dürfen solche Personen oder Sendungen die Eingangsschleuse nicht passieren. Dieses Vorgehen stellt sicher, dass keine unüberprüfte Person unter dem Vorwand einer Lieferung ins Gebäude gelangt.

• Begleitete Lieferungen statt freier Zutritt: Die Richtlinie betont, dass Lieferpersonal niemals unbegleitet im Gebäude umhergehen darf. Ist eine Lieferung verifiziert und zugelassen, soll entweder die Übergabe direkt am Eingang erfolgen (und das interne Personal bringt die Sendung weiter) oder der Lieferant wird von Sicherheits- oder zuständigem Personal zu seinem Ziel begleitet. Durch die strikte Einhaltung von Anmeldung und Begleitung wird das Risiko minimiert, dass sich Unbefugte als Lieferboten ausgeben und so die Sicherheitskontrollen umgehen. Jeder Versuch einer Person, sich durch Vortäuschen einer Lieferung unbefugt Zutritt zu verschaffen, ist als Sicherheitsvorfall zu werten, zu dokumentieren und unverzüglich der Sicherheitsleitung zu melden.

Zweck: Sicherstellen eines klaren, standardisierten Vorgehens gegenüber unautorisierten oder verdächtigen Personen, indem der Zutritt sofort und auf sichere Weise verweigert wird.

• Protokoll zur Zutrittsverweigerung: Das Sicherheits- bzw. Empfangspersonal muss einer Person, die keine gültige Berechtigung vorweisen kann oder die durch Verhalten Verdacht erregt, den Zutritt umgehend verweigern. Diese Verweigerung soll bestimmt, aber professionell erfolgen – z.B. durch den Hinweis, dass ohne Autorisierung kein Zugang gestattet ist, verbunden mit der Bitte, das Gelände zu verlassen. Die Mitarbeiter sind in Deeskalationstechniken zu schulen, um bei Verweigerungen ruhig und kontrolliert vorzugehen, insbesondere falls die abgewiesene Person ungehalten reagiert.

• Diskrete Alarmierung der Sicherheitsverantwortlichen: Nachdem einer verdächtigen oder unbefugten Person der Zutritt verweigert wurde, sollte der Empfang diskret die Sicherheitsverantwortlichen (z.B. den Wachleiter oder Objektverantwortlichen) über die Situation informieren – etwa per Telefon oder Funk, gegebenenfalls unter Nutzung eines vereinbarten Codeworts. Falls die betreffende Person sich weigert zu gehen oder weiterhin in der Nähe bleibt, kann zusätzliches Sicherheitspersonal zur Verstärkung hinzukommen. In Hochrisiko-Fällen (etwa wenn die Person droht, aggressiv wird oder versucht, sich gewaltsam Zutritt zu verschaffen) ist vom Personal nicht zu verlangen, selbst einzugreifen; stattdessen sollten sie den stillen Alarm auslösen und sich selbst in Sicherheit bringen, während sie die Eskalationsprotokolle befolgen.

• Einbindung der Behörden: Die Richtlinie muss klar umreißen, wann Polizei oder andere Behörden hinzuzuziehen sind. Beispielsweise: Sollte eine Person versuchen, die Sicherheitskontrolle zu umgehen, verbotene Gegenstände mitführen oder eine unmittelbare Gefahr darstellen, so ist unverzüglich gemäß Alarmplan die Polizei zu verständigen, anstatt dass das Personal sich selbst in Gefahr bringt. Außerdem sollte festgelegt sein, dass die Sicherheit der Empfangsmitarbeiter oberste Priorität hat: So ist etwa ein baulicher Schutz am Empfang (z.B. eine Trennscheibe oder ein abschließbarer Rückzugsraum) wünschenswert, und Mitarbeiter dürfen sich keiner unnötigen körperlichen Konfrontation aussetzen. Jeder Vorfall von verweigertem Zutritt ist im Wachbuch oder Ereignisprotokoll festzuhalten (mit Datum, Uhrzeit, Beschreibung des Vorgangs) und von der Sicherheitsleitung auszuwerten, um sicherzustellen, dass das Personal regelkonform gehandelt hat und um etwaige Verbesserungen im Vorgehen abzuleiten.

Zweck: Ausrichtung aller Zugangskontroll- und Sicherheitsverfahren an geltendem deutschen und EU-Recht, um sicherzustellen, dass die Tätigkeiten des Auftragnehmers vollumfänglich gesetzeskonform sind.

• Einhaltung von §34a GewO: Sämtliches Sicherheitspersonal, das Bewachungs- oder Zutrittskontrollaufgaben übernimmt, muss die Vorgaben des §34a Gewerbeordnung erfüllen. Das bedeutet, dass der Sicherheitsdienstleister (Auftragnehmer) eine gültige Bewachungserlaubnis der zuständigen Behörde besitzt und sein Personal die erforderliche Sachkunde und Zuverlässigkeit nachweist (z.B. durch erfolgreich bestandene IHK-Sachkundeprüfung oder mindestens die Unterrichtung nach §34a GewO, entsprechend der Bewachungsverordnung). Die Richtlinie soll festschreiben, dass der Auftragnehmer Nachweise für diese Erlaubnis und die Qualifikationen seiner Mitarbeiter vorzulegen hat. Die Einhaltung von §34a GewO stellt sicher, dass nur geschultes und gesetzlich zugelassenes Personal am Empfang eingesetzt wird.

• DSGVO-Datenschutz: Jegliche Erhebung und Speicherung personenbezogener Daten im Zuge der Zutrittskontrolle (z.B. Besucherdaten in Logbüchern, Ausweiskopien, CCTV-Videoaufzeichnungen, Lieferdokumentationen mit Personendaten) muss den Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) entsprechen. Konkret bedeutet dies: Es dürfen nur wirklich benötigte Daten erhoben werden (Datenminimierung) und diese sind mit angemessenen technischen und organisatorischen Maßnahmen vor unbefugtem Zugriff zu schützen. Besucher und Lieferanten müssen in geeigneter Weise darüber informiert werden, dass zu Sicherheitszwecken Daten erhoben und verarbeitet werden. Die Speicherung personenbezogener Daten darf nicht länger als erforderlich erfolgen. Praktische Beispiele: Digitale Besuchermanagement-Systeme sind mit Zugriffsbeschränkungen oder Verschlüsselung zu betreiben; klassische Besucherlisten in Papierform sind so zu verwahren, dass Unbefugte keine Einsicht haben. Im Sicherheitskonzept sollten auch Verfahren verankert sein, wie betroffene Personen auf Wunsch Auskunft über ihre gespeicherten Daten erhalten oder deren Löschung verlangen können, um den Rechten gemäß DSGVO nachzukommen.

• Arbeitsschutzgesetz und DGUV-Vorschriften: Der Sicherheitsdienstleister muss die Bestimmungen des Arbeitsschutzgesetzes (ArbSchG) und der relevanten Unfallverhütungsvorschriften der DGUV (Deutschen Gesetzlichen Unfallversicherung) in Bezug auf den Arbeitsplatz Empfang/Sicherheit beachten. Dies bedeutet u.a., dass für den Empfangs- und Sicherheitsdienst eine Gefährdungsbeurteilung durchgeführt und dokumentiert wird. Daraus abgeleitete Maßnahmen zum Schutz von Sicherheitspersonal und anderen Beschäftigten sind umzusetzen. Beispielsweise sind ergonomische und sichere Arbeitsbedingungen am Empfang sicherzustellen (Sitzgelegenheiten, ausreichende Beleuchtung, ggf. Schutzscheiben), es muss ein Notfallplan für gewaltsame Übergriffe vorliegen und das Personal in Erste Hilfe sowie im Umgang mit Brandmelde- und Löschtechnik unterwiesen sein. Die DGUV Vorschrift 23 “Wach- und Sicherungsdienste” enthält branchenspezifische Sicherheitsregeln (z.B. Ausstattung von Wachpersonal, Einsatz von Alarmanlagen wie Überfallmeldeanlagen in Wachzentralen), die ebenfalls einzuhalten sind. Die Verfahren im Empfangs- und Zugangsbereich müssen mit diesen Vorgaben konform sein – etwa durch Aufstellen von Verbotsschildern “Zutritt für Unbefugte verboten” gemäß UVV oder das Bereithalten von Erste-Hilfe-Material – um Sicherheit und Gesundheit der Mitarbeiter und Besucher jederzeit zu gewährleisten.

• Sonstige gesetzliche Konformität: Die Richtlinie sollte festhalten, dass alle Abläufe auch mit weiteren einschlägigen Vorschriften oder internen Vorgaben im Einklang stehen. Dies betrifft z.B. die Wahrung des Hausrechts des Auftraggebers (das Recht, Personen den Zutritt zu verwehren, Regeln für Besucher festzulegen etc.), die Einhaltung von Brandschutzbestimmungen (sodass z.B. Taschenkontrollen nicht Fluchtwege blockieren oder Brandschutztüren offen gehalten werden), ggf. das Bundesdatenschutzgesetz (sofern über DSGVO hinaus anwendbar) und branchenspezifische Regelungen, falls im Gebäude z.B. mit Gefahrstoffen oder sensiblen Bereichen umgegangen wird. Durch die Berücksichtigung aller genannten rechtlichen Anforderungen im Konzept wird sichergestellt, dass der laufende Sicherheitsbetrieb keine Gesetzesverstöße begeht und auch bei Prüfungen durch Aufsichtsbehörden bestanden wird.

Zweck: Festlegung, welche Unterlagen und Nachweise Bieter vorlegen müssen, um ihre Fähigkeit zur Erfüllung der Sicherheitsprotokolle darzulegen – dies ermöglicht eine standardisierte Überprüfung in der Ausschreibung und während der Vertragsausführung.

• Handbuch für Zugangskontrolle & Sicherheitsprotokolle: Bieter müssen ein umfassendes Dokument einreichen – oft bezeichnet als Sicherheitskonzept, Betriebshandbuch oder Prozedurenhandbuch – in dem sie darlegen, wie sie die in dieser Richtlinie beschriebenen Zutrittskontroll- und Sicherheitsprozesse umsetzen und aufrechterhalten werden. Dieses Handbuch soll alle relevanten Aspekte abdecken: vom Verfahren der Identitätskontrolle und Besucherregistrierung über die Methoden der Taschen- und Lieferkontrolle, die Alarm- und Eskalationspläne, bis hin zu Schulungsprogrammen und Qualitätssicherungsmaßnahmen. Wichtig ist, dass das Dokument die hier vorgegebenen Standards erfüllt und – soweit möglich – auf die Gegebenheiten des jeweiligen Standorts eingeht. Der Auftraggeber wird dieses Konzept dahingehend prüfen, ob alle Muss-Kriterien erfüllt sind und ob die Vorgehensweisen plausibel und praktikabel erscheinen.

• Schulungs- und Qualifikationsnachweise des Personals: Dem Angebot sind Nachweise dafür beizulegen, dass das für den Auftrag vorgesehene Personal ordnungsgemäß ausgebildet und qualifiziert ist. Dazu zählen Zertifikate oder Bescheinigungen wie z.B. die bestandene Sachkundeprüfung nach §34a GewO für Sicherheitsmitarbeiter, Nachweise über absolvierte Schulungen (etwa im Umgang mit Röntgengeräten, zur Durchführung von Personenkontrollen, in Alarm- und Erste-Hilfe-Maßnahmen sowie im Umgang mit Konfliktsituationen am Empfang). Der Bieter sollte einen Überblick über sein Schulungskonzept geben, inklusive regelmäßiger Fortbildungen und Unterweisungen. Außerdem kann verlangt werden, einen Schicht- und Personaleinsatzplan vorzulegen, der zeigt, wie viele Sicherheitskräfte zu welchen Zeiten am Eingang eingesetzt werden und welche Qualifikationen diese haben. Dadurch kann der Auftraggeber beurteilen, ob genügend und geeignetes Personal vorgesehen ist, um die Anforderungen zu erfüllen.

• Vorbehalt von Vor-Ort-Demonstrationen: Der Auftraggeber behält sich das Recht vor, die vorgeschlagenen Verfahren durch Vor-Ort-Termine oder Sicherheitsübungen zu verifizieren – sei es im Rahmen der Angebotsbewertung oder nach Zuschlagserteilung vor Dienstbeginn. Bieter sollten darauf vorbereitet sein, im Zweifel eine praktische Präsentation durchzuführen, wie sie zentrale Aufgaben ausführen würden. Beispielsweise könnte der Bieter zeigen müssen, wie ein Besucher-Check-in abläuft, wie Pakete kontrolliert und registriert werden, oder ein Alarmfall simuliert werden (inklusive Kommunikation mit der Leitstelle). Ebenso kann verlangt werden, Musterformulare (z.B. Besucherschein, Lieferregistrierung, Vorfallbericht) vorzuweisen oder das System, das für die Zutrittsverwaltung genutzt werden soll, zu präsentieren. Diese Anforderungen sorgen dafür, dass der Auftraggeber nicht nur auf Papier zusichert bekommt, dass der Bieter die Prozesse beherrscht, sondern dies auch praktisch nachprüfen kann. Zusätzlich verpflichtet die Richtlinie den Auftragnehmer, während der gesamten Vertragslaufzeit Überprüfungen zu ermöglichen – etwa Einsicht in relevante Aufzeichnungen oder Teilnahmen an Audits – um die Einhaltung der versprochenen Leistungen zu verifizieren.

Zweck: Die Qualität der betrieblichen Sicherheitsprozesse in die Angebotsbewertung einfließen zu lassen, um Bieter anzuregen, über Mindeststandards hinauszugehen, und um das Angebot auszuwählen, das den sichersten Betriebsablauf gewährleistet.

• K.O.-Kriterien (Muss-Bestimmungen): Bestimmte essenzielle Sicherheitsprozesse gelten im Vergabeverfahren als zwingende Voraussetzung und werden als Ausschlusskriterien behandelt. Bieter müssen überzeugende Konzepte für die Durchsetzung der Zutrittsberechtigung (siehe Abschnitt 2) sowie für die Kontrolle von Personen und mitgebrachten Gegenständen (siehe Abschnitt 3) vorweisen. Erfüllt ein Angebot diese Kernanforderungen nicht ausreichend – z.B. wenn kein Verfahren zur systematischen Ausweisprüfung beschrieben ist oder die Kontrolle von Lieferungen unberücksichtigt bleibt – wird das Angebot als nicht konform gewertet und in der Regel vom weiteren Verfahren ausgeschlossen. Ebenso fällt unter diese Muss-Kriterien die Einhaltung gesetzlicher Vorgaben (Abschnitt 7); ein Bieter ohne gültige Bewachungserlaubnis oder ohne Datenschutzkonzept würde z.B. ausgeschlossen.

• Gewichtete Bewertung nach Qualität und Mehrwert: Über die bloßen Mindestanforderungen hinaus werden die Angebote hinsichtlich der Qualität und Ausgereiftheit der vorgeschlagenen Sicherheitsprozesse bewertet. Jedem relevanten Aspekt ist eine bestimmte Gewichtung oder Punktzahl im Bewertungsschema zugeordnet. Beispielsweise könnte die Detailliertheit und Schlagkraft der Eskalationspläne (Abschnitte 4 und 6) einen hohen Stellenwert erhalten – ein Angebot, das einen gut koordinierten, mehrstufigen Alarm- und Interventionsplan (inklusive moderner Kommunikationsmittel und intensiver Mitarbeiterschulung) präsentiert, wird höher bewertet als ein Angebot mit nur oberflächlichen Angaben. Ebenso kann der Einsatz von Technologie (wie stille Überfallknöpfe, Videoüberwachung mit Anbindung an die Leitstelle oder KI-gestützte Überwachungssysteme) einen positiven Einfluss auf die Bewertung haben. Wenn ein Bieter innovative Maßnahmen vorschlägt – z.B. eine Software, die ungewöhnliches Verhalten oder das “Schleusen” Unbefugter durch die Tür erkennt – und diese datenschutzkonform einsetzen will, spiegelt sich das in der Punktevergabe im Kriterium “Technische und organisatorische Maßnahmen” wider. Die Vergabestelle legt im Voraus fest, wie viele Punkte für bestimmte Qualitäten vergeben werden (z.B. X Punkte für einen herausragenden Schulungsplan, Y Punkte für besondere technische Lösungen, etc.), und bewertet die Angebote entsprechend dieser Matrix.

• Bonuspunkte für fortschrittliche Lösungen: Der Auftraggeber kann zusätzliche Punkte (Bonus) für Angebote vorsehen, die über das Geforderte hinausgehende Mehrwert-Lösungen bieten. Beispielsweise könnte im Bereich Lieferantenmanagement (Abschnitt 5) ein Bieter, der ein digitales Lieferantenvoranmeldungs-System oder ein elektronisches Zeitfenstermanagement für Lieferungen vorschlägt, Bonuspunkte für Innovation und Effizienz erhalten. Ähnlich könnten Vorschläge für erhöhte Sicherheit – etwa der Einsatz biometrischer Zutrittskontrollen in Kombination mit der personellen Überwachung am Empfang, oder eine Echtzeit-Berichtsapp, die den Auftraggeber bei jedem sicherheitsrelevanten Zwischenfall sofort informiert – mit Zusatzpunkten honoriert werden. Solche Extras sind nicht verpflichtend vorgeschrieben, demonstrieren aber einen proaktiven Ansatz des Bieters. In einem engen Wettbewerb können diese Bonuspunkte den Ausschlag geben, insbesondere wenn mehrere Angebote die Grundanforderungen gleichermaßen erfüllen.

• Transparenz der Bewertung: In der Ausschreibung wird in der Regel offen dargelegt, wie die Gewichtung der Kriterien aussieht (z.B. könnte das “Konzept für Sicherheits- und Zugangsprozesse” 30% der technischen Wertung ausmachen). Bietern sollte bewusst sein, dass das bloße Erfüllen der Mindeststandards zwar die Teilnahme sichert, aber die höchste Punktzahl – und damit die größte Aussicht auf Zuschlag – diejenigen erhalten, die ein in sich stimmiges, zuverlässiges und zukunftsorientiertes Sicherheitskonzept entsprechend dieser Richtlinie präsentieren.

Zweck: Sicherstellung von langfristiger Beständigkeit, Rechenschaft und Anpassungsfähigkeit der Sicherheitsprozesse während der gesamten Vertragslaufzeit, um ein hohes Maß an Sicherheitsresilienz aufrechtzuerhalten.

• Regelmäßige Audits und Berichterstattung: Der Sicherheitsdienstleister wird verpflichtet, regelmäßige Überprüfungen (Audits) seiner Zutrittskontroll- und Sicherheitsabläufe zu dulden und daran mitzuwirken. Dazu zählt die periodische Kontrolle der Zutritts- und Besuchsprotokolle, der Lieferkontrollaufzeichnungen und anderer Nachweise, um zu prüfen, ob die Verfahren aus den Abschnitten 2 und 3 tatsächlich lückenlos eingehalten werden. Der Auftraggeber (oder ein von ihm beauftragter Auditor) kann solche Audits beispielsweise monatlich oder quartalsweise durchführen. Darüber hinaus sollte der Auftragnehmer dem Auftraggeber turnusmäßige Berichte liefern – etwa einen monatlichen Sicherheitsreport, der Kennzahlen enthält (Anzahl der kontrollierten Besucher und Lieferungen, aufgetretene Sicherheitsvorfälle, durchgeführte Alarmtests, etc.). Diese Berichte ermöglichen es dem Auftraggeber, die Leistung und Compliance des Sicherheitsdienstes im Zeitverlauf zu verfolgen und zu bewerten.

• Stichproben und unangekündigte Kontrollen: Um die Wachsamkeit des Sicherheitsdienstleisters sicherzustellen, kann das Sicherheitsteam oder Facility-Management des Auftraggebers unangekündigte Stichproben durchführen. Dies könnte bedeuten, Testpersonen als Besucher oder Lieferanten einzuschleusen, um die Wirksamkeit der Kontrollen zu prüfen (wird eine nicht angemeldete Person konsequent gestoppt und überprüft?), oder eine spontane Inspektion der Empfangsposition (z.B. Überprüfung, ob die vorgeschriebene Schutzausrüstung vorhanden ist und ob die Kommunikationseinrichtungen funktionieren). Solche Stichproben können auch beinhalten, dass kontrolliert wird, ob alle diensthabenden Sicherheitskräfte die erforderlichen Ausweise/Zertifikate mitführen und ob technische Einrichtungen wie Röntgenscanner, Alarmknöpfe und Kameras ordnungsgemäß in Betrieb sind. Der Auftragnehmer muss diese unangemeldeten Überprüfungen laut Vertrag akzeptieren und unterstützen. Festgestellte Mängel (etwa eine nicht erfolgte Ausweiskontrolle bei einem Testbesucher) sind sofort abzustellen; bei schwerwiegenden Verstößen behält sich der Auftraggeber vertraglich meist Sanktionen vor.

• Kontinuierliche Verbesserung und Anpassung: Die Richtlinie verpflichtet den Sicherheitsdienstleister, seine Verfahren angesichts neuer Risiken, Rückmeldungen oder Vorfälle weiterzuentwickeln und anzupassen. Tritt ein Sicherheitsvorfall ein (z.B. ein beinahe unbefugter Zutritt oder eine Panne in der Alarmierung), wird im Anschluss daran eine Ursachenanalyse durchgeführt. Der Dienstleister ist gehalten, basierend auf den Ergebnissen dieser Analyse die betreffenden Prozesse zu überarbeiten, Mitarbeiter ggf. nachzuschulen und zusätzliche Maßnahmen zu ergreifen, um Wiederholungen zu verhindern. Ebenso müssen Änderungen in Gesetzen oder der Gefährdungslage umgehend berücksichtigt werden – wenn z.B. neue Vorschriften im Datenschutz erlassen werden oder die allgemeine Sicherheitslage sich ändert (wie etwa erhöhte Terrorwarnstufen, Pandemievorgaben für Zugangskontrollen etc.), sind die Abläufe entsprechend zu modifizieren. Der Vertrag kann vorsehen, dass mindestens jährlich eine gemeinsame Überprüfung des Sicherheitskonzepts zwischen Auftraggeber und Auftragnehmer erfolgt, in der die Erfahrungen aus dem vergangenen Zeitraum ausgewertet und Optimierungen vereinbart werden (kontinuierlicher Verbesserungsprozess). Die laufende Compliance-Überwachung stellt sicher, dass der Sicherheitsbetrieb nicht auf dem einmal festgelegten Stand verharrt – er muss vielmehr dynamisch, jederzeit aktuell bezüglich Best Practices und durchgehend rechtskonform bleiben. Dies schützt sowohl die Interessen des Auftraggebers (der eine verlässliche Sicherheitslösung erhält) als auch die Reputation und Leistungsbilanz des Auftragnehmers, während für alle Beteiligten – Mitarbeiter, Besucher, Lieferanten – am Dienst- und Empfangseingang stets ein Höchstmaß an Sicherheit gewährleistet ist.