GEFMA 942: Cloud Computing im Facility Management

• Infrastructure as a Service (IaaS) stellt virtuelle Rechenleistung, Speicher und Netzwerke bereit. Der Kunde verwaltet Betriebssysteme, Datenbanken und Anwendungen, während der Provider die Hardware, Virtualisierung und das Netzwerk verantwortet. Im FM‑Umfeld eignet sich IaaS für den Betrieb eigener CAFM‑Server oder Analyseplattformen.

• Platform as a Service (PaaS) stellt eine Plattform für die Entwicklung und Integration von Anwendungen bereit. Der Kunde steuert die Applikationen, der Provider sorgt für Middleware, Datenbanken und Betriebssysteme. Für FM‑Organisationen bieten PaaS‑Angebote z. B. Integrationsschichten, mit denen Sensordaten aus der Gebäudeautomation mit CAFM‑Datenbanken zusammengeführt werden können.

• Software as a Service (SaaS) ermöglicht den Zugriff auf fertige Anwendungen über das Internet. Der Provider übernimmt alle Aufgaben von der Infrastruktur bis zur Applikation. Im Facility Management werden SaaS‑Lösungen genutzt, um CAFM‑Funktionen, mobile Wartungs‑Apps oder Berichtssysteme ohne lokale Installation bereitzustellen.

Der Wechsel in die Cloud verlagert technische Aufgaben auf den Dienstleister, entbindet den Betreiber jedoch nicht von seinen gesetzlichen Verpflichtungen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt ein strenges Identity‑ und Rights‑Management mit starker Authentifizierung (z. B. Zwei‑Faktor‑Verfahren), rollenbasierter Rechtevergabe, dem „Need‑to‑know“‑Prinzip und dem Vier‑Augen‑Prinzip für kritische Administratoraufgaben. Der Provider muss Schnittstellen bereitstellen, über die Kunden die Serviceverfügbarkeit überwachen und Störungen melden können. Dazu gehören 24/7‑Incident‑Management, lückenlose Protokollierung und regelmäßige Sicherheitsupdates. Um Vendor‑Lock‑in zu vermeiden, empfiehlt das BSI die vertragliche Absicherung von Datenportabilität und Interoperabilität, beispielsweise durch Standardformate wie OVF (Open Virtualisation Format) oder OCCI (Open Cloud Computing Interface) sowie durch Exit‑Szenarien und die Möglichkeit eigener Sicherheits‑ und Compliance‑Audits.

Datenschutzrechtlich ist Cloud Computing eine Auftragsverarbeitung nach Bundesdatenschutzgesetz (BDSG) und Datenschutz‑Grundverordnung (DSGVO). Der Auftraggeber bleibt verantwortlich für die Rechtmäßigkeit der Datenverarbeitung und muss sicherstellen, dass der Provider geeignete technische und organisatorische Maßnahmen (z. B. Verschlüsselung und Anonymisierung) einsetzt. Nur Anbieter mit anerkannten Zertifizierungen wie dem Trusted‑Cloud‑Siegel sollten ausgewählt werden. Da personenbezogene und gebäude‑spezifische Daten verarbeitet werden, ist ein vertragliches Festlegen von Ort der Datenverarbeitung, Zugriffskontrollen und Auditrechten zwingend.

• CAFM‑Systeme und mobile FM‑Apps werden aus der Cloud als SaaS bereitgestellt. Sie ermöglichen ortsunabhängigen Zugriff auf Flächen‑, Anlagen‑ und Wartungsdaten, erlauben die mobile Störmeldung und vereinfachen die Zusammenarbeit.

• Zentrale Dokumenten‑ und Planverwaltung: Planunterlagen, Wartungsdokumente und Verträge lassen sich zentral speichern und revisionssicher verwalten; autorisierte Personen greifen jederzeit darauf zu.

• Energiemonitoring und Datenanalyse: Sensor‑ und Zählerdaten können in der Cloud gesammelt und mit CAFM‑Daten verknüpft werden, um Energieverbrauch, Emissionen oder Gebäudeeffizienz zu analysieren. Die Integration mit der Gebäudeautomation liefert Echtzeit‑Informationen und ermöglicht Trendanalysen.

• Instandhaltungs‑ und Störmeldemanagement: Durch die Anbindung von Wartungsplänen, Ticketsystemen und mobilen Endgeräten werden Störungen automatisch erfasst und an die zuständigen Servicestellen weitergeleitet. Zustandsbasierte Wartung und Predictive Maintenance können implementiert werden.

Die Einführung cloudbasierter Systeme erfordert die Integration mit bestehenden ERP‑Systemen, Gebäudeautomations‑ und Energiemanagement‑Systemen. Die Verknüpfung technischer Gebäudedaten mit CAFM‑Prozessen schafft „Smart Building“‑Lösungen, die Prozesse automatisieren und Effizienzpotenziale heben. Dazu gehört auch die definierte Zusammenarbeit zwischen IT, Facility Management, Gebäudeautomation und Energiemanagement. Ein klares Rollen‑ und Berechtigungskonzept sowie die sorgfältige Gestaltung der Schnittstellen sind entscheidend.

• Reduzierung der Kapitalbindung: Die Auslagerung von Hard‑ und Software schont das Investitionsbudget (CapEx) und verlagert Kosten in flexible Betriebsgebühren (OpEx). Durch das Mietmodell lassen sich Infrastruktur‑, Wartungs‑ und Updatekosten einsparen und die Liquidität verbessern.

• Skalierbarkeit und Pay‑per‑Use: Cloud‑Dienste lassen sich bedarfsgerecht skalieren, z. B. wenn Nutzer oder Standorte hinzukommen. Der Pay‑per‑Use‑Ansatz ermöglicht eine nutzungsabhängige Abrechnung und macht Kosten transparent.

• Lebenszykluskosten: Über den Lebenszyklus von 10–15 Jahren können SaaS‑Modelle gegenüber Kauf‑Software erhebliche Kostenvorteile bieten. Es entfallen Anschaffungs‑ und Hardware‑kosten; Lizenzmodelle lassen sich an den Unternehmensbedarf anpassen, was vor allem kleineren und mittleren Betrieben zugutekommt.

• Beachtung der Risiken: Der wirtschaftliche Nutzen darf nicht über Abhängigkeiten hinwegtäuschen. Eine starke Bindung an den Anbieter kann zu Kostensteigerungen führen, insbesondere wenn das Datenvolumen wächst oder Sonderleistungen erforderlich sind.

• Flexibilität und ortsunabhängige Nutzung: Cloud‑basierte CAFM‑Lösungen erfordern keine aufwändige Hosting‑Planung. Die Software muss nicht auf einzelnen Endgeräten installiert werden, und sie kann von jedem Ort mit Internetzugang genutzt werden. Dies erleichtert den Rollout über mehrere Standorte.

• Schnelle Anpassung und kontinuierliche Optimierung: Prozesse lassen sich im laufenden Betrieb schrittweise anpassen. Kleine, regelmäßige Prozessanpassungen fördern die Akzeptanz der Nutzer und ermöglichen „Trial‑and‑Error“‑Lernen.

• Automatisierte Updates und Integration: Der Cloud‑Provider sorgt für regelmäßige Sicherheits‑ und Funktionsupdates, wodurch die Software stets aktuell bleibt. Die Integration von Energie‑ und IoT‑Daten erleichtert die Automatisierung von Routineaufgaben.

• Verbesserte Zusammenarbeit und Mobilität: Mitarbeiter können über mobile Geräte auf CAFM‑Daten zugreifen, Störungen melden und Informationen austauschen. Dies erhöht die Effizienz und verbessert die Entscheidungsfindung.

Die Auslagerung sensibler FM‑ und Gebäudedaten in die Cloud birgt besondere Risiken. Um die Integrität und Vertraulichkeit der Daten zu gewährleisten, fordert das BSI starke Authentifizierungsverfahren, rollenbasierte Zugriffskontrollen, das Least‑Privilege‑Prinzip sowie Vier‑Augen‑Prüfungen für kritische Administrationsaufgaben. Ferner muss der Provider kontinuierliche Sicherheitsupdates, Intrusion‑Detection‑Systeme, Backup‑Verfahren und Logging implementieren.

Aus Datenschutzsicht bleibt der Betreiber – trotz Auslagerung – verantwortlich für die Einhaltung der gesetzlichen Anforderungen. Die Verarbeitung personenbezogener Daten gilt als Auftragsverarbeitung nach dem BDSG und der DSGVO. Der Auftraggeber muss sicherstellen, dass der Provider Daten verschlüsselt, anonymisiert und nur im vereinbarten Rechtsraum speichert. Zertifizierungen wie das Trusted‑Cloud‑Siegel liefern einen wichtigen Nachweis.

Cloud‑Lösungen sind von der Internetverbindung und der Leistungsfähigkeit der Provider‑Infrastruktur abhängig. Ausfälle oder Netzstörungen können zentrale FM‑Prozesse beeinträchtigen. Das BSI verlangt deshalb eine 24/7‑Überwachung der Serviceverfügbarkeit und definierte Eskalationsprozesse bei Störungen. Aus vertraglicher Sicht sollten Service‑Level‑Agreements (SLAs) Mindestverfügbarkeiten festlegen, und Exit‑Szenarien sollten geregelt sein, damit Daten ohne übermäßigen Aufwand in andere Systeme migriert werden können. Langfristige Abhängigkeiten und „Vendor‑Lock‑in“ müssen durch standardisierte Schnittstellen und Datenformate vermieden werden.

Die Nutzung von Cloud‑Diensten entbindet nicht von den Betreiberpflichten. Betreiber sind verpflichtet, gesetzliche Vorschriften wie die Betriebssicherheitsverordnung, das Arbeitsschutzgesetz, die Energieeinsparverordnung und brandschutzrechtliche Vorgaben einzuhalten sowie regelmäßige Wartungen und Prüfungen durchzuführen. Werden diese Pflichten verletzt, drohen Haftungsrisiken. Darüber hinaus ist eine lückenlose Dokumentation aller Prüf‑ und Wartungsmaßnahmen erforderlich, um Compliance nachweisen zu können. Beim Wechsel in die Cloud müssen diese organisatorischen Prozesse nahtlos eingebunden werden – beispielsweise durch Schnittstellen zur Übertragung von Prüfprotokollen und durch klare Zuständigkeiten für sicherheitsrelevante Aufgaben.

• Sicherheitsniveau: Sind Verschlüsselung, Mehrfaktor‑Authentifizierung, rollenbasierte Zugriffskontrollen und Audits implementiert? Liegen BSI‑ oder Trusted‑Cloud‑Zertifizierungen vor?

• Vertragsgestaltung und SLAs: Werden klare Service‑Level‑Vereinbarungen zu Verfügbarkeit, Reaktionszeiten und Entstörung getroffen? Ist die Rechtswahl (EU/EWR) festgelegt? Sind Exit‑Strategien und Datenportabilität geregelt?

• Datenstandort: Wo werden die Daten gespeichert? Erfolgt die Verarbeitung ausschließlich im vereinbarten Rechtsraum (z. B. Deutschland/EU) gemäß BDSG/DSGVO?

• Kostentransparenz: Wie gestaltet sich das Lizenzmodell (Subscription, Pay‑per‑Use)? Welche Kosten entstehen bei steigenden Datenvolumina? Sind Investitionen in Anpassungen kalkulierbar?

• Integration und Skalierbarkeit: Ist eine Anbindung an bestehende Systeme (ERP, Gebäudeautomation, Energiemanagement) möglich? Wie flexibel können Nutzer und Funktionalitäten angepasst werden?

Cloud‑Lösungen sollten als strategische Option innerhalb der FM‑IT‑Roadmap bewertet werden. In manchen Fällen kann ein hybrider Ansatz sinnvoll sein (z. B. sensibler Datenbestand on‑premise, Standard‑CAFM in der Cloud).

• Bedarfsanalyse und Strategie: Festlegung der Ziele, der zu migrierenden Daten und Prozesse sowie der Datenschutz‑ und Sicherheitsanforderungen. Die Bewertung sollte klären, ob ein reiner Cloud‑, ein hybrider oder ein Private‑Cloud‑Ansatz sinnvoll ist.

• Anbieterauswahl: Prüfung von Zertifizierungen, Service‑Levels, Datenstandort und Referenzen. Vertragliche Festlegung von Exit‑Szenarien, Auditrechten und Portabilität.

• Datenmigration und Schnittstellen: Planung der Übertragung von Bestandsdaten, Plänen und Wartungsdokumenten. Schnittstellen zu ERP‑ und Gebäudeautomationssystemen müssen integriert werden.

• Schulung und Change‑Management: Mitarbeitende sind in den neuen Prozessen und Tools zu schulen, um Akzeptanz und Datensicherheit zu gewährleisten. Regelmäßige Schulungen zu Cyber‑Security und Betreiberpflichten bleiben notwendig.

• Service‑Level‑Monitoring: Überwachung der vereinbarten Verfügbarkeiten, Reaktionszeiten und Performance. Das BSI fordert kontinuierliche Messung der Servicequalität und ein 24/7‑Incident‑Management.

• Dokumentation und Compliance: Alle Wartungs‑, Prüfungs‑ und Sicherheitsmaßnahmen sowie Änderungen an der Systemkonfiguration sind revisionssicher zu dokumentieren.

• Regelmäßige Audits und Sicherheitsprüfungen: Durchführung interner und externer Audits, um die Einhaltung von Sicherheitsstandards und gesetzlichen Vorgaben zu überprüfen.

• Kontinuierliche Bewertung: Regelmäßige Überprüfung des Kosten‑Nutzen‑Verhältnisses, der Nutzerzufriedenheit und der technologischen Entwicklung, um die Cloud‑Strategie anzupassen.

• Strukturierte Entscheidungsprozesse: Vor der Einführung sollten Strategie, Anforderungen, Risiken und Wirtschaftlichkeit systematisch analysiert werden. Hierzu gehören Bewertungsmatrizen und Machbarkeitsstudien.

• Klare Verantwortungszuordnung: Aufgaben und Pflichten zwischen FM‑Organisation, IT‑Abteilung und Cloud‑Anbieter sind transparent festzulegen, einschließlich Betreiberpflichten, Datenschutz und Sicherheitsaufgaben.

• Vertragliche und organisatorische Absicherung: Service‑Level‑Agreements, Exit‑Strategien, Datenstandort, Auditrechte und Datenschutzmaßnahmen müssen vertraglich vereinbart werden. Interne Prozesse zur Dokumentation, Schulung und Incident‑Management sind aufzubauen.

• Kontinuierliche Überprüfung: Nach der Implementierung sollten Betreiber regelmäßig Sicherheits‑ und Performancetests durchführen und ihre Cloud‑Strategie an neue rechtliche und technologische Entwicklungen anpassen.

Innerhalb des GEFMA‑Regelwerks besitzt die Richtlinie 942 keinen normativen Charakter wie eine DIN‑Norm, sondern dient als praxisorientierte Orientierungshilfe. Sie ergänzt die GEFMA‑Richtlinien zur CAFM‑Zertifizierung und zu Betreiberpflichten, indem sie aufzeigt, wie Cloud Computing als Teil der digitalen Transformation des Facility Managements genutzt werden kann. Durch die Fokussierung auf Entscheidungsprozesse, Sicherheitsanforderungen und organisatorische Implementierung bietet die Richtlinie einen wertvollen Leitfaden für FM‑Organisationen, die ihre IT‑Strategie zukunftssicher und rechtssicher gestalten wollen.