DIN EN ISO 9001:2025-09 - Entwurf: Qualitätsmanagementsysteme - Anforderungen

• Mapping ISO 9001 ↔ FM-Prozesse: Die Anforderungen der Normklauseln 5 und 7–10 werden auf Hard-FM, Soft-FM, Workplace-Services und hochkritische Sonderprozesse abgebildet. Führung (Klausel 5) sichert Governance, klare Rollen und Eskalationen; Ressourcen & Kompetenz (Klausel 7) operationalisieren Qualifikations- und Nachweismanagement; operative Steuerung (Klausel 8) standardisiert End-to-End-Abläufe inkl. externer Dienstleister; Leistungsbewertung (Klausel 9) definiert KPIs, Monitoring und interne Audits; Verbesserung (Klausel 10) verankert Korrektur- und Vorbeugemaßnahmen. Schnittstellen zu ISO 41001 sowie VDI-/GEFMA-Richtlinien sind dokumentiert und berücksichtigt.

• Gap-Assessment: Eine auditierbare Checkliste bewertet den Erfüllungsgrad („Reifegrad“) der ISO-9001-Anforderungen im FM (Einstufung in Foundation/Intermediate/Advanced) und legt erforderliche High-Criticality-Kontrollen fest (z. B. Freigabe-/Sperrlogik für Anlagen, 4-Augen-Prinzip, Kalibrier- und Prüfpflichten, HSE-Eskalationswege).

• Kompetenzrahmen & Trainingsmatrix: Alle relevanten FM-Rollen (z. B. TGA-Manager, Instandhalter, Hygienefachkraft, Reinraumtechniker, Sicherheitsbeauftragter, CAFM-Administrator, Objektleiter, Service-Desk-Mitarbeiter) werden mit den gesetzlich/normativ geforderten Qualifikationen, Skills, Nachweisen und Re-Qualifizierungsintervallen hinterlegt. Onboarding-Prozesse, regelmäßige Schulungen (Toolbox Talks) und Wirksamkeitskontrollen der Trainings sind standardisiert dokumentiert.

• KPI-Bibliothek: Es wurde eine umfassende Sammlung service-spezifischer Kennzahlen (KPIs) erstellt – jeweils mit klarer Definition, Berechnungsformel, Datenquelle, Messintervall und Zielwert (best practice DACH). Diese KPIs differenzieren zwischen Output (Prozessleistung) und Outcome (Wirkung beim Nutzer/System) und enthalten definierte Eskalationsregeln bei Zielverfehlung.

• SOPs/Verfahrensanweisungen: Standardisierte, auditfeste Standard Operating Procedures (SOPs) wurden für zentrale FM-Prozesse entwickelt, z. B. präventive und korrektive Instandhaltung (inkl. gesetzlicher Prüfungen), hygienegerechte Reinigung, Incident-Management sowie Dokumentenlenkung. Jede SOP enthält definierte Inputs/Outputs, einen RACI-Verantwortlichkeitsmatrix, identifizierte Risiken mit Kontrollen und Verknüpfungen zu relevanten KPIs.

• Governance & RACI: Es wurden klare Verantwortlichkeits- und Eskalationsstrukturen etabliert zwischen Eigentümer/Betreiber, internen FM-Einheiten, HSE/Compliance-Abteilung und externen Dienstleistern. Dabei wird auf die Pflichten des Betreibers (Betreiberverantwortung gemäß z. B. GEFMA 190) und die Einbindung Prüfdienstleister besonders Bezug genommen.

• Digitalisierung/Integration: Es wurden Anforderungen an das Datenmodell, Workflows und Berechtigungskonzepte im CAFM-System (CAFM) definiert: z. B. digitale Nachweisführung für Prüfzyklen, Kalibrierungen, Schulungszertifikate; Schnittstellen zu BIM, CMMS, Energiemanagement, IoT-Sensorik; sowie ein Dashboard-Design für KPI-/SLA-Monitoring.

• Risikobasierte Planung und Priorisierung: Anlagen und Services werden FMEA-gestützt nach Kritikalität bewertet und entsprechend priorisiert geplant (z. B. höhere Frequenz präventiver Wartungen für kritische Anlagen).

• Strikte Freigabeprozesse und Qualifikationsnachweise: Kritische Tätigkeiten erfordern zwingend Nachweis entsprechender Befähigungen; 4-Augen-Freigaben sind bei sicherheitsrelevanten Vorgängen Pflicht.

• Rückverfolgbarkeit aller qualitätsrelevanten Vorgänge: Alle Schritte – von Wartung bis Reinigung – werden mit Audit-Trail und elektronischen Signaturen dokumentiert, um lückenlose Traceability zu gewährleisten.

• Validierte Reinigungs- und Hygienekonzepte: Es gelten strenge Zonenmodelle und Farbkodierungen, Nachweise der Wirksamkeit (z. B. Abklatschproben, Partikelmessungen) werden regelmäßig erbracht und überprüft.

• Erhöhte Mess- und Prüfregime: Insbesondere in High-Criticality-Umgebungen werden unabhängige Stichproben und vertiefende Root-Cause-Analysen bei Abweichungen durchgeführt, um Ursachen nachhaltig abzustellen.

• 0–90 Tage: Governance-Struktur festlegen (Qualitätspolitik verabschieden, Rollen & RACI-Matrix mit Eskalationskaskaden benennen); kritische Anlagen und Prozesse erfassen (Inventar mit Kritikalität); Minimal-SOPs für High-Criticality-Prozesse ausrollen (z. B. Basisanweisungen für Reinraum, Trinkwasserhygiene, Brandschutz); Start-Set an KPIs definieren; CAFM-Stammdaten bereinigen (Asset-Register, Prüfplantermine, Qualifikationsnachweise).

• 90–180 Tage: Vollständiges ISO 9001 ↔ FM-Prozess-Mapping implementieren; Gap-Assessment (Soll-Ist-Abgleich) durchführen und Maßnahmenplan umsetzen; Trainingsmatrix mit Pflichtqualifikationen für alle Rollen operativ machen; KPI-Dashboards in Betrieb nehmen (live); interne Audits pilotieren (risikobasiert, inkl. Lieferantenaudits).

• 180–360 Tage: Advanced-Reifegrad erreichen: Ein geschlossener PDCA-Zyklus ist etabliert (Abweichungen führen systematisch zu CAPA-Maßnahmen mit Wirksamkeitskontrolle); systematische Ursachenanalyse und Knowledge Management (Lessons Learned) sind verankert; Lieferantenentwicklung (regelmäßige Performance-Reviews, Qualifizierung) wird betrieben; Benchmarking (Standortvergleiche) wird genutzt; digitale Integrationen (BIM, IoT, Energiemanagement) und erweiterte Compliance-Analytics (z. B. Trendanalysen, Frühwarnindikatoren) sind umgesetzt.

Das implementierte QMS erhöht Compliance-Sicherheit, Betriebssicherheit und Servicequalität, senkt Risiken und Lebenszykluskosten, stärkt die Steuerungsfähigkeit in hybriden Betriebsmodellen und schafft eine transparente, digitale Nachweisführung – insbesondere dort, wo Ausfälle und Fehler nicht tolerierbar sind (z. B. Krankenhausbetrieb, Reinraumproduktion, Kritische Infrastrukturen).

• Kontextaufnahme und Scoping des bestehenden FM-Setups (hybrides Modell aus internen und externen Leistungen, Serviceportfolio, Risikoprofil mit High-Criticality-Schwerpunkten).

• Normen- und Rechtsabgleich: Analyse der relevanten ISO-Normen (insb. ISO 9001) und DACH-Gesetzgebung (Betreiberpflichten, Arbeitsschutz, Betriebssicherheit etc.), Ableitung prüfbarer Kriterien daraus.

• Prozess- und Schnittstellenanalyse (Level 1–3 Prozesslandschaft) nach SIPOC-Logik, inkl. Identifikation von Integrationspunkten im CAFM-System (CAFM).

• Entwicklung der Deliverables A–H in iterativen Expertensprints: Mapping ISO 9001 auf FM-Prozesse (A), Gap-Assessment-Checkliste (B), Kompetenzrahmen & Trainingsmatrix (C), KPI-Bibliothek (D), Muster-SOPs (E), Auditfragenkatalog (F), RACI-Matrizen (G) und Prozessmodelle (H).

• Pilotierung und Validierung an ausgewählten High-Criticality-Anwendungsfällen (z. B. Reinraumwartung, Trinkwasserhygiene, brandschutzrelevante Anlage) zur Überprüfung der Praxistauglichkeit.

• Synthese der Ergebnisse zu priorisierten Empfehlungen und einer Roadmap (siehe oben).

• Clause-to-Process-Mapping: Für jedes Normkapitel (Klauseln 5 und 7–10 der ISO 9001:2015) wurde die konkrete Umsetzung in den Hard-FM-, Soft-FM-, Workplace- und Spezialprozessen dokumentiert. Dabei erfolgte eine Verknüpfung mit den Prozessen nach ISO 41001 und einschlägigen VDI-/GEFMA-Richtlinien, um sicherzustellen, dass Normanforderungen im FM-Kontext erfüllt werden.

• Risikogewichtung: Die Kritikalität von Anlagen/Services wurde nach FMEA-Logik bewertet (Schweregrad, Auftretenswahrscheinlichkeit, Entdeckbarkeit). High-Criticality-Kontrollen (für höchstkritische Bereiche) erhielten dabei einen Gewichtungsfaktor > 1,0, um in der Bewertung stärker zu gewichten.

• Evidenzgrade: Für die Erfüllung der Kriterien wurden Evidenzstufen vergeben – E0 (Absicht, z. B. Policy vorhanden), E1 (Dokumentation/SOP vorhanden), E2 (Nachweis der Umsetzung im System, z. B. CAFM-Eintrag) und E3 (Wirksamkeitsnachweis, z. B. positive KPI-Trends oder RCA-Berichte). Reifegrade (z. B. Intermediate, Advanced) werden nur vergeben, wenn mindestens E2/E3-Evidenzen vorliegen (d. h. nicht nur Dokumente, sondern gelebte Praxis und nachgewiesene Wirksamkeit).

• Scoring: Jedes Prüfkriterium wurde auf einer Skala von 0–5 bewertet (0 = nicht vorhanden, 5 = systemisch wirksam umgesetzt). Bereichsscores (z. B. für Hard FM, Soft FM) wurden entsprechend der Risikogewichtung aggregiert. Visualisierungen in Form von Heatmaps zeigen Schwachstellen auf einen Blick.

• Gating-Regeln: Für das Erreichen des höchsten Reifegrades (Advanced) wurden zwingende „Gatekeeper“-Voraussetzungen definiert, z. B. geschlossene PDCA-Schleifen (Plan-Do-Check-Act) für alle Kernprozesse, unabhängige Audits, beherrschte Schnittstellen zu Lieferanten und digitale Nachweisführung (Audit-Trail/E-Signatur) in allen High-Criticality-Bereichen.

Einordnung und Zielsetzung: Ein ISO‑9001-basiertes QMS im Facility Management entfaltet seine volle Wirksamkeit nur im Zusammenspiel mit fachspezifischen Normen, arbeitsschutz- und anlagensicherheitsrechtlichen Vorgaben sowie umwelt- und brandschutzrechtlichen Anforderungen. Im Folgenden werden die Kernelemente der DIN EN ISO 9001:2015 (insb. Klauseln 4–10) in den FM-Kontext eingeordnet, Anschlussstellen zu ISO 41001/41011, ISO 45001 und ISO 14001 aufgezeigt, die maßgeblichen DACH-Vorschriften zusammengefasst und relevante EU-Richtlinien benannt. Besonderes Augenmerk gilt den Anforderungen an Nachweise und die Auditfähigkeit in High-Criticality-Umgebungen.

• Klausel 4 – Kontext der Organisation: Im FM bedeutet dies eine umfassende Stakeholder- und Kontextanalyse (Eigentümer/Betreiber, Nutzer, Behörden, ZÜS, Dienstleister). Der Geltungsbereich des QMS ist klar für Hard FM, Soft FM, Workplace, Energie, Abfall und Compliance-Services festzulegen. Zudem fordert Klausel 4.4 die Prozessorientierung – umgesetzt durch eine Prozesslandkarte (L1–L3), SIPOC-Analysen und Integrationspunkte zum CAFM (CAFM) für jeden Prozess.

• Klausel 5 – Führung: Die oberste Leitung definiert ein Qualitätsleitbild (Policy) und Ziele für Sicherheit, Verfügbarkeit und Compliance im FM. Klausel 5.3 verlangt Rollen- und Verantwortlichkeitsklarheit – im FM wurden Betreiberpflichten, RACI-Matrizen und Eskalationsmechanismen etabliert. Besonderes Augenmerk: Führungsverantwortung für kritische Kontrollen (High-Criticality-Gatekeeper).

• Klausel 6 – Planung: Risiken und Chancen (6.1) werden im FM risikobasiert ermittelt, z. B. mittels FMEA. High-Criticality-Bereiche werden als verstärkt kontrollbedürftig geplant. Qualitätsziele (6.2) wurden mit KPI-Zielwerten untersetzt (z. B. Service-Level, Compliance-Quoten). Management of Change (6.3) ist für Änderungen an Anlagen/Prozessen (z. B. Anpassung Lüftungsparameter, neues Reinigungsverfahren) mit Risikoanalyse und Wirkungskontrolle eingerichtet.

• Klausel 7 – Unterstützung: Erforderliche Ressourcen und Infrastruktur (7.1) sind z. B. für alle prüfpflichtigen Anlagen und notwendigen Werkzeuge geplant; Ersatzteilhaltung, Wartungsverträge und Notfallpläne sind dokumentiert. Überwachungs- und Messressourcen (7.1.5): Kalibrier- und Rückführbarkeitsnachweise für Messmittel sind implementiert, abgelaufene Kalibrierungen führen systemseitig zur Sperrung des Messmittels. Kompetenz (7.2) und Bewusstsein (7.3): Rollenbasierte Qualifikationsanforderungen (z. B. TRBS 1203 „Befähigte Person“, VDI 6022/6023 Hygieneinspektor, Reinraumschulung nach ISO 14644/VDI 2083, DGUV Vorschrift 3 Elektrofachkraft) wurden definiert, inklusive Intervalle für Re-Qualifizierungen. Wirksamkeitskontrollen (Praxisbeobachtung, Wissenstest) stellen sicher, dass Trainings greifen. Kommunikation (7.4): Kommunikationswege mit Nutzern, Behörden und Dienstleistern sind festgelegt; insbesondere Meldewege für HSE-/Compliance-Vorfälle. Dokumentierte Information (7.5): Ein systematisches Dokumentenlenkungs-Verfahren wurde etabliert (kontrollierte Erstellung, Freigabe mit E-Signatur, Versionierung, Archivierung). Alle relevanten Unterlagen (SOPs, Pläne, Prüfprotokolle, Schulungsnachweise) sind im CAFM hinterlegt; der Audit-Trail dokumentiert Änderungen.

• Klausel 8 – Betrieb: Operative Planung und Steuerung (8.1): Im Hard FM existieren Jahres- und Mehrjahrespläne für Wartung/Prüfung (präventiv und gesetzlich), mit Kritikalitäts- und Zustandsorientierung. Sperr- und Freigaberegeln für Anlagen bei Mängeln sind definiert. Im Soft FM gibt es Reinigungs- und Desinfektionspläne nach farbkodierten Zonen, Frequenzen und AQL-basierten Qualitätsprüfungen. Für Workplace-Services sind Service-Kataloge, Umzugsprozesse und Flächenmanagement definiert. Nachweise: Jahrespläne, Arbeitsaufträge, Checklisten, Alarm- und Störfallberichte werden im CAFM geführt. Anforderungen an Dienstleistungen (8.2): Es existiert ein definierter Leistungskatalog mit Service-Level-Agreements (SLAs/OLAs) und Compliance-Mindeststandards (z. B. Reinigung nach VDI, Sicherheitsdienste nach DIN 77200). Entwicklung von Dienstleistungen (8.3): Falls relevant (z. B. Inbetriebnahme neuer Anlagen oder Services) wird ein Service-Design/Transition-Prozess angewandt, um Risiken und Schulungsbedarfe früh zu erkennen. Steuerung externer Bereitstellung (8.4): Für alle Fremddienstleister erfolgen Qualifizierung (Eignungsprüfung, Zertifikate, Referenzen), Onboarding-Schulungen, regelmäßige Audits und Leistungsbewertungen. Bei High-Criticality-Leistungen gelten strengere Kriterien (z. B. nur qualifizierte Anbieter, erhöhte Auditfrequenzen, Freigaben vor Einsatz). Erbringung der Dienstleistung (8.5): Die Ausführung erfolgt nach standardisierten Workflows, mit lückenloser Identifikation/Traceability (Anlagen-ID, Raum-ID auf jedem Auftrag) und Schutz des Eigentums (z. B. Behandlung von Patienteneigentum, Labormaterial). Änderungen an Anlagenparametern unterliegen einem Change Control. Freigabe (8.6) und Steuerung nichtkonformer Ergebnisse (8.7): Technische Freigaben werden dokumentiert (bei High-Criticality stets Vier-Augen-Prinzip). Abweichungen führen zu definierten Sperr- und Wiederinbetriebnahmeprozessen. Sofortmaßnahmen, Ursachenanalysen (RCA) und CAPA werden angestoßen. Behördliche Meldungen bei meldepflichtigen Ereignissen (z. B. Unfälle, Legionellenbefund) sind geregelt.

• Klausel 9 – Leistungsbewertung: Monitoring & Messung (9.1): Ein KPI-System überwacht die FM-Leistung. Hard FM-KPIs umfassen z. B. Prüf- & Wartungsterminquote, MTTR/MTBF, Backlog, Anlagenverfügbarkeit; in High-Criticality gilt 0-Toleranz für kritische Fehler. Soft FM-KPIs messen Reinigungsqualität (AQL-Ergebnisse, Hygienetests), Reklamationsquote, Hygiene-Compliance. Workplace-KPIs umfassen SLA-Erfüllung im Service-Desk, Umzugs-Termintreue, Nutzerzufriedenheit (CSAT). Energie/Abfall-KPIs umfassen kWh/m², Lastspitzen, CO₂-Intensität, Recyclingquote, Entsorgungs-Compliance. Alle KPIs sind mit Definition, Formel, Quelle, Intervall und Zielwert dokumentiert, Dashboards visualisieren Trends, und es gibt Eskalationsregeln bei Zielverfehlung. Interne Audits (9.2): Ein risikobasierter Auditplan deckt Prozesse und Compliance ab; High-Criticality-Bereiche werden mit erhöhter Stichprobenquote geprüft. Auch Lieferantenaudits sind integriert. Nachweise: Auditpläne, Checklisten, Auditberichte, Abweichungslisten und Maßnahmenverfolgung werden geführt. Managementbewertung (9.3): In regelmäßigen Management-Reviews bewertet die Leitung die Zielerreichung, Risiken/Chancen, Ressourcen, die Wirksamkeit von Kontrollen, Lieferantenleistungen und Änderungen im Rechtsrahmen. Ergebnisse und beschlossene Maßnahmen werden protokolliert und nachverfolgt.

• Klausel 10 – Verbesserung: Nichtkonformität und Korrekturmaßnahmen: Ein systematisches Abweichungsmanagement (inkl. 5-Why und Ishikawa-Analysen) stellt sicher, dass für jedes Problem eine Root Cause Analysis (RCA) erfolgt und Corrective/Preventive Actions (CAPA) ergriffen werden. Wirksamkeitsprüfungen stellen sicher, dass Maßnahmen greifen. In High-Criticality-Fällen werden erweiterte Analysen gefahren (z. B. Cross-Audits, zusätzliche Probenahmen). Kontinuierliche Verbesserung (KVP): Trends (z. B. wiederkehrende Störungen), Möglichkeiten zu Predictive Maintenance (vorausschauende Instandhaltung mittels Zustands-/IoT-Daten), Lieferantenentwicklungsprogramme, weitere Standardisierung und Automatisierung fließen in den KVP ein. Alle Verbesserungen werden mit CAPA-Registern, RCA-Dokumenten, KVP-Backlogs und Wirksamkeitsnachweisen dokumentiert.

Die genannten Normen werden komplementär eingesetzt. ISO 9001 liefert den generischen PDCA-Rahmen; ISO 41001 fokussiert auf FM-spezifische Managementaspekte (z. B. Lebenszyklus von Assets, Stakeholdermanagement im FM); ISO 45001 bringt Arbeitsschutz-Aspekte ein (Gefährdungsbeurteilung, Notfallvorsorge, Mitarbeiterbeteiligung) mit Anschluss an ArbSchG, BetrSichV (z. B. Permit-to-Work, Lockout/Tagout, Unterweisungen); ISO 14001 ergänzt Umweltmanagement (Umweltaspekte wie Energie, Abfall, Emissionen, Notfallpläne z. B. bei Leckagen). Integriert genutzt, vermeiden diese Normen Doppelarbeit – es gibt z. B. gemeinsame Kernprozesse für Dokumentenlenkung, Audits, CAPA und Kompetenzmanagement, die alle Normenanforderungen gleichzeitig erfüllen.

• Rechtskataster und Pflichtenmatrix: Es wurde ein Rechtskataster erstellt, das alle anwendbaren Normen und Gesetze erfasst (ISO 9001:2015 fordert dies unter 4.2 und 6.1). Jedem relevanten Rechtsakt/Normabschnitt sind im FM-Prozessmodell Verantwortlichkeiten (Rollen), Prüfpunkte und Aktualisierungsmechanismen zugeordnet. Ein Monitoring-Prozess stellt sicher, dass Änderungen im Rechtsrahmen identifiziert (Change-Log), bewertet und in aktualisierte SOPs oder Schulungen überführt werden.

• Dokumentierte Information (ISO 9001: 7.5): Das QMS umfasst gelenkte SOPs/Verfahrensanweisungen, Arbeits- und Prüfpläne, Freigabe- und Eskalationskonzepte. Es gelten verbindliche Regeln zur Dokumentenlenkung: Jede Information hat einen Verantwortlichen (Doc Owner), wird vor Freigabe fachlich und compliance-seitig geprüft, erhält eine Versionsnummer und ein Gültigkeitsdatum. Zugriff ist rollenbasiert gesteuert; veraltete Versionen werden archiviert. Aufbewahrungsfristen richten sich nach Rechtsvorgaben (Rechtskataster).

• Kompetenz- und Schulungsnachweise (ISO 9001: 7.2; TRBS 1203; VDI 6022/6023): Für jede Rolle im FM gibt es ein Rollenprofil mit definierten Pflichtqualifikationen (z. B. Schulungszertifikate nach TRBS/VDI), erforderlichen Skills und Wiederholungszyklen. Zertifikate und Befähigungsnachweise (z. B. Elektrofachkraft, Hygieneinspektor) werden im System hinterlegt. Die Einsatzfreigabe für kritische Aufgaben ist an gültige Qualifikationen gekoppelt (System-Gate im CAFM – kein Arbeitsauftrag wird freigegeben, wenn dem Ausführenden der Nachweis fehlt). Onboarding-Trainings, jährliche Unterweisungen und Wirksamkeitskontrollen (Praxischecks) sind dokumentiert.

• Prüf- und Kalibriernachweise (ISO 9001: 7.1.5; BetrSichV; DGUV V3; TRBS 1201): Alle Prüfberichte, Kalibrierscheine und behördlichen Abnahmen werden gesammelt. Sie enthalten Rückführbarkeitsangaben (welches Referenznormal), Fristen für nächste Prüfung und eventuelle Mängel mit Frist zur Behebung. Ein Mängel- und Fristenmanagement stellt sicher, dass keine Prüfung überfällig wird. Anlagen ohne gültige Prüfung werden gesperrt und erst nach erfolgreicher Nachprüfung wieder freigegeben (Freigabevermerk im System, 4-Augen-Prinzip).

• Betriebs- und Hygieneaufzeichnungen (VDI 6022/6023; VDI 2083; Trinkwasser): Es werden Inspektions-, Reinigungs- und Laborprotokolle geführt (z. B. Reinraum-Klassifizierungsberichte, Trinkwasser-Laborbefunde). Wirksamkeitsnachweise (z. B. Keimzahlen vor/nach Desinfektion) werden dokumentiert. Abweichungen (z. B. Grenzwertüberschreitungen) lösen CAPA-Maßnahmen aus, die ebenfalls nachverfolgt werden.

• Brandschutz- und Sicherheitsdokumentation (PrüfVO; VDI 3819): Alle Prüfberichte und Betriebsbücher zu Brandschutzanlagen (BMA, Sprinkler, RWA etc.) werden aktuell gehalten. Ergebnisse von Räumungsübungen, Wartungen und Sachverständigenprüfungen sind abgelegt. Mängelbeseitigungen werden dokumentiert, bis zur Wiederannahme des ordnungsgemäßen Betriebs.

• Lieferanten- und Dienstleistersteuerung (ISO 9001: 8.4): Von jedem relevanten Dienstleister liegen Eignungsnachweise (Zertifikate wie ISO 9001, Qualifikationsprofile), Verträge mit SLA und Auditberichte vor. Performance wird mittels KPIs und Scorecards überwacht, Eskalationen (z. B. Gespräch, Abmahnung, Vertragsstrafe) und Maßnahmen zur Lieferantenentwicklung (z. B. Schulungen) werden dokumentiert.

• Leistungs- und Wirksamkeitsnachweise (ISO 9001: 9): Das QMS führt KPI-Dashboards, Trendanalysen, interne Auditberichte, Managementreview-Protokolle und Benchmarking-Ergebnisse als Nachweise an. So ist die Wirksamkeit der Prozesse belegbar (z. B. kontinuierliche Verbesserung erkennbar an sinkenden Störungsraten).

• Abfall- und Umweltberichte (ISO 14001; AbfallRRL 2008/98/EG): Für Abfall und Gefahrstoffe liegen Entsorgungsnachweise, Wiegescheine, Gefahrstoffverzeichnisse und Berichte zu Leckagen/Ereignissen vor. Diese belegen die Einhaltung umweltrechtlicher Pflichten (z. B. lückenlose Nachweisführung gefährlicher Abfälle).

• Digitale Integrität und Datenschutz: Das CAFM-System gewährleistet einen Audit-Trail (jede Änderung mit Zeitstempel und Benutzer-Identifikation), es kommen E-Signaturen gemäß eIDAS zum Einsatz (z. B. Freigaben unterschreiben), und ein Rechte- und Rollenkonzept stellt sicher, dass nur Berechtigte Zugriff auf Daten haben. Personenbezogene Daten (z. B. Zutritts- oder CCTV-Logs) werden DSGVO-konform verarbeitet (Zweckbindung, Speicherbegrenzung).

Alle Nachweise werden primär digital im CAFM/IWMS geführt. Ein eindeutiges Datenmodell stellt sicher, dass alle Objekte (Assets, Prüfstellen, Qualifikationen usw.) mit IDs referenziert sind. Schnittstellen zu IoT/BIM/CMMS ermöglichen automatischen Datenfluss (z. B. Messwerte, Alarmmeldungen). Datenqualitätsregeln (Pflichtfelder, Wertebereiche) und Master-Data-Management-Prozesse (Änderungs-Workflows, Dublettenprüfung) sichern eine hohe Datenqualität, die für die Auditfähigkeit unerlässlich ist.

• Qualifikation und Freigabe: Tätigkeiten in Reinräumen oder sterilen Zonen dürfen nur von nachweislich qualifiziertem Personal durchgeführt werden. Für kritische Freigaben (z. B. Wiederinbetriebnahme einer sicherheitsrelevanten Anlage nach Wartung) gilt konsequent das 4-Augen-Prinzip.

• Rückverfolgbarkeit: Alle kritischen Arbeitsschritte, verwendeten Verbrauchsmittel und Messergebnisse müssen lückenlos rückverfolgbar sein. Sperr- und Freigabeprotokolle werden mit Zeitstempel und E-Signatur geführt, um Verantwortlichkeiten zu dokumentieren.

• Validierung und Verifizierung: Reinigungs- und Desinfektionsverfahren in High-Criticality-Bereichen sind validiert und werden regelmäßig re-qualifiziert (z. B. jährliche Reinraum-Reklassifizierung, Hygieneinspektionen nach VDI 6022). Auch Prüfprozesse werden verifiziert (z. B. Messgeräte-Kalibrierungen durch Ringversuche).

• Eskalation und Meldepflicht: Für schwerwiegende Vorfälle existieren definierte HSE-Eskalationswege. Gesetzliche Meldepflichten (z. B. an Gesundheitsamt bei Legionellenbefund, an Unfallversicherung bei schweren Unfällen) sind bekannt und werden eingehalten. Die Organisation übt regelmäßig die Kommunikation solcher Vorfälle (Notfallübungen).

• Unabhängige Prüfungen: Zusätzlich zu internen Audits werden in kritischen Bereichen erhöhte Stichprobenumfänge gefahren. Cross-Audits (Bereich A prüft Bereich B), zweite Partei Audits bei Dienstleistern und Inspektionen durch ZÜS/Sachverständige ohne Interessenkonflikt ergänzen die Überwachung, um Betriebsblindheit vorzubeugen.

• Betreiberpflichten: Die rechtliche Verantwortung verbleibt stets beim Betreiber/Eigentümer der Immobilie – auch wenn Leistungen ausgelagert werden. Eine Übertragung von Betreiberpflichten an Dienstleister muss vertraglich eindeutig geregelt sein (inkl. Pflichtenübernahme, Dokumentationsauflagen), entbindet den Betreiber aber nicht von der Überwachungspflicht (vgl. GEFMA 190). Der Betreiber muss also durch geeignetes Kontrollsystem sicherstellen, dass der Dienstleister seinen Pflichten nachkommt.

• Weisungs- und Kontrollsystem: Es wurde ein RACI-Modell (Responsible, Accountable, Consulted, Informed) implementiert, um Verantwortlichkeiten klar zuzuordnen. Kontrollhandlungen (z. B. regelmäßige Anlagenbegehungen, Dokumentenprüfungen) und Eskalationskaskaden (operatives Incident → Leitung → Geschäftsführung) wurden definiert. Das Management führt regelmäßig Review-Meetings, um die Wirksamkeit des Compliance-Systems zu überwachen (Managementbewertung mit Kennzahlen zu Prüfstatus, Schulungsstand, Zwischenfällen etc.).

• Lieferkette: Es gelten Sorgfaltspflichten bei Beschaffung: Nur konforme Produkte (CE-Kennzeichnung, Leistungserklärungen) und Dienstleistungen werden beauftragt. Lieferanten müssen bestimmte Nachweise erbringen (z. B. REACH/RoHS-Konformitätserklärung für Materialien). Subunternehmer müssen vom Hauptdienstleister auf gleiches Niveau verpflichtet werden. Der Betreiber hat das Recht auf Einsicht in Nachweise und Durchführung von Audits entlang der Lieferkette.

• Haftungsprävention: Um Haftungsrisiken vorzubeugen, ist eine nachweisbare Organisation etabliert: Alle erforderlichen Maßnahmen sind getroffen, was geeignet, erforderlich und zumutbar ist. Kontrollen (z. B. Prüfungen, Unterweisungen) werden gelebt und dokumentiert. Entscheidungen sind nachvollziehbar protokolliert (z. B. warum eine Anlage außer Betrieb genommen wurde). Ein umfassendes Schulungs- und Unterweisungsprogramm sorgt dafür, dass Mitarbeiter ihre Pflichten kennen. So kann das Unternehmen im Ernstfall belegen, alles ihm Mögliche zur Gefahrenabwehr getan zu haben (Entlastungsbeweis im Haftungsfall).

• Integriertes Managementsystem: Das QMS ist als integriertes System mit gemeinsamen Kernprozessen für Qualität, FM, Arbeitsschutz und Umwelt angelegt (gemeinsame Module für Dokumentenlenkung, Audit, CAPA, Kompetenzmanagement, Rechtskataster). So werden Synergien genutzt und Doppelarbeit vermieden.

• Prozess- und Datenmodell: Jeder Norm- oder Rechtsanforderung ist im System ein entsprechendes FM-Prozesselement, eine Rolle, ein Prüfschritt und ein Datenfeld zugeordnet. Pflichtfelder in Formularen (z. B. Freigabe erst möglich, wenn Qualifikationsnachweis-Feld befüllt) erzwingen Compliance. Das Datenmodell bildet Normanforderungen eins zu eins ab (z. B. Feld „nächste Prüfung fällig am“ für jede Anlage gemäß BetrSichV).

• Auditfähigkeit: Es wurde eine risikoorientierte Stichprobenlogik implementiert (High-Criticality-Prozesse werden in Audits mit höherer Intensität geprüft). Es gibt definierte Evidenzstufen von der Policy bis zum Wirksamkeitsnachweis – Audits fragen auf allen Ebenen nach Belegen (Dokumente → Systemeinträge → KPI-Verbesserung). Das QMS-Team bereitet sich systematisch auf ZÜS-/Behördenaudits und die externe Zertifizierung vor (Audittrail verfügbar, geforderte Dokumente schnell abrufbar).

• Kontinuierliche Rechtsbeobachtung: Ein Änderungslog erfasst alle Änderungen relevanter Rechtsnormen. Ein definierter Aktualisierungsworkflow stellt sicher, dass bei Rechtsänderungen alle betroffenen Dokumente und Prozesse überprüft und angepasst werden. Betroffene Rollen (z. B. Verantwortliche für Prüfungen) werden informiert. Somit ist das QMS immer up-to-date mit geltendem Recht.

• High-Criticality-Controls: Es wurden einige Muss-Kriterien als Gatekeeper im System hinterlegt: Z. B. wird kein Arbeitsauftrag für eine kritische Anlage freigegeben, wenn kein aktueller Qualifikationsnachweis des Ausführenden oder keine gültige Kalibrierung der Messgeräte vorliegt. Ebenso sind Meldewege bei Abweichungen verbindlich vorgeschrieben (z. B. HSE muss ab bestimmter Abweichung informiert werden).

Mit diesem Rahmen lassen sich FM-Prozesse rechtssicher, auditfest und performanceorientiert gestalten. Die Verknüpfung von ISO-9001-Anforderungen mit FM-spezifischen Normen, DACH-Recht und EU-Vorgaben bildet die Grundlage für eine robuste, digitale und risikoadaptive Steuerung – insbesondere dort, wo Ausfälle und Qualitätsmängel nicht tolerierbar sind.

Ziel und Struktur des Mappings: Dieses Deliverable ordnet die Anforderungen der DIN EN ISO 9001:2015 (Klauseln 5 sowie 7–10) den FM-Prozessen zu und beschreibt, wie Führung, Organisation, Rollen/Verantwortlichkeiten, die Einbindung externer Dienstleister, dokumentierte Informationen und Nachweise praxiswirksam implementiert werden. Es orientiert sich an einer FM-Prozessarchitektur nach ISO 41001 (Level 1–3) und bezieht VDI-/GEFMA-Leitlinien als Stand-der-Technik ein. Im Fokus stehen Hard FM, Soft FM, Workplace-Services sowie Sonderprozesse mit High-Criticality (Reinräume, Trinkwasserhygiene, Brandschutz, medizinische Gase).

• Governance & Support: Führung/Strategie, Rechtskataster, Dokumentenlenkung, Kompetenz-/Befähigungsmanagement, Lieferantenmanagement, IT/CAFM, HSE/Compliance, Risiko-/Chancenmanagement.

• Operative Serviceerbringung: Hard FM (Instandhaltung, Prüfungen, Kalibrierung), Soft FM (Reinigung, Sicherheit, Catering), Workplace (Service Desk, Flächenmanagement, Umzüge), Energie/Medien, Abfall/Gefahrstoffe, Incident-/Notfallmanagement.

• Leistungssteuerung & Verbesserung: KPI-Monitoring, interne Audits, Managementreview, CAPA (Corrective Action/Preventive Action), Lessons Learned, Benchmarking.

• Asset-Management (Anlagenregister, Kritikalitätsbewertungen, Lebenszyklus-Steuerung), Präventive und korrektive Instandhaltung, gesetzliche Prüfungen, Reinraum- und Hygieneprozesse, Trinkwasserhygiene, Brandschutzbetriebsführung, Service-Desk & Disposition, Reinigungs- und Qualitätsprüfpläne, Lieferantenqualifizierung/-entwicklung, Schulungs-/Qualifikationsmanagement, Dokumentenlenkung, Abweichungs- und Eskalationsmanagement.

• Störungsbearbeitung: Meldung → Priorisierung → Disposition → Ausführung → Qualitätssicherung → Ursachenanalyse → Lessons Learned (im CAFM-Workflow abgebildet).

• Sperr-/Freigabe kritischer Anlagen: Verfahren, um Anlagen bei Mängeln zu sperren und nach erfolgreicher Prüfung wieder freizugeben (mit Systemstempel).

• Kalibrier- und Prüfprozess: Ablauf von der Prüffrist-Erinnerung über die Durchführung bis zum Prüfprotokoll-Upload und CAPA bei Mängeln.

• Zonenreinigung Reinraum: Festgelegte Reihenfolge und Technik pro Reinraumzone, inkl. Verbrauchs- und Wirksamkeitsnachweisen (Protokolle).

• Trinkwasser-Probenahme: Planbasierter Workflow von Probenziehung über Laborbefund bis Maßnahmendokumentation.

• Prüfung Brandmelde-/Alarmanlagen: End-to-End-Lauf vom Prüfplan, Inspektion, Mängelliste bis Mängelverfolgung.

• Umzugskoordination (MAC): Ablauf von Umzugsantrag über Planung (inkl. IT/HSSE-Check) bis Durchführung und Datenaktualisierung.

• Abfallnachweisführung: Prozess vom Erfassen gefährlicher Abfälle, Übergabe an Entsorger (Begleitschein) bis zur Bestätigung und Archivierung im System.

Bestehen zu HSE (Arbeitsschutz & Umwelt), Einkauf (Beschaffung, Verträge), IT/OT (Integration FM-System mit ITSM, BMS etc.), ZÜS/Sachverständigen (Behördenkontakt), Behörden (Meldungen). Digitale Integrationspunkte: Asset-Register verknüpft mit Wartungs- und Prüfplänen, Kompetenzmatrix verknüpft mit Einsatzplanung, Dokumentenmanagement integriert mit Schulungsmodul, KPI-Dashboards aggregieren Live-Daten, Audit-Trail im CAFM protokolliert jede Aktion.

• Policy & Ziele: Es wurde eine FM-Qualitätspolitik formuliert, die die Schwerpunkte Sicherheit, Verfügbarkeit und Compliance adressiert. Daraus abgeleitet gibt es eine Zielkaskade bis auf Service- und Objektebene (z. B. Ziel: 100 % fristgerechte Prüfungen; Ziel: 0 High-Criticality-Fehler pro Jahr).

• Rollen/RACI: Accountable: Betreiberverantwortlicher (Eigentümer/Betreiber) behält die Gesamtverantwortung für Betreiberpflichten.

• Responsible: Objektleiter/TGA-Manager – verantwortlich für die Ausführung der FM-Prozesse vor Ort; Service-Desk/CAFM-Admin – verantwortlich für Datenerfassung und -pflege; externe Dienstleister – verantwortlich für vertraglich vereinbarte Leistungserbringung.

• Consulted: HSE/Qualität – wird bei Regelwerksinterpretation und Audits einbezogen; prüft Gefährdungsbeurteilungen, kontrolliert die Einhaltung von Normen.

• Informed: Behörden/ZÜS – erhalten im Bedarfsfall Meldungen; Nutzer – werden über relevante Maßnahmen informiert (z. B. Wartungsfenster).

• Organisation und Führungssystem: Ein Lenkungsgremium (QMS-Board) mit Vertretern aus FM, HSE, Einkauf und IT trifft sich monatlich zur Performance-Review (KPI-Trends, Vorfälle, Risiken). Eskalationswege sind definiert: operative Probleme → Bereichsleitung → QMS-Board → Geschäftsführung, je nach Schwere. Notfall-Eskalation (z. B. bei meldepflichtigem Unfall) erfolgt unmittelbar bis zur Leitung.

• Einbindung externer Dienstleister: Die Führungsverantwortung verbleibt zwar beim Betreiber, aber die Steuerung externer erfolgt über klare vertragliche RACI-Zuordnungen, definierte SLAs/OLAs, Audit-Klauseln, Meldepflichten bei Abweichungen und Dokumentationsanforderungen. Jeder Dienstleister muss eine „Qualification on File“ nachweisen (entspr. TRBS 1203 für Befähigte Personen, VDI 6022/6023 für Hygiene etc.). Externe werden in interne Abläufe eingebunden (z. B. Ticketsystemzugang) und müssen eigene Subunternehmer auf gleichem Niveau managen.

• Dokumentierte Informationen/Nachweise: Führungskräfte pflegen ein Governance-Handbuch, in dem Policy, Ziele, Organigramm und RACI-Übersicht enthalten sind. Jede Delegation einer Betreiberpflicht an Externe ist schriftlich dokumentiert. Management-Review-Protokolle halten Entscheidungen fest. All diese Informationen sind im CAFM-Dokumentenmodul abgelegt, versioniert und nur für Berechtigte zugänglich.

• Bezüge: ISO 41001 Kapitel „Leadership & Strategy“ wurde herangezogen (für strategische FM-Ausrichtung); GEFMA 190 für Betreiberpflichten; VDI 3810 für organisatorische Pflichten im Anlagenbetrieb.

• Ressourcen/Infrastruktur (7.1): Es existieren Ersatzteil- und Werkzeugkonzepte – kritische Ersatzteile sind vorrätig oder vertraglich gesichert. Kalibrierfähigkeiten (entweder intern oder durch externe Labore) sind etabliert, eine Prüfmittelkartei listet alle Geräte und ihren Kalibrierstatus. Wartungsverträge mit OEMs für wichtige Anlagen sind abgeschlossen. Redundanzplanung: für kritische Anlagen (z. B. Notstrom, Sprinkler) gibt es Reservekapazitäten oder Backup-Systeme. Nachweise: Ersatzteillisten, Stücklisten (CM-BOM), Prüfmittelverzeichnis und Notfallpläne sind dokumentiert.

• Überwachungs- und Messressourcen (7.1.5): Es gibt eine Kalibrier- und Verifizierungsplanung für alle Messmittel. Ergebnisse werden auf Rückführbarkeit geprüft; jedes Messmittel trägt einen Aufkleber mit nächstem Kalibriertermin, und das CAFM sperrt Messmittel automatisch, wenn die Kalibrierung abgelaufen ist. Nachweise: Kalibrierscheine sind im System hinterlegt, ein Kalendarium erinnert an anstehende Kalibrierungen; es gibt Protokolle über Sperr- und Freigaben von Messmitteln.

• Kompetenz (7.2) und Bewusstsein (7.3): Für alle Rollen wurden Qualifikationsprofile erstellt. Beispiele: Techniker müssen TRBS 1203-Befähigung für ihre Anlagen haben; Reinigungspersonal in Reinräumen eine ISO 14644/VDI 2083-Schulung; Elektrofachkräfte eine jährliche Unterweisung (DGUV V3). Die Trainingsmatrix weist Re-Qualifizierungsintervalle zu (z. B. Hygiene-Schulung alle 2 Jahre). Onboarding-Programme (erste 90 Tage) und Toolbox Talks (kurze monatliche Schulungen) sorgen für fortlaufende Sensibilisierung. Wirksamkeitskontrollen (z. B. Praxisbeobachtung nach Schulung) verifizieren den Lernerfolg. Nachweise: Zertifikate und Schulungsnachweise werden archiviert; das CAFM erzwingt, dass ein Mitarbeiter nur eingeplant werden kann (Freigabe im System), wenn die benötigte Qualifikation hinterlegt und gültig ist.

• Kommunikation (7.4): Es gibt ein Kommunikationskonzept: Nutzer werden über einen Servicekatalog über Leistungen und Ansprechpartner informiert; ein zentrales Ticketsystem nimmt Störungsmeldungen auf und leitet sie strukturiert weiter. HSE-Eskalationen (Meldeketten bei Unfällen/Beinahe-Unfällen) sind definiert und den Mitarbeitern bekannt. Lieferantenkommunikation: Änderungen (z. B. neue SOP) oder Sperrungen (bei Mängeln) werden formal über ein Portal mitgeteilt. Nachweise: Kommunikationspläne (inkl. Alarmierung im Notfall), Ticket-Logs aus dem Service-Desk und ein HSE-Melderegister (Unfälle, Beinaheereignisse) dokumentieren die Kommunikation.

• Dokumentierte Information (7.5): Das QMS verfügt über eine gelenkte Dokumentenlandschaft: alle SOPs, Arbeits- und Prüfanweisungen, Formblätter und Betriebsbücher sind in einem Master-Index erfasst. Jedes Dokument zeigt seinen Lenkungsstatus (Entwurf/in Prüfung/freigegeben), eine Versionsnummer, gültige Standorte, Freigebende (mit elektronischer Unterschrift) und Revisionshistorie. Nachweise: Eine Masterliste aller qualitätsrelevanten Dokumente ist im System verfügbar; Freigabevermerke mit E-Signatur sind archiviert. Aufbewahrungsfristen richten sich nach Rechtskataster (z. B. Prüfbücher 5 Jahre).

• Bezüge: ISO 41001 „Resource Management“ wurde angewendet (für Infrastrukturplanung). Branchenspezifische Quellen wie VDI 6022/6023, VDI 2083 und DGUV-Regelwerk lieferten Kompetenzanforderungen. GEFMA 444 war Leitfaden für CAFM-Funktionalitäten (z. B. Audit-Trail, Schulungsdokumentation).

• Anforderungen an Dienstleistungen / Angebotsprüfung (8.2): Bevor ein externer Dienstleister beauftragt wird, wird geprüft, ob er die Anforderungen der Ausschreibung erfüllt (z. B. Zertifikate, Kapazitäten). Die Leistungen sind im Vertrag und Leistungsverzeichnis klar beschrieben. Mindeststandards (z. B. Reinigung nach VDI 6022 muss erfüllt werden) sind Teil der Spezifikation. Nachweise: Verträge, Leistungs- und Prüfverzeichnisse sowie Abnahmeprotokolle neuer Leistungen sind hinterlegt.

• Entwicklung der Dienstleistung (8.3): Dieser Abschnitt ist in FM seltener relevant, betrifft z. B. Service Design/Transition bei komplett neuen Services oder Standorten. Falls anwendbar (z. B. Inbetriebnahme neuer Klinikbereiche), erfolgt eine Risiko- und Chancenbewertung und ggf. Pilotphase. Nachweise: Service-Blueprints, Übergabe-/Übernahmeprotokolle, Lessons Learned aus der Einführung werden dokumentiert.

• Steuerung externer Bereitstellung (8.4): Lieferantenqualifizierung: Vor Einsatz werden Anbieter geprüft (Fachkunde, Zertifikate, Referenzen). Alle externen Mitarbeiter durchlaufen ein Onboarding (Sicherheits-/Compliance-Unterweisung, Zugänge im CAFM). Leistung wird durch regelmäßige Audits und KPIs überwacht. Subunternehmer dürfen nur mit Genehmigung eingesetzt werden und unterliegen denselben Standards. High-Criticality: Hier gelten strengere Maßstäbe – z. B. müssen Reinigungskräfte in Reinräumen VDI 2083 zertifiziert sein; Audits finden vierteljährlich statt; vor erstmaligem Einsatz muss eine Qualitätsprüfung bestanden sein. Nachweise: Prequalification-Dossiers, Auditberichte, KPI-Reports und Eskalationsprotokolle dokumentieren die Steuerung der Dienstleister. Bei Abweichungen werden CAPA mit dem Lieferanten vereinbart.

• Erbringung der Dienstleistung (8.5): Die Leistungserbringung erfolgt nach standardisierten Arbeitsabläufen. Jedes Ticket und jeder Arbeitsauftrag ist einem Objekt (Asset/Zone) zugeordnet. Es gibt Verfahren zum Schutz des Eigentums (z. B. Patienteneigentum wird in Verwahrung dokumentiert). Konfigurations-/Änderungsmanagement: Anlagenänderungen (z. B. Anpassung Lüftungsmenge, Softwareupdate GLT) erfolgen nur über genehmigte Anträge mit Bewertung (MoC – Management of Change). Nachweise: Ausgeführte Arbeitsaufträge werden elektronisch rückgemeldet (mit Zeit, Mitarbeiter, ggf. Fotos und Messwerten). Schichtberichte und Leistungsscheine werden eingescannt oder digital erfasst. Jeder Änderungsantrag (MoC) wird mit Genehmigung, Umsetzung und Wirksamkeitskontrolle dokumentiert.

• Freigabe der Dienstleistungen (8.6): Nach Abschluss einer Tätigkeit erfolgt eine technische/qualitätsbezogene Freigabe. Bei High-Criticality-Leistungen immer durch 4-Augen-Prinzip (z. B. zweite Person prüft die korrekte Durchführung der Wartung). Wenn Ergebnisse nicht den Anforderungen entsprechen, greift der Sperr-/Wiederinbetriebnahmeprozess. Nachweise: Freigabeprotokolle, Checklisten mit Freigabe-Signatur und ggf. ein „Wiederinbetriebnahme-Freigabe“-Dokument sind abgelegt.

• Steuerung nichtkonformer Ergebnisse (8.7): Tritt eine Abweichung auf (z. B. Prüffrist überschritten, Qualitätsmangel), werden Sofortmaßnahmen eingeleitet (Quarantäne, vorläufige Sperrung, Fehlerbehebung). Eine Ursachenanalyse (RCA) wird durchgeführt, entsprechende Korrektur- und Vorbeugemaßnahmen (CAPA) festgelegt. Deren Wirksamkeit wird geprüft. Bei meldepflichtigen Ereignissen (Unfall, Umweltereignis) erfolgen die gesetzlich geforderten Meldungen an Behörden/Versicherer. Nachweise: Abweichungsberichte im System zeigen den gesamten Workflow (Entdeckung, Sofortmaßnahme, RCA, CAPA, Wirksamkeitsprüfung, Abschluss). Gesperrte Objekte werden mit Sperrkennzeichen versehen; CAPA-Pläne und Wirksamkeitsnachweise (z. B. erneute Messung) sind hinterlegt; etwaige Meldebestätigungen der Behörden liegen vor.

• Bezüge: ISO 41001 Kapitel „Service Delivery“ war Referenz für die Gestaltung der operativen Prozesse. VDI 3810, VDI 6022/6023, VDI 2083 und DGUV Vorschrift 3 lieferten Best Practices für Betrieb/Instandhaltung, Lüftungshygiene etc. Landes-PrüfVO Brandschutz definierte Prüffristen. GEFMA 190 gab Input zur Pflichtenübertragung/Überwachung an Dienstleister.

• Hard FM: Es gibt Wartungs- und Prüfpläne mit risikoadaptiven Intervallen (z. B. nach TRBS 1201, DGUV V3, Landes-PrüfVO Brandschutz). Kritikalität einer Anlage bestimmt Prüfintervall (z. B. Sprinkler wöchentlich visuell, jährlich extern). Zustandsdaten (Schwingungsanalysen etc.) fließen ein (Condition-based). Sperr- und Freigaberegeln: Anlagen mit offenen Mängeln werden im System als „gesperrt“ markiert und erst nach Nachweis der Mängelbehebung durch verantwortlichen TGA-Manager wieder „freigegeben“.

• Soft FM: Es liegen validierte Reinigungs- und Desinfektionspläne vor, differenziert nach Zonen (rein/unrein, Hygienestufen) mit Farbcode-System. Frequenzen sind abhängig von Nutzung (OP täglich, Büro wöchentlich etc.). Qualität wird stichprobenartig nach AQL kontrolliert.

• Workplace: Der Service Desk disponiert Leistungen nach einem priorisierten Ticket-Workflow (Priorität P1–P3 mit Fristen). Ein Servicekatalog definiert alle buchbaren Services. Umzüge (Moves) werden mit Risikoanalyse (RAMS, Schutzgüter beachten) geplant, damit z. B. keine IT-Systeme ungeplant ausfallen.

• Energie/Abfall: Ein Zähler- und Wiegedatenkonzept stellt sicher, dass Zählerstände (Strom, Wasser, Wärme) regelmäßig erfasst werden; Alarmkonzepte warnen bei Grenzwertüberschreitungen (z. B. hoher Verbrauch). Für Abfall sind Entsorgungslogistik und Nachweispflicht (Begleitscheine) organisiert.

• Nachweise: Jahrespläne, generierte Arbeitsaufträge, Checklisten aus den SOPs und QS-Protokolle werden im System als Dokumente oder Datensätze geführt. Bei Alarmen/Störfällen werden Alarmprotokolle generiert und archiviert.

• KPIs/Monitoring (9.1): Es existiert eine definierte KPI-Bibliothek mit Kennzahlen je Servicebereich inklusive Formel, Datenquelle, Intervall und Zielwert. Beispiele:

• Hard FM: Prüf- & Wartungsterminquote, MTTR (Mean Time to Repair), Backlog offener Aufträge, Anlagenverfügbarkeit. High-Criticality: 0 Toleranz bei sicherheitsrelevanten Fehlern.

• Soft FM: Reinigungsqualität (AQL-Quote, ATP/Keimtest-Ergebnisse), Reklamationsquote, Hygiene-Compliance (z. B. ob alle Trinkwasserproben fristgerecht erledigt).

• Workplace: SLA-Erfüllung im Service-Desk (First Response Time), First Contact Resolution Rate, Nutzerzufriedenheit (durchschnittlicher Ticketbewertungs-Score), Umzugsprojekt-Termineinhaltung.

• Energie/Abfall: Energieintensität (z. B. kWh/m²), Lastspitzen, Zählerdaten-Qualitätsquote, Abfall-Recyclingquote, Entsorgungs-Compliance (Vollständigkeit Nachweise).

• Alle diese KPIs sind in Dashboards visualisiert. Eskalationsregeln: Es gibt Ampel-Definitionen (RAG-Logik: Rot/Amber/Green) – z. B. wird bei Unterschreiten eines Zielwerts um >10 % ein Eintrag im Eskalationslog erzeugt und die Leitung informiert. Nachweise: KPI-Definitionen als Dokument und im CAFM hinterlegt, aktuelle KPI-Dashboards mit Trendanalysen und ein Eskalationslog (Verlauf der Eskalationen bei Zielverfehlung).

• Interne Audits (9.2): Das QMS umfasst ein risikobasiertes Auditprogramm. High-Criticality-Prozesse werden häufiger auditiert (z. B. Reinraumreinigung quartalsweise, normale Büroreinigung jährlich). Es finden sowohl Prozess-Audits (prüfen die Umsetzung der SOPs) als auch Compliance-Audits (prüfen Erfüllung gesetzlicher Pflichten) statt. Auch Lieferantenaudits sind geplant, um die Leistungen der Dienstleister zu überprüfen. Die Stichprobenlogik richtet sich nach Risiko und Volumen: mind. 10 Fälle oder 15 % eines Prozessumfangs werden geprüft. Nachweise: Ein Auditplan für das Jahr ist freigegeben; Audit-Checklisten sind vorbereitet; jedes Audit erzeugt einen Bericht mit Feststellungen, Abweichungen und Maßnahmen, deren Verfolgung im CAPA-Register erfolgt.

• Managementbewertung (9.3): Die oberste Leitung führt Management-Reviews durch (z. B. halbjährlich). Dort werden alle erforderlichen Punkte diskutiert: Erreichung der Qualitätsziele, Stand der Risiken und Chancen, Ressourcenbedarf, Wirksamkeit der Maßnahmen/Kontrollen, Leistung der Dienstleister, Änderungen im Rechtsrahmen etc. Entscheidungen (z. B. zusätzliche Schulungen, Investitionen in Ersatzanlagen) und Folgeaktionen werden protokolliert. Nachweise: Managementreview-Protokolle enthalten die Agenda und Beschlüsse; Aktionslisten weisen Verantwortliche und Termine aus; Folgeprüfungen stellen sicher, dass beschlossene Maßnahmen umgesetzt werden.

• Bezüge: ISO 41001 „Performance & Evaluation“ diente als Vorlage für das KPI- und Auditkonzept. GEFMA 444 wurde für KPI-/Reporting-Funktionalitäten im CAFM herangezogen. Ein Benchmarking mit externen Daten (sofern verfügbar) wird angestrebt, um die eigene Leistung einzuordnen.

• Reaktive Verbesserung: Es besteht ein strukturiertes Abweichungsmanagement. Bei Abweichungen wird per 5-Why oder Ishikawa die Ursache ermittelt, die FMEA ggf. aktualisiert. Für jede Abweichung werden Korrekturmaßnahmen (Corrective Actions) definiert, um das konkrete Problem zu lösen, und ggf. Vorbeugemaßnahmen (Preventive Actions), um ähnliche Fälle zu verhindern. Deren Umsetzung und Wirksamkeitsprüfung (z. B. erneute Messung, Audit-Follow-up) ist Pflicht. Lessons Learned werden dokumentiert und fließen in Schulungen oder SOP-Änderungen ein. In High-Criticality-Fällen erfolgen erweiterte Analysen (z. B. Detail-RCAs unter externer Expertise) und temporäre Risikominderungen (zusätzliche Inspektionen).

• Proaktive Verbesserung: Das QMS nutzt Trendanalysen (z. B. ansteigende Störungsraten an einer Anlage → proaktiver Austausch eines Bauteils), implementiert Predictive Maintenance sofern möglich (z. B. Schwingungssensoren an Motoren mit Auswertung), fördert Lieferantenentwicklung (gemeinsame Verbesserungsprojekte mit Dienstleistern), treibt Standardisierung/Automatisierung (z. B. Standard-Checklisten für wiederkehrende Aufgaben) und erweitert das Schulungsprogramm anhand von Abweichungsursachen.

• Nachweise: Es wird ein CAPA-Register geführt, das alle Korrektur-/Vorbeugemaßnahmen enthält, mit Status. RCA-Dokumente (Ursachenanalyse) sind angehängt. Ein KVP-Backlog listet erkannte Verbesserungspotenziale und Ideen. Nach Umsetzung werden Wirksamkeitsnachweise erbracht (z. B. KPI-Verbesserung, bestandene Nach-Audits). Relevante Dokumente (SOPs, Trainingsmaterial) werden nach größeren CAPA angepasst.

• Bezüge: ISO 41001 Kapitel „Continual Improvement“ floss hier ein; VDI 3810 fordert ebenfalls Verbesserungen im Betrieb. GEFMA 190 betont eine lernende Organisation – das QMS schafft daher Foren, in denen Erfahrungen ausgetauscht und Best Practices multipliziert werden.

• Führung/Rollen (K5): Betreiberverantwortlicher benannt; TGA-Manager steuert technische Gebäudeausrüstung; Befähigte Personen nach TRBS 1203 für bestimmte Anlagen und Elektrofachkräfte (DGUV V3) sind ernannt.

• Unterstützung (K7): Es gibt ein System zur Prüfmittelverwaltung (alle Messgeräte mit Kalibrierzyklen erfasst). Kalibrier- und ZÜS-Termine sind im CAFM geplant und überwacht. Eine Kompetenzmatrix stellt sicher, dass Aufgaben nur an qualifiziertes Personal zugewiesen werden. Ersatzteil- und Notfallkonzepte sind vorhanden.

• Betrieb (K8): Die Instandhaltungsstrategie kombiniert präventive und korrektive Instandhaltung je nach Kritikalität. Gesetzliche Prüfungen (TRBS 1201 etc.) sind vollständig im System geplant. Sperr-/Freigabeprozesse sind etabliert (z. B. Anlage nach TÜV-Prüfung erst nach Freigabe-Checkliste wieder freigegeben). Änderungsmanagement: Jede technische Änderung an Anlagen (Umbau, Software) durchläuft einen MoC-Prozess.

• Leistung/Verbesserung (K9–10): Verfügbarkeits-KPIs und MTTR werden gemonitort; interne Audits prüfen Wartungs- und Prüfprozesse; bei Anlagenausfällen erfolgt eine RCA.

• Nachweise: Asset-Register (Anlagenliste) mit Kritikalität, Wartungs- und Prüfpläne, Prüfberichte mit Ergebnissen, Freigabeprotokolle (Vier-Augen), Kalibrierscheine und CAPA-Berichte bei Mängeln.

• Führung/Rollen: Es gibt eine benannte Hygienefachkraft und Reinraumverantwortliche für hygienische Prozesse. Für Sicherheitsdienste existiert ein Sicherheitsdienstleiter.

• Unterstützung: Mitarbeiter im Bereich Hygiene haben VDI 6022/6023 oder ISO 14644/VDI 2083-Schulungen absolviert. Es gibt ein Chemikalien- und Gerätemanagement (Lagerung, Ausgabebuch). Alle Reinigungskräfte und Sicherheitskräfte werden regelmäßig geschult und unterwiesen.

• Betrieb: Es sind Zonen- und Farbkonzepte für die Reinigung definiert. Reinigungsverfahren für Reinräume sind validiert (Wirksamkeit nachgewiesen). Qualitätsprüfungen erfolgen nach AQL-Stichproben. Ereignis- und Reklamationsmanagement: Jede Beschwerde wird erfasst und einer Ursache zugeführt (z. B. Schulungsbedarf).

• Leistung/Verbesserung: Hygiene-KPIs (z. B. ATP/Keimreduktion) werden gemessen. Trends zu Reklamationen oder Vorfällen werden analysiert (z. B. wiederholte Reklamation → Prozessoptimierung). CAPA und Standardisierungen (z. B. neue Reinigungsmethode) werden abgeleitet.

• Nachweise: Reinigungspläne, Hygienekonzepte, ausgefüllte Prüfprotokolle (Oberflächenkeimzahlen etc.), Verbrauchsnachweise von Desinfektionsmitteln, Unterweisungslisten des Personals sind vorhanden.

• Führung/Rollen: Es wurden Service-Owner für die Workplace-Services definiert (z. B. Workplace Manager, Service-Desk Lead, Move Coordinator für Umzüge).

• Unterstützung: Ein Servicekatalog regelt alle Workplace-Dienstleistungen; eine Kommunikationsrichtlinie für Nutzer existiert (z. B. Störungsmeldungen). IT/OT-Schnittstellen sind integriert (Ticketüberschneidungen mit IT werden vermieden). Kompetenzprofile für diese Rollen umfassen Grundlagen Ergonomie, HSE.

• Betrieb: Tickets werden priorisiert und möglichst beim ersten Kontakt gelöst (First Contact Resolution angestrebt). SLAs (z. B. Antwortzeit, Lösungszeit) werden überwacht. Umzüge werden mit einem definierten Prozess (Risikoanalyse, Checklisten, Kommunikation an Betroffene) durchgeführt. Es gibt Flächenmanagement mit aktueller Belegungsdokumentation.

• Leistung/Verbesserung: KPIs wie SLA-Erfüllungsgrad und Nutzerzufriedenheitswerte (CSAT) werden erhoben. Ein Ticket-Backlog wird beobachtet; häufig wiederkehrende Tickets werden analysiert (Root Cause → evtl. Schulung oder Änderung am Service). Prozesse werden kontinuierlich verbessert (z. B. Einrichtung einer Wissensdatenbank, damit der Service Desk mehr Anfragen im Erstkontakt löst).

• Nachweise: Ticket-Logs aus dem Service-Desk-System, monatliche SLA-Reports, Checklisten für Umzüge (IST/SOLL), Nutzer-Feedback (zufrieden/unzufrieden) werden gespeichert.

• Führung/Rollen: Es gibt benannte Gatekeeper/Freigeber für diese Bereiche (z. B. Reinraumverantwortliche, Trinkwasserbeauftragte, Brandschutzbeauftragte). Qualifizierte Fachverantwortliche mit spezifischen Schulungen (VDI 6022/6023 für Hygiene, VDI 2083 für Reinräume) leiten die jeweiligen Prozesse.

• Unterstützung: Es gelten strenge Qualifikationsregime (z. B. Reinraum-Reinigungskräfte nur mit gültigem Zertifikat und jährlicher Auffrischung). Alle Verfahren sind validiert (Reinraumreinigung wurde in einem PQ/OP-Test als wirksam bestätigt). Messmittel sind kalibriert, und es existieren redundante Systeme (z. B. zweite Pumpe für Druckhaltung in medizinischer Gasversorgung).

• Betrieb: Es gibt eng getaktete Prüf- und Probenahmepläne – z. B. Trinkwasser werden quartalsweise Proben genommen, Reinräume halbjährlich klassifiziert. Bei einer Abweichung (z. B. Keimzahl) erfolgt sofort eine Sperre und nachfolgend eine definierte Wiederinbetriebnahme-Prozedur mit Nachweis. HSE-Meldewege (Behörden informieren bei meldepflichtigen Befunden) sind implementiert und geübt.

• Leistung/Verbesserung: Man toleriert 0 Fehler in kritischen Kontrollen (z. B. kein Überziehen einer Prüffrist, keine Grenzwertüberschreitung ohne Reaktion). Auditfrequenzen sind erhöht (z. B. monatlicher Check der Trinkwassererwärmung). Cross-Checks mit unabhängigen Sachverständigen werden durchgeführt (z. B. jährliche externe Validierung der Reinraumklassifizierung).

• Nachweise: Laborberichte der Trinkwasserproben, Reinraumklassifizierungsprotokolle, Brandschutz-Betriebsbücher, Reinheits- und Druckprotokolle für medizinische Gase sowie behördliche Meldebestätigungen sind archiviert.

• Qualifizierung und Onboarding: Jeder externe Dienstleister wird vor Vertragsbeginn einer Eignungsprüfung unterzogen: Nachweis von Kompetenzen (Mitarbeiterqualifikationen), Zertifikaten (z. B. ISO 9001), Referenzen. Es erfolgt eine HSE- und Qualitätsbewertung (z. B. hat der Dienstleister ein Arbeitsschutzmanagement?). Bei Vertragsstart durchlaufen externe Mitarbeiter eine Sicherheits-/Compliance-Induktion, erhalten Systemzugang (eingeschränkt) und Briefings zu relevanten SOPs. Es gibt oft eine Probezeit mit erhöhter QS-Stichprobe für neue Dienstleister.

• Vertragliche Festlegungen: Verträge enthalten spezifische SLA/OLA, definierte RACI-Matrizen (Wer macht was?), Audit- und Reportingpflichten des Dienstleisters, Melde- und Eskalationsfristen (z. B. innerhalb 24h bei sicherheitsrelevantem Vorfall), Dokumentationsanforderungen (z. B. Nutzung CAFM, Upload von Nachweisen) und Regeln für Subunternehmer (Flow-down). E-Signatur-Anforderungen (CAFM-Zugang nur mit persönlichem Login) sind festgehalten.

• Operative Steuerung: Externe haben rollenbasierten Zugang zum CAFM (z. B. dürfen Tickets schließen und Nachweise hochladen, aber nicht alles sehen). Sie sind verpflichtet, alle Leistungen digital zu erfassen (keine „Schattenlisten“) und Nachweise (Prüfberichte, Schulungsnachweise) ins System hochzuladen. Sie nehmen an RCA-Sitzungen und Audits teil, wenn ihre Leistungen betroffen sind.

• Leistungs- und Lieferantenentwicklung: Es finden regelmäßige Review-Meetings (z. B. Quartalsgespräche) mit Dienstleistern statt, in denen KPI-Ergebnisse und Verbesserungspläne besprochen werden. Jeder Lieferant hat eine Scorecard (Bewertung in Kategorien Qualität, Termine, Compliance). Bei Abweichungen gibt es Eskalationsstufen: Performance-Verbesserungsplan → zusätzliche Audits → Vertragsstrafen oder im Extremfall Offboarding (Vertragskündigung).

• Nachweise: Es werden Prequalification-Dossiers aufbewahrt (Checklisten der Eignungsprüfung), Vertragsanhänge (Leistungsverzeichnisse, Qualitätsvereinbarungen), Protokolle der Audit- und Reviewgespräche, KPI-Reports und der Status offener CAPA mit dem Dienstleister.

Alle Nachweise sind mit eindeutigen IDs, Zeitstempeln, Verantwortlichen und E-Signaturen im CAFM (CAFM) hinterlegt. Datenqualitätsregeln (z. B. Pflichtfelder) und das Berechtigungskonzept sichern die Integrität und Vertraulichkeit der Nachweise.

• ISO 41001: Führung & Strategie ↔ ISO 9001 Klausel 5 (Führung); Planung & Risk ↔ Klausel 6 (Kontext/Risiken); Resource & Capability ↔ Klausel 7 (Unterstützung); Service Delivery ↔ Klausel 8 (Betrieb); Performance & Improvement ↔ Klauseln 9–10 (Bewertung/Verbesserung).

• VDI 3810 (Betreiben/Instandhalten) ↔ Klausel 8 (operative Steuerung Instandhaltung, Prüfungen).

• VDI 6022/6023 (Raumluft- und Trinkwasserhygiene) ↔ Klausel 7 (Kompetenz/Messmittel) und Klausel 8 (operative Hygieneprozesse), Klausel 9 (Wirksamkeitsnachweise).

• VDI 2083 (Reinraum) ↔ Klausel 8 (validierte Verfahren) und Klausel 9 (Klassifizierungs- und Monitoringnachweise).

• DGUV V3 (Elektroprüfung) ↔ Klausel 7 (Kompetenz EFK) und Klausel 8 (Wiederkehrende Prüfungen).

• GEFMA 190 (Betreiberverantwortung) ↔ Klausel 5 (Rollen/Haftung) und Klausel 8 (Pflichtenübertragung/Überwachung).

• GEFMA 444 (CAFM) ↔ Klausel 7/9 (Datenmodell, Reporting, Audit-Trail).

Diese Normenbrücke stellt Konsistenz sicher, reduziert Doppelarbeit und erhöht die Auditierbarkeit des Systems, da Anforderungen verschiedener Regelwerke in Einklang gebracht sind.

• High-Criticality-Gates in Prozessen verankern: Qualifikations- und Prüfstatus sind als systemische Freigabebedingung implementiert (kein Arbeitsauftrag ohne gültige Qualifikation, keine Freigabe einer Anlage ohne Prüfnachweis).

• Einheitliches Datenmodell in CAFM: Alle Objekte (Assets, Räume) haben eindeutige IDs; Prüfstellen, Kompetenznachweise und Dokumente sind referenziert. Es gibt Pflichtfelder und Validierungsregeln (z. B. Auftrag kann nicht abgeschlossen werden ohne Messwerteingabe, wenn diese gefordert sind).

• Rollenbasiertes Rechtekonzept: Externe Dienstleister erhalten nur eingeschränkte, auditfähige Zugriffsrechte (z. B. können nur ihnen zugewiesene Aufträge sehen). E-Signaturen sind verpflichtend für alle kritischen Freigaben und Sperrungen.

• Risikoorientierte Audit- und KPI-Planung: Für High-Criticality-Bereiche gelten höhere Frequenzen und strengere Schwellwerte. Das System generiert automatische Eskalationen, wenn KPIs in diesen Bereichen auch nur geringfügig vom Ziel abweichen.

• Integrierte CAPA-Schleife: Im System sind Abweichung → RCA → Maßnahme → Wirksamkeitskontrolle → SOP/Training-Update direkt verknüpft. D.h. aus dem Abweichungsmodul kann man CAPA-Maßnahmen anstoßen, diese prüfen und abschließen und bei Bedarf gleich eine Dokumentenänderung oder Schulung initiieren.

Durch diese Maßnahmen wird ISO 9001:2015 operational in FM-Prozesse übersetzt. Es schafft klare Verantwortlichkeiten, robuste Nachweisführung, wirksame Steuerung externer Leistungserbringer und nahtlose Kompatibilität zu ISO 41001 sowie VDI/GEFMA – die Voraussetzung, um in High-Criticality-geprägten FM-Umgebungen Compliance, Verfügbarkeit und Qualität zuverlässig sicherzustellen.

• Foundation: grundlegende Policies/SOPs vorhanden, Basis-Rollen definiert, gesetzliche Prüfungen geplant, Digitalisierung nur selektiv.

• Intermediate: durchgängige End-to-End-Prozesse implementiert, vollständige digitale Nachweisführung (CAFM), regelmäßige Audits/KPIs zur Steuerung, risikobasierte Prozesskontrolle.

• Advanced: risikoadaptive, datengetriebene Steuerung, integrierte Lieferantenentwicklung, Closed-Loop-Learning (kontinuierlicher Verbesserungsprozess aus RCA/LL), prädiktive Elemente (z. B. vorausschauende Wartung).

0 = nicht vorhanden; 1 = ad-hoc geregelt; 2 = definiert, aber nicht konsistent umgesetzt; 3 = umgesetzt, teilweise wirksam; 4 = systemisch wirksam; 5 = vorbildlich/optimiert. Die Punktzahl pro Kriterium fließt in Bereichs-Scores ein.

E1 (Dokument vorhanden, z. B. Policy/SOP), E2 (Umsetzung nachweisbar im System/Prozess), E3 (Wirksamkeit belegt durch KPI-Trends oder Audit ohne Befund). Reifegrad ≥ Intermediate erfordert Evidenzgrad E2, Advanced erfordert E3.

Für Maßnahmen wird eine Priorität berechnet = Gap (5 – Score) × Kritikalitätsfaktor (1 normal; 2 bei High-Criticality) × Expositionsfaktor (0,5–1,5 je nach Umfang/Anzahl betroffener Standorte). Ampellogik: Priorität ≥ 6 (rot) = sofort angehen; 3–5 (gelb) = mittelfristig (≤ 90 Tage); < 3 (grün) = überwachen/optimieren.

Die Auditteams wählen je Standort repräsentative Stichproben je Prozess (risikobasiert mehr in kritischen Bereichen). Es erfolgt eine Triangulation zwischen Dokumenten, Systemdaten und Praxis (Begehungen/Interviews). Abweichungen fließen unmittelbar in CAPA ein.

• Qualifikation & Freigabe: Tätigkeiten nur mit nachgewiesener Befähigung (TRBS 1203, VDI 6022/6023, ISO 14644/VDI 2083 etc.); 4-Augen-Freigabe für kritische Arbeitsschritte ist festgeschrieben.

• Prüf-/Kalibrierstatus: Kein Einsatz von unkalibrierten Messmitteln; Prüfzyklen müssen fristgerecht erfolgen; bei Überschreiten wird Anlage gesperrt und erst nach dokumentierter Wiederinbetriebnahme-Prüfung freigegeben.

• Traceability/Audit-Trail: Volldigitale Rückverfolgung aller Vorgänge (CAFM-Einträge mit E-Signatur, Zeitstempel, eindeutiger Asset-/Zonen-ID). So kann jeder Schritt nachvollzogen werden.

• Validierte Verfahren: Es dürfen nur validierte Reinigungs- und Desinfektionsverfahren angewandt werden. Regelmäßige Re-Qualifizierungen (z. B. jährliche Hygieneinspektionen VDI 6022) und Reinraumklassifizierungen sind Pflicht.

• Eskalation/Meldepflicht: HSE-Eskalationswege und behördliche Meldeprozesse sind festgelegt (z. B. Legionellen > Grenzwert → Gesundheitsamt binnen 24 h). Diese werden geübt. CAPA müssen innerhalb definierter Fristen eingeleitet werden.

Fehlt ein solches Gate in der Praxis, ist der Score für das betroffene Kriterium maximal 2 (Sperrlogik) – d. h. ohne diese Grundvoraussetzungen ist kein Reifegrad > Foundation erreichbar.

• Klausel 5 Führung: Führung, Organisation, Rollen/Verantwortlichkeiten

• Prüffragen (alle Bereiche):

• Gibt es eine FM-Qualitätspolitik mit Zielen zu Verfügbarkeit, Sicherheit und Compliance? Evidenz: Q-Politik-Dokument, Ziele-Matrix; Stichprobe: Managementreview-Protokoll(e) auf Zielbesprechung.

• Sind Rollen/RACI für Betreiberpflichten klar delegiert und dokumentiert (GEFMA 190-konform)? Evidenz: RACI-Diagramm, Delegationsschreiben; Stichprobe: 5 kritische Rollen überprüfen (z. B. wer ist Befähigte Person für Aufzüge?).

• Existiert eine Eskalationskaskade inkl. benannter High-Criticality-Gatekeeper? Evidenz: Eskalationsplan, Alarmierungsbaum; Stichprobe: 3 reale Eskalationsfälle durchspielen (z. B. Störung Notstrom → Eskalationsweg eingehalten?).

Sind befähigte Personen (TRBS 1203) für alle prüfpflichtigen Anlagen benannt und systematisch im Einsatz? Evidenz: Rollenprofile, Qualifikationsmatrix; Stichprobe: 10 Arbeitsaufträge an kritischen Anlagen prüfen, ob ausführende Person qualifiziert war.

Gibt es Verantwortliche für Reinraum- und Hygienemanagement? Evidenz: Benennungsschreiben, Vertretungsregelungen; Stichprobe: 3 Reinraumstandorte, Ansprechpartner vor Ort bekannt?

Foundation: Politik/Rollen definiert; Intermediate: RACI in allen Prozessen verankert, Gatekeeper aktiv; Advanced: Führung nutzt KPI- und Risiko-Reviews und bindet Lieferanten in Quartals-Reviews ein.

• Ist eine Prüfmittelkartei mit Kalendarium und Rückführbarkeit vorhanden? Evidenz: Prüfmittelverzeichnis, Kalibrierscheine; Stichprobe: 15 Messmittel unterschiedlicher Art (Kalender und letzte Kalibrierung checken).

• Sind Redundanzen für kritische Anlagen definiert und getestet (Notstrom, Sprinkler)? Evidenz: Notfall-/Redundanz-Testprotokolle; Stichprobe: 2 Tests von USV/Notstrom mit Ergebnis.

• Sind Qualifikationsanforderungen je Rolle inkl. Re-Qualifizierungsintervalle festgelegt? Evidenz: Trainingsmatrix; Stichprobe: 10 Mitarbeiter in kritischen Rollen (z. B. Elektrofachkraft, Kesselwärter) – haben sie alle geforderten Nachweise?

• Ist die Einsatzfreigabe an den Qualifikationsstatus im CAFM gekoppelt? Evidenz: System-Screenshot/Workflow, der Gate zeigt; Stichprobe: 10 Arbeitsaufträge, ob System Quali-Check durchführt.

• Erfolgt eine einheitliche Nutzerkommunikation (Servicekatalog vorhanden, SLAs kommuniziert, Störmeldungen kanalfrei)? Evidenz: Kommunikationsrichtlinie, Ticket-Log (z. B. wie schnell wurde reagiert); Stichprobe: 20 Tickets unterschiedlicher Priorität.

• Existiert ein gelenktes SOP-/VA-System mit kontrollierter Versionierung, Freigabe und Gültigkeit? Evidenz: Dokumenten-Masterliste, E-Signaturen auf Dokumenten; Stichprobe: 15 SOPs (5 Hard, 5 Soft, 5 High-Criticality) – sind alle aktuell und mit Freigabe?

Foundation: Qualifikationen/SOPs vorhanden; Intermediate: systemische Gate- und Lenkungsfunktionen aktiv (z. B. System sperrt bei fehlender Quali, DMS lenkt Versionen automatisch); Advanced: Wirksamkeitsnachweise vorhanden (Trainings-KPIs, Prüf-KPIs erfüllen Ziele), automatische Erinnerungen und Analytics im Einsatz.

• Hard FM: Liegen risikoadaptive Wartungs- und Prüfpläne (nach TRBS 1201, DGUV V3, Brandschutz-PrüfVO) vollständig vor? Evidenz: Jahrespläne, Asset-Kritikalitätsliste; Stichprobe: 30 Assets (davon einige kritisch) – sind alle erforderlichen Prüfungen eingeplant?

• Soft FM: Gibt es validierte Reinigungs- und Desinfektionspläne mit Zonen-/Farbcodes? Evidenz: Reinigungspläne, Validierungsberichte; Stichprobe: 10 sensible Bereiche (OP, Reinstbereich) – Plan und Nachweis?

• Workplace: Ist der Servicekatalog mit SLAs im Ticket-Workflow verankert? Evidenz: Servicekatalog-Dokument, SLA-Einstellungen im Ticketsystem; Stichprobe: 20 Tickets (Prio + Lösungszeit prüfen).

Sind Lieferanten qualifiziert (Zertifikate, Referenzen, HSE/Q-Bewertung) und auditiert? Evidenz: Prequalification-Dossiers, Lieferantenaudit-Berichte; Stichprobe: 5 kritische Lieferanten (z. B. Reinraumreinigung, Aufzugswartung) – Nachweise prüfen. Ist die Subunternehmer-Steuerung geregelt (Hauptdienstleister verpflichtet Subs)? Evidenz: Verträge (Flow-down-Klauseln), Nachweis Submelderegister; Stichprobe: 3 Fälle mit Subunternehmern checken (Freigabe vorhanden?).

Ist eine lückenlose Identifikation (Anlagen-ID auf Auftrag, Zonen-ID für Reinigung) und Schutz von Eigentum/Proben gewährleistet? Evidenz: Arbeitsaufträge (Beispiel OP-Lampe Wartung, hat ID), Fotodokumentation sensibler Räume nach Dienstleister-Einsatz; Stichprobe: 15 High-Criticality-Aufträge – sind alle Objekte eindeutig referenziert und protokolliert?

• Werden technische Freigaben dokumentiert (bei High-Criticality immer mit 4-Augen)? Evidenz: Freigabeprotokolle; Stichprobe: 10 abgeschlossene Arbeiten an kritischen Anlagen – liegt Freigabevermerk vor?

• Werden Nichtkonformitäten mit RCA/CAPA behandelt und Wirksamkeit geprüft? Evidenz: Abweichungsberichte, CAPA-Status; Stichprobe: 10 Fälle (z. B. 5 interne, 5 Lieferantenabweichungen) – sind Ursachen ermittelt und Maßnahmen abgeschlossen samt Erfolgskontrolle?

Foundation: Pläne und Grundsteuerung vorhanden; Intermediate: End-to-End-Workflow digital abgebildet, Lieferantensteuerung aktiv; Advanced: Predictive/Condition-based Maintenance teilweise umgesetzt, automatisierte Sperr-/Freigaben im System, robuste Lieferantenentwicklung etabliert (Scorecards mit Wirkung).

• Gibt es eine definierte KPI-Bibliothek mit Formel, Quelle, Intervall und Zielwerten (DACH-typisch)? Evidenz: KPI-Katalog, Dashboard-Screenshot; Stichprobe: 12 KPIs (je 3 pro Bereich Hard, Soft, Workplace, Energie).

• Sind Eskalationsregeln bei Zielverfehlung aktiv (Ampel, Alerts)? Evidenz: Eskalations-Log; Stichprobe: 5 Eskalationsfälle (z. B. KPI rot → wer wurde informiert, was geschah?).

Foundation: Basis-KPIs/Audits implementiert; Intermediate: Trendanalyse und Ursachenabstellung bei Abweichungen üblich; Advanced: Benchmarking mit Besten der Branche, Data-Analytics (z. B. Ausreißererkennung), integrierte Review-Schleifen (Ergebnisse der Reviews fließen konsequent in Planung und Schulung zurück).

• Ist eine RCA-Methodik (5-Why, Ishikawa, FMEA-Update) standardisiert und wird konsistent angewandt? Evidenz: RCA-Dokumente (Vorlagen, ausgefüllte Analysen); Stichprobe: 10 Abweichungsfälle – liegen RCAs vor?

• Werden CAPA abgeschlossen mit Wirksamkeitsprüfung und Update von SOP/Training? Evidenz: CAPA-Register (Status Wirksamkeitsprüfung), geänderte SOPs; Stichprobe: 10 CAPA-Maßnahmen – haben sie ein Wirksamkeits-Häkchen, wurde falls nötig Dokumentation angepasst?

• Sind proaktive Verbesserungen (Standardisierung, Automatisierung, Predictive Maintenance) nachgewiesen? Evidenz: KVP-Backlog, Projektlisten; Stichprobe: 3 KVP-Initiativen – Ergebnis umgesetzt und Nutzen belegt?

Foundation: Korrekturmaßnahmen vorhanden (aber reaktiv); Intermediate: CAPA-Wirksamkeit wird geprüft (z. B. Abweichung trat nicht wieder auf); Advanced: Lernschleifen implementiert (jede Abweichung führt zu Verbesserung im System), präventive Steuerung etabliert (z. B. Trendanalyse-Verfahren).

• Reinräume/sterile Bereiche: Validierte Reinigungsverfahren in Anwendung? Partikel- und mikrobiologische Monitoring-Trends im grünen Bereich? Druckkaskaden-Überwachung i. O.? Evidenz: Reinraumklassifizierungsberichte, Monitoring-Daten; Stichprobe: 3 Reinräume – Protokolle der letzten Klassifizierung und Monitoring letzter 3 Monate prüfen. Gate: 4-Augen-Freigabe, Zutritt nur qualifiziertes Personal.

• Trinkwasserhygiene (VDI 6023): Wird der Probenahmeplan eingehalten? Liegt eine Gefährdungsanalyse vor? Werden bei Legionellenbefund Maßnahmen (Spülung, Desinfektion) fristgerecht umgesetzt? Evidenz: Laborberichte, Gefährdungsanalyse-Dokument, Maßnahmenprotokolle; Stichprobe: 10 Proben – waren alle pünktlich, Befunde < Grenzwert, falls nein Maßnahmen binnen Frist? Gate: nur qualifizierte Probennehmer im Einsatz; Sperr-/Desinfektionsprotokoll vorhanden.

• Brandschutz: Sind alle Wiederkehrprüfungen (BMA, RWA, Sprinkler etc.) gemäß PrüfVO erfolgt? Wird Mängelmanagement betrieben (Mängel->beseitigt->Freigabe)? Sind Übungen dokumentiert? Evidenz: Betriebsbücher, Prüfberichte, Übungsprotokolle; Stichprobe: 10 Mängelketten – wurden alle Mängel binnen Frist behoben und dokumentiert? Gate: Wiederinbetriebnahme erst nach Mängelfrei-Prüfung und Freigabe.

• Medizinische Gase: Wird Reinheits- und Druckmonitoring kontinuierlich durchgeführt? Funktionieren Alarme und Notfallversorgung (z. B. O₂-Reserve) – getestet? Evidenz: Prüf-/Alarmprotokolle, Lieferantenserviceberichte; Stichprobe: 5 Ereignisse (Alarm oder Umschaltung) – Reaktion dokumentiert, Notfallplan gegriffen? Gate: Redundanz- und Umschaltproben sind dokumentiert, Alarmketten regelmäßig getestet.

• Scoring-Vorgehen: Je Prüffrage wird ein Score 0–5 und ein Evidenzgrad E1–E3 vergeben. Die Scores werden mit Kritikalitäts- und Expositionsfaktoren multipliziert, um eine gewichtete Gesamtwertung je Prozess/Standort zu erhalten. Darstellung erfolgt in Heatmaps (rot = kritische Lücken; gelb = mittel; grün = okay).

• Priorisierung: Rot (Priorität ≥6) = Sofortmaßnahmen innerhalb 30 Tagen; Gelb (3–5) = Maßnahmen innerhalb 90 Tagen; Grün (<3) = überwachen/weiter optimieren. Gatekeeper-Verstöße (fehlende Muss-Kontrollen) sind automatisch rot und werden sofort an das QMS-Board eskaliert.

• Maßnahmenkategorien: Die Maßnahmen werden nach Kategorien gruppiert: Governance/Policy (z. B. RACI schärfen, Verantwortlichkeiten neu formalisieren), Prozess/SOP (Prozessänderung, neue/angepasste Verfahrensanweisung), People/Kompetenz (Training, Re-Qualifizierung), Technik/CAFM (Workflow ändern, System-Gates einführen), Daten/MDM (Pflichtfelder ergänzen, Validierungen verschärfen), Lieferanten (Qualifikation verbessern, Audit, Vertragsupdate).

• Wirksamkeitsprüfung: Erfolge werden an KPI-Verbesserungen gemessen, Audit-Follow-ups, Stichproben-Re-Performances (Auditor prüft dasselbe später nochmal). In kritischen Fällen kann eine externe Verifizierung (z. B. Gutachter, TÜV) beauftragt werden, um die Wirksamkeit zu bestätigen.

• 0–90 Tage: Alle Gatekeeper-Lücken schließen (sofort Qualifikationen/Prüfungen nachholen), kritische Prüf- oder Kalibrier-Backlogs abbauen, Minimal-SOPs erlassen wo noch Lücken, RACI/Eskalation finalisieren, Lieferanten-Eingangskontrollen verschärfen.

• 90–180 Tage: Vollständige KPI-Implementierung, internes Auditprogramm ausrollen, CAFM-Gates überall aktivieren, Trainingsmatrix live schalten, Lieferantenentwicklung starten (Scorecards, Q-Meetings).

• 180–360 Tage: Advanced-Kriterien anstreben: prädiktive Ansätze einführen (z. B. Condition Monitoring), Analytics und Benchmarking nutzen, integrierte Management-Review-Schleifen etablieren (z. B. halbjährliches integriertes Audit QHSE), externe Reviews einholen für kritische Themen.

Der Stichprobenplan ist risikobasiert zu gestalten (anlagenkritische Bereiche stärker beproben, hohe Fehlerhistorie → mehr Proben). Kombinieren Sie Dokumentenprüfung, System-Abfragen (z. B. CAFM-Reports) und Vor-Ort-Observation (Begehungen, Personalinterviews), um ein vollständiges Bild zu erhalten. Achten Sie auf Unabhängigkeit bei High-Criticality: Freigaben sollten stets auch stichprobenartig unabhängig geprüft werden. Typische Abweichungen sind z. B. unvollständige Kalibrier-/Prüfnachweise, fehlende Qualifikationsverknüpfungen im System, unklare RACI in manuell gelebten Prozessen, manuelle Freigaben ohne Audit-Trail oder unkontrollierte Subunternehmer-Einsätze. Best Practices, auf die Sie hinwirken können, sind z. B. systemische Gates, datengestütztes Risiko-Scoring, CAPA mit messbaren Wirksamkeitsmetriken und gemeinsame Audits mit Dienstleistern.

Diese Checkliste ermöglicht eine konsistente, risikoorientierte Beurteilung der ISO-9001-Konformität im FM und leitet priorisierte, wirksamkeitsgeprüfte Maßnahmen ab – mit besonderem Fokus auf unverzichtbare High-Criticality-Kontrollen.

Ziel und Leitprinzipien: Der Kompetenzrahmen definiert für zentrale FM-Rollen die gesetzlich/normativ geforderten Qualifikationen, die erforderlichen Fach- und Verhaltenskompetenzen sowie die Nachweisführung und Re-Qualifizierungsintervalle. Er ist risikobasiert (High-Criticality im Fokus), prozessorientiert (gerichtet an ISO 9001/41001) und digital integriert (CAFM als „Single Source of Truth“ mit systemischen Freigabegates für Qualifikationen).

• Rechtssicherheit und Stand der Technik: Alle Anforderungen orientieren sich an den geltenden Vorschriften (TRBS, DGUV, VDI/GEFMA, ISO 14644/41001/9001/14001/45001). So wird sichergestellt, dass die Kompetenzen dem Stand der Technik entsprechen und rechtlich belastbar sind.

• Kompetenz als Freigabekriterium: Niemand wird in kritischen Tätigkeiten eingesetzt, ohne gültigen Nachweis der erforderlichen Kompetenz. Das CAFM dient hier als Gatekeeper – z. B. kann ein Reinraumauftrag nur einem Mitarbeiter mit gültiger Reinraumschulung zugewiesen werden.

• Lebenszyklusorientierung: Der Kompetenzprozess umfasst den gesamten Mitarbeiterlebenszyklus: Onboarding (Einarbeitung) → Befähigung (Training on the Job) → Re-Qualifizierung (Auffrischungen) → Wirksamkeitskontrolle (Praxischecks, Prüfungen) → Lessons Learned (Erfahrungen fließen in neue Trainings ein).

• Lieferanten integriert: Externe Teams (Dienstleister) unterliegen gleichwertigen Anforderungen. Ihre Mitarbeiter müssen ebenfalls Qualifikationen nachweisen und auditierbar geschult werden. Das FM-QMS verlangt, dass externe Nachweise hochgeladen und kontrolliert werden (z. B. Nachweis VDI 6022-Schulung der externen Lüftungsreiniger).

• Fachkompetenz: Anlagen-, Hygiene- und Sicherheits-Know-how; Verständnis der Mess- und Prüftechnik.

• Regelwerkskompetenz: Kenntnisse ArbSchG, BetrSichV, TRBS 1201/1203, DGUV V3, relevante VDI-Richtlinien (3810, 6022, 6023, 2083), PrüfVO Brandschutz etc.

• Prozess-/Q-Kompetenz: Fähigkeit, SOPs anzuwenden, Dokumentenlenkung einzuhalten, CAPA und RCA durchzuführen.

• HSE/Operational Excellence: Gefährdungsbeurteilung erstellen, Permit-to-Work verfahren, Lockout/Tagout (LoTo) Prinzip, ggf. GMP-ähnliche Disziplin (bei High-Crit).

• Digitale Kompetenz: CAFM/IWMS nutzen, mobile Workflows bedienen, Datenqualität sicherstellen, E-Signatur einsetzen.

• Sozial-/Führungskompetenz: Kommunikation, Eskalation, Konfliktlösung, ggf. Mitarbeiterführung und Coaching (für Leitungsrollen).

• Foundation: kennt die SOPs und Grundpflichten seiner Rolle, arbeitet unter Anleitung, dokumentiert vollständig.

• Intermediate: beherrscht die End-to-End-Prozesse eigenständig, interpretiert das Regelwerk zutreffend, führt Unterweisungen/Toolbox Talks im Team durch.

• Advanced: wirkt als Gatekeeper, Trainer oder interner Auditor, optimiert aktiv Prozesse, nutzt Daten für präventive Ansätze (Predictive Maintenance, Analytics).

• Aufgaben: Verantwortlich für die Governance der technischen Instandhaltung, Prüfplanung (nach TRBS 1201), Bewertung Anlagenkritikalität, Steuerung externer Serviceteams, Freigabe/Sperr-Entscheidungen bei technischen Anlagen.

• Pflichtqualifikationen: Befähigte Person gem. TRBS 1203 (anlage-/gewerkespezifisch, z. B. für Druckbehälter, Aufzüge etc.), Kenntnis DGUV V3 (Elektro), Grundlagen VDI 3810/6022 (je nach Anlage).

• Skills: Methoden der RCA/FMEA, Management of Change (Änderungsverfahren), Vertrags- und SLA-Steuerung (für Dienstleister), CAFM-Reporting auswerten können.

• Nachweise: Ernennungsurkunden als Befähigte Person, Delegationsschreiben, Zertifikate (z. B. Aufzugswärter), Audit-/Freigabeprotokolle mit seiner Unterschrift.

• Re-Qualifizierung: jährliche HSE- und Rechtsupdates; fachspezifische Fortbildung (TRBS/VDI) branchenüblich alle 3 Jahre.

• Aufgaben: Führt präventive und korrektive Instandhaltungen durch, erledigt Prüfungen und Kalibrierungen, analysiert Störungen vor Ort.

• Pflichtqualifikationen: TRBS 1203 Befähigung für relevante Arbeitsmittel (z. B. Kesselwärter), Elektrofachkraft (DGUV V3) falls elektrisch tätig, Schulung in LoTo/Permit-to-Work, ggf. RLT-Hygiene-Grundlagen (VDI 6022) je Einsatz.

• Skills: Mess- und Prüftechnik anwenden, technische Zeichnungen/Pläne lesen, sichere Dokumentation mobil in CAFM, Arbeitssicherheitsvorschriften einhalten.

• Nachweise: Befähigungsnachweise (Zertifikate, z. B. „Befähigte Person Druckbehälter“), von ihm erstellte Kalibrier-/Prüfprotokolle, abgeschlossene Arbeitsaufträge mit E-Signatur.

• Re-Qualifizierung: jährliche DGUV-Unterweisung (Arbeitsschutz); Technik- und Hygienethemen Refresh alle 2–3 Jahre (sofern nicht durch neue Vorschrift früher gefordert).

• Aufgaben: Erstellt Hygienepläne, überwacht hygienisches Monitoring (z. B. Trinkwasser, Raumluft), schult Reinigungskräfte, führt interne Hygiene-Audits durch; Schnittstelle zu Fachbereichen (Kliniken, Labore) in Sachen Hygiene.

• Pflichtqualifikationen: VDI 6022 Kategorie A (Lüftungshygiene), VDI/DVGW 6023 (Trinkwasser, je nach Zuständigkeit mindestens Kat. B), mikrobiologische Grundkenntnisse (z. B. MTLA oder Fortbildung Hygienetechnik).

• Skills: Methoden der Validierung und Wirksamkeitsprüfung (ATP-Messung, Abklatschproben), Probenahme-Technik, Eskalationsmanagement bei Hygienefunden (z. B. Hygienealarm auslösen, wenn…).

• Nachweise: Schulungszertifikate (VDI 6022/6023), Laborberichte der Proben (mit ihrer Freigabe), interne Hygieneaudit-Berichte.

• Re-Qualifizierung: Hygiene-Fortbildung branchenüblich alle 2–3 Jahre; jährliche Awareness-Schulungen intern (z. B. neues Infektionsschutzgesetz, falls relevant).

• Aufgaben: Verantwortlich für die Reinigung von Reinräumen (inkl. Umkleide-/Schleusenprozesse), Durchführung Partikel-/Mikrobiomonitoring, Überwachung Druckkaskaden, Schulung anderer in Reinraumverhalten.

• Pflichtqualifikationen: Reinraumschulung gemäß ISO 14644/VDI 2083 (korrektes Verhalten und Reinigen im Reinraum); ggf. Zusatz RLT-Hygiene (VDI 6022) falls Belüftungskomponenten gereinigt werden.

• Skills: Lückenlose Dokumentation (Reinraumreinigungsprotokolle ausfüllen), Umgang mit Messgeräten (z. B. Partikelzähler), Kenntnis der Kontaminationsprävention (Personalschleuse, Verpackungen).

• Nachweise: Trainingszertifikate, Reinraumklassifizierungs- und Monitoringreports mit seinen Einträgen, ausgefüllte Reinigungsprotokolle.

• Re-Qualifizierung: jährliches Verhaltenstraining im Reinraum; technische Auffrischung alle 2 Jahre (Praxis-Check, Workshop).

• Aufgaben: Unterstützt die Führungskräfte im Arbeitsschutz, führt Sicherheitsbegehungen durch, analysiert Unfälle/Beinaheunfälle, hält Unterweisungen ab.

• Pflichtqualifikationen: Ausbildung zum Sicherheitsbeauftragten (DGUV-Programm), Kenntnisse der ArbSchG/BetrSichV-Pflichten, Schulung in LoTo/Permit-to-Work.

• Skills: Durchführung von Gefährdungsbeurteilungen, Kommunikations- und Moderationsfähigkeit (Sicherheitsausschuss leiten), Umgang mit Kennzahlen (Unfallstatistik analysieren).

• Nachweise: Ernennungsschreiben als SiBe, Jahres-Unterweisungspläne, Protokolle von Sicherheitsbegehungen, Unfalluntersuchungsberichte.

• Re-Qualifizierung: jährliche fachspezifische Fortbildung (z. B. neue UVV), jährliche Sicherheitsunterweisung der Mitarbeiter (organisiert/durchgeführt vom SiBe).

• Aufgaben: Verwalter des Datenmodells im CAFM, pflegt Rollen-/Rechte, konfiguriert Workflows und Gates, betreibt Master-Data-Management (MDM), erstellt Reports/Dashboards.

• Pflichtqualifikationen: Verständnis GEFMA 444 Prozesse (um CAFM sinnvoll zu konfigurieren), Datenschutzkenntnisse (DSGVO) für Umgang mit personenbez. Daten, Grundlagen eIDAS (für Signaturthemen).

• Skills: Sicherstellen der Datenqualität, Betreuung von Schnittstellen (BIM, CMMS, IoT), Design von KPI-Dashboards, Audit-Trail-Auswertungen machen können.

• Nachweise: MDM-Konzepte (Datenpflegekonzept), Berechtigungsmatrix (wer darf was im System), Änderungsprotokolle (welche Felder wann angepasst).

• Re-Qualifizierung: jährliche System-/Security-Refresh-Schulung (neue Features, Sicherheit), Schulungen bei Software-Releases (Hersteller-Trainings).

• Aufgaben: Verantwortlich für das Facility Management an einem Standort: koordiniert alle Services, überwacht SLA-/KPI-Erfüllung, eskaliert Probleme, verwaltet Budget, steuert lokale Dienstleister.

• Pflichtqualifikationen: Kenntnis der Betreiberpflichten (GEFMA 190), Grundlagen in ArbSchG/BetrSichV (um Pflichten zu erkennen), Schulung in Notfall- und Krisenmanagement.

• Skills: Führungs- und Kommunikationsfähigkeit (leitet Team vor Ort, Schnittstelle zu Kunde/Nutzern), CAPA-Steuerung (setzt Maßnahmen um, z. B. Mängel abstellen), Auditfähigkeit (vorbereiten und begleiten von Audits), Reporting an FM-Leitung.

• Nachweise: Managementreview-Berichte auf Standortebene (verfasst durch ihn), Maßnahmenpläne (z. B. Abarbeitung Mängel), Standort-KPI-Dashboards.

• Re-Qualifizierung: jährliche Refresh-Schulungen zu Rechts-/Complianceänderungen und Notfallmanagement; Führung/Kommunikationstraining alle 2 Jahre.

• Aufgaben: Annahme von Tickets/Störungsmeldungen, Priorisierung, Kundenkommunikation, Nachverfolgung der SLA-Einhaltung für Tickets.

• Pflichtqualifikationen: Kenntnis des Servicekatalogs/der SLAs, Datenschutz-Schulung (DSGVO) wegen Umgang mit Personendaten (z. B. Namen in Tickets), HSE-Meldewege (damit z. B. bei Unfallmeldung richtig reagiert wird).

• Skills: Deeskalation (ruhig mit aufgebrachten Nutzern umgehen), Prozessrouter (Ticket richtig zuordnen), CAFM operativ bedienen, gute Dokumentation (Ticket vollständig pflegen).

• Nachweise: Schulungsnachweise (z. B. CAFM-Anwendertraining, Kommunikationstraining), Ticket-Logs (Bearbeitungszeiten, Antworten), QA-Monitoring (z. B. Zufriedenheitsumfragen nach Ticket).

• Re-Qualifizierung: jährlich Refresh in SLA-Regeln/Kommunikation/DSGVO.

• Aufgaben: Erstellt Reinigungs- und Desinfektionspläne, führt AQL-Qualitätsprüfungen durch, steuert Verbrauchsmittel (Lager), trainiert Reinigungspersonal.

• Pflichtqualifikationen: VDI 6022-Grundlagen (Lüftungshygiene), Reinraumreinigungs-Schulung nach ISO 14644/VDI 2083 falls High-Criticality-Bereiche betreut.

• Skills: Anwenden validierter Verfahren (kennt Wirksamkeitsnachweise), Farbcode-/Zonenkonzepte beherrschen, Hygienemonitoring verstehen, Lieferanten (Reinigungsmittel) steuern und bewerten.

• Nachweise: Reinigungspläne, Qualitätsprüfprotokolle (AQL-Checks), Trainingsteilnehmerlisten, Wirksamkeitsnachweise (z. B. Abklatschtestergebnisse im Trend).

• Re-Qualifizierung: alle 2 Jahre Auffrischung (neue Reinigungsmethoden etc.); in High-Criticality-Bereichen jährlich.

• Aufgaben: Verantwortet Speisenhygiene und Allergenmanagement, steuert die Lieferkette (Lebensmittelbeschaffung), überwacht Kühlkettentemperaturen, organisiert Entsorgung von Küchenabfällen/Fettabscheidern.

• Pflichtqualifikationen: EU-Lebensmittelhygiene-Verordnung (VO 852/2004) vertraut, HACCP-Ausbildung, IfSG-Unterweisung (Infektionsschutz für im Lebensmittelbereich Tätige).

• Skills: Durchführung von Audits (z. B. interne Küchenhygienechecks), lückenlose Rückverfolgbarkeit (Chargendoku), Lieferantensteuerung (z. B. Qualitätskontrollen Wareneingang).

• Nachweise: HACCP-Pläne der Küche, Temperatur- und Reinigungsprotokolle, Schulungsnachweise (Allergenmanagement, Infektionsschutz).

• Re-Qualifizierung: jährlich Lebensmittelhygiene/HACCP/IfSG-Unterweisung.

z. B. Brandschutzbeauftragter (gem. vfdb 12-09/01, falls gesetzlich gefordert), Trinkwasserverantwortlicher/Probenehmer (gem. VDI/DVGW 6023), Energiemanager (Grundlagen ISO 50001) – je nach Unternehmensstrategie können solche Spezialrollen benannt werden.

Die angegebenen Intervalle für Auffrischungen sind, soweit nicht gesetzlich fixiert, branchenübliche Standards. Im Einzelfall sind sie an Hersteller- oder Behördenvorgaben anzupassen.

• Pflicht-Compliance: rechtliche Grundlagen (ArbSchG/BetrSichV/TRBS), DGUV-Unterweisungen (jährlich), Datenschutz/IT-Sicherheit (DSGVO, eIDAS für Signaturen), Betreiberpflichten (GEFMA 190 Überblick).

• Technische Kerntrainings: TRBS 1203 spezifisch für jeweilige Rolle/Arbeitsmittel, DGUV V3 Elektro, VDI 3810 (allg. Betrieb TGA), VDI 6022/6023 (Hygiene Raumluft/Trinkwasser), ISO 14644/VDI 2083 (Reinraum), sowie Schulungen für Brandschutz-Prüfungen gemäß PrüfVO.

• Prozess-/Q-Trainings: ISO 9001/41001 Grundlagen, Schulung in der Anwendung der eigenen SOPs, Dokumentenlenkung/Qualitätsaufzeichnungen, CAPA/RCA-Methoden, interne Auditfähigkeiten (wie bereite ich mich vor).

• Digitale Trainings: Umgang mit CAFM-Workflows (Ticket abschließen, Auftrag anlegen), Nutzung mobile App, MDM-Regeln (wie pflege ich Daten richtig), KPI-/Dashboard-Interpretation.

• HSE/Notfall: Lockout/Tagout (LoTo), Permit-to-Work-Verfahren, Ersthelfer/Brandschutzhelfer (für genügend Personal mit diesen Skills), Notfall- und Evakuierungsübungen.

• Soft Skills: Kommunikationstraining, Konfliktlösung, Kundenorientierung, Führung (für Team- und Objektleiter).

• 0–30 Tage: Sicherheitsgrundlagen (Arbeitsschutz, Notfälle), Standortinduktion (Lokalitäten, Besonderheiten), SOP-Basics (wichtigste Anweisungen lesen), Systemzugänge (CAFM-Login etc.), erste Schattenläufe (neuer Mitarbeiter läuft mit erfahrenem mit).

• 31–60 Tage: rollenspezifische Techniktrainings (z. B. VDI 6022 Kategorie B für Reinigungspersonal oder Technik), Einarbeitung ins Ticket- und Auftragswesen (selbst erste Tickets bearbeiten), erste Wirksamkeitskontrolle (Mentor prüft Arbeitsergebnis).

• 61–90 Tage: High-Criticality-Spezialmodule (z. B. Reinraumverhalten, Trinkwasser-Probenahme) bei Bedarf, Teilnahme an Notfallübungen, nach 90 Tagen Freigabe, eigenständig gewisse Tätigkeiten auszuführen (Gate-Freigabe in CAFM für eigenständigen Einsatz ohne Mentor).

• Pflicht-Refresh (jährlich): z. B. Arbeitssicherheits-Unterweisung (DGUV), Datenschutz-Unterweisung, Erinnerung an Eskalations-/Meldewege, Lessons Learned aus letzten Vorfällen.

• Toolbox Talks (monatlich/ereignisbezogen): Kurzschulungen z. B. nach Beinaheunfällen („Was lernen wir daraus?“), zu Abweichungstrends (häufen sich falsche Schalthandlungen, dann 15 Min. Reminder), zu saisonalen Risiken (Sommerhitze, Winterdienst) oder Änderungen in SOPs/Anlagen.

• Microlearning (quartalsweise): 10–15 Minuten E-Learning-Module zu häufigen Prozessfehlern, Datenqualität („Datenbankpflege einfach gemacht“), E-Signatur richtig nutzen, Fremdfirmenkoordination Essentials – um Wissen häppchenweise zu festigen.

• Wirksamkeitskontrolle: Nach Trainings werden Wissenstests oder Praxisbeobachtungen (Field Assessments) durchgeführt. Auch wird die KPI-Korrelation beobachtet (z. B. Fehler-/Nacharbeitsquote sinkt nach Schulung → Wirksam). So wird der Erfolg von Trainings bewertet.

• Datenfelder: Im CAFM sind pro Mitarbeiter die Rollenprofile, Pflichtqualifikationen (mit Norm/Scope), Zertifikats-IDs, Aussteller, Ausstell-/Ablaufdatum, gültige Standorte und Dokumentenanhänge (PDF-Zertifikate) erfasst. Verknüpfungen zu Arbeitsmitteln/Prozessen existieren (z. B. ein Befähigungsnachweis ist mit den Anlagen verknüpft, die er betrifft).

• Gates & Workflows: Der Arbeitsauftrag wird im System nur freigegeben, wenn eine gültige Qualifikation und ggf. ein aktueller Kalibrierstatus vorliegen. Das System sendet automatische Erinnerungen 90/30/7 Tage vor Ablauf von Qualifikationen. Bei Fristablauf eskaliert es an die Objektleitung (Meldung: „Mitarbeiter XY Quali abgelaufen“).

• Dashboards/KPIs: Es gibt Kennzahlen wie Trainingsabdeckung (% Mitarbeiter mit allen Pflichtschulungen erfüllt), Qualifikationsverfall < 30 Tage (wie viele Nachweise laufen in <30 Tagen ab), Anteil Aufträge durch qualifiziertes Personal (soll 100 % sein), Audit-Abweichungen Kategorie „Kompetenz“ pro 1000 Aufträge. Diese KPIs machen sichtbar, ob Schulungen up-to-date sind.

• Audit-Trail: Das System versioniert Schulungsinhalte (man sieht, wann eine Schulung aktualisiert wurde), Teilnahmelisten mit E-Signatur werden gespeichert, und Re-Performance-Protokolle (z. B. Praxischeck nach 6 Monaten erneut) werden dem Mitarbeiterdatensatz zugeordnet.

• Vertragsanforderungen: Verträge mit Dienstleistern verlangen, dass deren Mitarbeiter gleichwertig qualifiziert sind (z. B. muss Lüftungsreiniger ein VDI 6022-Zertifikat vorlegen). Dienstleister müssen Nachweise hochladen, an Audits und Schulungen teilnehmen (für sie relevante). Subunternehmer müssen vom Hauptdienstleister vertraglich auf diese Anforderungen verpflichtet werden (Flow-down).

• Onboarding: Externe durchlaufen eine Sicherheits- und Compliance-Induktion, bekommen systemische Zugänge (z. B. Tickettool) und Briefings zu den SOPs. In einer Probezeit wird mit erhöhter QS-Stichprobe kontrolliert, ob sie die Standards einhalten.

• Verifikation: Es werden stichprobenartig Zertifikate externen Personals geprüft (Originaleinsicht oder Abgleich mit Aussteller), Vor-Ort-Beobachtungen der Dienstleisterleistungen durchgeführt, Lieferantenscorecards enthalten Kriterien zu Kompetenz/HSE. Bei Nichterfüllung gibt es Sanktionen bis hin zur Sperrung (Ausschluss des Mitarbeiters oder der Firma).

• Indikatoren: z. B. Trainingsabdeckung je Rolle/Standort ≥ 95 % (alle Pflichtschulungen erfüllt); Qualified First Pass (Anteil Aufträge, die beim ersten Mal ohne Nacharbeit erledigt wurden, bei High-Crit ≥ 98 %); Auditindikator „Kompetenz“ (Abweichungen in Audits wegen fehlender Kompetenz pro 1000 Aufträge); Ereigniskennzahl (HSE-Events/Beinaheunfälle mit „menschlichem Fehler“ als Ursache).

• Methoden: Jede Kompetenz-bezogene Abweichung wird per RCA analysiert (war Schulung unzureichend? Mitarbeiter unaufmerksam? falsche Person zugewiesen?). Korrelationen zwischen Training und KPI werden gezogen (z. B. hat zusätzl. Schulung Ausfälle reduziert?). Peer Reviews/Skill Checks: Erfahrene Kollegen prüfen sporadisch die Arbeit neuerer (4-Augen-Prinzip-Lernschleife). Shadow Audits: Interne Auditoren begleiten Dienstleister oder interne Teams stichprobenartig und coachen vor Ort.

• KVP: Trainingsinhalte werden nach CAPA oder Lessons Learned aktualisiert. Intervalle für Re-Qualifizierung werden angepasst, wenn Risiko oder Technik sich ändern (z. B. neue Vorschrift → öfter schulen).

• Verantwortung: Das QMS-Board trägt die Richtlinienkompetenz und überprüft jährlich das Schulungsprogramm. HR/Learning-Abteilung verwaltet den Schulungskatalog und steuert externe Dozenten. FM-Fachbereiche liefern Inhalte und Trainer (z. B. ein erfahrener Techniker schult neue). HSE steuert Pflichtunterweisungen (Arbeitsschutz). CAFM-Admin pflegt Daten und Gates.

• Budget/Planung: Es gibt einen jährlichen Trainingsplan je Standort/Service, inkl. Budget für Schulungen. Reserven sind eingeplant für ad-hoc-Sicherheitsbriefings (z. B. nach Unfall) und Rechtsänderungen (z. B. neue Norm → Schulung).

• Dokumentation: Schulungskonzepte, Trainerqualifikation, Teilnehmerlisten, Feedback und Wirksamkeitsauswertungen werden dokumentiert und in Reviews genutzt.

Dieser Kompetenzrahmen mit verankerter Trainingsmatrix stellt sicher, dass die richtige Person zur richtigen Zeit mit der richtigen Befähigung handelt – auditfest, digital gesteuert und risikoadaptiv, insbesondere in High-Criticality-Umgebungen.

• Zweck: Die KPI-Bibliothek enthält transparente, steuerungsrelevante Kennzahlen, um Verfügbarkeit, Qualität, Compliance und Wirtschaftlichkeit im hybriden FM sicherzustellen. Jede Kennzahl soll einen Beitrag liefern, die Leistung zu beurteilen und bei Abweichung frühzeitig einzugreifen.

• Klassifikation: Output-KPIs: Messen die Prozessleistung und Konformität (z. B. fristgerecht durchgeführte Prüfungen, Planerfüllungsgrad). Sie zeigen, ob wir machen, was wir machen sollen.

• Outcome-KPIs: Messen die Wirkung beim Nutzer oder auf das Gesamtsystem (z. B. Anlagenverfügbarkeit, Hygiene- oder Sicherheitsniveau, Energieintensität, Nutzerzufriedenheit). Sie zeigen, ob unser Tun das gewünschte Ergebnis bringt.

• Datenquellen (CAFM/CAFM): Die meisten Kennzahlen beziehen ihre Daten aus dem CAFM/IWMS: Asset-Register (Anlagestammdaten, Kritikalität), Arbeitsauftrags- und Prüfmodule (Fälligkeiten, Erledigungsstatus), Ticketing/Service Desk (Reaktionszeiten, Lösungsquoten), Reinigungs-QA (Ergebnisse AQL, ATP-Tests), HSE/Incident-Modul (Unfallzahlen, Beinaheunfälle), Zähler-/Energiedaten (via Energiemanagement oder Import aus IoT), Lieferanten-/SLA-Modul (Vertrags- und Leistungsdaten), Umfragetools (für Zufriedenheit), Schnittstellen z. B. zu Access Control (Zutrittsalarme), BMS (Gebäudeleittechnik-Events) oder IoT-Sensorik (Raumklima, Zähler).

• Messdisziplin: Für jede KPI gibt es eine einheitliche Definition/Formel, ein festgelegtes Messintervall (z. B. monatlich, rollierend über 3 Monate), eine belastbare Datenquelle (Single Source of Truth), einen Ziel- oder Schwellenwert, der sich an DACH-Benchmarks orientiert. Eskalationslogik (RAG: rot/gelb/grün) ist definiert, wann reagiert werden muss.

• RAG-Logik: Grün = Ziel erreicht oder übertroffen; Gelb = Abweichung bis ca. 10 % vom Ziel; Rot = > 10 % Abweichung bzw. Gatekeeper-Verstoß (bei High-Criticality) oder gesetzliche Nichteinhaltung.

• Zeitliche Dimension: Eine einmalige rote Abweichung in High-Criticality-Prozessen führt zu sofortiger Eskalation an das QMS-Board; zwei gelbe Abweichungen in Folge werden wie rot behandelt (Eskalation + CAPA).

• CAPA-Pflicht: Bei Rot muss innerhalb 5–10 Arbeitstagen eine RCA erfolgen und Maßnahmen mit Verantwortlichem/Termin definiert werden; Wirksamkeitsnachweis innerhalb 30–60 Tagen muss erbracht sein. Bei Gelb wird eine Maßnahmenliste erstellt und überwacht; bei Wiederholung wird auf Rot eskaliert.

• Lieferantensteuerung: KPI-Verfehlungen durch Dienstleister fließen in deren Scorecards ein; Eskalationsstufen: Review-Gespräch → Verbesserungsplan → Audit → Vertragsmaßnahmen (z. B. Kürzung Vergütung, im Extrem Wechsel Dienstleister).

• Datenqualität: KPIs ohne valide Datenbasis werden nicht berichtet (z. B. eine Prüfquote, wenn Daten unvollständig – erst Datenqualität herstellen). Rote Eskalation an CAFM/MDM-Verantwortliche bei Datenlücken, um diese zu schließen.

Diese KPI-Bibliothek verbindet Prozesskonformität und Wirksamkeit, ist digital auditierbar und risikoadaptiv. Sie schafft klare Steuerungsimpulse für Betreiber, interne FM-Teams und Dienstleister – insbesondere in High-Criticality-Umgebungen, wo Transparenz und Fehlerfreiheit essenziell sind.

Dieses Kapitel stellt auditfeste, standardisierte SOPs/Verfahrensanweisungen für zentrale FM-Prozesse bereit. Jede SOP folgt einem einheitlichen Baukasten, der Folgendes umfasst: Metadaten, Ziel/Zweck, Geltungsbereich, Inputs/Outputs, Rollen (inkl. RACI), Ablaufschritte, Risiken/Kontrollen, verknüpfte Dokumente, CAFM-Integration und KPI-Monitoring. High-Criticality-Kontrollen sind als Gatekeeper im Ablauf gekennzeichnet.

• Titel, ID, Version, Gültigkeitsbereich/Standorte, Ersteller/Prüfer/Freigeber (jeweils mit E-Signatur), Datum der Freigabe, Revisionshistorie.

• Verweise: relevante Gesetze/Normen (ISO 9001/41001, ArbSchG, BetrSichV, TRBS, DGUV, VDI/GEFMA etc.), lokale Anhänge (spezifische Anweisungen pro Standort).

• Geltungsdauer/Reviewintervall: z. B. 12–24 Monate gültig, dann Review erforderlich. Schulungspflicht: Angabe, welche Rollen diese SOP kennen müssen (Teil der Trainingsmatrix). Datenschutzklassifizierung: falls zutreffend (z. B. interne Information).

Alle SOPs sind „Digital First“ im CAFM gepflegt – d. h. als Dokument hinterlegt und via Workflow verteilt. Dokumentenlenkung wird voll elektronisch abgebildet (Freigaben per eSignatur, Audit-Trail). Pflichtfelder, Anhänge und System-Gates sind entsprechend konfiguriert, sodass Abläufe in CAFM unterstützt/erzwungen werden.

• Ziel/Zweck: Sicherer, regelkonformer und wirtschaftlicher Betrieb aller technischen Anlagen; Einhaltung aller gesetzlicher/behördlicher Prüffristen (TRBS 1201, DGUV V3, Brandschutz-PrüfVO etc.), lückenlose Nachweisführung der durchgeführten Maßnahmen.

• Geltungsbereich: Hard FM für alle prüf- und wartungspflichtigen Anlagen (HKLS, RLT, Trinkwasser, Aufzüge, Druckgeräte, Brandmelde-/Alarmanlagen, Sprinkler/RWA, USV/Notstrom, MSR etc.).

• Inputs: Anlagenregister mit Kritikalitätseinstufung, Wartungs- und Prüfkatalog (Frequenzen nach Gesetz/Hersteller), aktuelle Herstellerdokumentation, Gefährdungsbeurteilungen, Status der benötigten Werkzeuge/Prüfmittel.

• Outputs: Abgeschlossene Arbeitsaufträge (WO) mit Abschlussbericht, Prüfberichte/Kalibrierscheine, ausgefüllte Freigabe- oder Sperrprotokolle, CAPA-Reports bei Abweichungen, aktualisierte Pläne (falls z. B. Frequenz erhöht wird nach Befund).

• Planung: Jahres-/Mehrjahresplan erstellen gemäß TRBS 1201, DGUV, PrüfVO – inkl. Priorisierung nach Kritikalität (FMEA). Gatekeeper High-Crit: 100 % Planabdeckung sicherstellen (darf keine kritische Anlage ungeplant bleiben).

• Disposition: CAFM generiert fristgerecht Arbeitsaufträge; Zuweisung erfolgt nur an qualifiziertes Personal (System-Gate: Qualifikation muss gültig, Prüfmittel kalibriert sein).

• Vorbereitung: Lockout/Tagout (LoTo) bei Anlagenstilllegung durchführen; benötigte Ersatzteile und Instrumente bereitlegen; relevante Dokumente/Checklisten aus System abrufen (Anhang am Auftrag).

• Durchführung: Arbeit gemäß SOP und Herstellervorgaben durchführen; Messwerte und Anzugsdrehmomente etc. in der Checkliste dokumentieren; bei Abweichungen sofort Meldung an Vorgesetzten/HSE (z. B. wenn Prüfkriterium nicht erfüllt).

• Qualitätssicherung: Peer-Check / 4-Augen-Prinzip bei High-Crit-Schritten (z. B. zweiter Techniker prüft korrekten Wiedereinbau); Funktionsprüfung der Anlage durchführen; Sichtkontrolle (z. B. keine Leckagen, alle Abdeckungen drauf); falls vorgesehen, Plombe/Siegel setzen.

• Freigabe/Sperre: Technische Freigabe der Anlage per elektronischer Unterschrift bei „i. O.“-Befund durch Befähigte Person; bei festgestellten Mängeln Anlage kennzeichnen und Sperr- bzw. Wiederinbetriebnahmeprozess initiieren (gesondertes Vorgehen mit Reparatur-Auftrag, erneuter Prüfung).

• Dokumentation/Nachlauf: Prüfbericht oder Kalibrierschein erstellen und im CAFM hochladen; Fotos von relevanten Messwerten/Teilen anfügen; bei Abweichungen CAPA im System erfassen; Arbeitsauftrag im System auf „erledigt“ setzen (falls Mängel → „in Abweichung“ mit Verlinkung CAPA).

• Review: Verantwortlicher TGA-Manager prüft monatlich KPI (Terminquote, MTTR) und Trendanalysen; Erkenntnisse fließen in Wartungsstrategie ein (z. B. Frequenz anpassen, Condition Monitoring überlegen), Lessons Learned mit Team teilen.

TRBS 1201 (Fristen), TRBS 1203 (Befähigte Person), DGUV V3 (Elektroprüfungen), VDI 3810 (Instandhaltung), Landes-PrüfVO, Herstelleranleitungen, interne Lockout/Tagout-Verfahrensanweisung.

• Module: Asset (Anlagenstamm), PM/Inspection (Wartungspläne), Work Orders (Aufträge), Prüfmittel (Kalibrierinfo), Dokumente (Anleitungen, Checklisten), CAPA-Modul (für Mängel).

• Pflichtfelder: Qualifikationscheck (Häkchen), Kalibrierstatus eintragen, Messwerte-Felder ausfüllen, Freigabe-E-Signatur, High-Crit-Flag (Markierung hochkritischer Anlagen).

• KPI-Monitoring: z. B. 100 % Prüf-/Wartungsterminquote (für High-Criticality-Anlagen zwingend), MTTR, kritischer Auftrags-Backlog, Kalibrier-Compliance 100 %, Wiederholmängelquote < 2 % (d. h. wie viele Mängel treten nach Maßnahme wieder auf).

• Ziel/Zweck: Sicherstellung der definierten Hygiene- und Reinheitsgrade gemäß ISO 14644/VDI 2083 (Reinräume), VDI 6022 (RLT-Hygiene) und VDI/DVGW 6023 (Trinkwasserumfeld). Vermeidung von Kreuzkontamination und Schutz von Patienten/Produkten durch standardisierte Reinigung.

• Geltungsbereich: Gebäudereinigung und Desinfektion inkl. Reinräume (nach ISO-Klassen), sterile sensible Bereiche (OP, Labore), Sanitär-/Trinkwassernähe (z. B. Duschen), Reinigung von RLT-Komponenten.

• Inputs: Zonenplan mit Reinheitsklassen und Farbkodierung; Hygienekonzept des Hauses; festgelegte Reinigungs- und Desinfektionsmittel (Liste + Sicherheitsdatenblätter), geschultes Personal; Nachweise aktueller Schulungen.

• Outputs: Reinigungs-/Desinfektionsprotokolle (Dokumentation wann wo gereinigt); AQL-Qualitätsprüfungen (Checklisten mit Ergebnis bestanden/nicht bestanden); ggf. ATP-/Keimtestergebnisse bei High-Crit; Verbrauchsmittellog (welches Los Desinfektionsmittel wo verwendet); Abweichungsberichte + CAPA falls Mängel.

• Accountable: Hygienefachkraft bzw. Reinigungsmanager (stellt Konzepte und Schulungen sicher).

• Responsible: Reinigungsteam vor Ort / Reinraumtechniker (führt aus gemäß Plan).

• Consulted: HSE/Qualität (für Mittel-Freigaben, Prüfnachweise); TGA (bei RLT-Komponentenreinigung); relevante Fachbereiche (Laborleitung, Stationsleitung).

• Informed: Nutzer (z. B. Abteilungen, die gereinigt wurden – Freigabe der Räume), Sicherheitsdienst (falls Zutritt geregelt werden muss).

• Planung/Zonierung: Definition aller Bereiche in Zonen mit Reinigungsintervallen und Methoden (Trocken/Wisch/Desinfektion); Festlegung Farb- und Gerätekodierung (z. B. rotes Equipment nur Toiletten); Personalzuweisung fix (kein Wechsel zwischen unreinen/reinen Bereichen – Cross-Use verboten).

• Vorbereitung: Persönliche Schutzausrüstung (PSA) anlegen; Mittel gemäß Dosierangaben ansetzen; Geräte auf Funktion prüfen (z. B. Reinigungsautomaten); Sperr-/Freigaberegeln für Zutritt nutzen (z. B. „Reinigung beschäftigt“-Schild setzen); in Reinräumen strikte Umkleidesequenz einhalten (Schleuse, Kleidung).

• Durchführung: Reinigen von rein nach unrein, von oben nach unten, nach definierter Wischtechnik (z. B. S-förmig ohne Absetzen). Geräte/Tücher zonengetrennt verwenden (nicht mit Flur-Mopp in OP wischen). RLT-Komponenten gemäß VDI 6022 abstellen und reinigen. Verbrauchsmaterial dokumentieren (Chargen).

• QS/Monitoring: AQL-Prüfungen durchführen (Stichproben visuell), ggf. ATP/Keimtests in High-Crit-Bereichen (z. B. OP-Tisch nach Reinigung). UV-Markerkontrollen (um visuelle Sauberkeit zu prüfen). Abweichungen (Fleck gefunden) sofort dokumentieren.

• Freigabe: Bereichsfreigabe (E-Signatur in Checkliste) für High-Crit-Zonen durch Hygienefachkraft oder Supervisor. Bei Nichtkonformität: Sofort Nachreinigung/Desinfektion, betroffener Bereich gesperrt bis erfolgreich nachgereinigt; Eskalation an HSE falls wiederholt.

• Nachlauf: Verbrauchsmittel und Chargen dokumentieren (Nachverfolgung bei Produktproblemen); Entsorgung kontaminierter Materialien (Wischmopps) gemäß Hygieneplan; Geräteaufbereitung (Reinigen, Desinfizieren, Trocknen); Lessons Learned sammeln (z. B. neues besseres Moppsystem nötig?).

• Risiko: Kreuzkontamination (Keimverschleppung) → Kontrolle: striktes Zonen- und Farbkonzept, getrennte Lagerung/Reinigung der Arbeitsgeräte, regelmäßige Schulung dazu.

• Risiko: Mittel-/Dosierfehler → Kontrolle: zentrale Dosiersysteme, Arbeitsanweisungen mit SDB im Reinigungswagen, stichprobenartige Konzentrationsmessungen.

• Risiko: Verhaltensfehler in Reinräumen (Person kontaminiert Zone) → Kontrolle: jährliche Verhaltenstrainings, Supervision (Reinraumpate schaut zu), Zutritt nur mit gültigem Zertifikat.

ISO 14644/VDI 2083 (Reinraum), VDI 6022 (RLT-Hygiene), VDI/DVGW 6023 (Trinkwasserhygiene), internes Hygieneplan-Dokument, Sicherheitsdatenblätter der eingesetzten Mittel, SOP zu PSA/Umkleide.

• Module: Cleaning Plans (Reinigungsplan je Bereich), QA/Inspection (Qualitätskontrollen erfassen), Documents (Hygieneanweisungen), Training Records (Wer geschult).

• Pflichtfelder: Zone/ISO-Klasse angeben, eingesetztes Mittel inkl. Losnummer, eingesetztes Personal/Qualifikation prüfen, Freigabe-E-Signatur in High-Crit, Testergebnisse (ATP-Wert) eintragen.

• KPI-Monitoring: z. B. AQL-Bestandquote ≥ 95 % (High-Crit ≥ 98 %), ATP-Passrate ≥ 95 % (Kernzonen 100 % keine Überschreitung), Planerfüllung Reinigung ≥ 98 %, Reklamationsquote sinkend.

• Ziel/Zweck: Schnelle, koordinierte Reaktion auf Störungen/Incidents, Minimierung von Auswirkungen, rechtssichere Meldung an Behörden/Versicherer und nachhaltige Abstellung mittels RCA/CAPA.

• Geltungsbereich: Alle FM-relevanten Incidents: Anlagenausfälle, Hygieneabweichungen (z. B. Keimfund), sicherheitsrelevante Ereignisse (Brandalarm, Einbruch), HSE-Events (Unfall, Beinaheunfall) bis hin zu Notfällen. High-Criticality-Bereiche mit 0-Toleranz bei Fehlern (z. B. Reinraumkontamination, Notstrom-Ausfall).

• Inputs: Meldung eines Incidents (Ticket, Anruf, Alarmmeldung), Priorisierungskriterien (P1 = kritisch – z. B. OP fällt aus; P2 mittel; P3 gering), Notfall- und Eskalationspläne, aktuelle Kontaktlisten (z. B. Bereitschaftsdienst), behördliche Anforderungen (z. B. Meldefrist 24 h bei meldepflichtigem Unfall).

• Outputs: Ein vollständiger Incident-Record im System; dokumentierte Sofortmaßnahmen; Kommunikations-/Meldeprotokolle (z. B. E-Mail an Behörde mit Zeitstempel); RCA-Dokument; CAPA-Liste; Wirksamkeitsnachweise (z. B. retest bestanden); Wissensdatenbank-Eintrag (LL).

• Accountable: Objektleiter bzw. Q-Manager (Quality Manager) – stellt sicher, dass Incidents gemanagt werden.

• Responsible: Service-Desk (Annahme/Dispatch), Einsatzleiter vor Ort (z. B. technischer Leiter im Notfall), Fachtechniker/Dienstleister (zur Behebung).

• Consulted: HSE/Brandschutz (bei Personenschaden, Feuer), Hygienefachkraft (bei Hygienevorfall), Kommunikation/Legal (bei Presse/Behörden-Infos).

• Informed: Management (größere Incidents), Nutzer (wenn betroffen, z. B. Station ohne Strom), Behörden/ZÜS (falls meldepflichtig, z. B. Aufzugsunfall an TÜV).

• Annahme/Priorisierung: Incident-Meldung aufnehmen (Ticket erstellen mit Kategorie/Priorität). Einstufen in P1 (High-Crit, z. B. OP-Ausfall) / P2 / P3. Erstinformation an Gatekeeper (High-Crit): z. B. bei P1 sofort Reinraumverantwortlichen alarmieren.

• Sofortmaßnahmen: Gefahrenabwehr geht vor: LoTo (Energie abschalten bei Elektrounfall), Evakuierung einleiten falls nötig, Absperrung von Gefahrenstelle. Notfall-Checklisten abarbeiten (z. B. Brand: Feuerwehr alarmieren, Lüftung aus). Echtzeit-Dokumentation im Log (wer tat wann was).

• Meldung/Eskalation: HSE-Verantwortliche unverzüglich benachrichtigen bei Personenschaden, ggf. behördliche Meldung innerhalb Frist (z. B. Unfallanzeige DGUV innerhalb 3 Tagen). Externe Kommunikation nach Kommunikationsleitfaden (z. B. nur Pressestelle spricht mit Medien).

• Behebung/Containment: Fachteam oder externer Service wird disponiert zur Störungsbehebung. Temporäre Lösungen erlaubt (z. B. Notstromaggregat anfahren). Eigentum sichern, Beweismittel (z. B. defektes Teil) aufbewahren falls Analyse nötig.

• RCA: Nach der akuten Phase wird Root Cause Analysis (5-Why, Ishikawa) durchgeführt. Alle relevanten Daten/Logs sichern (z. B. Temperaturkurve vor Alarm). FMEA updaten falls Risiko neu bewertet werden muss. Verantwortlichkeiten und Termine für Maßnahmen festlegen.

• CAPA: Maßnahmen umsetzen (Reparatur dauerhaft, Schulung, Procedere ändern) und Wirksamkeit validieren. Falls Lieferant beteiligt, Anforderungen an diesen definieren (z. B. zusätzliche Inspektion). Dokumentation in CAPA-Liste.

• Abschluss/Review: Wirksamkeitsprüfung (z. B. Testlauf Anlage i. O.), Incident-Report finalisieren, Management-Review im nächsten Meeting, Wissensdatenbank-Eintrag erstellen (Lessons Learned) zur Organisationslernung.

• Risiko: verzögerte Eskalation → Kontrolle: automatische Alarme an P1-Verteiler (z. B. SMS an Leitung wenn P1 nach 5 Min nicht angenommen), feste Zeitfenster (z. B. 15 Min bis Erstreaktion, sonst Eskalation).

• Risiko: unvollständige Dokumentation → Kontrolle: Pflichtfelder (Ursache, Zeitpunkt Lösung etc.), Fotodokumentation, E-Signatur von Verantwortlichen; Audit-Trail im Ticket.

• Risiko: Wiederholer → Kontrolle: Qualitätscheck der RCA (HSE/Qualität schaut drüber), Lessons Learned werden in Schulungen einfließen (Monatsmeeting: „Vorfall X – wie verhindern wir das künftig?“).

Notfall- und Eskalationsplan des Standorts, HSE-Meldeanweisung (wer meldet was wann), Brandschutzordnung, Kommunikationsleitfaden (Presse), Datenschutzrichtlinie (falls Personendaten im Incident).

• Module: Incident/Problem (für Ereignisse), Workflow/Eskalation (automatische Benachrichtigungen), CAPA (Maßnahmenverfolgung), Knowledge Base (LL-Einträge), Documents (Checklisten).

• Pflichtfelder: Priorität, Ursache/Kategorie, gewählte RCA-Methode (Dropdown), CAPA-Verantwortliche + Fristen, Meldepflicht-Flag (ja/nein), E-Signatur bei Abschluss durch Objektleiter.

• KPI-Monitoring: u. a. Erstreaktionszeit (SLA-Zeit eingehalten), P1-Unterbrechungsdauer bis Betrieb wiederhergestellt, Wiederholrate je Ursache (traten ähnliche Incidents wieder auf?), CAPA-Schließungsquote fristgerecht ≥ 95 %, Meldepflicht-Compliance 100 % (kein Fall zu spät gemeldet).

• Ziel/Zweck: Sicherstellen, dass dokumentierte Information (SOPs, Pläne, Nachweise) geeignet, aktuell, gelenkt und auffindbar ist; rechtssichere Aufbewahrung aller Aufzeichnungen mit Audit-Trail.

• Geltungsbereich: Alle FM-Dokumente und -Aufzeichnungen: SOP/VA, Checklisten/Formulare, Prüf-/Kalibrierberichte, Schulungsnachweise, Verträge/SLAs, Audit-/CAPA-Dokumente etc. im Rahmen des FM-QMS.

• Inputs: Dokumentenanforderung oder Änderungsbedarf (Change Request, MoC), vorhandene Vorlagen, Norm-/Rechtsänderungen (Trigger z. B. ISO 9001 Amendment), Lessons Learned aus Audits.

• Outputs: Freigegebene Dokumente (neue oder geänderte SOPs etc.), kommunizierte Änderungen (Info an Betroffene), archivierte Vorversionen, Bestätigungen, dass Betroffene gelesen haben (Lesebestätigungen), Protokolle über Löschung/Aufbewahrung Ablauf.

• Accountable: Q-Manager / Dokumenten-Owner (inhaltlich Verantwortlicher für das Dokument).

• Responsible: Dokumentenersteller (Fachperson, die Entwurf schreibt); CAFM-Admin (pflege im System, Publikation nach Freigabe).

• Consulted: Fachverantwortliche, HSE, Legal bei relevanten Inhalten (inhaltliche Prüfung).

• Informed: Alle Rollen/Nutzer, die das Dokument betrifft (Pflicht zu lesen, wenn Änderung).

• Erstellung: Ersteller nutzt verpflichtend eine genehmigte Vorlage (enthält ID, Version, Scope etc.). Er achtet auf einheitliche Terminologie (gemäß ISO 41011 – FM Begriffsstandard).

• Prüfung: Fachliche Prüfung durch definierte Stelle (z. B. HSE prüft Arbeitsschutzkonformität), Compliance-Prüfung (Legal/HSE je nach Thema). Check, ob andere Standorte/Prozesse betroffen – falls ja, diese berücksichtigen.

• Freigabe: Freigabe per E-Signatur durch benannte freigabeberechtigte Person(en) (i. d. R. Prozessowner + Q-Manager). High-Criticality-Dokus: doppelte Freigabe (4-Augen-Prinzip – z. B. Hygieneverfahren freigeben durch Hygienefachkraft + Q-Manager).

• Veröffentlichung: Dokument wird im System mit entsprechendem Leserecht veröffentlicht (z. B. nur relevante Standorte). Ein „gültig ab“-Datum wird gesetzt. Alte Version wird automatisch zurückgezogen (auf Status obsolet, nur noch Archivzugriff).

• Kommunikation/Training: Bei wesentlichen Änderungen wird eine Change-Note an alle Betroffenen geschickt. Pflichtlesebestätigungen werden im System gefordert (Mitarbeiter müssen klicken „gelesen“). Wenn nötig, Toolbox Talk oder Schulung einplanen (Markierung „Schulung nötig“).

• Änderung/Revision: Änderungen nur über MoC-Workflow: Jemand stellt Änderung ein, wird nach obigem Prozess geprüft und freigegeben; Versionshistorie wird geführt. Trigger können Auditabweichung, Rechtsänderung oder RCA-Ergebnis sein.

• Aufbewahrung/Archivierung: Dokumente/Records werden nach Fristen laut Rechtskataster aufbewahrt (z. B. Prüfprotokolle 5 J, Explosionsschutzdokument dauerhaft, Personalzertifikate bis Ende Beschäftigung). Manipulationssichere Archivierung ist gewährleistet (Write-Protect). Es gibt ein Löschkonzept (Datenschutz: nach Ablauf Frist + Freigabe DSB löschen).

• Risiko: Verwendung veralteter Dokumente → Kontrolle: Single Source im CAFM (alle greifen auf dieselbe digitale Quelle), automatische Verlinkung aktueller Version in Arbeitsaufträgen (QR-Code/Deep Link).

• Risiko: Unklare Verantwortlichkeit für Dokument → Kontrolle: Doc Owner ist festgelegt, im System als solcher zugeordnet; automatische Review-Zyklen generiert Aufgabe an ihn.

• Risiko: Nachweislücken (verlorene Zettel etc.) → Kontrolle: Pflichtfelder/Attachments einfordern, Audit-Trail und eIDAS-konforme Signatur nutzen (Beweis, wer was wann freigab).

ISO 9001:2015 Kap. 7.5, eIDAS-Verordnung (für E-Signatur), DSGVO (Archiv/Löschkonzept), Rechtskataster (für Fristen), internes Vorlagenhandbuch (wie sind Dokumente zu gestalten).

• Module: Document Management (Versionierung, Freigaben), Training (für Lesebestätigungen/Schulungen), Change/MoC (Änderungsanträge), Rights & Roles (Zugriffssteuerung).

• Pflichtfelder: Geltungsbereich (Standorte), betroffene Prozesse (Verknüpfung im System), nächstes Reviewdatum, Freigebende Person(en), Klassifizierung (High-Crit?), Lesebestätigung erforderlich (ja/nein).

• KPI-Monitoring: z. B. Dokumentenaktualität (% überfälliger Reviews < 2 %), Lesebestätigungsquote ≥ 95 % innerhalb 30 Tagen nach Veröffentlichung, „Veraltete-Dokument-Nutzung“ = 0 (d. h. es wurde kein überholtes Dokument angewendet laut Audits), Durchlaufzeit Änderungen (Zeit von Änderungsantrag bis Freigabe).

• Governance: QMS-Board überwacht, ob SOPs eingehalten werden (Audit-Feststellungen), KPI-Trends und CAPA; mindestens jährlich wird jede SOP auf Wirksamkeit geprüft.

• Lieferanten: Verträge verpflichten Dienstleister auf Anwendung bzw. gleichwertige Verfahren; Dienstleister müssen eigene Dokus auf Verlangen zeigen; über Subunternehmer in SOPs: Flow-down Pflichten vorsehen.

• Wirksamkeit: Verknüpfung Abweichungen/Audits mit SOP-Revision: Jede Auditabweichung wird geprüft, ob SOP angepasst werden muss; KPI-Entwicklungen werden mit SOP-Compliance korreliert (z. B. viele Fehler → evtl. SOP nicht praxisgerecht, Anpassung nötig).

Diese Muster-SOPs sichern ein konsistentes, normenkonformes und digital integriertes Vorgehen in den kritischen FM-Prozessen – mit klaren Rollen, robusten Kontrollen und messbarer Wirksamkeit, insbesondere für High-Criticality-Szenarien.

• Auditansatz, Evidenz und Stichprobe: Der Auditansatz ist prozessorientiert und risikobasiert entlang ISO 9001:2015 (Klauseln 5, 7–10) sowie der spezifischen FM-Prozessketten aufgebaut. High-Criticality-Bereiche erhalten erhöhte Stichprobenumfänge und strengere Gating-Prüfungen (siehe Gatekeeper oben).

• Evidenzgrade: Der Auditor sammelt Evidenzen nach dem dreistufigen Modell: E1 Dokument (Policy, SOP vorhanden), E2 Umsetzung (Nachweis im System/Prozess, z. B. protokollierte Durchführung), E3 Wirksamkeit (KPI-Trends, Audit ohne Befund, bewiesene Fehlerabnahme).

• Stichprobenlogik: Risikoadaptiv nach Kritikalität, Volumen, Historie. Richtwert je Bereich: 10–30 Vorgänge/Assets. Bei High-Criticality mind. 15 % der Vorgänge oder mind. 10 Fälle prüfen (höherer Umfang, um nichts zu übersehen).

• Erforderliche Nachweise: Q-Politik, Zielmatrix; RACI-Dokumente, Delegationsurkunden; Eskalationsdiagramm, Organigramm; Managementreview-Protokolle mit Führungsentscheidungen.

• Stichprobe: 5 kritische Rollen (z. B. Elektrofachkraft, Brandschutzbeauftragter etc.) – sind ihre Pflichten dokumentiert? 3 Eskalationsfälle der letzten 6 Monate – nachvollziehbar dokumentiert?

• „Ist eine FM-Qualitätspolitik mit messbaren Zielen (Verfügbarkeit, Compliance, Sicherheit) veröffentlicht und auf allen Ebenen bekannt?“

• „Sind Betreiberpflichten, Rollen und RACI (inkl. High-Crit Gatekeeper) eindeutig festgelegt und delegiert?“

• „Werden Eskalationen systematisch gesteuert und dokumentiert?“

Unklare Delegation; kein Gatekeeper benannt; Ziele ohne KPI-Bezug.

RACI im CAFM hinterlegt (digital nachvollziehbar); Zielkaskade mit KPI- und Risikodashboards bis auf Objektebene.

• „Sind Prüfmittel inventarisiert, rückführbar kalibriert und mit Sperrlogik bei Ablauf versehen (7.1.5)?“

• „Sind Qualifikationsanforderungen (TRBS 1203, VDI 6022/6023, ISO 14644) definiert und als Einsatz-Gates im System umgesetzt (7.2)?“

• „Funktioniert die Dokumentenlenkung (Version, Freigabe, Gültigkeit, Zugriff) wirksam (7.5)?“

Prüfmittelkartei, Kalibrierscheine; Trainingsmatrix, Zertifikate; Screenshot CAFM-Qualifikationsgate; Masterliste SOPs, Unterschriften.

15 Messmittel; 10 Mitarbeiter in kritischen Rollen; 15 gelenkte Dokumente (5 pro Prozessgebiet).

Einsatz nicht kalibrierter Messmittel; Qualifikationslücken (Nachweise fehlen/abgelaufen); Altdokumente im Umlauf (Mitarbeiter nutzen veraltete Version).

automatische Ablaufwarnungen (90/30/7 Tage bei Kalibrierung/Quali); mobile Lesebestätigung via App; Aufträge werden vom System gesperrt, wenn Quali fehlt.

• „Liegen risikoadaptive Wartungs-/Prüfpläne je Asset vor und werden sie fristgerecht erfüllt (TRBS 1201, DGUV V3, Brandschutz-PrüfVO)?“

• „Wie ist die Steuerung externer Dienstleister inkl. Subunternehmer (8.4) geregelt und auditiert?“

• „Sind Freigaben (8.6) und der Umgang mit Nichtkonformitäten (8.7) systemisch verankert, mit 4-Augen-Prinzip für High-Criticality?“

Jahrespläne, generierte Arbeitsaufträge; ZÜS-/Sachverständigenberichte; Prequalification/Auditberichte der Lieferanten; Freigabe-/Sperrprotokolle; CAPA-Records bei Abweichungen.

30 Assets (≥10 davon kritisch); 5 wichtige Lieferanten; 10 Freigabe-/Sperrvorgänge; 10 Abweichungen (z. B. Mängelmeldungen).

Überfällige Prüfungen; Lücken bei Subunternehmer-Flow-down; manuelle Freigaben ohne Audit-Trail (z. B. Anlage in Betrieb genommen ohne System-Eintrag).

digitale End-to-End-Workflows inkl. Foto-/Messwert-Upload; Lieferantenscorecards mit Eskalationsstufen; MoC-Verfahren für Parameteränderungen an Anlagen.

• „Existiert eine KPI-Bibliothek mit Definition/Formel/Quelle/Ziel und werden Abweichungen eskaliert (9.1)?“

• „Ist ein risikobasierter Auditplan inkl. Lieferantenaudits etabliert (9.2)?“

• „Werden Managementbewertungen mit Entscheidungen und Wirksamkeitscontrolling durchgeführt (9.3)?“

KPI-Katalog, KPI-Dashboards; Auditplan, Auditberichte; Managementreview-Protokolle mit Aktionslisten.

12 KPIs (je 3 pro Service Hard/Soft/Workplace/Energie); 5 Audits; 2 Managementreviews.

KPIs ohne verlässliche Datenquelle (z. B. keine Messung implementiert); Auditfeststellungen ohne CAPA-Tracking (Maßnahmen nicht geschlossen).

Mix aus Outcome-/Output-KPIs; automatische Eskalationsregeln (System-E-Mail bei rotem KPI); Heatmaps pro Standort/Service als Management-Tool.

• „Werden RCA-Methoden (5-Why, Ishikawa, FMEA-Update) konsistent angewandt (10.2)?“

• „Sind CAPA fristgerecht geschlossen und Wirksamkeitsprüfungen belegt (10.2)?“

RCA-/CAPA-Dokumente, Lessons Learned-Liste, aktualisierte SOP/Trainings falls geändert.

10 CAPA-Fälle (≥5 High-Crit).

Nur Symptombekämpfung statt Ursachenbeseitigung (gleiche Fehler wiederholen sich); fehlende Wirksamkeitsprüfungen (Maßnahmen abgehakt ohne Erfolgskontrolle).

CAPA mit messbarem Erfolgskriterium definieren; systematische Rückführung in Schulung/SOP (jede Abweichung lehrt uns was und wir ändern uns entsprechend).

• Hard FM (Instandhaltung/Prüfungen): Fragen: „Planabdeckung 100 % bei High-Crit? MTTR/Verfügbarkeit im Ziel? LoTo/Permit-to-Work dokumentiert?“ Evidenz: CAFM-Plan, Störungslogs, LoTo-Formulare; Stichprobe: 20 WO, 10 P1-Störungen. Abweichungen: Prüf-Backlog; fehlende 4-Augen-Freigaben. Best Practice: Condition-based Maintenance, Ersatzteilstrategie, Kalibrier-Gate.

• Soft FM Reinigung/Hygiene: Fragen: „Wird Zonen-/Farbkonzept eingehalten? AQL-/ATP-Ergebnisse im Ziel? Verbrauchsmittel traceable?“ Evidenz: Pläne, QA-Protokolle, ATP-/Laborberichte, Chargenlisten; Stichprobe: 10 sensible Bereiche. Abweichungen: Cross-Use von Equipment; unvollständige Protokolle. Best Practice: validierte Verfahren, Supervision in Reinräumen, jährliche Verhaltenstrainings.

• Workplace/Service Desk: Fragen: „SLA-Engine aktiv? FCR-/CSAT-Trends positiv? Wissensdatenbank genutzt?“ Evidenz: Ticket-Logs, SLA-Reports, Knowledge Base-Artikel; Stichprobe: 30 Tickets. Abweichungen: Priorisierungsfehler; lückenhafte Kommunikation. Best Practice: Standardantwort-Templates, Root-Cause-Analyse für Wiederholer, Self-Service-Angebote.

• Energie/Abfall: Fragen: „Zählerabdeckung/MDM ≥ 98 %? Energieintensität vs. Baseline im Ziel? Entsorgungsnachweise vollständig (100 %)?“ Evidenz: EMS/MDM-Reports, Wiegescheine, Entsorgerverträge; Stichprobe: 12 Monate Daten. Abweichungen: Datenlücken; Fehlwürfe med. Abfälle. Best Practice: Submetering/IoT flächendeckend, Abfalltrenn-Schulungen, vertragliche KPI mit Entsorgern.

• Brandschutz/Sicherheit: Fragen: „Alle PrüfVO-Prüfungen fristgerecht? Übungen dokumentiert? Alarmreaktionszeit im Ziel?“ Evidenz: BMA/SAA/Sprinkler-Betriebsbücher, Übungsprotokolle, Leitstellenlogs; Stichprobe: 10 Mängelketten. Abweichungen: offene Mängel > Frist; nicht getestete Alarme. Best Practice: Mängel-Workflow mit Sperrlogik (Anlage bleibt gesperrt bis Test okay); jährliche Vollübung mit allem Personal.

• Reinräume (ISO 14644/VDI 2083): Fragen: „Klassifizierung aktuell? Monitoring-Trends Partikel/Mikrobiologie im Soll? Druckkaskaden stabil? Verfahren validiert (z. B. Reinigungsmethoden)?“ Evidenz: Klassifizierungsberichte, Monitoring-Logs, Schulungsnachweise Personal. Stichprobe: 3 Reinräume, je 3 Monate Trend. Gate: 4-Augen-Freigabe, Zutritt nur mit gültiger Qualifikation.

• Trinkwasser (VDI 6023): Fragen: „Probenahmeplan eingehalten? Gefährdungsanalyse vorhanden? Maßnahmen bei Befund (z. B. Legionellen) fristgerecht umgesetzt und gemeldet?“ Evidenz: Laborberichte, Probenahmeketten, Maßnahmen-/Infoprotokolle. Stichprobe: 10 Proben, alle Befundfälle 12 Monate. Gate: nur qualifizierte Probenehmer; Sperr-/Desinfektionskette dokumentiert, behördliche Meldung raus.

• Sterile/klinische Zonen: Fragen: „Hygienepläne aktuell? Freigabekriterien definiert (z. B. OP erst frei nach Abklatschtest)? Incident-Response geübt (Sperrung/Desinfektion bei Kontamination)?“ Evidenz: SOP, Übungsprotokolle, Schulungen. Gate: Nulltoleranz bei Grenzwertüberschreitung (sofort OP sperren).

• Medizinische Gase: Fragen: „Reinheits-/Druckmonitoring in Echtzeit? Alarme funktionieren (getestet)? Notversorgung (z. B. O₂-Flaschen) vorhanden und geübt?“ Evidenz: Prüf-/Alarmprotokolle, Lieferantenbelege (Gasreinheit), Notfalltests (Wechselschaltung). Gate: Redundanz-/Umschaltproben dokumentiert, Alarmketten getestet (Protokoll).

• „Gibt es einen digitalen Audit-Trail (Zeitstempel/E-Signatur) für Freigaben, Sperrungen, Messwerte?“

• „Sind Subunternehmer explizit in RACI, Schulungen und Auditplan enthalten?“

• „Werden Rechts-/Normänderungen in SOP/Training innerhalb definierter Fristen umgesetzt?“

Diese Auditfragen liefern einen praxistauglichen, risikobasierten Rahmen zur Beurteilung der ISO-9001-Konformität im FM. Sie verknüpfen Nachweise, Stichproben und Wirksamkeitsprüfung mit klaren Prüfpunkten – insbesondere für High-Criticality-Umgebungen, in denen kein Versagen toleriert wird.

Die RACI-Logik (Responsible, Accountable, Consulted, Informed) ordnet Verantwortlichkeiten im hybriden FM-Setup (intern/extern) eindeutig zu, sichert Betreiberpflichten ab und schafft Transparenz an kritischen Schnittstellen.

• Betreiberverantwortung bleibt beim Eigentümer/Betreiber (Accountable). Pflichtenübertragung an Dienstleister ist schriftlich zu regeln, bleibt jedoch überwachungspflichtig (Betreiber kontrolliert weiterhin).

• High-Criticality-Prozesse (Reinräume, Trinkwasser, Brandschutz, medizinische Gase) unterliegen 4-Augen-Gates und einer verschärften RACI-Klarheit (keine Unklarheit, wer verantwortet; oft doppelte Absicherung bei Freigaben).

• Digitale Rollen-/Rechtekonzepte (im CAFM) spiegeln RACI ab: Freigaben nur durch A- oder definierte R-Rollen mit E-Signatur; Nachweis-Uploads als Pflicht der R-Rollen; HSE/Compliance fungiert als C mit Eskalationsrecht (kann Eingreifen anfordern bei Verstößen).

• Externe Prüfdienstleister (ZÜS/Sachverständige) werden als eigenständige Rollen betrachtet mit definierter Unabhängigkeit; Betreiber und FM-Organisation sorgen dafür, dass ihre Prüfresultate umgesetzt werden (CAPA-Prozess für Mängel).

• Eigentümer/Betreiber (Betreiberverantwortlicher)

• FM-Leitung/Qualitätsmanagement (QMS-Board)

• Objektleiter (Standortverantwortung)

• TGA-Manager (Anlagen/Lifecycle)

• Befähigte Person/EFK/MSR (gem. TRBS 1203 / DGUV V3, je nach Anlagentyp)

• Hygienefachkraft/Reinraumverantwortliche

• Brandschutzbeauftragter

• Trinkwasserverantwortlicher/Probenehmer (VDI/DVGW 6023)

• Sicherheitsdienstleiter (Security)

• Reinigungsmanager

• Catering-Manager

• Energiemanager/EMS-Operator

• Abfall-/Gefahrstoffbeauftragter

• Service-Desk-Lead / Workplace-Owner / Move Coordinator

• HSE/Compliance/Datenschutz

• Einkauf/Contract Management

• IT/CAFM-Administrator

• Externe Dienstleister (Lead Contractor / Subunternehmer)

• ZÜS/Sachverständige/Behörden

• Nutzer/Fachbereiche

(Die Rollenübersicht dient als Basis; je nach Organisation können Rollen zusammenfallen oder weitere Spezialrollen hinzukommen.)

(Obige Tabelle zeigt beispielhaft, welche Governance-Aufgaben wie verteilt sind.)

• Reinräume: 4-Augen-Freigabe nach Wartung/Reinigung; Zutritt nur mit gültiger Reinraumschulung.

• Trinkwasser: Dokumentierte Sperr- und Desinfektionskette bei Kontamination; behördliche Meldungen an Gesundheitsamt.

• Brandschutzanlagen: Wiederinbetriebnahme nur nach vollständiger Mängelbeseitigung und dokumentierter Funktionsprüfung durch Befähigten.

• Medizinische Gase: Redundanz- und Umschaltproben sind regelmäßig durchzuführen und zu dokumentieren; Alarmketten werden mind. jährlich getestet.

Diese RACI-Matrizen schaffen klare, auditfeste Verantwortlichkeiten in der FM-Governance und im operativen Betrieb. Sie sichern die Betreiberpflichten ab und integrieren externe Dienstleister sowie Prüforganisationen wirksam – besonders dort, wo Versäumnisse gravierende Folgen hätten (High-Criticality-Prozesse).

Die Prozessarchitektur im FM orientiert sich an ISO 41001 und ist dreistufig (L1–L3) mit SIPOC-Logik modelliert. CAFM (CAFM/IWMS) fungiert als digitale Drehscheibe für Asset- und Auftragsdaten, Prüf-/Kalibrierpläne, Kompetenzen/Schulungen, Dokumentenlenkung (DMS), KPI-/SLA-Steuerung und Audit-Trail. Schnittstellen zu HSE, Einkauf, IT/OT und Lieferanten sind prozessual und technisch (API/ETL) beschrieben.

• End-to-End-Transparenz: Von der Bedarfsmeldung bzw. einem Incident bis zur Lessons-Learned-Erkenntnis ist jeder Prozessschritt definiert und nachvollziehbar (Closed Loop). Beispiel: Störung → Ursache analysiert → CAPA → Lessons Learned fließt wieder in Schulung ein.

• Risikoadaptive Steuerung: Prozesse sind so gestaltet, dass High-Criticality-Objekte automatisch strengere Kontrollen/Gates durchlaufen (z. B. Reinraum-WO mit extra QS-Schritt).

• Single Source of Truth: Alle prozessrelevanten Daten liegen strukturiert im CAFM, Workflows sind verbindlich digital abgebildet – so werden Medienbrüche vermieden und Audit-Trails gewährleistet.

• Governance & Enabler: Strategische Führung & Betreiberpflichten, Rechtskataster-Management, Risiko-/Chancen-Management, Dokumentenlenkung (DMS), Kompetenz-/Trainingsmanagement, IT/CAFM-Administration, Lieferanten- und Vertragsmanagement, HSE/Compliance-Management.

• Service Delivery: Hard FM (präventive/korrektive Instandhaltung, gesetzliche Prüfungen, Kalibrierung), Soft FM (Reinigung/Hygiene, Sicherheitsdienste, Catering), Workplace/Service Desk, Energie-/Medienmanagement, Abfall-/Gefahrstoffmanagement, Incident- & Notfallmanagement.

• Performance & Improvement: KPI-/SLA-Monitoring in Echtzeit, interne Audits (Prozess- & Compliance-Audits, Lieferantenaudits), Managementbewertung (Review), Abweichungs- & CAPA-Management, Lessons Learned & Standardisierung, externes Benchmarking.

• Suppliers: Nutzer (melden Störung), IoT/BMS/SCADA (autom. Alarm), Security/Leitstelle (Alarm), externe Dienstleister (bei Einsatz).

• Inputs: Störungsmeldung/Ticket, Priorisierungskriterien, Stammdaten (Assets/SLAs), Notfallpläne.

• Process: Annahme → Priorisierung → Disposition → Containment → Behebung → QS → RCA → CAPA → Lessons Learned.

• Outputs: Geschlossene Aufträge, Incident-Report, RCA-Dokumentation, CAPA umgesetzt, Wissensdatenbank-Update.

• Customers: Nutzer/Betreiber (Zufriedenheit), HSE/Compliance (Vorgaben eingehalten), Fachbereiche (Betrieb schnell wieder möglich).

• Suppliers: Hersteller/OEM (Wartungsvorgaben), ZÜS/Sachverständige, TGA-Planer (Anlagendoku).

• Inputs: Asset-Register, Kritikalitätseinstufung, Prüf- und Wartungskataloge, Kalibrierstatus Messmittel.

• Process: Jahresplanung → Work Orders generieren → Durchführung → Freigabe/Sperre → Nachweise → Strategie-Review.

• Outputs: Prüfberichte, Freigabeprotokolle, Kalibrierscheine, KPI-Berichte (Terminquote etc.).

• Customers: Betreiber (Sicherheit/Compliance), Behörden/Versicherer (Nachweise), Nutzer (Zuverlässigkeit).

• Suppliers: Hygieneplan, Verbrauchsmittel (mit SDB), Schulungsnachweise Personal, Zonenpläne.

• Inputs: Reinigungsfrequenzen, Checklisten, ISO-Klassenzuordnung, Zutrittsfreigaben.

• Process: Vorbereitung → Reinigung/Desinfektion → QA (AQL/ATP) → Freigabe → Abweichungen/CAPA.

• Outputs: Reinigungsprotokolle, QA-Ergebnisse, Bereichsfreigaben, Verbrauchslog.

• Customers: Kliniken/Labore/Produktion (sterile Umgebung gewährleistet), HSE/Qualität (Compliance mit Hygienevorgaben).

• Suppliers: Labor (analysiert Proben), Probenehmer (intern/extern qualifiziert), Betreiberdokumentation (Pläne, letzte Befunde).

• Inputs: Probenahmeplan, Gefährdungsanalyse, Anlagendaten (Steigstränge).

• Process: Probenahme → Analyse → Bewertung → Maßnahmen (Spülung/Desinfektion) → Meldung → Re-Tests.

• Outputs: Laborberichte, Maßnahmenprotokolle (Spülungen etc.), Meldungen an Behörden falls >Legionellenwert.

• Customers: Betreiber/Behörden (Sicherheit Trinkwasser), Nutzer (gesundes Wasser).

• Suppliers: Sachverständige/ZÜS, OEMs (Anlagen), Einsatzpläne Feuerwehr.

• Inputs: Prüf- und Übungspläne, Mängelregister, Notfallkonzepte (Räumungsplan).

• Process: Prüfung/Übung → Mängelabstellung → Funktionsnachweis → Wiederfreigabe → Dokumentation.

• Outputs: Betriebsbücher aktualisiert, Prüfberichte, Mängel- und Freigabenachweise (Protokoll „Anlage wieder betriebsbereit“).

• Customers: Betreiber, Behörden/Versicherer (Nachweise zur Haftungsfreistellung).

• Suppliers: Nutzeranforderungen (Umzugsantrag), IT/Netzwerkpläne, Sicherheit (Alarmierung abschalten bei Umbau), Möbel-/Umzugsdienst.

• Inputs: Flächen- und Belegungsdaten, Change-Fenster (wann Umzug möglich), Schutzgut-Anforderungen (z. B. Kühlgut, EDV).

• Process: Anforderung → Planung → Risiko-/Ressourcencheck → Durchführung → Datenaktualisierung.

• Outputs: Abnahmeprotokoll Umzug, aktualisierte CAD/BIM-Daten, SLA-/Budget-Report (Soll/Ist Kosten).

• Customers: Nutzer (funktionsfähiger Arbeitsplatz), IT/Security (ihre Belange integriert), FM-Leitung (Budget eingehalten).

(Weitere L2-Prozesse existieren analog, werden hier aus Platzgründen ausgelassen.)

• Trigger: Alarm oder Ticket (ggf. via API aus BMS oder ITSM-System).

• Schritte: Ticket erstellen im Service Desk → Priorisierung per SLA/OLA-Matrix (System ordnet P1/P2/P3) → Disposition an verfügbaren qualifizierten Techniker (CAFM prüft Quali) → Arbeitsauftrag mobil ausgeführt (Fotos/Messwerte im WO protokolliert) → QS/Freigabe (E-Signatur im WO, High-Crit mit 4-Augen-Signatur) → RCA/CAPA (im CAPA-Modul Fall anlegen) → Lesson Learned erstellen (Knowledge Base Eintrag).

• Integrationspunkte: Work Orders mit SLA-Engine, Qualifikations-Gate (Check im System), DMS (Checklisten am Auftrag), KPI-Tracking (MTTR, First Fix Rate), Audit-Trail erfasst alle Statusänderungen.

• Trigger: Prüf-/Wartungsplan (Inspection Scheduler) generiert Aufträge automatisch.

• Schritte: Plan generiert WOs → ZÜS/Externe per Termin-Export oder Einladung eingebunden (ggf. API Terminabstimmung) → System-gesteuertes Gate: Einsatz nur mit Befähigung (TRBS 1203) und kalibriertem Messmittel (sonst WO blockiert) → Ergebnis erfassen: Prüfbericht hochladen, Pflichtfelder ausfüllen → Mängel generieren CAPA-Einträge mit Frist/Eskalation → Freigabe oder Sperrung wie gehabt.

• Integrationspunkte: Asset-Register ↔ Inspection Plans, Prüfmittelverwaltung verknüpft, DMS (hinterlegte Normen/Anleitungen aufrufbar im WO), CAPA-Modul verlinkt Mängel an Asset, KPI (Terminquote, Kalibrier-Compliance) im Dashboard.

• Trigger: Plan/Frequenz, ggf. Zutrittsfreigabe über Access Control (Badge nur gültig nach Quali-Check).

• Schritte: PSA/Umkleide-Sequenz (Checkliste in App) → Ausführung gemäß Zonenplan mit Checkpoints → QA (AQL visuell, ggf. ATP-Messung, im QA-Modul erfassen) → Freigabe (E-Signatur Supervisor) → Abweichung? dann automatische Sperre und Desinfektionskette → CAPA falls Abweichung.

• Integrationspunkte: Cleaning Plans im CAFM, QA/Inspection-Modul (Testergebnisse), Training Records (System prüft Quali vor Zutritt), DMS (Hygieneplan PDF), KPI (ATP-Passrate) ans Dashboard, Audit-Trail dokumentiert Freigaben.

• Trigger: Probenahmeplan/Intervall erreicht (CAFM Inspection generiert Termin).

• Schritte: Probenehmer-Quali prüfen (Gate: nur Kategorie A darf Legionellenproben nehmen) → Probenahme durchführen, Chain-of-Custody protokollieren (Formular CAFM) → Laborergebnis via Schnittstelle importieren → Bewertung im System (Grenzwert ok? wenn nein, System schlägt Maßnahmen vor) → Maßnahmen/Meldung (Spülung, Desinfektionstermin WO; Behörde informieren via vordefiniertem E-Mail aus System) → Re-Probe nach Frist (neuer WO generiert).

• Integrationspunkte: Competence Modul checkt Probenehmer, Inspection Module trackt Proben, DMS (Gefährdungsanalyse verknüpft), externe Labor-API importiert CSV der Ergebnisse, KPI (Befundquote, Reaktionszeit) trackbar.

• Trigger: MoC (Change Request), Norm-/Rechtsänderung, CAPA (Audit zeigte Doku-Lücke).

• Schritte: Erstellung/Änderung → Fach-/Compliance-Review → E-Signatur-Freigabe (High-Crit: 4-Augen) → Publikation & Pflichtlesebestätigung → Schulung falls markiert → Wirksamkeitscheck (z. B. nächstes Audit keine Abweichung) → Archivierung alte Version nach Frist.

• Integrationspunkte: DMS (Versionierung, Freigabe), Training (Lesebestätigungen tracken), Rights & Roles (Zugriff nach Rollen), KPI (Dokumentenaktualität, Lesebestätigungsquote, Durchlaufzeit Änderung).

• CAFM Kernobjekte: Asset-Register (mit eindeutigen IDs, Kritikalität, Prüf-/Wartungszyklen), Work Orders/Inspections (mit Status, Zeiten, Verantwortlichen), Prüfmittel, Contracts/SLAs (Dienstleisterverträge), Supplier (Lieferantenstamm), Competence/Training (Mitarbeiterqualifikationen), DMS (Dokumente und Versionen), KPI/Dashboards (Berichte), Incident/CAPA (Abweichungen, Maßnahmen), Space/Move (Flächen, Umzüge), Waste/Energy (Module oder Schnittstellen für Abfall/Energie).

• Fehler- und Ausnahmemanagement: Alle Schnittstellen loggen in Interface-Logs; es gibt Dead-Letter-Queues für fehlgeschlagene Nachrichten; automatische Replays (z. B. nachts erneut laden); Integrationsbetrieb wird bei Fehler benachrichtigt.

• ITSM/Ticketing: Bi-direktionale Kopplung, sodass IT-Störungen im FM-Tool ankommen und umgekehrt (Vermeidung Doppel-Tools); Knowledge-Base-Links austauschbar; CSAT fließt zurück ins CAFM.

• BMS/SCADA/IoT: Alarme aus Gebäudeleittechnik generieren Tickets (Webhook/Event), Lastgänge (Energie) importiert; IoT-Sensoren (Raumklima) speisen Daten ins Monitoring;

• Zähler/EMS: Energiezähler via MDM/EMS koppeln (autom. Datenübernahme; Qual.flags falls unplausibel).

• CAD/BIM: Raum- und Asset-Datenübernahme bei Neubau via COBie/IFC; Moves führen zu Änderungsdatensätzen (CAFM ↔ BIM-Sync).

• Labor-/Hygiene-IS: Befunddatenimport (z. B. HL7, CSV) – CAFM generiert aus Laborwerten dann Ampel & Maßnahmen; Chain-of-Custody lückenlos.

• ERP/Einkauf: Lieferantenstammdaten, Verträge und Rechnungsbezug aus ERP eingebunden; KPI-Reports zu SLA fließen zurück ans Einkauf (Lieferantenperformance fließt in SRM).

• Zielgruppen: Es gibt Cockpits für Management (strategisch, Gesamtüberblick), Objektleiter (operativ, Standort-spezifisch), TGA/Hygiene (fachlich, z. B. Prüftermine, Keimzahlen), Lieferanten (deren Leistung vs. Ziel), HSE/Compliance (Regelkonformität).

• Designprinzipien: Mischung aus Leading und Lagging Indicators; Ampellogik (rot/gelb/grün) auf einen Blick; Drill-down-Möglichkeit bis Fall-/Asset-Ebene; Vergleichsmöglichkeiten (Standort A vs B, Monat vs Vorjahr); Small Multiples (z. B. mehrere Standorte in kleinen Diagrammen nebeneinander); Sparklines für Trends.

• Alerting/Eskalation: Jeder KPI hat definierte Schwellwerte; bei Überschreitung generiert das System Push-Nachrichten (E-Mail, MS Teams-Post). Es gibt Eskalationsketten: z. B. KPI rot an QMS-Board, gelb an Objektleiter. Ein „War-Room“-Dashboard zeigt rote Cluster auf (wenn mehrere KPIs rot → Indikator z. B. Krise).

• DataOps: KPI-Definitionen sind versioniert (Änderungen z. B. in Formel dokumentiert). Es gibt ein Data Dictionary als Nachschlagewerk. Für neue KPIs werden Testdaten und Backfills (Vergangenheitswerte) orchestriert, um Vergleiche zu ermöglichen. Änderungen an KPI-Logik sind auditiert (wer hat Schwellwert geändert?).

• High-Criticality Cockpit: zeigt Freigaben vs. Sperrungen, Prüf- & Kalibrier-Compliance, Grenzwertverletzungen (z. B. ATP-Test > Limit), P1-Incidents, 4-Augen-Quote erfüllt (wie oft Freigabe ohne 2. Person?).

• Hard FM Cockpit: Prüfungs-Terminquote, MTTR/MTBF (Anlagenverfügbarkeit), Backlog an Wartungen, Wiederholmängel-Rate.

• Hygiene/Reinigung Cockpit: AQL/ATP-Ergebnisse, Planerfüllung, Reklamationsquote, Verbrauchsmaterial-Trends (z. B. Desinfektionsmittelverbrauch/1000m²).

• Energie/Abfall Cockpit: Energieintensität vs. Ziel, Lastspitzen (wie oft Schwellwerte überschritten), Zählerdaten-Qualität, Recycling-/Nachweis-Compliance (Soll 100 %).

• Workplace/Moves Cockpit: SLA-Fulfillment (SRT, Lösung), FCR, CSAT-Score, Umzüge Termin- & Budgettreue, Datenaktualität nach Moves.

• Verfügbarkeit/Skalierung: Das System ist hochverfügbar (HA-Failover), RTO/RPO-Ziele (z. B. 4 h Recovery Time, 1 h Data Loss max.), horizontale Skalierung vorgesehen (IoT-Events Flut handelbar).

• Backup/Archivierung: Tägliche Snapshots, revisionssichere Archivierung aller Nachweise; regelmäßige Wiederherstellungstests.

• Datenschutz/Informationssicherheit: Daten sind verschlüsselt (in Ruhe und Transport), Logs mit Personenbezug pseudonymisiert, Löschkonzepte automatisiert; sensibler Zugriff (z. B. auf personenbez. Daten) wird geloggt und auditiert.

• Mobilität: Offline-Fähigkeit der mobilen App (um in Kellern ohne Netz weiterarbeiten zu können), Konfliktlösung bei Sync (Regeln, wer gewinnt); Geräte-Compliance via MDM (Mobile Device Mgmt) – nur registrierte Geräte dürfen App nutzen (Sicherheitsvorgabe).

• Phase 1: Datenfundament – Asset-/Zonen-Stammdaten komplettieren, Kritikalität zuweisen, Prüfkalender anlegen; Rollen/Rechte im CAFM definieren, DMS-Grundstruktur aufbauen.

• Phase 2: Workflows & Gates – Module Work Order, Inspections einführen; E-Signaturen aufsetzen; Qualifikations- und Kalibrier-Gates parametrieren; High-Crit 4-Augen-Prozesse konfigurieren.

• Phase 3: Schnittstellen – Anbindung BIM/ITSM/EMS/IoT, Laborsystem etc.; KPI-Cockpits erstellen und Alerts konfigurieren; erstes internes Auditprogramm starten.

• Phase 4: Optimierung – weiter in Richtung Predictive & Analytics (z. B. Machine Learning auf Störungsdaten für Ausfallprognose), automatisierte Eskalationen (z. B. Bot erstellt Ticket bei Alarm); Lieferantenscorecards ins Lieferantenportal integrieren; KVP-Feedbackschleifen digital abbilden (z. B. Ideentool).

Mit dieser integrierten Architektur werden Prozesse wohldefiniert, Nachweise manipulationssicher geführt und Entscheidungen datenbasiert getroffen – robust für High-Criticality, anschlussfähig an die Unternehmens-IT und auditfest gemäß ISO 9001.

Die ISO 9001 befindet sich in einem Evolutionspfad, der drei Hauptströmungen bündelt: verstärkte Kontextanalyse und Risikoorientierung, Integration von Klima-/Nachhaltigkeitsaspekten sowie die Digitalisierung dokumentierter Information. Mit Amendment 1:2024 wurde bereits die Berücksichtigung des Klimawandels in den Kontext- (Klausel 4) und Planungsanforderungen (Klausel 6) aller Managementsysteme verankert.

• Kontext & Stakeholder: Noch tiefere Analyse der Umwelt-, Markt- und Lieferkettenkontexte. Resilienz- und Business-Continuity-Aspekte (z. B. Klimarisiken, Versorgungssicherheit) werden stärker betont.

• Risiko-/Chancenmanagement: Explizitere Anforderungen an Evidenz und Wirksamkeit der Risiko-Maßnahmen; stärkerer Bezug zu Datenmonitoring und Analytics (Trends zur Früherkennung nutzen).

• Nachhaltigkeit/Klima: Systematische Ableitung klimabezogener Risiken/Chancen, Einbindung von Kennzahlen und Maßnahmen (Anknüpfung an ISO 14001/50001, ESG-Reporting). FM-Organisation muss z. B. Energie-/CO₂-Ziele ins QMS integrieren.

• Digitalisierung dokumentierter Information: Anforderungen an Datenintegrität, Nachvollziehbarkeit (Audit-Trail muss Standard sein), Cloud-/SaaS werden anerkannt unter Bedingungen, E-Signatur und Informationssicherheit (Annex SL betont Security).

• Lieferkettensteuerung: Vertiefte Steuerung der externen Bereitstellung (Klausel 8.4) – Due Diligence in Lieferketten, Transparenz über Subunternehmer, Performance- und Compliance-Nachweise der Lieferanten.

• Governance & Prozesse: Erweiterte Kontextanalyse um Klima- und Versorgungsrisiken (z. B. Energieknappheit, Hitzelast auf RLT-Anlagen) sowie regulatorische ESG-Pflichten (z. B. neue Gebäudeenergie-Vorgaben). Resilienz- und Kontinuitätsplanung rücken in den Fokus (FM muss z. B. Notfallkonzepte für Stromausfall, Klimawandel-Auswirkungen erstellen).

Engere Verzahnung ISO 9001–41001–45001–14001; gemeinsame Prozesse für Rechtsmonitoring, Risiko und Dokumentenmanagement vermeiden Silos.

• Personalentwicklung & Kompetenzen: Neue Schwerpunkte: ESG-/Klimakompetenz für FM-Führung, TGA und Beschaffung (z. B. Energie- und Abfall-Footprint verstehen, klimabedingte Ausfallrisiken managen, Lieferkettensorgfaltspflichten/LkSG erfüllen). Digitale Kompetenz: Datenqualität/MDM, eIDAS-konforme E-Signaturen, Cyber-/Informationssicherheit, Analytics (um z. B. KI-gestützte Prognosen nutzen zu können). Auditorenkompetenz: Muss erweitert werden auf Beurteilung digitaler Nachweise, Datenintegrität, Klimarisiken und Lieferantennachweise.

• Leistungssteuerung: Das KPI-Portfolio wird um Klima-/Resilienzmetriken erweitert (z. B. Energie- und CO₂-Intensität, Maßnahmen-Umsetzungsquote aus Klimaanpassungsplänen, Lieferanten-Compliance-Scores). Es entstehen dynamische Risiko-Dashboards mit Frühwarnindikatoren (z. B. Anlagenverfügbarkeit vs. Hitzeindex, Infektionsraten vs. Hygienemaßnahmen) und Tools zur laufenden FMEA-Aktualisierung.

• Klimaresilienz kritischer Anlagen: Für Notstrom, Kühlung, Lüftung werden Redundanzen, Lastmanagement und thermische Konzepte noch wichtiger (z. B. Notkühlung bei Hitzewelle).

• Digital by design: Lückenlose E2E-Traceability (Messwerte, Probenahmeketten, Reinraumfreigaben etc.) mit E-Signatur und manipulationssicherer Historie wird Voraussetzung – das FM-System muss das out-of-the-box bieten.

• Lieferanten-Risiko-Scoring: Qualifikation, Kapazitäts- und Standort-Risiken (z. B. Dienstleister nur in einer Region → Klumpenrisiko), Subunternehmertransparenz, Notfall-Backup-Pläne der Lieferanten fließen in Scorecards ein.

• Context & Planung: QMS-Kontextanalyse jetzt schon erweitern um Klima-/Versorgungs- und Lieferkettenaspekte; Risiko-Register um diese Punkte ergänzen und Maßnahmen definieren (mit quantifizierten Schwellwerten).

• Verknüpfung Risikomanagement mit KPI- und Auditprogramm intensiveren: FMEA-Erkenntnisse direkt KPI/Priorität zuordnen; FMEA um Klima-/ESG-Faktoren ergänzen.

• Digitalisierung dokumentierter Information: E-Signatur-Policy einführen (nach eIDAS, z. B. advanced signature für Freigaben), Audit-Trail-Prüfpunkte ins interne Audit aufnehmen (System zeigt Historie). Cloud-Governance klären (Zugriff, Verschlüsselung, SoD bei Cloud-Providern). Pflichtfelder und Gating-Regeln weiter automatisieren (z. B. kein Wartungs-WO schließen ohne Foto).

• MDM-Härtung: Pflichtfelder/Validierungen weiter ausbauen; Dublettenmanagement; Data Lineage festlegen (Prüf-/Kalibriernachweise eindeutig zu Prozess verknüpft; Schulungszertifikat zu Person und Anlage).

• Lieferketten: Prequalification-Standards um ESG-/Compliance-Faktoren erweitern (z. B. Code of Conduct, LkSG-Selbstauskunft). Flow-down-Klauseln in Verträgen für Subunternehmer standardmäßig aufnehmen; Lieferanten müssen Daten- und Auditpflichten vertraglich akzeptieren. Scorecards und Eskalationsstufen schon jetzt schärfen (z. B. bei 2 Quartalen rot → Managementgespräch, bei 4 Quartalen → Vertragsüberprüfung).

• Nachhaltigkeit: Brücke zu ISO 14001/50001 schlagen: Energie-/Abfall-KPIs ins Managementreview aufnehmen, Korrelation mit Ausfall-/Qualitätskennzahlen darstellen (z. B. Energieverbrauch vs. Anlagenstörungen). No-/Low-Regret Maßnahmen umsetzen (was ohne Nachteile sofort hilft): Submetering ausbauen, Lüftungsanlagen-Leckage checken, Reinigungschemikalien auf umweltfreundlich umstellen etc.

0–90 Tage: Old-to-New Gap-Analyse (Kontext, Klima, Digitalisierung, Lieferkette): prüfen, wo QMS nachgeschärft werden muss; Q-Politik um Nachhaltigkeit ergänzen; Klimaaspekte in Klausel 4/6 Dokumentation aufnehmen (z. B. Klimarisikoprofil).

• Audit-Trail Quick Wins: E-Signatur einführen für kritische Freigaben; Pflichtfelder für Prüf-/Kalibriernachweise aktivieren; Qualifikations-Gates überprüfen/schließen.

• Lieferanten: Mindestanforderungen in Verträgen um ESG/Compliance ergänzen; kritische Subketten identifizieren (wer hat nur 1 Lieferant, Ausfall hätte Impact?).

• 90–180 Tage: Managementbewertung neu gestalten: ESG-/Resilienzindikatoren ergänzen; Risiko-/KPI-Verknüpfung ins Review nehmen; Lessons Learned aus Incidents/Wetterextremen einbinden.

• Schulungsprogramm erweitern: ESG/Resilienz/Data Integrity Schulungen für Schlüsselrollen; Auditorentraining „digitale Evidenz & Klima-Risiken“.

• Pilot-Analytics-Projekte starten: z. B. Klima- vs. Verbrauchs-Szenarien, Frühwarnindikatoren aus IoT, Predictive Maintenance in einem kritischen Bereich pilotieren.

• 180–360 Tage: Volle Integration ins IMS: QMS/EMS/AMS (9001/41001/14001/45001) zusammenführen, Lieferantenentwicklungsprogramm institutionalisiert, Data Governance 2.0 (autom. Data Quality Scans, Lineage, Re-Zertifizierung Benutzerrechte jährlich).

• Externe Verifikation kritischer Nachweise: z. B. stichprobenartige externe Audits/Inspektionen (Sachverständige) einplanen, um Unabhängigkeit zu wahren; Klima-/Versorgungs-Stresstests durchführen (Blackout-Simulation etc.).

Mit diesem Fahrplan werden die erwarteten Revisionsthemen der ISO 9001 proaktiv in FM-Governance, Personalentwicklung und Leistungssteuerung verankert – auditfest, digital und resilient, mit besonderem Schutz für kritische Bereiche.

Ein ISO-9001-basiertes QMS liefert den belastbaren Ordnungsrahmen für ein hybrides FM-Setup. Es verbindet Governance (klare RACI und Betreiberpflichten), prozessorientierte Steuerung (definierte SOPs/Verfahrensanweisungen), digitale Nachweisführung (CAFM als Single Source) und eine KPI-/Audit-Logik zu einem wirksamen PDCA-System.

• Klare Rollen & 4-Augen-Gates: Verantwortlichkeiten sind eindeutig, kritische Freigaben doppelt geprüft.

• Qualifikationsgebundene Einsatzsteuerung: Niemand ohne Nachweis auf kritischer Aufgabe; System Gates verhindern es.

• Gesetzes-/normkonforme Prüf- & Freigabeprozesse: Alle Prüffristen werden eingehalten, Freigaben dokumentiert, High-Crit streng gehandhabt.

• Integrierte Lieferantensteuerung: Dienstleister werden wie interne Teams überwacht (KPIs, Audits), Pflichten fließen durch (Flow-down).

• Sauberes Datenfundament: Alle Assets, Pläne, Nachweise in hoher Qualität im System; Entscheidungen basieren auf verlässlichen Daten.

High-Criticality erfordert Null-Toleranz bei Freigaben, Kalibrierung und Hygiene – risikoadaptive Prüf- und Eskalationsregeln sind zwingend. Ohne digitale Gates (Qualifikationen, Kalibrierstatus, E-Signatur) ist die Auditfähigkeit in diesen Bereichen nicht haltbar.

Die künftige ISO-9001-Ausrichtung (Kontext, Klima/ESG, Digitalisierung, Lieferketten) bestätigt den eingeschlagenen Weg: integrierte Managementsysteme, datenbasierte Entscheidungen und erhöhte Lieferantentransparenz sind die Zukunft. Unser QMS ist darauf vorbereitet – viele Elemente (Risikoanalysen, Klimaanpassungen, digitale Audit-Trails) sind bereits etabliert.

• Governance: Qualitätspolitik aktualisieren (Thema Nachhaltigkeit ergänzen), RACI samt Gatekeeper offiziell benennen, Eskalationskaskaden kommunizieren.

• High-Criticality-Sofortprogramm: Minimal-SOPs für Reinraum, Trinkwasser, Brandschutz final verabschieden; 4-Augen-Freigaben technisch aktivieren; Sperr-/Wiederinbetriebnahme-Workflows überprüfen.

• Datenfundament: Asset-Register und Kritikalität bereinigen (keine Lücken); Prüf-/Wartungskalender importieren (kein Termin fehlt); Messmittel-/Kalibrierstatus überall nachpflegen.

• CAFM-Gates: Qualifikations- und Kalibriergates, E-Signatur für Freigaben, Pflichtfelder in Work Orders/Inspections aktivieren (dort wo noch nicht konfiguriert).

• Lieferanten: Mindestanforderungen (Qualifikationen, Nachweise, Auditpflicht) in bestehende Verträge per Nachtrag einfügen; kritische Subdienstleister identifizieren und ggf. parallel Qualifizieren oder Backup suchen.

• Vollständiges Mapping (Klauseln 5, 7–10) in Prozessen und Workflows umsetzen (Lücken aus Gap-Assessment schließen); L1–L3-Landkarten, SIPOC-Modelle und DMS-Struktur finalisieren.

• KPI-/Dashboard-Livegang inkl. RAG-/Eskalationsregeln; internes Auditprogramm risikobasiert starten (inkl. Lieferantenaudits); Lieferantenscorecards pilotieren.

• Trainingsmatrix erweitern: Re-Qualifizierungszyklen systemgestützt überwachen; Onboarding auch für Subunternehmer einführen; Wirksamkeitskontrollen (Praxisbeobachtungen, Wissenstests) implementieren.

• Advanced-Kriterien erfüllen: Predictive & Analytics-Projekte (Sensorintegration, Ausfallprognosen), Benchmarking mit externen Daten (Branchenvergleich) etablieren;

• Integrierte Reviews: Qualität, HSE, Energie, etc. gemeinsam betrachten (IMS-Ansatz komplett);

• Lieferantenentwicklungsprogramm fest verankern (jährliche Lieferantenbewertung mit Q-Bewertung, Feedbackgespräche);

• Data Governance Next Level: periodische Data Quality Checks per Skript, Datenverantwortliche re-zertifizieren (Rechtekontrolle).

Mit diesen Schritten bleibt unser QMS zukunftssicher und adressiert bereits heute die Themen von morgen. Wir haben gesehen: wo Governance, Kompetenzen und digitale Nachweise ineinandergreifen – mit klaren High-Criticality-Controls, belastbaren KPIs und konsequent gelebtem PDCA-Zyklus – ist FM-Qualitätsmanagement nicht nur ein Pflichtprogramm, sondern ein Werttreiber für Sicherheit, Compliance und Effizienz.