Betriebskonzept im Facility Management für Banken und Versicherungen

Der FM-Betrieb im Bank- und Versicherungsumfeld wird durch ein Geflecht aus aufsichtsrechtlichen, arbeits- und sicherheitstechnischen sowie branchenspezifischen Vorgaben bestimmt.

• Aufsichtsrecht (Banken/Versicherungen): Die Finanzaufsicht (BaFin) gibt mit den MaRisk (Mindestanforderungen an das Risikomanagement) einen verbindlichen Rahmen für Risiken vor, der auch den Betrieb von Infrastruktur und Auslagerungen einschließt. Beispielsweise fordert MaRisk AT 4 ein integriertes Risikomanagement und AT 9 detaillierte Anforderungen an Auslagerungen (Outsourcing). Parallel dazu konkretisieren die BAIT (Bankaufsichtliche Anforderungen an die IT) die IT-bezogenen Pflichten für Banken, und für Versicherungen gelten analog die VAIT. Die 6. Novelle der MaRisk (Rundschreiben 10/2021) hat diverse EBA-Leitlinien in deutsche Vorgaben überführt, darunter die EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02) sowie zu IKT- und Sicherheitsrisiken (EBA/GL/2019/04). Dies bedeutet, dass EU-weit einheitliche Maßstäbe – etwa ein zentrales Auslagerungsregister für alle Auslagerungsverträge und erweiterte Notfallpläne – nun auch hierzulande verpflichtend sind. Neu hinzugekommen ist auf EU-Ebene die Verordnung DORA (Digital Operational Resilience Act, EU 2022/2554) zur digitalen Betriebsresilienz. DORA adressiert die IT-Resilienz im Finanzsektor und bezieht dabei ausdrücklich kritische IKT-Drittanbieter (z. B. Cloud- und IT-Serviceprovider) mit ein. Sie erweitert den Blick auch auf die Koppelung von IT mit OT (operativer Technik), um physische Schnittstellen in Gebäuden und technische Anlagen in das Resilienzkonzept einzubeziehen. Finanzinstitute müssen DORA-konform sicherstellen, dass sie ICT-Störungen standhalten, angemessen melden und regelmäßig Tests (z. B. Penetrationstests, Ausfallsimulationen) durchführen.

• Datenschutz: Die EU-Datenschutzgrundverordnung (DSGVO) und nationale Datenschutzgesetze regeln unter anderem Videoüberwachung und Zutrittskontrollsysteme in Gebäuden. Insbesondere ist ein Lösch- und Aufbewahrungskonzept für aufgezeichnete Bild- und Zugangsdaten erforderlich. So dürfen Videoaufnahmen personenbezogener Art grundsätzlich nur so lange gespeichert werden, wie es für den Zweck erforderlich ist – in der Praxis gilt als Richtwert eine Löschfrist von 48 Stunden, außer es besteht ein erhöhtes Sicherheitsrisiko oder ein konkreter Vorfall (z. B. als Beweismittel). Zutrittssysteme müssen datenschutzkonform betrieben werden (Minimalprinzip, Protokollierung nur zweckgebunden, regelmäßige Löschung von Zutrittslogs).

• Kritische Infrastrukturen (KRITIS): Größere Banken und Versicherer können gemäß BSI-Gesetz (BSIG) als kritische Infrastrukturen eingestuft werden, sofern sie definierte Schwellenwerte überschreiten (z. B. >100 Mio. Transaktionen/Jahr im Zahlungsverkehr). In diesem Fall unterliegen sie zusätzlichen IT-Sicherheitsauflagen durch das BSI: sie müssen sich registrieren, alle zwei Jahre angemessene Sicherheitsvorkehrungen nach dem Stand der Technik umsetzen und erhebliche Sicherheitsvorfälle unverzüglich melden. Für FM bedeutet KRITIS-Status, dass insbesondere Rechenzentren, Zahlungsverkehrssysteme und deren gebäudetechnische Infrastruktur höchsten Schutzanforderungen genügen müssen (Notfallstrom, Zugangsbegrenzung, Monitoring etc. gemäß §8a BSIG).

• Arbeitsschutz und Betriebssicherheit: Das Arbeitsschutzgesetz (ArbSchG) und die Arbeitsstättenverordnung (ArbStättV inkl. Technische Regeln ASR) verpflichten den Arbeitgeber zu Gefährdungsbeurteilungen für Arbeitsplätze und Baustellen. Im Kontext FM heißt das: Für jede dauerhafte Arbeitsstätte (z. B. Büro, Filiale) sowie temporäre Baustellen (Umbauten) muss eine Gefährdungsbeurteilung durchgeführt und dokumentiert werden. Die BetrSichV (Betriebssicherheitsverordnung) sowie zugehörige Technische Regeln (TRBS) regeln Prüfpflichten für überwachungsbedürftige Anlagen – etwa Aufzüge, Druckbehälter, elektrische Anlagen (siehe DGUV Vorschrift 3 für Elektrik). Demnach müssen solche Anlagen regelmäßig von befähigten Personen oder zugelassenen Überwachungsstellen geprüft werden. Beispiel: Nach § 15 BetrSichV hat der Betreiber die Prüffristen sicherheitskritischer Anlagen eigenverantwortlich festzulegen und deren Einhaltung nachzuweisen. Dies erfordert praktisch ein Register aller prüfpflichtigen Anlagen, eine sicherheitstechnische Bewertung je Anlage und einen Dokumentationsprozess für jede erfolgte Prüfung. Die konsequente Umsetzung wird etwa in VDI 3810 („Betreiben und Instandhalten von Gebäuden“) konkretisiert, die die organisatorische Ausgestaltung der Betreiberpflichten beschreibt.

• Informationssicherheit und BCM: Ein FM-Betrieb muss in das unternehmensweite Informationssicherheits-Managementsystem (ISMS) integriert sein, das idealerweise ISO/IEC 27001-zertifiziert ist. Physische Sicherheitsmaßnahmen (Zutritt, Einbruchschutz, Klimatisierung von Serverräumen) fließen in den Geltungsbereich des ISMS ein. Ebenso muss das Business Continuity Management (BCM) nach ISO 22301 die gebäudebezogenen Notfallpläne (z. B. Evakuierung, Notstrom, Ausweichstandorte) umfassen. Insbesondere Rechenzentren werden nach Kritikalität klassifiziert – oft anhand der Norm EN 50600, die Verfügbarkeitsklassen (entsprechend Tier I–IV) sowie Effizienzkennzahlen wie PUE (Power Usage Effectiveness) definiert. Ein hausinternes Rechenzentrum sollte mindestens dem vorgesehenen Tier-Äquivalent genügen (z. B. Tier 3 für Hochverfügbarkeit). Zusätzlich fordern Aufseher regelmäßige Notfallübungen und ein Notfallhandbuch, damit im Fall von IT-Ausfällen (z. B. Klimaanlage im Serverraum defekt) schnell reagiert wird.

• ESG / Energie / Brandschutz: Neue Nachhaltigkeitsvorgaben wie die EU-Taxonomie und die Corporate Sustainability Reporting Directive (CSRD) zwingen Unternehmen zu umfangreicher Dokumentation ihrer CO₂-Emissionen, Energieverbräuche und anderer Nachhaltigkeitskennzahlen. Banken und Versicherer, die unter die CSRD fallen, müssen ab Berichtsjahr 2024 detailliert über ihren Energieverbrauch und Klimaziele berichten. Das FM leistet hierzu Beiträge, indem es etwa den Gebäudeenergieverbrauch je Standort erhebt, Effizienzmaßnahmen umsetzt und den CO₂-Fußabdruck (Scope 1, 2 und teilweise 3) für den Immobilienbetrieb ermittelt. Ein nach ISO 50001 zertifiziertes Energiemanagementsystem gilt als Best Practice, um Energieeffizienz systematisch zu steigern. Auch Klimarisiken (Hitze, Überschwemmung) für Gebäude müssen bewertet werden. – Brandschutz: Hier sind zahlreiche Normen zu beachten: z. B. DIN 14675 für Brandmeldeanlagen (fordert u. a. zertifizierte Fachfirmen und jährliche Wirksamkeitstests aller BMA), DIN EN 62305 für Blitzschutzsysteme, VdS-Richtlinien für Sprinkler- und Entrauchungsanlagen, etc. Diese Vorgaben definieren technische Anforderungen und Prüfzyklen, deren Einhaltung der FM-Betrieb sicherstellen muss. Viele Versicherer verlangen VdS-anerkannte Komponenten und regelmäßige Sachverständigenprüfungen (etwa durch VdS-Inspektoren).

Gemäß § 15 BetrSichV muss der Betreiber wiederkehrende Prüfungen für bestimmte Anlagen veranlassen und die Intervalle auf Basis einer Gefährdungsbeurteilung festlegen. Konkret bedeutet das etwa, dass für eine Notstromanlage oder einen Aufzug die maximalen Prüffristen festgelegt werden (z. B. jährliche Wartung, Hauptprüfung alle 2 Jahre) und dies im Anlagenregister hinterlegt ist. Die praktische Umsetzung kann sich an Richtlinien wie VDI 3810 orientieren, welche für verschiedene Gewerke (Aufzüge, Druckanlagen, Elektro) die genauen Pflichten des Betreibers auflistet. Nur durch ein solches systematisches Vorgehen lassen sich die strengen Sorgfaltsmaßstäbe der Rechtsprechung erfüllen.

• Vollständiger Abgleich aller FM-relevanten Gesetze und Normen mit dem Leistungskatalog des FM (Compliance-Matrix vorhanden).

• Dokumentation einer Compliance-Matrix bzw. eines Rechtskatasters mit allen einschlägigen Pflichten, Verantwortlichkeiten und Nachweispfaden (Audit-Trail).

• Existenz eines aktuellen Betreiberpflichten-Registers (gemäß DIN 31051/VDI 3810) mit terminierten Prüffristen und Nachweisen für jede Prüfung.

• Kontrolle, ob im FM-Konzept alle relevanten regulatorischen Anforderungen adressiert sind (MaRisk/BAIT/VAIT, DSGVO, ArbSchG, BetrSichV, etc.).

• Stichprobenhafte Einsicht in Prüfberichte und Zertifikate: z. B. liegen VdS-Abnahmen für Brandmeldeanlagen vor? Wurden elektrische Anlagen gemäß DGUV V3 fristgerecht geprüft?

• Überprüfung des Auslagerungsregisters (sofern vorhanden): Sind alle FM-Dienstleistungen und Wartungsverträge erfasst und hinsichtlich Kritikalität bewertet (entsprechend MaRisk AT 9)?

• Abdeckungsgrad der FM-Prozesse durch schriftliche Betriebsanweisungen (Soll: 100 % der kritischen Prozesse dokumentiert).

• Quote bestandener Audits (intern/extern) in FM-Belangen (z. B. Anteil der Auditergebnisse ohne Abweichungen, oder ISO 41001-Zertifikat vorhanden ja/nein).

• Anzahl festgestellter Compliance-Lücken pro Quartal (z. B. fehlende Prüfnachweise, Überschreitung von Fristen) und Zeit bis zur Schließung dieser Lücken.

Das typische Immobilien-Portfolio einer größeren Bank/Versicherung ist heterogen und verteilt. Übliche Bestandteile sind etwa: - Ein Hauptsitz oder Campus (meist mit Vorstand, zentralen Funktionen, ggf. Handelsraum bei Banken) - Mehrere regionale Standorte bzw. Hubs (Backoffice-Standorte, Call-Center, regionale Verwaltungszentren) - Ein weit verzweigtes Filialnetz (teils mit Voll-Service-Filialen, teils reine SB-Standorte) – je nach Institut oft hunderte von Filialen - Rechenzentren: in der Regel 1–2 primäre Rechenzentren plus 1 Backup-RZ für Desaster Recovery - Call/Service-Center: z. B. 2–4 Kundenservice- oder Operations-Center - Cash-Center (Bargeldlogistikzentren) und Geldautomaten: größere Institute betreiben 1–3 Bargeldzentren sowie über 1.000 Geldautomaten (teils in eigenen Filialen, teils in externen Aufstellorten)

Standorte variieren stark hinsichtlich Eigentumsform (Eigenimmobilie vs. Mietobjekt), Lage (Innenstadt, Stadtrand, ländlich) und Baujahr/Zustand. Für das Betriebskonzept ist es essenziell, Kritikalitätsklassen der Standorte und Assets zu definieren. Ein bewährtes Vorgehen ist die Business Impact Analyse (BIA) gemäß ISO 22301: Dabei wird für jede relevante Funktion und jeden Standort ermittelt, welche Auswirkungen ein Ausfall hätte und wie schnell die Wiederanlaufzeit sein muss (RTO – Recovery Time Objective; RPO – Recovery Point Objective für Daten).

Auf Basis der BIA-Ergebnisse werden Klassifizierungen vergeben, z. B.: - Hochverfügbare Einrichtungen: z. B. Rechenzentrumsflächen (eingestuft analog Tier III/IV nach EN 50600), zentrale IT-Räume, Schlüsselfunktionen (Handelsräume, Zahlungsverkehr) – hier sind Redundanzen und sehr kurze Wiederanlaufzeiten gefordert (RTO im Minuten- bis Stundenbereich). - Standard-Verfügbarkeiten: normale Bürobereiche, Standard-Filialen – vorübergehende Ausfälle sind verkraftbar, RTO im Bereich 1–2 Tage, teilweise mit manuellen Workarounds. - Notfall-Arbeitsplätze: definierte Ausweicharbeitsplätze für den Fall, dass Hauptstandorte ausfallen (ggf. Notfallbüros oder Homeoffice-Szenarien). - Öffentlich zugängliche Zonen vs. gesicherte Bereiche: z. B. öffentlich (Kundenhalle), halböffentlich (Mitarbeiterbereich in Filiale), gesichert (Serverraum, Tresor) und hochsicher (Rechenzentrum, Haupttresor). Diese Zonen werden im Sicherheitskonzept unterschiedlich behandelt (unterschiedliche Zutrittsrechte, Überwachungsniveau).

Zusätzlich werden Redundanzstufen definiert: Welche Systeme haben Hot-Standby (sofortige Übernahme bei Ausfall), Warm-Standby (innerhalb kurzer Zeit aktivierbar) oder nur Cold-Standby/Backup (manuelle Wiederherstellung)? Beispielsweise kann das Haupt-Rechenzentrum durch ein zweites, gespiegelt betriebenes RZ abgesichert sein (synchrones Mirroring, Ausfallsicherheit nahezu 100 %), während ein kleinerer Standort ggf. nur ein regelmäßiges Backup hat.

Output dieses Schritts ist ein Kritikalitäts-Register (idealerweise digital im CAFM/ITSM gepflegt), in dem jeder Standort und jede kritische Anlage einer Klasse zugeordnet ist. Daraus leiten sich Service-Level-Agreements (SLA) bzw. Verfügbarkeitsklassen ab, die dokumentiert werden. Ebenso entstehen konkrete Notfall- und Testkonzepte: für jede hochkritische Funktion gibt es einen Ausweichplan und regelmäßige Tests (z. B. jährliche Notstromtests, Failover-Proben zwischen RZ-Standorten etc.).

• Jeder Standort und jedes kritische System verfügt über eine formale Kritikalitätseinstufung, hinterlegt mit dokumentierter Risiko- und Impact-Analyse.

• Wiederanlaufziele (RTO/RPO) sind für alle geschäftskritischen Anwendungen und Infrastrukturkomponenten standortübergreifend definiert und vom Management freigegeben.

• Kritikalitätszonen (z. B. Zutrittsstufen von öffentlich bis Hochsicher) sind im Sicherheitskonzept festgelegt und physisch umgesetzt (beschildert, technisch kontrolliert).

• Überprüfung, ob BIA-Workshops durchgeführt und protokolliert wurden (Dokumente der Business Impact Analyse einsehen).

• Nachweis definierter SLAs und Notfallkonzepte: Für mindestens alle als „hoch“ eingestuften Funktionen sollten schriftliche Notfallpläne und SLA-Dokumente vorliegen.

• Stichprobe: Wurden Failover-Tests an ausgewählten kritischen Systemen tatsächlich in den vorgesehenen Intervallen durchgeführt und dokumentiert (z. B. Protokolle eines jährlichen RZ-Notfalltests)?

• Anzahl der Standorte/Assets mit definiertem RTO/RPO (Soll: 100 % der kritischen Einheiten).

• Erfüllungsgrad geplanter Disaster-Recovery-Tests (wie viel Prozent der vorgesehenen Tests wurden im Jahr durchgeführt, Soll: >90 %).

• Verfügbarkeit kritischer Anlagen im Ist vs. Soll (z. B. 99,9 % verfügbare Betriebszeit p.a. für Tier-3-äquivalente RZ-Bereiche).

• Prozentualer Anteil redundanter Leitungen/Generatoren bei kritischen Einrichtungen (Ziel je nach Klasse, z. B. 100 % Redundanz in Hochverfügbarkeitsstandorten).

Das Leistungsspektrum im Facility Management von Banken und Versicherungen ist sehr breit und umfasst infrastrukturelle, technische und administrative Services.

• Hard FM (Technisches FM): Betrieb und Instandhaltung der gesamten technischen Gebäudeausrüstung. Dazu zählen Heizungs-, Klima-, Lüftungs- und Sanitäranlagen (HKLS), elektrotechnische Anlagen (Stromversorgung, Notstrom, Gebäudeleittechnik), Aufzüge und Fördertechnik, Brandschutzanlagen (Brandmelde- und Alarmanlagen, automatische Löschanlagen), Sicherheitsstromversorgung (Notstromaggregate, USV-Systeme) und spezifische Infrastruktur in Rechenzentren (Kälteanlagen, Serverraum-Infrastruktur, EMV-/Blitzschutzanlagen). Hard FM stellt sicher, dass alle technischen Systeme zuverlässig funktionieren, regelmäßig gewartet und bei Störungen umgehend repariert werden.

• Soft FM (Infrastrukturelles FM): Dienstleistungen rund um die Nutzung der Gebäude. Hierzu zählen Reinigung (inkl. Spezialreinigung z. B. von Rechenzentren nach Reinraum-Standard ISO 14644-1 bzw. hygienische Reinigung gemäß VDI 6022 für Lüftungsanlagen), Hygiene (Sanitärversorgung, Hygienematerial), Catering/Kantinenbetrieb, Empfangs- und Postdienste, Hausmeisterdienste, Garten- und Außenanlagenpflege sowie Winterdienst. Auch der Betrieb von Konferenzbereichen und Gästebewirtung fällt darunter. Ziel ist ein einwandfreier Zustand und Servicelevel im täglichen Betrieb.

• Sicherheit (Security): Physische Sicherheitsdienste und -technik. Dazu gehören Wach- und Empfangsdienste, ggf. bewaffneter Objektschutz in Hauptstellen, Interventionsteams für Alarme, sowie technische Sicherheitssysteme: Zutrittskontrollanlagen (mit Ausweis- und Biometriesystemen), Einbruchmelde- und Überfallmeldeanlagen (EMA/ÜMA, VdS-konform), Videoüberwachungssysteme (CCTV) oft mit KI-gestützter Analytik (z. B. automatische Erkennung von verlassenen Objekten oder unbefugten Personen, DS-konform). Weiterhin das ID-Management (Ausweiserstellung, Schlüsselverwaltung, elektronische Schließanlagen) und die Anbindung an Leitstellen bzw. ein Security Operations Center (SOC nach DIN EN 50518). Sicherheitsleistungen müssen besonders hohen Auflagen genügen (24/7-Bereitschaft, Interventionszeiten im Minutenbereich, Protokollierung aller Ereignisse).

• Workplace / Space Management: Verwaltung und Optimierung der Büroflächen und Arbeitsplätze. Dazu zählen Flächen- und Belegungsmanagement (Überwachung der Flächenauslastung, Desk-Sharing-Konzepte, Planung von Umzügen), Umzugsmanagement (interne Büroumzüge sowie Standortwechsel), Raumklimamanagement (Überwachung von Temperatur, Luftqualität – siehe VDI 6022 für Innenraumluft), Licht und Ergonomie (Beleuchtungsstärke nach DIN EN 12464-1 sicherstellen, ergonomische Möblierung nach DIN EN 527 und EN 1335 bereitstellen) sowie Besuchermanagement (Empfang, Zutrittssteuerung für Besucher). Im Zuge von „New Work“ gewinnt auch die Gestaltung von Multispace-Büros und Collaboration-Flächen an Bedeutung.

• Real Estate / Lease Management: Verwaltung der Immobilien-Assets und Mietverträge, oft in enger Abstimmung mit der Immobilienabteilung. Hierunter fallen Stammdatenpflege aller Gebäude und Mietflächen, Verwaltung von Mietverträgen (Abschluss, Verlängerung, Kündigung), Betriebskostenmanagement (Nebenkostenabrechnungen für angemietete Flächen) und die Koordination von Übergaben bei Anmietung/Verkauf. Insbesondere bei Neubauten ist die BIM-Übergabe relevant: Gebäude werden per Building Information Modeling geplant, und relevante Daten (COBie-Datenstandards) müssen ins CAFM/IWMS übertragen werden (BIM2FM), damit der Betrieb vollständig informiert starten kann.

• FM-Projekte: Alle baulichen und technischen Projekte, die den Bestand betreffen. Beispielsweise Modernisierung der TGA (Austausch von Kälteanlagen, Lüftungsgeräten, Energiesparmaßnahmen), Rechenzentrums-Retrofit (Nachrüstung neuer Klimaschränke, Brandschutz-Upgrades), Obsoleszenz-Programme (planmäßiger Austausch veralteter Komponenten, Firmware-Updates bei Steuerungen gemäß Herstellerempfehlung). Auch die Begleitung von Neubauprojekten aus Sicht des späteren Betriebs (FM-gerechte Planung, Mitwirkung bei Abnahmen gemäß DIN EN 15221-2) gehört dazu. Ziel ist es, Lebenszykluskosten und Betriebsfähigkeit früh zu berücksichtigen.

• Cash-Handling (FM-Aspekte): Spezifische Anforderungen rund um Tresoranlagen und Bargeldbereiche. Dies umfasst bauliche Vorkehrungen wie Tresorräume nach Widerstandsklassen (z. B. EN 1143-1 zertifizierte Tresortüren), Schleusen für Werttransporte (CIT – Cash in Transit), Foyer-Gestaltung in SB-Zonen mit Sicherheitsglas, Zeitschloss- und Einfärbesysteme für Geldkassetten usw. FM stellt sicher, dass Service-Dienstleister (Werttransporteure) reibungslosen Zugang haben, aber auch Sicherheitszonen klar getrennt bleiben.

• Dokumenten- und Archivmanagement: Betreuung zentraler Archive für Papierdokumente oder digitale Datenträger. Hier gelten besondere Klima-Anforderungen (z. B. konstante Temperatur < 20 °C und 50 % rel. Feuchte, um Dokumente zu erhalten), Brandschutz (eigene Brandabschnitte, Brandfrüherkennung) und Zutrittskontrollen. FM organisiert zudem Prozesse wie Einlagerung neuer Akten, Katalogisierung, Fristenverwaltung gemäß gesetzlichen Aufbewahrungsfristen (z. B. 6 oder 10 Jahre nach HGB, bzw. Löschkonzepte nach DSGVO für personenbezogene Unterlagen). Ziel ist ein sicherer, rechtskonformer Umgang mit physischen Informationen.

Betrieb von Kernbankensystemen, Anwendungssoftware (z. B. Brokerage-/Trading-Plattformen) oder personalwirtschaftliche Services. Diese obliegen den jeweiligen Fachbereichen (IT, HR etc.) – das FM stellt hier höchstens die räumliche und technische Umgebung sicher. Auch reine IT-Security-Aufgaben (z. B. SIEM-Monitoring, Cyber-SOC) sind nicht Teil des FM, außer an den Schnittstellen (physische Sicherheitsmeldungen, Zutrittslogs an IT weiterleiten).

Ein detaillierter Leistungskatalog des FM, idealerweise tabellarisch gegliedert nach Leistungsbereichen (wie oben: Hard FM, Soft FM, Sicherheit, Workplace, etc.), bildet die Grundlage für interne Leistungsverträge oder externe Ausschreibungen. In diesem Katalog ist genau beschrieben, welche Leistungen erbracht werden, mit welchen Qualitätsstandards/SLA und ob sie intern (mit Eigenpersonal) oder extern (durch Dienstleister) erbracht werden. Ergänzend empfiehlt sich eine RACI-Matrix (Responsible, Accountable, Consulted, Informed) für alle Teilprozesse – insbesondere an den Schnittstellen zu IT, zu ausgelagerten Services und zu Notfall-/Compliance-Funktionen (BAIT/VAIT/ISMS/BCM-Rollen müssen berücksichtigt werden). Zudem sollten klare Übergabestandards definiert sein, z. B. welche Anlagendaten bei Projektübergaben von Neubau an FM zu liefern sind (Stichwort BIM2FM, Datenformat COBie).

• Ein vollständiger FM-Leistungskatalog liegt vor, gegliedert nach Leistungskategorien, mit Umfangs- und Qualitätsdefinition.

• Für jede Teilleistung ist dokumentiert, wer sie erbringt (internes Team oder externer Dienstleister) und wie die Leistung gemessen/überwacht wird (KPIs, SLA).

• Verantwortlichkeiten für alle gesetzlichen Betreiberpflichten sind festgelegt (z. B. Benennung eines Verantwortlichen für Aufzugsanlagen, eines für elektrische Anlagen usw., i.d.R. Betreiber- vs. Anlagenverantwortlicher nach VDE 0105-100).

• Prüfung, ob der Leistungskatalog mit den realen Verträgen und Dienstleistungsvereinbarungen übereinstimmt (Stichprobe: Sind für Reinigung, Wartung, Sicherheit etc. Verträge vorhanden und decken sie alle Standorte ab?).

• Stichprobe zur RACI-Zuordnung: Ist für kritische Prozesse klar dokumentiert, wer verantwortlich zeichnet und wer lediglich informiert wird? (z. B. Wartung Brandmeldeanlage: FM-Leiter accountable, Dienstleister responsible, Arbeitssicherheit konsultiert, Vorstand informiert).

• Nachweis, dass alle relevanten FM-Prozesse standardisiert und vertraglich geregelt sind – insbesondere solche, die Risiken bergen (z. B. Unterhaltsreinigung in Tresorbereichen mit Sicherheitsauflagen, Wartung von Rechenzentrumsinfrastruktur mit Eskalationsprozess).

• Prozentuale Abdeckung des Portfolios durch FM-Dienstleistungsverträge (Hard FM wie TGA-Wartung, Soft FM wie Reinigung – Ziel nahe 100 % für kritische Leistungen).

• SLA-Erfüllungsgrad: Anteil der vereinbarten Servicelevel, die eingehalten wurden, z. B. Reaktionszeit bei TGA-Störung nach Priorität (wie viele Störungen Priorität 1 wurden innerhalb der Frist behoben).

• CAFM-Datenintegrität: Vollständigkeit und Aktualität der Asset-Stammdaten im System (z. B. wieviel % der Anlagen haben aktuelle Wartungszyklen im System hinterlegt).

• Anzahl von Änderungsanträgen bei Immobilien-/Leistungsübergaben (wie oft wurde vom Sollprozess abgewichen, z. B. weil Planunterlagen fehlten) – als Indikator für Prozessqualität beim Übergang Bau -> Betrieb.

• Modellannahmen: Für ein großes Finanzinstitut bietet sich ein Multi-Provider-Modell im FM an. Das bedeutet: Bestimmte Bereiche werden an spezialisierte Dienstleister vergeben, während strategische Funktionen intern gesteuert bleiben. Oft findet man eine Mischung aus Technical FM (TFM) für besonders kritische Anlagen und Integrated FM (IFM) für allgemeine Leistungen: - Technisches FM (TFM): Hier werden komplexe und hochverfügbare technische Anlagen (insb. im Rechenzentrum, kritische HKL- und Stromversorgungsanlagen) von spezialisierten Firmen betreut (z. B. Hersteller-Serviceverträge für USV oder Kälte). Diese Firmen stellen hochqualifizierte Techniker, während das interne FM die Kontrolle behält. - Infrastrukturelles/Integrales FM (IFM): Das breite Spektrum an Standardleistungen (Filialbetreuung, Reinigung, Hausdienst, kleineren technischen Service) wird häufig in einem oder wenigen großen Dienstleistungsverträgen zusammengefasst, oft mit regionalen Losen. Ein IFM-Dienstleister übernimmt dann die Koordination vieler Gewerke unter einem Dach.

• Wichtig ist die Einrichtung einer internen Steuerungsinstanz für die Betreiberverantwortung (oft FM-Leitung oder ein Compliance-Beauftragter im FM). Gemäß VDI 3810 muss der Betreiber auch bei Delegation von Pflichten an Dritte eine Überwachungs- und Kontrollfunktion wahrnehmen. Diese interne Stelle – oft als „Leiter FM“ oder „Hauptverantwortlicher Betreiber“ bezeichnet – konsolidiert alle Fäden, überwacht Dienstleister, stellt die Einhaltung der Vorschriften sicher und berichtet an die Geschäftsführung.

• Governance & Rollen: Klare Rollenverteilungen sind entscheidend: - Betreiberverantwortliche/r: Trägt die Gesamtverantwortung nach außen (haftbar gegenüber Behörden etc.), typischerweise jemand aus der oberen Leitungsebene, der die organisatorischen Pflichten delegiert aber letztlich accountable bleibt. - Anlagenverantwortliche/r: Für bestimmte Anlagenarten (z. B. verantwortliche Elektrofachkraft gemäß VDE 0105-100 für elektrische Anlagen). Diese Personen sind fachlich dafür zuständig, dass die jeweiligen Anlagen sicher betrieben und instandgehalten werden. - Brandschutzbeauftragte/r: Überwacht den organisatorischen Brandschutz (Feuerlöscherwartung, Räumungsübungen, Schulungen). - Sicherheitsverantwortliche/r (physisch und IT/OT): Kümmert sich um Zutrittskontrolle, Bewachung, Alarmmanagement einerseits und um die Sicherheit der Gebäude-IT (BMS-Systeme) andererseits. Hier kann eine Doppelrolle nötig sein oder Zusammenarbeit mit dem CISO der Bank. - Datenmanager FM: Verantwortlich für das CAFM/IWMS und die Stammdatenpflege. Er/Sie stellt sicher, dass Änderungen (neue Anlagen, geänderte Wartungspläne) sofort im System erfasst werden. - BCM-Beauftragte/r (für FM): Bindeglied zum Business Continuity Management – sorgt dafür, dass FM-Aspekte in den Notfallplänen berücksichtigt werden (z. B. Ausweichflächen, Evakuierungsverfahren).

Diese Governance-Struktur muss mit einer klaren Berichts- und Eskalationslinie versehen sein: regelmäßig berichten FM und Dienstleister an das Management (Quartalsberichte, Jahresberichte mit Kennzahlen), Risiken werden an das zentrale Risikocontrolling gemeldet, Compliance-Verstöße eskaliert.

Wichtig ist auch ein internes Kontrollsystem (IKS) im FM, das insbesondere die Überwachung der Outsourcing-Dienstleister abdeckt (gemäß MaRisk/BAIT/VAIT). Hierzu gehört z. B. ein zentrales Auslagerungsregister (Liste aller wesentlichen Dienstleister inkl. Leistungsbeschreibung, Risikobewertung, Vertragsschluss), Exit-Strategien für kritische Dienstleister (Was passiert, wenn der Anbieter ausfällt?), vertraglich vereinbarte Prüf- und Berichtsrechte für die Bank (BaFin fordert z. B. bei wichtigen Auslagerungen jährliche Reporting-Pflichten und Audit-Rechte). Einmal jährlich sollte ein Bericht über alle wesentlichen Auslagerungen an die Geschäftsleitung erstellt werden (vgl. MaRisk AT 9 Nr. 12).

• Sourcing-Strategie: Welche Leistungen intern bleiben und welche extern vergeben werden, hängt von Kritikalität und Wirtschaftlichkeit ab: - Kritische Technik: Systeme, bei denen Versagen katastrophal wäre (RZ-Strom, Gebäudeleittechnik), werden oft herstellernah betreut. Die Instandhaltung erfolgt durch Fachfirmen oder den Hersteller selbst (Werkskundendienst), mit kurzen Intervallen und 24/7-Bereitschaft. Intern erfolgt engmaschiges Monitoring. - Standardleistungen in Fläche: Reinigung, Hausmeisterdienste, Filialtechnik werden meist gebündelt an große FM-Dienstleister vergeben, um Skaleneffekte zu nutzen. Diese können flächendeckend Service bereitstellen und werden über SLA gesteuert. - Sicherheitsdienste: Hier ist oft eine externe Bewachungsfirma im Einsatz, aber mit strenger Kontrolle (die Bank behält Hoheit über Zutrittsvergaben etc.). Manchmal betreiben Banken eigene Sicherheitsleitstellen und sourcen nur den Objektschutz aus. - IT-nahe Services: z. B. Rechenzentrumsbetrieb – kann intern (eigenes IT-Personal) oder extern (Colocation-Anbieter, Outsourcing) erfolgen. Bei externer Lösung greifen wiederum die strengen BAIT/VAIT-Vorgaben (Überwachung der Dienstleister auf IT-Sicherheit).

• Generell gilt: Bei jeder Auslagerung ist eine Risikoanalyse entscheidend. Sensible Daten oder IT-Dienste erfordern DSGVO-konforme Verträge (AVV, Vertraulichkeit), während physische Leistungen Sorgfaltspflichten hinsichtlich Arbeitsschutz und Sicherheit verlangen.

• Vergütungsmodelle & Steuerung: Die Verträge sollten so gestaltet sein, dass Anreize zur Leistungsqualität bestehen: - Für kritische Leistungen (z. B. RZ-Betrieb, Notdienst) bietet sich eine ergebnisorientierte Vergütung an. Beispiel: 24/7-Bereitschaft mit Pauschale, Bonus bei Einhaltung einer Verfügbarkeitskennzahl, Malus bei Unterschreitung. So wird Verfügbarkeit belohnt.

• Für Standardleistungen (Routinewartung, Reinigung) sind oft Pauschalen oder Einheitspreise üblich (z. B. Preis pro m² Reinigungsfläche, Pauschale pro Wartung). Hier kann man Qualitätskontrollen durchführen (z. B. Reinigungsqualität nach DIN EN 13549) und bei Abweichungen Abzüge machen. - SLA/KPI-Definition: In jedem Vertrag werden KPIs festgelegt, orientiert am Kritikalitätsgrad. Beispiele: Reaktionszeit bei Störmeldung Priorität 1 = 2 Stunden, Wiederherstellzeit = 4 Stunden. Oder Maximale Ausfallzeit einer Anlage X pro Jahr = 8 Stunden. Die Erfüllung dieser KPIs wird regelmäßig gemessen und in Review-Meetings (monatlich/vierteljährlich) mit dem Dienstleister besprochen. - Performance Reviews: Periodisch (mind. jährlich) sollte mit jedem Haupt-Dienstleister eine Leistungs- und Strategie-Besprechung stattfinden: Hat der Anbieter genug Ressourcen? Wie ist die Kundenzufriedenheit? Müssen Kapazitäten oder Prozesse angepasst werden? Diese Reviews fließen in Entscheidungen über Vertragsverlängerungen oder Budgetfreigaben (CapEx/OpEx) ein.

Das Ergebnis dieser Überlegungen wird in einem FM-Governance-Handbuch festgehalten. Darin dokumentiert: die Organisationsstruktur, alle Schlüsselrollen und Gremien, Kommunikationswege und Reportings. Weiterhin werden RACI-Tabellen für alle Hauptprozesse aufgeführt, um Verantwortlichkeiten transparent zu machen. Beispiel: Prozess „Wartung Aufzüge“ – R (ausführende Firma), A (Leiter Technik/FM), C (Arbeitssicherheit), I (Filialleiter). Auch Beispiel-SLAs mit zugehörigen KPIs können als Anhang dienen, ebenso Vorlagen für Standard-Dienstleistungsverträge und Übergabe-Checklisten (z. B. welche Daten muss eine Baufirma bei Projektende an FM übergeben – Raumdaten, Gerätehandbücher etc.). Nicht zuletzt sollte eine Betreiberpflichten-Matrix Teil des Handbuchs sein, welche aufzeigt, für jede Pflicht (gesetzlich/normativ) wer intern zuständig ist und wie der Nachweis erfolgt.

• Existenz eines aktuellen FM-Governance-Handbuchs oder Organisationshandbuchs, das alle Schlüsselfunktionen und Rollen beschreibt (inkl. Stellvertreterregelungen).

• Jeder Outsourcing-Vertrag enthält eine Klausel zu Kontroll- und Berichtsrechten sowie Exit-Regelungen gemäß den Anforderungen von MaRisk/BAIT/VAIT (Prüfrechte der Bank, Ausstiegsstrategie bei Ausfall des Dienstleisters).

• In den RACI-Matrizen sind kritische Rollen (Betreiberverantwortlicher, Anlagenverantwortliche) klar als Accountable markiert und namentlich benannt.

• Einsicht in Organisationshandbücher: Sind alle geforderten Rollen gemäß VDI 3810 besetzt und mit Qualifikation nachgewiesen (z. B. verantwortliche Elektrofachkraft schriftlich bestellt)?

• Vertragsprüfung: Enthalten zentrale Auslagerungsverträge (z. B. Rechenzentrum, Facility-Service) Audit-Rechte für den Auftraggeber und klare Regelungen für die Rückführung im Krisenfall?

• Stichprobe Abrechnungen vs. Leistungsnachweise: Stimmen die Rechnungen der Dienstleister mit den tatsächlichen Leistungsmengen überein (z. B. verifiziert über CAFM-Tickets oder Berichte)?

• SLA-Einhaltung der Verfügbarkeitskennzahlen: z. B. Prozentsatz der Zeit, den kritische Anlagen verfügbar waren (Soll oft 99–99,9 % je nach Anlage).

• Personalstruktur: Verhältnis interne FM-Mitarbeiter zu externem Personal (%). Hier kann man Branchenbenchmarks heranziehen (z. B. IFM-Studien, die angeben, dass x % der FM-Leistungen in Banken outgesourct sind).

• Wirtschaftlichkeit: FM-Kosten pro Flächeneinheit (€/m²) vs. Zielwert und vs. Vorjahr. Oder Kosten pro Mitarbeiter/Arbeitsplatz.

• Compliance-Reporting-Frequenz: Wurden alle geplanten Berichte rechtzeitig erstattet (z. B. quartalsweise Risikobericht aus FM an das Risiko-Committee, Soll: 4 Berichte/Jahr = 100 %).

• FM-Managementsysteme: ISO 41001 (Facility Management – Managementsystem-Anforderungen) und der zugrunde liegende ISO 41011-Begriffskatalog (siehe Abschnitt 2). Zudem die europäische Normenreihe DIN EN 15221 (Teile 1–7), welche Leitlinien für FM-Prozesse und -Kennzahlen liefert. In Deutschland gibt es GEFMA-Richtlinien (German Facility Management Association), z. B. GEFMA 190 zur Betreiberverantwortung oder GEFMA 200 zur Ausschreibung von FM-Leistungen.

• Asset Management / Instandhaltung / Energie: Für das Anlagenmanagement liefert ISO 55001 (Asset Management) einen Rahmen, der sich mit FM überschneidet (Werteerhalt von Assets). Im Instandhaltungsbereich sind DIN 31051 und EN 13306 grundlegende Normen, die Definitionen und Strategien (präventiv vs. korrektiv) festlegen. Für Energiemanagement ist ISO 50001 maßgeblich, unterstützt von Normen wie VDI 3807 (Energieverbrauchskennwerte) – wichtig angesichts steigender Energieauflagen (siehe ESG).

• Arbeitsschutz und Sicherheit: ISO 45001 bietet einen Managementsystem-Standard für Sicherheit und Gesundheitsschutz bei der Arbeit – größere Unternehmen lassen auch ihr FM danach zertifizieren, um Arbeitssicherheit systematisch zu steuern. Spezifischer sind die Regeln der Deutschen Gesetzlichen Unfallversicherung (DGUV), z. B. DGUV V3 für elektrische Anlagen (verlangt alle 4 Jahre Prüfung ortsfester elektrischer Anlagen). VDI 3810 (Betreiben und Instandhalten) und GEFMA 190 sind wichtige Leitfäden für die praktische Umsetzung der Betreiberpflichten.

• Rechenzentrums-Standards: EN 50600 (europäische Rechenzentrumsnorm) deckt Planung, Bau, Betrieb und KPIs für Rechenzentren ab. Sie definiert Verfügbarkeitsklassen (Availability Classes 1–4) und Effizienz-KPIs wie PUE (Power Usage Effectiveness) und WUE (Water Usage Effectiveness), um die Energieeffizienz und Ausfallsicherheit zu bewerten. Ein FM sollte die nach EN 50600 empfohlenen Monitoring-Prozesse (z. B. permanentes Energieleistungsmesssystem) implementieren.

• IT und Informationssicherheit: ISO/IEC 27001 (Managementsystem für Informationssicherheit) ist inzwischen Standard in Finanzinstituten – FM sollte darin integriert sein (physische Sicherheit, Lieferantenmanagement). ISO 22301 (Business Continuity) setzt Anforderungen an Notfallkonzepte, die auch FM betreffen. Für die OT-Sicherheit ist IEC 62443 relevant (Sicherheitsanforderungen für industrielle Automatisierungssysteme), z. B. Segmentierung von Gebäudesteuerungsnetzwerken in Sicherheitszonen.

• Spezielle Services: DIN 14675 regelt Planung, Einbau, Betrieb und Instandhaltung von Brandmeldeanlagen (inkl. Zertifizierung der Errichter und Instandhalter). Weitere branchenspezifische Standards: DIN 77200 für Sicherheitsdienste (Qualitätskriterien für Bewachung), oder INSta-Normen (von Branchenverbänden für Reinigung, Hauswirtschaft etc.). Die Norm DIN EN 13549 bietet z. B. ein Verfahren zur Qualitätsmessung in der Reinigung (Abnahmestichproben etc.).

• Arbeitsplatz und Hygiene: Zur Gewährleistung guter Arbeitsbedingungen: VDI 6022 (Raumluftqualität, Hygieneinspektionen Lüftungsanlagen), ASR A3.6 (Lärmschutz in Büros), DIN EN 12464-1 (Beleuchtung von Arbeitsstätten), DIN 18040 (Barrierefreies Bauen, Teil 1 öffentlich, Teil 2 Arbeitsstätten). Diese Standards sind im FM-Betrieb einzuhalten, um Gesundheit und Komfort der Mitarbeiter und Kunden zu sichern.

• ESG und Bau-Zertifizierung: Nachhaltigkeitsstandards wie DGNB, LEED oder BREEAM definieren Kriterien für umweltfreundliche, ressourcenschonende Gebäude im Bestand und Neubau. Ein FM kann darauf hinarbeiten, bestehende Gebäude nachträglich zertifizieren zu lassen (DGNB für Betrieb) oder zumindest die Kriterien (Energie, Wasser, Abfall, Nutzerzufriedenheit) systematisch zu messen. Auch Konzepte der Kreislaufwirtschaft (Cradle-to-Cradle) und „Green Building“ fließen hier ein.

Ein Betriebshandbuch je Gebäude oder Standort, das alle relevanten technischen und organisatorischen Informationen enthält (oft gefordert gemäß DIN EN 15221-5). - Prüf- und Wartungsnachweise nach DIN 31051/14675 etc., die periodisch erstellt und archiviert werden (diese dienen auch im Haftungsfall als Beleg für ordnungsgemäßes Handeln). - Ggf. Zertifikate als Output: z. B. ISO 50001 Zertifikat für das Energiemanagement, Umweltmanagement nach ISO 14001, o. ä., falls umgesetzt.

Hilfreich ist eine interne Norm-Matrix, die jede relevante Norm/Gesetz einem operativen Prozess zuordnet. Beispiel: DIN 14675 verlangt, dass alle Brandmeldeanlagen nur von zertifizierten Fachfirmen geplant und gewartet werden – entsprechend muss der FM-Prozess „BMA-Instandhaltung“ genau diese Vorgabe erfüllen (Vertrag nur mit VdS-anerkannten Facherrichtern, jährliche Prüfung aller Melder mit Protokoll). Solche Anforderungen werden in Checklisten umgesetzt, die der Anlagenverantwortliche periodisch prüft.

• Nachweis, dass alle relevanten Normforderungen in den FM-Prozessen implementiert sind. (Z. B. liegt ein ISO 50001-konformes System vor mit Energiepolitik, Zielen, Auditberichten; oder es gibt einen Prozess zur jährlichen Überprüfung aller Schutzeinrichtungen gemäß VdS).

• Die eingesetzte FM-Software (CAFM/IWMS) unterstützt gängige Standardschnittstellen – z. B. Import von IFC/COBie-Daten aus BIM-Modellen –, wodurch Normanforderungen an Datenhaltung erfüllt werden.

• Interne Audit-Schleifen sind etabliert: mindestens jährlich findet ein Management-Review der FM-Performance und Compliance statt (Anforderung nach ISO 41001), inklusive Maßnahmenverfolgung.

• Vollständigkeit der Normen- und Gesetzesliste prüfen: Hat das FM alle einschlägigen Vorschriften identifiziert (Baurecht, Brandschutz, ArbSchG, BetrSichV, TRBS, EnEV/GEG, etc.)? Gibt es Verantwortliche dafür?

• Stichprobenweise schauen, ob sinnvolle Zertifizierungen angestrebt oder vorhanden sind (z. B. ISO 41001 FM-Zertifizierung, ISO 27001 für Rechenzentrum).

• „Tracing“: Für jedes wichtige Gesetz sollte sich ein konkreter FM-Prozess oder ein Dokument finden. Z. B. BAIT: Gibt es eine Auslagerungsrichtlinie mit FM-Dienstleistern? ArbSchG: Liegen Gefährdungsbeurteilungen vor? DSGVO: Konzept für Videodaten vorhanden?

• Zertifizierungsstatus: Anzahl Standorte mit Zertifizierung X, oder Anteile (z. B. 80 % der Fläche nach ISO 50001 im Energiemanagement eingebunden).

• Auditergebnisse: Anzahl und Schweregrad der Abweichungen aus internen und externen Audits pro Themenfeld (Sicherheit, Qualität, Umwelt etc.).

• Zertifikatsverwaltung: Anzahl der gültigen vs. abgelaufenen nötigen Zertifikate (z. B. wenn FM eigene Zertifikate verwaltet, wie viele sind aktuell).

• Benchmark-Kennzahlen: Vergleich eigener Kennzahlen mit Branchenwerten – etwa FM-Kosten pro Mitarbeiter, Wartungskostenquote vom Anlagenwert – um Effizienz und Best Practice zu messen.

Die Digitalisierung ist ein zentraler Enabler für modernes FM. Ziel ist eine integrierte Daten- und Systemarchitektur, in der alle relevanten Informationen aktuell, konsistent und verfügbar sind. Kernstück ist meist ein CAFM/IWMS-System als Single Source of Truth für Gebäude-, Anlagen- und Vertragsdaten. Dieses wird vernetzt mit anderen Systemen: - CMMS (Instandhaltungssoftware): Für die operative Wartungsplanung und -dokumentation (manchmal ist das CAFM zugleich CMMS). - Gebäudeautomations-Systeme (BMS/GLT): Technische Anlagen (HKL, Strom, Sicherheit) liefern Status- und Störungsinformationen in eine Leitwarte bzw. SCADA-Plattform. Durch Schnittstellen (z. B. BACnet, OPC UA) werden relevante Ereignisse an das CAFM/Ticketsystem gemeldet. - ERP-System: Unternehmensweite Systeme wie SAP für Finanzen und Beschaffung sind anzubinden, z. B. um Wartungsaufträge oder Bestellungen auszulösen und Kosten zu verbuchen. - ITSM/Ticketing: Viele Unternehmen nutzen Tools wie ServiceNow für Störungsmeldungen und Change Management. FM-Tickets (wie „Klimaanlage ausgefallen in Filiale X“) sollen mit dem zentralen Ticketsystem integriert sein, sodass Nutzer einheitlich melden können. - BIM / Digitale Zwillinge: Gebäudedaten aus Planungsmodellen (BIM) werden ins FM überführt. Auch kann ein digitaler Zwilling betrieben werden, der in Echtzeit den Zustand der Gebäude widerspiegelt (inkl. Sensoren).

• Über IoT-Sensorik werden zunehmend Echtzeitdaten gesammelt: Energiezähler senden Verbrauchsdaten im 15-Minuten-Takt; Indoor Air Quality-Sensoren messen CO₂, Temperatur, Feuchte in Räumen; Belegungssensoren erfassen Arbeitsplatznutzung. Diese Daten fließen in ein zentrales Data Lake / BI-System, wo sie analysiert werden (Dashboards, Berichte, Alarmregeln). Die Integration erfolgt oft über eine Message-Bus-Architektur (z. B. via MQTT-Broker, Apache Kafka) oder standardisierte APIs der Systeme.

• Wichtig ist ein durchdachtes Datenmanagement: Festlegung von Masterdatenquellen (z. B. der Raumstammdaten kommt aus BIM, die Anlage-Stammdaten werden im CAFM gepflegt, Personaldaten aus HR-System). Ein sauberer Datenabgleich (via Schnittstellen und regelmäßige Sync-Prozesse) verhindert Inkonsistenzen. Zudem müssen alle Daten DSGVO-konform verarbeitet werden – d. h. etwa Sensordaten zur Präsenz werden anonymisiert oder nur aggregiert genutzt, und Cloud-Daten liegen möglichst auf EU-Servern.

• OT-/IKT-Security: Die Verzahnung von IT und Gebäude-OT erfordert höchste Sicherheitsmaßnahmen. Es gilt das Prinzip der Netzwerksegmentierung: OT-Netze (Gebäudeleittechnik, Zugangskontrolle) werden strikt von Büro-IT getrennt (z. B. eigene VLANs, Firewall dazwischen), um Angriffe zu erschweren. Leitstände und Steuerungsrechner werden gehärtet (Hardened OS, nur nötige Dienste, regelmäßige Sicherheitsupdates). Alle vernetzten Geräte (von der IP-Kamera bis zur Klimasteuerung) sollten in ein Patch- und Schwachstellenmanagement eingebunden sein. Monitoring-Systeme (IDS/IPS) beobachten auch den OT-Datenverkehr. Der Security Operations Center (SOC) der Bank erhält relevante Alarme aus der Gebäude-OT (z. B. unautorisierter Zugriffsversuch auf Steuerungsserver) – dies erfordert definierte Schnittstellen und Alarmempfang gemäß DIN EN 50518 (für Notruf- und Service-Leitstellen). IEC 62443 liefert ein Modell aus Zonen und Conduits, das hier angewendet wird: z. B. eigene Zelle für RZ-Infrastruktur mit streng kontrollierten Verbindungen nach außen.

• KI-Use Cases im FM: Künstliche Intelligenz bietet neue Möglichkeiten, FM effizienter und vorausschauender zu gestalten: - Predictive Maintenance: KI-Modelle analysieren Sensordaten von Maschinen (z. B. Schwingungen, Temperaturen von Lüftungsmotoren oder Pumpen) und erkennen Muster, die auf baldige Ausfälle hindeuten. So können Wartungen zustandsbasiert durchgeführt werden, bevor ein Ausfall auftritt. Dies erhöht die MTBF (Mean Time Between Failures) und senkt Kosten. Beispiele: Auswertung von Thermografie-Aufnahmen an elektrischen Schaltschränken, automatisiert durch Bildanalyse; Erkennung von Vibrationsanomalien an Kühlaggregaten. - Anomalie-Erkennung im Betrieb: KI überwacht laufend die Gebäudedaten (Energieverbrauch, Raumklima). Statt fixer Schwellenwerte lernt ein Modell das Normalverhalten und schlägt Alarm bei Abweichungen (z. B. plötzlicher Anstieg Stromverbrauch nachts könnte auf ein Problem hinweisen). Solche Machine-Learning-Algorithmen können feinere Muster erkennen als traditionelle Methoden, was zu weniger Fehlalarmen führt. - Kapazitäts- und Flächennutzung: Mit KI lassen sich Belegungsdaten und Buchungs-Historien auswerten, um Prognosen zu erstellen: Wie viel Fläche wird nächstes Jahr tatsächlich benötigt? Welche Konferenzräume sind chronisch überbelegt? Dadurch kann die Flächenplanung proaktiv optimiert werden. - Digitale Assistenten: Chatbots oder FM-Copilots können eingesetzt werden, um Anfragen von Mitarbeitern zu beantworten („Wie melde ich einen Defekt? Wo finde ich die Raumtemperatur der Etage?“) oder um dem FM-Team bei Standardaufgaben zu helfen (z. B. ein KI-Assistent, der bei einer Störungsmeldung gleich mögliche Ursachen vorschlägt basierend auf früheren Tickets). - Computer Vision für Inspektion: KI-gestützte Bildauswertung kann genutzt werden, um z. B. Reinigungsergebnisse zu prüfen (Kamera erkennt verbliebene Verschmutzungen) oder bei Sicherheitsrundgängen Abweichungen zu entdecken (feuergefährliche Gegenstände im Flur etc.). Auch im Rechenzentrum können KI-Kameras den Status ablesen (LEDs an Geräten, Anzeigeinstrumente) und Alarm schlagen, falls etwas ungewöhnlich ist. - Fault Detection & Diagnostics (FDD): Speziell in hochkomplexen Umgebungen wie Rechenzentren kommen KI-Systeme zum Einsatz, die kleinste Veränderungen (z. B. langsamen Anstieg der Zuluft-Temperatur über Wochen) bemerken und auf die Root Cause schließen (z. B. Filter zunehmend verstopft). Dies ermöglicht frühzeitiges Eingreifen.

• AI-Governance: Beim Einsatz von KI im sensiblen Umfeld (Banken!) gelten strenge Anforderungen: - Es gilt Datenminimierung: Nur die wirklich nötigen Daten werden für KI-Auswertungen herangezogen, um Privatsphäre zu schützen. Beispielsweise sollten Videos für Personenzählung sofort anonymisiert ausgewertet werden (keine Speicherung von Gesichtsbildern). - Nachvollziehbarkeit: Die Entscheidungen oder Vorhersagen der KI müssen erklärbar sein (Explainable AI), besonders wenn sie in sicherheitskritische Prozesse eingreifen. - Auditierbarkeit: Trainingsdaten und Algorithmen sind zu dokumentieren, sodass im Nachhinein geprüft werden kann, worauf eine KI ihre Schlüsse stützt. - DSGVO-Konformität: Es darf kein Training auf personenbezogenen Daten erfolgen, ohne rechtliche Grundlage. Außerdem müssen Betroffene informiert werden, wenn KI zu Überwachungszwecken eingesetzt wird (z. B. Videoanalysen). - Gemäß DORA-Framework sollte man KI-Systeme ähnlich behandeln wie andere IT-Komponenten: also Anforderungen an Resilienz (Was passiert bei Ausfall der KI? Wie schnell kann ein Modell neu geladen werden?), regelmäßige Überprüfungen (so wie IT-Systeme Penetrationstests bekommen, sollte man KI-Modelle auf Robustheit testen). - Änderungsmanagement: Kein KI-Modell wird „nebenbei“ geändert – neue Modelle, neue Trainingsdurchläufe müssen gesteuert und freigegeben werden, um zu verhindern, dass unvalidierte Ergebnisse in den Betrieb gelangen.

All dies sollte in einer KI-Richtlinie festgehalten sein, die im FM bzw. Unternehmen gilt. Darin Kriterien, wann KI eingesetzt werden darf (Use-Case-Approval), wie Bias vermieden wird, wer verantwortlich zeichnet (etwa ein Data Scientist Team vs. externer Anbieter) und wie die Integration in bestehende Prozesse erfolgt.

Aus architektonischer Sicht entsteht eine Integrationslandkarte, meist in Form eines Schemas aller Systeme und Schnittstellen (z. B. CAFM ↔ BMS ↔ ERP ↔ IoT-Hub ↔ BI/Data Lake etc.). Dazu ein Datenkatalog, der alle wichtigen Datenfelder listet, deren Herkunft (Systemverantwortung) und Verwendung. Beispielsweise Feld „Raumgröße (m²)“ – Master in CAFM, genutzt in Reinigungsverträgen und Nebenkostenabrechnung. Für die OT-Sicherheit gibt es ein Härtungskonzept, oft mit Netzwerkdiagrammen, VLAN-Plänen und einer Liste aller OT-Geräte inkl. Softwarestand (Firmwareliste). Für den KI-Einsatz wird eine AI-Governance-Dokumentation erstellt, inkl. einer Liste laufender KI-Piloten, Verantwortlichkeiten, Evaluationskriterien (z. B. Ziel-MTBF-Verbesserung um x %). Zudem definiert man KPIs zur Erfolgsmessung der Digitalisierung, z. B. Wieviele FM-Prozesse konnten bereits automatisiert werden.

• Vorhandensein eines ganzheitlichen IT/OT-Architekturplans für das FM (diagrammatische Darstellung aller Systeme und Datenflüsse, von CAFM über Sensorik bis Reporting).

• Es existiert ein schriftlich fixierter Datenmanagement-Prozess (inkl. Datenverantwortliche, Update-Intervalle der Schnittstellen, Konzept gegen Dateninkonsistenzen).

• Alle KI-Projekte im FM sind in einem Innovationsregister erfasst, mit Problemdefinition, eingesetzten Daten und erzielten Ergebnissen. Policies zur Daten- und KI-Nutzung sind vom Datenschutz und Compliance abgesegnet.

• Inventar aller FM-IT-Systeme prüfen: Gibt es ein Verzeichnis der Datenflüsse (wer liefert Daten an wen)? Fehlen Schnittstellen-Dokumentationen?

• Stichprobe im OT-Bereich: Patch-Protokolle checken – sind z. B. Gebäudeleitrechner und Zutrittsanlagen auf aktuellem Stand oder klaffen Lücken?

• Review von KI-Projektunterlagen: Wurde vor Einsatz der KI eine Risikoabwägung gemacht? Liegen Testnachweise vor, dass die KI-Ergebnisse valide sind?

• Security-Audit: Abgleich der Netzwerkarchitektur mit IEC 62443-Standards – gibt es z. B. Firewall-Protokolle, Netzsegmente und Notfallpläne für OT-Ausfälle?

• Anomalie-Erkennungsrate der KI-Systeme: z. B. Quote echter positiver Alarme vs. False Positives (je höher die Präzision, desto besser).

• Reduktion ungeplanter Wartungen dank Predictive Maintenance (z. B. 20 % weniger technische Störungen im Vergleich zum Vorjahr).

• Durchschnittliche Zeit von Alarm bis Behebung (MTTD = Mean Time To Detect, MTTR = Mean Time To Repair) – idealerweise sinkend durch effizientere Prozesse.

• Datenqualität: Anteil der Assets mit vollständigen Attributen im System; Fehlerrate bei Datenübernahmen (z. B. BIM -> CAFM) und Korrekturbedarf.

• Anzahl implementierter innovativer Use Cases pro Jahr (z. B. x Piloten erfolgreich in den Regelbetrieb überführt).

• Wartungsstrategie: Das FM verfolgt einen risikoorientierten Instandhaltungsansatz, kombiniert Elemente von präventiver, zustandsbasierter und reaktiver Instandhaltung. Kritische Anlagen werden wenn möglich zustandsabhängig überwacht: z. B. permanente Temperaturüberwachung von Serverräumen, Schwingungs-Sensoren an Lüftungsmotoren, Ölanalysen bei Generatoren. Anhand definierter Schwellwerte oder KI-Modellen wird entschieden, wann ein Eingriff nötig ist (Predictive Maintenance). Wo dies nicht praktikabel ist, werden zyklische Wartungsintervalle gemäß Herstellerempfehlung oder Norm vorgegeben (z. B. jährliche Inspektion der Klimaanlage, vierteljährliche Prüfung der Notstrombatterien). Gesetzlich vorgeschriebene Prüfungen – etwa Aufzugsprüfungen durch ZÜS (zugelassene Überwachungsstelle) oder Elektroprüfungen – haben oberste Priorität und werden 100 % fristgerecht durchgeführt (Überwachung meist via CAFM-Terminplan). Darüber hinaus setzt man Methoden wie RCM (Reliability Centered Maintenance) und FMECA ein, um für komplexe Systeme (z. B. Brandmeldeanlagen, Kälteverbünde) die optimalen Wartungsmaßnahmen abzuleiten, die sowohl Zuverlässigkeit als auch Wirtschaftlichkeit berücksichtigen.

• Ersatzteilmanagement & Obsoleszenz: Für kritische Komponenten wird vorausschauend geplant. Es gibt definierte Ersatzteilvorhaltungen: z. B. hält das Rechenzentrum Ersatzteile für gängige Verschleißteile (Lüfter, Filter, Festplatten) direkt vor Ort vor, um im Notfall Ausfallzeiten zu minimieren. Bei Anlagen, die nicht redundant sind, wird ggf. sogar ein zweites Gerät gelagert (Spare Unit). Das FM führt ein Obsoleszenz-Register, in dem pro Anlage vermerkt ist, wann der Hersteller den Support einstellt (End-of-Life). So können rechtzeitig Erneuerungen geplant werden. Auch Firmware-Lebenszyklen von Steuerungen (Gebäudeleittechnik, SPS in Aufzügen etc.) werden beobachtet: regelmäßige Updates werden eingeplant, und wenn ein System keine Updates mehr erhält, fließt das in die Risikoanalyse ein.

• CapEx/Opex-Abgrenzung: Es ist klar definiert, welche Maßnahmen als Betrieb/Aufwand (OpEx) gelten und welche als Investitionen (CapEx). Kleinere Reparaturen und turnusmäßige Wartungen gehen ins operative Budget, während größere Ersatzbeschaffungen oder Modernisierungen in die Investitionsplanung aufgenommen werden. Gemäß ISO 55001 verfolgt man einen Life Cycle Cost-Ansatz: für jedes wesentliche Asset wird über den Lebenszyklus eine Kostenplanung geführt (Anschaffung, Betrieb, Wartung, Entsorgung). Triggerpunkte für Investitionen sind z. B.: wenn Wartungskosten stark ansteigen (Economic Lifetime Ende erreicht), wenn die Ausfallrate steigt (Zuverlässigkeit nimmt ab), wenn neue gesetzliche Anforderungen kommen (z. B. Kältemittelverbot für alte Anlagen) oder Energieeffizienzgrenzen unterschritten werden. In solchen Fällen wird ein CapEx-Projekt ausgelöst (z. B. Austausch Kühlanlage). Diese Übergänge sind dokumentiert – z. B. im Wartungsbericht findet sich ein Hinweis „Anlage nächstes Jahr ersetzen, da Ersatzteile knapp“.

Ein vollständiges Asset-Register ist die Grundlage: Alle technischen Anlagen sind mit ihren Kenndaten erfasst (Hersteller, Typ, Inbetriebnahmedatum, erwartetes Lebensdauerende, Kritikalität, Wartungsintervalle). Daraus werden Wartungspläne abgeleitet – idealerweise hinterlegt im CAFM/CMMS mit automatischer Terminerinnerung. Für jede Anlage gibt es Checklisten nach DIN 31051/EN 13306, was bei Wartung zu tun ist (ggf. herstellerspezifisch angepasst). Weiterhin wird definiert, welche Ersatzteile vorgehalten werden: z. B. liegt im Hauptstandort ein Set kritischer Sicherungen, Pumpe, Ventilator als Spare bereit, während bei weniger kritischen nur ein 24h-Liefervertrag besteht. KPIs wie MTTR (Mean Time To Repair) und MTBF (Mean Time Between Failure) werden pro Anlagenart erhoben und im regelmäßigen Maintenance-Report dargestellt. Zustandsbewertungen (z. B. Schulnoten A–D für baulichen Zustand oder Restnutzungsdauer) fließen in eine Prioritätenliste für Sanierungen ein. Die Prüfquote wird ebenfalls getrackt: z. B. 100 % der gesetzlich vorgeschriebenen Prüfungen erfüllt, 98 % aller planmäßigen Wartungen im Jahr geschafft (den Rest begründen, z. B. Zugang kurzfristig verweigert etc.).

• Dokumentierte Strategien zur Ersatzteilbevorratung sind vorhanden (z. B. Liste der vor Ort gelagerten Teile und deren Verbrauch, sowie Rahmenverträge für 4-Stunden-Lieferungen von Ersatzteilen).

• Obsoleszenz-Plan: Für jede Schlüsselanlage ist das voraussichtliche End of Life bekannt und es existiert ein Plan, wie damit umgegangen wird (Upgrade, Austauschtermin geplant).

• Wartungsverträge enthalten klare Reaktionszeiten und Wiederherstellungszeiten für Störungen und diese werden eingehalten (z. B. vertraglich <2 h Reaktion für RZ-Störungen, tatsächlich im Durchschnitt 1,5 h).

• Asset-Register Vollständigkeit: Stimmen die Einträge? (Stichprobe: Ist eine vor Ort gefundene Anlage X im Register? Sind alle Felder gepflegt?). Besonders: Seriennummern, Prüfintervalle, Zuständiger.

• Einsicht in Wartungs- und Prüfprotokolle: Wurden die vorgeschriebenen Prüfungen durchgeführt? (z. B. liegt für jeden Aufzug das TÜV-Prüfbuch mit aktuellen Stempeln vor?).

• Wurden aus Schadensfällen „Lessons Learned“ gezogen? (Stichprobe: Bei einem großen Stromausfall letztes Jahr – gibt es Analysebericht und wurden Wartungsintervalle angepasst oder zusätzliche Redundanzen geschaffen?).

• MTTR kritischer Anlagen: Durchschnittliche Reparaturdauer – je nach Anlage z. B. <4 Stunden für USV, <8 Stunden für Klima. (Monitoring: falls MTTR steigt, ggf. Dienstleisterwechsel oder Lagerhaltung prüfen).

• MTBF: Durchschnittliche störungsfreie Zeit – sollte bei kritischen Anlagen sehr hoch sein (z. B. MTBF Klimaanlage > 5000 Stunden). - Anteil vorbeugender Instandhaltung vs. korrektiver: Ziel, einen hohen Prozentsatz präventiv zu erledigen (> 80 %) und ungeplante Ausfälle zu minimieren.

• Instandhaltungsrückstand: Anzahl der überfälligen Wartungen/Tickets (sollte gegen Null gehen; ein KPI: z. B. <5 offene Wartungen älter 30 Tage).

• Ressourcenverbrauch: Etwa Wartungsstunden pro 1000 m² Fläche, oder Materialkosten pro Anlage vs. Budget – um Effizienz zu messen.

• Zielbild: Die Organisation (Bank/Versicherung) hat sich in der Regel ehrgeizige Klimaschutzziele gesetzt, etwa Netto-Null-Emissionen (Net Zero) in Scope 1 und 2 bis 2030–2035 und in Scope 3 bis 2040–2050, oft im Rahmen der Science Based Targets Initiative. Das FM trägt einen erheblichen Teil zu Scope 1 (Gebäudeheizungen, Fuhrpark) und Scope 2 (Stromverbrauch) bei und muss daher entsprechende Reduktionspfade verfolgen. Ein formal geprüftes Energiemanagementsystem nach ISO 50001 dient als Werkzeug, um systematisch Energie zu sparen – es beinhaltet z. B. das Aufstellen von Energiezielen (x % Reduktion pro Jahr), Monitoring und regelmäßige Audits. Die neue EU-Taxonomie-Verordnung verlangt, Investitionen hinsichtlich Nachhaltigkeit zu bewerten – FM-Objekte müssen z. B. auf ihre Energieeffizienz, den Anteil erneuerbarer Energien, Anpassung an den Klimawandel etc. geprüft werden. Große Finanzunternehmen müssen nach CSRD umfassend über ESG-Themen berichten, inklusive Gebäude-Emissionen, Energieintensität und Maßnahmen.

• Maßnahmenplan: - Zuerst werden Energieaudits (nach DIN EN 16247 oder gemäß EDL-G) für alle größeren Standorte durchgeführt, um Einsparpotenziale zu identifizieren. Typische Maßnahmen daraus: Optimierung der Gebäudeleittechnik (Nachtabsenkung, Feuchtigkeitsregelung), Wärmedämmung verbessern, alte Beleuchtung durch LED ersetzen (Beleuchtung macht 20–30 % des Stroms in Büros aus), Einsatz von Präsenzmeldern etc. - Kältemittel-Management: Kältemittel mit hohem Treibhauspotential (F-Gase wie R404A) sollen reduziert werden. Es wird ein Ausstiegsfahrplan erstellt, z. B. bei Austausch von Klimaanlagen nur noch solche mit klimafreundlichen Kältemitteln (R32, Propan etc.) einsetzen. Leckageprüfungen erfolgen streng nach Verordnung. - Erneuerbare Energien: Soweit möglich, werden eigene Erzeugungsanlagen installiert – Photovoltaik auf geeigneten Dächern, Solarthermie oder Wärmepumpen. Bezug von Grünstrom wird forciert (z. B. Abschluss von Lieferverträgen für Ökostrom). - Rechenzentrumseffizienz: PUE (Power Usage Effectiveness) wird kontinuierlich gemessen. Ziel: den PUE-Wert Richtung 1,3 oder besser zu bringen (moderne Rechenzentren erreichen 1,2). Maßnahmen: Kalt-/Warmgang-Einhausung, freie Kühlung in der Übergangszeit, Auslastung der Server optimieren (Konsolidierung, Virtualisierung) damit nicht unnötig Leerlaufenergie verbraucht wird. - Wassermanagement: In größeren Gebäuden und RZ wird auch WUE (Water Usage Effectiveness) betrachtet und Wasserverbrauch reduziert (Regenwassernutzung, optimierte Kühltechnik ohne ständigen Frischwasserverbrauch). - Kreislaufwirtschaft: Bei Umbauten und Neubauten achtet man auf recyclingfähige Materialien. Ausgemusterte Ausstattung (Möbel, IT) wird nach Möglichkeit gespendet oder recycelt. Verbrauchsmaterialien wie Papier werden reduziert (Digitalisierung) oder nur nachhaltig beschafft (z. B. FSC-Papier). Reinigungsmittel sind ökozertifiziert, Abfall wird konsequent getrennt. - Biodiversität und Soziales: Firmenzentralen bepflanzen Dächer oder Anlagen (bspw. Firmenimkerei auf Dach). Im ESG-Reporting werden solche Aspekte (Grünflächen, soziale Infrastruktur für Mitarbeiter) ebenfalls erfasst. - Zertifizierungen: Sofern sinnvoll, strebt man Gebäudebewertungen wie DGNB im Betrieb an (diese bewertet u. a. Energie, Wasser, Komfort). Bei Neubauten kann ein LEED Gold/Platin als Ziel gelten – FM ist hier in Planungsphase involviert, die späteren Betriebsauflagen dieser Zertifikate mitzugestalten (z. B. Messkonzepte, Nutzerbefragungen).

Ein Klimaschutzfahrplan der FM-Organisation, in dem Maßnahmen bis zu den Zieljahren definiert sind (inkl. Meilensteine 2025, 2030 etc.). Außerdem jährlich ein Emissionsbericht (Scope 1–3) mit Baseline und Fortschritt. Oft wird ein ESG-Dashboard im CAFM oder BI-Tool geführt: Kennzahlen wie Gesamtenergieverbrauch (absolute und in kWh/m²), CO₂-Emissionen (t CO₂), Abfallaufkommen, Recyclingquote, Anteil erneuerbarer Energie. Die PUE-/WUE-Werte der RZ werden separat ausgewiesen. Es gibt einen Zeitplan für Audits und Zertifizierungen: z. B. „ISO 50001 Audit alle 3 Jahre – nächstes Zertifizierungsaudit Q2/2024“ oder „DGNB-Zertifizierung für Gebäude X bis Ende nächstes Jahr“. All dies wird zentral geplant und nachgehalten.

• Jährliche Erstellung eines Energie- und CO₂-Berichts für alle FM-Standorte (Scope 1+2 mindestens, Scope 3 soweit möglich). Dieser Bericht ist vom Management abgesegnet.

• Dokumentierte Teilnahme an den gesetzlich vorgeschriebenen Energieaudits (z. B. alle 4 Jahre nach EDL-G) inklusive Umsetzungsempfehlungen.

• Umsetzung von definierten Maßnahmen: z. B. Umrüstung von X % der Beleuchtung auf LED erreicht, Installation von Y kWp Photovoltaik abgeschlossen, Z Anlagen auf neue Kältemittel umgestellt – entsprechend den Fahrplänen.

• Taxonomie-Konformität: Für große Bau- oder Sanierungsprojekte wurde geprüft, ob sie EU-Taxonomie-konform sind (z. B. primärenergieverbrauch 10 % unter nationalem Schwellenwert etc.), und das Ergebnis ist dokumentiert.

• Prüfung der Datenqualität im Energie-Monitoring: Stimmen Zählerstände, wurden Plausibilitätsprüfungen gemacht (kein offenkundiger Messfehler ungeprüft)?

• Wurden regelmäßige Management-Reviews des Energiemanagements durchgeführt (ISO 50001 verlangt mindestens jährliche Bewertung durch Führung)? Protokolle einsehen.

• Kältemittel-Compliance: Sind die Intervalle der Leckagekontrollen gemäß EU-Verordnung eingehalten (Kältemittelbuch prüfen)? Wurden Verstöße gemeldet?

• Nachhaltigkeitsbericht: Ist ein ESG-Bericht gemäß CSRD erstellt oder in Arbeit? Stimmen die dort berichteten Zahlen mit den FM-internen Aufzeichnungen überein (Stichprobe, z. B. Stromverbrauchszahl)?

• Energieverbrauch pro Flächeneinheit (kWh/m²a): getrennt nach Strom und Wärme, Vergleich zum Vorjahr und zum Branchen-Benchmark (z. B. VDI 3807 liefert Anhalt).

• CO₂-Reduktionsrate pro Jahr (%): z. B. Ziel 5 % Reduktion p.a., tatsächlich erreicht 6 %, etc.

• Anteil Erneuerbarer Energie am Gesamtenergiebezug (%): idealerweise steigend (bei eigenem Ökostrombezug 100 % möglich).

• PUE des Haupt-Rechenzentrums: z. B. 1,30 im gleitenden Jahresmittel, Ziel <1,25. WUE falls relevant – z. B. <1,5 (je nach RZ-Größe).

• Recyclingquote* bei FM-Abfällen: Anteil des recycelten Abfalls am Gesamtmüll (Papier, Elektronikschrott, etc.), Ziel >80 %.

• Physische Sicherheit: Banken und Versicherer legen äußerst hohen Wert auf die Sicherheit von Kunden, Mitarbeitern, Werten und Daten. Deshalb gibt es ein mehrstufiges Sicherheitszonenkonzept: - Öffentliche Zonen: z. B. öffentlich zugängliche Foyers, SB-Bereiche in Filialen während Öffnungszeiten. Hier gelten zwar Grundsicherheitsmaßnahmen (Videoüberwachung mit Hinweis, rutschfester Boden, Brandmelder), aber kein personalisierter Zutritt. - Halböffentliche Zonen: Kundenbereiche innerhalb der Filiale oder Empfangsbereiche im Verwaltungsgebäude, wo sich Besucher aufhalten dürfen. Meist Zugang nur zu Geschäftszeiten, Überwachung per Personal und CCTV, aber noch keine High-Security. - Gesicherte Zonen: Mitarbeiterbereiche, Backoffice, Technikräume – Zugang nur mit Mitarbeiterausweis oder Schlüssel (Zutrittskontrollsystem). Besucher nur in Begleitung. Türen entsprechen Widerstandsklassen (mind. RC2/RC3). - Hochsicherheitsbereiche: Tresorräume, Rechenzentren, Schlüsseldepots. Zugang stark beschränkt (Need-to-know-Prinzip), oft MFA erforderlich (Karte + PIN oder biometrisch). Baulicher Schutz sehr hoch (Widerstandsklasse nach EN 1143-1 für Tresore, spezielle Türen, Einbruchmeldeanlagen rund um die Uhr aktiv).

• Alle Eingänge und kritischen Punkte sind mit Alarmanlagen versehen: Einbruchmeldeanlagen (EMA) mit Bewegungsmeldern, Glasbruchsensoren etc., Überfallmelder (stille Alarmknöpfe in Kassenbereichen). Diese Systeme sind in Deutschland meist VdS-zertifiziert installiert und werden regelmäßig gewartet. Die Videoüberwachung (CCTV) deckt Eingänge, Schalterräume, SB-Zonen und relevante Außenbereiche ab – datenschutzkonform mit Beschilderung und oft in kritischen Bereichen mit Videoanalyse (z. B. Gesichtserkennung für Hausverbote, Nummernschilderkennung an Zufahrten – soweit erlaubt und notwendig). Alle Zutrittssysteme und Alarme laufen idealerweise in einer zentralen Leitstelle zusammen.

Baulich wird in Hochsicherheitsbereichen mit Schleusen gearbeitet (z. B. Personenschleusen mit Vereinzelung, Fahrstuhl mit RFID-Zugang) und Zutrittsverriegelung (immer nur eine Tür offen). Wände, Türen und Fenster entsprechen Normen (z. B. RC4-Türen im Tresorbereich, P4A-Sicherheitsglas). Für Bargeldbereiche gelten z. B. Bafin-Richtlinien und VdS-Standards, die u. a. das Vier-Augen-Prinzip und organisatorische Trennung (kein Alleinarbeiterschutz) vorschreiben.

• Alarmierung und Leitstellen: Alle Alarmmeldungen (Einbruch, Überfall, Feuer, technische Alarme) werden in einer 24/7 besetzten Alarmempfangsstelle (Notruf- und Serviceleitstelle) aufgeschaltet. Diese entspricht DIN EN 50518, d. h. erfüllt definierte technische und organisatorische Anforderungen. Das Sicherheitsleitstellenpersonal ist geschult, um innerhalb von Sekunden geeignete Maßnahmen einzuleiten (Wachdienst schicken, Polizei/Feuerwehr alarmieren). Videofernüberwachung ermöglicht es zudem, Alarmursachen schnell zu verifizieren (z. B. schaut der Operator auf die Kamera, ob wirklich ein Einbruchversuch vorliegt, um Fehlalarm zu erkennen). Jedes Alarmereignis wird in einem System erfasst und erhält einen Status (offen/in Bearbeitung/erledigt), sodass nichts untergeht.

• Regelmäßige Tests und Übungen sind unerlässlich: z. B. wird monatlich ein stiller Alarm ausgelöst und der Ablauf gestoppt, um Reaktionszeiten zu messen (ohne Polizei zu involvieren). Jährlich finden Sicherheitsdrills statt – z. B. eine unangekündigte Evakuierungsübung in der Zentrale, oder ein Penetrationstest (Sicherheitsexperten versuchen, sich unbefugt Zutritt zu verschaffen). Diese Übungen werden protokolliert und ausgewertet, um Schwachstellen zu beheben.

• Notfall- und Krisenmanagement: Das FM ist integraler Bestandteil des Business Continuity Managements (BCM) des Unternehmens (ISO 22301). Daher gibt es für verschiedene Szenarien ausgearbeitete Notfallpläne: - Gebäudebezogene Notfälle: Feuer, Bombendrohung, Stromausfall, Wasserschaden. Vorgegeben sind Evakuierungspläne, Sammelplätze, Krisenteams vor Ort. FM stellt sicher, dass Evakuierungsübungen (Feueralarmprobe) mindestens jährlich pro Gebäude erfolgen und dokumentiert werden. - Technische Ausfälle kritischer Anlagen: z. B. Totalausfall der Klimaanlage im Rechenzentrum. Hier müssen in < X Minuten Maßnahmen greifen (Notkühlung aktivieren, IT herunterfahren). FM hat Checklisten parat und Notfallaggregate ggf. bereitstehen. - Pandemie/Katastrophen: Seit Covid-19 sind Pläne für Pandemie und ähnliche Lagen vorhanden: etwa reduzierte Belegung (Abstandskonzepte), Schichtbetrieb zur Kontaktminimierung, zusätzliche Hygienemaßnahmen und Kommunikationspläne an Mitarbeiter. - Standortausfall: Was passiert, wenn ein gesamter Standort (z. B. Zentrale) unbenutzbar wird (Brand)? BCM und FM koordinieren dann Ausweicharbeitsplätze (z. B. in externen Ausweichbüros oder via Homeoffice). FM hält ggf. Verträge mit Coworking-Anbietern bereit oder hat Reserveflächen angemietet.

• Wesentlich ist die Redundanz in der technischen Infrastruktur: Kritische Gebäude haben Notstromaggregate mit genug Treibstoff für mind. 24–72 Stunden, USV-Anlagen überbrücken Kurzunterbrechungen bis Generator läuft, Rechenzentren haben redundante Strom- und Kältepfade (N+1 oder besser). Diese Backup-Systeme werden regelmäßig getestet: Lastproben für Generatoren monatlich (ggf. mit Probelast), Black-Building-Test jährlich (simuliert Stromausfall komplett, testet ob USV+Generator lückenlos übernehmen). Nur so gewinnt man Vertrauen, dass im Ernstfall alles funktioniert.

• Cyber-physische Schnittstellen: Die Übergänge zwischen klassischer Gebäude-Sicherheit und Cybersecurity verschwimmen. FM stellt sicher, dass OT-Systeme (Aufzugssteuerungen, BMS-Server) in die allgemeinen IT-Sicherheitskonzepte eingebunden sind (siehe Abschnitt 8). Alle sicherheitsrelevanten Systeme (Zutritt, Video, Alarm) haben regelmäßige Software-Updates und Backups ihrer Konfiguration. Zugriffe auf diese Systeme erfolgen nur durch autorisiertes Personal, im Idealfall über zentral verwaltete Accounts (Active Directory-Anbindung). DORA (Digitale Resilienz) fordert auch, dass IT-Dienstleister im FM-Umfeld – etwa ein externer Leitstellenbetreiber oder Cloud-Anbieter für CAFM – den Resilienzansprüchen genügen. Deshalb werden mit wichtigen Dienstleistern Notfalltests vereinbart (können sie im Notfall auf Backup-System umschalten? Gibt es Ausfallmeldewege?). Auch soll bei Cloud-Lösungen immer ein Daten-Export bereitstehen, um im Worst Case die Kontrolle zu behalten.

Aus all dem resultieren konkret: - Notfallhandbuch für FM-relevante Krisen (mit Alarmplänen, Ansprechpartnern, Checklisten). - Geprüfte RTO/RPO-Pläne für die Wiederversorgung im Notfall: z. B. RZ-Stromausfall → RTO 30 Min (USV + Generator), Filialausfall → RTO 4h (andere Filiale übernimmt). - Dokumentierte Verfügbarkeitsziele für kritische Services (z. B. 99,9 % Uptime Trading Floor). - Übungsberichte: Frequenz und Ergebnisse von Evakuierungsübungen, Alarmtests etc. - Reporting von Sicherheitsereignissen: MTTD/MTTR für detektierte Einbruchsversuche, Anzahl Zutrittsverletzungen (z. B. jemand unautorisiert versucht reinzukommen) pro Jahr, inkl. Status (alle untersucht und abgeschlossen).

• Vollständige Dokumentation realistischer Krisenszenarien und definierter Gegenmaßnahmen (z. B. Pandemiekonzept aus 2020 aktualisiert vorhanden; Fire-Drill-Konzept für jeden Standort).

• Nachweis jährlicher BCM-Reviews: Das FM beteiligt sich an der jährlichen Überprüfung/Aktualisierung des BC-Plans (gem. ISO 22301).

• Physische Sicherheitszonen sind sichtbar gekennzeichnet (Beschilderung, Zugangssysteme) und in den Zutrittskontrollsystemen entsprechend abgebildet (z. B. Hochsicherheitszone = nur Personen mit Sicherheitsstufe 3).

• Gefährdungsbeurteilungen einsehen: Sind für alle Standorte die physischen Risiken bewertet und Maßnahmen abgeleitet (z. B. Brandschutzordnung Teil B an jedem Standort vorhanden, Unterweisung der Mitarbeiter erfolgt)?

• Notfallübungen: Protokolle der letzten Evakuierungsübung prüfen – wurde alles ordnungsgemäß evakuiert? Wurden Mängel festgestellt und behoben?

• Alarmereignis-Logs durchgehen: Hat jedes Alarm ein Follow-Up (z. B. bei jedem Feueralarm gibt es einen Eintrag, was die Ursache war – Fehlalarm oder echter Brand – und was unternommen wurde)? Fehlen hier Einträge, wäre das kritisch.

• Erfolgsquote Notfallübungen: Prozentualer Anteil der durchgeführten Übungen/Szenarien vs. geplante. (Ziel 100 %, d. h. alle geplanten Übungen im Jahr gemacht.)

• MTTD/MTTR bei Sicherheitsvorfällen: Durchschnittszeit bis Erkennung (z. B. Alarmauslösung bis Leitstelle reagiert: <60 Sekunden) und bis Lösung (z. B. Einbruchversuch abgewehrt in <5 Minuten durch Wachpersonal).

• Anomalie-Detektion vs. Incident: Wie viele sicherheitsrelevante Anomalien wurden erkannt vs. wie viele realisiert (Ziel: 0 unentdeckte Sicherheitsvorfälle).

• Zutrittskontroll-Compliance: Anteil der Zutrittsberechtigungen, die regelmäßig (mind. 1× jährlich) überprüft und bestätigt wurden (Soll: 100 % – keine veralteten Berechtigungen).

• Wiederanlaufdauer zentraler Systeme: Durchschnittliche Downtime nach einem Ausfall vs. Zielwert (z. B. Notstrom innerhalb 30 Sekunden, IT-Service innerhalb 2 Stunden etc.).

• New Work / Hybrid Work: Moderne Arbeitsmodelle haben auch Einfluss auf FM. Viele Finanzunternehmen fördern flexible Arbeitsplatzkonzepte wie Desk-Sharing und Activity-Based Working (verschiedene Zonen je nach Tätigkeit: Fokusräume, Kommunikationsbereiche, Lounges). Das FM stellt hierfür die Infrastruktur bereit und misst die Flächennutzung mittels Sensoren oder Buchungssystemen (z. B. Schreibtisch- oder Raumreservierungen). So kann die tatsächliche Auslastung ermittelt und ggf. Über- oder Unterkapazität aufgedeckt werden. Arbeitsplätze werden so gestaltet, dass Mitarbeiter sowohl vor Ort als auch remote effektiv arbeiten können – d. h. es gibt Shared-Desk-Bereiche mit Dockingstationen, viele Videokonferenz-Räume mit hochwertiger Technik (Kamera, Mikrofon, Bildschirm) für hybride Meetings, sowie sozial ansprechende Bereiche (Cafeteria, Collaboration Zones), um die Attraktivität des Büros zu steigern.

• Flächeneffizienz & Wellbeing: FM achtet darauf, dass die Flächen effizient genutzt werden, aber nicht zulasten des Wohlbefindens. - Es wird ein Ziel-KPI z. B. Fläche pro Mitarbeiter (< 10 m²/FTE in modernen Büros) verfolgt, aber gleichzeitig - Raumklima und Luftqualität (IAQ) werden kontinuierlich überwacht: CO₂-Konzentration soll z. B. unter 1000 ppm bleiben (DIN EN 16798 empfiehlt Werte für Raumluftqualitätsklassen), relative Luftfeuchte 40–60 %. Bei Überschreitung steuert die Lüftung nach oder es folgen Hinweise zum Lüften. - Lichtverhältnisse: Büroarbeitsplätze erhalten normgerechte Beleuchtungsstärken (500 Lux im Arbeitsbereich laut DIN EN 12464-1). FM tauscht alte Leuchtmittel gegen LED mit passender Lichtfarbe aus, und es gibt eine ausreichende Tageslichtnutzung bzw. Blendschutz (Jalousien). - Ergonomie: Jeder Arbeitsplatz ist mit höhenverstellbarem Tisch (DIN EN 527) und ergonomischem Stuhl (DIN EN 1335) ausgestattet. Zusätzlich werden Stehbesprechungstische, Ruhearbeitsplätze etc. angeboten. Das FM organisiert regelmäßig Ergonomie-Schulungen oder Arbeitsplatzbegehungen mit Betriebsarzt/Sicherheitsfachkraft, um Fehlhaltungen zu vermeiden. - Barrierefreiheit: Gebäude und Arbeitsplätze erfüllen DIN 18040 (Barrierefreies Bauen) Anforderungen: z. B. stufenlose Zugänge, breitere Türen, taktile Leitsysteme in Publikumsbereichen, höhenverstellbare Schalter für Rollstuhlfahrer in SB-Zonen. Gerade Bankfilialen achten aus Kundensicht auf Barrierefreiheit (rechtlich verlangt z. B. in öffentlichen Bereichen).

• FM-Organisation & Personal: Neben den Rollen sind weitere Spezialisierungen in der FM-Organisation möglich: - CAFM-Manager/in: Verwalten das CAFM-System, führen Schulungen durch, bauen Auswertungen und achten auf Datenkonsistenz. - Change Manager (FM): Koordiniert Änderungen in der FM-Service-Landschaft, z. B. neue Dienstleister, neue Prozesse, und sorgt für Dokumentation (ähnlich ITIL Change Management). - Analyst/Auswertungs-Spezialist: Bei großen Datenmengen (Energie, Tickets) lohnt es jemanden zu haben, der BI-Reports erstellt und Optimierungen vorschlägt. - HSE-Beauftragte: Im FM kann auch ein Health, Safety, Environment-Verantwortlicher verankert sein, der spezifisch sich um Arbeitsschutz und Umweltthemen im Gebäudebetrieb kümmert. - Aus- und Weiterbildung: FM-Personal muss diverse Schulungen regelmäßig absolvieren: z. B. Brandschutzhelfer-Ausbildung für eine gewisse Quote der Mitarbeiter, Erste-Hilfe-Kurse, Sicherheitsunterweisungen jährlich, VDI 6022-Schulung für Lüftungshygiene beim zuständigen Techniker, Elektrofachkraft-Fortbildung für den Elektromeister (VDE-Vorschriften), Datenschutz-Schulung (da Zutrittsdaten, Videodaten verarbeitet werden). Das FM hält hierfür einen Schulungsplan vor und dokumentiert die Teilnahme (Compliance-Anforderung).

Aus Sicht der Organisation entstehen: - Kennzahlen zur Arbeitsplatzauslastung: z. B. durchschnittliche Belegungsrate pro Woche, Peak-Belegung vs. Arbeitsplatzangebot (%). Diese fließen in Flächenentscheidungen (Abbau oder Zubau von Arbeitsplätzen). - IAQ-Reports: Monatliche Auswertung der Innenraumluftqualität – wie oft wurden Grenzwerte überschritten, in welchen Räumen, und was wurde getan (z. B. Lüftungsraten erhöht). - Licht- und Lärm-Messungen: Mindestens jährlich oder bei Umbauten wird kontrolliert, ob Beleuchtungsstärken und Akustikwerte der Norm entsprechen; Berichte darüber liegen vor. - Audit zur Barrierefreiheit: Gerade bei Bestandsbauten wird ein Plan geführt, welche Mängel in puncto Barrierefreiheit bestehen und bis wann Abhilfe geschaffen wird (z. B. fehlt ein Aufzug → Einbau geplant im nächsten Jahr). - Organigramm und Stellenprofile: Transparent dargestellt, sodass jedem MA im FM klar ist, wer für welches Thema der/die Expert/in ist. - Schulungsnachweise: Eine up-to-date Liste oder Datenbank mit allen Pflichtschulungen und deren Erfüllungsstand pro Mitarbeiter.

• Es wurden sinnvolle KPIs für Raumeffizienz festgelegt (z. B. m²/FTE, Anteil Shared-Desks, Home-Office-Quote) und das Management akzeptiert diese als Steuerungsgröße.

• Alle Arbeitsplätze erfüllen definierte Mindeststandards bzgl. Ergonomie und Ausstattung (Nachweis: Checkliste bei Einrichtung neuer Arbeitsplätze, Abnahmeprotokoll ergonomiegerecht).

• Pflichtunterweisungen im FM sind zu >95 % aktuell (d. h. fast alle Mitarbeiter haben die für sie vorgesehenen Schulungen innerhalb des vorgeschriebenen Intervalls absolviert).

• Vor-Ort-Prüfung einiger Arbeitsplätze: Stimmen Lichtwerte (Lux-Messung), ist die Möblierung standfest und normgerecht, sind Bildschirme richtig aufgestellt (Sehabstand)?

• Raumbelegungsstatistiken: Wurden diese in letzten 6 Monaten erhoben und dem Management berichtet? Oder liegen keine Daten vor (Hinweis auf ineffiziente Planung)?

• Fortbildungsnachweise: Stichprobe im Schulungskataster – z. B. sind alle erforderlichen Elektrofachkräfte gelistet und haben innerhalb 1 Jahres eine Auffrischungsschulung besucht? Brandschutzhelfer-Quote >= 5 % der Belegschaft mit gültiger Ausbildung?

• Flächenverbrauch pro Mitarbeiter (FTE): z. B. 12 m²/FTE im Jahr 2020 → 10 m²/FTE im Jahr 2025 (Effizienzsteigerung). - Nutzerzufriedenheits-Score bzgl. Arbeitsplatz (erhoben durch jährliche Umfrage, Wert 1–5 oder als % Zufriedenheit). - IAQ-Index: Prozent der gemessenen Zeit, in der die Raumluftparameter im Sollbereich lagen (Ziel z. B. 95 %). - Schulungsquote: Anteil der FM-Mitarbeiter, die alle ihnen zugeordneten Schulungen absolviert haben (Soll 100 %, Ist z. B. 98 %).

Ein ausgereiftes FM-Betriebskonzept stützt sich auf ein Set von Kennzahlen (KPIs) zur Steuerung und regelmäßige Audits/Reviews zur Überwachung.

• Zentrale KPIs im FM-Betrieb: - Verfügbarkeit: z. B. Uptime kritischer Systeme oder Bereiche (in % der Zeit). Dies kann granular sein (Verfügbarkeit Rechenzentrum 99,98 %, Verfügbarkeit Filial-IT 99 %, Verfügbarkeit Gebäudetechnik 99,5 % etc.). - Wartungs- und Prüfcompliance: Anteil fristgerecht durchgeführter Wartungen/Prüfungen (%). Ziel 100 %. - Störungskennzahlen: Anzahl Störungen pro Monat/Quartal, heruntergebrochen nach Priorität und Standort. Daraus abgeleitet MTBF/MTTR pro Anlage oder Kategorie (wie in Kap. 9 erläutert). - SLA-Erfüllungsgrad: Für jede wichtige Dienstleistung, ob die Service Levels eingehalten wurden (z. B. Reinigungsqualität Note 1–5, Reaktionszeiten in % eingehalten). - Kostenkennzahlen: Betriebskosten pro m² und Jahr, Instandhaltungskostenquote (als % des Anlagenwerts), Energiekosten pro Nutzer etc. - Nachhaltigkeit: Energieverbrauch pro m², CO₂-Emissionen, Wasserverbrauch, Abfallmenge – teilweise bereits in Kap. 10 genannt. - Qualität: Reinigungsergebnis (ggf. durch Objektbegehungen bewertet, DIN EN 13549), Hausmeisterdienste (Erledigungsgrad von Nutzerwünschen), Ergebnisse von Nutzerbefragungen (Zufriedenheit mit FM-Services). - Sicherheit: Anzahl Sicherheitsvorfälle, Zeit bis zur Schließung von Gefahrenmeldungen, Erfolgsquote Zutrittskontrollen (z. B. keine Unbefugten eingedrungen). - Datenqualität: Anteil aktueller Datensätze im CAFM (keine veralteten Flächen, alle Anlagen nummeriert etc.).

• Benchmarks: Um die eigene Performance einzuordnen, werden Vergleichsdaten herangezogen: - Interne Vergleiche: z. B. zwischen ähnlichen Objekten (wie schneiden Filialen untereinander ab in Sachen Energieverbrauch? Gibt es „Ausreißer“?). - Externe Benchmarks: IFMA, GEFMA und andere Verbände veröffentlichen regelmäßig Kennzahlenstudien (z. B. €/m² für Instandhaltung in Büros, Reinigungsflächenleistung m²/h). Auch Tools wie facilitycostplan oder OSCAR liefern Marktwerte. Im Rechenzentrumsbereich sind Benchmarks aus EN 50600 oder Uptime Institute Reports verfügbar (PUE-Mittelwerte, Kostensatz pro kW IT-Last). Solche Daten helfen, realistische Zielwerte zu setzen. - Gesetzliche Benchmarks: z. B. Energiebenchmarks nach GEG (Gebäudeenergiegesetz) für bestimmte Gebäudetypen – daran kann man sich orientieren, um zu sehen ob man besser oder schlechter ist.

• Reporting und Auditzyklen: - Operative KPI-Reports werden meist monatlich erstellt für das FM-internes Controlling und betroffene Fachbereiche (z. B. Störungsstatistik an IT, Energiebericht an Umweltmanagement). - Quartalsweise erfolgt ein Management-Review: Top-Kennzahlen und Risiken werden an die Geschäftsleitung oder ein Immobilien-/FM-Steuerungsgremium berichtet. Hier werden auch Trends diskutiert und Entscheidungen abgeleitet (Budgetanpassung, Extra-Maßnahmen). - Jährlich ist ein umfassender Bericht Teil des Lageberichts bzw. ESG-Reportings. Zudem werden Audits durchgeführt: Intern (durch Interne Revision oder QM-Abteilung) und extern (z. B. ISO-Zertifizierer, Behördenüberprüfungen). Auch Dienstleister-Audits gehören dazu (jährliche Dienstleistungsreview und ggf. Vor-Ort-Kontrolle bei wichtigen Providern). - Ein nützliches Instrument ist ein Reifegradmodell: Das FM kann seine Prozesse nach einem Modell bewerten (z. B. CMMI oder eigene Skala 1–5). Damit lässt sich über die Jahre darstellen, wie die Organisation sich verbessert (z. B. von reaktiv zu vorausschauend in Instandhaltung).

Nach jedem Audit oder Review-Meeting wird ein Maßnahmenplan erstellt (CAPA – Corrective and Preventive Actions). Dessen Umsetzung (Wer, bis wann) wird vom FM-Qualitätsmanagement getrackt. So schließt sich der Regelkreis.

Zur Verankerung werden KPI-Definitionstabellen erstellt, die genau beschreiben wie eine Kennzahl berechnet wird (z. B. Verfügbarkeit = (Soll-Betriebszeit – Ausfallzeit) / Soll-Betriebszeit, in %; MTTR = Summe Ausfallzeiten / Anzahl Incidents). Dadurch gibt es keinen Interpretationsspielraum. KPI-Schwellen können Ampelfarben bekommen. Man richtet ein Dashboard ein (z. B. in PowerBI, Tableau oder im CAFM integriert), das aktuelle KPI-Werte und Trends visualisiert – etwa Energieverbrauch vs. Ziel, Offene Wartungen, Reaktionszeiten letzte Woche. Dieses Cockpit nutzen die FM-Leitung und berichtet daraus. Des Weiteren gibt es Auditpläne – z. B. im 1. Quartal interne Compliance-Prüfung aller Betreiberpflichten, im 3. Quartal externer ISO-Audit etc. –, damit nichts vergessen wird. Eine Eskalationsmatrix definiert, welche Abweichungen auf welcher Ebene gemeldet werden: z. B. kritische Sicherheitsmängel sofort an Vorstand, moderate Themen im Quartalsbericht.

• Für jede Schlüsselkomponente (z. B. Verfügbarkeit, Kosten, Sicherheit) ist mindestens ein KPI mit Zielwert definiert und von den Stakeholdern akzeptiert. (Nachweis: KPI-Liste, freigegeben vom Management).

• Management-Reviews zur FM-Performance finden regelmäßig statt und sind protokolliert (Inhalte: Erreichung der Ziele, Risiken, Maßnahmen).

• Es gibt eine definierte Mindest-Compliance bei Prüfzyklen: z. B. Ziel 100 % Abarbeitung, Toleranz bis 95 % in Ausnahmefällen – darunter erfolgt automatische Eskalation.

• Stichproben der KPI-Berichte: Sind die Zahlen nachvollziehbar? Stimmen sie mit Rohdaten überein? Wurden Zielabweichungen kommentiert?

• Vergleich eigener KPIs mit Benchmarks: z. B. liegen die Reinigungskosten pro m² signifikant über Marktniveau? Wurde das analysiert (vielleicht höheres Qualitätsniveau als Grund)?

• Nachweis des KVP-Prozesses: Gibt es Protokolle von den CAPA-Meetings? Wurden festgestellte Mängel aus dem Vorjahr bis jetzt behoben oder zumindest adressiert?

• Verfügbarkeit kritischer Services (in %).

• General Property Availability (GPA): z. B. Verfügbarkeitsindex der Gebäude (z. B. keine Sperrung nötig wegen techn. Defekt).

• Störungsaufkommen: Tickets pro Monat, Trend (sinkt hoffentlich nach Maßnahmen).

• Durchschnittliche Reaktions-/Lösungszeit je Prioritätslevel (P1, P2…).

• FM-Kosten pro Mitarbeiter oder pro m² (für Budgetkontrolle).

• Audit-Findings: Anzahl Feststellungen pro Audit, kategorisiert nach Schwere (Critical/Major/Minor). Ziel: Jedes Jahr weniger oder zumindest keine Wiederholungen gleicher Findings.

• Baulich: Tresorräume müssen nach EN 1143-1 zertifiziert sein (Widerstandsgrade je nach Wert, z. B. Klasse VIII für sehr hohe Werte). Türen, Wände, Decken bilden eine Einheit; oft zusätzlich Einbruchmelder in den Wänden (Erschütterungssensoren).

• Organisation: Zutritt nur für autorisiertes Personal, meist immer zwei Personen gemeinsam (Vier-Augen-Prinzip). Elektronische Schließsysteme mit Protokollierung werden genutzt, um lückenlos nachzuhalten, wer wann drin war.

• Schleusen: Der An- und Abtransport von Geld erfolgt über speziell gesicherte Schleusen mit 2 Türen (immer nur eine offen, möglicherweise über Zeitschloss gesteuert). CIT (Cash-in-Transit) Firmen haben definierte Anfahrtszonen und Zeitfenster, in denen sie kommen dürfen. Das FM muss diese Infrastruktur bereitstellen und instand halten (Toranlagen, Poller, beleuchtete Ladezonen etc.).

• Technische Hilfen: In Tresoren kommen z. B. Farbkartuschen zum Einsatz, die Geld bei Einbruchversuch einfärben, Nebelanlagen, die bei Alarm den Raum fluten, etc. All dies muss ins Sicherheits- und Wartungskonzept aufgenommen werden (regelmäßige Tests der Systeme).

• Standortwahl: ATM werden möglichst in geschützten Bereichen aufgestellt (in SB-Zonen der Bank mit Videoüberwachung, Alarm bei unbefugtem Zutritt nachts). Außenautomaten werden in massiven Wänden verankert und alarmgesichert (z. B. Neigungssensor, der Versuche mit Wagenheber erkennt).

• Angriffserkennung: „Gas-Attacken“ oder Sprengungen sind ein zunehmendes Problem – hier installiert man Gasdetektoren und Vernebelungsanlagen. Überfallalarme in SB-Zonen („Überfallleuchten“) signalisieren Kunden potenzielle Gefahrensituationen.

• Wartung & Service: FM koordiniert die Bargeldbefüllung (meist durch CIT-Dienstleister) und die technische Wartung der Geräte (durch spezialisierten ATM-Dienstleister). Wichtig: Zutrittskalender – ATMs sollten nur zu definierten Zeiten vom Service geöffnet werden, um unautorisierten Zugriff zu verhindern (Außentresoröffnung nur z. B. früh morgens, Begleitschutz durch Wachdienst).

• Skimming-Abwehr: FM/Security überprüfen regelmäßig die Automaten auf manipulative Aufsätze (Kartenleser). Manche Banken installieren zusätzliche Kameras oder Sensoren, die verdächtige Anbauten erkennen.

• Kundenkomfort: ATM-Bereiche, die 24/7 offen sind, müssen beheizt/gekühlt und beleuchtet sein, um Kunden ein sicheres Gefühl zu geben. FM sichert dies durch entsprechende Steuerung (ggf. Temperaturabsenkung nachts auf akzeptables Maß, Licht nachts gedimmt aber an).

Banken haben gesetzliche Aufbewahrungsfristen (z. B. 10 Jahre für Buchungsbelege, 6 Jahre für Geschäftsbriefe). Historisch fielen Unmengen Papier an.

• Klimatisierung: Archive für Akten brauchen konstante Bedingungen (ca. 18 °C, 50 % r.F.), um Papier nicht altern zu lassen. Klimageräte mit hoher Zuverlässigkeit und ggf. Redundanz werden eingesetzt; FM überwacht Temperatur/Feuchte.

• Brandschutz: Archive sind idealerweise eigene Brandabschnitte mit Brandfrühesterkennung (rauchansaugende Melder) und eventuell Gaslöschanlage (damit Papier nicht vom Löschwasser zerstört wird).

• Zutritt: Nur befugtes Personal mit Protokoll. Oft elektronisches Archivsystem (jedes Dokument registriert), damit man nachvollziehen kann, wer was entnommen hat.

• Prozess: FM unterstützt die Fachabteilungen beim Document Lifecycle: rechtzeitig vor Fristende werden Akten zur Vernichtung freigegeben (Datenschutz!). Vernichtung erfolgt dann beauftragtermaßen (z. B. über Zertifizierten Aktenvernichter-Dienst).

Im Finanzsektor müssen alle Auslagerungen auf Wesentlichkeit geprüft werden. FM-Dienstleistungen können als wichtig eingestuft werden, z. B. - Rechenzentrumsbetrieb (wenn extern vergeben) wäre eine wesentliche Auslagerung – erfordert strenge Kontrolle und BaFin-Notifizierung. - Bewachungsdienst kann wesentlich sein, wenn er die gesamte Zutrittskontrolle einer Zentrale stellt. - Nicht wesentlich sind meist standardisierte Reinigungsdienste oder Hausmeisterdienste, aber dennoch relevant. Entsprechend richtet das Unternehmen für FM-Providern ein Monitoring ein: jährliches Treffen, Leistungsberichte einfordern, Exit-Konzept in der Schublade. Auslagerungen innerhalb des Konzerns (z. B. die eigene Konzerntochter macht das FM) sind etwas einfacher, müssen aber ebenfalls transparent gemacht werden.

Die BaFin erwartet seit 2021 auch ein zentrales Auslagerungsregister aller Dienstleister. Darin sind auch viele FM-Dienstleister erfasst (auch wenn nicht wesentlich, aber man führt sie auf, um Überblick zu haben). Das FM muss Zuarbeit leisten zu diesem Register (Vertragsdaten, Risikoassessment liefern).

• Böden müssen rutschhemmend sein (gerade in Selbstbedienungsvestibülen, wo Kunden auch bei Regen reinlaufen – hier sind Matte und ggf. Wetterschutz zu stellen).

• Leitsysteme für Sehbehinderte: z. B. tastbare Bodenindikatoren zu Countern, gut sichtbare Beschilderung.

• Fluchtwege: In jedem Kundenbereich sind Fluchtwege markiert (grüne Schilder) und frei zu halten. FM prüft das regelmäßig (Fluchtwegbegehung).

• Unfallprävention: Kleinigkeiten wie Teppichkanten als Stolperfalle, lose Kabel – werden durch das Facility Management beseitigt, sobald entdeckt. Kundenunfälle (z. B. Sturz im Innenbereich) werden aufgenommen und der Versicherung gemeldet, daher hat FM ein Interesse, solche Risiken proaktiv zu minimieren (über Gefährdungsbeurteilungen und regelmäßige Sicherheitsrundgänge).

• Branchenspezifische Vorgaben (z. B. VdS-Standards für Tresore, BAIT/VAIT für IT-Sicherheit) sind im FM-Leistungskatalog berücksichtigt. (Nachweis: In Leistungsbeschreibung Bewachung steht VdS 2172 einzuhalten etc.)

• Es existieren Filial-Checklisten zur Sicherheit: z. B. monatliche Filialbegehung durch FM oder Filialleiter mit Punkten Türschließung, Feuerlöscher present, Notausgang unverschlossen etc., ausgefüllte Formulare liegen vor.

• Auslagerungsdokumentation: Für alle FM-Outsourcings ist im zentralen Register vermerkt, ob sie wesentlich sind und wie sie überwacht werden. Kein relevanter FM-Service bleibt undocumented.

• Tresorbereich-Dokumentation: Liegt eine VdS-Abnahme oder Zertifizierung des Tresorraums vor? Wurden die Widerstandsklasse-Tests gemacht (Wandstärke etc.)?

• Filialsicherheits-Reports: Prüfen, ob Filialen regelmäßiges Feedback liefern (gibt es ein System, wo Filialleiter Schäden oder Risiken melden und FM sie abarbeitet?). Beispiel: Sind alle tragbaren Feuerlöscher in Filialen jährlich geprüft (Etikett dran)?

• Übergaben neuer Standorte: Wenn neue Filialen eröffnet oder umgebaut wurden – gibt es ein BIM2FM-Übergabeprotokoll oder zumindest eine technische Dokumentation, die ins CAFM eingepflegt wurde? Wurde an alle FM-Anforderungen (z. B. Platz für Reinigungsmaterial, Serverschrank-Belüftung) gedacht?

• Sicherheitsverstöße in Filialen: Anzahl der Vorkommnisse (z. B. unverschlossene Tür nach Geschäftsschluss, Alarmanlagen versehentlich nicht scharf gestellt) – idealerweise sehr gering, und abnehmend durch Sensibilisierung.

• Tresorprüfungen: Erfolgsquote (z. B. 100 % aller Tresoranlagen wurden planmäßig vom VdS-Sachverständigen ohne Mängel abgenommen).

• ATM-Service Level: Durchschnittliche Wiederverfügbarkeitszeit eines ausgefallenen Geldautomaten (z. B. 4 Stunden) – als Maß für gute Koordination CIT, Technik und FM.

• Archiv-Aufbewahrung Compliance: Anteil der Dokumente, die fristgerecht nach Ablauf der Aufbewahrungsfrist entsorgt wurden (Ziel 100 %, sprich kein Altpapier länger als erlaubt behalten).

• Geografischer Fokus: Die Ausarbeitung geht primär von deutschen Rahmenbedingungen aus (Gesetze, Normen). Österreich und Schweiz haben teils ähnliche Regelungen, aber Abweichungen sind möglich. EU-Vorgaben (z. B. DORA, Taxonomie) wurden berücksichtigt. Konzernweite Vorgaben (sofern es sich um ein international agierendes Unternehmen handelt) müssen gegebenenfalls ergänzt werden.

• Unternehmensgröße: Es wurde ein großes Institut (z. B. Großbank, großer Versicherer) angenommen, mit entsprechend umfangreichem Portfolio und Ressourcen. Kleinere Institute könnten einzelne Aspekte anders handhaben (z. B. weniger Outsourcing, da vieles intern in kleiner Einheit).

• Technologiereife: Es wurde ein fortschrittliches FM unterstellt, das bereits CAFM, Sensorik und erste KI-Tools einsetzt. Sollte das nicht der Fall sein, wären die Digitalisierungsaspekte mit Priorität umzusetzen oder abzuspecken (für eine Habilitationsschrift kann aber der Blick in die nahe Zukunft hilfreich sein).

• Neubau vs. Bestand: Es wurde versucht, sowohl Neubauten wie Bestandsimmobilien zu berücksichtigen. Allerdings sind gewisse Dinge (z. B. BIM-Integration) bei Bestandsbauten nur perspektivisch relevant (erst bei größeren Umbauten). Im Bestand hat man oft technische Schulden (alte Anlagen, Denkmalschutz), was die Umsetzung erschwert – diese Detailprobleme sprengen aber ggf. den Rahmen hier und müssten projektindividuell behandelt werden.

• Scope Abgrenzung: Das Konzept konzentriert sich auf das infrastrukturelle Umfeld (Facility Management) von Banken/Versicherungen. Reine IT-spezifische Themen (Anwendungsentwicklung, Bank-IT-Betrieb, Cyber-Abwehr) sind nicht Teil des FM, wurden nur an Schnittstellen benannt. Ebenso wurden Spezialfälle wie Kunden-Notfallszenarien (z. B. Banküberfall-Training der Mitarbeiter) nur gestreift – diese liegen eher im Security-Training als im FM.

Alle gemachten Annahmen können angepasst werden, wenn sich Rahmenbedingungen ändern. Beispielsweise könnte der Gesetzgeber strengere ESG-Nachweispflichten erlassen oder die KI-Regulierung (EU AI Act) neue Auflagen bringen – dann muss das FM-Konzept entsprechend erweitert werden (z. B. zusätzliche KI-Dokumentation, Zertifizierung von KI-Systemen). Die Habilitationsarbeit sollte an solchen Stellen die Parametrisierung aufzeigen: also wo man je nach spezifischem Unternehmen justieren kann (Unternehmensgröße, Risikoneigung, Budgethöhe etc.).

• BAIT/VAIT: Bankaufsichtliche / Versicherungsaufsichtliche Anforderungen an die IT – von der BaFin erlassene Richtlinien, welche die Erwartungen an das IT-Risikomanagement von Banken bzw. Versicherern beschreiben (inkl. Auslagerung von IT-Diensten, Informationssicherheit, Notfallmanagement).

• CMMS: Computerized Maintenance Management System – Software zur Verwaltung von Wartungsaufträgen, Anlagenhistorie, Ersatzteilen etc. Dient der Steuerung der Instandhaltung.

• COBie: Construction-Operations Building information exchange – Datenformat/Standard für den Austausch von Gebäudedaten zwischen Bau und Betrieb (z. B. aus einem BIM-Modell ins CAFM). Enthält Informationen zu Räumen, Anlagen, Wartungsplänen in strukturierter Form.

• DXM: Hier im Kontext als Datenmanagement und Metering zu verstehen – Überwachung und Steuerung von Energie- und Medienverbräuchen (Digitale Zähler, Smart Metering), oft im Rahmen von Energiemanagement.

• EMA/ÜMA: Einbruchmeldeanlage / Überfallmeldeanlage – Sicherheitssysteme, die bei unautorisiertem Eindringen (EMA) bzw. bei ausgelöstem Überfallalarm (ÜMA, z. B. durch stillen Alarmknopf) die Leitstelle informieren.

• Holistic Maintenance: Ganzheitlicher Instandhaltungsansatz, der verschiedene Strategien kombiniert (präventiv, zustandsorientiert, reaktiv) und sowohl technische Zuverlässigkeit als auch Risiko und Kosten im Blick hat.

• RACI: Verantwortlichkeitsmatrix für Prozesse/Projekte: R = Responsible (Durchführungsverantwortlich), A = Accountable (Ergebnisverantwortlich/Entscheider), C = Consulted (konsultativ einzubeziehen), I = Informed (zu informieren).

• RTO/RPO: Recovery Time Objective und Recovery Point Objective. RTO = maximale tolerierte Wiederanlaufzeit nach einem Ausfall (wie lange darf z. B. das Online-Banking offline sein). RPO = maximal tolerierter Datenverlust (wie alt dürfen die letzten gesicherten Daten im schlimmsten Fall sein, z. B. 15 Minuten). Diese Größen bestimmen die Notfallkonzepte.

• BetrSichV: Betriebssicherheitsverordnung – deutsche Verordnung über Sicherheit und Gesundheitsschutz bei der Verwendung von Arbeitsmitteln, regelt u. a. Prüfungen überwachungsbedürftiger Anlagen.

• DGUV: Deutsche Gesetzliche Unfallversicherung – Dachverband der Unfallkassen, gibt Unfallverhütungsvorschriften heraus (z. B. DGUV V3 für elektrische Anlagen).

• ESG: Environmental, Social, Governance – Sammelbegriff für Nachhaltigkeitskriterien in Unternehmen (Umwelt, Soziales, Unternehmensführung).

• MaRisk: Mindestanforderungen an das Risikomanagement – BaFin-Rundschreiben, das die Erwartung an Risikosteuerung und -controlling von Banken definiert. Überarbeitet in RS 10/2021 u. a. zur Umsetzung von EBA-Leitlinien.

• ArbSchG: Arbeitsschutzgesetz – zentrales Gesetz zum Arbeitsschutz in Deutschland (pflichtet Arbeitgeber zu Maßnahmen des Arbeitsschutzes, u. a. Gefährdungsbeurteilung).

• SOC: Security Operations Center – Zentrale Sicherheitseinheit, welche IT- und/oder physische Sicherheitsvorfälle in Echtzeit überwacht und bearbeitet.