Rechtliche und normative Anforderungen

Landesbauordnungen und technische Baubestimmungen bilden die baurechtliche Grundlage für sicherheitstechnische Installationen. Im deutschen Regelungssystem sind Musterbauordnung und MVV TB wichtige Referenzen, aber nicht unmittelbar verbindlich. Verbindlich ist immer die im jeweiligen Bundesland eingeführte Fassung. Deshalb muss bereits in der Planungsphase geprüft werden, welche landesspezifischen Anforderungen am Standort tatsächlich gelten, insbesondere bei Neubauten, Nutzungsänderungen, Erweiterungen und Modernisierungen.
Für Sicherheitstechnik bedeutet das in der Praxis, dass Einbruchmeldeanlagen, Zutrittskontrollsysteme, Türsteuerungen, Alarmierungseinrichtungen und Überwachungskomponenten technisch mit der Gebäudeinfrastruktur kompatibel sein müssen. Besonders kritisch sind Schnittstellen zu Brandmeldeanlagen, Entrauchung, Fluchtwegsicherung, Stromversorgung, Notstrom, Türverriegelung und Gebäudeautomation. Sobald sicherheitstechnische Anlagen Einfluss auf Rettungswege, Notausgänge oder Türfreigaben im Gefahrenfall haben, greifen bauordnungsrechtliche und arbeitsschutzrechtliche Anforderungen gleichzeitig. Die Arbeitsstättenregel ASR A2.3 stellt ausdrücklich klar, dass höhere Anforderungen des Bauordnungsrechts der Länder vorrangig anzuwenden sind.
Ergänzend werden in der Praxis anerkannte technische Regeln und Standards herangezogen, etwa für Gefahrenmeldeanlagen, Brandmeldetechnik, Projektierung, Abnahme und Instandhaltung. VdS verweist in seinen Errichterrichtlinien unter anderem auf DIN VDE 0833, DIN 14675 und die vollständigen Leistungsphasen von Planung über Montage bis Instandhaltung. Für Facility Manager ist deshalb wesentlich, dass nicht nur Produkte normkonform sind, sondern auch Planung, Ausführung, Abnahme und Service durch qualifizierte Fachfirmen erfolgen.

Sicherheitstechnik verarbeitet häufig personenbezogene Daten. Das gilt besonders für Videoüberwachung, elektronische Zutrittskontrolle, Besucherverwaltung, biometrische Verfahren und Ereignisprotokolle. Die DSGVO verlangt, dass jede Verarbeitung auf einer klaren Rechtsgrundlage beruht, transparent erfolgt, auf das erforderliche Maß begrenzt ist, angemessen geschützt wird und nicht länger als nötig gespeichert bleibt. Zudem muss der Verantwortliche die Einhaltung dieser Anforderungen nachweisen können.

Für die Videoüberwachung konkretisiert der Europäische Datenschutzausschuss die Transparenzpflichten sehr deutlich. Betroffene müssen vor Betreten des überwachten Bereichs erkennbar informiert werden. Die wichtigste Information gehört auf ein gut sichtbares Hinweisschild als erste Informationsebene; weitere Pflichtangaben müssen leicht zugänglich verfügbar sein. Auch die Speicherdauer ist individuell zu begründen. Der EDPB hält fest, dass Aufnahmen in den meisten Fällen idealerweise nach wenigen Tagen automatisiert gelöscht werden sollten und dass längere Speicherfristen, insbesondere über 72 Stunden hinaus, einer stärkeren Begründung bedürfen.
Biometrische Verfahren und großflächige systematische Überwachung erhöhen das Datenschutzrisiko zusätzlich. Die DSGVO behandelt biometrische Daten zur eindeutigen Identifizierung sowie Gesundheitsdaten als besondere Kategorien personenbezogener Daten. Bei Verarbeitungen mit hohem Risiko, etwa großflächiger systematischer Überwachung öffentlich zugänglicher Bereiche oder großskaliger Verarbeitung besonderer Datenkategorien, ist vorab eine Datenschutz-Folgenabschätzung erforderlich. Facility Management muss daher Überwachungs- und Zutrittssysteme eng mit Datenschutzbeauftragten, IT-Sicherheit und Rechtsabteilung abstimmen.

Arbeitsschutzrecht verlangt, dass Arbeitsplätze so gestaltet und betrieben werden, dass Gefährdungen für Beschäftigte und andere anwesende Personen minimiert werden. Die Gefährdungsbeurteilung ist dabei das zentrale Instrument für zielgerichtete Präventionsmaßnahmen. Sicherheitstechnik ist aus Facility-Management-Sicht ein wesentliches Mittel, um erkannte Risiken organisatorisch und technisch abzusichern, etwa durch Notfallalarmierung, Paniktaster, gesicherte Zugänge zu Gefahrenbereichen, automatische Türfreigaben im Notfall und eindeutige Fluchtwegführung.
Für den laufenden Betrieb bedeutet das: Sicherheitssysteme müssen nicht nur installiert, sondern dauerhaft funktionsfähig gehalten werden. Arbeitgeber sind verpflichtet, erforderliche Maßnahmen zur Verhütung von Unfällen und Gesundheitsgefahren sowie zur wirksamen Ersten Hilfe zu treffen. Daraus folgt für Facility Management die Pflicht, Prüfzyklen, Wartungen, Störungsbearbeitung und Notfalltests so zu organisieren, dass sicherheitsrelevante Systeme im Ereignisfall zuverlässig funktionieren.
Auch die Kennzeichnung und Nutzbarkeit von Fluchtwegen ist sicherheitstechnisch relevant. Nach ASR A2.3 müssen Fluchtwege, Notausgänge und Sammelstellen deutlich erkennbar und dauerhaft gekennzeichnet sein. Bei Ausfall der Allgemeinbeleuchtung muss die Erkennbarkeit der Sicherheitszeichen auf Grundlage der Gefährdungsbeurteilung mindestens 30 Minuten gewährleistet sein, sofern das Bauordnungsrecht der Länder keine höheren Anforderungen stellt. Für elektronische Türsysteme, Vereinzelungen oder Schleusen heißt das: Sie dürfen die sichere Selbstrettung und Evakuierung nicht beeinträchtigen.

Versicherer definieren häufig zusätzliche Anforderungen, um Diebstahl, Vandalismus, Ausfallfolgen und Folgeschäden zu begrenzen. Diese Anforderungen sind zwar nicht identisch mit gesetzlichen Pflichten, können aber unmittelbare wirtschaftliche Wirkung entfalten, weil sie Einfluss auf Prämienhöhe, Deckungsumfang, Obliegenheiten und Schadenregulierung haben. In der Praxis verlangen Versicherer oft, dass Einbruchmeldetechnik, Alarmübertragung und Interventionskette nach anerkannten Regeln aufgebaut und durch qualifizierte Unternehmen errichtet werden.
VdS-Richtlinien und VdS-Anerkennungen spielen hierbei im deutschen Markt eine wichtige Rolle. Die VdS-Richtlinie für Errichterunternehmen von Gefahrenmeldeanlagen deckt die Leistungsphasen Planung, Projektierung, Montage, Inbetriebsetzung, Anlagenüberprüfung, Abnahme und Instandhaltung ab. Für Notruf- und Serviceleitstellen beschreibt VdS 3138 die Anforderungen an die Sicherungskette, einschließlich Empfang, Verarbeitung, Weiterleitung und Dokumentation von Meldungen. Für Facility Manager ist deshalb entscheidend, dass versicherungsrelevante Sicherheitsanlagen nicht nur vorhanden sind, sondern nachweislich fachgerecht geplant, attestiert, aufgeschaltet und instand gehalten werden.

In bestimmten Branchen reichen die allgemeinen Anforderungen nicht aus. Hier kommen zusätzliche regulatorische Ebenen hinzu, weil Verfügbarkeit, Vertraulichkeit und Integrität der Prozesse für Wirtschaft, Versorgung oder öffentliche Sicherheit besonders kritisch sind. Aus Facility-Management-Sicht steigt damit der Anspruch an Zonierung, Schutzniveaus, Nachweisführung, technische Redundanzen und Überwachung.
Im Finanzsektor erläutert die BaFin im Zusammenhang mit DORA, dass Testprogramme zur digitalen operationalen Resilienz unter anderem auch die physische Sicherheit in Finanzunternehmen prüfen können. Das zeigt, dass physische Sicherheitsmaßnahmen heute nicht isoliert betrachtet werden, sondern als Bestandteil der Gesamtresilienz von Geschäfts- und IT-Prozessen. Für Banken, Zahlungsinstitute und vergleichbare Einrichtungen sind daher Zutrittskontrolle, Überwachung kritischer Räume und gesicherte Betriebsumgebungen integraler Bestandteil der regulatorischen Erwartung.
Für Betreiber Kritischer Infrastrukturen verlangt das BSI regelmäßige Nachweise darüber, dass Stand-der-Technik-Sicherheitsmaßnahmen eingesetzt werden. Die Nachweisdokumente müssen vollständig, fristgerecht und strukturiert eingereicht werden. Damit wird klar: In KRITIS-Umgebungen ist Dokumentation kein Nebenprodukt, sondern ein regulatorischer Kernprozess.
Auch Rechenzentren unterliegen erhöhten physischen Schutzanforderungen. Der BSI-Grundschutz betrachtet Sicherheitstechnik ausdrücklich als Teil der Supportbereiche eines Rechenzentrums, und der C5-Katalog nennt physische Zutrittskontrolle als eigenständige Sicherheitsanforderung. Für Einrichtungen mit Gesundheitsdaten oder biometrischen Verfahren kommt hinzu, dass hier häufig besondere Kategorien personenbezogener Daten betroffen sind. Daraus ergeben sich in der Praxis regelmäßig strengere Zonierungs-, Berechtigungs- und Protokollierungsanforderungen als in Standardbüroumgebungen.

Externe Vorschriften allein schaffen noch keinen sicheren Betrieb. Erst interne Sicherheitsrichtlinien übersetzen gesetzliche und normative Anforderungen in verbindliche betriebliche Abläufe. Aus Sicht des Facility Managements müssen diese Richtlinien klar festlegen, wer für welche Systeme verantwortlich ist, welche Schutzziele gelten, welche Bereiche überwacht werden dürfen, wie Besucher geführt werden, wie Berechtigungen vergeben und entzogen werden und wie auf Sicherheitsvorfälle zu reagieren ist.
Der EDPB empfiehlt für Videoüberwachung ausdrücklich interne Rahmenwerke und Verfahren, die unter anderem Verantwortlichkeiten, Zweck und Umfang, zulässige und unzulässige Nutzung, Transparenzmaßnahmen, Speicherdauer, Schulungsbedarf, Zugriffsrechte auf Aufzeichnungen und Vorgehen bei Datenschutzvorfällen regeln. Übertragen auf die Gesamt-Sicherheitstechnik heißt das: Ohne dokumentierte Betriebsprozesse bleibt selbst gute Technik compliance-seitig lückenhaft. Facility Management ist regelmäßig die Stelle, die diese Vorgaben zwischen Security, IT, Datenschutz, HR, Empfang, Werkfeuerwehr oder externem Sicherheitsdienst operativ zusammenführt.

Sicherheitstechnische Anlagen müssen regelmäßig geprüft, gewartet und dokumentiert werden. Der Nachweis ordnungsgemäßer Funktion ist keine rein technische Formalität, sondern Voraussetzung für Betreiberpflichten, Datenschutz-Compliance, Versicherungsfähigkeit und Auditbereitschaft. Die DSGVO fordert Verzeichnisse von Verarbeitungstätigkeiten, Beschreibungen technischer und organisatorischer Maßnahmen sowie die Dokumentation von Datenschutzverletzungen. Das BSI verlangt in KRITIS-Kontexten vollständige Nachweisdokumente, inklusive Prüfplanung und Mängelverfolgung.

Aus Facility-Management-Sicht ist die Qualität der Dokumentation genauso wichtig wie die Technik selbst. Erforderlich sind vollständige, versionierte und jederzeit auffindbare Unterlagen mit klaren Zuständigkeiten, Änderungsständen, Freigaben und Aufbewahrungsregeln. Nur so lassen sich Wartungsstände, Systemänderungen, Berechtigungsanpassungen, Löschfristen, Mängel und Abweichungen nachvollziehbar belegen.

Facility Management übernimmt eine Schlüsselrolle, weil hier die technische Betreiberperspektive mit rechtlicher, organisatorischer und wirtschaftlicher Verantwortung zusammenläuft. Zu den Kernaufgaben gehören die Koordination von Planung und Errichtung, die Prüfung standortbezogener Landesvorgaben, die Abstimmung mit Datenschutz und Arbeitsschutz, die Organisation von Wartungen und Prüfungen, die Steuerung externer Fachfirmen sowie die Pflege einer auditfesten Dokumentationsstruktur.
Audit Readiness entsteht nicht erst kurz vor einer Begehung, sondern im täglichen Betrieb. Professionelles Facility Management sorgt deshalb für ein belastbares Betreiberkonzept mit klaren Verantwortlichkeiten, Terminüberwachung für Prüfungen, strukturierter Mängelverfolgung, nachvollziehbaren Änderungsprozessen und vollständiger Nachweisführung. Dadurch bleiben sicherheitstechnische Systeme rechtssicher, technisch verlässlich, versicherungsfähig und gegenüber Behörden, Auditoren und Versicherern jederzeit prüfbar.