Zum Inhalt springen
FM-Connect Chat

Hallo! Ich bin Ihr FM-Connect Chat-Assistent. Wie kann ich Ihnen helfen?

FM-Solutionmaker: Gemeinsam Facility Management neu denken

3J1 Änderungsmanagement

Facility Management: Zutritt » Ausschreibung » Ausschreibungsverfahren » 3J1 Änderungsmanagement

Ausschreibungsdokument Zugangskontrollsysteme – Change Management

Ausschreibungsdokument Zugangskontrollsysteme – Change Management

Dieses Änderungsmanagement-Protokoll definiert den strukturierten Ansatz des Auftragnehmers zur Dokumentation, Genehmigung und Umsetzung von Änderungen am Zugangskontrollsystem. Der Prozess gewährleistet, dass alle Änderungen – technischer, prozeduraler oder administrativer Art – kontrolliert, rückverfolgbar und konform zu den Anforderungen des Facility Managements sowie den vertraglichen Vereinbarungen durchgeführt werden. Der Änderungsmanagement-Prozess umfasst sämtliche Anpassungen am Zugangskontrollsystem, die über den vertraglich vereinbarten Leistungsumfang hinausgehen oder Anpassungen im laufenden Betrieb erfordern. Er regelt die Rollen und Verantwortlichkeiten aller Beteiligten, definiert klare Genehmigungsprozesse und sorgt dafür, dass Änderungen geordnet und nachvollziehbar umgesetzt werden. Ziel ist es, Risiken für die Systemsicherheit und den laufenden Betrieb zu minimieren sowie die Zuverlässigkeit des Zugangskontrollsystems dauerhaft zu gewährleisten.

Rechtlicher und regulatorischer Rahmen- Anwendbare Normen

Der Auftragnehmer richtet sein Änderungsmanagement an den geltenden nationalen und internationalen Standards aus.

Dazu zählen insbesondere:

  • ISO 20000 (IT-Service-Management – Change-Control-Prozesse): Gewährleistung eines strukturierten, dokumentierten Prozesses für Änderungen im IT-Bereich des Zugangskontrollsystems und Sicherstellung der Service-Kontinuität.

  • ISO 9001 (Qualitätsmanagement – dokumentierte Prozesslenkung): Sicherstellung der Qualität und Konsistenz aller Prozessschritte durch festgelegte Abläufe und regelmäßige Überprüfungen.

  • EU-Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG): Durchführung von Datenschutz-Folgenabschätzungen (DSFA) für Änderungen, die personenbezogene Daten oder sicherheitsrelevante Identifikationsdaten betreffen, sowie Gewährleistung von Datenschutz und Datensicherheit im Änderungsprozess.

  • DIN EN 60839-11 (Alarm- und Sicherheitsanlagen – Teil 11: Anforderungen an Zutrittskontrollsysteme): Sicherstellung, dass bei technischen Änderungen die spezifischen Normenanforderungen an elektronische Zutrittskontrollsysteme eingehalten werden und die Kompatibilität mit bestehenden Sicherheits- und Netzwerksystemen gewährleistet bleibt.

Angebotsverpflichtungen

Der Auftragnehmer verpflichtet sich, im Rahmen des Angebots ein vollständig dokumentiertes Änderungsmanagement bereitzustellen. Hierzu werden standardisierte und revisionssichere Änderungsformulare sowie ein zentrales Änderungsregister eingeführt. Alle Änderungsanträge müssen durch den Auftraggeber formell genehmigt werden, bevor die geplanten Maßnahmen umgesetzt werden. Die Dokumentation des gesamten Änderungsprozesses bleibt über den gesamten Vertragszeitraum hinweg vollständig auditierbar und nachvollziehbar. Hierdurch wird sichergestellt, dass sämtliche Änderungen transparent dokumentiert werden und im Bedarfsfall nachvollziehbar archiviert sind, um die Kontinuität und Zuverlässigkeit des Systems zu gewährleisten.

Änderungsmanagement-Prozess- Änderungsanfrage (Change Request)

Änderungsanfragen können vom Auftraggeber, vom Auftragnehmer oder von beauftragten Subunternehmern initiiert werden. Jeder Änderungswunsch wird mittels eines standardisierten Änderungsantragsformulars eingereicht. Der Änderungsantrag enthält eine präzise Beschreibung der gewünschten Änderung, den geschäftlichen beziehungsweise technischen Hintergrund sowie die Notwendigkeit der Maßnahme. Zudem erfolgt eine erste Abschätzung der Auswirkungen auf den laufenden Betrieb, die Systemsicherheit sowie auf betriebliche und rechtliche Vorgaben. Änderungen, die Compliance-Anforderungen betreffen, werden besonders berücksichtigt. Zudem können im Änderungsantrag Vorschläge zur Umsetzung, zum Zeitplan oder zu benötigten Ressourcen (z. B. Personal, Materialien) angegeben sein, um die Entscheidungsfindung zu unterstützen. Alle Änderungsanträge erhalten eine eindeutige Referenznummer und werden im zentralen Änderungsregister erfasst, um eine lückenlose Nachverfolgung zu ermöglichen.

Prüfung und Genehmigung

Nach Eingang eines Änderungsantrags führt der Auftragnehmer eine umfassende technische Prüfung durch. Dabei werden die technische Machbarkeit, die Einhaltung rechtlicher Vorgaben (z. B. Datenschutz, Arbeitsschutz) sowie sicherheitsrelevante Aspekte analysiert. Parallel hierzu prüft der Auftraggeber den finanziellen Aufwand, die betrieblichen Auswirkungen und den Einfluss auf vertragliche Verpflichtungen. Beide Parteien erstellen dazu schriftliche Stellungnahmen. Sämtliche Prüfungsergebnisse werden protokolliert, um die Nachvollziehbarkeit zu gewährleisten. Erst nach schriftlicher Zustimmung beider Parteien – des Auftragnehmers und des Auftraggebers – wird die Änderung freigegeben. Die Zustimmung und eventuelle Vorgaben werden dokumentiert und bilden die Grundlage für die Durchführung der Maßnahme.

Umsetzung

Die Umsetzung genehmigter Änderungen erfolgt ausschließlich durch qualifiziertes und zertifiziertes Fachpersonal des Auftragnehmers oder beauftragter Subunternehmer. Änderungen werden zunächst, sofern dies technisch und organisatorisch möglich ist, in einer kontrollierten Test- oder Entwicklungsumgebung durchgeführt, um das reibungslose Funktionieren sowie die Systemsicherheit zu überprüfen. Nach erfolgreicher Testphase wird die Änderung in die Produktivumgebung übernommen. Im Anschluss daran wird die System- und Betriebsdokumentation vollständig aktualisiert. Dazu gehören überarbeitete Systemübersichten, Netzpläne und Benutzerhandbücher, um den aktuellen Zustand und die Funktionalität des Systems abzubilden. Auch betroffene Betriebsabläufe und Prozessdokumentationen werden entsprechend angepasst, um die aktuellen Arbeitsabläufe und Verfahren zu dokumentieren.

Abschluss der Änderung

Nach erfolgreicher Umsetzung erfolgt eine abschließende Kontrolle durch den Auftragnehmer. Der Auftragnehmer bestätigt schriftlich den ordnungsgemäßen Abschluss der Änderung und dokumentiert Testergebnisse oder Abnahmeprotokolle. Anschließend wird bewertet, ob die Änderung erwartungsgemäß funktioniert und keine negativen Auswirkungen auf andere Systeme, Prozesse oder Sicherheitsaspekte hat. Ein Abschlussbericht wird erstellt und in das Änderungsregister übernommen. Jede Änderung erhält eine eindeutige Referenznummer und wird im Änderungsregister mit dem Status "abgeschlossen" erfasst. Das Änderungsregister steht für interne und externe Audits jederzeit zur Verfügung.

Werkzeuge der Änderungsdokumentation- Änderungsformulare

Jeder Änderungsantrag wird über ein standardisiertes Formular eingereicht.

Dieses Formular enthält mindestens folgende Angaben:

  • Eindeutige Antrags-ID und Versionsnummer

  • Datum der Antragstellung

  • Name und Funktion des Antragstellers (Auftraggeber, Auftragnehmer oder Subunternehmer)

  • Beschreibung der beantragten Änderung

  • Geschäftlicher bzw. technischer Hintergrund und Begründung

  • Erste Risikobewertung und Einschätzung der Auswirkungen auf Betrieb, Sicherheit und Compliance

  • Vorgeschlagene Start- und Abschlussdaten für die Umsetzung

  • Felder für Unterschriften/Genehmigungen des Auftragnehmers und des Auftraggebers

Das Änderungsformular stellt sicher, dass alle relevanten Informationen erfasst werden und eine transparente Entscheidungsgrundlage vorliegt. Es bildet die Grundlage für die nachfolgende Prüfung und Dokumentation des Änderungsprozesses.

Änderungsregister

Der Auftragnehmer führt ein zentrales Änderungsregister, in dem alle Änderungsanträge lückenlos dokumentiert werden.

Das Register erfasst für jeden Antrag mindestens folgende Informationen:

  • Referenznummer des Änderungsantrags

  • Datum der Antragstellung und Datum des Abschlusses bzw. des aktuellen Bearbeitungsstatus

  • Kategorie der Änderung (z. B. Hardware, Software, Benutzerzugriff, Integration/Schnittstelle)

  • Bewertung des Einflusses auf Betrieb, Sicherheit und Geschäftsprozesse (niedrig, mittel, hoch)

  • Aktueller Status des Antrags (beantragt, in Prüfung, genehmigt, implementiert, abgeschlossen)

  • Name der verantwortlichen Personen beim Auftragnehmer und beim Auftraggeber

Das Änderungsregister dient als zentrale Übersicht über alle laufenden und abgeschlossenen Änderungen. Es ermöglicht dem Management und dem Auftraggeber, den Status der Änderungsprozesse jederzeit nachzuvollziehen und sicherzustellen, dass keine Änderung unbeachtet bleibt.

Verfahrensanforderungen

Änderungen, die den Umgang mit personenbezogenen Daten oder sicherheitsrelevanten Identifikationsdaten betreffen, unterliegen einer Datenschutz-Folgenabschätzung (DSFA) nach DSGVO/BDSG, bevor sie umgesetzt werden. Notfalländerungen sind nur in klar definierten kritischen Situationen zulässig, in denen sofortiges Handeln erforderlich ist (z. B. sicherheitsrelevante Störungen oder gravierende Systemausfälle). Solche Notfalländerungen müssen im Nachgang zeitnah dokumentiert und nachträglich einer regulären Genehmigung unterzogen werden. Der Auftragnehmer informiert den Auftraggeber umgehend über Art und Gründe der durchgeführten Notfallmaßnahmen.

Darüber hinaus wird das Änderungsregister vierteljährlich gemeinsam mit dem Facility-Management-Team überprüft, um die Aktualität der Einträge sicherzustellen und potenzielle Verbesserungen im Änderungsprozess zu identifizieren. Alle Änderungsdokumente, einschließlich Formulare, Prüfprotokolle und Abschlussberichte, werden gemäß den vertraglichen und gesetzlichen Vorgaben revisionssicher archiviert und mindestens sieben Jahre lang aufbewahrt. So wird sichergestellt, dass alle Änderungen auch langfristig nachvollziehbar bleiben und den gesetzlichen Nachweispflichten genüge getan wird.

Erklärung

Der Unterzeichner bestätigt hiermit, dass der Auftragnehmer ein vollständiges Änderungsmanagement für das Zugangskontrollsystem bereitstellt. Dies umfasst die Einführung und Pflege standardisierter Änderungsformulare sowie die Führung eines zentralen Änderungsregisters. Alle Änderungen werden gemäß den beschriebenen Prozessen kontrolliert, nachvollziehbar dokumentiert und ausschließlich nach schriftlicher Genehmigung durch den Auftraggeber umgesetzt. Die Organisation des Änderungsmanagements entspricht den vertraglichen Vorgaben sowie den Standards des Facility-Managements und der Sicherheitsverwaltung.

Ort, Datum: ___________________

Unterschrift des bevollmächtigten Vertreters des Auftragnehmers

Name: __________________________

Position: ________________________

Firma (Stempel): ___________________