Leistungsphase 5 der HOAI

In Leistungsphase 5 (Ausführungsplanung) nach HOAI ist das Zutrittskontrollsystem so durchzuplanen, dass alle für die Ausführung notwendigen Unterlagen vollständig und ausführungsreif vorliegen. Dies umfasst detaillierte Pläne, Schemata, Kabellisten, Türlisten, Geräte- und Komponentenlisten sowie Funktionsbeschreibungen. Zuvor erfolgte Planungsschritte (Vor- und Entwurfsplanung) haben das Grobkonzept geliefert – in LPH 5 werden nun sämtliche Details ausgearbeitet, inkl. Schnittstellenkoordination mit anderen Gewerken.

• Risikobeurteilung und Schutzkonzept: Bereits vor oder zu Beginn der Ausführungsplanung sollte eine Gefährdungs- und Risikoanalyse für die unterschiedlichen Bereiche durchgeführt worden sein. Daraus ergibt sich der Bedarf an Zutrittskontrolle sowie der erforderliche Sicherheitsgrad je Bereich/Tür. Zum Beispiel werden Hochsicherheitsbereiche (IT-Räume, Labors mit Gefahrenstoffen) höhere Schutzgrade und stärkere Zugangsbeschränkungen erfordern als allgemeine Bürozonen. Diese Analyseergebnisse müssen als Planungsprämisse vorliegen und in der LPH5-Dokumentation berücksichtigt sein (z. B. durch Angabe des Schutzziels pro Tür oder Zone).

• Zonierung und Berechtigungsstruktur: Aus der Risikoanalyse folgt ein Zonenkonzept, das alle relevanten Schutzbereiche und Sicherheitszonen definiert. Die Ausführungsplanung muss dieses Zonenkonzept klar darstellen, etwa in Übersichtsplänen oder Raumplänen, in denen unterschiedliche Zonen (z. B. Öffentlich, Intern, Kritisch, Hochsicherheitsbereich) farblich markiert sind. Jede kontrollierte Tür ist dabei einer Zone oder der Grenze zwischen zwei Zonen zugeordnet. Übergänge zwischen Zonen (z. B. vom öffentlich zugänglichen Foyer in den intern gesicherten Bereich, oder vom internen Bereich in einen Hochsicherheitsbereich wie Labor) stellen die Orte dar, an denen Zutrittskontrolle installiert wird. Die Planung muss nachvollziehbar machen, dass kein unautorisierter Zugang an diesen Schnittstellen möglich ist, aber berechtigte Personen reibungslos passieren können. Dazu gehört auch, dass Schutzbereichsdefinitionen mit dem Betreiber abgestimmt sind (wer darf in welche Zone?) und im System parametrierbar angelegt werden.

• Mechanisches vs. elektronisches Schließkonzept: Moderne Zutrittssysteme kombinieren mechanische Schließanlagen (z. B. Schlüssel für Notöffnungen, Offline-Schlösser) mit elektronischer Identifikation (Kartenleser, PIN-Tastaturen, Biometrie). In der Planung ist darzustellen, wie die mechanischen Komponenten (z. B. mechanische Profilzylinder in den Türen als Backup) mit dem elektronischen System zusammenwirken. Es sollte ein Schließplan existieren, der sowohl die mechanischen Schließhierarchien (Hauptschlüssel, Bereichsschlüssel etc.) als auch die elektronischen Berechtigungen abbildet. Wichtig ist, dass mechanische Notschlüssel überall dort vorgesehen sind, wo sie aus Sicherheitsgründen notwendig sind (z. B. hinterlegte Generalschlüssel für die Feuerwehr im Feuerwehrschlüsseldepot), und dass diese nicht in Konflikt mit der elektronischen Steuerung stehen. Die Prüfanweisung stellt sicher, dass der mechanische Notbetrieb durchdacht ist (z. B. bei Stromausfall oder Systemausfall Türen mit Schlüssel begehbar, sofern sicherheitstechnisch zulässig). Gleichzeitig soll vermieden werden, dass durch unkoordinierte Doppelstrukturen (Schlüssel vs. Karte) neue Sicherheitslücken entstehen – etwa ein Bereich elektronisch sehr gut gesichert ist, aber über einen Generalschlüssel trivial zugänglich wäre. Die Planung muss solche Aspekte ausgewogen behandeln.

• Ausführungsunterlagen Vollständigkeit: LPH 5 verlangt maßstäbliche Ausführungspläne (Grundrisse, Schnitte) mit eingetragenen Geräten (Leser an Türen, Türöffner, Verkabelungspunkte etc.), Stücklisten aller Komponenten, Stromlauf- bzw. Verkabelungspläne (z. B. welche Tür an welche Zutrittskontroll-Steuerzentrale angeschlossen ist), und Funktionsbeschreibungen für Sonderfunktionen. Zudem muss eine Türliste erstellt sein, die jede Tür mit relevanten Attributen aufführt: Standort, Bauart (Normal-/Fluchttür, Feuerwiderstandsklasse), Zugehörigkeit zu Sicherheitszone, vorgesehene Zutrittskomponenten (Leser, Schloss/Öffner, Türkontakt, ggf. Türantrieb), Ansteuerlogik (z. B. permanente Auf-Zeiten, Doppeltür, Schleuse). Diese Türliste dient als zentrales Dokument für die Prüfung, ob alle notwendigen Türen erfasst und passend ausgerüstet sind.

Eine klare Definition der Schutzbereiche ist die Grundlage jeder Zutrittskontrollplanung. In der Ausführungsplanung muss erkennbar sein, wie das Gebäude in Zonen mit unterschiedlichem Sicherheitsniveau unterteilt ist.

• Öffentliche Zone: z. B. Empfangsfoyer oder Besuchereingänge, die tagsüber für Besucher offenstehen. Hier ist häufig noch keine elektronische Zugangskontrolle wirksam, sondern organisatorische Kontrolle (Empfangspersonal). Außerhalb der Geschäftszeiten könnten diese Bereiche aber alarmgesichert und verschlossen sein.

• Interner Bereich: für Mitarbeiter zugängliche Zonen wie Büros, Kantine, allgemeine Verkehrsflächen innerhalb der Gebäude. Hier wird i. d. R. eine Zugangskontrolle eingesetzt, um unautorisierte externe Personen auszuschließen (z. B. Zugang nur mit Mitarbeiterausweis).

• Sicherheitszone(n): besonders schützenswerte Bereiche, z. B. Entwicklungs- und Laborbereiche, Serverräume (IT), Bereiche mit wertvollen Einrichtungen oder sensiblen Daten, das Hochregallager (Warenwerte) oder produktionsnahe Bereiche, wo nur Befugte hinein dürfen (Arbeitssicherheit, Know-how-Schutz). Diese Zonen haben oft zusätzliche Barrieren. Möglicherweise sind hier auch Vereinzelungsanlagen (z. B. Drehkreuze, Schleusen) installiert, um den Zugang einzeln zu kontrollieren.

• Besondere Zonen: Darunter fallen Bereiche wie Gefahrstofflager (Chemikalien, Gase) oder bspw. Sprinklerzentralen, elektrische Betriebsräume etc. Für solche Bereiche können neben der regulären Zutrittskontrolle auch behördliche Auflagen gelten (z. B. Zugang nur für unterwiesenes Fachpersonal). Diese Zonen müssen in der Planung klar ausgewiesen sein, und eventuell müssen hier zusätzliche Sicherungsmaßnahmen vorgesehen werden (z. B. Zwei-Personen-Zutritt, Spezialschlösser, Protokollierung jeder Öffnung an die Leitstelle).

Das Zonenkonzept sollte in der Ausführungsplanung dokumentiert sein, etwa durch einen Übersichtsplan „Sicherheitszonen“ oder in der Leistungsbeschreibung. Jede Tür mit Zutrittskontrolle ist einem Schutzbereich zugeordnet. Die Prüfanweisung erwartet, dass für jede dieser Türen hinterfragt wird: Ist die Zuordnung zur richtigen Zone erfolgt? Entspricht das Schutzniveau der Tür dem Schutzbedarf der dahinterliegenden Zone? Beispielsweise dürfen Türen, die einen Hochsicherheitsbereich abgrenzen, nicht mit einfachen Leserprofilen und Schlössern ausgestattet sein, die nur für niedriges Sicherheitsniveau geeignet sind. Hier greift auch die Vorgabe der Norm EN 60839, einen entsprechenden Sicherheitsgrad pro Zutrittspunkt festzulegen. Das höchste Schutzniveau einer Anlage bestimmt zudem die Anforderungen an übergeordnete Anlagenteile (z. B. die zentrale Steuerung muss den höchsten auftretenden Sicherheitsgrad erfüllen).

Sind in den Planunterlagen alle sicherheitskritischen Räume/Bereiche eindeutig benannt und als solche erkannt? Stimmen die geplanten Zutrittskontrollpunkte (Türpositionen mit Lesern etc.) mit den Übergängen zwischen diesen Bereichen überein (kein „Schlupfloch“ übersehen)? Sind ggf. Alternativwege bedacht (z. B. Nebeneingänge, Türen über Innenhöfe etc., die ungesichert wären)? – All dies ist zu verifizieren. Die Prüfanweisung umfasst daher einen Abgleich der Schutzbereichsdefinition mit der technischen Planung: Jede definierte Sicherheitszone muss durch passende Zutrittskontrollmaßnahmen lückenlos geschützt sein.

In diesem Abschnitt wird die Plausibilität der vorgesehenen Komponenten bewertet: Sind die richtigen Gerätetypen und Installationen an jeder Stelle eingeplant, um die geforderte Funktion zu erfüllen? Ein Zutrittskontrollsystem besteht typischerweise aus folgenden Komponenten, die in der Planung detailliert betrachtet werden:

Wie bereits erwähnt, kommen mechanische und elektronische Schließtechnik oft kombiniert zum Einsatz.

• Mechanische Schließanlage: Sie dient als Rückfallebene und für Bereiche, die nicht elektronisch gesichert werden (z. B. manche Innentüren, Schränke oder in absoluten Notfällen). Im Rahmen der Ausführungsplanung ist zu prüfen, ob für jede Zugangstür mit Elektronik auch ein mechanischer Schließzylinder vorgesehen (falls notwendig) und passend im Schließplan integriert ist. Beispielsweise könnten Außentüren mechanische Profilzylinder mit Panikfunktion erhalten, damit im Notfall mit einem Generalschlüssel geöffnet werden kann, selbst wenn das elektronische System versagt.

• Konfliktfreiheit: Wenn eine Tür elektronisch verriegelt ist, darf der mechanische Schlüssel diese Verriegelung nicht blockieren oder beschädigen (hier sind geeignete Schlosskonstruktionen wie elektrische Panikschlösser erforderlich, die sowohl mechanisch als auch elektrisch bedient werden können).

• Elektronische Zutrittskomponenten: Darunter fallen alle Lesegeräte (Kartenleser, PIN-Code-Tastaturen, biometrische Scanner etc.), Türaktuatoren (elektrische Türöffner, Motorschlösser, Magnetschlösser) sowie Sensoren (Türkontakte zur Zustandsüberwachung, Riegelkontakte, ggf. Drehkreuzsensorik) und Steuergeräte (Controller, I/O-Module, Zutrittsmanager). Die Auswahl dieser Komponenten muss den relevanten Normen entsprechen und zum Einsatzzweck passen. Für die Prüfung bedeutet das: Zum Beispiel müssen Leser an Außentüren wetterfest (Schutzart IP65 oder höher) und vandalismusgeschützt sein, während Leser in Büroumgebungen evtl. kleiner und designorientierter ausfallen können. Biometrische Systeme (z. B. Fingerprint, Iris-Scanner) sind nur dort sinnvoll und zulässig, wo sie datenschutzrechtlich und praktisch vertretbar sind (in Deutschland oft nur auf freiwilliger Basis der Mitarbeiter einsetzbar, sonst problematisch). Falls in sensiblen Bereichen Biometrie geplant ist, muss geprüft werden, ob die IT-Sicherheitsrichtlinien und der Datenschutz dies erlauben (z. B. Einsatz nur mit spezieller Genehmigung und entsprechendem Datenschutzkonzept).

• Identifikationsmedien: In der Regel verwenden heutige Zutrittssysteme kontaktlose RFID-Ausweise (Transponderkarten oder -anhänger). Die Planung sollte die Technologie der Ausweise festlegen, da dies sicherheitstechnisch relevant ist. Ältere 125 kHz-Systeme (z. B. EM4100) gelten als unsicher (kopierbar); zeitgemäß sind HF-Systeme auf 13,56 MHz (z. B. MIFARE DESFire EV2/EV3, LEGIC advant), die kryptographische Verfahren nutzen. Die Prüfanweisung sieht vor zu kontrollieren, dass kein überholtes, unsicheres Verfahren eingesetzt wird (z. B. keine MIFARE Classic für sicherheitskritische Anwendungen, da diese leicht zu klonen sind). Zudem ist zu beachten, ob weitere Medien geplant sind: etwa UHF-Transponder für die Zufahrtskontrolle (größere Reichweite an Toren) oder die Integration eines betrieblichen Ausweises (z. B. Mitarbeiterkarte, die gleichzeitig für Zeiterfassung und Kantine dient). Falls der Ausweis multifunktional ist, sind die Schnittstellen zu anderen Systemen (Zeiterfassung, Parkplatzsystem etc.) mit zu betrachten – siehe Integration.

Jeder Zutrittspunkt (Tür, Tor, Schranke) erfordert eine passende Ausstattung an Leser- und Türhardware. Die Ausführungsplanung muss hier detailliert pro Tür angeben, welche Hardware eingesetzt wird, und diese nach gültigen Normen auswählen.

• Karteleser / Bediengeräte: Art und Montageort des Lesers. Ist er auf geeigneter Höhe (ca. 1,1 m für normale Leser, barrierefrei evtl. niedriger)? Befindet er sich vor der Tür (typisch) und nur auf der ungeschützten Seite, oder beidseitig (für beidrichtige Kontrolle)? Innenleser sind oft nicht nötig, wenn ein Türdrücker für freien Ausgang vorhanden ist – außer es handelt sich um bereichsweise Schleusen oder besondere Bereiche, wo Ausgänge ebenfalls kontrolliert werden. Gegebenenfalls sind zusätzliche Bedienelemente eingeplant: z. B. Taster zum Anfordern der Türöffnung (in Schleusen oder bei Automatiktüren), Fluchtwegterminals (die im Notfall den Türöffner übersteuern, siehe EltVTR), oder Sprechstellen falls eine Tür an eine Pforte gekoppelt ist. Alle diese Elemente sollten in den Türlisten aufgeführt sein.

• Elektrische Türöffner / Schlösser: Hier ist auf die Eignung für die Türart zu achten. Bei normalen Innentüren kann ein elektrischer Türöffner in der Zarge genügen. Für Außentüren und höhere Sicherheit werden oft Motorschlösser oder Self-Locking-Panikschlösser verwendet, die automatisch verriegeln und im Verbund mit Panikbeschlägen funktionieren. Diese Schlösser müssen mit der Zutrittssteuerung ansteuerbar sein (freigeben) und ggf. Rückmeldung über Riegelstellung geben. Magnetschlösser (Magnete) werden manchmal an Türen ohne Panikfunktion eingesetzt – sie bieten schnelles Freigeben (stromlos offen, gut für Fluchttüren), erfordern aber eine mechanische Absicherung gegen Aufhebeln (ggf. Kombination mit Riegelschloss). Die Planung muss bei jeder Türlösung die Brandschutz- und Fluchtweganforderungen einhalten: z. B. darf ein E-Öffner an einer Brandschutztür nicht den Selbstschluss behindern (es gibt spezielle Türöffner mit Brandschutzzulassung), ein Motorschloss in Paniktüren muss EN 179/1125 entsprechen, Magnete an Fluchttüren nur mit EltVTR-konformer Steuerung etc. Hierzu ist ein Abgleich mit den Türenlisten und den Architektenplänen nötig (wo sind Rauchschutz- oder Feuerschutztüren? Diese müssen in der Zutrittsplanung entsprechend gekennzeichnet sein). Im Zweifel fordert die Prüfanweisung, Nachweise für die vorgesehenen Produkte zu sehen (Zertifikate DIN EN 14846 für Elektroschlösser, EN 13637 für Fluchttüranlagen, etc.).

• Türzustandsüberwachung: Jede kontrollierte Tür sollte idealerweise mit einem Türkontakt ausgestattet sein, der den Zustand offen/geschlossen meldet. Dies erlaubt es, unautorisierte Öffnungen (Aufhebeln, Stehenlassen der Tür) zu detektieren und ggf. Alarm auszulösen. Die Planung muss diese Sensoren vorsehen – meist als Teil des Schlosses (Riegelkontakt) oder separat im Türrahmen. Die Prüfliste enthält daher den Punkt, ob Türkontakte für Überwachung überall eingeplant sind, wo es sinnvoll ist (insbesondere an Außentüren, Hochsicherheits-Innentüren und Türen, die an die Einbruchmeldeanlage gekoppelt sind).

• Steuergeräte und Verkabelung: Die Zutrittskontrollsteuerung besteht aus Zentralen oder verteilten Controllern, an die die Türleser und -aktuatoren angeschlossen sind. In LPH 5 muss die Platzierung dieser Steuergeräte (meist in Technikräumen, Elektroverteilern oder IT-Racks) festgelegt sein. Prüfkriterium ist hier: Sind ausreichend Steuerkanäle für alle Türen vorgesehen (ein Controller kann z. B. X Türen steuern, ist die Anzahl ausreichend, wurden Reservekapazitäten bedacht)? Sind die Wege für Kabeltrassen festgelegt und mit der Elektroplanung koordiniert (insb. Durchbrüche, Leerrohre, Platz in Kabelkanälen)? Die MLAR-Vorgaben zur Brandabschottung und Verlegung (z. B. Trennung von hoch- und schwachstrom) müssen berücksichtigt werden. Weiterhin relevant: Wurde an Netzwerkanbindung gedacht? Moderne Zutrittssysteme hängen oft im IP-Netzwerk (für die Kommunikation der Controller mit der Management-Software). Hier ist zu prüfen, ob entsprechende Datenleitungen vorgesehen sind, Anschlusspunkte an Switches vorhanden sind und die IT-Security (z. B. VLAN-Zuordnung, Firewall-Regeln) mitbedacht ist.

• Energieversorgung: Das gesamte System benötigt Stromversorgung, die ausfallsicher gestaltet sein muss. In den Plänen sollte erkennbar sein, wie die Versorgung erfolgt – idealerweise über separat abgesicherte Stromkreise für Sicherheitstechnik und mit einer USV (Unterbrechungsfreie Stromversorgung) oder Notstrom-Anbindung, damit im Falle eines Stromausfalls die Zutrittskontrolle weiter funktioniert (zumindest so lange, bis definierte Notmaßnahmen greifen). Eine Pufferung der Energie ist wichtig, um sowohl die Zentrale als auch Türkomponenten (z. B. Magnetschlösser, die sonst sofort öffnen würden) für eine gewisse Zeit aufrechtzuerhalten. DIN EN 60839-11-1 stellt Anforderungen an die Energieversorgung je nach Sicherheitsgrad (z. B. Mindestüberbrückungszeiten). Die Prüfanweisung fordert den Nachweis, dass diese berücksichtigt sind. Konkret: Wurde die Akkukapazität dimensioniert? Ist eine Meldung bei Stromausfall vorgesehen (Alarmweiterleitung)? Sind die Netzteile der Komponenten ausreichend dimensioniert und in geeigneter Umgebung (Klima, EMV) untergebracht?

• Anzeige- und Bedienelemente: Oft vergessen, aber wichtig: an manchen Türen oder in der Leitstelle sind Anzeigeelemente erforderlich, z. B. LEDs an der Tür (rot/grün) zur Anzeige „gesperrt/freigegeben“. Nach EltVTR sind solche Anzeigen an Fluchttüren Pflicht. Ebenso können akustische Signalgeber vorgesehen sein (Summer, wenn Tür offen gelassen wird oder bei Alarm). Die Planung sollte alle diese Elemente enthalten. Der Prüfer kontrolliert, ob in den Türenlisten oder Schaltplänen solche Anzeigen für die relevanten Türen auftauchen. Wenn etwa Fluchttüren elektronisch verriegelt sind, muss neben dem grünen Notfreigabe-Taster auch eine optische Anzeige vorhanden sein. Für den Benutzerkomfort ist außerdem relevant, dass z. B. an Drehtüren mit Motor eventuell Türantriebsknöpfe oder Präsenzmelder eingeplant wurden, damit die Tür nach Freigabe automatisch öffnet (besonders in Behindertengerechten Bereichen oder bei schweren Türen).

Es prüft dieser Abschnitt: Sind alle nötigen Komponenten vollständig und richtig ausgewählt? Und erfüllen sie die einschlägigen Normen? (Zertifizierungen wie CE, DIN, VdS). Wo Mängel auffallen – z. B. ein geplanter einfacher Türöffner an einer Brandschutztür ohne Rückmeldung – wird in der Prüfliste ein Korrekturpunkt vermerkt.

Ein Schwerpunkt der Prüfung liegt auf der Ausfallsicherheit des Systems und dem Konzept für Notfälle. Zutrittskontrollsysteme dürfen im Störungsfall nicht dazu führen, dass Personen eingeschlossen werden oder Sicherheitsbereiche unkontrolliert offenstehen.

• Fail-Safe vs. Fail-Secure: Bei jeder Tür mit elektrischer Verriegelung muss festgelegt sein, wie sie sich bei Stromausfall oder Systemausfall verhält. Allgemein gilt: Türen in Rettungswegen müssen fail-safe sein, d. h. im Zweifelsfall offen (entriegelt) sein, damit niemand im Gebäude eingeschlossen bleibt. Dies wird oft durch das Ruhestromprinzip erreicht: solange Strom anliegt, verriegelt; fällt der Strom weg, entriegelt der Mechanismus automatisch (z. B. Magnetschloss). Türen, die nicht als Fluchtweg dienen (z. B. Zugang zu einem Sicherheitslager, wo im Brandfall niemand eingeschlossen sein sollte, aber Diebstahlrisiko besteht), können ggf. fail-secure ausgeführt sein (Strom weg -> bleibt zu). Die Planung muss für jede Tür das gewählte Fail-Verhalten dokumentieren. Üblicherweise ist das Teil der Türliste oder der Funktionsbeschreibung. Die Prüfanweisung verlangt hier einen Abgleich: Entspricht die Fail-Safe/Fail-Secure-Auslegung den Vorschriften und dem Sicherheitskonzept? Insbesondere: Alle Notausgänge und Fluchttüren sind auf stromlos offen zu prüfen. Wo dies nicht eindeutig ist, muss der Planer Klarheit schaffen (ggf. durch Nachbesserung).

• Notfall-Entriegelung (EltVTR-Konzept): Für elektrisch verriegelte Fluchttüren fordern die Landesbauordnungen i. V. m. EltVTR ein detailliertes Konzept: Jede solche Tür benötigt einen Not-Taster direkt an der Tür (meist als grüner Kasten mit rotem Knopf, beschriftet „Notausgang drücken“ o. ä.), der im Gefahrfall die Tür sofort entriegelt. Die Planung sollte entsprechende Notauslöseeinrichtungen vorsehen, inklusive deren Verkabelung und Stromversorgung (oft werden diese Taster direkt an die Türsteuerung angeschlossen, evtl. mit Unterbrechung der Verriegelungsspannung). Auch muss das System gewährleisten, dass ein einzelner Fehler (z. B. Kurzschluss, Defekt des Steuergeräts) die Entriegelung nicht verhindert – d. h. Redundanzen oder Sicherheitsausgänge sind vorgesehen. Hierfür gibt es oftmals zertifizierte Fluchttürsteuerungen. Der Prüfer achtet darauf, ob für solche Türen entsprechende Steuergeräte mit Zulassung (nach EltVTR / DIN EN 13637) eingesetzt werden. Wiederverriegelung: Nach EltVTR darf eine einmal manuell freigegebene Tür nur vor Ort manuell wieder verriegelt werden. Plant der GU z. B. eine automatische Wiederverriegelung nach einiger Zeit, wäre das unzulässig. Solche Funktionsabläufe sind in der Funktionsbeschreibung zu prüfen.

• Panikbeschläge und Notausgänge: Mechanisch muss jede Notausgangstür mit einem geeigneten Beschlag ausgestattet sein: entweder Notausgangsverschluss nach EN 179 (i. d. R. ein Drücker mit Beschriftung, für vertraute Nutzer) oder Paniktürverschluss nach EN 1125 (Querstange/Panikstange, für öffentliche Bereiche). Die Planung (in Abstimmung mit dem Architekten/Türplaner) muss diese Ausstattung ausweisen. Der Prüfer kontrolliert, ob alle Türen auf Flucht- und Rettungswegen entsprechend deklariert sind und ob die Zutrittskontrolllösung damit harmoniert. Beispielsweise: Eine Tür mit Panikstange, die elektrisch verriegelt ist, muss ein Panikschloss haben, das im Notfall durch die Stange mechanisch aufgeht, egal ob verriegelt oder nicht. Wenn der Planer hier ein normales Schloss mit E-Öffner und separate Magnetverriegelung vorsieht, wäre zu hinterfragen, ob das den Panikanforderungen genügt.

• Brandszenario und Entriegelung: Im Brandfall müssen viele Türen automatisch freigegeben werden. Prüfpunkte: Ist die Schnittstelle zur Brandmeldeanlage (BMA) vorgesehen, sodass ein Feueralarm ein zentrales Entriegeln aller relevanten Türen auslöst? In der Planung könnte dies z. B. durch Einbindung eines Alarmrelais der BMA in die Zutrittssteuerzentrale realisiert sein (ein Alarmkontakt, der alle Türrelais öffnet) oder durch direkte Ansteuerung der Fluchttürsteuerungen. Die genaue Umsetzung sollte beschrieben sein. Wichtig ist: Auch bei Auslösung durch die BMA darf es zu keiner Verzögerung kommen – die Türen sind unverzüglich freizugeben. Zudem müssen auf einem Feuerwehrplan oder in der Feuerwehrbedienmatrix alle Türen, die verriegelt sind, aufgeführt sein, damit Einsatzkräfte wissen, welche Zugänge kontrolliert werden. Die Prüfanweisung sieht vor, all diese Punkte mit der Brandschutzplanung abzugleichen. Brandschutztüren: Darüber hinaus wird geprüft, ob im Brandfall die Türen ordnungsgemäß schließen (Freilauftürschließer, Feststellanlagen etc., falls relevant). Ein Zutrittssystem darf das Schließen einer Brandschutztür bei Alarm nicht behindern; etwaige Türfeststellanlagen müssen an die BMA gekoppelt sein gemäß DIN 14677 und bauaufsichtlicher Zulassung.

• Redundante Auslegung: Ein industrielles Zutrittssystem mit hoher Sicherheitsstufe sollte Redundanzen aufweisen, um auch bei Teilausfällen funktionsfähig zu bleiben. Das betrifft z. B. zentrale Steuerungsrechner (oft gibt es einen Primär-Server und einen Backup-Server für die Zutrittskontrollsoftware), Netzwerk-Verbindungen (ggf. getrennte Ringe oder Notfallbetrieb offline) und Stromversorgung (USV, Batterien, evtl. Dieselgenerator in der Anlage). Die Planung sollte skizzieren, was bei Ausfall eines Komponenten passiert. Ein klassisches Beispiel: Fällt die Verbindung zum Server aus, funktionieren dann die Türen im Standalone-Betrieb weiter? (Viele Systeme speichern Berechtigungen lokal in den Türcontrollern, sodass für einen gewissen Zeitraum Zutritt weiter möglich ist.) Der Prüfer verlangt Angaben zur Ausfallsicherheit der Software (z. B. RAID für Server, Backup-Server, automatische Umschaltung) und zur Maximal-Ausfallzeit. Gibt es lokale Pufferspeicher an den Türen, wie viele Ereignisse können die Controller offline puffern? Solche Detailfragen sind zwar tiefgehend, aber im Sinne einer habilitationsgleichen Durchdringung relevant. Mindestens sollte im Planungsbericht stehen, welche Maßnahmen der GU vorsieht, um einen ungeplanten Systemausfall abzufangen (Notfallpläne, manuelle Prozeduren etc.). Dazu gehört auch: Wurde eine mechanische Notschließung für den umgekehrten Fall bedacht – nämlich wenn das System ausfällt und Türen fail-safe offen sind, wie wird das Gelände dann gesichert gegen Zutritt? (Beispielsweise Einsatz von Wachdienst, manuelles Abschließen bestimmter Türen, etc.) Die Prüfanweisung zielt darauf, dass ein ganzheitliches Sicherheitskonzept erkennbar ist, das technische und organisatorische Vorkehrungen für alle Notfälle kombiniert.

Es stellt dieser Prüfungspunkt sicher, dass im Notfall niemand gefährdet wird (alle Fluchtmöglichkeiten offen, keine Personeneinschluss) und die Sicherheit dennoch weitgehend aufrechterhalten bleibt (unbefugte sollen nicht leichtes Spiel haben, nur weil der Strom ausfällt). Die Abnahme von LPH 5 wird hier nur erfolgen, wenn eindeutig dokumentiert ist, wie diese Balance gehalten wird.

Ein Zutrittskontrollsystem steht selten für sich allein – in einem komplexen Bauwerk ist es mit diversen anderen technischen Gewerken verknüpft.

• Einbruchmeldeanlage (EMA): Oft sind Zutrittskontrolle und Einbruchmeldetechnik eng gekoppelt. Beispielsweise können Türen, die über das Zutrittssystem geöffnet werden, gleichzeitig als Meldepunkte in der EMA dienen (Alarm bei gewaltsamem Öffnen). In der Planung ist zu überprüfen, ob an den Türen entsprechende Alarmkontakte vorgesehen und mit der EMA verknüpft sind. Weiterhin ist relevant: Wie wird mit scharfgeschalteten Bereichen umgegangen? Falls nachts ein Bereich alarmgesichert ist, sollte entweder die Zutrittskontrolle verhindern, dass jemand unbefugt hineinkommt (was sie per se tut), oder aber im Falle einer berechtigten Öffnung (z. B. Wachdienst betritt mit Karte) die EMA automatisch unscharf schalten, um Fehlalarme zu vermeiden. Solche Abläufe (sogenannte Zwangsläufigkeit zwischen Zutritt und Alarmanlage) müssen im Konzept bedacht sein. Der Prüfer sucht nach Hinweisen, dass die Schnittstelle EMA–Zutritt vorhanden ist (z. B. gemeinsame Türkontakte, definierte Logik „Zutritt setzt Alarm unscharf“ oder Alarmanlage blockiert Zutrittsberechtigung bei scharf). Ebenso sollte klar sein, wie im Alarmfall Zutrittsfunktionen reagieren – oft werden bei Einbruchalarm gewisse Türen blockiert oder nur noch für Sicherheitskräfte freigegeben. Der Datenaustausch zwischen den Systemen (über I/O oder über Netzwerkprotokoll) ist festzulegen.

• Brandmelde- und Gefahrenmeldeanlagen: Wie im vorherigen Abschnitt bereits thematisiert, muss das Zutrittskontrollsystem in das Brandschutzkonzept integriert sein. Konkret: Bei Feueralarm -> Entriegelung definierter Türen (Fluchtwege, Schleusen). Die Planungsunterlagen sollten hierfür ein Steuerschema enthalten, ggf. in der Form einer Tabelle „Reaktion der Türen auf Alarm“. Zudem könnte eine Rückmeldung der Türzustände an die Brandmeldezentrale vorgesehen sein (manche Brandschutzkonzepte wollen Rückmeldung „Tür offen“ erhalten, um z. B. Rauchabzugsklappen zu steuern). Falls das Gebäude über eine Evakuierungssteuerung verfügt (z. B. Zeitschloss, das nach X Sekunden alle Türen öffnet, um Evakuierung zu erleichtern), muss diese mit dem Zutrittssystem abgestimmt sein. Die Notstromversorgung (im Brandfall kann der Strom ausfallen) wurde oben erwähnt – die Integration hier bedeutet, dass z. B. Türen auch bei Ausfall der Hauptversorgung noch so lange offen bleiben, bis alle Personen draußen sind (ggf. durch USV für Türöffner für 30 Minuten etc.). Gefahrenmeldeanlagen im weiteren Sinne (z. B. Gasalarm-Anlagen, Notfallkommunikation) könnten ebenfalls Berührungspunkte haben, etwa dass bei bestimmten Gefahrensignalen Türen verriegelt bleiben (in chemischen Anlagen, um Ausbreitung von Gefahr zu verhindern) – in unserem Fall wahrscheinlich weniger relevant, außer es gibt spezielle Laborvorkehrungen.

• Gebäudeautomation (GA/BMS): Das Facility-Management könnte wünschen, dass das Zutrittssystem in die übergeordnete Gebäudeleittechnik (GLT) integriert wird. Möglich ist z. B., Zutrittsereignisse oder Türzustände auf der GA-Oberfläche anzuzeigen. Oder die GA nutzt Informationen des Zutrittssystems, um z. B. HLK-Anlagen zu steuern (Betritt niemand einen Bereich, bleibt die Lüftung im Sparmodus, etc.). Solche Integrationen sind nicht zwingend, aber modern: z. B. FM-Connect erwähnt Schnittstellen zu Besuchermanagement und Gebäudeautomation als Trends. In der Planung sollte erkennbar sein, ob und wie die GLT angebunden wird – z. B. via BACnet-Schnittstelle des Zutrittssystems oder via OPC. Unsere Prüfanweisung fragt gezielt, ob diese Schnittstellen definiert sind. Falls nein, wird empfohlen zu klären, ob sie benötigt werden (ggf. im Bauherren-Gespräch).

• Zeiterfassung und Besuchermanagement: Große Industriebauten nutzen häufig eine elektronische Zeiterfassung für Mitarbeiter. Oft sind Zutrittskontrolle und Zeitwirtschaft gekoppelt – etwa verwenden beide dasselbe Ausweismedium, und die Personalzeitsoftware erhält Einstempel-Daten vom Zutrittssystem (z. B. wann Mitarbeiter das Werk betreten/verlassen). Umgekehrt kann es Terminal an der Pforte geben, die als Zutrittsleser und Zeiterfassungsterminal fungieren. Die Planung sollte auf solche Multifunktionsgeräte eingehen und sicherstellen, dass sie passend positioniert sind (z. B. Drehsperren mit integriertem Leser und Zeiterfassungsterminal). Besuchermanagement: Hier geht es darum, wie externe Besucher in das System integriert werden. Gibt es eine Lösung, bei der Besucherausweise an der Pforte erstellt werden (ggf. mit Foto, temporärer Gültigkeit)? FM-Connect-Anforderungen nennen z. B. „Next-Level Besuchermanagement“ und Selbstanmeldung, was darauf hinweist, dass moderne Systeme Self-Service-Terminals oder Web-Anmeldung für Besucher anbieten. Unsere Prüfung beschränkt sich darauf, ob im Plan vorgesehen ist, wie Besucher Zutritt erhalten (z. B. durch temporäre Karten, die an definierten Lesern funktionieren, eventuell mit Begleitperson-Erfordernis für gewisse Zonen). Wenn nichts dergleichen dokumentiert ist, aber der Bauherr solche Funktionen wünscht, wäre dies ein Planungsdefizit. Ggf. muss ein Konzept zur Besucherverwaltung eingefordert werden.

• IT-Netzwerk und Systemintegration: Das Zutrittskontrollsystem selbst ist heute IT-gestützt – mit Servern, Software und Netzwerkanbindung. Die Integration in die IT-Infrastruktur muss geplant sein in Bezug auf Netzwerksicherheit. Prüfpunkte sind: Ist ein eigenes Sicherheitsnetz (VLAN) vorgesehen? Werden Daten verschlüsselt übertragen zwischen Lesern/Controllern und Server? Entspricht die IT-Integration den IT-Sicherheitsrichtlinien des Unternehmens (z. B. Passwortvorgaben, regelmäßige Updates der Server, Härtung des Systems)? Gerade wenn Cloud-Integration im Raum steht (Hersteller bieten z. T. Cloud-Zutrittssysteme an), müsste dies datenschutzkonform ausgestaltet sein. In unserem industriellen Neubau ist wahrscheinlich ein On-Premise-System geplant (hausinterner Server) – das muss dann in den Serverraum eingeplant und redundant ausgelegt werden. Active Directory-Anbindung: In vielen Firmen werden Mitarbeiterdaten aus dem AD oder HR-System direkt übernommen, um die Zutrittsberechtigungen zu verwalten. Die Planung sollte nennen, ob eine solche Schnittstelle implementiert wird (oft sinnvoll, damit z. B. bei Ausscheiden eines Mitarbeiters dessen Zutrittsberechtigung automatisch erlischt).

• Schleusen und Vereinzelungsanlagen: Falls im Konzept Schleusen vorgesehen sind (z. B. Personenschleusen, bei denen immer nur eine Tür offen sein darf, oder Fahrzeugschleusen an der Zufahrt), muss die Zutrittskontrollsteuerung dies logisch abbilden. Das heißt, zwei Türen sind miteinander verriegelt – erst wenn Tür A geschlossen ist, kann Tür B geöffnet werden. Die Planung muss solche Abläufe z. B. in Form von Funktionsdiagrammen oder Wahrheitstabellen beschreiben. Der Prüfer kontrolliert, ob bei jeder als Schleuse gedachten Kombination das Steuerungskonzept ausgearbeitet ist. Ggf. sind zusätzliche Sensoren (Präsenzmelder) vorgesehen, um sicherzustellen, dass keine Person mit reingeht (mechatronische Vereinzelung). Fahrzeugschleusen (zwei Tore hintereinander) benötigen evtl. Ampeln oder Signalleuchten – sind diese geplant? All das fällt in Integration mit dem Gewerk Tortechnik/Sicherheitstechnik.

• Aufzugssteuerung: Ein oft wichtiger Integrationspunkt: Zutrittskontrolle in Aufzügen. Wenn bestimmte Stockwerke nur mit Berechtigung angefahren werden dürfen (z. B. Labortrakt oder Geschäftsleitungsetage), müssen die Aufzüge mit der Zutrittsanlage vernetzt sein. Das kann geschehen durch Kartenleser im Aufzugspanel oder an den Zugangstüren zu den Etagen. Die Planung sollte dies berücksichtigen, sofern gefordert. Prüfkriterium: Wurden entsprechende Leser und Steuerungen für Aufzüge eingeplant? Ist die Schnittstelle mit dem Aufzugshersteller geklärt (Aufzugsteuerung freigeben von Etagen)?

Es überprüft dieser Abschnitt, ob das Zutrittskontrollsystem kein Inselsystem ist, sondern alle relevanten Wechselwirkungen mit anderen Systemen bedacht und technisch gelöst sind. Die Liste der Integrationen, die FM-Connect anführt, umfasst auch Videoüberwachung und CAFM-Systeme. Videoüberwachung (CCTV) könnte beispielsweise genutzt werden, um einen Video-Pop-up beim Sicherheitsdienst zu erzeugen, wenn jemand eine Tür mit unzureichender Berechtigung zu öffnen versucht. Ist so etwas geplant (z. B. Verküpfung Zutrittsalarm -> Kamerabild)? In der Planung könnte das durch Angabe einer Videoschnittstelle oder einfach durch Hinweis „Integration mit CCTV vorgesehen“ kenntlich gemacht sein. Die CAFM-Integration (Computer Aided Facility Management) ist eher für den Betrieb relevant: gemeint ist, dass das Zutrittssystem ins FM-System eingebunden wird, um z. B. Wartungen nachzuverfolgen oder Berechtigungsvergabe als Prozess zu steuern. Solche Dinge sind in LPH 5 vielleicht noch nicht im Detail ausgeplant, könnten aber als Anforderung formuliert sein. Der Prüfer nimmt diese Punkte zur Kenntnis und vermerkt sie, falls das Pflichtenheft des Betreibers entsprechende Vorgaben macht.

Ein wesentlicher inhaltlicher Teil der Ausführungsplanung – jenseits der Hardware – ist das Berechtigungskonzept: Wer darf wo hinein, wann und unter welchen Bedingungen? Während die Grundzüge bereits in früheren Phasen festgelegt wurden, sollte in LPH 5 eine konkrete Zutrittsmatrix oder Rollenverteilung erarbeitet werden.

• Rollendefinition: Es sollten klare Benutzergruppen/Rollen definiert sein, z. B. Mitarbeiter Verwaltung, Mitarbeiter Produktion, Laborleitung, IT-Administrator, Reinigungspersonal, Besucher, Fremdfirmen-Mitarbeiter etc.. Für jede dieser Gruppen ist festgelegt, welche Zutrittsrechte sie erhalten (Zonen, Zeiten). Die Planung muss zeigen, dass dieses Berechtigungskonzept vollständig ist und den Prinzipien der Sicherheit folgt: insbesondere dem Minimalprinzip (Least Privilege), d. h. niemand erhält mehr Zugangsrechte als nötig. FM-Connect formuliert es so: „regelmäßige Prüfung und Anpassung der Zutrittsmatrix (Mindestprinzip, keine Alibiberechtigungen)“ – es sollen also nicht wahllos „zur Sicherheit“ zu viele Personen Berechtigungen bekommen (Alibiberechtigung), sondern gezielt und dokumentiert. In LPH 5 sollte zumindest ein Entwurf dieser Matrix vorhanden sein, den der Betreiber später feinjustieren kann. Die Prüfanweisung kontrolliert, ob solch eine Matrix oder klare Aussagen zu Rollen vorhanden sind.

• Zeitliche Berechtigungen: Neben wer und wo ist wann ein entscheidender Faktor. Das System erlaubt typischerweise Zeitprofile (z. B. Werktags 6–18 Uhr Zugang, sonst nicht). Die Planung sollte berücksichtigen, ob es Schichtbetrieb gibt (dann entsprechende Zeitfenster), ob gewisse Bereiche nur zu bestimmten Zeiten zugänglich sein sollen (z. B. Lager nur während Lagerpersonal vor Ort ist), und wie Ausnahmen gehandhabt werden (Feiertage, Notzugang rund um die Uhr für Wachdienst). Sind in der Software die erforderlichen Kalender und Profile vorgesehen? Prüfen heißt hier: Wurden diese Anforderungen erhoben und als Vorgaben ins Konzept geschrieben? Oft findet man in Pflichtenheften Aussagen wie „Die Zutrittsberechtigungen müssen an Wochentagen zwischen X und Y Uhr beschränkbar sein; die Festlegung erfolgt durch den Betreiber im System.“ – Das reicht, solange klar ist, dass das System diese Funktion hat.

• Besucher und Fremdfirmen: Besucher erhalten i. d. R. temporäre Ausweise. Das Konzept muss vorsehen, wie diese verwaltet werden: Gibt es z. B. ein Besucherausweissystem (softwaregestützt) oder werden die Ausweise manuell programmiert? Darf ein Besucher sich frei bewegen oder muss er begleitet werden (meist letzteres in sicherheitskritischen Zonen)? Zwar ist das eher organisatorisch, aber es wirkt sich technisch aus: z. B. könnten Besucherausweise nur Türen bis zum Besprechungsraum öffnen und sonst keine. Fremdfirmen (z. B. Handwerker, Lieferanten) sind ähnlich zu betrachten – oft erhalten sie Ausweise für die Dauer ihres Einsatzes, eventuell mit speziellen Rechten (und Nachweis, dass sie Unterweisungen hatten). Die Prüfanweisung erwartet, dass die Planung solche Benutzertypen nicht vergisst. Hinweise darauf können sein: Kapitel in der Leistungsbeschreibung zur Besucherregelung, oder ein Modul im System vorgesehen für Visitormanagement. Wenn nichts dergleichen in den Unterlagen steht, wäre das bei einem so großen Projekt zumindest eine Nachfrage wert, da es in der Praxis immer Besucher geben wird.

• Sonderberechtigungen: Spezielle Sicherheitsbereiche können zusätzliche Logikbedingungen erfordern. Beispiele: Ein Vier-Augen-Prinzip (d. h. zwei Berechtigte müssen kurz hintereinander präsentieren, damit die Tür aufgeht) könnte in sehr sensiblen Bereichen (etwa Tresorraum) verlangt sein. Oder eine Zutrittsverriegelung bei bestimmten Zuständen (z. B. kein Zugang zu Labor, wenn dort gerade Experimente laufen, außer für Autorisierte mit Freigabe). Solche Feinheiten sind oftmals nur in Spezialfällen nötig. Der Prüfer wird schauen, ob aus den Sicherheitsanforderungen solche Mechanismen erforderlich sind und ob die Planung sie abbildet. Ein Indiz kann eine Erwähnung in der Beschreibung sein („Tür XY nur mittels 4-Augen-Prinzip zu öffnen“) oder die Auswahl eines Systems, das dies unterstützt. Biometrische Authentifizierung kann hier auch genannt werden – z. B. IT-Raum nur mit Karte und Fingerabdruck für Admins, um höchste Sicherheit zu gewährleisten. Falls Biometrie geplant ist, muss das datenschutzrechtlich unbedenklich gestaltet sein (möglicherweise nur freiwillige Nutzung durch einzelne Personen, oder Verwendung spezieller biom. Daten, die nicht gespeichert werden). Die Prüfanweisung würde in so einem Fall auch nach einer DSFA (Datenschutz-Folgenabschätzung) fragen, wie sie bei Biometrie oft gefordert ist.

• Berechtigungsverwaltung: Zum Betrieb gehört, dass das System verwaltet werden kann – wer darf Berechtigungen vergeben oder entziehen? Üblicherweise wird es Administratoren im Werkschutz oder der Personalabteilung geben, die das tun. In der Planung sollte das Benutzerverwaltungskonzept angerissen sein: z. B. „Adminrollen: Security Officer, kann alle Berechtigungen ändern; Personalabteilung darf nur Personaldaten pflegen“ etc. Auch sollte berücksichtigt sein, ob Mitbestimmungsrechte (Betriebsrat) tangiert sind – z. B. in Form einer Betriebsvereinbarung Zutrittskontrolle. Tatsächlich wird in vielen Firmen mit Arbeitnehmervertretung eine solche Vereinbarung abgeschlossen, die den Zweck, Umfang der Daten, Auswertung etc. regelt. Die Planung muss im Rahmen der Möglichkeiten diese Auflagen einhalten (z. B. keine Protokollauswertung zur Leistungskontrolle der Mitarbeiter, vgl. DSGVO und Arbeitsrecht). Für die Prüfanweisung bedeutet das: Liegen Hinweise auf eine Betriebsvereinbarung vor (in öffentlichen Projekten ist das seltener relevant, aber in privaten Unternehmen mit Betriebsrat üblich)? Wenn ja, muss die technische Umsetzung darauf Rücksicht nehmen (z. B. Protokoll nur 30 Tage speichernd, Zugriff nur durch definierten Personenkreis).

Es lässt sich festhalten, dass das Berechtigungskonzept das „Hirn“ des Zutrittskontrollsystems darstellt – es entscheidet, wer wann wo hinein darf. Die Prüfanweisung verlangt, dass dieses Konzept transparent und vollständig aus der Planung hervorgeht, da es maßgeblich für die spätere Funktion ist. Unklare oder lückenhafte Konzepte (z. B. Fehlendes Konzept für Fremdfirmen oder keine zeitlichen Einschränkungen berücksichtigt) werden moniert und müssen in LPH 5 nachgebessert werden, um vor Abnahme einen stimmigen Stand zu erreichen.

Neben der technischen Auslegung ist auch die Dokumentation und die Berücksichtigung datenschutzrechtlicher Belange Teil der Prüfanweisung für LPH 5.

Wie bereits betont, erwartet die Ausführungsplanung eine lückenlose Dokumentation aller relevanten Aspekte.

• Türlisten und Pläne: Eine detaillierte Aufstellung aller Türen mit Zutrittskontrolle, inklusive aller technischen Parameter (vgl. oben). Der Prüfer wird diese Türliste heranziehen, um Punkt für Punkt die Umsetzung zu verifizieren. Ebenso müssen Grundrisspläne mit markierten Türen (Nummern korrespondierend zur Türliste) vorliegen, um örtliche Zuordnung zu prüfen. Wichtig ist, dass alle Türen beschriftet und nummeriert sind und diese Nummern konsistent über alle Unterlagen genutzt werden (Vermeidung von Verwechslungen).

• Schalt- und Stromlaufpläne: Für die elektrotechnische Ausführung sind Übersichtspläne erforderlich, z. B. ein Blockschaltbild, das zeigt, welche Türen an welche Controller angeschlossen sind, wie die Controller vernetzt sind und wo Schnittstellen zu anderen Anlagen bestehen. Kabel- und Stromlaufpläne im Detail (Adern, Klemmverbindungen) gehören meist zu Werkstattplänen der ausführenden Firmen – aber in LPH 5 kann schon ein Kabelzugsplan mit ungefähren Trassen enthalten sein. Der Prüfer achtet auf Vollständigkeit: z. B. sind alle notwendigen Leitungen bedacht (Netzwerkkabel zu Lesern oder nur Stromversorgung? Oft brauchen Online-Leser beides, außer es sind gesteuerte Leser über einen Controller in der Tür)? Sind Reserven eingeplant (Leerrohre für spätere Erweiterungen)?

• Stücklisten und Gerätespezifikationen: Die Ausführungsplanung sollte festlegen, welche konkreten Geräte bzw. zumindest welche technische Spezifikation zum Einsatz kommt (z. B. „Leser Typ XYZ mit MIFARE DESFire EV2, IP65, VdS-Klasse B“ oder „elektrisches Motorschloss ABC mit Panikfunktion, DIN EN 179 zugelassen“). Der Prüfer kann an Hand dieser Angaben beurteilen, ob die Geräte geeignet sind. Gegebenenfalls werden hier Drittunterlagen referenziert, z. B. Herstellerdatenblätter. Für die Abnahme der Planung müssen zumindest die Anforderungen definiert sein, wenn noch nicht der Hersteller feststeht (z. B. im GU-Fall steht er oft schon fest, da GU ggf. Fabrikatbindung hat, ansonsten werden Ausschreibungen folgen).

• Literatur- und Normverweise: In einem habilitationsähnlichen Bericht darf eine Literatur-/Normenliste nicht fehlen. Die Planungsdokumentation sollte sämtliche anwendbaren Normen aufführen, was üblicherweise in einem Kapitel „Regelwerke“ geschieht. Unsere Prüfanweisung sieht vor, dass dort alle im Abschnitt Rechtliche Grundlagen genannten Normen zumindest erwähnt sind (DSGVO, ArbStättV, DIN EN 60839 etc.), um sicherzustellen, dass sich der Planer dieser bewusst war. Dies ist wichtig, falls es später zu Abnahmen durch Behörden kommt (z. B. Bauaufsicht prüft Fluchttürenthema, Datenschutzbehörde interessiert sich für Protokollierung) – dann kann man aufzeigen, dass bereits in der Planungsphase die Einhaltung dieser Vorschriften bedacht wurde.

Zutrittskontrollsysteme erzeugen Logdaten: Jede Kartenbenutzung, jede Türöffnung (erlaubt oder verweigert) wird protokolliert. Die Planung sollte skizzieren, welche Ereignisse aufgezeichnet werden und wie diese genutzt werden.

• Umfang der Protokollierung: Werden alle Zutrittsversuche geloggt oder nur erfolgreiche? Werden auch Türalarme (z. B. „Tür aufgebrochen“ oder „zu lange offen“) registriert? In sicherheitsbewussten Umgebungen ist eine lückenlose Protokollierung üblich. Unsere Prüfanweisung geht davon aus, dass dies gewünscht ist, und prüft, ob die Systemauswahl und -auslegung das unterstützt. Auch Speicherkapazitäten sind Thema: wie lange können Ereignisse im System gespeichert werden, bevor es voll wird oder ältere überschrieben werden? (Gerade relevant, wenn gesetzlich Löschfristen einzuhalten sind – dazu gleich mehr.)

• Monitoring und Alarmierung: Protokollierung ist nur sinnvoll, wenn relevante Ereignisse auch bemerkt werden. Plant der GU eine Aufschaltung kritischer Ereignisse an eine Leitstelle? Beispielsweise könnte bei „Tür gewaltsam geöffnet“ ein Alarm auf dem Sicherheitsleitstand erscheinen (akustisch/visuell). Ist eine solche Integration vorgesehen (etwa im Rahmen der EMA-Integration)? Wenn es eine Sicherheitszentrale gibt, sollte der Plan entsprechende Bedienplätze für das Zutrittssystem vorsehen – i. d. R. einen PC-Arbeitsplatz mit der Managementsoftware, von dem aus Türen geöffnet, Berechtigungen verwaltet und Alarme eingesehen werden können. Das Vorhandensein einer solchen Einrichtung sollte aus den Unterlagen hervorgehen (Schrankplan IT oder Beschreibung der Leitstelle).

• Datenschutz und DSGVO-Compliance: Die Erfassung von Zutrittsprotokollen ist eine Verarbeitung von personenbezogenen Daten (sie lässt Rückschlüsse auf Aufenthaltszeiten von Mitarbeitern zu). Daher gelten die erwähnten DSGVO-Prinzipien. In der Praxis bedeutet das: Es muss eine Zweckbindung geben (Zutrittskontrolle zur Sicherheit, nicht zur Verhaltenskontrolle der Mitarbeiter) und eine begrenzte Aufbewahrung der Protokolle. Die Planung sollte im Konzept vorschlagen, wie lange die Logs gespeichert werden (viele Unternehmen speichern z. B. 3 Monate oder 6 Monate, es sei denn ein Vorfall erfordert längere Aufbewahrung). FM-Connect betont, dass die Einhaltung von Datenschutzauflagen grundlegende Betreiberpflicht ist. In der Prüfanweisung ist daher festgehalten: Ist in der Planung eine Aussage zu Löschfristen zu finden? Gibt es Hinweise auf eine Datenschutz-Folgenabschätzung (DSFA), die ggf. gemacht wurde oder wird (bei umfangreicher Überwachung erforderlich)? Werden nur Daten erhoben, die notwendig sind (Datensparsamkeit)? Beispielsweise könnte man diskutieren, ob das System auch Anwesenheitslisten erstellt – oft ein heikles Thema, weil es mit Arbeitszeiterfassung kollidieren kann. In hochsensiblen Bereichen (z. B. Rechenzentrum) mag es zulässig sein zu wissen, wer gerade drin ist (Evakuierung), aber generell sollten Bewegungsprofile der Mitarbeiter nicht unnötig erstellt werden. Der Prüfer achtet auf entsprechende datenschutzfreundliche Voreinstellungen: z. B. Pseudonymisierung (Nutzung von Personalnummern statt Klarnamen in Logs) oder strikte Rechteverwaltung (nur befugtes Personal darf Protokolle einsehen). Zudem muss eine Informationspflicht erfüllt sein: Mitarbeiter und Besucher müssen über die Zutrittskontrolle informiert werden (meistens durch Aushang oder in der Zugangserklärung). Die Planung kann das nicht leisten, aber sie kann z. B. hervorheben: „DSGVO-Hinweisschilder an allen Eingängen anbringen“ oder ähnliches.

• Betriebsvereinbarung / Mitbestimmung: Sollte es im Unternehmen einen Betriebsrat geben, ist in der Regel eine Betriebsvereinbarung Zutrittskontrolle erforderlich. Diese legt fest, was mit den Daten passiert, wer Zugang hat, etc. Die Planungsunterlagen könnten darauf eingehen, z. B. mit dem Vermerk „Protokolldaten werden ausschließlich für Sicherheitszwecke verwendet; eine Verhaltens- oder Leistungskontrolle der Beschäftigten findet nicht statt“ – solche Formulierungen findet man oft als Ergebnis von Verhandlungen mit dem Betriebsrat. Für unsere Prüfung reicht die Feststellung, ob diese Aspekte bedacht sind. Falls nein, wäre das ein Risikopunkt (es könnte zu späteren Konflikten führen, wenn der Betriebsrat Einwände erhebt, was Verzögerungen verursacht).

• Zugriffsschutz auf Daten: Die Software sollte Benutzerrechte haben, so dass nur autorisierte Personen Logs einsehen oder Änderungen an Berechtigungen vornehmen können. Die Planung nennt idealerweise, welche Rollen es in der Software gibt (z. B. Administrator, Operator, Ausweisstelle) und dass diese passwortgeschützt sind. Zudem, ob das System Audit-Trails hat (wer hat wann welche Berechtigung geändert – um Missbrauch zu verhindern). Diese Dinge fallen unter IT-Sicherheit und sind sowohl durch Normen (z. B. ISO 27001) als auch durch DSGVO Art. 32 (Integrität und Vertraulichkeit von Systemen und Diensten) gefordert. Der Prüfer wird hier eher qualitativ vorgehen: Sind im Konzept Sicherheitsmaßnahmen genannt wie Verschlüsselung, Passwortrichtlinien, etc.? Wenn z. B. Funkkomponenten (kabellose Türdrücker) eingesetzt werden, ist deren Verschlüsselung entscheidend – das wäre ein Technik-Detail, das aber in großen Anlagen selten ist (meist verkabelt). Sollte jedoch „Online-Wireless“ Technik (wie Aperio, SimonsVoss WaveNet etc.) geplant sein, müsste man schauen, ob die Funkstrecken ausreichend gesichert sind.

Ein oft vernachlässigter Teil der Planung ist das Konzept für Betrieb, Wartung und regelmäßige Prüfung der Anlage. Allerdings fordern sowohl rechtliche Vorgaben (BetrSichV, ArbStättV) als auch gute Praxis, dass ein solches sicherheitsrelevantes System regelmäßig inspiziert und instandgehalten wird.

• Schulung des Personals: Die Planungsunterlagen sollten Hinweise enthalten, dass das Betreiberpersonal entsprechend eingewiesen wird. Laut FM-Connect gehört die „Schulung des Bedienpersonals“ zu den Betreiberpflichten. Für unsere Prüfung heißt das: Wird in der Leistungsbeschreibung oder im Angebot des GU eine Bedienerschulung erwähnt? (Üblicherweise bieten Errichter an, das Wachpersonal oder FM-Team in der Bedienung der Software und Anlage zu schulen, oft kurz vor Inbetriebnahme.) Ggf. sind Schulungsunterlagen zu übergeben – der Prüfer könnte fordern, dass solche Unterlagen (in Deutsch) bereitgestellt werden.

• Wartungsplan: Die Betriebssicherheit hängt von regelmäßiger Wartung ab. Viele Komponenten, z. B. USV-Batterien, Verschleißteile an Türen (Leser, Karten, Schlösser) und Software, benötigen Updates oder Austausche. Ein Wartungskonzept umfasst die Intervalle (z. B. vierteljährlich Funktionsprüfung aller Türen, jährlich Batterieaustausch nach Herstellerempfehlung, etc.) und Verantwortlichkeiten (wer führt die Wartung durch – Eigenpersonal oder Wartungsvertrag mit Fachfirma?). Die Planung sollte – zumindest in Textform – einen Wartungsvorschlag machen. Gelegentlich wird gefordert, ein Betriebsbuch zu führen, wie es z. B. VdS 3436 vorsieht, in dem alle Prüfungen und Ereignisse dokumentiert werden. Der Prüfer schaut, ob das erwähnt ist. Falls nicht, könnte er anregen, dies aufzunehmen, um die Betreiber auf ihre Pflichten hinzuweisen. Speziell für Fluchttüranlagen gibt es oft vorgeschriebene Prüfungen (manche Länder verlangen, dass elektrische Verriegelungen jährlich von einer sachkundigen Person geprüft werden, ähnlich wie Brandschutztüren). Die Einhaltung solcher Prüfzyklen sollte im Konzept stehen.

• Inspektion und Tests: Vor der endgültigen Abnahme (LPH 8 Bauüberwachung/Bauabnahme) wird das System in Betrieb genommen und getestet. Bereits in LPH 5 kann man vorbereiten, welche Prüfszenarien durchgespielt werden müssen. Die Prüfanweisung als solche wird in der Checkliste (nächster Abschnitt) eine Reihe von Abnahmetests anführen, z. B.: Funktioniert Tür X bei Stromausfall wie vorgesehen? Löst die Notöffnung aus? usw. Ein guter Planer hat diese Tests in seine Unterlagen eingebaut (etwa als Bestandteil des Abnahmeplans). FM-Connect spricht sogar von „regelmäßigen Systemaudits und Notfalltests, z. B. Simulation von Zutrittssperren bei Evakuierung“ – ein Hinweis, dass man solche Szenarien üben sollte. Für uns relevant: hat die Planung ein Notfallszenario beschrieben (z. B. Probe-Evakuierung: dabei checken, ob alle Türen offen gehen)? Der Prüfer würde das einfordern, falls es fehlt.

• Benutzerfreundlichkeit und Betriebshandling: Ein weiteres Kriterium ist die Bedien- und Wartungsfreundlichkeit. Die beste Technik nützt wenig, wenn sie zu kompliziert ist oder ständig Störungen hat. In der Planung sollte daher Wert auf übersichtliche Bedienoberflächen gelegt worden sein. Ist das System für die tägliche Nutzung geeignet? (Beispiel: Hat der Empfang eine einfache Möglichkeit, Besucherkarten zu erstellen? Bekommt der Werkschutz Alarmmeldungen klar angezeigt?) Auch Skalierbarkeit gehört hierher: Ist die Anlage so ausgelegt, dass Erweiterungen (weitere Türen, mehr Nutzer) möglich sind? In einem Industriebetrieb kann sich der Bedarf ändern, daher sollte Reserve vorgesehen sein. Der Prüfer kann z. B. schauen: Wie viel % der Controller-Kapazität sind belegt? Wenn schon 100%, dann ist keine Reserve für eine neue Tür vorhanden – nicht optimal.

• Dokumentation für den Betreiber: Zum Abschluss der Ausführungsplanung (bzw. spätestens Inbetriebnahme) muss eine Dokumentation an den Betreiber übergeben werden, die alle relevanten Informationen enthält (Bedienungsanleitungen, Schaltpläne, Zertifikate). Schon in LPH 5 kann man die Grundlage dafür schaffen. Die Prüfanweisung beinhaltet, zu kontrollieren, ob der GU vorgesehen hat, dem Auftraggeber z. B. Hersteller-Dokumentationen, Wartungsanleitungen und Zertifikate auszuhändigen. Gerade im Bereich Brandschutz muss man oft Nachweisdokumente vorlegen (Zulassung der Schlösser etc.). Der Abnahmeprüfer (evtl. Sachverständiger) wird diese sehen wollen. Daher wird dieser Punkt in der Checkliste auftauchen.

Es bewertet die Prüfanweisung in diesem Bereich, ob das geplante Zutrittskontrollsystem nicht nur gebaut, sondern auch dauerhaft sicher betrieben werden kann. Dazu gehört die rechtliche Betreiberverantwortung (die mit der Abnahme übergeht) – der Planer muss den Betreiber in die Lage versetzen, diese zu erfüllen.

Nachfolgend ist eine strukturierte Checkliste aufgeführt, die bei der Abnahme der Leistungsphase 5 als Prüfinstrument dient. Sie fasst die zuvor erläuterten Prüfpunkte zusammen. Für jeden Punkt kann der Prüfer bzw. das Abnahmeteam vermerken, ob die Anforderung erfüllt ist (Ja/Nein) und ggf. Kommentare oder Nachbesserungsbedarf notieren.

Hinweis: Diese Checkliste kann bei der Abnahme durchgegangen werden. „Erfüllt“ ist anzukreuzen, wenn der Punkt anhand der LPH 5-Unterlagen nachweislich erfüllt ist. Nicht erfüllte oder unklare Punkte sind vom GU nachzubessern, bevor die Ausführungsplanung als abnahmereif gilt.