Innovationspartnerschaft: Organisatorische Festlegungen

Service Level Agreements (SLAs) und Eskalationsmechanismen: Vertraglich sind klare Leistungsparameter festzulegen, etwa 24/7-Verfügbarkeit des Supports, garantierte Reaktions- und Wiederherstellungszeiten sowie definierte Eskalationsstufen für Störungen. Insbesondere im KRITIS-Umfeld müssen höchste Service Levels gelten (z.B. Reaktion bei kritischen Incidents innerhalb 30 Minuten, Wiederherstellung in wenigen Stunden) und feste Verfahren, wer bei Fristüberschreitung informiert wird (z.B. Security-Manager des AG, ggf. Behörden). Diese Punkte werden im SLA dokumentiert, um jederzeit Sicherheit und Betriebsfähigkeit zu gewährleisten.

Innovationsschutz und Verwertungsrechte: Beide Partner sollten im Vertrag regeln, wie mit gemeinsam entwickelten Innovationen umgegangen wird. Dazu gehört der Schutz geistigen Eigentums (Patente, Know-how) und die Verwertungsrechte an neuen Lösungen. In öffentlichen Innovationspartnerschaften gilt oft, dass die Ergebnisse der F&E-Phase vollständig dem Auftraggeber gehören, da dieser die Entwicklung finanziert. Entsprechend sind Lizenzrechte, Nutzungsrechte und ggf. Exklusivitäten (z.B. zeitlich befristete Alleinnutzungsrechte für den AG) eindeutig festzuschreiben, damit beide Seiten von der Innovation profitieren und kein Know-how ungewollt an Dritte abfließt.

Datenschutz und Geheimhaltung: Da häufig hochsensible Sicherheits- und Personendaten verarbeitet werden, sind strenge Datenschutzvereinbarungen (z.B. nach DSGVO, BSI-Gesetz) und NDAs (Non-Disclosure Agreements) unabdingbar. Vertraglich ist sicherzustellen, dass der AN alle Vorgaben zur Vertraulichkeit, Integrität und Verfügbarkeit der Kundendaten einhält – etwa durch Verpflichtung auf die Sicherheitsrichtlinien des AG und Audit-Rechte. Beide Seiten verpflichten sich, vertrauliche Informationen weder während noch nach der Partnerschaft unbefugt weiterzugeben. Diese Geheimhaltungs- und Datenschutzklauseln schützen kritische Informationen und erfüllen die Compliance-Anforderungen im KRITIS-Bereich.

Haftung und Gewährleistung: Im Vertrag sollte eine ausgewogene Haftungsregelung stehen. Üblich ist, dass beide Seiten bei Vorsatz und grober Fahrlässigkeit unbeschränkt haften, ansonsten aber die Haftung begrenzt wird (etwa auf den typischen, vorhersehbaren Schaden) und bei leichter Fahrlässigkeit weitgehend ausgeschlossen ist. Zudem sind Gewährleistungsfristen und -pflichten festzulegen (z.B. für Funktionsmängel der gelieferten Zutrittslösung) sowie Vertragsstrafen oder Servicegutschriften bei SLA-Verletzungen. Durch klare Haftungs- und Gewährleistungsregeln werden Risiken transparent verteilt und Streitfälle im Schadensfall minimiert.

Vertragsdauer, Kündigung und Eskalation bei Konflikten: Da eine Innovationspartnerschaft auf langfristige Kooperation abzielt, sollten Mindestvertragslaufzeiten und Verlängerungsoptionen vereinbart werden. Gleichzeitig ist ein Eskalations- und Schlichtungsverfahren bei Konflikten zu definieren: Beispielsweise mehrstufige Gespräche (Fachebene, Management-Ebene) vor einer Kündigung sowie Mediationsklauseln. Im öffentlichen Bereich kann der AG an Zwischenzielen festmachen, ob die Partnerschaft fortgeführt wird, und muss transparente Kriterien für eine vorzeitige Beendigung benennen[9][10]. Insgesamt schafft eine solche vertragliche Grundlage Rechtssicherheit und fördert eine stabile „A-Kunde/A-Lieferant“-Beziehung auf Augenhöhe.

Gemeinsames Projektmanagement und agile Innovationsprozesse: AG und AN sollten sich auf Projektmanagement-Standards einigen, z.B. Einrichtung eines gemeinsamen Lenkungsausschusses mit Entscheidungsbefugnis und Nutzung kompatibler PM-Methoden. Oft bewährt sich ein hybrider Ansatz: klare Meilensteine und Verantwortlichkeiten kombiniert mit agilen Elementen für die Entwicklungsarbeit. In kurzen Iterationen (Sprints) werden neue Funktionen des Zutrittssystems entwickelt und vom AG feedbackbasiert abgenommen. Diese kontinuierliche Verbesserung ist Kern der Innovationspartnerschaft: Regelmäßige Innovations-Workshops und Strategiemeetings (mindestens jährlich) werden fest vereinbart, um neue Anforderungen (z.B. Integration eines weiteren Fremdfirmen-Portals) und Technologietrends gemeinsam zu besprechen. So stellen beide Seiten sicher, dass Projekte flexibel bleiben und Innovationen effektiv umgesetzt werden.

Schnittstellen- und Integrationskoordination: Da Zutrittskontrollsysteme in komplexe Umgebungen eingebunden sind (z.B. HR-Systeme, Besucherportale, Alarmanlagen), einigen sich AG und AN auf Prozesse zur Schnittstellenkoordination. Es werden klare Zuständigkeiten definiert, wer die technischen Schnittstellen betreut, sowie regelmäßige Abstimmungsrunden zwischen den IT-Teams beider Seiten. Ziel ist, die nahtlose Funktion aller angebundenen Systeme jederzeit sicherzustellen. Dazu gehört auch ein gemeinsames Change- und Release-Management an Schnittstellen: Änderungen an einer Seite (z.B. Updates des Zutrittssystems oder anderer angeschlossener Software) werden frühzeitig kommuniziert und in Tests gemeinsam geprüft. Dieser abgestimmte Ansatz vermeidet Integrationsprobleme und erhöht die Betriebssicherheit im KRITIS-Umfeld.

Änderungs- und Change-Management*: Trotz sorgfältiger Planung können sich Anforderungen im Laufe der Partnerschaft ändern. Daher wird ein *Change-Request-Verfahren etabliert, das beide Parteien nutzen. Änderungen am vereinbarten Leistungsumfang – etwa neue technische Features, Schnittstellenerweiterungen oder zusätzliche Dienstleistungen – müssen schriftlich beantragt, bewertet und von beiden Seiten freigegeben werden. Im Change-Prozess werden die Auswirkungen auf Kosten, Zeitplan und Security geprüft; es gibt auf beiden Seiten benannte Change-Verantwortliche, die jeden Antrag koordinieren. Durch diesen strukturierten Prozess bleiben Projekte beherrschbar: notwendige Anpassungen werden transparent umgesetzt, ohne das Gesamtziel aus den Augen zu verlieren. Gleichzeitig wird mittels Change-Management die Agilität erhalten, um Innovationen auch während der Vertragslaufzeit iterativ einzubringen.

Standards für Dokumentation und Wissensaustausch: Prozessual sollten ferner gemeinsame Qualitätsstandards für Projektdokumentation, Wissenstransfer und Schulung vereinbart werden. Beispielsweise verpflichtet sich der AN, aktuelle Systemdokumentationen, Architektur- und Sicherheitskonzepte bereitzustellen, während der AG seine betrieblichen Anforderungen klar im Lastenheft definiert. Beide Seiten planen gemeinsame Mitarbeiterschulungen und Workshops, damit das Bedienpersonal des AG die neuen Systeme sicher handhaben kann. Ein solcher Wissensaustausch auf Augenhöhe stellt sicher, dass der AG im Alltag souverän mit der Lösung umgehen kann und der AN ein besseres Verständnis für die betrieblichen Abläufe erhält. Prozessuale Transparenz und abgestimmtes Change- und Projektmanagement schaffen Vertrauen und legen den Grundstein dafür, dass der Auftraggeber zum A-Kunden und der Anbieter zum A-Lieferanten wird.

Kommunikationswege und Berichtswesen: Für die tägliche Zusammenarbeit werden feste Kommunikationsstrukturen eingerichtet. Beide Seiten benennen zentrale Ansprechpersonen und etablieren regelmäßige Abstimmungsformate (z.B. wöchentliche Projekt-Jour-fixe, monatliche Service-Review-Meetings). Störungsmeldungen erfolgen über definierte Kanäle – etwa eine 24/7-Hotline oder ein Ticket-Portal – damit der AN jederzeit erreichbar ist. Das SLA sollte hierzu detaillierte Vorgaben machen („Incidents können rund um die Uhr über ein Web-Portal gemeldet werden; erste Reaktion innerhalb 30 Min“). Zudem wird ein Reporting vereinbart: Der AN liefert dem AG regelmäßige Berichte (monatliche SLA-Reports mit Kennzahlen wie Verfügbarkeit, Reaktionszeit, offenen Tickets etc.). In Quartals- oder Halbjahresgesprächen werden diese Berichte gemeinsam ausgewertet, um Trends zu erkennen und Verbesserungsmaßnahmen abzuleiten. Diese engmaschige Kommunikation schafft Transparenz und ermöglicht rasche Abstimmungen im operativen Betrieb.

Schlüsselpersonal und Ansprechpartner: Für die operative Koordination ist festes Schlüsselpersonal auf beiden Seiten benannt. Auf Seiten des AN gibt es z.B. einen Service-Manager oder technischen Key-Account, der die Verantwortung für die Leistungserbringung trägt und als erster Eskalationspunkt dient. Beim AG wird spiegelbildlich ein Projektleiter oder KRITIS-Koordinator benannt, der intern alle Fäden bündelt. Beide Schlüsselpersonen stehen in direktem Kontakt und treffen sich in regelmäßigen Abständen, um den Fortgang zu besprechen. Wichtig ist auch, personelle Kontinuität in diesen Rollen sicherzustellen – ein unplanmäßiger Wechsel von Schlüsselpersonal sollte nur in Abstimmung erfolgen. In Eskalationsfällen gibt es definierte Kontaktketten: z.B. wenn der AG unzufrieden ist, eskaliert er vom Service-Manager des AN zur Geschäftsführung des AN. Durch diese klaren Ansprechpartner mit A-Kunden-Betreuung stellen beide Seiten eine schnelle Reaktion und Entscheidungen ohne Reibungsverluste sicher.

Kooperations-Tools und Zugangsrechte: Um die Zusammenarbeit effizient zu gestalten, nutzen AG und AN gemeinsame Tools. Beispielsweise könnte ein abgestimmtes Ticketing- und Projektmanagement-System eingesetzt werden, damit beide Parteien stets denselben Informationsstand haben. Ebenso werden Kollaborationstools (etwa gemeinsame Dokumentenablagen, Kommunikationsplattformen) vereinbart, um die verteilten Teams zu vernetzen. Im KRITIS-Umfeld ist es zudem notwendig, Zugangsrechte klar zu regeln: Der Anbieter erhält für Support- und Wartungszwecke definierte Fernzugriffe auf die Systeme des AG – allerdings nur unter strikten Sicherheitsvorkehrungen. So muss der AN bei jeder Remote-Session die Vertraulichkeit, Verfügbarkeit und Integrität der Kundensysteme gewährleisten (z.B. Einsatz von VPN, starke Authentifizierung). Jeder Zugriff wird protokolliert und ggf. vom AG freigeschaltet. Solche Vereinbarungen zu Tools und Zugängen ermöglichen reibungslose Abläufe, ohne die Sicherheit und Kontrolle über kritische Anlagen zu gefährden.

Gemeinsame Qualitätssicherung und Audits: Qualität wird in der Innovationspartnerschaft nicht einseitig kontrolliert, sondern gemeinsam sichergestellt. Beide Seiten vereinbaren operative Qualitätsmetriken (z.B. Fehlerraten, Systemverfügbarkeit) und führen regelmäßig gemeinsame Tests und Abnahmen durch. Vor Inbetriebnahme neuer Komponenten erfolgen gemeinsame Abnahmetests nach definierten Kriterien; während des Betriebs werden Notfallübungen (z.B. Ausfallszenarien der Zutrittskontrolle) zusammen durchgeführt. Der AG behält sich vertraglich Audit-Rechte vor, um die Einhaltung der Sicherheits- und Qualitätsanforderungen beim AN zu überprüfen. Dazu können regelmäßige Service-Review-Meetings und Vor-Ort-Audits beim Anbieter gehören, in denen z.B. die Umsetzung von Patch-Management, Berechtigungsmanagement und Notfallkonzepten geprüft wird. Gleichzeitig liefert der AN dem AG Nachweise, etwa Zertifizierungen (ISO 27001 o.ä.) oder Prüfberichte über Sicherheitstests seiner Lösung. Diese enge Verzahnung in der Qualitätssicherung schafft Vertrauen, dass sowohl Technik als auch Prozesse den hohen Anforderungen genügen.

Betriebssupport und Notfallmanagement: Für den laufenden Betrieb kritischer Zutrittssysteme legen AG und AN gemeinsame Supportprozesse fest. Der Anbieter stellt einen kompetenten Helpdesk und bei Bedarf Vor-Ort-Techniker bereit, um im Störungsfall schnell eingreifen zu können. Notfallpläne (Fallback-Prozesse) werden abgestimmt: Beispielsweise ist definiert, ab welcher Ausfallzeit manuelle Ersatzmaßnahmen greifen (Wachdienst bei Systemausfall > 1 Stunde etc.). Beide Seiten kennen die Notfallkontakte des anderen und führen im Rahmen der Partnerschaft gemeinsame Incident-Response-Übungen durch. Wichtig ist zudem der Informationsfluss in Krisen: Der Anbieter verpflichtet sich, Sicherheitsvorfälle oder Schwachstellen umgehend an den Betreiber zu melden und gemeinsam Gegenmaßnahmen einzuleiten. Im Gegenzug sorgt der Betreiber dafür, dass der Anbieter bei Changes in der Infrastruktur frühzeitig einbezogen wird. Durch ein abgestimmtes Notfall- und Supportmanagement – inkl. klarer Eskalationspläne, Rufbereitschaften und kontinuierlichem Austausch – wird die Betriebs- und Versorgungssicherheit der kritischen Infrastruktur gewährleistet, was für beide Partner höchste Priorität hat.