Auditierungsvereinbarung definieren

• Audit Rights und Zugriff eindeutig regelt (Systemzugriffe, Dokumente, Standorte, Interviews),

• Auditumfang und Frequenz risikobasiert festlegt (kritische Leistungen häufiger),

• Nachweisführung und Reporting standardisiert (Auditbericht, CAPA, Follow up),

• Datenschutz/DSGVO und Mitbestimmung integriert (AVV/TOM, § 87 BetrVG, falls einschlägig),

• in Vertrags und Systemlandschaft eingebunden ist.

• servicekritischen FM Leistungen (z. B. Sicherheit, Betreiberpflichten, TFM),

• großen Rahmenverträgen/IFM Bündelungen,

• IT /Digital Verträgen (CAFM/IWMS, Service Desk, DMS/CDE, IoT Plattformen, Managed Services/SaaS),

• BIM /CDE basierten Projekten, bei denen Informationslieferungen (IFC/COBie) prüfbar sein müssen.

• Audit Rechte sind im Vertrag nur allgemein oder gar nicht geregelt; Audits werden im Konfliktfall „politisch“. Unbestimmt (je Vertrag).

• Nachweise liegen unstrukturiert vor (PDF/Sharepoint), Metadaten fehlen; SoR ist unklar.

• KPI /SLA Messung ist nicht reproduzierbar (fehlende Messregeln, unterschiedliche Datenquellen).

• Schnittstellen liefern keine stabilen Daten (Ticketzeiten, Asset Bezug, DMS Versionen). GEFMA 410 fordert ein konsistentes Schnittstellenkonzept und adressiert Datenqualität, Sicherheit, Datenschutz und Governance.

• Die Datenbasis ist nicht auditfähig (Pflichtfelder, Pflegeprozesse, Rollen fehlen).

• Vertragsgrundlage: Audit Rights, Vertraulichkeit, Subunternehmer/Sub Processor, Kostenregelung, Sanktionstreppe müssen grundsätzlich zulässig und verhandelbar sein. Unbestimmt (je Rechtsrahmen/Vergabe).

• Governance: Contract Owner und Auditees sind benannt; ein Audit Lead koordiniert Planung, Durchführung, CAPA.

• Daten- und Integrationsgrundlage: SoR Festlegungen und Datenpflegeprozesse sowie Schnittstellenbetrieb.

• Datenschutz: Bei Auftragsverarbeitung nach Art. 28 DSGVO muss der Vertrag u. a. Weisungsgebundenheit und Kontrollrechte regeln; Aufsichtsbehörden betonen diese Kontrollrechte ausdrücklich.

• Mitbestimmung: Wenn Audits Daten aus Systemen betreffen, die geeignet sind, Verhalten/Leistung zu überwachen, ist § 87 Abs. 1 Nr. 6 BetrVG relevant; die Norm nennt ausdrücklich die Einführung und Anwendung technischer Einrichtungen zur Überwachung als Mitbestimmungstatbestand.

• Vertragsdaten: Vertragsversion, Leistungsbeschreibung, SLA/KPI Anhänge, Auditklauseln, Nachweis- und Reportingpflichten.

• Auditplan Daten: Auditziele, Scope, Frequenz, Auditarten, Stichprobenlogik, Auditteam, Zeitplan.

• System- und Datenflussdaten: Zugriffe, Rollen, Logging, Schnittstellenstatus, Exportmöglichkeiten, Datenpfade.

• Leistungs- und Prozessdaten: KPI Rohdaten (z. B. Ticketzeiten), SLA Erfüllung, Qualitätsmängel, Abweichungen.

• Security-/Privacy Nachweise: TOM Dokumentation, AVV, Sub Processor Listen, Auditberichte Dritter (unbestimmt).

• BIM/CDE Nachweise (wo relevant): CDE Funktionen/Prozesse; DIN SPEC 91391 1 nennt rund 200 Anforderungen und unterscheidet Muss/Kann Kriterien.

• IFC/COBie Artefakte (wo relevant): IFC Modelle, COBie Exports, IDS Regelsätze, Validierungsprotokolle. buildingSMART beschreibt IDS als Standard für computer interpretierbare Informationsanforderungen und automatische Compliance Checks von IFC Modellen; COBie dient als standardisiertes Format für Informationen zu instandhaltbaren Assets.

• Auditor/Auditteam (R): plant und führt Audit nach definierter Methodik durch.

• Auditee (R): auditiertes Team/Provider, stellt Nachweise bereit, begleitet Interviews/Begehungen.

• Contract Owner (A): verantwortet Vertragsziele, entscheidet Eskalationen und Sanktionen.

• Contract Manager (R): betreibt Auditkalender, Register, CAPA Tracking, Follow ups.

• Data Steward (R): sorgt für Datenqualität, SoR Regeln, Nachweisfähigkeit.

• Legal (C/R): prüft Auditklauseln, Vertraulichkeit, Subunternehmer/Sub Processor, Sanktionen.

• Datenschutz/Informationssicherheit (C/R): AVV/TOM Kontrollen, Security Audits nach Art. 32 DSGVO und internen Policies.

• Betriebsrat/Personalvertretung (C): bei mitbestimmungsrelevanten Systemen gemäß § 87 BetrVG.

Die Vorgehensstruktur ist bewusst „vertraglich + operativ“: Vereinbarung definieren, in Systeme übersetzen, Auditieren, CAPA schließen, Wirksamkeit prüfen.

Deliverables: Risiko‑Heatmap pro Vertrag/Service, Auditarten‑Zuordnung, erste Frequenzvorschläge. Grundlage: risikobasierte Ausrichtung (z. B. kritische Services häufiger).

Deliverables: Auditierungsvereinbarung (Template), Auditklauseln (Audit‑Rights, Kosten, Vertraulichkeit, Sub‑Processor, Sanktionen), Datenschutzpaket‑Bezug (AVV/TOM).

Deliverables: Auditplan (12–18 Monate), Auditregister/Metadatenkatalog, Rollen/RACI, Tooling‑Entscheid (unbestimmt).

Deliverables: Pilot‑Auditbericht, CAPA‑Plan, Lessons Learned, Anpassung der Vereinbarung/Checklisten.

Deliverables: rollierende Audits, Quarterly Follow‑ups, Datenqualitätsreports, Audit‑KPIs (z. B. CAPA‑Durchlaufzeit).

• Dokumentenprüfung: Vertragsanhänge, Nachweise, Logs, Policies.

• Stichproben: repräsentativ/risikobasiert (z. B. 30 Tickets/Monat; unbestimmt) und Rekonstruktion von KPI Werten.

• Systemchecks: Rollenrechte, Schnittstellen Monitoring, Datenqualität (Pflichtfelder, Dubletten). GEFMA 410/430 adressieren genau diese Bereiche (Datenqualität, Governance, Betrieb).

• On site/Remote: abhängig von Schutzbedarf und Leistungsart; Security/Privacy oft remote möglich, technische Anlagenbegehungen on site.

SoR‑Zuordnung ist organisationsspezifisch unbestimmt; Ziel ist ein auditfähiges Register

• Audit Rights: Umfang (Records/Prozesse/Systeme), Ankündigungsfristen, Zugang zu Subunternehmern/Sub Processors.

• Kostenregelung: wer trägt interne/externe Auditkosten (z. B. bei Nichtkonformität Kostentragung durch Provider; unbestimmt).

• Vertraulichkeit: Schutz von Betriebsgeheimnissen, Beschränkung der Weitergabe.

• Sanktionstreppe: Fristsetzung, Service Credits, ggf. Sonderkündigungsrechte (juristisch unbestimmt).

• DSGVO Komponente: Art. 28 Kontrollrechte und TOM Nachweise; Aufsichtsbehörden betonen, dass Kontrollrechte vertraglich zu regeln sind.

• Auditdaten sollten nicht in „E Mail Threads“ enden, sondern als strukturierte Objekte im Vertrags-/Auditregister geführt werden (Audit ID, Scope, Findings, CAPA, Follow up). Dieser Ansatz entspricht dem Datenmanagement Gedanken aus GEFMA 430 (Regeln, Pflegeprozesse, Verantwortlichkeiten).

• Schnittstellenbetrieb und Monitoring sind Teil des Audits: GEFMA 410 behandelt explizit Planung/Umsetzung und Betrieb/Wartung/Weiterentwicklung von CAFM Schnittstellen inkl. Governance und Datenschutz.

• Risikobasiert bedeutet: Leistungen mit hoher Kritikalität (Sicherheit, gesetzliche Pflichten, kritische TGA, personenbezogene Datenverarbeitung) werden häufiger und tiefer auditiert als Standardleistungen. Unbestimmt: konkrete Risikomatrix.

• Zusätzlich Trigger‑Events: Major Incident, Datenschutzvorfall, Releasewechsel, Providerwechsel, wiederholte SLA‑Verfehlungen.

• Stufe 1: Abweichung → CAPA binnen X Tagen (unbestimmt)

• Stufe 2: Wiederholung/major finding → Eskalation Steering + Sonderaudit

• Stufe 3: critical finding/Verweigerung → Vertragsmaßnahmen (Service Credits, Kündigungsrechte) unbestimmt (juristisch/vertraglich).

• Für jeden kritischen Vertrag einen Audit Scope und Mindestfrequenz festlegen.

• Audit Rights + Datenschutzpaket (AVV/TOM) im Vertrag standardisieren.

• Auditregister (SoR) mit Metadatenkatalog einführen und CAPA Tracking etablieren.

• Pilot Audit durchführen (remote + 1 on site Tag, falls nötig) und Messmethodik/KPI Rekonstruktion testen.

• [ ] Auditierungsvereinbarung v1 abgestimmt (Scope, Rechte, Frequenz, Datenschutz, Kosten)

• [ ] RACI benannt (Auditor/Auditee/Owner/Legal/DSB/Data Steward)

• [ ] SoR für Auditdaten entschieden (CLM/DMS/CAFM/ERP) unbestimmt

• [ ] Auditplan (12 Monate) erstellt und terminiert

• [ ] Audit Checklist + Stichprobenregeln validiert

• [ ] Pilot Audit abgeschlossen, Auditbericht erstellt

• [ ] CAPA Plan mit Terminen/Ownern freigegeben

• [ ] Follow up/Wirkprüfung terminiert

• [ ] Mitbestimmung/Datenschutz geprüft (falls §87 BetrVG oder AVV relevant)

• Verbindliche Auditierungsvereinbarung inkl. Auditarten, Rechte, Frequenz, Methodik und Sanktionstreppe. [FM-Connect]. [18]

• Rollierender Auditplan (risikobasiert) und Auditregister als SoR für Auditdaten. - Standardisierte Auditberichte, CAPA Tracking und Wirksamkeitsprüfungen.

• Geklärte DSGVO Kontrollrechte und TOM Nachweise (Art. 28/32) in Verträgen/AVV.

• Weniger Streitfälle: klare Audit Rights, definierte Evidenz, reproduzierbare Messmethodik.

• Bessere Leistungsqualität durch systematischen CAPA Zyklus und Follow ups. - Höhere Compliance Sicherheit (DSGVO/AVV, Security Kontrollen, Nachweisketten).

• Höhere Daten- und Prozessreife durch DQ Regeln und Integrationsmonitoring

• Ohne saubere Datenbasis werden Audits teuer und liefern mehr Streit als Erkenntnis.

• Auditklauseln müssen vergabe- und vertragsrechtlich sauber ausgestaltet werden; konkrete Rechtsausprägung ist unbestimmt ohne Einzelfallprüfung.

• Bei SaaS/Managed Services können Audit Rechte eingeschränkt sein (Multi Tenant, Zertifizierungen statt Vor Ort Audit); dann sind alternative Nachweise (z. B. unabhängige Prüfberichte) zu definieren.

• Mitbestimmungs- und Datenschutzanforderungen können Mess- und Loggingtiefe begrenzen (§87 BetrVG, DSGVO).

• IFM/TFM Rahmenverträge mit KPI Bündeln (Performance Audits + Compliance Audits).

• Betreiberpflichten-/Sicherheitskritische Bereiche (On site Audits, Nachweisprüfung).

• CAFM/IWMS und Service Desk Verträge (Security/Privacy Audits, Sub Processor Kontrollen, Exit Audits).

• [FM-Connect] Audit im FM, Auditprogramme, organisationsweite Nachweisführung.

• [DSGVO] Art. 28/32 Kontrollrechte und Sicherheit der Verarbeitung.

• [BetrVG] §87 Mitbestimmung bei technischen Einrichtungen.

• Auditvereinbarung Template: Scope, Auditarten, Rechte/Zugriffe, Frequenz, Kosten, Vertraulichkeit, Sub Processors, Sanktionen, Datenschutzanhänge (AVV/TOM), Mitbestimmungscheck.

• Auditplan Template: risikobasiertes Jahresprogramm, Trigger Events, Ressourcenplan, On site/Remote Mix.

• Audit Checklist je Auditart (Compliance/Performance/Security/Privacy) inkl. Stichprobenregeln und Evidenzliste.

• CAPA Formular: Finding, Root Cause, Maßnahme, Owner, Termin, Wirksamkeitsprüfung.

• RACI Template: Auditor/Auditee/Contract Owner/Legal/DSB/Data Steward/IT. Systemtools (SoR): CLM/DMS für Dokumente und Register, CAFM/Service Desk/IoT für operative Evidenz, ERP für Kosten-/Abrechnungsnachweise.