Besucher im Krankenhaus; Chancen und Risiken

Infektionsprävention und Hygiene: Besuchende sind potenzielle Vektoren für nosokomiale Infektionen, inklusive respiratorischer Erreger und multiresistenter Organismen. Riskant sind insbesondere Intensiv- und Isolierbereiche, IMC-Einheiten sowie Situationen mit hoher Besucherfrequenz und unzureichender Wegeleitung. Fehlende Compliance bei Handhygiene und persönlicher Schutzausstattung sowie unklare Schleusenprozesse erhöhen das Risiko.

Sicherheit und Zutrittsmanagement: Unbefugter Zutritt, Diebstahl, Gewalt, Kidnapping- und Weglaufszenarien (etwa in der Pädiatrie oder Psychiatrie), Sabotage sowie Social Engineering sind relevante Bedrohungen. Unzureichend zonierte Gebäude, fehlende Identitätsprüfung und schwache Prozessdisziplin an Pforten und Nebeneingängen schaffen Angriffsflächen.

Betriebskontinuität und Resilienz: Besucherströme beeinflussen Verkehrsflächen, Aufzugslogistik und Evakuierbarkeit. Ohne klare Wege- und Trennungskonzepte (rein/unrein) drohen Kreuzkontaminationen, Überlastungen und Verzögerungen, die klinische Abläufe stören.

Profil: Emotional-nahestehende Personen mit primär psychosozialer Unterstützungsfunktion.

Anforderungen: Niederschwellige, aber regelkonforme Prozesse (Identprüfung, ggf. epidemiologische Selbstauskunft/Testnachweis); klare Besuchszeiten und -kontingente; verständliche Hygieneregeln; besondere Regelungen für ICU/IMC, Isolation und Pädiatrie.

Risiken: Infektionseintrag, unbefugtes Vordringen in geschützte Zonen, emotionale Eskalationen in Akutsituationen.

Profil: Technik- und Baugewerke, Medizintechnikservice, IT-Dienstleister, Wartung/Inspektion/Entstörung.

Anforderungen: Vorab-Registrierung, Sicherheitsunterweisung (Arbeitsschutz, Brandschutz, Hygiene), Freigabeprozesse (Permit-to-Work), Zuweisung von Zonen, oft Begleitpflicht in patientennahen Bereichen, Kennzeichnung/Badges mit befristeter Gültigkeit.

Risiken: Beeinträchtigung von Betriebs- und IT-Sicherheit, Kontaminationspfade durch Werkzeuge/Material, Unterbrechung von Kernprozessen.

Profil: Regelmäßig wiederkehrende, halb-integrierte Besucherrollen (Grüne Damen/Herren, Hospizdienste, religiöse Seelsorge).

Anforderungen: Hintergrundcheck/Registrierung, Schulungen (Hygiene, Vertraulichkeit/Datenschutz, Deeskalation), definierte Zugangszeiten und -zonen, enge Abstimmung mit Pflege/Stationsleitungen.

Risiken: Grenzverwischung zwischen Gast- und Mitarbeiterstatus, unbeabsichtigte Datenschutzverletzungen.

Profil: Wareneingang, Ver- und Entsorgung (Sterilgut, Apotheke, Labor, Wäsche, Abfall), Paketdienste.

Anforderungen: Abwicklung primär über Logistik- und Anlieferzonen; klare Trennung von Personen- und Warenströmen; temporäre Ausweise, Fahreranweisungen, Ladestellenmanagement.

Risiken: Kreuzung mit Patienten- und Besucherwegen, Kontaminationsrisiken bei unzureichender Trennung, Zutritt zu sensiblen Nebenräumen.

Notaufnahme (ZNA/ED): Hohe Dynamik und unklare Lagen mit begrenzten Warteflächen; Besuchende in der Akutphase häufig zu begrenzen, Fokus auf Patientenfluss, Triage und Sicherheit; temporäre Lenkungsmaßnahmen wie Trennwände, Zugangsschleusen und Security üblich.

Intensivstationen (ICU) und Intermediate Care (IMC): Strenge Zugangskontrollen mit limitierten Besuchszeiten und -zahlen, erhöhte Hygieneanforderungen; Schleusen mit PPE-Prozessen und dokumentierter Nachverfolgung; erhöhtes Risiko für vulnerable Patientengruppen.

Isolierbereiche: Strikte Barrieren mit Druckstufen und definierter RLT-Führung; umfassendes PPE-Regime, Zutritt nur nach Unterweisung; kurze, eindeutig markierte Wege sowie festgelegte Entsorgungs- und Desinfektionspfade.

Pädiatrie: Familienzentrierte Versorgung (Rooming-in) mit differenzierten Regelungen für Sorgeberechtigte und weitere Angehörige; kindgerechte Wegeleitung, sichere Spiel- und Wartezonen sowie besondere Schutzkonzepte gegen unbefugtes Mitnehmen von Kindern.

Geburtshilfe, Onkologie, Palliativ: Geburtshilfe mit hoher Frequenz kurzzeitiger Besucher; Onkologie mit immunsupprimierten Patientinnen und Patienten erfordert strikte Hygieneführung; Palliativversorgung mit erweiterten, aber geordneten Besuchsfenstern und sensibler Besucherlenkung.

Einladung/Voranmeldung, terminliche Slotvergabe, Abfrage besonderer Anforderungen (Barrierefreiheit, Sprachmittlung), ggf. epidemiologische Selbstauskunft.

Datenminimierung und Zweckbindung gemäß Datenschutzgrundsätzen; technische Vorbereitung von Besucherausweisen/QR-Codes.

Empfang, Identitätsprüfung, Berechtigungsvalidierung (z. B. über VMS+ACS), Ausgabe von Badge und ggf. PPE, Einweisung in Verhaltens- und Hygieneregeln, Wegweisung.

Steuerung von Spitzenlasten durch Wartezonen-Management und personelle Verstärkung.

Aufenthalt (Intra-Visit): Einhaltung von Zonen- und Eskalationsregeln; ggf. Begleitung (Escort) in sensiblen Bereichen; Monitoring über Leitstellen, Video und Zutrittslogs im Rahmen der gesetzlichen Vorgaben.

Check-out/Nachbereitung: Rückgabe von Badges/PPE, Abmeldung, Protokollierung (Zeitstempel), Löschkonzepte für Besucherdaten, Auswertung von Kennzahlen und Feedback.

Dieses Prozessmodell ist mit der Aufbauorganisation (Rollen, Kompetenzen), der TGA (Tür-/Schließsysteme, RLT), der IT (VMS, KIS, IAM), dem Sicherheitsdienst und der Hygieneorganisation zu verzahnen; Arbeitsanweisungen (SOPs), Schulungen und Service-Level (z. B. maximale Check-in-Zeit) sind verbindlich zu definieren.

Rollenbasierte Berechtigungen (RBAC) für Besuchergruppen; zeit- und ortsbezogene Einschränkungen; „least privilege“ als Leitprinzip.

Technische Umsetzung über ACS (Online-/Offline-Zylinder, Drehkreuze, Portale), Besucherbadges mit temporärer Gültigkeit; Fail-Safe/Fails-Secure-Logik in Abstimmung mit Brandschutz.

Standardisierte Abläufe für PPE-Anlage/Abnahme, Händehygiene, Abfallentsorgung; visuelle Schritt-für-Schritt-Anleitungen; Vorratshaltung und Auffüllprozesse als FM-Aufgabe.

Schnittstelle zu Reinigung/Desinfektion (Turnover-Zeiten, Checklisten).

Konsistente Signaletik nach Lesbarkeits- und Kontrastanforderungen, klare Farb- und Symbolsprache; redundante taktile/akustische Hinweise für Barrierefreiheit.

Physische Trennung von Wegeführungen für Besucher, Patienten, Personal und Logistik; Aufzugsstrategien (z. B. dedizierte Besucheraufzüge).

Platzierung von Desinfektionsspendern an Eintrittspunkten, Schleusen und Kontaktstellen; Sichtbarkeit und Nudging-Elemente (Hinweisschilder, Feedbackanzeigen).

Regelmäßige Audits zur Compliance (Beobachtungen, Stichproben), Rückkopplung in Schulung und Prozessanpassung.

FM übernimmt die Verantwortung für die bauliche und infrastrukturelle Befähigung (Design, Betrieb, Instandhaltung) sowie für die Governance der Prozesse im Schulterschluss mit Hygiene und Pflege.

Infektionsschutzgesetz (IfSG): Relevanz: Regelt Prävention und Kontrolle übertragbarer Krankheiten, inklusive besonderer Maßnahmen bei Ausbrüchen und Pandemien; § 23 IfSG adressiert Hygieneanforderungen in medizinischen Einrichtungen, die auch Besucher betreffen 1(z. B. Zutrittsbeschränkungen, Maskenpflicht, Test-/Impfstatus in besonderen Lagen).

Praxis: Besuchskonzepte müssen IfSG-konforme Hygienestandards und ggf. behördliche Allgemeinverfügungen abbilden (z. B. Kontingente, Besuchsstopps, Testnachweise); Dokumentationspflichten (Belehrungen, Aushänge, Protokolle) und Nachverfolgung (zeitlich begrenzt, datenschutzkonform) sind zu verankern.

Landesrechtliche Hygienevorgaben: In mehreren Bundesländern bestehen Hygiene-Verordnungen bzw. landesspezifische Regelwerke, die Krankenhaushygiene konkretisieren (Pflichten zu Hygienekommission, -plänen, -fachkräften); Besuchende sind in Hygieneplänen explizit zu berücksichtigen (PPE, Schleusenprozesse, Wegführung).

KRINKO-/RKI-Empfehlungen: Die Kommission für Krankenhaushygiene und Infektionsprävention (KRINKO) beim RKI veröffentlicht evidenzbasierte Empfehlungen zu Händehygiene, Isolationsmaßnahmen, RLT-Führung und Besuchsregelungen; in der Rechtsprechung besitzen KRINKO-Empfehlungen quasi-normativen Charakter, Abweichungen sind nur mit triftiger, dokumentierter Begründung zulässig.

Technische Regeln: VDI 6022 (Hygiene in RLT-Anlagen) und DIN 1946-4 (Raumlufttechnik in Krankenhäusern) definieren Anforderungen an Planung, Betrieb und Instandhaltung von Lüftungssystemen, Schleusen und Druckstufen – zentral für Besucherführung in Isolations-/ICU-Bereichen.

Weitere Arbeitsschutzbezüge: ArbSchG und BioStoffV (mit TRBA 250) adressieren den Schutz Beschäftigter vor biologischen Arbeitsstoffen; auch wenn Besucher nicht Beschäftigte sind, wirken resultierende Hygienestandards mittelbar auf Besucherkonzepte (z. B. Schutzstufenkonzepte, PSA-Bereiche).

Implikation: Hygiene-Compliance ist rechtlich geboten und technisch zu ermöglichen (Desinfektionsinfrastruktur, RLT, Schleusen); Prozesse müssen prüf- und auditfest dokumentiert sein (Hygieneplan, Unterweisungsnachweise, Begehungsprotokolle).

Hausrecht und Hausordnung: Krankenhäuser üben das Hausrecht aus; die Hausordnung regelt Besuchszeiten, Zutrittssperren, Mitführverbote (z. B. Waffen, Alkohol), Begleitpflichten und Verhaltensregeln; sie ist öffentlich bekanntzumachen und durchzusetzen (z. B. Aushang, Website, VMS-Bestätigung).

Gewerbeordnung § 34a und Bewachungsverordnung (BewachV): Externe Sicherheitsdienste benötigen Erlaubnis; Personalqualifikationen, Unterrichtungen und Prüfungen sind geregelt; DIN 77200 legt Qualitätsstandards für Sicherheitsdienstleistungen fest (u. a. Einsatzplanung, Schulung, Berichtswesen); für Kliniken relevant: Eigensicherung, Deeskalation, Umgang mit vulnerablen Personen, Umgang mit Zutritts- und Besucherkonflikten.

Polizeirecht/Versammlungsrecht: Bei Eskalationen und besonderen Lagen (z. B. Massenandrang in der Notaufnahme) greifen landespolizeirechtliche Eingriffsbefugnisse; FM/Sicherheitsdienste müssen Alarmierungs- und Eskalationsketten definieren.

Brandschutz- und Evakuierungsrecht: Bauordnungsrecht (MBO/LBO), Sonderbauverordnungen, DIN 14096 (Brandschutzordnung) und einschlägige Leitfäden regeln Flucht- und Rettungswege, Brandabschnitte und Alarmorganisation; Besucherkonzepte dürfen diese Vorgaben nicht unterlaufen (z. B. keine Blockierung von Treppenräumen durch Wartezonen).

Implikation: Zutritts- und Besucherlenkung sind in ein rechtskonformes Security-Management einzubetten; Verträge mit Sicherheitsdienstleistern müssen BewachV/DIN 77200-Compliance und klinikspezifische Schulungen verlangen.

Rechtsgrundlagen: Verarbeitung von Besucherdaten stützt sich i. d. R. auf Art. 6 Abs. 1 lit. f (berechtigtes Interesse an Sicherheit/Infektionsprävention) oder lit. e (Wahrnehmung einer Aufgabe im öffentlichen Interesse, sofern anwendbar). Gesundheitsdaten (Art. 9) dürfen nur verarbeitet werden, wenn zwingend erforderlich und mit geeigneten Garantien (z. B. während Pandemien für Test-/Impfstatus, auf Basis spezialgesetzlicher Vorgaben/behördlicher Anordnungen).

Prinzipien: Datenminimierung, Zweckbindung, Speicherbegrenzung, Transparenz (Art. 13), Richtigkeit, Integrität/Vertraulichkeit (Art. 5).

Pflichten: Verzeichnis von Verarbeitungstätigkeiten (Art. 30), Datenschutz-Folgenabschätzung (Art. 35) bei umfangreicher systematischer Überwachung (z. B. flächendeckende Videoüberwachung, biometrische Zutritte), Auftragsverarbeitung (Art. 28) für VMS-Anbieter, TOMs nach Art. 32 (Verschlüsselung, Pseudonymisierung, Zugriffskontrolle).

Videoüberwachung: BDSG § 4 regelt Videoüberwachung öffentlich zugänglicher Räume; zulässig nur bei überwiegenden Interessen (z. B. Schutz von Patienten/Personal, Schutz kritischer Infrastruktur) und bei Einhaltung von Transparenzanforderungen (Hinweisschilder mit Zweck, Verantwortlichem, Kontaktdaten DSB).

Speicherfristen: Nur so lange wie erforderlich (oft wenige Tage bis Wochen); längere Speicherung ist eng zu begründen (z. B. Vorfallsauswertung).

Zutritts- und Protokolldaten: Badge-Logs, Besuchslisten, Ausweisscans sind personenbezogen; Aufbewahrung nur so lange notwendig (z. B. zur Nachverfolgung, Audits, Abrechnung), anschließend Löschung/Anonymisierung; Zugriff ist rollen- und zweckgebunden zu beschränken.

Implikation: Jede datenerhebende Komponente des Besuchermanagements (VMS, ACS, Video) braucht eine eindeutige Rechtsgrundlage, ein Informationsblatt, definierte Löschfristen, ein Berechtigungskonzept und dokumentierte TOMs; bei Innovationen (Gesichtserkennung) ist regelmäßig eine DSFA durchzuführen.

IT-Sicherheitsgesetz und BSI-KritisV: Krankenhäuser oberhalb der KRITIS-Schwellenwerte (gemäß BSI-KritisV) unterliegen besonderen Pflichten: Stand der Technik, Meldung erheblicher IT-Störungen, Nachweisführung; Besuchermanagement-Systeme sind häufig angebunden an KIS/Netze und fallen in den Geltungsbereich der Informationssicherheit.

B3S Gesundheitsversorgung: Der branchenspezifische Sicherheitsstandard (B3S) der Deutschen Krankenhausgesellschaft ist vom BSI anerkannt und operationalisiert Anforderungen für Kliniken (Risikomanagement, ISMS, Notfallmanagement); Besuchermanagement und Zutrittskontrolle sind dort als unterstützende Prozesse zu berücksichtigen.

ISO/IEC 27001: Aufbau eines ISMS, Risiko- und Maßnahmenkatalog (Annex A) inkl. Zutrittskontrollen, Kryptografie, Protokollierung, Lieferantenmanagement; Relevanz für VMS-Betrieb, Schnittstellenhärtung und Auditierbarkeit.

ISO/IEC 62443: Security für industrielle Automatisierung/OT (z. B. vernetzte Türsteuerungen, Gebäudeautomation); wichtig bei Integration von Zutrittskontrolle, Video, RLT in Gebäudeleittechnik.

KHZG und Interoperabilität: Digitalisierungsförderung verlangt Informationssicherheits- und Interoperabilitätsanforderungen; VMS-/Zutrittssysteme sollten standardisierte Schnittstellen, Rollen-/Rechtekonzepte und Notbetriebsfähigkeit vorweisen.

Implikation: IT/OT-Sicherheit ist integraler Compliance-Baustein; FM und IT müssen Security-by-Design in Ausschreibungen, Implementierung und Betrieb verankern (u. a. Netzwerksegmentierung, Patch-Management, Schlüssel-/Zertifikatsmanagement).

Bauordnung/Arbeitsstättenregeln: Flucht- und Rettungswege, Versammlungsflächen, Aufzugsnutzung sind bauordnungs- und arbeitsschutzrechtlich geregelt; Besucherkonzepte dürfen die Mindestbreiten, Sichtbarkeiten und Freihaltungen nicht beeinträchtigen.

Signaletik und Barrierefreiheit: DIN EN ISO 7010 (Sicherheitszeichen), DIN 1450 (Lesbarkeit von Schrift), DIN 32975 (barrierefreie Gestaltung visueller Informationen) bilden den Rahmen für Beschilderung und Wegeleitung.

Zutrittskontrollanlagen: VDI 4068 adressiert Planung, Betrieb und Sicherheit von Zutrittskontrollsystemen (u. a. Karten, biometrische Verfahren, Integrationsaspekte); bei biometrischen Verfahren sind zusätzlich DSGVO-Restriktionen zu beachten.

Implikation: Eine normgerechte Wegeleitung ist nicht nur Service-, sondern auch Sicherheits- und Haftungsfaktor; Planungs- und Abnahmeprozesse müssen die einschlägigen Normen nachweislich berücksichtigen.

Strategische Ebene: Klinikleitung, FM-Leitung, Pflegedienstleitung, IT-Leitung, Hygieneleitung, Sicherheitsmanagement, Datenschutzbeauftragte und Betriebsrat definieren Policy, Zielbild, Risk Appetite, Budget und priorisierte Maßnahmen. Verankerung in der Unternehmensstrategie, im QMS (PDCA) und im Risikomanagement nach ISO 31000/41001.

Taktische Ebene: Ein Lenkungskreis Besuchermanagement (monatlich/bedarfsgerecht) orchestriert Standards, Ressourcen, IT-/Bau-Roadmaps, Schulungsprogramme und KPIs. Er steuert Projekte (z. B. VMS-Einführung, Wegeleitungs-Redesign) und bewertet Risiken/Abweichungen.

Operative Ebene: Empfang/Pforte, Sicherheitsdienst, Stationsleitungen, FM-Serviceteams, Logistik und IT-Betrieb setzen Prozesse um, führen Kontrollen durch, dokumentieren und eskalieren. Ein täglicher „Operational Huddle“ (10–15 Minuten) an Hauptstandorten erhöht die Lageübersicht.

Hygienekommission (inkl. FM, Pflege, Ärztlicher Dienst) – Legitimation von Regeln für Schleusen, PPE, Besucherflüsse.

Brandschutz- und Arbeitsschutzausschuss – Sicherstellung, dass Besucherorganisation Fluchtwege, Lasten und Gefährdungsbeurteilungen berücksichtigt.

Krisenstab – temporär bei besonderen Lagen (z. B. pandemische Phasen, MANV) mit klaren Befugnissen gegenüber Regelprozessen.

Klinikleitung: Setzt den Ordnungsrahmen (Hausordnung, Besucherpolicy), priorisiert Ressourcen, genehmigt Ausnahmen (Sonderbesuche, Krisenregeln).

Leitung Facility Management: Verantwortlich für baulich-technische und infrastrukturelle Befähigung (Zutritt, Schleusen, Beschilderung, RLT-nahes Umfeld), Dienstleistersteuerung, Betriebssicherheit und KPI-Reporting zu Besucherprozessen.

Hygienefachkraft/Hygieneleitung: Erstellt und aktualisiert Hygienestandards für Besuche, führt Audits/Schulungen durch, beurteilt Sonderfälle (ICU/Isolation/Onkologie) und autorisiert Schleusenkonzepte.

Pflegedienstleitung/Stationsleitungen: Steuert bereichsspezifische Besuchsfenster und -regeln, dokumentiert Besuchsberechtigungen im KIS, organisiert Begleitungen in sensiblen Bereichen, meldet Abweichungen/Vorfälle.

Sicherheitsmanagement/Sicherheitsdienst/Pforte: Implementiert Zutrittskontrollen, Identitätsprüfungen und Eskalationen, führt Deeskalation, Ereigniserfassung und Lagekommunikation mit Leitstelle durch.

IT-Abteilung/Informationssicherheitsbeauftragte: Betrieb/Absicherung von VMS, Schnittstellen (KIS/ACS), Benutzer- und Rechteverwaltung, Notfall- und Backup-Prozesse, Protokollauswertung, Security-by-Design.

Datenschutzbeauftragte: Prüft Rechtsgrundlagen, DSFA, Löschkonzepte, Informationspflichten; begleitet Dienstvereinbarungen zu Video/ACS/VMS.

Qualitätsmanagement: Integriert Besucherprozesse in QMS, führt interne Audits/Wirksamkeitskontrollen durch, moderiert KVP und Lessons Learned.

Arbeitssicherheit/Brandschutz: Prüft Gefährdungsbeurteilungen (inkl. psychischer Belastungen am Empfang), Einbindung in Unterweisungen, Sicherstellung der Flucht-/Rettungsweganforderungen.

Logistik/Wareneingang: Organisiert Lieferantenprozesse getrennt von Besucherströmen, steuert temporäre Ausweise und dokumentiert An- und Abmeldungen.

Ehrenamts-/Seelsorgekoordination: Rekrutierung, Schulung und Einsatzplanung freiwilliger Rollen; Schnittstelle zu Pflege und Datenschutz.

Responsible: operative Ausführung (z. B. Pforte/Sicherheitsdienst beim Check-in).

Accountable: Ergebnisverantwortung (z. B. FM-Leitung für das Gesamtsystem).

Consulted: Fachexpertise (Hygiene/DSB/ISB/Brandschutz).

Informed: Betroffene Stakeholder (Stationsleitungen, Leitstelle).

Regelkommunikation: Wöchentlicher Jour fixe (operativ-taktisch) zwischen FM, Sicherheit, Pflege, Hygiene, IT; Monatsmeeting des Lenkungskreises für KPI-Review, Risiken, Änderungsbedarfe.

Change- und Freigabeprozess: Änderungen an Besuchszeiten, Wegeleitung oder Systemkonfiguration folgen einem dokumentierten Change-Request; Risiko- und Datenschutzprüfung, Pilotierung, Kommunikation, Schulung.

Eskalationsmatrix: Stufe 1: Empfang/Security lösen vor Ort (Hinweis, Begleitung).

Stufe 2: Stationsleitung/Hygiene/Sicherheitsmanagement hinzu; temporäre Zutrittsbeschränkung.

Stufe 3: Klinikweite Lage (Leitstelle/Krisenstab), behördliche Einbindung bei Bedarf.

Leitstellen-Integration: Zentrale Leitstelle überwacht Zutritts- und Videosysteme, nimmt Alarme entgegen, koordiniert Interventionskräfte und dokumentiert Vorfälle.

Planung/Policy: Verantwortlich: Klinikleitung (Policy), FM/Hygiene (Standards), Betriebsrat/DSB/ISB (Mitwirkung/Prüfung); Ergebnisse: Hausordnung, Besuchsrichtlinie, Bereichsanhänge (ICU/Isolation/Pädiatrie), Schulungskonzept, Kommunikationspaket (Web/Aushänge).

Vorregistrierung/Terminierung: Verantwortlich: Empfang/VMS-Team; Consulted: Stationen; Aufgaben: Datenminimierte Erfassung, Slot-Vergabe, Versand von QR/Infos, Barrierefreiheitsabfrage, ggf. besondere Auflagen (PPE).

Check-in/Einlass: Responsible: Pforte/Sicherheitsdienst; Accountable: FM; Schritte: Identitätsprüfung, Berechtigungscheck (KIS-Flag/Einladung), Aushändigung Badge/PPE, Unterweisung (kurz), Wegweisung; Service-Level: maximale Check-in-Zeit (z. B. <= 5 Minuten).

Aufenthalt/Begleitung: Responsible: Station/empfangende Bereichseinheit; Consulted: Hygiene/Sicherheit bei Sonderfällen; Inhalte: Einhaltung von Zonen, Begleitpflicht in ICU/Isolation, Kontakttelefon für Rückfragen, temporäre Parkzonen für Besucher im Flurbereich vermeiden.

Check-out/Nachbereitung: Responsible: Pforte; IT unterstützt Protokoll/Löschung; Inhalte: Rückgabe Badge, Abmeldung, automatische Löschroutinen, Störungs-/Vorfallmeldung bei Abweichungen.

Audits/Reporting: Responsible: QM/FM/Hygiene; Inhalte: Stichproben-Compliance Hygiene, Zutritts-Log-Review (Datenschutz-konform), KPI-Report (monatlich), Maßnahmenpläne.

Sonderprozesse: Notaufnahme: Triagestufe bestimmt Besucherzugang; Security filtert, Pflege informiert; kurzzeitige Wartezonen-Lenkung; MANV-Eskalation mit Besucherstopps.

ICU/IMC/Isolation: Schleusenpflicht; limitierte Besuchsfenster; PPE-Ausgabe/Checklisten; dokumentierte Nachverfolgung; strenge Begleitpflicht.

Pädiatrie: Differenzierung Sorgeberechtigte vs. weitere Besucher; Rooming-in-Prozesse; zusätzliche Sicherheitsmaßnahmen (Abholberechtigungen, Bänder/Kennungen).

Mitbestimmung (BetrVG § 87 Abs. 1 Nr. 1, 6, 7): Ordnung des Betriebs (Besuchsregeln), technische Überwachungseinrichtungen (VMS, ACS, Video) und Unfallverhütung/Arbeitsschutz sind mitbestimmungspflichtig; Abschluss von Dienst-/Betriebsvereinbarungen zu Zweck, Datenzugriff, Speicherfristen, Protokollauswertungen, Leistungs-/Verhaltenskontrolle, Schulungen.

Arbeitsschutz (ArbSchG): Gefährdungsbeurteilung für Empfang/Pforte und Begleitdienste inkl. psychischer Belastungen (Aggressionen, Konflikte); Maßnahmen wie Deeskalationstrainings, bauliche Schutzmaßnahmen (Trennscheiben, Notruftaster), Doppelbesetzung zu Spitzenzeiten.

Fremdfirmenmanagement: Klare Werkverträge/Leistungsbeschreibungen (DIN 77200 für Sicherheitsdienste), Unterweisungsnachweise, Zutrittsrechte zeitlich/zonal begrenzen, Permit-to-Work für Arbeiten in patientennahen Bereichen; Koordination nach DGUV/SiGe-Vorgaben.

Arbeitszeit/Qualifikation: Schicht- und Pausenregelung im 24/7-Betrieb; Qualifikationsmatrix und regelmäßige Rezertifizierung (Hygiene, Datenschutz, Ersthelfer, Brandschutzhelfer, Deeskalation).

Öffentliche Träger: Bei Anwendung des Personalvertretungsrechts entsprechende Beteiligung des Personalrats; Einbindung der Schwerbehindertenvertretung bei barrierefreien Besucherprozessen.

Besuchsbefugnis: Ärztlicher Dienst/Pflege legen patientenindividuelle Besuchserlaubnisse fest (z. B. Isolation, palliative Ausnahmen) und dokumentieren im KIS (strukturierte Flags); VMS liest diese Vorgaben aus; Pforte entscheidet anhand der Daten.

Informationsfluss: Stationsleitungen erhalten tagesaktuelle Besucherlisten; Rückkanal für spontane Sperren/Freigaben (Hotline/Leitstelle); standardisierte Templates für Besucherinformationen (Verhaltensregeln, Zeiten).

Begleit- und Aufklärungsaufgaben: Pflege informiert Besucher über Hygieneregeln, unterstützt beim Anlegen von PPE in Schleusen; bei Konflikten Eskalation an Sicherheitsdienst nach definiertem Schema.

Patientenschutz: Besondere Regelungen in Pädiatrie (Legitimation Sorgeberechtigte, Abholcodes), Onkologie (Maskenpflicht), Psychiatrie (gesonderte Sicherheitskonzepte); FM stellt Infrastruktur; Pflege verantwortet die kliniknahe Umsetzung.

Personalplanung: Bedarfsorientierte Besetzung der Pforten (Peak-Analysen, Arztvisitenzeiten, Wochenenden), Back-up-Kapazitäten bei Ausfällen; Multiplikatorenrollen pro Bereich (Hygiene- und Sicherheitsbeauftragte).

Qualifikationsmatrix: Module: Basis-Hygiene, Schleusenpraxis, Datenschutz/Informationspflichten, VMS/ACS-Bedienung, Deeskalation/Umgang mit Aggression, Erste Hilfe/Brandschutz, Barrierefreiheit/Serviceorientierung, Grundkenntnisse in Fremdsprachen/Leichter Sprache.

Schulungsorganisation: Onboarding mit Praxisanteil, jährliche Auffrischungen, E-Learning für Regelupdates, Simulationsübungen (z. B. Schleusen-Drills, Evakuierung mit Besucherzählung).

Besucherinformation: Mehrkanalig: Website, Terminbestätigung (E-Mail/SMS), Aushänge, digitale Kioske; klare Sprache, Piktogramme, barrierefreie Formate; Transparenz zu Datenverarbeitung und Hausordnung.

Interne Kommunikation: Tägliche Lagehinweise an Empfang/Security/Stationen; Störungsmeldungen (IT/Technik) mit Workarounds; Change-Notes bei Regeländerungen.

Krisenkommunikation: Vorlagen für Besuchsrestriktionen, Hotlines, FAQs; interne Alarmstufen mit klarer Verantwortungsabfolge (Krisenstab -> Leitstelle -> operative Einheiten).

KPIs/KRIs: u. a. Check-in-Zeiten, Hygiene-Compliance, unbefugte Zutrittsversuche, Vorfallsrate, Systemverfügbarkeit, Beschwerdequote zur Wegleitung, Vollständigkeit der Besucherprotokolle.

Review-Zyklus: Monatlicher KPI-Review im Lenkungskreis, quartalsweise Audits (Hygiene/Prozess/Datenschutz), jährliche Managementbewertung; Abweichungen münden in Maßnahmenpläne mit Verantwortlichen und Fristen.

Lessons Learned: Nach Vorfällen oder Übungen strukturierte Nachbesprechung (Hot/Cold Debrief), Aktualisierung von SOPs, Schulungsinhalten und technischen Einstellungen.

Durch dieses organisations- und prozessuale Rahmenwerk wird Besuchermanagement als integrierter Service des FM operationalisiert, der Patientenwohl, Sicherheit, Hygiene und Datenschutz sinnvoll austariert und zugleich auditfest sowie krisenrobust gestaltet.

Peripherie: Self-Service-Kioske (Pre-Check-in/Onsite), Ausweisscanner, QR-/Barcode-Leser, Badge-Drucker, interaktive Wegweiser, Intercom/Sprechanlagen, Video, Zutrittsleser (Online/Offline), Personenvereinzelungsanlagen (wo angemessen), Schleusen- und PPE-Ausgabepunkte.

Steuerungsebene: Türcontroller, Lift-/DCS-Controller, Zähl- und Belegungssensorik, RLT-/Schleusensteuerung.

Plattformen: Visitor-Management-System (VMS), Access Control System (ACS), Video-Management-System (VMS-Video), PSIM/Sicherheitsmanagement, Building Management System (BMS/GLT).

Integrationen: KIS/Patientenflags, IAM/SSO, Verzeichnisdienste, SIEM/Logmanagement, Alarmierung/ELA-SAA.

Netze/Sicherheit: Segmentierte VLANs für ACS/Video/IoT, verschlüsselte Protokolle, Zertifikats-/Schlüsselmanagement, Redundanzen (Server/Netz/USV).

Diese Schichten sind über gesicherte, dokumentierte Schnittstellen verbunden; die Betriebsorganisation umfasst Monitoring, Patch-/Change-Management und definierte Fallback-Prozesse.

Visitor-Management-System (VMS): Funktionen: Vorabregistrierung (Web/App), Slot-Management, Einladung mit QR-Code, Vor-Ort-Check-in, Ausgabe temporärer Ausweise, Sicherheits-/Hygieneunterweisungen, Einverständniserklärungen, Audit-Logs, Reporting; Designprinzipien: Privacy-by-Design (Datenminimierung, Löschkonzepte), Barrierefreiheit, Mehrsprachenfähigkeit, Offline-Modus an Pforte.

Access Control System (ACS): Komponenten: Online-Controller, Lesegeräte (RFID/NFC), elektronische Zylinder/Schlösser, Drehkreuze/Speedgates, Türkontakte; Funktionen: Rollen- und zeitabhängige Berechtigungen, Bereichs- und Liftfreigaben, Anti-Passback, Besuchersperrlisten, Ereignisalarme (Tür offen/erzwungen); Integration: VMS triggert temporäre Rollen im ACS (RBAC), Elevator Destination Control (DCS) zur Etagenfreigabe für Besucher, Notfreigabe bei Brandalarm (Fail-Safe).

Identifikation/Medien: Optionen: Papierbadge mit QR, temporäre RFID-Karte, digitale Wallet-Pässe (NFC/QR), Escort-Modus (Begleitung durch Mitarbeitenden-Badge); ID-Prüfung: Dokumentenscanner (ohne Vollspeicherung), Match gegen Einladung; für sensible Bereiche optional visuelle ID-Prüfung durch geschultes Personal.

Empfehlung: Biometrie für Besuchende nur in Ausnahmefällen (hohe DSGVO-Hürden); stets Alternativverfahren anbieten.

Slot- und Kapazitätsmanagement: Nutzung von Zeitfenstern pro Bereich (z. B. ICU max. n Personen/Zeiteinheit), automatische Drosselung von Einladungen bei Auslastung (Kopplung mit Belegungssensorik).

Warteschlangen-/Queueing-Systeme: Ticket-/Rufsysteme, Echtzeitwartezeiten an Displays/Apps, priorisierte Behandlung (z. B. ältere/behinderte Besucher), Lastverteilung auf Eingänge.

People-Counting und Belegung: Kamerabasierte Zählung (mit Privacy-Masking) oder ToF-/Infrarotsensoren zur Flusserkennung; Nutzung für Abstands- und Evakuierungsfähigkeit sowie Reinigungsintervall-Steuerung.

Eingangs- und Pfortenzonen: Ergonomische Counter, Barrierefreiheit (Höhenstaffelung, induktive Höranlagen), Trennscheiben, Notruftaster, kontrollierte Wartezonen, Strom-/Datendosen für temporäre Kioske.

Personenvereinzelung: Speedgates/Drehkreuze nur, wenn Patientenfluss/Brandschutz/Barrierefreiheit gewährleistet sind; ansonsten offene Zonen mit sichtbarer Security und punktuellen Zutrittsportalen.

Wegeleitung/Signaletik: Konsistente Piktogramme (DIN EN ISO 7010), gute Lesbarkeit (DIN 1450), barrierearme Gestaltung (DIN 32975), farbcodierte Leitlinien am Boden, redundante digitale Beschilderung.

Interaktive Wegfinder: Touchstelen oder App-basierte Indoor-Navigation (BLE-Beacons/Wi‑Fi RTT) für präzise Zielführung, mit datensparsamen, einwilligungsbasierten Ortungsfunktionen.

Aufzugs- und Etagenzugang: DCS-Anbindung an ACS: Besucherausweise berechtigen nur für Zielstockwerk; Trennung Besucher-/Patienten-/Logistikaufzüge zur Minimierung von Kreuzungskontakten.

Tür- und Beschlagtechnik: Antipanik-Beschläge (EN 179/1125), Türkontakte, motorische Antriebe mit „wave-to-open“-Sensorik zur kontaktarmen Bedienung, klare Beschilderung „rein/unrein“.

Schleusen und Druckstufen: Planung gemäß DIN 1946-4 und VDI 6022; Unter-/Überdruckzonen in Isolationsbereichen, interlock-gesteuerte Schleusen (Tür A schließt, bevor Tür B öffnet), visuelle Ampelsysteme, akustische Hinweise.

PPE- und Händehygiene-Infrastruktur: Spender (Desinfektion, Handschuhe, Masken) an allen Übergängen; Telemetrie zur Füllstandsmeldung; PPE-Automaten mit Berechtigungslogik für sensible Zonen; Abwurfbehälter mit Deckel, klaren Entsorgungswegen.

Luft- und Flächenhygiene: Zentrale RLT mit HEPA-Filtern in kritischen Bereichen; mobile Luftreiniger als temporäre Maßnahme in Wartezonen (validierte CADR, Schallpegel < 45 dB(A)); UV-C zur Raumluft-/Flächendesinfektion nur in abgeschirmten, fachgerecht betriebenen Systemen (Sicherheitskonzept, Qualifikation).

Kontaktarme Oberflächen: Antimikrobielle Griffhülsen als Ergänzung (nicht Ersatz) von Händehygiene; automatische Türen; sensorgestützte Sanitärausstattung.

Video- und Intercom-Systeme: Zutrittsnahe Kameras mit Privacy-Masking, definierte Sichtschutzzonen; Speicherung mit kurzen Fristen; Intercom an Serviceeingängen/Schleusen (z. B. bei Nachtbetrieb).

Sicherheitsleitstelle/PSIM: Zusammenführung von ACS-, VMS-, Video-, Einbruch-/Brandmeldedaten; definierte Alarm-Workflows (z. B. „Tür erzwungen“, „Überfüllung Wartezone“), Interventionstrigger an Sicherheitsdienst.

ELA/SAA und Notruf: Sprachalarmierungsanlagen (DIN EN 54-16) für geordnete Evakuierung unter Berücksichtigung von Besuchern; stille Alarme/Duress Codes an Pforten; Bodycams für Security in sensiblen Lagen (mit klaren Datenschutzregeln).

Evakuierungs- und Mustersysteme: Abgleich von VMS-Check-in-Daten mit realer Belegungssensorik zur Plausibilisierung der Besucherzahl; musterfähige Besucherlisten an Sammelplätzen via Tablet/Offline-Druck.

KIS-Anbindung: Zweckgebundene, minimalistische Schnittstelle: patientenbezogene Besuchserlaubnis-Flags, Stations-/Rauminformation, Besuchsfenster; technisch via HL7 ADT/ORM oder FHIR-basierte Services; kein Abruf sensibler Diagnosen.

IAM/SSO: OIDC/SAML für Mitarbeitendenzugriffe auf VMS/ACS; SCIM-Provisionierung für Rollen; Besucher erhalten keine Directory-Konten, sondern transiente Identitäten.

Protokollierung/SIEM: Ereignisdaten aus VMS/ACS/Video in ein SIEM für Korrelation (z. B. mehrfacher Fehlversuch + Türalarm); datenschutzkonforme Retention/Maskierung.

Netzwerksicherheit: Segmentierung (ACS/Video/IoT getrennt), Zero-Trust-Ansätze, TLS mit mTLS zwischen Komponenten, Härtung von Controllern, regelmäßige Schwachstellenscans, signierte Firmware-Updates.

Verfügbarkeit: Redundante Server (Cluster), USV/Notstrom an kritischen Knoten, lokaler Fallback (Edge-Controller arbeiten bei Netzwerkverlust autonom), definierte Notprozesse (Papierlisten, manuelle Badges).

Fail-Safe vs. Fail-Secure: Türen in Fluchtwegen fail-safe (öffnen bei Alarm/Spannungsausfall), stark gesicherte Zonen fail-secure mit übersteuernder Brandschutzlogik; Abstimmung mit Sachverständigen/Brandschutzplan.

Notbetriebsfähigkeit: Papierbasierte Check-in-Kits, mobile Handscanner mit Offline-Whitelist, Notfall-Badge-Drucker, Interimsbeschilderung (Roll-ups), manuelle Besucherzählung.

Test und Übung: Regelmäßige Evakuierungs- und Schleusenübungen, Blackout-/IT-Ausfall-Drills mit Messung der Wiederanlaufzeiten und Nachsteuern der SOPs.

KI-gestützte Anomalieerkennung: Muster in Zutrittslogs (z. B. ungewöhnliche Bewegungsmuster, Badge-Sharing) können automatisch erkannt werden; Nutzen: frühzeitige Detektion; Grenzen: False Positives, Erklärbarkeit, Datenschutz (nur Metadaten, keine Profilbildung ohne Rechtsgrundlage).

Automatisierter Check-in: Self-Service-Kioske mit Dokumentenscan, QR-Validierung, Badge-Druck entlasten die Pforte; menschliche Supervision bleibt erforderlich; Gesichtserkennung wird für Besucher nicht empfohlen (DSFA, Einwilligung, Bias).

Indoor-Navigation/Wayfinding-Apps: BLE-Beacons/Wi‑Fi RTT ermöglichen präzise Navigation; nur opt-in mit lokaler Verarbeitung; Alternativen: dynamische Digital Signage.

Robotik und Telepräsenz: Telepräsenzroboter/Tablets als Ergänzung bei Besuchsrestriktionen; FM stellt Lade- und WLAN-Infrastruktur, IT sichert Netze; physische „Roboterguides“ zur Besucherlenkung sind Pilotstadium – Nutzen abwägen gegen Aufwand.

PPE-Automaten und IoT: Automatisierte Ausgabe koppelt Verbrauch mit Refill-Prozessen; IoT-Spender liefern Compliance-Indikatoren; Datensparsamkeit und IT-Härtung beachten.

Bewertung: Technologien sind dort einzusetzen, wo sie messbar Sicherheit/Qualität erhöhen, ohne Barrieren zu schaffen; Piloten mit klaren KPIs, Datenschutzfolgenabschätzung und Nutzerakzeptanztests sind Standard.

Betriebsmodell: 24/7-Supportfenster an Hauptzugängen, definierte SLAs für Störungen (z. B. ACS-Kritikalität hoch), Rufbereitschaften; Rollen: System Owner (FM/IT), Service Owner (Sicherheitsmanagement), Data Owner (DSB/ISB).

Wartung und Prüfungen: Periodische Funktionsprüfungen von ACS, Schleusen, ELA, Video; Kalibrierung von Zählsensoren; Hygieneprüfungen (VDI 6022); Firmware-/Patch-Management mit Test-/Rollback-Konzept.

Abnahme und Qualität: FAT/SAT, Funktions- und Integrationstests (Use-Case-basiert: ICU-Schleuse, Evakuierung, Systemausfall), Dokumentation (As-Built, Netz-/Datenflussdiagramme, Wartungspläne).

Lebenszyklus und Skalierung: Architektur auf Modularität und offene APIs auslegen; Migrationspfade (Legacy-ACS -> IP-basiert), Hardware-Refreshzyklen, Lizenz- und Cloud-Strategien (On-Prem, Hybrid, Cloud – unter Beachtung von Datenschutz/KRITIS).

Nutzerakzeptanz: UX-Design an Pforte/Kiosk, Mehrsprachigkeit, „Human in the Loop“; kontinuierliches Feedback aus Empfang, Stationen und Besuchern, schnelle Iterationen.

Durch diese technisch-organisatorische Gesamtkonzeption entsteht ein belastbares, menschenzentriertes Besuchermanagement: Besucher erleben einen klaren, zügigen und wertschätzenden Prozess; gleichzeitig erfüllen Kliniken Hygiene-, Sicherheits-, Datenschutz- und Resilienzanforderungen auf „Stand der Technik“-Niveau. Die Integration in KIS, Sicherheitsleitstelle und Gebäudetechnik, kombiniert mit datensparsamer Digitalisierung und robuster Notbetriebsfähigkeit, ist dafür der Schlüssel.

Identifikation: Workshops mit FM, Hygiene, Pflege, Sicherheit, IT/DSB; Begehungen (Gemba), Incident-Analysen, Auditergebnisse, Lessons Learned (COVID-19), FMEA/Bow-Tie für kritische Szenarien.

Bewertung: Zweidimensionale Matrix mit Eintrittswahrscheinlichkeit (E) und Auswirkung (A); Skalenkalibrierung je Bereich (ICU/Isolation strengere Impact-Schwellen). E (1–5): 1 sehr selten, 2 selten, 3 gelegentlich, 4 häufig, 5 sehr häufig. A (1–5): multidimensional zu bestimmen (Patientensicherheit, Compliance/Recht, Betriebskontinuität, Reputation, Finanzen); der höchste Einzeldimension-Score zählt.

Risikoprioritätszahl RPN = E × A; Schwellen z. B.: niedrig 1–6, mittel 7–12, hoch 15–25 (gelb/rot).

Behandlung: Vermeiden, Vermindern, Verlagern, Akzeptieren (mit Begründung); Maßnahmenbündel technisch, organisatorisch, personell, baulich (TOPB).

Chancen: Positive Risiken werden analog erfasst (z. B. bessere Genesung durch Besuch, Servicefeedback); Nutzen-Score (N 1–5) und Realisierungswahrscheinlichkeit (W 1–5) ergeben Opportunity-Priorität OPN = N × W; Maßnahmen zur Realisierung/Skalierung festlegen.

Risiko-ID und Kategorie: z. B. 6.1 Infektionsprävention, 6.2 Sicherheit/Zutritt, 6.3 Visitor-Flow, 6.4 Digitales VMS, 6.5 Notfall/Krise.

Titel und Beschreibung: prägnant, szenariobezogen (Schadensbild).

Ursachen/Trigger: z. B. fehlende Schleusendisziplin, Systemausfall, Spitzenlast, Social Engineering.

Betroffene Bereiche/Stakeholder: ED, ICU/IMC, Isolation, Pädiatrie, öffentlich zugängliche Zonen.

Bestehende Kontrollen: Policies, SOPs, Technik (ACS/VMS/RLT), Schulungen, Dienstverträge.

Bewertung: E, A, RPN; Begründung der Einstufung; Risikokriterium (Toleranz/Risk Appetite).

Maßnahmenplan (TOPB): Maßnahme, Wirksamkeit (erwartet), Aufwand, Termin, Abhängigkeiten.

Verantwortlichkeiten (RACI): Risk Owner (A), Control Owner (R), Consulted (C), Informed (I).

Ressourcen/Budget: CAPEX/OPEX, Priorität.

Residualrisiko: E/A/RPN nach Umsetzung; Restakzeptanz dokumentiert.

Überwachung/KPIs: Kennzahlen, Ziel-/Schwellenwerte, Datenquelle, Frequenz, Reportingpfad.

Norm-/Rechtsbezug: IfSG, KRINKO, DSGVO, DIN/VDI/ISO; Nachweise/Verweise.

Eskalationspfade und Notfallpläne: Schwellenbasierte Eskalation (operativ -> Lenkungskreis -> Krisenstab).

Portfolio-Betrachtung: Heatmap der RPNs je Kategorie und Klinikbereich; rote Risiken erhalten kurzfristig Ressourcen, gelbe mittelfristig, grüne werden überwacht.

Kontextgewichtung: ICU/Isolation und Pädiatrie erhalten höhere Schutzgewichte; damit können identische RPNs bereichsspezifisch unterschiedlich priorisiert werden.

Abhängigkeiten: Maßnahmenbündel paketieren (z. B. „ICU-Schleusen-Upgrade“ inkl. SOP, Schulung, Beschilderung, Vorratshaltung).

Risk Owner: Infektion/Hygiene: Hygieneleitung; Zutritt/Sicherheit: Sicherheitsmanagement/FM; Visitor-Flow/Wegeleitung: FM; Digitales VMS/IT-Sicherheit: IT/ISB; Notfall/Krise: Klinikleitung/Krisenstab.

Control Owner: Operative Umsetzung an Pforte/Station; Dienstleister (z. B. Sicherheitsdienst, Reinigung) mit DIN-/Vertragsbindung.

Governance: Lenkungskreis validiert Bewertungen, priorisiert Budgets, überwacht KPI-Ziele; QM steuert den PDCA-Zyklus.

Jede Risiko- und Chancenposition ist mindestens einem KPI zugeordnet: Beispiel Risiko Hygiene: KPI „Hygiene-Compliance Besucher (%)“, Ziel ≥ 90 %, Schwelle 85 % -> Maßnahmentrigger (Sonderunterweisung, Nudging, Schleusenstaffing).

Beispiel Risiko Zutritt: KPI „unbefugte Zutrittsversuche/1.000 Besucher“, Ziel ≤ 1, rote Schwelle ≥ 3 -> Türhärtung, Schulung Pforte, Security-Präsenz erhöhen.

Beispiel Chance Prozessqualität: KPI „Durchschnittliche Check-in-Zeit (min)“, Ziel ≤ 5 -> Ausbau Self-Service-Kioske.

Reporting: Monatlicher KPI-Review, Quartals-Audit; Ampellogik und Trendpfeile; Ursachenanalyse bei Abweichungen, verbindliche Korrekturmaßnahmen mit Fristen.

Früh- und Spätindikatoren: Leading (z. B. Schulungsquote, Wartungsstatus ACS); Lagging (Vorfallsrate, Ausbrüche). Kombination erhöht Prognosequalität.

Mit diesem methodischen Rahmen schafft das Risikoregister Transparenz, Entscheidungsreife und Wirksamkeit: Risiken werden konsistent bewertet, Maßnahmen ressourcenwirksam priorisiert, Verantwortlichkeiten eindeutig zugewiesen und Effekte über KPIs objektiv nachverfolgt.

Symptome bei Besuchenden, fehlende Selbstselektion/Selbstauskunft

Mangelhafte Händehygiene, falsche Maskennutzung

Physische Nähe/berührungsintensive Besuche (z. B. in Pädiatrie/Palliativ)

Unklare Trennung „rein/unrein“, Überfüllung von Wartezonen

Unkontrollierte Mitnahme/Einbringen von Gegenständen (Blumen, Lebensmittel)

Unzureichend gereinigte hochfrequente Kontaktflächen (Handläufe, Tasten)

Tröpfchen/Aerosole: Besonders in geschlossenen, schlecht belüfteten Räumen mit hoher Aufenthaltsdichte; relevant in Wartezonen, Aufzügen, Mehrbettzimmern.

Kontakt/Schmierinfektion: Über Hände, Kleidung, persönliche Gegenstände via Kontaktflächen.

Fomite-basierte Übertragung: Einbringen kontaminierter Gegenstände in patientennahe Bereiche.

Reimport/Reinfektion: Wiederholte Besuche ohne adäquate Schutzmaßnahmen in Isolationssituationen.

Raumlufttechnik nach DIN 1946‑4/VDI 6022, ausreichende Luftwechsel, ggf. HEPA-Filtration in kritischen Bereichen; mobile Luftreiniger für temporäre Entzerrung.

Schleusen mit Interlock, Druckstufen, visuellen Ampeln; großzügige Spenderlandschaft (ABHR) mit Telemetrie; kontaktarme Türsysteme.

Zonierte Wegeführung und dedizierte Besucheraufzüge; Boden- und Wandsignaletik („rein/unrein“).

Besuchsfenster und Slot-Management pro Bereich; Kontingentierung in Hochrisikozonen (ICU/Isolation).

Symptom-/Expositionsabfrage (Selbstauskunft) vor Ort oder prae‑visit; Ausschluss bei akuten Symptomen.

Klare Regeln zu Mitbringseln, Kleidung (z. B. keine Außenschuhe in Isolation) und Aufenthaltsdauer.

Reinigungs- und Desinfektionspläne mit erhöhter Frequenz an Kontaktpunkten; separate Entsorgungswege.

Besuchsunterweisungen in Leichter Sprache und Mehrsprachigkeit; visuelle Schrittfolgen (PPE).

Ausgabe, Anleitung und Supervision bei PPE-Anlage/-Abnahme; Begleitung in sensiblen Zonen.

Deeskalationskompetenz am Empfang/Security zur Durchsetzung von Hygieneregeln.

Schulungen für Empfang/Stationen zu KRINKO-konformen Besucherprozessen.

Ausreichende Schleusen- und Warteflächen mit Abstandsoption; Sichtbeziehungen für Aufsicht.

Trennung von Besucher- und Logistikwegen; robuste, gut reinigbare Oberflächen.

Pre-Visit: Information über Hygieneregeln (Website, Einladung), Selbstauskunft/Screening, Slot-Zuteilung.

Check-in: Händedesinfektion, Maskenpflicht nach Lageeinschätzung (mindestens in vulnerablen Bereichen), Ausgabe ggf. weiterer PPE (Kittel, Handschuhe), Unterweisung; Ablehnung bei Symptomen.

Aufenthalt: Einhaltung der Wegführung, Vermeidung von Aufenthalten in Knotenpunkten; kein Sitzen auf Patientenbetten; Beschränkung der physischen Interaktion nach Bereichsvorgabe; kein Betreten von Personal- und Versorgungszonen.

Check-out: Händedesinfektion, fachgerechte Entsorgung der Einweg-PPE, Rückgabe von Besuchsbadges; Hinweis auf Kontaktaufnahme bei nachträglich auftretenden Symptomen (Outbreak-Prävention).

Mitbringsel: Nur abwischbare Gegenstände; keine Topfpflanzen/ungepackten Lebensmittel in Risikobereichen.

Kinder als Besucher: Strengere Begrenzung und zusätzliche Begleitung, je nach Bereich.

Zutritt nur nach expliziter Freigabe durch Pflege/Ärztlichen Dienst; begrenzte Besuchszahl.

Strenge Schleusensequenz: Reihenfolge Händedesinfektion – Maske – Kittel – Handschuhe; beim Verlassen umgekehrt; visuelle SOPs in der Schleuse.

Druckdifferenzüberwachung mit Alarmierung; Türinterlock zwingend; Minimierung von Türöffnungszeiten.

Separater Abwurf und Entsorgungsroute; kein Transfer von Gegenständen ohne Desinfektion.

Besuchsfenster kurz und terminiert; PPE je nach Patientenstatus (z. B. FFP2/FFP3 bei aerosolgenerierenden Maßnahmen).

Begleitpflicht durch Personal; Vermeidung von Gerätekontakt (Infusionspumpen, Beatmungsgeräte).

Geräusch-/Bewegungsdisziplin zur Sicherung des klinischen Betriebs.

Onkologie/Transplantation (hinweisend):

Erweiterte Masken- und Händehygienepflicht; teilweise genereller Ausschluss symptomatischer Besucher auch ohne bestätigte Infektion.

Hygieneleitung/Hygienefachkräfte: Erstellung und Aktualisierung des Hygieneplans (Besucherprozesse), Festlegung bereichsspezifischer PPE-Standards, Durchführung von Audits/Begehungen, Beratung bei Ausnahmen.

Facility Management: Sicherstellung der technischen und infrastrukturellen Voraussetzungen (Schleusen, RLT, Spender, Signaletik), Bevorratung/Refill-Logistik für PPE/ABHR, Koordination von Reinigungsintervallen.

Pflegedienst/Stationsleitungen: Patientenspezifische Besuchserlaubnis, Unterweisung/Begleitung im Bereich, Dokumentation der Besuche (sofern gefordert), Meldung von Abweichungen/Beinaheereignissen.

Sicherheitsdienst/Empfang: Screening, Durchsetzung der Hygieneregeln, Eskalation bei Verstößen, Besucherflusskontrolle.

Reinigung/Desinfektion: Umsetzung der Flächenhygienepläne, Schwerpunkt auf Kontaktflächen im Besucherpfad, Rückmeldung zu Auffälligkeiten (z. B. Spenderleerstand).

Klinikleitung/Krisenstab: Anpassung der Regelungen in besonderen Lagen (Pandemie, Ausbrüche), Kommunikation nach innen/außen.

IfSG (§ 23: Hygiene in medizinischen Einrichtungen) und behördliche Allgemeinverfügungen in besonderen Lagen.

KRINKO-/RKI-Empfehlungen: Händehygiene, Prävention nosokomialer Infektionen, Isolation, Besuchsregelungen in Ausbruchssituationen; Orientierung an evidenzbasierten Standards.

DIN 1946‑4 und VDI 6022: Raumlufttechnik, hygienischer Betrieb, Wartung.

DGKH/AK-Hygiene-Empfehlungen: Praktische Umsetzungshilfen in Schleusen und Patientenbereichen.

Interne Hygienepläne: Hausindividuelle Konkretisierung und Verbindlichkeit.

Beobachtete Händehygiene-Compliance (Stichproben), ABHR-Verbrauch pro 1.000 Besucher als Proxy, PPE-Compliance-Checks an Schleusen.

Ereignismonitoring: Meldung und Analyse von Hygieneverstößen/Beinaheereignissen; Outbreak-Management mit Traceback über Besuchsprotokolle (datenschutzkonform, zeitlich begrenzt).

KPIs: Hygiene-Compliance Besucher (%), Spender-Verfügbarkeitsquote (%), Schleusen-Fehlbedienungen (Anzahl/Monat), Ausbruchsereignisse mit Besucherbezug (Anzahl/Quartal).

KVP: Rückkopplung von Ergebnissen in Schulung, Beschilderung, Infrastruktur (z. B. zusätzliche Spender, bessere Visualisierungen), regelmäßige Reviews in Hygienekommission/Lenkungskreis.

Unbefugter Zutritt: Eindringen in patientennahe oder kritische Bereiche (ICU, OP-Vorhalte, Technikräume), Umgehung von Pforte/Nebeneingängen, Social Engineering.

Diebstahl und Sabotage: Entwendung von Patienteneigentum, Medizintechnik, Medikamenten; Manipulation an Infrastruktur.

Gewalt und Übergriffe: Verbale/physische Aggression gegenüber Personal/Patienten, situative Eskalationen (z. B. in der Notaufnahme), häusliche Gewalt-Konstellationen, Stalking.

Weglaufen/Elopement: Entweichen vulnerabler Patientengruppen (Delir/Demenz, Psychiatrie, Pädiatrie), Kindesentführungsszenarien.

Brand- und Evakuierungsrisiken: Blockierte Fluchtwege durch Besucheransammlungen, Panik in Ausnahmesituationen.

Flächenklassifikation: Öffentlich (Foyer), halböffentlich (Ambulanzen), geschützt (Stationen), kritisch (ICU/IMC, Pädiatrie-Zutrittskerne), besonders kritisch (Isolationskerne, Technik/Apotheke).

Rollenspezifische Regeln: Besucher erhalten minimal erforderliche Berechtigungen (Least-Privilege) zeitlich (Slot) und räumlich (Zielstation, Etage) limitiert.

Besucherausweise mit zeitlich befristeter Gültigkeit (QR/RFID), gut sichtbar zu tragen.

Identitätsprüfung risikoadaptiert: Visueller Abgleich bei sensiblen Zonen; Dokumentenscan ohne Vollspeicherung, wenn erforderlich.

Escort-Modus: In kritischen Bereichen nur begleiteter Zutritt durch autorisiertes Personal.

Voranmeldung und tagesaktuelle Besuchslisten pro Station; Freigabe-Flags aus dem KIS (z. B. Sperre bei Isolation) werden ins VMS übernommen.

Schwarze Listen/Temporärsperren bei Hausverboten, gerichtlichen Auflagen oder Gewaltvorkommnissen.

Zutrittskontrollsystem (ACS) mit Türkontakten, Leser an Stationskernen, Liftsteuerung (Etagenfreigabe nur für Zielstockwerk).

Personenvereinzelung an Hauptzugängen je nach Brand- und Barrierevorgaben; Nachtbetrieb mit Schleusen/Intercom.

Mechanische Grundsicherheit (Tür-/Fensterbeschläge EN 179/1125), sichere Schließhierarchien (Master-Key-Management).

Videoüberwachung an Zugängen/Übergangsbereichen mit Privacy-Masking; keine Überwachung in patientenintimen Zonen.

Live-Aufschaltung in Sicherheitsleitstelle; kurze Speicherfristen, zweckgebundene Auswertung (Datenschutz beachten).

Stufe 1 – Deeskalation vor Ort: Empfang/Sicherheitsdienst spricht an, erinnert an Regeln, bietet Begleitung an; dokumentiert im Ereignistool.

Stufe 2 – Bereichseingriff: Hinzuziehen von Stationsleitung/Hygiene/Sicherheitsmanagement; temporäre Zutrittssperre, Umleitung von Besucherströmen, Verstärkung der Präsenz.

Stufe 3 – Klinikweite Lage: Alarmierung über Leitstelle (PSIM), Aktivierung definierter Codes (z. B. „Code Gewalt“, „Code Kind“), behördliche Einbindung (Polizei), ggf. Teilschließung von Eingängen.

Notruf und Duress: Notruftaster/Stillalarme an Pforten; klare Rufnummernketten und Schlagworte.

Ereigniskategorien: Zutrittsverstoß, Sachdiebstahl, Aggression, Elopement, Kinderschutz. Jede Kategorie hat SOP, Checkliste und Dokumentationspflicht.

Nachsorge: Debriefing, Meldung an Arbeitsschutz/QM, Maßnahmenplan (baulich/organisatorisch/personell).

Hohe Volatilität: Besucherzugang in der Akutphase restriktiv; Zutritt nur nach Freigabe durch Triage/Behandler, klare Wartezonenabgrenzung.

Temporäre Lenkungsmaßnahmen: Mobiltrennwände, Security an der Eingangstür, Ticket-/Rufsysteme; schnelle Eskalation bei aggressivem Verhalten.

Nacht-/Spitzenzeiten: Verstärkte Security-Präsenz, Zugang über Schleuse mit Intercom; konsequente Durchsetzung der Hausordnung.

Striktes Zeit- und Mengenregime: Besuchsfenster, Ein-Personen-Regel pro Patient, Escort-Pflicht, PPE-Kontrolle.

Technische Barrieren: Interlock an Schleusen, ACS an Türen zu Pflegekernen; Videoaufsicht an Übergängen.

Schutz vor Störung: Geräuschdisziplin, keine Mitnahme von Taschen/Rucksäcken, definierte Aufenthaltsbereiche.

Säuglings- und Kinderschutz: Zutritt über kontrollierte Kerne; Ausgabe und Kontrolle von Eltern-/Sorgeberechtigten-Bändern/Badges; Abholberechtigungen mit Code/QR-Verifikation.

Kindesentführungsschutz („Code Pink“-äquivalente Abläufe): Tür-/Liftverriegelung (zonenspezifisch), stiller Alarm, Sofortpostierung von Security an Ausgängen, Polizei-Alarmierung nach Schema.

Geschwister- und Fremdbesuche: Streng reglementiert; zusätzliche Begleitung, Identitäts- und Gesundheitscheck (z. B. Symptome).

Präventiv: Beobachtungs- und Informationskette zwischen Pflege, Security und Leitstelle; unauffällige Türsensorik, Alarm bei unautorisiertem Austritt aus Schutzbereichen.

Rechtliche Beachtung: Freiheitseinschränkende Maßnahmen nur mit rechtlicher Grundlage; Fokus auf Beobachtung, Ansprache, baulich-organisatorische Prävention.

Qualifikation nach BewachV und klinikspezifischer Schulung (Deeskalation, Hygienegrundlagen, Kindeswohl, Datenschutz).

Berichtswesen: Lagedokumentation in Echtzeit, standardisierte Vorfallsberichte, tägliches Briefing.

PSIM/Sicherheitsleitstelle bündelt Alarme (ACS/Video/Einbruch/Brand) und Besucherereignisse; vordefinierte Workflows und Checklisten.

ELA/SAA: Gezielte Sprachdurchsagen für Bereiche (Evakuierung/Schließung), koordinierte Besucherführung im Ereignisfall.

Minimalprinzip bei Datenerfassung; klare Zugriffsrechte; DSFA für flächendeckende Video-/Analyseverfahren; kurze Speicher- und Löschfristen.

Verträge und SLAs mit Dienstleistern (DIN 77200-Qualität, Reaktionszeiten, Berichtspflichten).

KPIs: Unbefugte Zutrittsversuche je 1.000 Besucher; Reaktionszeit Security (min); Anzahl Sicherheitsvorfälle/Monat (nach Kategorie); Schließzeiten an kritischen Türen (Sekunden); Vollständigkeit Check-in/Check-out-Protokolle; Beschwerdequote zu Sicherheit/Service.

KVP: Auswertung von Trends, Anpassung von Zonierung/Personalpräsenz, Optimierung von Beschilderung/Wegeführung, gezielte Schulungsimpulse.

Kreuzkontaminationen durch fehlende Trennung „rein/unrein“ und überfüllte Knotenpunkte (Foyers, Aufzüge, Stationskerne).

Orientierungsverlust: Umwege, Betreten falscher Bereiche, Stress und Verzögerungen bei Terminen.

Blockierte Flucht- und Rettungswege, eingeschränkte Evakuierbarkeit.

Erhöhte Belastung des Personals durch häufige Weganfragen und Ad-hoc-Begleitungen.

Klarheit vor Komplexität: Reduzierte, konsistente Signaletik und redundante Weginformationen.

Trennung von Strömen: Besucher-, Patienten-, Personal- und Logistikwege möglichst physisch und zeitlich separieren.

Kürzeste sichere Wege: Direktführung zu Zielzonen, Vermeidung von Pflegekernen als Durchgangsflächen.

Barrierefreiheit und Inklusion: Alle Leitmedien für unterschiedlich befähigte Personen nutzbar gestalten.

Skalierbarkeit: Temporär erweiterbare Kapazitäten (mobile Leitstrukturen, Zusatzkioske) für Spitzen.

Dedizierte Besucherachsen vom Eingang bis zu Zielbereichen; farbcodierte Bodenlinien und Wandpiktogramme.

Getrennte Aufzüge für Besucher vs. Patienten/Logistik; DCS-Kopplung zur Etagenfreigabe nur für Zielstockwerke.

Wartezonen mit klarer Zuordnung zu Bereichen, Distanzmarkierungen, Belegungsanzeigen bei hoher Frequenz.

Einheitliches Leitsystem gemäß DIN 1450 (Lesbarkeit) und DIN 32975 (barrierefreie visuelle Informationen); Sicherheitszeichen nach DIN EN ISO 7010.

Mehrsprachige, leicht verständliche Texte; Piktogramm-First-Strategie; konsistente Iconographie.

Interaktive Wegfinder (Stelen, QR-Maps) und optionale Indoor-Navigation (Opt-in, datensparsam).

Visuell und baulich markierte Übergänge (z. B. farbliche Kodierung, Türportale), keine Kreuzungspunkte mit Sterilgut-/Abfalllogistik.

Schleusen an Schnittstellen zu IMC/ICU/Isolation; Einbahnstraßenprinzip, wo räumlich möglich.

Mobile Leitwände/Absperrbänder, zusätzliche Bodenmarkierungen, temporäre Empfangs- und Screening-Stationen bei Bauphasen/Spitzen.

Stationskerne, Pflegestützpunkte und Behandlungszonen sind keine Durchgangswege; deutliche Kennzeichnung „nur Personal“.

Pädiatrie: Zugang über kontrollierte Kerne; Eltern-/Berechtigtenbänder als „Passierschein“, kindersichere Schleusen.

ICU/Isolation: Besucherführung ausschließlich über Schleusen; klare Wartezonen außerhalb der Druckstufenzonen.

Weginformation auf Augenhöhe und im Bodenbereich (Dual Placement); Kontrast- und Schriftgrößen nach DIN 1450/DIN 32975.

Taktile Leitstreifen, Braille an Handläufen/Beschilderung, induktive Höranlagen an Info-Points.

Sitzgelegenheiten in längeren Wegstrecken; kurze Wege zu Sanitäranlagen; ausreichend breite Verkehrsflächen für Rollstühle/Betten.

Niedrigschwellige Informationsmedien (Leichte Sprache, Piktogramme) und Servicepunkte mit persönlicher Unterstützung.

Facility Management: Planung, Umsetzung und Instandhaltung der Wegeinfrastruktur, Beschilderung, Aufzugskonfiguration; Kapazitätsmanagement und temporäre Lenkung bei Spitzen/Events.

Empfang/Sicherheitsdienst: Operative Wegweisung, Monitoring von Wartezonen, Umsetzung temporärer Leitmaßnahmen, Eskalation bei Überlast.

Pflege/Stationsleitungen: Feinabstimmung bereichsspezifischer Zugänge, Rückmeldung zu Störungen (z. B. Durchgangsverkehr), Koordination von Begleitungen.

Hygiene: Prüfung von Trenn- und Schleusenkonzepten, Vorgaben zu „rein/unrein“.

Kennzahlen: Überlastungsereignisse in Wartezonen/Aufzügen, durchschnittliche Weganfrage pro 100 Besucher, Beschwerdequote zur Wegleitung, Zeit vom Eingang bis Zielbereich.

Instrumente: People-Counting, Belegungsanzeigen, stichprobenartige Nutzerbeobachtungen („Wayfinding Walks“).

KVP: Quartalsweises Review im Lenkungskreis; Anpassung von Beschilderung, Bodenmarkierungen und Aufzugslogik; Tests in Bau-/Umbauphasen mit begleitendem Feedback.

Verfügbarkeit: System- oder Netzwerkausfall, Kiosk-Defekt, Drucker-/Leserausfall.

Vertraulichkeit/Integrität: Datenpannen, unautorisierte Zugriffe, Fehlkonfigurationen, QR-/Badge-Sharing, Insider-Missbrauch, Ransomware.

Datenschutzkonformität: Übererhebung sensibler Daten (Gesundheitsstatus), fehlende Transparenz, unklare Löschfristen, mangelhafte Betroffenenrechte.

Schnittstellenfehler: Falsche Berechtigungsübernahme (VMS→ACS), Zeitversatz, Dubletten, Fehlzuordnung von Besuchern/Stationen.

Usability/Barrierefreiheit: Komplexe Dialoge, Sprachbarrieren, Kiosk-Härtung unzureichend (Missbrauch).

Rechtsgrundlagen: DSGVO Art. 6 Abs. 1 lit. f (berechtigtes Interesse an Sicherheit/Infektionsprävention) bzw. lit. e (öffentliche Aufgabe, soweit zutreffend). Verarbeitung besonderer Kategorien (Art. 9) nur, wenn unbedingt erforderlich, rechtlich gedeckt und mit Garantien; Test-/Impfstatus grundsätzlich vermeiden, andernfalls eng befristen.

Datenminimierung: Pflichtfelder auf Identifikation, Besuchszeitraum, besuchte Einheit, Gastgeber; optionale Kontaktdaten nur bei legitimem Zweck (z. B. Rückruf bei Ereignissen).

Transparenz: Informationspflichten (Art. 13) an Kiosken/Online-Formularen; klare Zwecke, Speicherdauer, Empfängerkategorien, DSB-Kontakt.

Lösch-/Speicherfristen: Kurz halten (z. B. Besuchsstammdaten 30 Tage, Zutrittsereignisse 7–14 Tage), begründete Ausnahmen dokumentieren.

DSFA: Erforderlich bei umfangreicher systematischer Überwachung, biometrischen Verfahren oder weitreichender Vernetzung mit Video/ACS.

Auftragsverarbeitung: AV-Vertrag (Art. 28) mit VMS-Anbieter; Datenlokation in der EU/DACH, Subunternehmer-Transparenz, TOMs nach Art. 32.

Architektur: Redundante Applikations- und Datenbank-Cluster, USV/Notstrom; Edge-Fähigkeit an Türcontrollern (ACS) für Autonomie; Kiosk-Härtung (Kiosk-Mode, App-Whitelisting, Secure Boot, deaktivierte Ports).

Verschlüsselung: TLS 1.2+ Ende-zu-Ende, mTLS für System-zu-System; Daten-at-Rest via AES-256, Schlüsselmanagement (HSM/Managed KMS).

Zugriff: RBAC/ABAC, Least-Privilege, 2FA für Admins/Remote-Zugänge; getrennte Admin- und Operator-Rollen.

Protokollierung: Unveränderbare Audit-Trails (WORM/Hashchain), Integritätsprüfung, Log-Rotation; korrelierte Events in SIEM.

Patch-/Vuln-Management: Monatliche Patches, CVSS-basierte Priorisierung, signierte Updates, regelmäßige Schwachstellenscans/Pen-Tests.

Backup/Restore: Tägliche Backups, verschlüsselt, offline-Kopie; Restore-Tests quartalsweise, definierte RTO/RPO (z. B. RTO 4 h, RPO 24 h).

SOPs: Check-in/ID-Prüfung, Badge-Handling, Ersatzprozesse bei Ausfall, Besucheraufklärung, Missbrauchsanzeichen (Badge-Sharing).

Rechte-Review: Quartalsweise Rezertifizierung der VMS-/ACS-Berechtigungen; sofortige Entziehung bei Rollenwechsel.

Fallback: Manuelle Check-in-Kits (Formulare, Nummernbadges), temporäre Listen, nachträgliche Digitalisierung; definierte Entscheidungsschwellen (Lenkungsruf Leitstelle/IT).

Schulungen: Datenschutz, Informationspflichten, Kiosk-Bedienung, Deeskalation, Incident-Meldung; E-Learning mit jährlicher Auffrischung.

KIS: Minimalistische, zweckgebundene Daten (Besuchserlaubnis-Flags, Station/Zimmer), via HL7 ADT/FHIR; keine Diagnosen/Behandlungsdetails.

ACS/DCS: Echtzeit-Übergabe temporärer Rollen, Etagenfreigaben, Anti-Passback; Fail-Safe bei Brandalarm.

IAM/SSO: SAML/OIDC für Mitarbeitendenzugriff; SCIM für Rollen-Provisionierung; keine dauerhaften Identitäten für Besucher (transiente Token).

Leitstelle/PSIM/SIEM: Standardisierte Events (Check-in/out, Sperre, Alarm), Normzeiten, Eskalationshooks; datenschutzkonforme Aggregation.

Defense-in-Depth: Netzsegmentierung (VMS/ACS/Video/IoT getrennt), Firewalls/Micro-Segmentation, Zero-Trust-Policies.

Secure-by-Design/Default: Privacy-by-Design, sichere Defaults (keine offenen Standardpasswörter), Härtungs-Benchmarks (CIS).

Least Data: Keine Ausweiskopien speichern; Dokumentenscan nur zur Echtheitsprüfung ohne Persistenz.

Biometrie: Für Besuchende grundsätzlich vermeiden; falls zwingend, nur mit freiwilliger Einwilligung, Alternativverfahren und DSFA.

System Owner (IT): Verfügbarkeit, Sicherheit, Lifecycle.

Process Owner (FM): Prozessdesign, Service-Level, Schnittstellen zu Empfang/Sicherheit.

Informationssicherheitsbeauftragte (ISB): ISMS/ISO 27001-Compliance, Risikobewertung, Controls.

Datenschutzbeauftragte (DSB): Rechtsgrundlagen, DSFA, Löschkonzept, Betroffenenrechte.

Betreiber Empfang/Sicherheitsdienst: Operative Durchführung, Incident-Meldungen.

Anbieter/Auftragsverarbeiter: SLA/TOMs, Security-Patches, Nachweisdokumente.

KPIs: Systemverfügbarkeit (%), mittlere Check-in-Zeit (min), Incident-Rate (Sicherheits-/Datenschutz), Lösch-Compliance (% fristgerecht gelöscht), Zeit zur Bearbeitung von Auskunftsersuchen (Tage), erfolgreiche Restore-Tests (%).

Alarme/Schwellen: Uptime < 99,5 % -> Problem-Review; fehlgeschlagene Logins/Admin > Schwelle -> Account-Review; Log-Verlust -> sofortige Eskalation.

Review-Zyklus: Monatliches Security-/Datenschutz-Review im Lenkungskreis; jährlich Managementbewertung (ISO 27001/41001) und Tests von Fallback-Prozessen.

CP0 Vorselektion: Leitsystem weist zum Haupt- oder Nebeneingang; Wartebereich mit Distanz- und Kapazitätsanzeige.

CP1 Hygiene-Point: Händedesinfektion; Maskenpflicht bereichsabhängig.

CP2 Terminstatus: QR-/Code-Scan (VMS) oder „Walk-in“.

Identitäts- und Berechtigungsprüfung

CP3 Identitätsprüfung: visueller Abgleich (Ausweis zeigen, keine Kopie); bei Risiko: Dokumentenscanner ohne Datenspeicherung.

CP4 Berechtigung: Abgleich VMS↔KIS-Flag (Besuchserlaubnis, Bereich/Zeitslot); Hausverbote/Restriktionen prüfen.

Einweisung und Ausstattung

CP5 Kurzunterweisung: Verhaltens- und Hygieneregeln (Piktogramm, Leichte Sprache).

CP6 Ausgabe: Besuchsbadge (sichtbar tragen, zeitlich/zoniert) und ggf. PPE (FFP2, Kittel, Handschuhe für sensible Zonen).

Wegweisung und Zugang

CP7 Wegleitung: Ausdruck/QR-Map; DCS-Freigabe für Zielstockwerk; Escort, falls erforderlich (ICU/Isolation/Pädiatrie).

CP8 Zutritt: ACS öffnet berechtigte Türen; Video-/Leitstellen-Monitoring an Übergängen.

Aufenthalt und Rückkehr

CP9 Aufenthalt: Regeln einhalten, keine Durchquerung von Pflegekernen; bei Bedarf Ruf zum Empfang/Sicherheit.

CP10 Check-out: Badge-Scan am Ausgang, PPE-Entsorgung; automatische Abmeldung und Start Löschfristen.

Zeitfenster-basiert, oft Mitarbeitereingang mit Besucher-Intercom.

Pflicht: Voranmeldung (kein Walk-in), stärkere Sichtprüfung, ggf. Begleitpflicht; nachts nur Hauptzugang offen.

Empfang/Pforte (Responsible): Durchführung CP1–CP7, Kundenservice, Dokumentation.

Sicherheitsdienst (Responsible): Deeskalation, Identitäts-/Mitbringselkontrollen, Nebeneingangsbetrieb, Eskalation.

FM (Accountable): Prozess-, Flächen- und Technikverantwortung (ACS, Beschilderung, Spender).

Station/Pflege (Consulted): Besuchserlaubnis, Ausnahmen, Escort-Bereitstellung.

IT/ISB/DSB (Consulted/Accountable für Teilbereiche): Systembetrieb VMS/ACS, Security/Datenschutz, Löschkonzepte.

Leitstelle (Informed/Operativ bei Alarmen): Überwachung, Interventionstrigger.

Identität visuell prüfen; bei Verdacht Dokumentenscan ohne Speicherung.

VMS-/KIS-Flag checken; Hausordnung kurz erläutern.

Badge sichtbar anbringen, Gültigkeit/Zonen erklären.

Hygiene-Pflicht demonstrieren; PPE korrekt anpassen (falls nötig).

Wegweisung doppelt (mündlich + visuell).

Keine Ausweiskopien speichern.

Keine freien Türen/„Piggybacking“ zulassen.

Keine sensiblen Patientendaten abfragen/anzeigen.

Escort organisieren; Schleusen-SOP erläutern.

Eltern-/Sorgeband ausgeben und dokumentieren (Pädiatrie).

Triage-gesteuert: Zutritt für Besucher erst nach Freigabe durch Triage/Behandlungsteam; im Schockraum grundsätzlich kein Zugang (Ausnahmen ärztlich begründet).

Identifikation und Kurzregistrierung an vorgelagertem Checkpoint (Empfang/Security), minimaldatig, mit Hausordnungs-/Hygienehinweis.

Begrenzung: Pro Patient maximal eine Begleitperson; Zeitfenster kurz halten, erneute Bewertung bei Lageänderung.

Schutzregime: Maskenpflicht in der ZNA je nach Lage; symptomatische Besucher ausgeschlossen; Begleitung vulnerabler Patienten (z. B. kognitiv eingeschränkt) als Ausnahme möglich.

Zoniertes Warten: Trennung nach Dringlichkeit/Infektstatus (z. B. „Infektbereich“), klare Kapazitätsgrenzen mit Live-Anzeige.

Wegeleitung: Boden-/Wandsignaletik, mehrsprachige Piktogramme; Aufsicht durch Security/Serviceassistenz.

Deeskalation: Rufsysteme, transparente Warteinformation, Sitzplatzergonomie; niedrigschwellige Ansprache bei Unruhe.

Mobile Trennwände zur Sicht- und Kontaktreduktion; Einbahnstraßenprinzip für ZNA-internen Personenfluss.

Zutrittsschleuse am Eingangsportal bei Abend-/Nachtbetrieb: Intercom, kontrollierte Türöffnung, Kurzscreening.

Hygienepunkte vor und in der ZNA (Desinfektionsspender, Maskenausgabe), regelmäßige Nachfülllogistik.

Akute Eskalation (Aggression/Überfüllung): Stufe 1 Ansprache/Deeskalation; Stufe 2 Verstärkung Security, temporärer Besucherstop; Stufe 3 Leitstelle alarmiert, Türen zonal schließen, Polizei einbinden.

MANV: Sofortiger Besucherstop für ZNA; Absperrungen im Außenbereich, Umleitung auf Informationspunkt außerhalb der Akutzone; Pressestelle koordiniert Angehörigenkommunikation.

Infektlage: Umstellung auf Screening am Eingang, FFP2-Pflicht, Testpflicht je nach Stufe; virtuelle Besuche bevorzugen.

Rollen: ZNA-Leitung (Freigaben), Triage (Zutrittsentscheidung), Empfang/Security (Zugang/Lenkung), FM (Trenn-/Schleusen-Setup), Hygiene (Regeln), Leitstelle (Eskalation).

Check-in-Quicklist: Triage-Freigabe liegt vor? Ident geprüft? Max. 1 Begleitperson? Hygiene unterwiesen? Wartezone zugewiesen? Eskalationsweg bekannt?

Zonierung und Technik: Vorzone (Information/Anmeldung) → Personenschleuse → Patientenzone; separate Materialschleuse.

Tür-Interlock: Erst Tür A schließen, dann Tür B öffnen; optisch/akustisch signalisiert.

Druckdifferenz: Isolation mit Unterdruck (Eintragsschutz), ggf. Überdruck in besonderen Schutzbereichen; kontinuierliche Anzeige/Alarmierung gem. DIN 1946-4/VDI 6022.

Rein/Unrein-Führung: Eindeutige Markierung und Möblierung (rein: PPE-Entnahme; unrein: PPE-Abwurf).

Händehygiene-Spender vor Betreten und nach Verlassen; Sichtbezug und Nudging-Hinweise (KRINKO-konform).

Visualisierung: Schrittfolgen (An-/Ablegen PPE) als Piktogramm in Leichter Sprache; Farbcodierung der Bereiche; Bodenmarkierungen.

Ausgabe: FFP2/FFP3 (bereichs- und lageabhängig), Schutzkittel (flüssigkeitsdicht bei Bedarf), Handschuhe, ggf. Augenschutz/Face Shield.

Größen-/Passformmanagement; ausreichende Bevorratung (FM-gestützt, Telemetrie an Ausgabepunkten).

Donning/Doffing (Grundsequenz): Anlegen (rein): Händedesinfektion → Maske → Kittel → Handschuhe → ggf. Augenschutz. Ablegen (unrein): Handschuhe → Händedesinfektion → Kittel → Händedesinfektion → Augenschutz → Maske → Händedesinfektion.

Supervision: Unterweisung/Begleitung durch geschultes Personal; Korrektur bei Fehlanwendung; dokumentierte Schulungen.

Besucherbuch (elektronisch bevorzugt): Erfasst: Identität (minimal), Patient/Station/Zimmer, Zeitstempel Ein-/Austritt, Begleitperson, PPE-Check (Ja/Nein), Symptom-Screening, Ausnahmen.

Löschfristen: kurz und zweckgebunden (z. B. 30 Tage), DSGVO-konforme Informationspflichten; DSFA, wenn mit weiteren Überwachungssystemen gekoppelt.

Auditierbarkeit: Exportfähige Protokolle; regelmäßige Stichprobenprüfungen durch Hygiene/QM.

Grundsatz: Pro Patient in ICU/Isolation i. d. R. 1 Besucher zur gleichen Zeit; Aufenthaltsdauer typischerweise 15–30 Minuten, lage- und patientenabhängig.

Terminierung: Slot-Management über VMS mit Pufferzeiten (Reinigung/Entzerrung).

Ausnahmen: Palliativ/End-of-Life, Eltern in der Pädiatrie-ICU: erweiterte, aber kontrollierte Besuchsfenster nach ärztlicher Freigabe.

Sorgeberechtigte: Grundsätzlich bevorzugter, weitgehend zeitunabhängiger Zugang (Rooming-in), identitätsgebunden über Eltern-/Bänder oder personalisierte Badges. Nachtzugang über kontrollierte Kerne.

Weitere Angehörige (Großeltern, Geschwister): Zeitlich gestaffelte Besuchsfenster; alters- und gesundheitsstatusabhängige Zulassung (keine akuten Infekte, Impfstatus nach hausinterner Regel). Maximalzahlen pro Patient klar definieren.

NICU/PICU: Strikt limitierte Präsenz (meist 1 Person), PPE-Pflicht, Slots mit Puffer; Still-/Bonding-Ausnahmen nach ärztlicher Freigabe.

Begleitpflicht: Minderjährige Besucher nur in Begleitung einer erwachsenen, legitimierten Person; dokumentierter Bezug zum Patienten.

Einverständnisse: Schriftliche Einwilligungen für besondere Situationen (z. B. nächtliche Präsenz, Foto-/Kommunikationsfreigaben, Teilnahme an Visiten). Abhol- und Übergabeprozesse mit Code/QR und Abgleich gegen berechtigte Personenlisten.

Kinderschutz: „Code Kind“-Prozeduren, Tür-/Aufzugslogik mit zonaler Verriegelung, Sichtkontrollen an Ausgängen; Meldewege bei Sorge um Kindeswohl.

Wege: Niedrige Montagehöhen für Piktogramme, farbcodierte Leitlinien, kontrastreiche, verständliche Symbole; Barrierefreiheit für Kinderwagen/Rollstühle, taktile Elemente.

Räume: Familien- und Ruhezimmer, Stillbereiche, altersgerechte Wartezonen mit gut reinigbaren, robusten Materialien; Spielbereiche mit definierter Desinfektionsroutine (Spielzeug-Setwechsel, Reinigungspläne).

Hygiene: Strengere Ausschlusskriterien bei Infektzeichen; Spender in Kinderhöhe, visuelle Händehygiene-„Nudges“; Mitbringsel-Policy (keine Plüschtiere in Risikobereiche).

Sicherheit: Kinderwagen-/Autositz-Parkzonen, keine Durchgangswege durch Pflegestützpunkte; Videoaufsicht an Zugängen (datenschutzkonform).

Pflege/Stationsleitung: Besuchserlaubnisse, Ausnahmen, Einweisungen; Abhol-/Übergabecheck.

Hygienefachkräfte: Bereichsspezifische Hygienevorgaben, Schulung Angehöriger (kurz, visuell).

Facility Management/Sicherheit: Zugangs- und Band-/Badge-System, Wegeleitung, Spielzonenmaterialien und -reinigung, Tür-/Aufzugssteuerung, „Code Kind“-Abläufe.

IT/VMS: Elternprofile mit längerfristigen, aber zeitlich begrenzten Rechten; Protokolle und Löschfristen kinderschutzsensibel ausgestalten.

Niedrig: Arbeiten ausschließlich in Technik-/Außenbereichen ohne Patientenkontakt (z. B. Trafostation, Dach).

Mittel: Tätigkeiten in Verwaltungs-/halböffentlichen Zonen (Büros, Flure), kurze Durchgänge durch patientennahe Bereiche.

Hoch: Arbeiten in patientennahen/klinisch sensiblen Zonen (Stationen, ICU/IMC, OP-Vorhalte, Isolationsumfeld), Eingriffe an IT/OT-Sicherheitskomponenten, Hot-Work.

Firmen- und Personaldaten, Tätigkeitsbeschreibung, Zeitraum, Ansprechpartner; Prüfung Qualifikationen/Nachweise (z. B. Elektrounterweisung, Infektionsschutz).

AV-Vertrag/Vertraulichkeit bei Datenverarbeitung (DSGVO Art. 28) und Sicherheitsanhänge (ISO 27001/62443-relevante Controls).

Arbeitsschutz/Brandschutz (inkl. Fluchtwege), Hygiene (Händehygiene, „rein/unrein“, Schleusenregeln), Klinik-Hausordnung, Datenschutz/Vertraulichkeit, Deeskalation im Patientenumfeld.

Nachweis: E‑Learning/Onsite-Test, Gültigkeit zeitlich befristen, Rezertifizierung.

Tätigkeits- und Gefährdungsbeurteilung; bei Eingriffen: LOTO, Hot-Work-Permit (Funken/Offenflamme), Staub-/Aerosolmanagement, Lärm-/Erschütterungsbewertung.

Isolations-/ICU: zusätzliche Hygiene- und Schleusenfreigabe durch Hygienefachkraft/Station.

Zeit- und zonenbegrenzte Besucherausweise (RFID/QR), keine Master-Keys an Fremde; ACS-Freischaltung nur „least privilege“.

Wegeführung fern von Pflegekernen; Materialschleusen nutzen; Transport in geschlossenen Behältnissen.

Hochrisiko: verpflichtende Begleitung/Escort durch FM/Station; laufende Kommunikation mit Leitstelle.

Staub-/Keimschutz: Abschottungen, Unterdruckboxen, Staubarm-Werkzeuge, punktuelle Desinfektion von Werkzeugen/Kontaktflächen; Abfall getrennt entsorgen.

PPE je nach Zone (min. FFP2 bei klinischer Nähe, Kittel/Überziehschuhe in Isolation nach SOP).

Brandschutz: Hot-Work-Brandwache, Löschmittel bereitstellen, Brandmeldeanlage ggf. temporär scharf/unscharf mit Freigabe.

IT/OT: Changes nur nach Freigabe (Change-Management), Netzwerkzugänge segmentiert, zeitlich begrenzte Accounts/VPN, Protokollierung; keine privaten Speichermedien.

Datenschutz: Keine Patientendaten einsehbar/abfotografieren; Foto-/Videoverbot außer mit expliziter Freigabe.

Auftraggeber FM (Accountable): Auswahl/Beauftragung, Permit-to-Work, Zonierung, Schlüssel-/Ausweismanagement, Abnahme.

Fremdfirma (Responsible): Einhaltung Unterweisung/Permits, Benennung Verantwortlicher vor Ort, Meldung von Abweichungen/Vorfällen.

Hygiene/Pflege (Consulted): Freigaben in klinischen Zonen, Schleusen-/PPE-Vorgaben, Begleitorganisation.

Sicherheit/Leitstelle (Consulted/Operativ): Zutrittsfreigaben, Alarm-/Zutrittsereignisse, Eskalation.

IT/ISB/DSB (Consulted): Freigaben für IT/OT-Eingriffe, DS-/IS-Nachweise.

Nachweise: Unterweisungs- und Qualifikationszertifikate, AV-/NDA-Dokumente, Permits (Hot-Work/LOTO), Freigabe-/Abnahmeprotokolle, Zutrittslogs, Ereignisberichte.

Hochrisiko-Arbeiten nur werktags, definiertes Zeitfenster; Baustellenlogistik über „unrein“-Wege.

Schwelle für Begleitung: kliniknah, Isolation, kindernahe Bereiche, IT/OT-kritisch.

KPI-basiert steuern: Permit-Compliance (%), Abweichungen/100 Einsätze, Reaktionszeit bei Störungen, Abschottungsfehler (Anzahl).

Vendor/Yard-Management: Zeitfenstersteuerung (Slots), Vorabregistrierung des Fahrers/Fahrzeugs; CP1 Anmeldung am Pförtner mit Fracht-/Lieferscheindaten.

Identifikation/Zutritt: CP2 Ausgabe temporärer Ausweise/High-Vis-Bänder, Fahrzeug-/Personenlenkung in den Logistikbereich; Sicherheits- und Hygienebriefing in Kurzform.

Entladung/Übergabe: CP3 Andocken an definierte Rampen (rein/unrein getrennt), Versiegelungscheck; Übergabe an zuständige Lagerstelle (Apotheke, Zentrallager, Sterilgut).

Verbringung im Gebäude: CP4 Transport über dedizierte Logistikaufzüge/Flure; kein Queren von Besucherachsen; Materialschleusen bei sensiblen Bereichen.

Abmeldung/Ausfahrt: CP5 Rückgabe Ausweise, Abgleich Lieferdokumente, Torfreigabe; automatische Löschfristen für Fahrerdaten starten.

Zonen/Wege: Farb- und Schildkodierung; physische Trennung von Sterilgut-, Speisen-, Wäsche- und Abfallströmen; Einbahnstraßenprinzip.

Aufzüge: Dedizierte Logistikaufzüge mit Reinigungsintervallen; ACS-gesperrt für Besucher.

Schleusen: Materialschleusen bei Steril-/Isolationsbereichen, ggf. Druckführung; definierte Übergabeplätze.

Wareneingang: Lieferschein- und Charge-/MHD-Prüfung, Temperatur-Logging (Kühlkette), Abweichungsprotokoll; Chain-of-Custody für sensible Güter (z. B. Labor/Blut).

Standards: GDP/GMP-bezogene Anforderungen für Arzneimittel/Apotheke, validierte Prozesse für Sterilgut.

Entsorgung: Getrennte Entsorgungswege nach Abfallart (Siedlungsabfall, infektiöser Abfall, Zytostatika, Sharps); Kennzeichnung nach AVV, TRBA 250, ADR für Gefahrguttransporte; dokumentierte Übergabe an Entsorger.

Ausweiserteilung: VMS-Profil „Lieferant“ mit Minimaldaten; zeit- und zonenlimitierte Berechtigungen im ACS; sichtbare Kennzeichnung (Weste/Badge).

Schnittstellen: VMS↔ACS (Rollenzuweisung), Tor- und Yard-Management-System, optionale Waagen-/Rampen-Integration; Ereignisse an Leitstelle/PSIM.

Datenschutz: Datenminimierung, kurze Speicherfristen (z. B. 14–30 Tage), Informationspflicht am Tor (QR/Aushang).

Verantwortlich: FM/Logistik für Betrieb, Zonierung und Hygiene; Sicherheit/Pforte für Zugangskontrolle; Apotheke/Sterilgut/Lager als Prozesseigner je Warengruppe; Reinigung für Turnover und Desinfektion der Logistikflächen.

KPIs: Pünktlichkeitsquote der Slots (%), Kreuzungsvorfälle mit Besucherwegen (Anzahl/Monat), Kühlketten-Abweichungen (Anzahl), Durchlaufzeit Tor→Wareneingang (min), Vollständigkeit der Dokumentation (%), Ausweisrückgabequote (%).

Aufnahmeverfahren: Vorab-Registrierung im VMS (Rolle „Ehrenamt/Seelsorge“), Identitätsprüfung, formalisierte Kontaktaufnahme zur zuständigen Fachkoordination (Sozialdienst/Seelsorge).

Vereinbarungen: Abschluss einer Ehrenamts-/Kooperationsvereinbarung; Anerkennung der Hausordnung; Unterzeichnung von Schweige- und Vertraulichkeitserklärungen.

Seelsorge: Legitimation durch Religionsgemeinschaft bzw. Klinikseelsorge; expliziter Hinweis auf das Seelsorgegeheimnis.

Unterlagen/Nachweise: Gültige Unterweisungen (Hygiene, Brandschutz, Arbeitsschutz im Patientenumfeld); ggf. erweitertes Führungszeugnis abhängig vom Einsatzbereich (z. B. Pädiatrie/Jugend).

Datenschutz: Aushändigung der Datenschutzinformationen; Verpflichtung auf Vertraulichkeit nach DSGVO unter Berücksichtigung von § 203 StGB.

Zutrittsprofil: Personalisierte, optisch unterscheidbare Badges; zeitfenster- und zonenbasierte Zutrittsrechte (z. B. Allgemeinstationen, Andachtsräume)

Sensible Bereiche: Zugang zu ICU/IMC, Isolation, Pädiatrie-Kernen und Psychiatrie nur nach expliziter Freigabe bzw. Absprache mit Station und Hygiene; in Isolationsbereichen verpflichtende Einhaltung von Schleusen- und PPE-Regeln

Grenzen: Kein Zutritt zu Technikräumen, Medikamenten- und Apothekenbereichen sowie Pflegekernen; keine Nutzung interner Dokumentationssysteme (KIS)

Pflichtinhalte: Basis-Hygiene, Händedesinfektion, Prinzip „rein/unrein“, Masken-/PPE-Anlage in Sonderbereichen; Deeskalation, Kindeswohl/Kinderschutz (Pädiatrie), Eigenschutz

Datenschutz/Vertraulichkeit: Keine Patientendaten auf privaten Geräten, keine Fotos oder Aufnahmen, keine Social-Media-Kommunikation über Behandlungsinhalte

Kommunikation: Rollenklärung, klare Grenzen der Tätigkeit, definierte Meldewege bei Auffälligkeiten (z. B. Gewaltverdacht, Suizidalität)

Nachweise: Schulungszertifikate mit festgelegter Gültigkeit (i. d. R. 12–24 Monate), verpflichtende Rezertifizierung; Teilnahmequote wird durch die Koordination überwacht

Standardprozess: Anmeldung am Eingang oder auf der Station via VMS/Badge; kurze Lageinformation durch die Station; Durchführung des Besuchs; Abmeldung/Check-out

Begleitpflicht: In ICU/Isolation, in der Pädiatrie (abhängig von der Altersgruppe) und in der Psychiatrie ist eine Begleitung oder enge Abstimmung mit der Station verpflichtend

Seelsorge: Auf Allgemeinstationen eigenständige Tätigkeit möglich; bei nächtlichen Einsätzen Zugang nur über kontrollierte Kerne mit Intercom

Hygiene: PPE gemäß Stationsvorgabe; keine Mitnahme von Taschen in Isolationszonen; Händehygiene vor und nach jedem Patientenkontakt

VMS-Integration: Wiederkehrende Profile mit zeitlich befristeten Rechten; Zutrittslogs mit kurzen, festgelegten Speicherfristen; keine Speicherung sensibler Gesprächsinhalte

Dokumentation: FM/Sicherheit: Ausweisverwaltung, Rechte-Review (quartalsweise)

Koordination Ehrenamt/Seelsorge: Einsatzpläne, Schulungs- und Vertraulichkeitsnachweise, Ausnahmeregelungen (z. B. Palliativ)

Schnittstellen/Rollen: Responsible: Koordination Ehrenamt/Seelsorge (Disposition, Schulungen)

Accountable: FM (Zutritt/Badge), Klinikleitung (Policy)

Consulted: Hygiene, Pflege/Station, Datenschutz

Informed: Sicherheitsdienst/Leitstelle (Präsenz, Sonderzugänge)

Ziel: Sicherer, würdevoller und rechtskonformer Einsatz von Ehrenamt und Seelsorge, der Patienten unterstützt und zugleich Hygiene-, Sicherheits- und Datenschutzanforderungen zuverlässig einhält

Ziel: Schutz von Patienten und Mitarbeitenden, Aufrechterhaltung des Kernbetriebs, klare und einfache Besucherregeln

Stufen (beispielhaft, hausindividuell zu konkretisieren):

Grün (Regel): Standardprozesse mit Hygiene-Add-ons

Gelb (präventiv): Kontingentierung, Maskenpflicht in patientennahen Bereichen, verpflichtende Vorregistrierung

Orange (restriktiv): Besuch nur für definierte Gruppen (z. B. engste Angehörige), Test-/Screeningpflicht, Escort in kritischen Zonen

Rot (Stopp): Genereller Besuchsstopp mit eng umrissenen Ausnahmen (Palliativ, Geburt, Eltern in Pädiatrie), virtuelle Alternativen

Aktivierung: Beschluss durch Krisenstab; Auslösung über definierte Trigger (behördliche Allgemeinverfügung, interne Lageindikatoren, MANV-Alarm, Brand- oder Energieausfall)

Zugangsbündelung: Alle Besucher über Hauptzugang; Nebeneingänge geschlossen oder Intercom-only.

Screening: Symptom-/Expositionscheck, ggf. 3G/FFP2/Testautomat; dokumentiertes Kurzbriefing.

Slot-Management: Strikte Zeitfenster, reduzierte Besucheranzahl je Patient/Station; Wartezonen entzerren, People-Counting.

Schleusen/Maskierung: FFP2-Standard in patientennahen Bereichen; PPE-Ausgabe automatisiert; Hygiene-Hosts zur Supervision.

Virtuelle Besuche: Tablet-Pool mit Terminierung über Station; Anleitung und Support; Priorisierung bei Besuchsstopp.

Kommunikation: Tägliche Lage-Updates (Website, Social Media, Aushänge), Hotline für Angehörige.

Sofortmaßnahmen: Besucherstopp für ZNA; Absperrung des Außenbereichs; Security-Posten; separate Zufahrt für Rettungsdienst

Besucherlenkung: Angehörigen-Info-Point außerhalb der Akutzone (Beschilderung, Betreuung, Datenschutz)

Kommunikation: Einheitliche Kurzinfos über Lautsprecher/Digital Signage; Pressekoordination durch Pressestelle

Rückkehr zum Regelmodus: Stufenweise Öffnung nach Freigabe durch Einsatzleitung/ZNA-Leitung

Kurz-Flow: Alarm MANV → ZNA-Besucherstopp → Absperrung/Info-Point → Betreuungs-/Informationsfenster → Entlastung → Teilöffnung

Alarmierung: ELA/SAA mit einfachen Botschaften; zonale Räumung von Nicht-Betroffenen

Visitor Accounting: Abgleich von VMS-Check-ins mit People-Counting zur Plausibilisierung; Ausdrucke oder Tablet-Listen an Sammelplätzen

Übergabe an Einsatzkräfte: Besucherlisten an Einsatzleitung; definierte Meldewege für vermisste Personen; Re-Entry nur nach Freigabe

Technik-Fallback: ACS in Evakuierungslogik (Fail-Safe), Kioske auf Notbetrieb, manuelle Richtungsschilder (Roll-ups)

Kurz-Flow: Alarm → Durchsage → Lenkung zu Sammelplätzen → Zählung/Abgleich → Übergabe Liste → Freigabe/Re-Entry gesteuert

Besuchsstopp (Rot): Genereller Stopp, Ausnahmen strikt geregelt (Palliativ, Geburt, Eltern Pädiatrie) mit ärztlicher Freigabe und Escort.

Virtuelle Alternativen: Terminierte Video-Slots, Gerätehygiene-SOP, Dolmetschoption; Dokumentation im Stationskalender.

Ethik-/Sozialdienst-Einbindung: Härtefälle prüfen, Ermessensleitlinien bereitstellen.

Zählung: VMS-Export „Besucher anwesend“ + Sensorik; Differenzen klären durch Security/Stationsabgleich.

Sammelplatz-Protokoll: Namens-/Badge-Liste, Uhrzeit, Zone; Rückmeldung vermisster Personen an Leitstelle.

Übergabe: Standardformular „Besucherstatus“ an Feuerwehr/Polizei; Verantwortliche: Leitstelle/FM.

Stufe 1: Operativ (Empfang/Security/Station) – temporäre Maßnahmen, Meldung an Leitstelle

Stufe 2: Taktisch (Leitstelle/Sicherheitsmanagement/Hygiene/FM) – zonale Sperren, Verstärkung, interne Information

Stufe 3: Strategisch (Krisenstab/Klinikleitung) – Stufenwechsel, Besuchsstopp, externe Kommunikation, Behördenkoordination

Intern: Leitstellenmeldungen (Pager/App/SMS), Daily-Lage-Mail, Schichtbriefing

Extern: Website-Ticker, Social Media, Telefonhotline, Presse

Rollen: Krisenstab (Policy), Leitstelle (operative Steuerung), FM (Infrastruktur/Schließkonzept), Hygiene (Schutzregime), Sicherheit (Absperrung/Crowd Management), IT (VMS/ACS/Comms), Pflege/Station (Ausnahmen/Begleitung), Pressestelle (extern)

Pandemie: Screening aktiv? FFP2-Vorrat vorhanden? Slots konfiguriert? Virtuelle Besuchskapazität sichergestellt?

MANV: ZNA abgesperrt? Info-Point besetzt? Angehörigenkommunikation aktiv?

Evakuierung: ELA getestet? Sammelplatz-Listen bereit? Re-Entry-Freigabeprozess definiert?

KPIs: Zeit Stufenwechsel (Beschluss → Umsetzung), Zählgenauigkeit (%), Anzahl Regelverstöße pro Tag (Krise), Verfügbarkeit virtueller Besuchsslots (%), Kommunikationszeit bis Veröffentlichung (Minuten)

Ziel: Diese Varianten operationalisieren den Krisenmodus prozessual und technisch – klare Stufen, einfache Regeln, geübte Zähl- und Übergabeprozesse sowie redundante Kommunikation sichern Handlungsfähigkeit und Transparenz

Leading vs. Lagging: Präventive (z. B. Schulungs-/Spenderverfügbarkeit) und ergebnisbezogene Indikatoren (z. B. Vorfallsrate) kombinieren.

Datenqualität: Reconciliation von VMS-Logs, ACS-Ereignissen und People-Counting; klare Definitionen und Zählregeln.

Definition/Formel: Summe (Check-in-Endzeit – Start) / Anzahl Check-ins; getrennt für Vorregistrierte/Walk-ins.

Ziel/Schwellen: ≤ 5 min (vorregistriert), ≤ 8 min (Walk-in); Gelb: +2 min; Rot: +4 min.

Quelle/Frequenz: VMS-Logs; täglich/monatlich.

Verantwortlich/Visualisierung: FM-Controller, Empfangsleitung; Zeitreihe, Boxplot.

Bezug: Visitor-Flow/Servicequalität; Engpassanalyse und Staffing-Steuerung.

Definition/Formel: Vorregistrierte Check-ins / Gesamt-Check-ins × 100.

Ziel/Schwellen: ≥ 70 % (Regelbetrieb); Gelb: 60–69 %; Rot: < 60 %.

Quelle/Frequenz: VMS; wöchentlich/monatlich.

Verantwortlich/Visualisierung: FM, IT (VMS); KPI-Tacho.

Bezug: Reduziert Schlangen, senkt Identfehler; Risiko Visitor-Flow.

Definition/Formel: Regelkonforme Durchführung beobachteter Hygiene-Schritte / beobachtete Interaktionen × 100.

Ziel/Schwellen: ≥ 90 %; Gelb: 85–89 %; Rot: < 85 %.

Quelle/Frequenz: Beobachtung/Audit, Stichproben; monatlich.

Verantwortlich/Visualisierung: Hygienefachkraft; SPC-Chart, Pareto der häufigsten Fehler.

Bezug: Infektionsprävention; triggert Unterweisungen/Nudging.

Definition/Formel: Verfügbare Desinfektionsspender / Gesamtanzahl auditierter Spender × 100.

Ziel/Schwellen: ≥ 98 %; Gelb: 95–97 %; Rot: < 95 %.

Quelle/Frequenz: IoT-Telemetrie/Audit; wöchentlich.

Verantwortlich/Visualisierung: FM-Serviceteams; Heatmap nach Standort.

Bezug: Leading Indicator Hygiene; Korrelation mit Compliance.

Definition/Formel: Detektierte Zutrittsverstöße / Besucherzahl × 1.000.

Ziel/Schwellen: ≤ 1; Gelb: 1–2; Rot: ≥ 3.

Quelle/Frequenz: ACS-/PSIM-Logs, Security-Reports; monatlich.

Verantwortlich/Visualisierung: Sicherheitsmanagement; Säulenchart nach Zone/Zeit.

Bezug: Sicherheit/Zutritt; Härtung von Türen, Schulung Pforte.

Definition/Formel: Σ (Vorfälle × Schweregradfaktor); Kategorien: Aggression, Diebstahl, Elopement.

Ziel/Schwellen: Trend abnehmend; Rot: Anstieg > 20 % MoM oder ≥ 1 schwerer Vorfall.

Quelle/Frequenz: Ereignistool/Leitstelle; monatlich.

Verantwortlich/Visualisierung: Sicherheitsmanagement/QM; Pareto, Trendlinie.

Bezug: Deeskalations- und Präsenzsteuerung.

Definition/Formel: Check-outs vorhanden / Check-ins × 100; Plausibilisierung via People-Counting.

Ziel/Schwellen: ≥ 99 %; Gelb: 97–98,9 %; Rot: < 97 %.

Quelle/Frequenz: VMS, Sensorik; wöchentlich/monatlich.

Verantwortlich/Visualisierung: FM/IT; Tacho, Abweichungsanalyse.

Bezug: Evakuierungsfähigkeit, Compliance.

Definition/Formel: (Betriebszeit – Ausfallzeit) / Betriebszeit × 100; 24/7.

Ziel/Schwellen: VMS ≥ 99,5 %, ACS ≥ 99,9 %; Rot: Unterschreitung.

Quelle/Frequenz: IT-Monitoring; monatlich/Quartal.

Verantwortlich/Visualisierung: IT-Betrieb/ISB; SLA-Chart.

Bezug: Resilienz, Notfallfähigkeit.

Definition/Formel: Gemeldete DS-Vorfälle (Gewichtung nach Meldpflichtigkeit).

Ziel/Schwellen: 0; Rot: ≥ 1 meldepflichtiger Vorfall.

Quelle/Frequenz: DSB-Register; quartalsweise/Ad-hoc.

Verantwortlich/Visualisierung: DSB; Ampel, Root-Cause.

Bezug: DSGVO-Compliance; Prozess-/Systemhärtung.

Definition/Formel: Ereignisse > definierter Belegungsgrenze (z. B. > 85 % Kapazität > 10 min).

Ziel/Schwellen: ≤ 2/Woche; Rot: ≥ 5/Woche.

Quelle/Frequenz: People-Counting, DCS-Daten; wöchentlich.

Verantwortlich/Visualisierung: FM; Heatmap, Zeitfensteranalyse.

Bezug: Visitor-Flow, Evakuierbarkeit.

Definition/Formel: Besuche mit dokumentiertem Escort / Besuche in Escort-Pflichtzonen × 100.

Ziel/Schwellen: ≥ 95 %; Gelb: 90–94 %; Rot: < 90 %.

Quelle/Frequenz: VMS-/Stationslogs; monatlich.

Verantwortlich/Visualisierung: Stationsleitungen/FM; Balken nach Bereich.

Bezug: ICU/Isolation/Pädiatrie-Schutz.

Definition/Formel: Median (Alarmzeit → Eintreffen vor Ort).

Ziel/Schwellen: ≤ 3 min; Gelb: 3–5; Rot: > 5.

Quelle/Frequenz: PSIM/Leitstellen-Logs; monatlich.

Verantwortlich/Visualisierung: Sicherheitsmanagement; Boxplot, Heatmap nach Zone.

Bezug: Gewaltprävention, Zutrittsvorfälle.

Definition/Formel: Beschwerden zur Orientierung / Besucher × 1.000.

Ziel/Schwellen: ≤ 0,5; Gelb: 0,5–1; Rot: > 1.

Quelle/Frequenz: Beschwerdemanagement/Feedback-Terminals; monatlich.

Verantwortlich/Visualisierung: FM/QM; Pareto nach Hotspots.

Bezug: Visitor-Experience, Effizienz.

Definition/Formel: Fristgerecht gelöschte Datensätze / fällige Datensätze × 100.

Ziel/Schwellen: 100 %; Rot: < 98 %.

Quelle/Frequenz: Löschprotokolle/IT-Audits; monatlich/Quartal.

Verantwortlich/Visualisierung: IT/DSB; Ampel, Trend.

Bezug: DSGVO-Artikel 5/17; Minimierung DS-Risiko.

Definition/Formel: Dokumentierte Fehlbedienungen (Interlock, PPE-Sequenz) / Besuche × 100.

Ziel/Schwellen: ≤ 1/100; Gelb: 1–2; Rot: > 2.

Quelle/Frequenz: Schleusenalarme, Hygiene-Audits; monatlich.

Verantwortlich/Visualisierung: Hygiene/FM; Säulenchart nach Station.

Bezug: Infektionsprävention, Prozesssicherheit.

Datengovernance: Klare Owner je KPI (Risk Owner, Process Owner); definierte Datendefinitionen (Glossar), Versionierung und Prüfpfade.

Review-Kadenz: Monats-Review im Lenkungskreis (Abweichungen, Maßnahmen), Quartals-Audit (Stichproben/Wirksamkeit), jährliche Managementbewertung (ISO 41001/27001).

Eskalationslogik: Gelb → operative Korrekturen (SOP-, Staffing-, Schulungsanpassungen); Rot → Maßnahmenpaket + Eintrag/Aktualisierung im Risikoregister mit Termin, Budget, Verantwortlichen.

Segmentierung/Drill-down: KPI-Auswertung nach Bereich, Tageszeit, Eingang; Root-Cause-Methoden (5-Why, Ishikawa), Abgleich mit Events (PSIM/Incident Reports).

Visualisierung/Dashboards: Rollenbasiert (Empfang/Security/Hygiene/FM/IT/Leitung); kombinierte Ansichten (Heatmaps Visitor-Flow, Gauges Compliance, Zeitreihen Service).

Datenschutz by Monitoring: Pseudonymisierung/Aggregation, Minimalprinzip bei Auswertungen, Zugriff nur für Rollen mit legitimer Aufgabe; Veröffentlichung von Trendwerten intern, keine Personenprofile.

KVP-Zyklus: KPI → Analyse → Maßnahme → Pilot → Wirkungsmessung → Standardisierung; Lessons Learned fließen in SOPs, Schulungen, Technik-Setpoints.

Zielanpassung: Jahresweise Kalibrierung der Ziel-/Schwellenwerte anhand von Benchmarking, Kapazitätsveränderungen, Rechtslage und Technikstand.

Verknüpfung mit Budget/Roadmap: KPI-basierte Priorisierung (z. B. zusätzliche Kioske bei hoher Check-in-Zeit, Türhärtung bei Zutrittsversuchen, Signaletik-Upgrade bei Beschwerdequote).

So werden Risiken messbar, Maßnahmen wirksam priorisiert und die Balance zwischen Sicherheit, Hygiene und Besucherfreundlichkeit datenbasiert gesteuert.

Zentralisierte Eingangsbündelung: Ein Hauptzugang mit VMS-gestütztem Screening/Check-in; Nebeneingänge zeit- oder Intercom-gesteuert

Slot-Management: Zur Spitzenentlastung; klare Hausordnung; mehrsprachige Hygienehinweise

Minimalistische, sichere Datenflüsse: VMS–ACS–KIS-Integration auf „Need-to-know“-Basis – Besuchserlaubnis-Flags statt Diagnosen; automatische, zeitlich begrenzte Zutrittsrollen; Löschfristen hart im System hinterlegt; quartalsweise Rechte-Reviews

ICU/Isolation durch standardisierte Schleusen: Validierte Donning/Doffing-Sequenzen als Piktogramm; Interlock-Türen, Druckdifferenzanzeigen; PPE-Supervision; Besuchskontingente mit Puffer für Reinigung/Entzerrung; digitale Besucherbücher mit kurzen Speicherfristen

Pädiatrie mit Kinderschutzfokus: Eltern-/Sorgebänder mit farblichem Code, Abholcodes und zonalen Türregeln („Code Kind“ geübt); Spiel- und Familienbereiche mit reinigungsfähigen Materialien; klare Mitbringsel-Policy

ED-Crowd-Management: Triage-gestützte Freigaben, Ticket-/Rufsysteme, temporäre Abtrennungen; Security-Posten an der Tür; klare Eskalationsmatrix

Rein-/Unrein-Logistiktrennung: Dedizierte Aufzüge/Flure; Materialschleusen; Yard-/Slot-Management am Tor; temporäre Ausweise für Fahrer

Leitstellenintegration und Fallback: PSIM bündelt ACS/Video/Alarme; vordefinierte Workflows für „Tür erzwungen“ oder „Überfüllung Wartezone“; manuelle Notprozesse (Formulare, Nummernbadges, Roll-up-Signaletik) werden regelmäßig geübt

Ausgangslage: Lange Schlangen am Morgen, viele Walk-ins, unklare Wege.

Maßnahmen: Vorregistrierung mit QR, Self-Service-Kioske, DCS-Freigabe nur zum Zielstockwerk, mehrsprachige Piktogramme.

Ergebnis (12 Monate): Check-in-Zeit –35 % (Walk-in –20 %), Vorregistrierungsquote 75 %, Beschwerdequote Wegleitung –50 %, unbefugte Zutrittsversuche/1.000 Besucher von 2,2 auf 0,9.

Erfolgsfaktoren: Slot-Management, begleitende Kommunikation, Empfangscoaching; Stolperstein: anfängliche Badge-Sichtbarkeit, gelöst durch Layoutwechsel der Ausweise.

Ausgangslage: Unklare Abholprozesse, sporadische Türalarme, hoher Beratungsbedarf.

Maßnahmen: Elternbänder mit Foto-ID, Abholcodes (QR), „Code Kind“-Drills, Eltern-Lounge mit klarer Wegführung, Hygiene-Hosts.

Ergebnis: Türalarme –60 %, Zeit zur Abholung –25 %, hohe Zufriedenheit (Elternfeedback > 90 % positiv), keine Kinder-„near miss“-Vorfälle in 18 Monaten.

Erfolgsfaktoren: Einfachheit der Regeln, regelmäßige Übungen, visuelle Guides für Kinder.

Ausgangslage: Limitierte IT, heterogene Beschilderung, Personalengpässe am Empfang.

Maßnahmen: Standardisierte Aushänge (DIN-konform), Bodenfarbleitsystem, manuelle Check-in-Kits mit Nachdigitalisierung, „5-Minuten-Briefing“ pro Schicht.

Ergebnis: Orientierungssicherheit messbar besser (Beschwerden –40 %), Evakuierungsübung: Besucherzählung in 8 Minuten (vorher 14); Hygiene-Compliance +8 %-Punkte.

Erfolgsfaktoren: Konsistenz, Training, klares RACI; Stolperstein: initiale Skepsis, adressiert über Pilotbereich und Feedbackschleifen.

Ausgangslage: Gekoppelte Gebäudetechnik, verteilte Zutrittsinseln, Auditdruck.

Maßnahmen: Netzsegmentierung ACS/Video/IoT, mTLS, SIEM-Korrelation, Türhärtungsprogramm, Red-Team-Light-Tests; SLA-basierte Security-Services (DIN 77200).

Ergebnis: Uptime ACS 99,98 %, Reduktion „Tür erzwungen“ –70 %, schnellere Security-Reaktionszeit (Median 2:40 min).

Erfolgsfaktoren: IT–FM–Security-Kollaboration, klare Change-Kontrollen, Krisenübungen.

WHO (Infection Prevention and Control): Kernprinzipien: Händehygiene, Maskierung nach Risiko, Besucher-Screening, klare Kommunikation und Schulung; übertragbar: niederschwellige, visuelle Instruktionen, Stufenmodelle bei Ausbrüchen

CDC (Healthcare Settings): Fokus auf risikoadaptierte Besucherregeln, symptom- und exposurebasiertes Screening, besondere Vorsicht in High-Risk-Einheiten; Betonung von datenbasierten Entscheidungen

NHS (UK): „Compassionate exceptions“, familienzentrierte Ansätze in Pädiatrie und Palliativ; starke Empfehlung zu digitaler Terminierung und klaren Wegweisern

Quintessenz für DACH: Leitfäden stützen risikobasierte, menschenfreundliche Modelle mit Hygiene- und Kommunikationsschwerpunkt; Anpassung an hiesige Rechtslage (IfSG, DSGVO) erforderlich; Datenminimierung und kurze Speicherfristen sind zentrale Transferbedingungen

Stufenlogik ist essenziell: Vordefinierte Schwellen (grün–gelb–orange–rot) beschleunigen Entscheidungen; Templates und Aushänge stets bereit halten

Digitalisierung mit Augenmaß: Vorregistrierung, QR-Codes, digitale Wegleitung und virtuelle Besuche steigern Resilienz; Fallstricke wie Sprach- oder Technikbarrieren sowie Datenschutz werden durch Mehrsprachigkeit, Kiosk-Assistenz, DSFA und Alternativkanäle adressiert

Infrastruktur zählt: Hygieneschleusen, People-Counting, flexible Wartezonen (rollbar) und klare Signaletik bewähren sich; temporär Erprobtes (z. B. mobile Checkpoints) kann dauerhaft integriert werden

Interdisziplinarität: Krisenstab, Leitstelle, Hygiene, FM, Pflege und IT benötigen geübte Routinen; regelmäßige Übungen verkürzen Reaktionszeiten messbar

Kommunikation wirkt: Transparente, empathische Kommunikation reduziert Konflikte; FAQs, Hotlines, Social Media und „Leichte Sprache“ sind integraler Bestandteil der Lösung

Kontextfaktoren: Größe, bauliche Struktur, IT-Reife und regionales Recht prägen die Machbarkeit; Prinzipien wie Zentralzugang, Zonierung und klare Regeln sind universell, der Technikgrad wird angepasst

Minimal Viable Set (für kleinere Häuser): Hausordnung mit standardisierten Aushängen/Piktogrammen; manuelles Check-in mit Nachdigitalisierung; definierte Escort-Regeln für ICU/Isolation/Pädiatrie; Fallback-Ordner; quartalsweises KPI-Review

Advanced Set (für Maximalversorger/KRITIS): VMS–ACS–KIS-Echtzeitintegration, DCS-Kopplung, People-Counting, PSIM/SIEM, IoT-Spender, digitale Wegführung, automatisierte Reports

Erfolgsindikatoren (Auswahl): Check-in-Zeit, Vorregistrierungsquote, Hygiene-Compliance, unbefugte Zutrittsversuche, Überlastungsereignisse, Escort-Compliance in sensiblen Bereichen, Beschwerdequote zur Wegleitung, Uptime von VMS/ACS

Nachhaltigkeit/KVP: KPI-basierte Maßnahmenpläne, jährliche Zielkalibrierung, interne Audits und Lessons Learned nach Vorfällen oder Übungen; Einbindung des Betriebsrats bei Systemanpassungen

Phase 1: Policy/Prozess/RACI, Signaletik-Upgrade, Schulung, Basis-KPIs.

Phase 2: VMS-Einführung + ACS-Integration, Slot-Management, Schleusenstandardisierung.

Phase 3: Leitstellenintegration, People-Counting, Advanced Analytics, kontinuierliche Optimierung.

KI-gestützte Steuerung: Mustererkennung in Zutritts- und Bewegungsdaten, Vorhersage von Spitzenlasten, Anomalie-Detektion (Badge-Sharing, untypische Wege).

Robotik und Telepräsenz: Service- und Begleitroboter, autonome Lieferplattformen, Telepräsenz für virtuelle Besuche.

Automatisierung und Self-Service: Intelligente Kioske, dynamische Digital Signage, Elevator-Destination-Control verknüpft mit Besuchsrollen, IoT-gestützte Hygienelogistik.

Digitale Zwillinge und Simulation: Abbildung von Besucher-, Patienten- und Logistikflüssen zur Planung von Um- und Neubauten sowie zur Krisenszenario-Validierung.

Konversationsschnittstellen: Chatbots/Voicebots für Anreise-, Besuchszeiten- und Wegauskünfte, mehrsprachig, barrierearm.

Sicherheit und Hygiene: Frühwarnung durch KI (z. B. ungewöhnliche Zutrittsmuster), präzisere Kontingentierung und Entzerrung, zielgerichtete Schleusenaufsicht.

Service und Effizienz: Kürzere Check-in-Zeiten, entlastetes Empfangspersonal, bessere Wegorientierung (adaptive Wegweiser), verlässliche Begleitung vulnerabler Besuchergruppen.

Resilienz: Automatisierte Stufenwechsel (Ampellogik) bei Pandemielagen, robuste Fallbacks; Simulationen verbessern Evakuierungs- und MANV-Design.

Datenbasierte Steuerung: Echtzeit-KPIs, prädiktive Kapazitätsplanung, evidenzbasierte Investitionsentscheidungen (z. B. wo zusätzliche Kioske sinnvoll sind).

Datenschutz/DSGVO: Hohe Hürden für biometrische Verfahren; Anomalie-Analysen nur mit minimierten, pseudonymisierten Daten; DSFA und klare Löschkonzepte zwingend.

Akzeptanz und Ethik: Transparenz, Erklärbarkeit (XAI) und Opt-out-Optionen; keine „Über-Überwachung“. Einbindung von Patientenvertretungen/Betriebsrat.

Integration/Interoperabilität: Vermeidung von Vendor-Lock-in; offene Standards/Schnittstellen (FHIR/HL7, offene ACS-APIs, interoperable Video/PSIM); Security-by-Design (Zero Trust, Segmentierung).

Betrieb/Komplexität: KI benötigt Datenqualität, MLOps und Wartung; Robotik braucht verlässliche Indoor-Navigation, Sicherheitszertifizierung und klare Use-Cases; Fallback-Prozesse müssen jederzeit funktionieren.

Recht/Sicherheit: OT-Sicherheit (ISO/IEC 62443), KRITIS-Anforderungen; sorgfältige Risikoabwägung bei autonomen Funktionalitäten.

KI für Visitor-Flow: Prognose der Besucherlast je Eingang/Etage auf Basis historischer VMS-/ACS-/Sensor-Daten; dynamische Slotsteuerung und Personaldisposition. Nutzen: verkürzte Wartezeiten, weniger Überlastungen.

Anomalie-Detektion: Korrelation von Türalarmen, Badge-Logs, Uhrzeitmustern; Alarm nur bei hoher Wahrscheinlichkeit (Schwellwert, human-in-the-loop) zur Reduktion von False Positives.

Adaptive Wegleitung: Digital Signage, die bei Störungen/Spitzen alternative Routen empfiehlt; Integration mit Aufzugsteuerung.

Telepräsenz/Robotik: Virtuelle Besuche am Bett (Tablets/Telepräsenzroboter) in restriktiven Phasen; Begleitroboter vom Eingang bis zur Station bei komplexer Wegeführung (Pilot mit menschlicher Supervison).

IoT-Hygiene: Spender mit Füllstandssensorik und Heatmaps von Berührungspunkten; gezielte Reinigungszyklen, Nudging-Anzeigen bei niedriger Compliance.

Datenschutz/TOMs: Privacy-by-Design/Default, Pseudonymisierung, kurze Retentions, Zweckbindung; keine Ausweiskopien, keine Gesichtsidentifikation für Besucher als Standard.

IT/OT-Security: Segmentierte Netze, Ende-zu-Ende-Verschlüsselung, Härtung nach CIS-Benchmarks, regelmäßige Pen-Tests; Protokolle in SIEM mit Rollen- und Aufbewahrungsregeln.

KI-Governance: Modellkarten (Model Cards), Bias- und Drift-Monitoring, Freigabeprozess (Change Advisory Board), Audit-Trails der Modelleingriffe; klare Verantwortlichkeiten (ISB/DSB/FM/IT).

Ethik und Partizipation: Ethikleitlinien für Besuchsanalytik, Stakeholder-Dialoge, verständliche Info-Materialien; regelmäßige Akzeptanzmessungen.

Konsolidierung Basis: VMS-Upgrade, klare Lösch- und Rechtekonzepte, KPI-Dashboards. Standardisierung von Signaletik, Check-in-SOPs, Schleusenvisuals.

Quick Wins: Self-Service-Kioske mit menschlicher Assistenz; People-Counting in Hotspots; Chatbot für FAQs (mehrsprachig).

Integrationen: Echtzeit-Kopplung VMS–ACS–DCS, PSIM-Anbindung; IoT-Spender mit Telemetrie.

Prädiktive Pilotierung: Visitor-Flow-Modelle für Eingang/Etage; adaptive Slot- und Staffing-Steuerung in zwei Pilotbereichen.

Virtuelle Besuche skalieren: Tablet-Pool, Terminbuchung, Hygiene-SOPs; Evaluation Patientenzufriedenheit.

Digitaler Zwilling: Simulationsmodell für Umbauten/Evakuierungen; Szenariotests (Pandemie, MANV).

Robotik-Piloten: Begleitroboter auf definierten Routen (barrierefreie Korridore, Liftintegration); Telepräsenz in Langliegerbereichen.

KI in der Fläche: Ausgerollte Anomalie-Detektion mit XAI, klare Eskalationspfade; Federated Learning erwägen, um Datenhoheit zu wahren.

Klarer Nutzenbezug: Jede Innovation braucht messbare KPI-Ziele (z. B. –20 % Check-in-Zeit, –50 % Überlastungsereignisse, +10 %-Punkte Hygiene-Compliance).

„Human in the Loop“: Technologie unterstützt, ersetzt aber nicht die finale Entscheidung an kritischen Punkten.

Fallback-Fähigkeit: Manuelle Prozesse bleiben jederzeit funktionsfähig; regelmäßige Übungen.

Offene Architektur: APIs, interoperable Komponenten, modulare Upgrades; Zeit- und Budgetplanung entlang eines mehrjährigen Modernisierungspfads.

So entsteht ein zukunftsfähiges Besuchsmanagement, das Sicherheit, Hygiene und Patientennähe mit datenbasierter Effizienz verbindet – technisch robust, rechtssicher und von Nutzenden akzeptiert.

Besuchermanagement ist ein sicherheits- und hygienekritischer Kernprozess im Krankenhaus, dessen Qualität das Patientenwohl, die Betriebskontinuität und die Compliance in gleichem Maße bestimmt.

Wirksam wird es durch die integrative Rolle des Facility Managements: baulich-technische Befähigung, prozessuale Standardisierung, digitale Unterstützung (VMS/ACS) und geübte Notfallorganisation.

Risikoadaptionen nach Bereich (ED, ICU/Isolation, Pädiatrie) sowie datensparsame, auditfeste IT-/Datenschutzkonzepte bilden die Grundlage für Vertrauen und Akzeptanz.

KPI-basiertes Monitoring und ein gelebter PDCA-Zyklus (ISO 41001/31000) sind die Hebel für messbare Wirksamkeit und stetige Verbesserung.

Governance und Rollen klären: Lenkungskreis Besuchermanagement etablieren (FM, Hygiene, Pflege, Sicherheit, IT, DSB/ISB, Klinikleitung); RACI-Matrizen verbindlich machen

Hausordnung/Besuchspolicy: Aktualisieren; Bereichsanhänge für ED, ICU/Isolation, Pädiatrie bereitstellen

Zentrale Zugangsbündelung: Hauptzugang als Single Point of Entry mit klaren Regeln; Nebeneingänge zeit- oder intercomgesteuert

Slot-Management: In Hochrisikozonen; Spitzenlaststeuerung im Wartebereich

Technik konsistent integrieren: VMS mit KIS-Flags (Besuchserlaubnis) und ACS/DCS koppeln; Fail-Safe-Logik mit Brandschutz abstimmen; Fallback-Prozesse regelmäßig üben

Hygiene und Schleusen standardisieren: Validierte Donning/Doffing-SOPs, Interlocks, Druckstufenanzeige; PPE-Logistik mit Telemetrie; visuelle Instruktionen in Leichter Sprache

Sicherheit und Zonierung schärfen: Least-Privilege-Zutrittsrollen, Escort-Pflicht in sensiblen Bereichen, ED-Crowd-Management; Türhärtung und Leitstellen-Workflows (PSIM)

Wegeleitung und Barrierefreiheit verbessern: DIN-konforme Signaletik, farbcodierte Leitlinien, interaktive Wegfinder; getrennte Aufzüge/Wege für Besucher und Logistik

Datenschutz/Informationssicherheit absichern: DSFA dort, wo nötig; Lösch- und Berechtigungskonzepte technisch erzwingen; AV-Verträge, TOMs, SIEM-gestützte Protokolle

Notfall- und Krisenstufen definieren: Grün–Rot-Stufenmodell mit Templates; Übungen für Pandemie, MANV, Evakuierung, „Code Kind“; Visitor Accounting sicherstellen

KPIs verbindlich steuern: Kernset (z. B. Check-in-Zeit, Vorregistrierung, Hygiene-Compliance, unbefugte Zutritte, Überlastungen, Escort-Compliance, Uptime) mit Schwellen und Maßnahmenlogik

Phase 0 – Assessment (0–2 Monate): Soll-Ist-Analyse (Prozess, Technik, Recht), Gap-Report, Risiko-Heatmap; Quick-Wins identifizieren

Phase 1 – Grundlagen (2–6 Monate): Policy/RACI, Hausordnung, Signaletik-Upgrade, Standard-SOPs (Check-in, Schleusen, Escorts), Fallback-Ordner; KPI-Dashboard Minimum

Phase 2 – Digitalisierung (6–12 Monate): VMS-Einführung mit KIS-/ACS-Integration, Slot-Management, Self-Service-Kioske; Leitstellen-Workflows; Datenschutz-Freigaben (DSFA/TOMs)

Phase 3 – Skalierung und Resilienz (12–18 Monate): People-Counting in Hotspots, DCS-Kopplung, IoT-Spender, PSIM/SIEM-Korrelation; regelmäßige Übungen und Wirksamkeitsreviews

Phase 4 – Optimierung (18+ Monate): Prädiktive Analytik (Besucherlast), adaptive Wegleitung, digitaler Zwilling für Bau- und Evakuierungsszenarien; kontinuierliches KPI-Re-Baselining

Empfang/Sicherheitsdienst: VMS/ACS-Bedienung, Identitätsprüfung, Deeskalation, Hygiene-Basics, Barrierefreiheit/Service, Datenschutz-Infopflichten

Pflege/Station: Besucherkommunikation, Schleusen-/PPE-Supervision, Ausnahmeprozesse (Palliativ, Eltern Pädiatrie), Dokumentation

FM/Technik/IT: Brandschutz/Fail-Safe, RLT/Hygiene-Schnittstellen, ISMS/Incident-Handling, Change-/Patch-Management, Fallback-Drills

Ehrenamt/Seelsorge: Vertraulichkeit/Datenschutz, Hygiene, Rollenabgrenzung, Meldewege (Kinderschutz)

Schulungen: Onboarding plus jährliche Auffrischung; Lernkontrollen und Teilnahmequote als KPIs

Leitprinzip: „Sichere Nähe“. Besucherregeln dürfen Nähe nicht pauschal verhindern; risikoadaptive Ausnahmen (Palliativ, Geburt, Eltern) sind institutionell verankert und transparent kommuniziert.

Nutzerzentrierung: Leichte Sprache, Mehrsprachigkeit, Assistenz am Kiosk, familienfreundliche Pädiatrieprozesse; Empathie als Dienstleistungsstandard.

PDCA verankern: Monatliches KPI-Review, quartalsweise Audits (Hygiene/Sicherheit/Datenschutz), jährliche Managementbewertung; Lessons Learned nach Vorfällen/Übungen.

Risikoregister iterieren: Neue Risiken/Chancen aufnehmen, Residualrisiken bewerten, Maßnahmen schließen; Budgetsteuerung an KPI-/Risikowirkung koppeln.

Feedback-Schleifen: Besucher- und Mitarbeitendenfeedback (Beschwerdequote Wegleitung, Serviceumfragen) systematisch zurück in Design und Schulung.

Mit diesem Fahrplan etabliert das Facility Management ein belastbares, menschenzentriertes Besuchermanagement, das Sicherheit, Hygiene und Patientenwohl in Einklang bringt, rechts- und normkonform operiert und sich datengestützt kontinuierlich verbessert.

Kategorie: Hygiene/Infektionsprävention; Bereich: Allgemein, ICU/Isolation, Pädiatrie

E/A/RPN: 3/5/15 (hoch)

Ursachen/Trigger: Symptomatische Besucher, geringe Händehygiene, überfüllte Wartezonen

Bestehende Kontrollen: Hygieneplan, Desinfektionsspender, Maskenpolicy

Maßnahmen: T Schleusen-/RLT-Optimierung; O Slot- und Lenkungsregime; P Hygiene-Hosts/Unterweisungen; B Wartezonen-Entzerrung

Owner: Hygieneleitung; Control: FM/Station

KPIs: Hygiene-Compliance (%), Spender-Verfügbarkeit (%), Schleusen-Fehlbedienungen

Normbezug: IfSG, KRINKO/RKI, DIN 1946-4, VDI 6022

Kategorie: Sicherheit/Zutritt; Bereich: Stationskerne, ICU, Pädiatrie

E/A/RPN: 3/4/12 (mittel)

Ursachen: Offene Türen, Badge-Sharing, Social Engineering

Kontrollen: ACS an Kernen, Hausordnung, Security-Präsenz

Maßnahmen: T Anti-Passback/DCS-Etagensperre; O Escort-Pflicht; P Deeskalations-/Ident-Trainings; B Türhärtung

Owner: Sicherheitsmanagement/FM

KPIs: Unbefugte Zutrittsversuche/1.000 Besucher, Security-Reaktionszeit

Normbezug: DIN 77200, BewachV, LBO/DIN 14096

Kategorie: Datenschutz/IT-Sicherheit

E/A/RPN: 2/5/10 (mittel)

Ursachen: Fehlkonfiguration, überlange Speicherfristen, ungesicherte Schnittstellen

Kontrollen: ISMS, Rollen-/Rechtekonzept, AV-Vertrag

Maßnahmen: T Verschlüsselung/mTLS, SIEM-Korrelation, Backup/Restore-Tests; O Lösch-/Berechtigungsprozesse; P Admin-2FA/Rezertifizierung

Owner: IT/ISB, DSB (Consulted)

KPIs: Systemverfügbarkeit, Lösch-Compliance, DS-Vorfälle

Normbezug: DSGVO/BDSG, ISO/IEC 27001, B3S

Kategorie: Wege/Wegeleitung

E/A/RPN: 4/3/12 (mittel)

Ursachen: Peaks, Bauphasen, fehlende Trennung Besucher/Logistik

Kontrollen: Signaletik, feste Besuchszeiten

Maßnahmen: T People-Counting/DCS-Steuerung; O Slot-Management; P Einsatzplan Empfang; B zusätzliche Warteflächen

Owner: FM

KPIs: Überlastungsereignisse, Check-in-Zeit

Normbezug: DIN 1450, DIN 32975, DIN EN ISO 7010

Kategorie: Personen-/Kinderschutz; Bereich: Pädiatrie

E/A/RPN: 2/5/10 (mittel)

Ursachen: Unklare Abholprozesse, fehlende Ident-/Bandkontrollen

Kontrollen: Elternbänder, Ausgabecodes, Türalarme

Maßnahmen: T Zonale Tür-/Liftverriegelung („Code Kind“); O Abholcheckliste; P Drill/Übung; B Sichtachsen an Ausgängen

Owner: Pädiatrie-Leitung/Sicherheitsmanagement

KPIs: Türalarme, „Code Kind“-Übungszeit, Near-Miss-Rate

Normbezug: Hausordnung, Brandschutz-/Sicherheitskonzept

Kategorie: Notfall-/Krise

E/A/RPN: 2/5/10 (mittel)

Ursachen: Spitzenverkehr, unvollständige Besucherzählung

Kontrollen: ELA/SAA, Evakuierungspläne

Maßnahmen: T VMS-„anwesend“-Listen + Sensorik; O Sammelplatz-Workflow; P Übung/Briefing; B temporäre Leitstrukturen

Owner: Klinikleitung/Krisenstab (Accountable), FM/Leitstelle (Responsible)

KPIs: Zählgenauigkeit, Evakuierungszeit, Übungsquote

Normbezug: DIN 14096, behördliche Leitfäden MANV

Kategorie: Fremdfirmen/OT-Sicherheit

E/A/RPN: 3/4/12 (mittel)

Ursachen: Arbeiten in patientennahen Zonen, ungeprüfte IT/OT-Eingriffe

Kontrollen: Unterweisung, Permit-to-Work, Change-Management

Maßnahmen: T Netzsegmentierung/temporäre Accounts; O Begleitpflicht; P Unterweisungen/Rezertifizierung; B Abschottung/Staubschutz

Owner: FM/IT

KPIs: Permit-Compliance, Störungsrate nach Changes

Normbezug: ISO/IEC 62443, ArbSchG, TRBA 250

Nutzen/Wahrscheinlichkeit/OPN: 4/4/16 (hoch)

Maßnahmen: VMS-Kampagne, Self-Service-Kiosk, Mehrsprachigkeit

KPIs: Vorregistrierungsquote, Check-in-Zeit

Eingang → Hygiene-Point → QR/Walk-in →

[Ident-Check] → [KIS/VMS-Berechtigung] → [Unterweisung] →

[Badge/PPE] → [Wegweisung/DCS] → Aufenthalt →

Check-out → Löschung/KPI

(Abzweig ICU/Isolation: Escort + Schleuse)

Vorzone/Anmeldung → Schleuse (rein): Desinfektion → FFP2/3 → Kittel → Handschuhe

→ Patientenzone (Besuch) → Schleuse (unrein): Handschuhe ab → Desinfektion

→ Kittel ab → Desinfektion → Maske ab → Desinfektion → Abwurf → Check-out

Alarm/ELA → Besucher zu Sammelplätzen → VMS-"anwesend"-Liste + Sensorik-Abgleich →

Differenzen klären (Security/Station) → Übergabe Liste an Einsatzleitung →

Freigabe/Re-Entry gesteuert

Identität visuell geprüft (Ausweisart vermerkt)

Besuchserlaubnis/Zeitslot vorhanden (VMS/KIS-Flag)

Hygieneunterweisung erteilt (Sprache/Format)

Badge sichtbar, Zonen/Endzeit erklärt

PPE-Ausgabe bei Bedarf (Art/Größe)

Wegweisung (mündlich + QR/Print)

Ausnahme genehmigt? (Ja/Nein, durch wen)

Donning korrekt (FFP2/3, Kittel, Handschuhe)

Interlock beachtet (keine Doppelöffnung)

Doffing-Sequenz eingehalten

Abwurf ordnungsgemäß; Hände desinfiziert

Besuchsdauer im Rahmen; Escort anwesend

Triage-Freigabe liegt vor

Max. 1 Begleitperson je Patient

Wartezone zugewiesen (Infekt/Nicht-Infekt)

Maskenpflicht kommuniziert

Eskalationsweg bekannt (Security/Leitstelle)

Unterweisung gültig (Datum/Score)

Permit-to-Work inkl. LOTO/Hot-Work (falls zutreffend)

Zone/Zeitraum freigeschaltet (ACS)

Begleitung erforderlich/zugewiesen

Abschottung/Staubschutz vorhanden

Abnahme erfolgt, Ausweis/Schlüssel retour

Recht/Leitlinien D: Infektionsschutzgesetz (IfSG, insb. §23); Bewachungsverordnung (BewachV); Arbeitsschutzgesetz (ArbSchG); DSGVO/BDSG; IT-Sicherheitsgesetz; BSI-KritisV; Landeskrankenhausgesetze

Hygiene/RLT: KRINKO-/RKI-Empfehlungen (Händehygiene, Isolation, Ausbruch); DIN 1946-4 (Raumlufttechnik in Krankenhäusern); VDI 6022 (Hygiene in RLT-Anlagen); DGKH/AK-Hygiene-Papiere

Sicherheit/Brandschutz: DIN 77200 (Sicherheitsdienstleistungen); DIN 14096 (Brandschutzordnung); Bauordnungsrecht (MBO/LBO)

Zutritt/Signaletik: VDI 4068 (Zutrittskontrollanlagen); DIN EN ISO 7010 (Sicherheitszeichen); DIN 1450 (Lesbarkeit); DIN 32975 (barrierefreie visuelle Informationen)

Informationssicherheit: ISO/IEC 27001 (ISMS); ISO/IEC 62443 (OT-Sicherheit); B3S Gesundheitsversorgung (DKG)

International: WHO IPC-Guidelines (Besucher in Gesundheitseinrichtungen); CDC Guidelines for Healthcare Settings; NHS Visiting with Compassion Guidance

Hinweis: Hausindividuelle Dokumente (Hausordnung, Hygieneplan, Sicherheits- und Brandschutzkonzept, Datenschutzinformationen, DSFA, AV-Verträge) sind verbindliche Ergänzungen.

Facility Management (FM): Integrierte Managementfunktion für gebäudebezogene Leistungen, Prozesse und Infrastruktur

Besuchermanagement (VMS-Prozess): Steuerung externer Personen vom Pre-Check-in bis Check-out, inkl. Zutritt, Lenkung, Hygiene

Zonierung: Einteilung in öffentlich/halböffentlich/geschützt/kritisch (rein/unrein)

Schleuse: Übergangsraum mit definierten Hygiene-/Sicherheitsregeln zwischen Zonen

Rein/Unrein: Trennung kontaminationsgefährdeter von sauberen Bereichen/Strömen

Escort: Begleitung eines Besuchers durch autorisiertes Personal in sensiblen Zonen

Fail-safe/Fail-secure: Sicherheitslogik von Türen im Stör-/Alarmfall (öffnend vs. verriegelnd)

Opportunity (Chance): Positives Risiko mit Nutzenpotenzial (z. B. Vorregistrierung)

ACS: Access Control System (Zutrittskontrollsystem)

ADT/FHIR/HL7: Schnittstellenstandards im Gesundheitswesen

B3S: Branchenspezifischer Sicherheitsstandard Gesundheitsversorgung

BDSG: Bundesdatenschutzgesetz

DGKH: Deutsche Gesellschaft für Krankenhaushygiene

DCS: Destination Control System (Aufzug-Zielsteuerung)

DSGVO: Datenschutz-Grundverordnung

ELA/SAA: Elektroakustische Anlage/Sprachalarmierungsanlage

ED/ZNA: Emergency Department/ Zentrale Notaufnahme

ICU/IMC: Intensive Care Unit/ Intermediate Care

ISB/DSB: Informationssicherheits- / Datenschutzbeauftragte

ISP/PSIM/SIEM: Sicherheits-/Leitstellen- und Event-Managementsysteme

KIS: Krankenhaus-Informationssystem

KPI/KRI: Key Performance/ Risk Indicator

KRINKO: Kommission für Krankenhaushygiene und Infektionsprävention

KRITIS: Kritische Infrastrukturen

LOTO: Lockout-Tagout (Sicherungsprozedur)

MANV: Massenanfall von Verletzten

PDCA: Plan-Do-Check-Act (Kontinuierlicher Verbesserungszyklus)

PPE: Personal Protective Equipment (Persönliche Schutzausrüstung)

RBAC/ABAC: Role-/ Attribute-Based Access Control

RLT: Raumlufttechnik

SOP: Standard Operating Procedure

TOMs: Technische und organisatorische Maßnahmen (Datenschutz)

VDI/DIN/ISO: Normenreihen (Ingenieur/Deutsches Institut/Internationale Organisation)

VMS: Visitor Management System (Besuchermanagement-System)