Sicherheitsroboter RFP: Vorlage für Konzern-Einkauf
Sicherheitsroboter RFP mit Bewertungsmatrix, Pflichtklauseln und Pilotphase. Praktische Vorlage für KRITIS-Beschaffung mit Zahlen, Fristen und Compliance-Nachweis.
Konzern-Einkauf bekommt zunehmend Anfragen aus der Sicherheitsleitung für Robotik-Patrouillen. Die meisten dieser Beschaffungsvorgänge scheitern nicht am Budget. Sie scheitern an unvergleichbaren Angeboten, weil die Ausschreibung als Wachdienst-RFP formuliert war, nicht als Robotik-RFP. Dieser Beitrag liefert die Struktur, Klauseln und Bewertungslogik, die ein Sicherheitsroboter RFP enthalten muss, damit Angebote belastbar verglichen werden können.
Sicherheitsroboter RFP: Struktur und Pflichtbestandteile
Jede Ausschreibung Sicherheitsroboter braucht drei getrennte Dokumente: technisches Lastenheft, kommerzielles Pflichtenheft und Compliance-Anhang. Die Trennung verhindert, dass Anbieter technische Lücken mit Preisnachlässen kompensieren oder Compliance-Lücken mit Service-Versprechen kaschieren.
Das Schutzobjekt ist in messbaren Größen zu beschreiben. Flächengröße in Quadratmetern, Perimeterlänge in Metern, Anzahl der Zugangspunkte, Anzahl der Patrouillenrouten pro Schicht. Ohne diese Basisdaten produzieren Anbieter Phantasiekalkulationen.
Pflichtkriterien (K.O.) und Bewertungskriterien (0 bis 100 Punkte, gewichtet) sind klar zu trennen. Pflichtkriterien sind binär: CE-Konformität, IP54, EU-Datenhaltung, mindestens drei DACH-Referenzen. Wer eines davon nicht erfüllt, ist raus. Bewertungskriterien werden gewichtet.
Die Antwortfrist beträgt mindestens 21 Kalendertage. Kürzere Fristen führen zu Standardangeboten ohne Objektbezug. Ein Pilotzeitraum von 60 bis 90 Tagen vor Hauptvertrag ist als Standardklausel zu setzen, mit Exit-Recht ohne Vertragsstrafe bei Nicht-Erreichen definierter KPIs.
Nächster Schritt: KRITIS-Anforderungen im Überblick prüfen, bevor das Lastenheft formuliert wird.
Technische Mindestanforderungen im Lastenheft
Das Robotik Lastenheft definiert Sensorik, Navigation, Betriebsumgebung und Schnittstellen. Jede Position ist mit Zahlen zu hinterlegen, nicht mit Adjektiven.
Sensorik: RGB-Kamera mit mindestens 4K-Auflösung, Wärmebildsensor ab 384x288 Pixel für Personendetektion bei Nacht, optional LiDAR ab 16 Kanälen bei Perimetern über 800 Meter. Audio-Sensorik nur, wenn die DSGVO-Folgenabschätzung das deckt.
Autonome Navigation ist nach EN ISO 13482 zu spezifizieren, mit dokumentierter Kollisionsvermeidung in zwei redundanten Ebenen. Eine Ebene reicht nicht. Wenn der primäre Sensor ausfällt, muss die zweite Ebene den Stillstand auslösen.
Outdoor-Betrieb 24/7 bei Temperaturen von minus 10 bis plus 45 Grad Celsius. Schutzart mindestens IP54, bei Küstenstandorten IP65. Batterielaufzeit minimum 6 Stunden bei Patrouille, autonome Rückkehr zur Ladestation bei Restkapazität unter 20 Prozent, vollständige Ladung in unter 3 Stunden.
Schnittstellen: ONVIF Profile S und T, REST-API für SIEM-Anbindung, verschlüsselte Videoübertragung nach BSI-Grundschutz. Proprietäre Protokolle ohne offene API sind als K.O. zu werten, weil sie den Betreiber an einen einzigen Hersteller binden.
Wer technische Details vertiefen will: QR-2 für 24/7-Außenperimeter und QR-3 mit LiDAR und Drohnenerkennung zeigen die Spezifikation in der Praxis.
Compliance-Anforderungen für KRITIS-Betreiber
Der Compliance-Anhang ist der Teil, an dem die meisten Sicherheitsroboter RFP-Verfahren scheitern. Nicht beim Vertragsabschluss, sondern beim ersten KRITIS-Audit.
Das KRITIS-Dachgesetz verpflichtet Betreiber kritischer Anlagen zu physischen Schutzmaßnahmen mit dokumentierten Nachweisen. Der Anbieter muss erklären, wie seine Lösung in das Schutzkonzept des Betreibers eingebettet wird. Außerdem legt er dar, welche Nachweise er für ein Audit liefert.
NIS-2 erfordert nachweisbares Lieferkettenrisiko-Management bei sicherheitsrelevanten Dienstleistern. Der Robotikhersteller muss die Lieferkette dokumentieren, inklusive Sub-Auftragnehmer für Cloud, Wartung und Software-Updates. Wer das nicht liefert, fällt aus dem K.O.-Filter.
Die DSGVO-Folgenabschätzung nach Artikel 35 ist bei Personenerkennung und Audioaufzeichnung verpflichtend. Der Anbieter liefert die Vorlage, der Betreiber adaptiert sie auf das Objekt. Datenhaltung ausschließlich in der EU mit nachweisbarer Server-Lokation. Keine Datenflüsse in Drittstaaten ohne aktuellen Angemessenheitsbeschluss.
Die EU-Maschinenverordnung 2023/1230 schreibt für autonome Roboter eine CE-Konformitätsbewertung mit technischer Dokumentation vor. Risikobeurteilung, Konformitätserklärung und Betriebsanleitung sind in deutscher Sprache vorzulegen. Englische Dokumentation reicht für deutsche Audits nicht aus.
Wer als Vorstand persönlich haftet, sollte parallel NIS-2-Vorstandshaftung lesen.
Bewertungsmatrix: Gewichtung der Kriterien
Die Bewertungsmatrix Sicherheitstechnik ist der wichtigste Teil der Ausschreibung. Sie muss vor dem Versand fixiert und im RFP-Dokument transparent gemacht werden. Nachträgliche Gewichtungsänderungen sind angreifbar.
- Technische Leistung: 35 Prozent. Sensorabdeckung in Prozent der Schutzfläche, dokumentierte Detektionsrate bei Personen und Fahrzeugen, Falschalarmquote unter 2 Prozent pro 24 Stunden gemessen über 30 Tage.
- Wirtschaftlichkeit: 25 Prozent. Monatliche RaaS-Rate, Indexierungsklauseln, Exit-Kosten nach 24 Monaten, Gesamtkosten über 36 Monate.
- Compliance und Sicherheit: 20 Prozent. Vorgelegte Zertifikate, dokumentierte KRITIS-Referenzen, IT-Sicherheitskonzept, Penetrationstest-Berichte nicht älter als 12 Monate.
- Service und SLA: 15 Prozent. Reaktionszeit unter 4 Stunden, Ersatzgerät-Bereitstellung innerhalb 48 Stunden, Wartungsintervalle, deutschsprachige Hotline.
- Referenzen: 5 Prozent. Mindestens drei DACH-Installationen mit Laufzeit über 12 Monaten, davon eine in vergleichbarer KRITIS-Branche.
Die Summe ergibt 100 Prozent. Jeder Anbieter erhält pro Kriterium 0 bis 100 Punkte, multipliziert mit dem Gewicht. Der Gewinner ist der höchste gewichtete Score, sofern alle K.O.-Kriterien erfüllt sind.
Diese Matrix lässt sich direkt in das eigene Lastenheft kopieren. Wer die Gewichtung anpasst, sollte technische Leistung nicht unter 30 Prozent senken. Sonst gewinnt der billigste Anbieter mit der schwächsten Detektion.
Kommerzielle Klauseln: RaaS gegen CapEx-Modell
Der zentrale wirtschaftliche Hebel im RaaS Vertragsmodell ist die Verlagerung von CapEx zu OpEx. Vorgabe im Pflichtenheft: monatliche RaaS-Rate zwischen 3.200 und 3.800 Euro pro Einheit [Quelle oder interner Verweis erforderlich], keine Vorabinvestition, Hardware bleibt im Eigentum des Anbieters.
Als Vergleichsvorlage gehört eine TCO-Rechnung gegen 24/7-Wachposten ins Dokument. Ein durchgehend besetzter Posten kostet im DACH-Raum 15.000 bis 25.000 Euro pro Monat. Der genaue Wert hängt von Tarif, Zuschlägen und Personalverfügbarkeit ab. Der BDSW dokumentiert Stundensätze und Personalknappheit in der Wach- und Sicherheitsbranche als strukturelle Herausforderung. Die Lücke zum RaaS-Modell ist quantifizierbar.
Vertragslaufzeit 24 Monate Minimum, Verlängerungsoption mit 90 Tagen Kündigungsfrist. Kürzere Laufzeiten unter 18 Monaten führen zu Aufschlägen von 15 bis 25 Prozent auf die Monatsrate. [Quelle erforderlich] Längere Laufzeiten über 36 Monate sind nur mit Indexierungsdeckel zu akzeptieren.
Preisanpassungsklausel maximal an Verbraucherpreisindex gekoppelt, Deckelung bei 3 Prozent jährlich. Offene Indexierung ohne Cap ist ein Vetokriterium. Lieferzeitgarantie: Inbetriebnahme innerhalb von 48 Stunden nach Vertragsunterzeichnung mit Vertragsstrafe von 0,5 Prozent der Monatsrate pro Verzugstag, gedeckelt auf eine Monatsrate.
Für die TCO-Logik: TCO-Vergleich Wachschutz gegen Robotik liefert die Rechnung in voller Tabelle.
Service Level Agreement: Verfügbarkeit und Reaktion
Das SLA ist kein Anhang, sondern Vertragsbestandteil. Mindestverfügbarkeit 98 Prozent im Monatsmittel, gemessen über Telemetrie des Anbieters mit monatlichem Reporting. [Quelle oder Branchenreferenz erforderlich] Wer auf 99,5 Prozent besteht, riskiert einen entsprechenden Aufschlag in der Monatsrate. 98 Prozent ist der wirtschaftliche Sweet Spot.
Reaktionszeit bei Ausfall: 4 Stunden Remote-Diagnose, 24 Stunden Vor-Ort-Service in DACH. Ersatzgerät innerhalb von 48 Stunden bei nicht reparierbarem Defekt, keine zusätzlichen Kosten. Ohne diese Klausel hängt der Betreiber bei jedem Hardware-Defekt in der Luft.
Eskalationspfad in drei Stufen mit benannten Ansprechpartnern: Level 1 Support-Hotline, Level 2 Technischer Account Manager, Level 3 Geschäftsführung. 24/7-Hotline in deutscher Sprache. Englischsprachiger Offshore-Support reicht für KRITIS-Audits nicht.
Quartalsweise Performance-Reviews mit dokumentierten KPIs an den Sicherheitsleiter. Vorlage für die KPIs: Verfügbarkeit, Falschalarmquote, Detektionsrate, Zwischenfälle, Wartungseinsätze, Software-Updates. Wer keine quartalsweisen Reviews liefert, fällt im Bewertungskriterium Service ab.
Typische Ausschreibungsfehler und ihre Konsequenzen
Fünf wiederkehrende Fehler in der Sicherheitsdienst Ausschreibung, die zu nicht belastbaren Ergebnissen führen:
Vermischung von Wachdienst und Robotik. Wer Wachposten und Robotik in einer Ausschreibung bewertet, bekommt nicht vergleichbare Angebote. Die Kostenstruktur, Leistungsbeschreibung und Vertragslogik sind verschieden. Trennen oder als zwei Lose ausschreiben.
Fehlende Definition der Falschalarmquote. Ohne harte Grenze (unter 2 Prozent pro 24 Stunden) versprechen Anbieter beliebige Werte ohne Messmethodik. Im Betrieb produzieren sie dann 15 bis 30 Fehlalarme pro Schicht, die die Leitstelle blockieren. [Quelle erforderlich]
Unzureichende Compliance-Spezifikation. Wer KRITIS-Anforderungen, NIS-2 und DSGVO nicht im Compliance-Anhang detailliert, riskiert Nachverhandlungen oder Vertragsbruch beim ersten Audit. Die Kosten der Nachbesserung trägt in der Regel der Betreiber.
Verzicht auf Pilotphase. Bei Investitionen über 100.000 Euro Jahresvolumen ohne 60- bis 90-Tage-Pilot zu unterschreiben ist ein vermeidbares Projektrisiko. Der Pilot ist die einzige Möglichkeit, Performance-Versprechen am realen Objekt zu prüfen.
Fehlende Exit-Klauseln. Ohne dokumentierte Exit-Konditionen nach 24 Monaten bindet sich der Betreiber an einen Anbieter, dessen Performance er noch nicht kennt. Exit-Klausel mit klaren KPI-Schwellen und Kündigungsrechten ist Pflicht.
Vergabeprozess: Zeitplan und Entscheidungsgremium
Ein sauberer KRITIS Perimeterschutz Beschaffungsprozess läuft in drei Phasen über 4 bis 5 Monate.
Phase 1 RFI: 14 Tage Marktsondierung. Longlist von 5 bis 8 Anbietern, Versand eines RFI mit 8 bis 10 Fragen zu Technik, Referenzen, Compliance und Preismodell. Ergebnis: Shortlist auf 4 bis 5 Anbieter reduziert.
Phase 2 RFP: 21 Tage Angebotsfrist. Versand des vollständigen Lastenhefts, Pflichtenhefts und Compliance-Anhangs an die Shortlist. Bewerterauswertung nach Matrix. Ergebnis: 3 Anbieter für die Präsentation, 2 für den Pilot.
Phase 3 Pilot: 60 bis 90 Tage operativer Test. Zwei Endkandidaten parallel auf zwei Teilbereichen des Objekts. Tägliches Reporting, wöchentliche Reviews, abschließende Bewertung nach denselben KPIs wie im SLA.
Entscheidungsgremium: Einkauf, Sicherheitsleitung, IT-Sicherheit, Werkleitung, optional Datenschutzbeauftragter. Bei KRITIS-Betreibern zusätzlich der KRITIS-Beauftragte. Stimmgewicht ist im Vorfeld zu definieren, sonst blockiert das Gremium die Entscheidung.
Vertragsabschluss innerhalb von 30 Tagen nach Pilotende, sonst Verfall der Konditionen. Diese Klausel zwingt das Gremium zur Entscheidung und schützt den Anbieter vor endlosen Nachverhandlungen.
Für die Preislogik im Standardfall: Dreistufige Preisstruktur. Für das Vertragsmodell: Robotics-as-a-Service Modell.
Wer eine RFP-Vorlage mit Bewertungsmatrix, Compliance-Anhang und Pilotklauseln in Word und Excel benötigt, fordert das Konzern-Paket über das Kontaktformular für Konzern-Einkauf an. Lieferung innerhalb von 5 Werktagen, Sprache deutsch, anpassbar auf das eigene Objekt.