Lastenheft: Digitale Plattform zur Steuerung und Abrechnung von Fremdfirmenleistungen

Die Plattform muss in der Lage sein, eingehende Rechnungsdaten bzw. Leistungsnachweise der Fremdfirma automatisiert mit den Vertragskonditionen abzugleichen. Dabei sind Position für Position die vereinbarten Preise, Mengen und Konditionen heranzuziehen. Abweichungen (z. B. abgerechnete Menge größer als vertraglich vorgesehen, nicht vereinbarte Zusatzposition, falscher Preis) müssen vom System automatisch erkannt und gekennzeichnet werden.

Das System sollte eine regelbasierte Prüfungs-Engine bieten, die flexibel anpassbar ist (z. B. Schwellenwerte für Toleranzen, Rundungsregeln, Mehrwertsteuerprüfung etc.). Idealerweise können Administratoren neue Prüfregeln hinzufügen oder ändern, ohne Programmieraufwand (parametrierbares Regelwerk).

Unplausible oder nicht vertragskonforme Abrechnungen müssen gesperrt bzw. zur Überprüfung zurückgestellt werden. Das System soll in solchen Fällen Benachrichtigungen/Alerts an definierte Rollen (z. B. Sachbearbeiter Rechnungsprüfung oder Einkauf) senden. Idealerweise ist ein Workflow integriert, der es ermöglicht, die Abweichung zu begründen und eine Freigabe durch berechtigte Personen (z. B. Budgetverantwortliche) einzuholen, bevor die Rechnung an die Buchhaltung weitergeleitet wird.

Wünschenswert ist eine Lernfähigkeit bzw. intelligente Komponente, die aus abgelehnten oder korrigierten Rechnungen Muster erkennt (z. B. systematische Überstundenzuschläge, die fehlen) und zukünftige Prüfungen verbessert (Ansatz Machine Learning, optional).

Die Lösung muss verschiedene Vertrags- und Abrechnungsarten unterstützen: z. B. Werkverträge mit Abrechnung nach Leistungsfortschritt, Dienstverträge auf Zeit- und Materialbasis, Pauschalverträge, Rahmenverträge mit Einzelabrufen. Für jede Art müssen passende Prüflogiken konfigurierbar sein. Beispielsweise bei Zeitverträgen Abgleich von Stundenlohnsätzen und Stundensummen, bei Einheitspreisverträgen Abgleich gelieferter Mengen gegen Vertragsmenge, etc.

Bei Feststellung von Abweichungen sollte die Plattform Unterstützung bei der Klärung bieten – etwa durch Vergleichsansichten (Rechnung vs. Vertrag vs. tatsächlich erfasste Leistung) und die Möglichkeit, Kommentierungen oder Klärungsanfragen an den Dienstleister direkt über das System zu senden.

Vertrags- und Bestelldaten sollen in der Plattform verfügbar sein (über manuelle Eingabe oder Import aus SAP, siehe Integration), sodass die Rechnung gegen diese Stammdaten validiert werden kann. Insbesondere müssen die vereinbarten Preise, Rabatte, Zahlungsbedingungen, Leistungszeitraum und ggf. Vertragslimits (Budget, Mengenobergrenzen) im System hinterlegt und für Prüfzwecke herangezogen werden.

Protokollierung: Jeder Prüfschritt und jede manuelle Übersteuerung (Freigabe trotz Warnung etc.) muss für Revisionszwecke protokolliert werden (wer hat wann was freigegeben oder geändert). Diese Prüfhistorie ist Bestandteil der Compliance-Anforderungen.

Die Plattform muss SAP S/4HANA integrieren, insbesondere die Module MM (Einkauf), PM (Instandhaltung) und FI/CO (Finanzen/Controlling). Dies bedeutet: Abruf von relevanten Stammdaten (z. B. Lieferantenstamm, Material/Leistungsstamm, Kostenstellen, Auftrags-/Projektnummern) und Bewegungsdaten (Bestellungen, Vertragsvereinbarungen, Wartungsaufträge) aus SAP; sowie Rückspielung von Abrechnungs- und Leistungsdaten (z. B. bestätigte Leistungsmengen, Rechnungsbeträge, Freigabevermerke) an SAP.

Echtzeit bzw. Near-Real-Time: Die Datenintegration sollte in Echtzeit oder nahezu in Echtzeit erfolgen. Beispielsweise wäre es optimal, wenn ein Wartungsauftrag, der in SAP angelegt oder geändert wird, innerhalb von Minuten in der Plattform erscheint. Bei Rechnungsfreigaben sollte die Übergabe an SAP automatisch ohne manuellen Zwischenschritt angestoßen werden. Falls Echtzeit nicht möglich ist, soll zumindest ein eng getakteter Synchronisationsmechanismus (z. B. jede Stunde) implementiert sein.

Einkaufsintegration: Bestelldaten und Rahmenvertragsdaten aus SAP müssen in der Plattform verfügbar gemacht werden können. Insbesondere muss das System z. B. eine offene Bestellung zu einer Fremdfirma erkennen und die dort enthaltenen Positionen, Mengen und Preise importieren, um eingehende Leistungen/Rechnungen korrekt zuordnen und prüfen zu können. Änderungen in SAP (etwa Nachträge, Mengenänderungen, Preisänderungen) müssen synchronisiert werden, damit die Plattform stets aktuelle Vertragsbedingungen kennt.

Technische Entkopplung: Die Plattform sollte offene Schnittstellen (REST APIs, oData) bereitstellen, über die SAP (oder auch andere Systeme) die Daten austauschen können. Ebenso sollte sie in der Lage sein, SAP-Standardschnittstellen (IDoc, BAPI) zu konsumieren. Auf proprietäre Punkt-zu-Punkt-Lösungen ist möglichst zu verzichten, um die Wartbarkeit zu erhöhen.

Leistungserfassung/Rückmeldung: Die Plattform muss ermöglichen, erbrachte Leistungen (Stunden, Mengen etc.), die über die Plattform erfasst und freigegeben wurden, an SAP zurückzumelden. Beispielsweise könnte nach Prüfung der Leistung automatisch ein Service-Eintrittsblatt (Service Entry Sheet) im SAP erstellt oder ein Wareneingang auf eine Dienstleistungsbestellung verbucht werden. Dies stellt sicher, dass die Leistung auch im ERP dokumentiert und für die Rechnungsprüfung in SAP (MIRO) bereitsteht.

Weitere Integrationen: Perspektivisch sollte die Lösung auch mit anderen Systemen integrierbar sein, etwa einem Dokumentenmanagement (zur Archivierung von Rechnungen oder Leistungsnachweisen), einem E-Mail-System (für Benachrichtigungen) oder einem Business-Intelligence-Tool. Diese Offenheit für Integration wird als Soll-Kriterium bewertet.

Buchhaltungsintegration: Für freigegebene Rechnungen muss eine Übergabe an SAP FI (Finanzbuchhaltung) erfolgen, damit die Rechnung in der Kreditorenbuchhaltung verbucht und bezahlt werden kann. Dies kann z. B. durch Erzeugen eines Buchungsbelegs oder einer vorerfassten Eingangsrechnung in SAP geschehen. Wünschenswert ist auch die Übernahme der Kontierung (Kostenstelle, Projekt, Auftrag) aus SAP oder umgekehrt die Rückübertragung der im Plattform-Workflow gewählten Kontierung.

Datenkonsistenz: Es muss gewährleistet sein, dass Daten zwischen SAP und der Plattform konsistent bleiben. Beispielsweise wenn eine Bestellung in SAP storniert wird, darf keine Leistung mehr auf diese im Plattform-System erfasst werden können. Solche Konsistenzfälle müssen durch Synchronisationslogik oder Plausibilitätsprüfungen abgedeckt werden.

Die Plattform muss Daten von Zugangskontrollsystemen (Gate-Access) und Arbeitszeiterfassungssystemen in Echtzeit oder Nahe-Echtzeit übernehmen können. D. h. sobald ein Fremdfirmenmitarbeiter ein- oder auscheckt, sollen diese Ereignisse im System gespeichert werden (Name/ID der Person, Zeitstempel, Ort falls relevant). Diese Daten dienen als Grundlage, um die tatsächliche Anwesenheitsdauer und den möglichen Leistungszeitraum zu bestimmen.

Das System sollte mobile oder dezentrale Erfassungsmöglichkeiten bieten, um Leistungen direkt am Einsatzort zu dokumentieren. Beispielsweise könnten Fremdfirmen-Vorarbeiter über eine mobile App Arbeitsfortschritte oder erbrachte Mengen eingeben, die dann vom System mit anderen Daten (Zeitstempeln, Sensorwerten) gegengeprüft werden. Eine mobile App wäre auch hilfreich, um z. B. digitale Unterschriften für Leistungsnachweise vor Ort einzuholen.

Anhand der Echtzeitdaten muss die Plattform eine Validierung der gemeldeten Leistungen durchführen. Konkret: Wenn ein Dienstleister z. B. 10 Arbeitsstunden für einen Tag abrechnet, aber die Gate-Access-Daten zeigen, dass der Mitarbeiter nur 8 Stunden auf dem Gelände war, so muss das System dies erkennen und als Abweichung markieren. Ebenso kann überprüft werden, ob die Anzahl der auf dem Gelände anwesenden Mitarbeiter mit den vertraglich geplanten Ressourcen übereinstimmt.

Echtzeit-Überwachung: Es sollte möglich sein, dass autorisierte Nutzer (z. B. Schichtleiter, Werksschutz) in einem Dashboard live sehen können, welche Fremdfirmen gerade vor Ort sind, wie viele Personen von welcher Firma anwesend sind und ggf. seit wann. Dies dient sowohl der Kontrolle als auch der Sicherheit (z. B. Evakuierungsmanagement). Diese Anforderung überschneidet sich mit Dashboards (siehe nächsten Abschnitt).

Schnittstellenvielfalt: Die Lösung muss offene Schnittstellen oder Konnektoren für gängige Systeme zur Zeiterfassung und Zutrittskontrolle bieten. Das umfasst z. B. Unterstützung für Systeme mit RFID-Karten, biometrische Zugangssysteme oder turnusbasierte Zeiterfassung. Sollte das Unternehmen mehrere verschiedene Systeme an unterschiedlichen Standorten nutzen, muss die Plattform entsprechend flexibel sein.

Zusätzliche Datenquellen: Wünschenswert ist, dass auch IoT-Daten oder Maschinendaten einbezogen werden können, sofern sie relevant für die Leistung sind. Beispiel: Der Dienstleister rechnet nach Bohrmetern ab, und ein Sensor liefert die tatsächlich gebohrten Meter einer Maschine – solche Daten könnten direkt ins System fließen zur Validierung. Diese Art von Integration wird als Soll angesehen und kann im ersten Schritt optional bleiben, sollte aber perspektivisch möglich sein.

Datenverknüpfung: Die Echtzeit-Leistungsdaten müssen in der Plattform mit den jeweiligen Aufträgen/Leistungen verknüpft werden. Zum Beispiel: Ein Fremdfirmenmitarbeiter wird bei Zutritt einem bestimmten Auftrag oder einer Kostenstelle zugeordnet (ggf. durch Vorausplanung oder Auswahl im System). So kann man später genau sehen, welche Zeit und Aktivität zu welchem Auftrag gehörte. Falls eine automatische Zuordnung nicht immer möglich ist (z. B. Mitarbeiter ist für mehrere Aufträge vor Ort), muss es eine Möglichkeit geben, die erfassten Zeiten manuell oder halbautomatisch dem richtigen Vorgang zuzuweisen.

Datengenauigkeit und -schutz: Alle erfassten personenbezogenen Echtzeitdaten müssen gemäß Datenschutzrichtlinien behandelt werden. Die Plattform muss sicherstellen, dass z. B. Zeiterfassungsdaten nur zu legitimen Zwecken (Abrechnung, Sicherheit) genutzt werden und die Speicherung im Einklang mit DSGVO erfolgt (z. B. begrenzte Aufbewahrungsdauer für Roh-Zugangsdaten, Pseudonymisierung wo möglich).

Die Plattform muss ein rollenbasiertes Berechtigungskonzept implementieren. Benutzerkonten werden Rollen oder fein-granularen Berechtigungsprofilen zugeordnet, welche bestimmen, welche Module, Funktionen und Daten jeweils sichtbar oder bearbeitbar sind. Beispielsweise muss es möglich sein, dass ein Dienstleister-Manager zwar die für ihn relevanten Auftrags- und Leistungsdaten sieht, aber keine vertraulichen internen Kostendaten. Umgekehrt sieht die Buchhaltung Rechnungsdetails, jedoch keine operativen Wartungspläne. Die Rechteverwaltung muss mindestens auf Funktionsebene und Objektebene differenzieren (z. B. „darf alle Berichte sehen“ vs. „darf nur Berichte für Bereich X sehen“).

Personalisierung: Benutzer sollten ihre Dashboards innerhalb gewisser Grenzen anpassen können. Zum Beispiel Widgets aus einer Bibliothek auswählen, Layout verändern oder Filter setzen (z. B. Fokus auf bestimmte Projekte oder Zeiträume). Dies erhöht die Akzeptanz, da jeder die für ihn wichtigsten Kennzahlen hervorheben kann.

Granularität und Administrierbarkeit: Es muss eine administrierbare Benutzer- und Rollenverwaltung geben, in der neue Benutzer angelegt und ihnen Rollen zugewiesen werden können. Rollen sollen hinsichtlich Rechte (CRUD-Operationen auf Datenobjekte, Modulzugriff) konfigurierbar sein. Im Idealfall können bestehende Rollen als Templates dienen und angepasst oder verfeinert werden.

Benachrichtigungen: Neben statischen Dashboards sollte das System auch ein Benachrichtigungssystem beinhalten (z. B. als Teil des UI, oder per E-Mail/SMS Push). Rollenabhängig bekommen Nutzer proaktive Hinweise, z. B. „Neue Rechnung X eingetroffen und geprüft – bitte Freigabe erteilen“, oder „Dienstleister Y hat Performance-Warnstufe erreicht“. Solche Notifications fördern die Echtzeit-Steuerung über das reine Dashboard hinaus.

Die Benutzeroberfläche muss übersichtlich, intuitiv und web-basiert sein. Moderne Usability-Standards sind einzuhalten (konsistente Navigation, ansprechendes UI-Design, kurze Ladezeiten – siehe auch Nicht-funktionale Anforderungen zur Usability). Für alle Hauptrollen sollten Übersichtsseiten (Dashboards) zur Verfügung stehen, die die wichtigsten Informationen auf einen Blick bieten.

Mehrsprachigkeit der UI: Falls der Einsatz in mehrsprachigen Teams oder international geplant ist, sollte die Oberfläche mehrsprachig zur Verfügung stehen (Deutsch/Englisch mindestens). Jeder Benutzer könnte die bevorzugte Sprache einstellen. Dieses Kriterium ist insbesondere relevant, wenn externe Dienstleister Zugänge erhalten (z. B. internationale Firmen). – Hinweis: Sollte die Lösung nicht mehrsprachig sein, ist das kein absolutes Ausschlusskriterium, solange Deutsch voll unterstützt wird, aber es würde als Nachteil bewertet.

Echtzeit-Dashboards: Das System muss Dashboards anbieten, die Echtzeitdaten anzeigen. Dazu gehört etwa: Live-Update der aktuellen Personenanzahl auf dem Gelände; Aktualisierung der Kostenzähler, sobald neue Leistungen erfasst werden; Anzeige von Alerts (z. B. „Rechnung über 50.000 € wartet seit 2 Tagen auf Freigabe“). Die Echtzeitfähigkeit kann mittels WebSocket/Push-Technologie umgesetzt sein, oder durch sehr häufige Refreshes – Hauptsache, der Benutzer sieht stets den aktuellen Stand ohne manuelles Neuladen.

Kontextsensitive Hilfen: Für eine hohe Benutzerfreundlichkeit muss das System an geeigneten Stellen Hilfestellungen bieten (z. B. Tooltipps, Hilfeseiten oder ein Online-Handbuch). Insbesondere komplexe Funktionen wie die Einrichtung von Prüfregeln oder das Erstellen von Reports sollten dokumentiert und ggf. mit Tutorials hinterlegt sein. Dies erleichtert die Einführung und täglichen Nutzung erheblich.

Das System muss die Erfassung und Berechnung von Leistungskennzahlen (KPIs) für Dienstleister ermöglichen. Die relevanten KPIs werden gemeinsam mit dem Auftraggeber definiert, aber das System muss die Flexibilität bieten, diese Kennzahlen aus den Basisdaten abzuleiten. Beispielsweise kann aus der Differenz geplanter Endtermin vs. tatsächlicher Endtermin eine Kennzahl „Termintreue in Tagen Verzögerung“ berechnet werden. Solche Berechnungen müssen konfigurierbar sein (z. B. via Formeln oder Scripting im System).

Es sollte möglich sein, gewichtete Gesamtbewertungen zu erstellen. Zum Beispiel könnte das Unternehmen definieren, dass Termintreue 30 %, Qualität 30 %, Kostenperformance 20 %, Sicherheit 20 % in eine Gesamt-Score fließen. Das System sollte diese Gewichtung berücksichtigen und eine aggregierte Scorecard je Lieferant ausgeben (etwa 85/100 Punkte oder „Lieferant A = Note 2,0“). Dies wäre hilfreich als Management-Summary.

Es muss Berichte bzw. Dashboards pro Dienstleister geben, welche die wichtigsten KPIs übersichtlich darstellen. Ein Einkäufer oder Qualitätsmanager soll auf einen Blick erkennen können, wie ein Dienstleister im letzten Quartal performt hat. Grafische Aufbereitungen (Balken-/Liniencharts für Trend, Tacho-/Ampelanzeigen für aktuelle Bewertung) sind wünschenswert, um komplexe Daten schnell erfassbar zu machen.

Das System sollte erlauben, zusätzliche Bewertungskriterien manuell zu erfassen, die nicht direkt aus Zahlen ableitbar sind. Beispielsweise könnte der Projektleiter nach Abschluss eines Projekts eine subjektive Bewertung des Dienstleisters eingeben (Skala 1–5 oder Freitextkommentar). Diese könnte ins Gesamtbild mit einfließen oder zumindest in Berichten sichtbar sein. Damit können „weiche“ Faktoren berücksichtigt werden.

Die Plattform muss die Vergleichbarkeit zwischen Dienstleistern unterstützen. Das heißt, ein berechtigter Nutzer sollte z. B. zwei oder mehr Dienstleister nach bestimmten Kennzahlen nebeneinanderstellen können (Benchmarking). Beispielsweise ein Ranking der Dienstleister nach Unfallhäufigkeit, oder ein Vergleich der Stundensätze gegen Produktivität. Solche Vergleiche helfen bei Entscheidungen, welchen Dienstleister man bevorzugt beauftragt.

Alarmierung: Wenn ein Dienstleister bestimmte Schwellenwerte überschreitet (z. B. KPI „Termintreue“ fällt unter 80 % oder es gab >3 Sicherheitsvorfälle im Jahr), sollte das System automatisch einen Alarm oder Hinweis generieren. Dies könnte im Dashboard erscheinen oder per E-Mail an verantwortliche Personen gehen, damit frühzeitig Maßnahmen ergriffen werden (z. B. Gespräch mit dem Lieferanten, Audits, etc.).

Trendanalysen: Für jede Kennzahl muss das System historische Verläufe speichern und darstellen können. Es soll erkennbar sein, ob ein Dienstleister sich verbessert oder verschlechtert (z. B. Chart über die letzten 8 Quartale oder Ampelhistorie). Dadurch können langfristige Entwicklungen beurteilt werden.

Export und Berichtswesen: Die ermittelten Performancekennzahlen müssen exportierbar sein (Excel, PDF-Berichte) und für Audits oder Meetings zur Verfügung gestellt werden können. Idealerweise sind Standardberichte für regelmäßige Meetings (z. B. quartärliche Lieferantenbewertung) bereits vorhanden oder können leicht konfiguriert werden.

Die Plattform muss eine Reporting-Komponente enthalten, die es ermöglicht, Standardberichte zu Fremdfirmenmanagement abzurufen. Diese Berichte sollten aussagekräftige Kennzahlen und Listen enthalten, gegliedert nach für den Betrieb wesentlichen Strukturen (z. B. Berichte je Standort, je Kostenstelle, je Projekt, je Dienstleister). Der Inhalt der Standardberichte wird in Abstimmung mit dem Auftraggeber festgelegt und sollte konfigurierbar sein.

BI-Integration: Es sollte möglich sein, das System an externe Business-Intelligence-Tools anzubinden (z. B. via ODBC/JDBC oder APIs). Falls das interne Reporting nicht alle gewünschten Tiefenanalysen abdecken kann, könnten so Daten in ein Data Warehouse fließen und dort weiter analysiert werden. Dieses Kriterium ist ein Soll, da es von der Datenstrategie des Unternehmens abhängt.

Ad-hoc-Analyse: Berechtigte Benutzer (z. B. Controller, Power-User) müssen die Möglichkeit haben, individuelle Abfragen und Berichte zu erstellen. Das kann über integrierte Tools (wie einen Query-Builder mit GUI) oder zumindest über direkte Abfragemöglichkeiten (Export nach Excel und dort Pivotierung) erfolgen. Idealerweise bietet das System eine Drag-and-drop-Oberfläche für Analysen, in der Felder (z. B. „Dienstleistername“, „Monat“, „Kosten“) frei kombiniert werden können.

Eingebaute Prognosemodelle: Wünschenswert (Soll) ist, dass die Plattform bereits einige Predictive Analytics-Funktionalitäten mitliefert. Etwa eine Forecast-Funktion für Kosten: Auf Basis bisheriger Ausgaben pro Monat berechnet das System automatisch eine Hochrechnung für das Jahresende und visualisiert diese. Oder ein Modul zur Anomalie-Erkennung, das ungewöhnliche Muster (z. B. plötzlich stark steigende Stunden in einem Bereich) erkennt und meldet. Diese Funktionen würden den Wert der Lösung steigern, sind aber als Soll-Kriterien klassifiziert.

Datenhistorie: Das System muss Daten historisch vorhalten, um Trends ermitteln zu können. D. h. es darf keine rein überschreibende Speicherung ohne Archiv geben. Vielmehr sollen z. B. für jedes Jahr die Leistungs- und Kostenwerte erhalten bleiben (auch wenn Verträge enden), um Längsschnittanalysen durchführen zu können.

Simulation und What-if: Die Möglichkeit, Szenarien durchzuspielen, sollte gegeben sein. Z. B. erlaubt ein Kosten-Dashboard das Verändern von Parametern (Stundensatz X +10 %) und zeigt unmittelbar die Auswirkung auf das Jahresbudget. Solche Simulationsfunktionen helfen bei der Planung (z. B. Budgetverhandlungen, Rate Card Anpassungen mit Dienstleistern).

Predictive-Funktionen (Grundlage): Die Plattform muss zumindest die Grundlage für prädiktive Analysen bereitstellen, indem sie strukturierte Daten und ggf. vorgefertigte Algorithmen anbietet. Zum Beispiel sollte sie historische Zeitreihendaten so präsentieren können, dass man eine Trendlinie und Forecast darauf legen kann. Wenn keine komplexen KI-Funktionen eingebaut sind, muss zumindest der Datenzugriff offen sein, sodass externe Data-Science-Tools die Daten ziehen und Modelle erstellen können.

Benutzerfreundlichkeit im Reporting: Trotz der Komplexität von Analytics muss die Handhabung für Endanwender verständlich sein. Das heißt, Berichte sollten mit wenigen Klicks abrufbar sein, Visualisierungen klar beschriftet und interaktiv (Filtern, Drill-down) wo möglich. Dokumentation und Schulung für diese Komponenten sind erforderlich, damit die Nutzer den vollen Nutzen daraus ziehen können.

Ausgabe und Export: Alle Berichte und Analysen müssen in gängigen Formaten ausgebbar sein (PDF-Report für Management, Excel-Export für weitere Datenverarbeitung). Auch ein zeitgesteuerter Reportversand (z. B. Monatsreport automatisch per E-Mail an definierte Empfänger) sollte möglich sein, um wiederkehrende Aufgaben zu automatisieren.

Der Anbieter/die Plattform muss nachweislich ein hohes Sicherheitsniveau gewährleisten. Idealerweise liegt eine Zertifizierung nach ISO/IEC 27001 vor oder ein aktueller SOC 2 Type II Report. Insbesondere die Trust Principles von SOC 2 – Security, Availability, Processing Integrity, Confidentiality, Privacy – müssen adressiert sein. Der Bieter sollte entsprechende Nachweise in der Angebotsphase liefern können (z. B. Zertifikate, Auditberichte).

Penetrationstests & Schwachstellenmanagement: Es sollte etabliert sein, dass regelmäßig Penetrationstests durch unabhängige Experten durchgeführt werden und erkannte Schwachstellen zeitnah behoben werden. Der Anbieter sollte Security-Patches zeitnah einspielen können (auch das gehört zur Compliance). Wenn die Lösung individuell entwickelt wird, sollte ein Secure Development Lifecycle (nach OWASP o. ä.) nachgewiesen werden können.

Zugangssicherheit: Die Lösung muss ein robustes Authentifizierungssystem haben. Nutzerkonten sind durch starke Passworte (Passwortrichtlinie) zu schützen; vorzugsweise wird auch 2-Faktor-Authentifizierung (2FA) unterstützt (Sollte falls nicht standardmäßig). Falls im Unternehmen ein zentrales Identity Management (z. B. Active Directory, SAML) genutzt wird, muss die Plattform Single Sign-On (SSO) integrieren können, um den Benutzern eine nahtlose und sichere Anmeldung zu ermöglichen.

Protokollierung und Audit: Alle sicherheitsrelevanten Ereignisse (Login-Versuche, Änderungen von Berechtigungen, etc.) sollten protokolliert werden. Zudem sollten Audit-Logs vorhanden sein, die Zugriffe auf sensible Daten nachvollziehbar machen (wer hat wann welche Daten eingesehen/verändert). Diese Logs müssen vor Manipulation geschützt und für einen definierten Zeitraum aufbewahrt werden, damit im Fall eines Security Incidents forensische Analysen möglich sind.

Rechte- und Rollenmanagement: (Siehe funktionale Anforderungen) – hier non-funktional ergänzt: Es muss sichergestellt sein, dass das Berechtigungsmodell keine Umgehungen zulässt (z. B. darf ein externer Dienstleister keine Möglichkeit haben, durch URL-Manipulation auf andere Daten zuzugreifen). Das System muss umfassend getestet sein auf Zugriffsschutz. Auch Administratorenrechte sollten staffelbar sein (Prinzip der minimalen Rechte).

Rechtskonformität sonstige: Je nach Ausgestaltung können weitere Compliance-Aspekte relevant sein. Z. B. steuerrechtliche Vorgaben an elektronische Rechnungen (Stichwort GoBD, elektronische Archivierung) – die Plattform sollte kompatibel sein mit XRechnung/ZUGFeRD-Formaten, falls elektronische Rechnungen mit öffentlichen Auftraggebern ausgetauscht werden. Oder Nachweisführung Arbeitsschutz: falls relevant, sollte man nachhalten können, wer unterwiesene Personen waren etc. Diese Dinge sind als Soll-Kriterien zu betrachten, die je nach Angebot bewertet werden.

Verschlüsselung: Alle sensiblen Daten müssen angemessen verschlüsselt sein. Daten in Ruhe (at rest) auf Servern/ in der DB sind durch Verschlüsselung zu schützen (z. B. AES-256 Standard). Daten in Übertragung (in transit) müssen durch aktuelle Protokolle wie TLS 1.2+ gesichert werden. Dies gilt sowohl für die Benutzerschnittstelle (HTTPS für Web) als auch für Integrationsschnittstellen (APIs).

Datenschutz (DSGVO): Das System muss DSGVO-konform sein, sofern personenbezogene Daten von EU-Bürgern verarbeitet werden. Dies beinhaltet u. a.: Einwilligungs- oder Berechtigungskonzepte für personenbezogene Daten der Fremdfirmenmitarbeiter, Möglichkeit zur Auskunft und Löschung (z. B. wenn ein Mitarbeiter nicht mehr tätig ist, müssen seine persönlichen Daten nach gewisser Zeit anonymisiert oder gelöscht werden, solange es nicht gegen Aufbewahrungspflichten verstößt). Zudem ist sicherzustellen, dass Daten nur zu definierten Zwecken verwendet werden (hier: Abrechnung, Einsatzsteuerung) und nicht zweckentfremdet. Eine Auftragsverarbeitungsvereinbarung wird Teil des Vertrags mit dem Softwareanbieter sein.

Backup und Disaster Recovery: Der Anbieter muss Konzepte für regelmäßige Backups und schnelle Wiederherstellung im Fehlerfall vorweisen. Ein Datenverlust (über das erlaubte RPO hinaus) ist inakzeptabel. Beispielsweise sollte mindestens täglich ein Backup erfolgen und eine Wiederherstellungszeit (RTO) von wenigen Stunden bei einem Totalausfall garantiert sein. Nach Möglichkeit sollten Backups verschlüsselt und an geographisch getrennten Orten aufbewahrt werden.

Hochverfügbarkeit: Sicherheit umfasst auch Verfügbarkeit. Die Cloud-Plattform muss eine hohe Uptime gewährleisten, vorzugsweise >99 % im Jahresmittel. Wartungsfenster sollen planbar und möglichst außerhalb der Hauptnutzungszeiten liegen. Redundante Auslegung (z. B. mehrere Server, Ausfallsicherung) wird vorausgesetzt, damit ein einzelner Hardware- oder Softwarefehler nicht zum Ausfall des gesamten Systems führt.

Mandantentrennung: Da die Software mandantenfähig sein soll, muss garantiert sein, dass Mandantendaten strikt voneinander getrennt sind. Ein Mandant darf keinerlei Möglichkeit haben, auf Daten eines anderen zuzugreifen. Dies sollte architektonisch (z. B. durch Mandanten-ID in jedem Datensatz und entsprechende Filters in allen Abfragen) und organisatorisch (Mandanten-Administration getrennt) umgesetzt sein. Mandantenfähigkeit erstreckt sich auch auf Konfigurationen: möglichst sollten Einstellungen pro Mandant vorgenommen werden können, ohne global zu wirken (sofern z. B. zwei unterschiedliche Geschäftsbereiche leicht abweichende Prozesse haben).

Die Software muss als Cloud-Lösung bereitgestellt werden (SaaS). Das bedeutet, der Zugriff erfolgt über Internet, der Betrieb wird vom Anbieter sichergestellt. Alternative Bereitstellungsmodelle (Private Cloud, On-Premises) können optional angeboten werden, sofern sie der Sicherheit nicht abträglich sind, aber der primäre Erwartungsrahmen ist eine Cloud-Lösung, um Wartungsaufwand auf Anbieterseite zu belassen.

Offline-Fähigkeit/Pufferung: Es wäre vorteilhaft, wenn gewisse Kernfunktionen auch bei temporär fehlender Netzwerkverbindung nicht komplett blockieren. Beispielsweise könnte eine mobile App im Offline-Modus Daten zwischenspeichern (erfasste Leistungen) und später synchronisieren. Oder das Web-Frontend puffert Eingaben, falls die Verbindung kurz hakt. In der Bergbau-Praxis kann es Remote-Situationen geben, wo Connectivity ein Thema ist – eine robuste Anwendung berücksichtigt das (Soll-Kriterium).

Die Architektur muss mandantenfähig sein (siehe Definition oben). Für den Auftraggeber bedeutet dies, dass ggf. verschiedene Organisationseinheiten im Unternehmen als getrennte Mandanten auf derselben Plattform agieren können, oder dass man später andere Partner (z. B. Tochterfirmen) aufschalten könnte. Daten-Isolation ist Pflicht, Performance-Isolation wünschenswert (d. h. ein Mandant mit sehr hoher Last sollte die anderen nicht ausbremsen).

Konfigurierbarkeit statt Programmierung: Es sollte möglich sein, Anpassungen an Prozessen, Workflows, Formularen etc. durch Konfiguration vorzunehmen statt durch Code-Anpassungen. Ein anpassbares Regelwerk (siehe Rechnungsprüfung), flexible Report-Designer und Administrationsoberflächen für z. B. Drop-Down-Werte ermöglichen, dass das System auch bei Prozessänderungen schnell mitgezogen werden kann. Dieser Punkt beeinflusst die total cost of ownership: Je weniger (kostenintensive) Entwicklungsleistungen für Änderungen nötig sind, desto besser.

Skalierbarkeit: Die Lösung muss nachweislich skalieren können. Der Bieter sollte angeben, welche Maximallasten im produktiven Einsatz unterstützt werden (z. B. Anzahl gleichzeitiger Benutzer, Transaktionen pro Stunde). Insbesondere muss die Plattform mit wachsenden Fremdfirmen-Einsätzen skalieren: Wenn sich z. B. die Zahl der erfassten Stunden pro Jahr verdoppelt oder zehnmal so viele Geräte angebunden werden, darf das System nicht inakzeptabel langsam werden. Technisch sollte dies durch horizontale Skalierung (Load Balancer + zusätzliche Application Server, skalierbare Cloud-Datenbank, etc.) erreicht werden. Die Skalierungsmechanismen (manuell vs. auto-scaling) kann der Anbieter erläutern.

Dokumentation und Schnittstellen: Aus architektureller Sicht sollte der Anbieter eine umfangreiche Dokumentation bereitstellen – sowohl für Endnutzer (Benutzerhandbücher) als auch technisch (Schnittstellen-Dokumentation, Datenmodellbeschreibung soweit relevant, Admin-Guides). Dies erleichtert Integration und Betrieb erheblich.

Performance: Die Anwendung muss performante Reaktionszeiten aufweisen, auch bei hoher Last. Als Richtwert kann gelten: Für typische Benutzeraktionen (Öffnen eines Dashboards, Aufrufen einer Vertragsdetailseite, Buchen einer Leistung) sollte die Antwortzeit im Mittel < 2 Sekunden liegen. Komplexe Auswertungen dürfen etwas länger dauern, sollten aber nach Möglichkeit < 5–10 Sekunden bleiben. Diese Werte sind Zielgrößen, Abweichungen sind begründbar, aber insgesamt muss die Bedienung flüssig sein, damit die Anwenderakzeptanz hoch ist.

Browser- und Device-Kompatibilität: Die Web-Oberfläche muss mit allen gängigen modernen Browsern kompatibel sein (Chrome, Firefox, Edge, Safari in jeweils aktueller Version). Zudem sollte sie responsive sein, sodass sie auf verschiedenen Bildschirmgrößen (Desktop, Tablet, notfalls Smartphone) nutzbar ist. Falls eine dedizierte mobile App Teil der Lösung ist (z. B. für Android/iOS), muss diese die Kernfunktionen für den Außeneinsatz unterstützen.

Wartbarkeit & Updates: Die Software muss wartbar sein, d. h. der Anbieter sollte regelmäßige Updates/Patches einspielen können, ohne lange Unterbrechungen im Betrieb. Idealerweise erfolgen Updates nahezu transparent (im Hintergrund, in wartungsarmen Zeiten, mit Vorankündigung). Der Bieter muss darlegen, wie Upgrades gehandhabt werden (Frequenz, Downtime, Rückfalloptionen bei Problemen). Aus Sicht des Kunden ist wichtig, dass die Lösung über Jahre aktuell gehalten wird (Weiterentwicklung) und Sicherheitsupdates unverzüglich erhalten kann.

Monitoring & Support: Für den laufenden Betrieb muss der Anbieter ein Monitoring betreiben, das wichtige Systemmetriken überwacht (Serverauslastung, Antwortzeiten, Fehlerraten). Der Kunde erwartet, dass der Anbieter im Problemfall proaktiv reagiert. Zudem muss ein Support-Konzept bestehen: z. B. ein 2nd/3rd-Level Support, erreichbar zu definierten Zeiten, der im Fehlerfall Unterstützung bietet. Entsprechende SLAs (z. B. Reaktionszeit < 1h bei kritischem Systemausfall; < 24h bei normalen Anfragen) sollten im Angebot klar definiert sein.

Betriebsrat/Organisations-Aspekte: Bei der Einführung einer solchen Plattform sind interne Mitbestimmungsgremien (Betriebsrat) zu beteiligen, gerade weil Mitarbeiterdaten erfasst werden (Anwesenheitszeiten). Die Software muss daher Features bieten, die mitbestimmungskonform einstellbar sind (z. B. welche personenbezogenen Daten genau sichtbar sind, Auswertungsmöglichkeiten ggf. einschränkbar, Pseudonymisierung). Diese Anforderung ist zwar eher prozessual, aber relevant: Der Anbieter sollte Erfahrung haben im Rollout solcher Systeme und entsprechende Einstellungen bereitstellen können.

Die Plattform muss über dokumentierte Programmierschnittstellen (APIs) verfügen (z. B. REST/JSON-basierte Webservices), die es erlauben, zentrale Funktionen auch von externen Programmen auszulösen bzw. Daten abzurufen. Beispiel: Eine API, um eine neue Leistungsmeldung anzulegen; eine API, um alle offenen Rechnungen auszulesen. Diese Offenheit ermöglicht es der internen IT, bei Bedarf selbst Erweiterungen oder Datenabfragen zu entwickeln.

Standard-Konnektoren: Wünschenswert ist, dass bereits vorkonfigurierte Konnektoren für verbreitete Systeme existieren. SAP haben wir abgedeckt. Weitere könnten sein: Mailserver (für Benachrichtigung – z. B. SMTP-Settings konfigurierbar), Active Directory/LDAP (für Nutzer-Authentifizierung und -Provisionierung), Power BI/Tableau (vorgefertigte Connectoren zu BI-Tools). Je mehr Integrationspunkte ab Werk unterstützt werden, desto besser – dies wird positiv bewertet, ist aber kein Muss, solange die generische API offen ist.

Datenimporte und -exporte: Es muss möglich sein, Stammdaten und Bewegungsdaten in gängigen Formaten zu importieren bzw. exportieren. Z. B. CSV/Excel-Import für Stammdateninitialisierung (Lieferantenliste), PDF-Export für Rechnungen, evtl. auch XML-Formate für e-Invoicing (sofern genutzt). Auch Massen-Updates (z. B. neue Preisliste für einen Dienstleister einspielen) sollten via Upload-Funktion unterstützt werden.

Modularität und Erweiterbarkeit: Die Software-Architektur sollte modular aufgebaut sein, sodass bei Bedarf einzelne Module ergänzt oder deaktiviert werden können. Z. B. falls der Kunde ein eigenes Modul für Besucherregistrierung hat, sollte er das ggf. statt eines mitgelieferten nutzen können, ohne dass Kernfunktionen leiden. Ebenso sollte es möglich sein, später neue Module (vielleicht liefert der Anbieter in Zukunft ein KI-Modul nach) nahtlos zu integrieren.

Keine proprietären Lock-Ins bei Daten: Der Kunde muss jederzeit Herr seiner Daten bleiben. Das System muss ermöglichen, alle Daten in einem gängigen Format zu exportieren (z. B. für einen möglichen späteren Systemwechsel). Ein Daten-Export aller relevanten Informationen (in einer dokumentierten Struktur) ist erforderlich. Nur so kann eine technologische Abhängigkeit mit Risiko vermieden werden.

Interoperabilität Standards: Falls branchenrelevante Standards existieren, sollte die Lösung diese unterstützen. Z. B. OPC-UA für Maschinendaten (falls relevant für IoT-Integration), oder HR-XML für Personaldaten, oder gängige Schnittstellen im Procurement (cXML, etc.). Dies ist ein weiches Kriterium – da Technologieoffenheit gefordert ist, wird eine Lösung, die sich gut in Standardarchitekturen einfügt, bevorzugt.

Entwicklungs-Werkzeuge: Falls der Kunde kleinere Anpassungen vornehmen will (z. B. ein eigenes Eingabeformular oder Report), muss der Anbieter Wege aufzeigen, wie dies geschehen kann. Sei es durch bereitgestellte SDKs, durch Scripting-Fähigkeit innerhalb der Anwendung oder durch No-Code/Low-Code-Ansätze. Komplett geschlossene Systeme, bei denen jede Anpassung nur durch den Hersteller gegen hohen Aufwand möglich ist, erfüllen dieses Kriterium nicht.

Versionierung und Test: Bei Integrationen ist es wichtig, dass Änderungen versioniert sind. Z. B. API-Versionierung: Die Plattform sollte Updates so handhaben, dass bestehende Integrationen nicht brechen (Abwärtskompatibilität oder Parallelbetrieb alter/new API-Version). Außerdem sollte es für den Kunden möglich sein, ein Test- bzw. Sandbox-System der Plattform zu erhalten, in dem Integrationen gefahrlos getestet werden können, bevor man sie produktiv nutzt. Dies wird als Soll-Kriterium erwartet (in vielen SaaS-Angeboten ist ein Testmandant Standard).

Intuitive Bedienung: Die Anwendung muss eine klare und konsistente Benutzeroberfläche aufweisen. Alle wichtigen Funktionen sollten mit wenigen Klicks erreichbar sein, ohne dass der Benutzer tiefe technische Kenntnisse braucht. Masken sollen logisch aufgebaut sein, Fachbegriffe einheitlich und verständlich verwendet werden. Wo möglich, sollen Voreinstellungen und Automatismen den Nutzer unterstützen (z. B. automatische Vorauswahl des aktuellen Datums, sinnvolle Standardfilter).

Anpassbare Oberflächen: Falls verschiedene Nutzer doch unterschiedliche Präferenzen haben, sollte die Software z. B. erlauben, Spaltenanordnungen in Tabellen zu ändern, Felder ein-/auszublenden (per individuellem Profil speichern) oder zwischen Darstellungsmodi zu wählen (Kacheln vs. Liste, Dunkelmodus, etc.). Solche Personalisierungen sind Soll-Anforderungen, die die Zufriedenheit steigern können.

Ergonomie: Das Design muss ergonomisch sein, d. h. längeres Arbeiten in der Anwendung soll nicht ermüden oder frustrieren. Dazu gehören ausreichende Performance (s.o.), ein klares visuelles Design (z. B. gute Lesbarkeit durch ausreichenden Kontrast, sinnvoller Einsatz von Farben und Symbolen) und eine durchdachte Navigation. Es soll jederzeit erkennbar sein, wo im System man sich befindet (Breadcrumbnavigation oder Überschriften) und wie man zurück bzw. weiter kommt.

Schulung und Trainings: Der Anbieter sollte Schulungen für die unterschiedlichen Nutzergruppen anbieten. Beispielsweise Key-User-Trainings (für diejenigen, die das System administrieren oder als Multiplikatoren dienen) und Endanwenderschulungen. Wenn Präsenzschulungen nicht praktikabel sind, sollten zumindest eLearning-Module oder Tutorials zur Verfügung gestellt werden. Dieser Punkt ist ein Soll-Kriterium, da er eher in der Einführungsphase relevant ist; dennoch wird die Fähigkeit des Anbieters, hier zu unterstützen, bei der Bewertung berücksichtigt.

Fehlertoleranz und Hilfestellung: Die Software muss fehlertolerant sein und den Nutzer bei Fehleingaben unterstützen. Konkrete Anforderungen: aussagekräftige Fehlermeldungen (nicht „Error code 500“, sondern z. B. „Eingabefehler: Datum liegt in der Vergangenheit“), wo möglich Validierung schon während der Eingabe (z. B. Formatprüfungen, Pflichtfelder kennzeichnen). Zudem sollten Eingaben nicht einfach ohne Warnung verworfen werden – der Nutzer sollte Chancen zur Korrektur haben.

Mehrsprachigkeit: (Bereits erwähnt, hier der Vollständigkeit halber) – sollte die Plattform neben Deutsch auch Englisch und ggf. weitere Sprachen unterstützen, insbesondere wenn im Unternehmen nicht alle Anwender deutschsprachig sind oder Dienstleister Zugriff haben, die international tätig sind.

Dokumentation & Online-Hilfe: Für alle Benutzer muss eine verständliche Dokumentation verfügbar sein. Dies kann in Form eines Online-Hilfesystems in der Anwendung selbst sein (Kontext-Hilfe, F1-Funktionalität) und als ausführliches Benutzerhandbuch (PDF/Online). Gerade für seltene Aktionen (z. B. Jahresabschluss-Auswertungen) braucht der Nutzer eventuell eine Anleitung. Die Hilfetexte sollten in deutscher Sprache vorliegen und idealerweise auf die kundenspezifische Konfiguration angepasst werden können.

Feedback-Kultur: Es wäre positiv, wenn die Software Möglichkeiten bietet, Benutzerfeedback aufzunehmen (z. B. „Feedback senden“-Button), oder der Anbieter einen Mechanismus hat, wie er im laufenden Betrieb von Key-Usern Verbesserungswünsche entgegennimmt. Dies ist kein Muss, signalisiert aber Kundennähe und kontinuierliche Verbesserung.

Barrierefreiheit: Soweit erforderlich (z. B. für Mitarbeiter mit Handicap, gesetzliche Vorgaben), muss die Anwendung grundlegende Prinzipien der Barrierefreiheit einhalten. Dazu zählen Skalierbarkeit der Schrift, Bedienbarkeit mit der Tastatur, kompatibel mit Screenreader (für blinde Nutzer) in den wichtigsten Bereichen. Auch wenn dies im industriellen Kontext vielleicht weniger gefordert wird, stellt es doch einen Qualitätsaspekt dar – falls die Software z. B. nach BITV/WCAG2.1 teilweise zertifiziert ist, wäre das positiv.

Implementierungsunterstützung: Der Anbieter muss in der Lage sein, das System beim Kunden einzuführen, was typischerweise Beratungsleistungen umfasst: Prozessanalyse, ggf. Migrationskonzepte (falls Alt-Daten übernommen werden sollen), Customizing der Lösung auf die spezifischen Bedürfnisse des Bergbaubetriebes, Schulung der Mitarbeiter (siehe oben) und Begleitung des Go-Live (Hypercare-Phase). Ein detaillierter Implementierungsplan (mit Aufwandsschätzung, Zeitplan, Meilensteinen) wird vom Anbieter erwartet.

Weiterentwicklung und Roadmap: Der Anbieter sollte darlegen können, wie er die Lösung fortentwickelt. Eine Produkt-Roadmap für kommende Funktionen oder Verbesserungen wäre wünschenswert, damit der Kunde weiß, wie zukunftssicher die Lösung ist. Gerade Themen wie KI-gestützte Funktionen oder erweiterte Analytics könnten perspektivisch interessant sein. Dies fließt als qualitative Bewertung ein (kein Muss, aber zukunftsorientierte Anbieter punkten hier).

Service Level Agreements: Der Anbieter muss klare SLAs für Betrieb und Support anbieten. Dazu zählen mindestens: garantierte Verfügbarkeit der Anwendung (z. B. 99 % Monatsmittel, mit definierten Wartungsfenstern), Reaktionszeiten im Support (z. B. Priorität 1 Störung – Reaktion in 1 Stunde, Lösung innerhalb 8 Stunden) und Update-Zyklen (wie oft werden

Onboarding der Dienstleister: Da auch Fremdfirmen eventuell im System agieren (z. B. Zeiterfassung via Portal), sollte der Anbieter ein Konzept haben, wie diese externen Benutzer verwaltet werden können (Self-Service-Registrierung? Zentrale Pflege durch Admins?) und wie man diese anfangs schult oder unterstützt (z. B. Infomaterial, Hotline). Obwohl Fremdfirmen nicht die Endkunden des Softwareanbieters sind, ist deren Zufriedenheit indirekt relevant für den Erfolg.

Support-Struktur: Es muss ein Supportkonzept geben, typischerweise 2nd-Level (Hersteller-Support) und optional 1st-Level (lokal oder durch Partner). Der Ansprechpartner für den Kunden im Fehlerfall muss klar definiert sein (Ticket-System, Hotline). Support in deutscher Sprache wäre von Vorteil (gerade für Endanwenderfragen), ist aber zumindest für 2nd-Level nicht zwingend, sofern Englisch fließend beherrscht wird.

Vertragliches & Hosting-Standort: Wünschenswert ist, dass das Hosting in einem für den Auftraggeber geeigneten Rechtsraum stattfindet (z. B. EU für DSGVO). Falls der Anbieter nicht selbst hostet, sondern auf Hyperscaler (AWS, Azure etc.) setzt, sollen entsprechende Informationen geliefert werden. Zudem sollte der Vertrag Regelungen zu Haftung, Gewährleistung, Exit-Strategie (z. B. Herausgabe der Daten am Ende) enthalten, die marktüblich sind. Diese Punkte werden juristisch geprüft, aber auch inhaltlich bewertet (kein Muss-Kriterium in der Wertung, aber wichtig für Vertragsschluss).

Referenzen und Erfahrung: Der Bieter muss nachweisen können, dass er Erfahrung mit vergleichbaren Projekten hat. Referenzprojekte – idealerweise in der Industrie / im Anlagen- oder Bergbauumfeld – sind anzugeben. Dies reduziert das Risiko für den Auftraggeber, da ein Anbieter, der die Domäne kennt (z. B. Anforderungen wie SAP-Integration, spezifische Prozesse) deutlich weniger Einarbeitungszeit benötigt.

Automatischer Abgleich von Rechnungen mit Vertragskonditionen

Muss

Erkennung und Alert bei Abweichungen (Preis, Menge, etc.)

Muss

Unterstützung unterschiedlicher Vertragsarten (Werkvertrag, Dienstvertrag, Pauschalen)

Muss

Konfigurierbare Prüfregeln (Toleranzen, Workflow bei Abweichung)

Soll

Protokollierung aller Prüfschritte und Freigaben

Muss

Übernahme von Bestelldaten und Verträgen aus SAP S/4HANA

Muss

Rückmeldung bestätigter Leistungen/Rechnungen an SAP (FI/CO, MM, PM)

Muss

Echtzeit- bzw. near-real-time Synchronisation mit SAP

Soll

Nutzung standardisierter SAP-Schnittstellen (IDoc/BAPI/OData)

Soll

Echtzeit-Übernahme von Gate-Access (Zutritt) und Zeiterfassungsdaten

Muss

Automatischer Abgleich gemeldeter Stunden mit Anwesenheitsdauer

Muss

Mobile Erfassung vor Ort (App oder Web)

Soll

Schnittstellen zu IoT/Maschinendaten für Leistungsnachweis

Soll

Live-Übersicht der anwesenden Fremdfirmen im Dashboard

Soll

Rollenbasiertes Rechtemodell (Zugriff nach Benutzerrolle)

Muss

Intuitive Web-Oberfläche, responsive Design

Muss

Echtzeit-Dashboards mit wichtigsten KPIs

Muss

Konfigurier-/personalisierbare Dashboard-Widgets

Soll

Benachrichtigungssystem (E-Mail/Push bei Ereignissen)

Soll

Mehrsprachige Oberfläche (de/en)

Soll

Erfassung von Dienstleister-Kennzahlen (Termintreue, Qualität, etc.)

Muss

Dienstleisterberichte/Scorecards mit KPI-Visualisierung

Muss

Vergleich/Ranking mehrerer Dienstleister (Benchmarking)

Muss

Aggregierte Gesamtbewertung/Rating je Dienstleister

Soll

Trendanalyse über Zeit (Historie der KPIs)

Muss

Automatische Alerts bei Schwellwert-Verletzungen (Performance)

Soll

Standardberichte (Monatsreports, Vertragsauslastung etc.)

Muss

Ad-hoc-Reporting (freies Abfragen, Pivotieren)

Muss

Datenhistorisierung für mehrjährige Auswertungen

Muss

Grundfunktionen für Predictive Analytics (Trend, Forecast)

Muss

Vorgefertigte Prognosemodelle (Kostenforecast, Risikomodell)

Soll

Exportmöglichkeiten (Excel/PDF) und Berichtversand

Muss

Zertifizierte Cloud-Sicherheit (ISO 27001, SOC2)

Muss

Starke Authentifizierung, SSO-Unterstützung

Muss

Verschlüsselung der Daten (TLS, AES256 etc.)

Muss

DSGVO-Konformität (Datenminimierung, Löschkonzept)

Muss

Mandantenfähigkeit (strikte Mandantentrennung)

Muss

Protokollierung sicherheitsrelevanter Ereignisse (Audit-Trail)

Soll

Cloud-basierte SaaS-Lösung (vom Anbieter gehostet)

Muss

Hohe Verfügbarkeit (>99% Uptime)

Muss

Horizontale/vertikale Skalierbarkeit (mehr Benutzer/Daten)

Muss

Performante Reaktionszeiten (<2s im Mittel)

Muss

Unterstützung moderner Browser (Chrome, Firefox, Safari, Edge)

Muss

Mobile Nutzbarkeit (Browser oder App)

Muss

Regelmäßige Updates/Patches durch Anbieter

Muss

Offline-Fähigkeit für zeitweilige Verbindungsverluste

Soll

Dokumentierte offene API (REST/JSON o. ä.)

Muss

Import/Export-Schnittstellen für Stammdaten und Bewegungsdaten

Muss

Anbindung E-Mail/SMTP für Notifications

Muss

AD/LDAP-Integration für Benutzerverwaltung

Soll

Möglichkeit der Data Warehouse/BI-Anbindung (ODBC, API-Zugriff)

Soll

Keine proprietäre Datensperre (Daten jederzeit exportierbar)

Soll

Konsistente, intuitive UI (geringe Einarbeitung nötig)

Muss

Kontext-sensitive Hilfe, Dokumentation (deutsch)

Muss

Fehler-Handling mit klaren Meldungen

Muss

Anpassbare Listen/Masken (z. B. Spaltenwahl)

Soll

Barrierefreiheit Grundfunktionen (Screenreader/Tastatur)

Soll

Schulungsmaterial / Trainingsangebote

Soll

Implementierungsunterstützung (Setup, Customizing, Schulung)

Muss

Betriebs-SLA (Verfügbarkeit, Reaktionszeiten)

Muss

Support-Hotline/Ticket deutsch oder englisch, zügige Reaktion

Muss

Regelmäßige Produktweiterentwicklung (Roadmap)

Soll

Nachweis von Referenzen im vergleichbaren Umfeld

Muss

Hosting in EU (oder konform mit kundenspez. Vorgaben)

Soll

Erfüllung funktionale Anforderungen (Muss & Soll)

40 %

Funktionsabdeckung, Usability, Zusatznutzen

Technische Lösung (Architektur, Sicherheit, Integration)

20 %

Cloud-Konzept, Skalierbarkeit, Schnittstellen

Wirtschaftlichkeit (Preis & Folgekosten)

20 %

Lizenz-/Abo-Kosten, Betriebs- und Implementierungskosten

Implementierungskonzept & Support

10 %

Einführungsstrategie, Schulung, SLAs, Supportstruktur

Anbieterkompetenz und Referenzen

10 %

Erfahrung, Branchen-Referenzen, Zukunftssicherheit

Gesamt

100 %