Mittwoch, 3. August 2005

Gütesiegel für CC DMS, Version 2.2

3-8/2005

Zertifiziert am 29.08.2005
Befristet bis 28.08.2007

Dokumentenmanagement- und Archivsystem für öffentliche Verwaltungen, das die elektronische Ablage und Verwaltung von Dokumenten (ohne Workflow) ermöglicht.

Kurzgutachten
"CC DMS®, Version 2.2"

Dieses Kurzgutachten als PDF-Datei

Zeitpunkt der Prüfung

März 2005 bis August 2005

 

Adresse des Antragstellers

CC e-gov GmbH
Winterhuder Weg 27 
22085 Hamburg

 

Adressen des/der Sachverständigen

Sachverständiger für IT-Produkte (rechtlich):

Rechtsanwalt Olaf Lange 
Rahlstedter Bahnhofstr. 12
22143 Hamburg
Lange@IT-Rechtsberatung.de

 

Sachverständiger für IT-Produkte (technisch):

Dipl. Inf. (FH) Andreas Bethke 
An de Au 6 
25548 Mühlenbarbek 
andreas@b3-gruppe.de

 

Kurzbezeichnung des IT-Produktes

CC DMS®, Version 2.2

 

Detaillierte Bezeichnung des IT-Produktes

Im Rahmen des Gutachtens wurde das Dokumentenmanagementsystem "CC DMS®" in der Version 2.2 der Firma CC e-gov GmbH geprüft.

CC DMS® ist eine Software (MS- Windows-Applikation), die in Verwaltungen unterschiedlichster Größenordnung die Archivierung und das Management von Dokumenten ermöglicht. Die Software ist auf die individuellen Abläufe der jeweiligen Verwaltung anpassbar und kann in eine sog. "Groupware" integriert werden. Hierzu wurden Schnittstellen zum Outlook von Microsoft geschaffen.

Die Software ist so konzipiert, dass Dokumente in (elektronischer) Dateiform auf einem zentralen Datenspeicher abgelegt werden können. Von diesem sind die dort abgelegten Dokumente relativ schnell und einfach für die Zugriffsrechteinhaber der angeschlossenen PC-Arbeitsplätze verfügbar. Die Zugriffsrechte der Mitarbeiter können entsprechend der Sachgebiete und Zuständigkeiten definiert und gesteuert werden. Änderungen an den Rechteprofilen können nur von der Systemverwaltung (Administrator) mit einem separaten "Admin Tool" vorgenommen werden. Die Ordnerbezeichnung und die Ablagestruktur sind von der Verwaltung individuell gestaltbar. Die Verwaltung ist damit in der Lage, das bereits in Papierform bestehende Dokumentenmanagement elektronisch abzubilden und fortzuführen. Die technischen Vergabe- und Verwaltungsfunktionen des IT-Produktes hinsichtlich der Zugriffsrechte sind Bestandteil des Gutachtens.

Das Produkt bietet dem Benutzer die Möglichkeit, Dokumente zu archivieren, d.h. für die Bearbeitung zu sperren. Um dieses auch physisch zu unterstützen, kann als Archiv-Medium ein sog. "WORM" eingesetzt werden.

Das IT-Produkt bietet Löschfunktionen zur Förderung der Datenvermeidung und Datensparsamkeit: Neben den manuellen Löschfunktionen wird durch die Definition von Löschfristen auch eine automatische Löschung von archivierten Dateien angeboten.

Weiterhin protokolliert das Produkt die Bearbeitung und Löschung der nicht archivierten Dokumente, wodurch Zeitpunkt und die Urheberschaft der Bearbeitung nachvollziehbar werden.

Als MS-Windows-Applikation verfügt das IT-Produkt über Schnittstellen zu den gebräuchlichen eMail-Programmen, so dass die eMail-Kommunikation archiviert und dokumentiert werden kann. Die eMail-Programme gehörten jedoch nicht zum Umfang des Prüfungsgegenstandes des Gutachtens.

Die Einbindung der Office-Anwendungen, wie MS-Word, MS-Excel, bildet ebenfalls keinen Prüfungsgegenstand im Rahmen des Gutachtens.

Durch die Schnittstellen zu Faxgeräten und Scanner ist ein Dokumentenmanagement nahezu ohne Medienbrüche möglich. Die Implementierung und Konfiguration von Faxgeräten und Scanner gehörte nicht zum Umfang des Prüfungsgegenstandes des Gutachtens.

Das IT-Produkt beinhaltet einen Konvertierungsdienst mit der Bezeichnung "CC DCS®". Der Konvertierungsdienst ermöglicht die Ansicht von Dokumenten in Form einer Vorschaugrafik. Der Konvertierungsdienst ist Bestandteil des Gutachtens.

Vom Prüfungsgegenstand ausgenommen sind die zur Datenarchivierung system-kompatiblen Speichermedien. CC DMS® bietet diesbezüglich grundsätzlich die revisionssichere Datenspeicherung auf nicht überschreibbaren Datenträgern oder den Einsatz von überschreibbaren Datenträger an.

Durch die Client-Server-Architektur sind das Programm und alle Daten und Informationen auf einem zentralen Rechner in der Behörde gespeichert und die Anwendung kann von einer beliebigen Menge von Nutzern gleichzeitig genutzt werden. Die Hardwarekonfiguration ist vom Prüfungsumfang ausgenommen.

Die Anmeldung in CC DMS® ist so eingerichtet, dass der User neben der Anmeldung an seinem lokalen Arbeitsplatzrechner im Netzwerk ein weiteres Kennwort zum Start von "CC DMS®" eingeben muss. Zur Anmeldung wird dann vom Userarbeitsplatz über das Netzwerk eine Verbindung zum "CC DMS®"-Server hergestellt.

Zum Prüfungsgegenstand in der Version 2.2 gehört eine umfangreiche Dokumentation mit dem Stand vom 05. August 2005 ("CC DMS® Anwenderhandbuch"). Dieses beinhaltet an vielen Stellen entsprechende Hinweise, die zur Förderung des Datenschutzes dienen.

 

Tools, die zur Herstellung des IT-Produktes verwendet wurden

MS Visual Studio 6.0

 

Zweck und Einsatzbereich

CC DMS® ist eine Software , die eine Archivierung und das Management von Dokumenten ermöglicht.

Das Produkt ist insbesondere auch bei öffentlichen Stellen des Landes Schleswig-Holstein einsetzbar.

 

Modellierung des Datenflusses

 

Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde

Anforderungskatalog v 1.1

 

Zusammenfassung der Prüfungsergebnisse

CC DMS® ermöglicht die Archivierung und das Dokumentenmanagement in öffentlichen Verwaltungen. Es handelt sich um ein reines Dokumentenmanagementverfahren ohne eigene Workflow-Funktionen.

Aus datenschutzrechtlicher Sicht hat der Hersteller sich auf folgende Schwerpunkte konzentriert:

  • Eine dedizierte Rechtevergabe
  • Den Einsatz einer automatischen Löschfunktion
  • Die Möglichkeit einer revisionssicheren Speicherung von Dokumenten
  • Umfangreiche Protokollfunktionen

Durch eine dezidierte Rechtevergabe wird die Möglichkeit geschaffen, die Zweckbindung zu gewährleisten.

Die Software verfügt über eine automatische Löschfunktion. Diese hat den datenschutzrechtlichen Vorteil, dass die Einhaltung von Löschfristen zum frühestmöglichen Zeitpunkt gewährleistet werden kann.

Um eine revisionssichere Speicherung vorzunehmen, sieht das Produkt den Einsatz von WORM-Medien vor. Da der Einsatz dieser Option unter Umständen mit der Einhaltung von Löschfristen im Widerspruch steht, werden die Vor- und Nachteile des Einsatzes eines WORM-Systems in einem Beratungsgespräch mit dem Hersteller erörtert. Hierauf ist vom Betreiber zu achten, da eine entsprechende Diskussion im Handbuch fehlt.

Bezüglich der Protokollierungsfunktion von CC DMS® ist festzustellen, dass die Fallzahl der bearbeiteten Ordner und Dokumente in Abhängigkeit zu einer Zeiteinheit ausgewertet werden kann. Diese Auswertung hätte zwar keine Aussagekraft auf die Qualität der Bearbeitung der Dokumente durch den Sachbearbeiter, dennoch wird seitens der Gutachter empfohlen, dass in den Beratungsgesprächen der Firma CC e-gov GmbH mit der Behörde auf die Gefahr der Leistungskontrolle hingewiesen und über die Zweckbindung der Protokolldaten aufgeklärt wird.

Obgleich die Dokumentation (das Anwenderhandbuch) sehr umfangreich ist und mit vielen Datenschutzhinweisen aufwartet, bleibt zu erwähnen, dass es dem Betreiber obliegt selbst Maßnahmen zur Integrität, Vertraulichkeit und Verfügbarkeit der Daten zu ergreifen. So gibt es im Handbuch keine Hinweise zur Serversicherheit und zur Datenbanksicherheit. Insbesondere im letzteren Fall kann es sein, dass die benötigte Datenbank (MS-SQL-Server) bereits in der Verwaltung installiert ist und die Standardpasswörter für den Administratorzugang beispielsweise nicht geändert wurden.

CC DMS® ist aus den genannten Gründen ein IT-Produkt, das die allgemeinen und speziellen datenschutzrechtlichen Anforderungen überwiegend in vorbildlicher Weise erfüllt.

 

Beschreibung, wie das IT-Produkt den Datenschutz fördert

Ein herausragendes Merkmal im Sinne des Datenschutzes ist die automatische Dokumenten-Löschfunktion. Hierdurch können schon bei der Dokumentenerfassung (oder auch zu einem späteren Zeitpunkt) entsprechende Aufbewahrungsfristen definiert werden, wodurch eine dokumentengenaue Umsetzung von Lösch- und Archivierungskonzepten ermöglicht wird. Darüber hinaus kann durch diese Funktion die kostenintensive, nachträgliche manuelle Suche und Löschung von Dokumenten entfallen, deren Aufbewahrungsfrist abgelaufen ist.

Weiterhin unterstützt das Produkt durch seine Rechtevergabe (für die Einsicht in die Protokolle) eine Revision.

Ferner werden in dem Handbuch viele Datenschutzhinweise für die Nutzer des IT-Produktes gegeben, was ebenfalls als vorbildlich zu bewerten ist.

Zudem trägt der Hersteller durch viele Datenschutzhinweise in den Handbüchern zur Sensibilisierung und somit zur Förderung des Datenschutzes bei.

 

Hiermit bestätigen wir, dass das oben genannte IT-Produkt den Rechtsvorschriften über den Datenschutz und die Datensicherheit entspricht.

Hamburg, den 23.08.2005

Andreas Bethke
Sachverständiger

Olaf Lange
Sachverständiger