Über die Schulter geschaut – Dokumentenpyramide für die E-Akte

Dokumentenverwaltung Wilsdruff Archiv der Stadtverwaltung Wilsdruff. Foto: PDV-Systeme

In den PDVNews 01-2016 habe ich konstatiert: „Die Einführung der E-Akte kann einen Zuwachs an Verfügbarkeit, Funktionalität und Verlässlichkeit von Informationen mit sich bringen.“ Es stellt sich nunmehr die Frage: Wie können die Schutzziele Vertraulichkeit, Verfügbarkeit, Integrität, Transparenz, Authentizität und Verbindlichkeit mit und für die E-Akte angemessen erreicht und nachhaltig gelebt werden?

E-Akte – aber einfach!

Smart, einfach, intuitiv – sind dies, die Eigenschaften, die Sie mit der E-Akte verbinden? Ja? Nein? Es kommt darauf an? Welche Erwartungen verbinden wir mit der Führung von E-Akten und dem Arbeiten mit integrierter Vorgangsbearbeitung? Einerseits sollen die Grundsätze ordnungsgemäßer Aktenführung, welche sich in der klassischen Aktenführung bewährt haben und Bestandteil von zahlreichen Vorschriften geworden sind, nicht vernachlässigt werden. Andererseits sollen Prozesse durch gemeinsame Nutzung der E-Akte-Daten wesentlich beschleunigt, in ihrer Ergebnisqualität verbessert und Ressourcen geschont werden. Ich mache die Erfahrung: Um diese Erwartungen zu erfüllen, bedarf es eines entsprechenden Werkzeuges, Vereinbarungen und Regeln für dessen Anwendung sowie Schulung und Begleitung.

E-Akte – aber sicher!

Das Dokumentenmanagementsystem VIS hat sich in seinen verschiedenen Ausprägungen als Werkzeug bewährt und ist die Basis für eine smarte, einfache und intuitive E-Akte. Die Qualität der Arbeit mit der E-Akte wird im Wesentlichen durch den Anwender des Werkzeugs bestimmt. Werden Vereinbarungen und Regeln zur Anwendung oder Schulung und Begleitung vom Benutzer nicht ernst genommen, leidet das Ergebnis. Besonders kritisch wirkt sich dies auf die Schutzziele Vertraulichkeit, Verfügbarkeit, Integrität, Transparenz, Authentizität und Verbindlichkeit aus. Wie gehen wir vor, um mit der E-Akte die Schutzziele der Informationssicherheit und des Datenschutzes angemessen zu erreichen und nachhaltig zu leben?

Die IT-Infrastruktur, auf welcher das Werkzeug VIS betrieben wird, muss die Belange der strategischen und operativen Informationssicherheit erfüllen. Als Basis zur Etablierung eines Informationssicherheitsmanagementsystems (ISMS) wenden wir ein Reifegradmodell an. Verschiedene Parameter werden erhoben, dokumentiert und visualisiert. Vor dem Hintergrund des BSI-Grundschutzes sowie spezieller höherer Schutzbedarfe werden Maßnahmen zur Verbesserung abgeleitet. Neben den technischen und administrativen Parametern richten wir unsere Aufmerksamkeit zunehmend auf Vereinbarungen und Regeln (Compliance).



Die Dokumentenpyramide

Für die Compliance-Dokumente hilft uns die Dokumentenpyramide. Diese ordnet die relevanten Strategien, Vereinbarungen, Regeln, Arbeitsanweisungen, und Handbücher in einem dreigliedrigen Aufbau. Die Spitze der Pyramide (Ebene 1) enthält alle strategischen Dokumente. Dies sind für alle Mitarbeiter grundsätzlich verbindliche Leitlinien und Strategien. Aufgrund ihres strategischen Ansatzes unterliegen sie keinem kurz- oder mittelfristigen Fortschreibungszyklus. Als Beispiele können die Leitlinie zur Gewährleistung der Informationssicherheit, die E-Government-Strategie und die IT-Strategie benannt werden.

In der zweiten Ebene werden die taktischen Dokumente abgelegt. Die taktischen Dokumente konkretisieren die Grundsätze aus der ersten Ebene und gestalten diese aus. Mit der Etablierung eines ISMS sollte das ISMS-Team für die Erstellung und Fortschreibung zuständig sein. Den Revisionszeitraum setzen wir mit zwei bis drei Jahren an. Das Inkraftsetzen erfolgt durch die Verwaltungsleitung und ggf. durch den Personalrat. In Ebene zwei finden sich beispielsweise Dienstanweisungen und -vereinbarungen zum Umgang mit E-Mail und Internet, aber auch Themen der Organisation, des Datenschutzes, der Schriftgutordnung und dem Archiv.

Die sogenannten operativen Dokumente finden sich in Ebene 3. Diese helfen konkret und detailliert in Form von praktischen Anleitungen zur Umsetzung der Dokumente aus Ebene 2. Hier sind relativ kurzfristige Anpassungen, hervorgerufen z. B. durch Vorschriftenänderungen oder neue Programmversionen, nötig und möglich. Beispiele sind Anweisungen für einen eingegrenzten Geltungsbereich (Zutrittsregeln für Serverräume), Handlungsempfehlungen (Merkblatt zur Bildung und zum Umgang mit Passwörtern), Checklisten (Installationsroutinen für Administratoren), Formulare (für die Beantragung neuer oder geänderter Nutzerberechtigungen), Schulungsunterlagen und Handbücher zu einzelnen Anwendungen sowie Konzepte (Zutrittskonzept und Berechtigungskonzept). Im Blick auf die E-Akte finden sich in Ebene 3 auch Anleitungen zur Arbeit mit dem Ablagesystem, Skripte zu einzelnen Fachkonfigurationen (einschließlich Details zur Syntax der Metadaten bei Akten-, Vorgangs- und Dokumententypen) und dem Umgang mit den Primärdaten (ersetzendes Scannen).

Ohne E-Akte kann der aus der Digitalisierung zu erwartende Nutzen nicht generiert werden. Insbesondere die nach außen wirkende elektronische Kommunikation der Bürger und Unternehmen mit Justiz und Verwaltung kann nicht die gewünschten Vorteile gegenüber der Papierpost entfalten, wenn Verwaltung und Justiz weiterhin ihre interne Arbeit nicht oder nur teilweise digitalisiert haben. Es gibt mehrere Gründe, warum die elektronische Akte als Fundament noch vielerorts auf sich warten lässt:

Berechtigungsverwaltung

Organisatorisch legt die mittlere Führungsebene – der Amtsleiter bzw. Produktverantwortlichen – fest, wer für welche Ablagen und damit Akten Berechtigungen erhält. Wer die Verantwortung für ein Produkt im HKR oder eine fachliche Aufgabe hat, muss im Rahmen dieser Verantwortung auch das Need-to-know-Prinzip organisatorisch umsetzen. Es ist hilfreich, wenn der Informationssicherheits- oder Datenschutzbeauftragte in konkreten Sachverhalten die Beurteilung und Formulierung von Anforderungen unterstützt. Besonderes Augenmerk verlangt die Information der Mitarbeiter. Immer wieder entstehen Situationen, in denen erlebbar wird, dass der Einzelne in der digitalen Akte weniger Rechte hat als er es aus der Papierwelt gewohnt ist. Dies gilt es zu erörtern, zu erklären und ggf. zu korrigieren. Bis auf wenige Ausnahmen, bei welchen wir Ablagen oder E-Akten mit dezidierten Rechten gebildet haben, hat sich das beschriebene Vorgehen bewährt.

Seite 2: Die Konfrontation mit der E-Akte