Auch bei einem Dokumentenmanagementsystem (DMS) stellt sich die Frage nach dem optimalen Bezugsmodell für die Software. In einer Fragerunde des Midrange Magazins (MM) zum Thema DMS beziehen vier Experten Stellung: Hans-Jürgen Böhm, Geschäftsführer Gräbert Software + Engineering, Manfred Terzer, Gründer und CEO Kendox AG, Mag. Christian Fugina, Business Unit Manager bei der ROHA Software Support GmbH und Michael Weiß, TÜV-zertifizierter Datenschutz- und IT-Security-Auditor von der IT-Consulting & Datenschutz (Toolmaker-Partner).

„Die Vor- und Nachteile von Cloud-Anwendungen müssen aus meiner Sicht unter Berücksichtigungen der gesetzlichen Anforderungen insbesondere zum Datenschutz im Einzelfall abgewogen werden“, ist Michael Weiß überzeugt. „Neben wirtschaftlichen Aspekten sind angemessene und wirksame Schutzmaßnahmen bzgl. Einhaltung der Vertraulichkeit, der Integrität, der Verfügbarkeit und neuerdings der Belastbarkeit der Systeme entscheidend.“

Auch für Christian Fugina spielt das Kostenargument eine Rolle: „Cloud-Lösungen verheißen Kosteneinsparungen und Plug- and Play-Funktionalitäten. Aus unseren langjährigen Kundenerfahrungen ist dies jedoch Fall für Fall zu evaluieren. Oft ermöglichen DMS-Cloud-Lösungen zu geringe Anpassungs- und Integrationsmöglichkeiten und sind auch hinsichtlich Performance kritisch zu testen. Schlanke, an die wirklichen Kundenbedürfnisse angepasste On-Premise Lösungen sollten in jedem Fall gegenübergestellt werden.“

Quelle: Gräbert Software + Engineering

Hans-Jürgen Böhm, Geschäftsführer Gräbert Software + Engineering

Dieser Aussage fügt Hans-Jürgen Böhm hinzu, dass „bei einem DMS aus der Cloud generell Aspekte wie der Speicherort der Dokumente, die Sicherheit des Anbieters usw. überprüft und gegenüber den Vorteilen abgewogen werden müssen“.

„Die Vorteile eines DMS aus der Cloud überwiegen bei Weitem die Nachteile – was man in Zeiten erhöhter Anforderungen an digitale Systeme, wie aktuell im Rahmen der Corona-Krise, besonders gut nachvollziehen kann“, kommentiert Manfred Terzer. „Zwar ist beim DMS aus der Cloud teilweise die Leitungsqualität nicht mit der im eigenen LAN-Netzwerk vergleichbar, doch die wesentlichen Vorteile liegen in der einfachen Skalierbarkeit und in den Möglichkeiten für den sicheren standortunabhängigen Zugriff und das gemeinsame Bearbeiten von Dokumenten. Bei günstigen ‚Shared‘-Systemen müssen sich Anwenderunternehmen teilweise etwas mehr an die Standards der Cloud-Lösungen anpassen. Das muss man aber nicht zwingend als Nachteil empfinden.“

Sicherer Zugriff auf Dokumente aus dem Home Office

Die Frage nach dem sicheren Zugriff auf die Dokumente bekommt in der aktuellen Situation eine hohe Bedeutung zu – für Halard Weiß ist sie allerdings nicht pauschal zu beantworten: „Das ist sehr stark von der eingesetzten Technologie und der vorhandenen Netzwerk-Infrastruktur abhängig. Wichtig sind in erster Linie, dass gesicherte Kommunikationswege nach aktuellem Stand der Technik einschließlich ausreichender Verschlüsselung eingesetzt werden. Darüber hinaus sind konkrete Berechtigungskonzepte und formelle Regelungen zum sorgsamen Umgang mit mobilen Endgeräten durch den Benutzer erforderlich.“

Quelle: Kendox AG

Manfred Terzer, Gründer und CEO Kendox AG;

Das findet bei Manfred Terzer Zustimmung: „Das hängt im Wesentlichen davon ab, welche Möglichkeiten das DMS bietet. Es muss über ein entsprechendes Auditierungssystem verfügen, damit eine Nachvollziehbarkeit im Sinne der Compliance-Vorgaben gewährleistet ist. Alle Anmeldungen, Dokumenttransaktionen, Administrationstransaktionen, Konfigurationsänderungen und Dokumentlöschungen müssen auditiert und aufgezeichnet werden können.“ Zum Zweiten hält es der Kendox-Experte für wesentlich, dass eine sichere, moderne Web-Anwendung nach aktuellen technischen Standards verfügbar ist, „die sichere Anmeldeverfahren für alle Zugriffe bietet, wie dies z.B. mit einer Zwei-Faktor-Authentifizierung ermöglicht wird“. Hiermit könne man beispielsweise zur Authentifizierung eine SMS aufs Handy schicken, wie das vom E-Banking her bekannt ist, oder man könne die Zugriffe über bestimmte IP-Adressen limitieren bzw. freischalten. Aber auch eine Anmeldung über ein Office365-Konto oder über Plattformen wie Google sollte nacj seiner Ansicht möglich sein.

„Mit zeitgemäßen und gewarteten VPN-Tools und der Zurverfügungstellung von ausreichender Internetbandbreite lassen sich heutzutage fast alle unternehmensrelevanten IT-Aufgaben aus dem Home Office bzw. dem Mobile Office kompakt erledigen“, bringt es Christian Fugina auf den Punkt. „Als Zusatz-Layer können noch rollenbasierte Zugriffsmechanismen für besonders sensitive Unternehmensbereiche implementiert werden. ROHA-Kunden profitieren hierbei von unseren langjährigen Projekterfahrungen und raschen Lösungsimplementierungen, die gerade in den letzten Wochen stark nachgefragt wurden.“

Zusätzliche Sicherheitsmechanismen führt auch Hans-Jürgen Böhm ins Feld: „Bei Gräbert ArchivPlus können sämtliche gängigen Verfahren wie etwa VP oder das Remote Desktop Protocol angewendet werden. Darüber hinaus steht durch ArchivPlus-Web eine modere, bewährte browserbasierte Oberfläche zur Verfügung, die das Arbeiten aus dem Home Office zusätzlich erleichtern kann.“

DSGVO trifft auf Dokumente

Quelle: IT-Consulting & Datenschutz

Michael Weiß, TÜV-zertifizierter Datenschutz- und IT-Security-Auditor von der IT-Consulting & Datenschutz (Toolmaker-Partner)

Beim Thema Datenschutz spielen die Vorgaben durch die Datenschutz-Grundverordnung (DSGVO) nach wie vor eine wichtige Rolle, definiert sie doch konkrete Rahmenbedingungen in Bezug auf personenbezogene Daten, insbesondere deren rechtmäßige und sichere Verarbeitung unter Berücksichtigung externer Abhängigkeiten. „Sie stellt die Unternehmer in die Pflicht, Verantwortung für den Betrieb der erforderlichen IT-Infrastruktur zu übernehmen und ausreichende Transparenz zu schaffen“, gibt Harald Weiß zu Protokoll und konkretisiert:

„Mit einfachen Worten: Je sensibler der Datenbestand, desto höher sind die Anforderungen. Neben dem Erlaubnistatbestand für die Verarbeitung selbst stehen die Einhaltung sog. Betroffenenrechte, also die Rechte der betroffenen Person, das Ermitteln von Schutzbedarfen und das Beherrschen der Risiken im Vordergrund. Weiterführende Themen wie z.B. Verzeichnisse der Verarbeitungstätigkeiten, Datenschutzfolgenabschätzungen sowie die vertragliche Absicherung externer Abhängigkeiten müssen insbesondere im Hinblick auf die Rechenschaftsverpflichtung gegenüber Aufsichtsbehörden behandelt werden.“

Die Wichtigkeit der Einhaltung aller relevanten Vorgaben stellt auch Christian Fugina heraus: „Nachdem ein DMS in der Regel unternehmens- und personenbezogene Daten beinhaltet, ist die Einhaltung und Prüfung der Einhaltung aller DSGVO-Vorschriften für den Betrieb essentiell und kontinuierlichen Prüfroutinen zu unterziehen. Davon betroffen sind alle Phasen und Prozessschritte innerhalb eines DMS, von der Erstellung oder dem Empfang eines Dokuments bis zu dessen Archivierung bzw. Löschung.“

Quelle: ROHA Software Support GmbH

Mag. Christian Fugina, Business Unit Manager bei der ROHA Software Support GmbH;

Auch bei Kendox erachtet man die Umsetzbarkeit der DSGVO-Vorgaben für ein DMS – wie auch für jede andere Anwendung – als unbedingt nötig. Dazu Manfred Terzer: „Es geht insbesondere um die Betroffenenrechte im Sinne der DSGVO, sie müssen mit dem DMS tatsächlich umsetzbar sein. Dies beinhaltet per Definition Rechte wie beispielsweise das Auskunftsrecht, das Recht auf Berichtigung, das Recht auf Löschung, auf Einschränkung der Verarbeitung und Mitteilungspflicht im Zusammenhang mit Berichtigung oder Löschung, Recht auf Übertragbarkeit oder Recht auf Widerspruch.“ Diese Betroffenenrechte sollten – so der Kendox-Chef – mit den Standardfunktionen des DMS gewährleistet werden können. „Hierfür bieten DMS die erforderliche Konfiguration, damit beispielsweise die Identifizierbarkeit und Auswertbarkeit der Daten sichergestellt ist.“

Das Thema DSGVO sieht man bei Gräbert dagegen als keine besondere Herausforderung: „Für den Betrieb von bestehenden Systemen hat das Thema DSGVO aus Kundensicht nur eine geringe, zusätzliche Bedeutung.“, wirft Hans-Jürgen Böhm ein. „Die inhaltlichen Anforderungen waren in ArchivPlus schon lange vorher abbildbar. Für die zusätzlichen formalen Anforderungen (Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO) steht ein Mustervertrag zur Verfügung.“ (rhh)

Gräbert Software + Engineering

IT-Consulting & Datenschutz

Kendox AG

ROHA Software Support GmbH

Toolmaker