Schnellnavigation

Steuerleiste | Navigation | Suche | Inhalt

Logo der Landesregierung Schleswig-Holstein - Zum Landesportal (Öffnet im neuen Fenster)

Landesvorschriften und Landesrechtsprechung


Suche

Erweiterte Suche Tipps und Tricks

Alle Dokumente

Suchmaske und Trefferliste maximieren
 


Hinweis

Dokument

  in html speichern drucken pdf Dokument Ansicht maximierenDokumentansicht maximieren
Vorschrift
Normgeber:Ministerium für Energiewende, Landwirtschaft, Umwelt, Natur und Digitalisierung
Aktenzeichen:V 321-2331/2020 - Version V 2.0
Erlassdatum:27.02.2020
Fassung vom:27.02.2020
Gültig ab:01.03.2020
Gültig bis:31.12.2024
Quelle:Wappen Schleswig-Holstein
Gliederungs-Nr:2015.18
Normen:§ 640 BGB, § 7 LDSG
Fundstelle:Amtsbl SH 2020, 709, ber. S. 792
Rahmenvorgabe des CIO von Standardrollen für Planung und Umsetzung von IT-Vorhaben/-Verfahren in der Landesverwaltung Schleswig-Holstein - Standardrollen ITSH –

Nichtamtliches Inhaltsverzeichnis


Rahmenvorgabe des CIO von Standardrollen für Planung und Umsetzung
von IT-Vorhaben/-Verfahren in der Landesverwaltung Schleswig-Holstein
- Standardrollen ITSH –



Gl.Nr. 2015.18



Fundstelle: Amtsbl. Schl.-H. 2020 Nr. 12, S. 709, ber. S. 792



Bekanntmachung des Ministeriums für Energiewende, Landwirtschaft, Umwelt, Natur und Digitalisierung
vom 27. Februar 2020 - Zentrales IT-Management der Landesregierung – V 321-2331/2020 – Version V 2.0





Inhaltsverzeichnis



1.
Einleitung


2.
Geltungsbereich


3.
Grundsätze


4.
Lebenszyklus eines IT-Vorhabens/-Verfahrens – Phasen und Rollen


5.
Rollenmodell „Standardrollen ITSH“ im Überblick


6.
IT-Bedarf (Service Strategy - Geschäftsanforderungen)


Rolle 1: Bedarfsträgerin


Rolle 3: Bedarfskommunikation


Rolle 4: Anforderungsmanagement


7.
Anforderungen (Service Design - Anforderungen definieren)


Rolle 1: Bedarfsträgerin


Rolle 2A: IT-Verantwortung


Rolle 2B: Fach-Verantwortung


Rolle 3: Bedarfskommunikation


Rolle 4: Anforderungsmanagement


Rolle 5: Anforderungsbeschreibung


Rolle 6: Anforderungsbeschreibung Organisation


Rolle 7: Konzeptionsmanagement


8.
Konzeption der IT-Lösung (Service Design - Auswertung)


Rolle 1: Bedarfsträgerin


Rolle 2A: IT-Verantwortung


Rolle 2B: Fach-Verantwortung


Rolle 3: Bedarfskommunikation


Rolle 4: Anforderungsmanagement


Rolle 5: Anforderungsbeschreibung


Rolle 6: Anforderungsbeschreibung Organisation


Rolle 7: Konzeptionsmanagement


Rolle 8: Konzepterstellung


9.
Entwicklung, Test, Einführung (Service Transition - Build/Test/Überführung in den Betrieb)


Rolle 1: Bedarfsträgerin


Rolle 2A: IT-Verantwortung


Rolle 2B: Fach-Verantwortung


Rolle 3: Bedarfskommunikation


Rolle 4: Anforderungsmanagement


Rolle 5: Anforderungsbeschreibung


Rolle 6: Anforderungsbeschreibung Organisation


Rolle 7: Konzeptionsmanagement


Rolle 8: Konzepterstellung


Rolle 9: Entwicklung


10.
Betrieb (Service Operation) und laufende Optimierung der IT-Services (Continual Service Improvement)


Rolle 1: Bedarfsträgerin


Rolle 2A: IT-Verantwortung


Rolle 2B: Fach-Verantwortung


Rolle 3: Bedarfskommunikation


Rolle 10: Technisches Verfahrensmanagement (TVM)


Rolle 11: Fachliches Verfahrensmanagement (FVM)


Rolle 12: Anwenderbetreuung (Support)


11.
Schlussbestimmungen


12.
Anhang: Übersicht Dokumentation


In diesem Dokument wird der Vereinfachung halber nur die weibliche Sprachform verwendet. Dieses schließt stets die männliche Form mit ein.



1.


Mit dieser landeseinheitlichen Rahmenvorgabe des Chief Information Officer (CIO) werden für den Bereich der Landesverwaltung Schleswig-Holstein die



Aufgaben


Rollen


Vorgehensweisen


zur Initiierung, Planung und Umsetzung von IT-Vorhaben/-Verfahren definiert und geregelt.



Abgrenzung



Mit dieser CIO-Rahmenvorgabe werden nicht verwaltungsorganisatorische und / oder rechtlich-fachliche Veränderungsprozesse in der Landesverwaltung adressiert beziehungsweise geregelt.



Erst wenn diese Arbeiten zu der Erkenntnis führen, dass Informationstechnik eingesetzt werden könnte, um bestimmte Ergebnisse, Unterstützungsleistungen oder Optimierungen zu erzielen, könnte ein „IT-Bedarf“ entstanden sein. Erst dann erfolgt der Einstieg in die Abläufe dieser CIO-Rahmenvorgabe.



Mit dieser CIO-Rahmenvorgabe werden nicht diejenigen Arbeitsabläufe adressiert, die zur Deckung der IT-Grundversorgung, des laufenden Betriebs beziehungsweise der IT-Ersatzbeschaffungen erforderlich sind.



Ausnahmen von dieser CIO-Rahmenvorgabe sind möglich, insbesondere, wenn sie aus Bund/Länder-Kooperationen, Mehrländerverfahren oder anderen Verbünden resultieren (siehe hierzu Ziffer 15.1 OrgErl ITSH).



Zielsetzung dieser CIO-Rahmenvorgabe ist, für den gesamten Lebenszyklus eines IT-Vorhabens/-Verfahrens - von der Bedarfsmeldung über die Überführung in den Betrieb bis zur Beendigung des IT-Vorhabens/-Verfahrens - eine ordnungsgemäße Bearbeitung sowie eine reibungslose Zusammenarbeit zwischen IT und Fachbereich sowie mit weiteren zu Beteiligenden, wie zum Beispiel Datenschutz oder Personalvertretung, zu gewährleisten.



Ein IT-Vorhaben wird erst mit der Aufnahme des Produktivbetriebs zum IT-Verfahren.



Eingeflossen sind die gängigen Managementmethoden für die IT-Serviceorientierung und das Projektmanagement.



Diese Rahmenvorgabe tritt am Tage nach der Veröffentlichung im Amtsblatt in Kraft und ist im Zentralen IT-Management (ZIT SH) und in den Dezentralen IT-Managements (DIT) sukzessive einzuführen und umzusetzen.



Änderungsbedarfe, die bei der praktischen Anwendung entstehen, können an die Verantwortlichen übermittelt werden. Anregungen werden gesammelt und die Rahmenvorgabe wird bedarfsabhängig fortgeschrieben.



2.


Diese landeseinheitliche Rahmenvorgabe gilt für den Bereich der Landesverwaltung Schleswig-Holstein. Im Landesrechnungshof und beim Präsidenten des Landtages Schleswig-Holstein findet diese Rahmenvorgabe keine Anwendung. Diese Behörden können die Regelungen in ihrem Zuständigkeitsbereich jedoch für anwendbar erklären.



Diese Rahmenvorgabe findet keine Anwendung, sofern die Regelungen des IT-Gesetzes für die Justiz des Landes Schleswig-Holstein (ITJG) bzw. die auf dieser Grundlage getroffenen Bestimmungen und Regelungen dem entgegenstehen. Die hier auf Seiten der Landesverwaltung definierten Rollen und Verantwortlichkeiten sind auch Grundlage in der Zusammenarbeit mit Dataport als dem zentralen IT-Dienstleister der Landesverwaltung und den anderen Trägern von Dataport und müssen künftig in den von und für Dataport geltenden Service-Level-Agreements Berücksichtigung finden.



3.


Organisationserlass ITSH (OrgErl ITSH)



Der Organisationserlass ITSH (OrgErl ITSH) regelt die Organisation des ressortübergreifenden Einsatzes von Informations- und Kommunikationstechnologien (IT) und die Organisation der Zusammenarbeit des Zentralen und Dezentralen IT-Managements in der Landesverwaltung Schleswig-Holstein.



Der OrgErl ITSH folgt dem Organisationsprinzip der Trennung zwischen IT-Leistungserbringung und IT-Bedarf. Damit wird regelmäßig auch die Verantwortung für die IT und für die Ordnungsmäßigkeit der IT auf der einen Seite und die Verantwortung für die mittels der IT verarbeiteten Daten auf der anderen Seite klar getrennt – es wird unterschieden zwischen IT-Verantwortung und Fach-Verantwortung.



Die Bündelung der IT-Leistungserbringung ermöglicht einerseits eine qualitativ hochwertige Spezialisierung, die generell vorhandene Normen und Standards kennt und beachtet, so zum Beispiel die „Mindestanforderungen der Rechnungshöfe des Bundes und der Länder zum Einsatz der Informationstechnik (luK-Mindestanforderungen 2016).



Die Bündelung der IT-Leistungserbringung begünstigt andererseits die vielfältige und vielfache Nutzung der Standard-IT SH (siehe Ziffer 4.3 OrgErl ITSH). Die Standard-IT SH besteht aus



Standard IT-Arbeitsplatz SH,


Standard IT-Funktionalitäten SH und


Standard IT-Infrastruktur SH.


Die Bündelung der IT-Leistungserbringung gewährleistet außerdem besser, dass alle zu beteiligenden Stellen zeitgerecht und angemessen einbezogen werden, zum Beispiel Trägerinnen von Beteiligungs- und Mitbestimmungsrechten (Personalvertretungen, Schwerbehindertenvertretung, Gleichstellungsbeauftragte; im weiteren Text Vertretungen von Personalinteressen genannt), das Informationssicherheitsmanagement sowie Behördliche Datenschutzbeauftragte.



Die Bündelung der IT-Leistungserbringung kann damit gleichzeitig die dezentralen Verwaltungsbereiche von den entsprechenden Lern- und Arbeitsaufwänden hinsichtlich der Erbringung von IT-Leistungen entlasten.



Die hier beschriebene Linienorganisation bildet die Grundlage, auf der die IT-Vorhaben/-Verfahren umgesetzt werden.



Sie besteht aus übergreifenden und ressortbezogenen Funktionen.



Übergreifende Linienfunktionen



Gemäß Ziffer 4.1 OrgErl ITSH ist im Geschäftsbereich des Ministeriums für Energiewende, Landwirtschaft, Umwelt, Natur und Digitalisierung (MELUND) – die ressortübergreifende Funktion CIO (Chief Information Officer) eingerichtet. Gemäß Ziffer 4.2 OrgErl ITSH hat CIO umfangreiche Kompetenzen im Bereich der IT und der ressortübergreifenden IT-Organisation, und CIO bestimmt für den Bereich der IT und der ressortübergreifenden IT-Organisation die Richtlinien und erlässt landeseinheitliche Rahmenvorgaben, in deren Grenzen die IT-Leistungserbringung durch die dafür jeweils IT-Verantwortlichen erfolgt.



Titel: Standardprozesskarte - Beschreibung: Die Abbildung zeigt ein Rollendiagramm mit übergreifender Linienfunktion. In der Mitte der Rolle steht "CIO". Daraufhin zeigen Pfeile mit dem Inhalt Bedarfsträger 1-3 und davon abgehen Pfeile mit dem Inhalt IT-Verantwortung



Abbildung 1: Rollendiagramm Übergreifende Linienfunktion



Dieses Dokument, das die Standardrollen ITSH festlegt und beschreibt, ist eine solche landeseinheitliche Rahmenvorgabe des CIO.



Rollen in der Linienorganisation



Da in dieser Rahmenvorgabe Standardrollen ITSH die Rollen in Zusammenhang mit einem IT-Vorhaben/-Verfahren im Vordergrund stehen, sind Linienrollen und die Kommunikation und Abläufe zwischen ihnen und den Standardrollen ITSH hier nicht vollständig betrachtet und ausgeprägt.



Dies ist Gegenstand der „Standardprozesskarte ITSH“, die im Kontext zu dieser Unterlage steht und z. B. den Ablauf bei der wiederkehrenden Prüfung, ob ein IT-Vorhaben im Laufe seiner Phasen den strategischen IT-Vorgaben folgt, die so genannte Konformitätsprüfung, beschreiben wird.



Zur Konformitätsprüfung gehört insbesondere die Beantwortung der folgenden Fragestellungen:



Sind die von den LRH vorgegebenen IT-Planungsgrundsätze beachtet worden?


Wurden alle in der CIO-Rahmenvorgabe Standardrollen ITSH beschriebenen Aufgaben bedarfsabhängig und angemessen erledigt?


Entspricht das IT-Vorhaben in der jeweiligen Phase der IT-Strategie, werden insbesondere die IT-Standards beachtet?


Werden die Grundsätze der Verwaltungsorganisation und IT-Organisation berücksichtigt?


Wurden Datenschutz, Informationssicherheit und Mitbestimmung beachtet?


Sind für das IT-Vorhaben bezogen auf die jeweilige Phase angemessen Haushaltsmittel veranschlagt?


Liegt eine angemessene IT-WiBe mit einem positiven Ergebnis vor?


Das Ergebnis der Konformitätsprüfung kann lauten:



a.
Konformität ist gegeben, Fortführung wie geplant


b.
Konformität ist nicht in allen Aspekten gegeben, Fortführung unter Berücksichtigung folgender Hinweise


c.
Konformität ist nicht ausreichend gegeben, Abbruch des IT-Vorhabens bzw. der geplanten Änderung des IT-Verfahrens.


Im Fall a gibt es keinen weiteren Entscheidungsbedarf.



In den Fällen b und c kommt es darauf an, ob die für das IT-Vorhaben/-Verfahren IT-Verantwortlichen der Entscheidung folgen können und wollen. Falls nicht, müssen die unterschiedlichen Auffassungen an CIO beziehungsweise an den ITB im Ressort herangetragen werden. CIO beziehungsweise ITB müssen entweder über die weitere Vorgehensweise oder aber über eine geänderte Rollenbesetzung für die IT-Verantwortung hinsichtlich dieses IT-Vorhabens/-Verfahrens (siehe auch folgende Absätze zu „Rollenvergabe“) entscheiden.



Gemäß Ziffer 4.4 OrgErl ITSH verantwortet CIO zudem den Einzelplan 14 (Informations- und Kommunikationstechnologien, E-Government und Organisation).



Gemäß Ziffer 4.4.3 OrgErl ITSH steuert CIO aus strategischer und finanzieller Sicht alle IT-Maßnahmen und Projekte, die eine Veranschlagung von Haushaltsmitteln im Einzelplan 14 oder dem Kapitel 1614 begründen.



CIO wird in der Aufgabenwahrnehmung durch das Zentrale IT-Management (ZIT SH) unterstützt.



Das ZIT SH hat dabei die Ausrichtung sämtlicher IT-Leistungserbringung an der IT-Strategie des Landes zu beachten und umzusetzen.



CIO und ZIT SH obliegt ressortübergreifend die IT-Leistungserbringung.



Ressortbezogene Linienfunktionen



Gemäß Ziffer 6.1 OrgErl ITSH organisieren die Ressorts und die Staatskanzlei unter Beteiligung von CIO das IT-Management und die IT-Strukturen des Ressorts einschl. der ihnen nachgeordneten Bereiche durch Schaffung der organisatorischen und personellen Voraussetzungen.



Gemäß Ziffer 7.1 OrgErl ITSH bestellt jedes Ressort und die Staatskanzlei eine IT-Beauftragte (ITB) sowie eine Vertreterin. Unter Berücksichtigung der landeseinheitlichen Rahmenvorgaben des CIO und des ZIT SH koordiniert die IT-Beauftragte (ITB) verantwortlich die IT des Ressorts. Alternativ können die Ressorts und die Staatskanzlei festlegen, ob CIO Aufgaben der ressortspezifischen IT ganz oder teilweise übernehmen soll – Ziffer 6.3 OrgErl ITSH.



Titel: Standardprozesskarte ITSH  - Beschreibung: Die Abbildung zeigt ein Rollendiagramm von dem Pfeile hin- und abführen. In der Mitte steht "ITB". Die daraufzuführenden Pfeile haben den Inhalt Bedarfsträger 1-3 und die abführenden Pfeile haben den Inhalt IT_Verantwortung.



Abbildung 2: Ressortbezogene Linienfunktion



Bei eigenverantwortlicher IT-Leistungserbringung für die ressortspezifische IT unterstützt das Dezentrale IT-Management (DIT) die ITB bei der Aufgabenwahrnehmung unter Berücksichtigung der Vorgaben der ITB, der Ressortstrategie und der Vorgaben von CIO (Ziffer 8 OrgErl ITSH) und führt einzelne IT-Maßnahmen im Bereich der ressortspezifischen IT durch.



Standardrollen ITSH – bezogen auf ein IT-Vorhaben/-Verfahren



Die nachfolgend benannten und beschriebenen Rollen (Standardrollen ITSH) und deren Aufgaben beziehen sich grundsätzlich auf ein IT-Vorhaben/-Verfahren.



Titel: Standardprozesskarte ITSH - Beschreibung: Die Abbildung zeigt ein Rollendiagramm von dem Pfeile hin- und abführen. In der Mitte steht "CIO oder ITB". Die daraufzuführenden Pfeile haben den Inhalt Bedarfsträger 1-3 und die abführenden Pfeile haben den Inhalt IT_Verantwortung.



Abbildung 3: Standardrollen ITSH bezogen auf ein IT-Vorhaben



Die Festlegung der insgesamt zwölf Standardrollen ITSH dient vor allem der Einheitlichkeit der zugehörigen Begriffe, der Klarheit der jeweiligen Verantwortlichkeiten, der Klarheit der zu erledigenden Aufgaben und der Klarheit der erforderlichen Kommunikationsbeziehungen.



4.


Im Lebenszyklus eines IT-Vorhabens/-Verfahrens werden die folgenden Phasen durchlaufen:



Titel: Lebenszyklus eines IT-Vorhabens - Beschreibung: Die Abbildung zeigt die  Phasen eines IT-Vorhabens.  Von IT-Bedarf über Anforderungen, über Konzeption, Entwicklung, Test, Einführung, Betrieb und IT-Bedarf.



Abbildung 4: Lebenszyklus eines IT-Vorhabens/-Verfahrens



Titel: : Lebenszyklus eines IT-Vorhabens/-Verfahrens - Beschreibung: Die Abbildung zeigt die Phasen eines IT-Vorhabens. Es beinhaltet plan, build und run.



Der Lebenszyklus eines IT-Vorhabens/-Verfahrens wird dabei durch die Inhaberinnen und Inhaber von jeweils verantwortlichen und zugehörigen Rollen getrieben und bestimmt. Damit sind sie als Standardrollen ITSH gesetzt.



Das Rollenmodell bildet dabei den Grundsatz ab, dass die Verantwortung für die Ordnungsmäßigkeit der IT-Verfahren und für die Datenverarbeitung immer auf Seiten der Landesverwaltung liegt!



Nachfolgend sind die mindestens notwendigen Rollen benannt, in einem Rollenmodell dargestellt und nach dem „VDBI-Prinzip“ den Phasen zugeordnet. Je Phase und je Rolle sind die zugehörigen Aufgaben benannt und kurz beschrieben.



Tabelle 2: Bedeutung von VDBI



Aufgabe

  Abkürzung  

Beschreibung

Verantwortung  

V

Auftraggeberin - immer Landesverwaltung

Durchführung

D

Auftragnehmerin - Landesverwaltung oder Dataport oder andere IT-Dienstleister

Beratung

B


Information

I




5.


Tabelle 3: Rollenmodell „Standardrollen ITSH“




IT-Vorhaben/
IT-Verfahren
Phasen →
Rollen ↓

IT-Bedarf

Anforderungen   

Konzeption    

Entwicklung,
Test,
Einführung

Betrieb

1

Bedarfsträgerin

V

B

B

B

B

2A   

IT-Verantwortung


V

V

V

V
(Ordnungsmäßigkeit)

2B

Fach-Verantwortung


V
(Recht)

V
(Recht)

V; D
(Recht); (Daten)

V; D
(Recht); (Daten)

3

Bedarfskommunikation

D

I

I

I

I

4

Anforderungsmanagement

I

B

I

I


5

Anforderungsbeschreibung


D

B

B


6

Anforderungsbeschreibung
Organisation


D

B

B


7

Konzeptionsmanagement


B

B

I


8

Konzepterstellung



D

B


9

Entwicklung




D


10

Technisches Verfahrensmanagement     
(TVM)





D

11

Fachliches Verfahrensmanagement
(FVM)





D

12

Anwenderbetreuung
(Support)





D


Phasen-Ergebnis

IT-Bedarfsbeschreibung

  Lastenheft, also  
das „WAS“

  Detailliert beschriebenes  
IT-Vorhaben inkl.
Pflichtenheft, also das
„WIE und WOMIT“

betriebsreifes
IT-Vorhaben
einschließlich IT- und
  Verwaltungsorganisation  

produktiv laufendes
IT-Verfahren -
reibungslos und zu
  allseitiger Zufriedenheit  



Im Verlauf der Phasen im Lebenszyklus eines IT-Vorhabens/-Verfahrens wechselt die Verantwortung von derjenigen Stelle, die den IT-Bedarf hat, zu derjenigen Stelle, die für diesen IT-Bedarf die verantwortliche Steuerung der IT-Leistungserbringung übernimmt.



Dies ist farbig deutlich gemacht: IT-Bedarf, IT-Leistungserbringung



Die EU-Datenschutzgrundverordnung fordert mehr als das Datenschutzrecht bisher eine klare Verantwortlichkeit auf Seiten des Auftraggebers eines IT-Verfahrens; insbesondere, wenn ein IT-Verfahren von mehreren Stellen gemeinsam verantwortet und genutzt wird (Art. 4 Nr. 7 DSGVO in Verbindung mit § 7 Abs. 3 und 4 LDSG).



Da im Rahmen der IT-Leistungserbringung die Verantwortung für die Ordnungsmäßigkeit des IT-Verfahrens und die Verantwortung für die damit verarbeiteten Daten eng zusammenhängen, sind diese im Rollenmodell mit einer gemeinsamen Bezifferung, nämlich als



Rolle 2A IT-Verantwortung und


Rolle 2B Fach-Verantwortung


versehen. Dabei kümmert sich die Rolle 2B Fach-Verantwortung während der Phasen Anforderungen, Konzeption und Entwicklung vor allem um die rechtlich-fachlichen Anforderungen an das IT-Verfahren (Sicht Recht). In der Phase Betrieb kommen die Aufgaben der Verantwortung für die Datenverarbeitung dazu, die in den Behörden vor Ort, die das IT-Verfahren nutzen, anfallen (Sicht datenverarbeitende Stellen).



CIO beziehungsweise ITB entscheiden jeweils über die geeignete Organisation für die Rolle 2A IT-Verantwortung. Die Rolle 2A wird grundsätzlich im IT-Management liegen, kann aber auch im Fachbereich wahrgenommen werden.



Beispiel 1 mit organisatorischer Trennung der Rollenwahrnehmung 2A und 2B und Wahrnehmung der Rolle 2A im IT-Management:



Für die E-Akte liegt die IT-Verantwortung (Sicht Ordnungsmäßigkeit) mittels Landesverordnung bei der für das Zentrale IT-Management zuständigen obersten Landesbehörde.



Die Fach-Verantwortung (Sicht datenverarbeitende Stellen) für E-Akte haben im Zuge der Einführung alle unmittelbaren Landesbehörden und Landesdienststellen.



Vom ZIT SH aus wird insbesondere Dataport mit dessen Subunternehmen beauftragt. Die IT-Verantwortung nimmt ihre Aufgaben in enger Abstimmung mit der Fach-Verantwortung wahr. Die Fach-Verantwortung bringt zum Beispiel erforderliche Weiterentwicklungen, die sich aus rechtlich-fachlicher Sicht oder aus Nutzungssicht der datenverarbeitenden Stellen ergeben, ein.



Beispiel 2 mit organisatorischer Trennung der Rollenwahrnehmung 2A und 2B und Wahrnehmung der Rolle 2A im Fachbereich:



Für das IT-Verfahren BaföG ist die IT-Verantwortung mittels Landesverordnung dem für die Hochschulen zuständigen Ministerium übertragen worden.



Im für die Hochschulen zuständigen Ministerium liegt auch die Rolle 2B Fach-Verantwortung (Recht). Die Rolle 2B Fach-Verantwortung (Sicht datenverarbeitende Stellen) liegt bei Kreisen und kreisfreien Städten sowie beim Studentenwerk Schleswig-Holstein. Diese nutzen das Verfahren.



Beispiel 3 mit organisatorisch gebündelter Rollenwahrnehmung 2A und 2B:



Für das IT-Verfahren zur Unterstützung der Agrarförderung (ZIAF) liegt die IT-Verantwortung bei der zuständigen obersten Landesbehörde. Dort liegt auch die Fach-Verantwortung (Recht), und dort werden derzeit auch die Daten in die zugehörige Datenbank eingepflegt (Fach-Verantwortung - Sicht datenverarbeitende Stelle).



Die Rollenwahrnehmung und die konkrete Ausprägung beim Durchlaufen der jeweiligen Phasen sind von Umfang und Komplexität des jeweiligen IT-Vorhabens/-Verfahrens abhängig.



Bei einem IT-Vorhaben/-Verfahren mit vielfältigen Anforderungen, Daten, Funktionalitäten, Nutzerinnen werden die Rollen vermutlich auf verschiedene Personen und möglicherweise sogar dabei auf verschiedene Verwaltungsorganisationen verteilt sein. Ein solch umfangreicher und komplexer IT-Bedarf führt möglicherweise bereits in der Phase Anforderungen zu einem größeren Projekt, um den IT-Bedarf soweit zu konkretisieren, dass auf Grundlage des daraus entstehenden Lastenheftes eine Ausschreibung gestartet werden kann.



Bei einem anderen IT-Vorhaben/-Verfahren, bei dem es vielleicht nur um den Erwerb und die Nutzung einer Standardsoftware geht, kann es sein, dass einige Rollen gar nicht vergeben werden und die erforderlichen Rollen von einer einzigen Person wahrgenommen werden. Dieser überschaubare IT-Bedarf kann möglicherweise schon durch eine Schulung zu bestimmten Funktionalitäten, die am Standard IT-Arbeitsplatz SH bereits verfügbar sind, gedeckt werden. Die einzelnen Phasen werden dann nicht weiter durchlaufen.



Mindestens sollte für jedes IT-Vorhaben/-Verfahren initial geklärt sein:



1.
Wer hat den IT-Bedarf? Rolle 1 Bedarfsträgerin


2.
Wer steuert verantwortlich die Umsetzung? Rolle 2A IT-Verantwortung (ITV)


3.
Wer kennt die rechtlich-fachlichen Anforderungen an die IT-Lösung, wer arbeitet künftig damit? Rolle 2B Fach-Verantwortung (FV)


Hinweis zur Bezeichnung der Rolle 2B Fach-Verantwortung und der Sichtweise datenverarbeitende Stelle als ‚Verantwortlicher‘:



Entsprechend der Definition in der Datenschutz-Grundverordnung (DSGVO) und dort in Artikel 4 Nr. 7 ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, ‚Verantwortlicher‘.



Legen gemäß Artikel 26 Abs. 1 DSGVO in Verbindung mit § 7 Abs. 3 und 4 LDSG zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie gemeinsam Verantwortliche (IT-Verantwortung und Fach-Verantwortung).



In diesem Kontext wird in der CIO-Rahmenvorgabe Standardrollen ITSH die Rolle 2B Fach-Verantwortung genutzt. Hier wird eine Konkretisierung erwartet, wer innerhalb derjenigen Behörden, die gemäß DSGVO Verantwortliche in den datenverarbeitenden Stellen sind, im Rahmen der Aufbauorganisation und Geschäftsverteilung die Datenverarbeitung tatsächlich verantwortet beziehungsweise ausübt.



Die Rollen 3 Bedarfskommunikation, 4 Anforderungsmanagement, 7 Konzeptionsmanagement gelten grundsätzlich IT-Vorhaben/-Verfahren-übergreifend.



Die Rolle 3 Bedarfskommunikation ist eine Rolle im Bereich des IT-Bedarfs (Fachabteilung, Fachdienststelle, ...). Dort liegt daher auch die verwaltungsorganisatorische Verantwortung für die Vergabe dieser Rolle.



Die Rollen 4 Anforderungsmanagement und 7 Konzeptionsmanagement sind Rollen der IT-Leistungserbringung und sind in der Linienorganisation des jeweiligen IT-Managements zu vergeben.



Die Rolle 12 Anwenderbetreuung (Support) kann sowohl IT-Vorhaben/-Verfahren-übergreifend als auch für einzelne IT-Vorhaben/-Verfahren vergeben werden.



Die Entscheidungsbefugnis für die Vergabe der Rollen 4 Anforderungsmanagement, 7 Konzeptionsmanagement und 12 Anwenderbetreuung (Support) für ressortübergreifende IT-Vorhaben/-Verfahren liegt originär bei CIO, die Rollen werden im ZIT SH vergeben.



Die übrigen Rollen werden grundsätzlich je IT-Vorhaben/-Verfahren zugeordnet beziehungsweise vergeben, und zwar durch die Rolle 2A IT-Verantwortung.



Zum Beispiel ergibt sich die Rolle 2B Fach-Verantwortung regelmäßig aus der Sache selbst. Nicht in allen Fällen ist in der Linienorganisation bereits geklärt, wer im Hinblick auf ein IT-Vorhaben/-Verfahren die Rolle 2B Fach-Verantwortung hat. Dann obliegt es der Rolle 2A IT-Verantwortung, die erforderliche Klärung – gegebenenfalls gemeinsam mit dem für die Verwaltungsorganisation zuständigen Bereich – herbeizuführen.



Die Rolle 2A IT-Verantwortung selbst wird durch CIO bzw. ITB vergeben.



Rollenvergabe bei IT-Leistungserbringung durch CIO/ZIT SH (ressortübergreifend)



Gemäß Ziffer 3.2.2 OrgErl ITSH hat CIO zudem das Recht, Vorhabens- und Verfahrensverantwortungen für ressortübergreifende Verfahren oder ressortübergreifend genutzte Verfahrensbestandteile zu regeln, also jeweils die Rolle 2A IT-Verantwortung zu vergeben. Auslöser für die Vergabe der Rolle 2A IT-Verantwortung für ein IT-Vorhaben/-Verfahren ist die entsprechende Information durch die Rolle 4 Anforderungsmanagement, und zwar spätestens zum Ende der Phase Bedarf. Denn die Rolle 2A IT-Verantwortung muss bereits zu Beginn der Phase Anforderungen feststehen.



Rollenvergabe bei IT-Leistungserbringung durch ITB/DIT (ressortbezogen)



Die Entscheidungsbefugnis für die Vergabe der Rollen 4 Anforderungsmanagement, 7 Konzeptionsmanagement und 12 Anwenderbetreuung (Support) für ressortbezogene IT-Vorhaben/-Verfahren liegt originär bei der ITB, die Rollen werden im jeweiligen DIT wahrgenommen.



Gemäß Ziffern 6.2 und 7.2 OrgErl ITSH legt die ITB Vorhabens-/Verfahrensverantwortungen für ressortbezogene IT-Vorhaben/-Verfahren fest, vergibt also jeweils die Rolle 2A IT-Verantwortung im DIT. Auslöser für die Vergabe der Rolle 2A IT-Verantwortung für ein IT-Vorhaben/-Verfahren ist auch hier die entsprechende Information durch die Rolle 4 Anforderungsmanagement, und zwar spätestens zum Ende der Phase Bedarf. Denn die Rolle 2A IT-Verantwortung muss bereits zu Beginn der Phase Anforderungen feststehen, weil sie nun die gesamte weitere verantwortliche Steuerung für das IT-Vorhaben/-Verfahren übernehmen muss.



Rollenwahrnehmung



Die dienstliche Aufgabenwahrnehmung der Führungskräfte und Mitarbeiterinnen und Mitarbeiter folgt den durch die jeweilige Geschäftsverteilung am Arbeitsplatz zugewiesenen Aufgaben. An diesen Kontext knüpfen wahrzunehmende Rollen an. Zum Beispiel entsteht ein IT-Bedarf aus der konkreten dienstlichen Aufgabenwahrnehmung. Damit ist die Zuordnung der Rolle 1 Bedarfsträgerin zu diesem Arbeitsplatz beziehungsweise konkret zu der Person, die den Arbeitsplatz besetzt, gegeben. Bei einem Personalwechsel wird diese Rollenzuordnung daher im Regelfall am Arbeitsplatz verbleiben.



Rollen werden grundsätzlich von einer Person (und nicht von einem Gremium oder einer Organisationseinheit) wahrgenommen. Dabei kann eine Person auch mehrere Rollen innehaben. Die Vertretung in der Rollenwahrnehmung folgt der allgemeinen Geschäftsverteilung im jeweiligen Bereich.



Wenn ausnahmsweise eine Organisationseinheit der Verwaltung oder ein Gremium der Verwaltung eine Rolle innehat, dann ist aber immer eine verantwortliche Person (Leitung der Organisationseinheit oder Vorsitz des Gremiums) benannt und handelt in der Rolle.



Organisation der Aufgabenwahrnehmung



Bis auf die Betriebsphase, die immer in der Linienorganisation beziehungsweise in Verantwortung in der Linienorganisation abläuft, können die Phasen im Lebenszyklus einer IT-Vorhaben/-Verfahren sowohl in der Linienorganisation als auch in einer Projektorganisation durchlaufen werden. Auch bei der Aufgabenerledigung in der Linienorganisation kann und soll projektorientiert gedacht und vorgegangen werden.



Die einzelnen Phasen im Lebenszyklus eines IT-Vorhabens/-Verfahrens können entweder jeweils als eigenständiges Projekt durchgeführt oder auch in aufeinander folgenden Phasen in einem Projekt gebündelt werden. Die Entscheidung über einen sinnvollen Projektzuschnitt wird insbesondere bestimmt durch das „magische Dreieck“ aus Zeit, Kosten und Qualität und den weiteren drei Dimensionen Umfang, Nutzen und Risiko.



6.


Tabelle 4: IT-Bedarf (Service Strategy - Geschäftsanforderungen)




IT-Vorhaben/-Verfahren
Phasen →
Rollen ↓

IT-Bedarf

1

Bedarfsträgerin

V

2A

IT-Verantwortung


2B   

Fach-Verantwortung


3

Bedarfskommunikation

D

4

Anforderungsmanagement

I

5

Anforderungsbeschreibung


6

Anforderungsbeschreibung Organisation   


7

Konzeptionsmanagement


8

Konzepterstellung


9

Entwicklung


10

Technisches
Verfahrensmanagement (TVM)


11

Fachliches
Verfahrensmanagement (FVM)


12

Anwenderbetreuung
(Support)



Phasen-Ergebnis

IT-Bedarfsbeschreibung



Der Bedarf nach IT kann jederzeit in den verschiedenen Bereichen der Verwaltung entstehen und ist dort ausgelöst und gebunden an die jeweilige Aufgabenstellung.



Dabei kann es sich sowohl um Fachaufgaben (Umweltschutz, Straßenbau, ...) als auch um Querschnittsaufgaben (Personal, Innerer Dienst, Haushalt, Verwaltungsorganisation, ...) handeln.



Der IT-Bedarf kann durch Rechtsänderung im Hinblick auf die Fachaufgaben ausgelöst sein (rechtlich-fachlich – eine Rechtsänderung zieht eine IT-Änderung nach sich) oder auch durch Änderungen der tatsächlichen Umstände im Bereich der Fachaufgaben (tatsächlich-fachlich –zum Beispiel eine plötzliche starke Steigerung der Fallzahlen zieht eine IT-Änderung nach sich, eine neue Umweltsituation zieht eine IT-Änderung nach sich, ...).



Der Bedarf nach IT kann daneben bei denjenigen entstehen, die an der IT-Leistungserbringung beteiligt sind. Dieser Bedarf resultiert regelmäßig aus der Innovation der IT selbst (IT-fachlich – Abkündigung von Versionen und Produkten, neue Technologien und so weiter). Dieser Bedarf kann unabhängig von den genannten Auslösern auch verursacht sein durch Konzeptionen zu IT-Notfallmanagement und zum Informations-Sicherheitsmanagement.



In jedem Fall ist nun durch und für diesen erkannten IT-Bedarf die Rolle Bedarfsträgerin zu vergeben. Die Person, die diese Rolle innehat, ist für den Bedarf und einen initialen Business Case verantwortlich und wendet sich damit an die Rolle Bedarfskommunikation.



Im Business Case werden die Notwendigkeit, der Nutzen und die Gründe für die Durchführung des IT-Vorhabens, bzw. der IT-Maßnahme, sowie die Hauptrisiken beschrieben.



Deren Aufgabe ist, die Rolle Anforderungsmanagement über den erkannten IT-Bedarf zu informieren.



Phase: IT-Bedarf



Rolle 1: Bedarfsträgerin



Ausprägung: V - Verantwortung



Aufgaben

Erläuterungen

Bedarfsidentifikation

Erkennen von rechtlichen und tatsächlichen Veränderungen und der damit verbundenen eventuellen Möglichkeit, die Aufgabenerledigung durch IT-Unterstützung zu verbessern oder auch erst zu ermöglichen:


„Zielszenario der IT-Lösung“


Erkennen von IT-technischen Veränderungen und dadurch ausgelösten Bedarfen


Erkennen von Bedarfen der IT-Notfallvorsorge


Erkennen von Bedarfen der Informationssicherheit


Im Regelfall ist die Bedarfsträgerin später die Nutzerin und vertritt damit die datenverarbeitende Stelle des zugehörigen IT-Verfahrens.



Bedarfsäußerung

Darstellung der Notwendigkeit des IT-Vorhabens – rechtlich, tatsächlich, IT-technisch, vorsorglich hinsichtlich Notfällen und Informationssicherheit



Bedarfsbegründung   

Begründung der Notwendigkeit, initialer Business Case



Im Business Case werden die Notwendigkeit, der Nutzen und die Gründe für die Durchführung des IT-Vorhabens, bzw. der IT-Maßnahme, sowie die Hauptrisiken beschrieben.


Der in der Phase Bedarf erstellte initiale Business Case wird fortlaufend angepasst.



Phase: IT-Bedarf



Rolle 3: Bedarfskommunikation



Ausprägung: D - Durchführung



Aufgaben

Erläuterungen

Bedarfskommunikation   

Kommunikation des IT-Bedarfs an den für die IT-Leistungserbringung zuständigen Bereich, und dort an die Rolle 4 Anforderungsmanagement.



Phase: IT-Bedarf



Rolle 4: Anforderungsmanagement



Ausprägung: I - Information



Aufgaben

Erläuterungen

Steuerung der Anforderungsbeschreibungen   
für IT-Bedarfe

An diese Rolle werden erkannte IT-Bedarfe kommuniziert.


In dieser Rolle wird hinsichtlich unterschiedlicher IT-Bedarfe die Vorgehensweise koordiniert.


Die Rolle 4 Anforderungsmanagement muss die erkannten IT-Bedarfe nun an die Linienzuständigen für IT, also an CIO beziehungsweise die ITB, kommunizieren, damit dort initial die Rolle 2A IT-Verantwortung für das zu bildende IT-Vorhaben/-Verfahren festgelegt wird.


Die Rolle 4 Anforderungsmanagement kann die Rolle 2A IT-Verantwortung dabei beraten, ob als Projekt oder in der Linie gearbeitet wird und ähnliches.



Ergebnis der Phase „IT-Bedarf“ ist eine IT-Bedarfsbeschreibung.



Die Rolle 3 Bedarfskommunikation übergibt dieses Ergebnis an den für die IT-Leistungserbringung zuständigen Bereich, also entweder an CIO mit ZIT SH oder an ITB mit DIT.



Dort muss nun für dieses IT-Vorhaben/-Verfahren die Rolle 2A IT-Verantwortung festgelegt werden. Diese kann im ZIT SH beziehungsweise DIT liegen oder auch im Fachbereich, vor allem dann, wenn es nur eine datenverarbeitende Stelle gibt.



Damit kann die Phase „Anforderungen“ beginnen.



7.


Tabelle 5: Anforderungen (Service Design - Anforderungen definieren)




IT-Vorhaben/-Verfahren
Phasen →
Rollen ↓

Anforderungen

1

Bedarfsträgerin

B

2A   

IT-Verantwortung

V

2B

Fach-Verantwortung

V
(Recht)

3

Bedarfskommunikation

I

4

Anforderungsmanagement

B

5

Anforderungsbeschreibung

D

6

Anforderungsbeschreibung     
Organisation

D

7

Konzeptionsmanagement

B

8

Konzepterstellung


9

Entwicklung


10

Technisches
Verfahrensmanagement
(TVM)


11

Fachliches
Verfahrensmanagement
(FVM)


12

Anwenderbetreuung
(Support)



Phasen-Ergebnis

  Lastenheft, also das „WAS“  



Ab der Phase Anforderungen beginnt die Aufgabenerledigung der IT-Leistungserbringung.



In der Phase Anforderungen muss der seitens der Verwaltung geäußerte IT-Bedarf konkretisiert und in eine Form gebracht werden, die die Auswahl und spätere Implementation einer bedarfsgerechten IT-Lösung ermöglicht.



Die Ermittlung und Beschreibung der Anforderungen kann sowohl in der Linienorganisation als auch in einer Projektorganisation durchgeführt werden.



Auch in dieser Phase wird der Business Case fortgeschrieben.



Ausgehend vom geäußerten Bedarf und der Bedarfsbegründung und des ersten Zielszenarios der IT-Lösung müssen die folgenden Beschreibungen erstellt werden:



Inhalt und Eigenschaften der Organisation „um die IT-Lösung herum“:



Beschreibung der benötigten IT-Organisation


Herkunft und Bearbeitung der benötigten Daten, Informationen und Dokumente (Lieferanten)


Adressaten der erzeugten Daten, Informationen und Dokumente (Nutzerinnen)


Beschreibung der benötigten Verwaltungsorganisation


Optimierungspotenziale von Verwaltungsabläufen


Ergebnis dieser Phase ist das Lastenheft.



Im Lastenheft wird möglichst präzise die Gesamtheit der Forderungen – WAS entwickelt oder produziert werden soll, beschrieben. Andere Begriffe dazu sind: Anforderungsspezifikation, Anforderungs-katalog, Produktskizze, Kundenspezifikation.



Das Pflichtenheft beschreibt darauf aufbauend in konkreter Form, WIE und WOMIT die Anforderungen des Lastenheftes gelöst werden können.



Die Anforderungen in einem Lastenheft sollten durch ihre Formulierung so allgemein wie möglich und so einschränkend wie nötig formuliert werden. Hierdurch hat die Auftragnehmerin die Möglichkeit, optimale Lösungen zu erarbeiten, ohne durch zu konkrete Anforderungen in ihrer Lösungskompetenz eingeschränkt zu sein.



Das Lastenheft beschreibt aus Sicht der Bedarfsträgerin komplett und detailliert die Gesamtheit der Anforderungen an das künftige IT-Verfahren.



Phase: Anforderungen



Rolle 1: Bedarfsträgerin



Ausprägung: B - Beratung



Aufgaben

Erläuterungen

Bedarfsäußerung   

Die Bedarfsäußerung ist in dieser Phase zu konkretisieren hinsichtlich der rechtlichen, tatsächlichen und/oder auch IT-technischen Notwendigkeiten.



Die Rolle 1 Bedarfsträgerin „beantwortet Fragen“ und gibt Hinweise. Ihr fachlicher Input ist für die weiteren Arbeitsschritte zur Umsetzung der angestrebten IT-Lösung gefordert.


Die Dokumentation der Ergebnisse des Klärungsprozesses im Lastenheft wird dabei durch die Rollen 5 Anforderungsbeschreibung und 6 Anforderungsbeschreibung Organisation durchgeführt und seitens der Rolle 2A IT-Verantwortung gesteuert.



Phase: Anforderungen



Rolle 2A: IT-Verantwortung



Ausprägung: V - Verantwortung



Aufgaben

Erläuterungen

Verantwortliche Steuerung   

Die verantwortliche Steuerung bezieht sich in dieser Phase auf


Anmeldung des IT-Vorhabens/-Verfahrens beim ZIT SH (Finanzmanagement); dort wird entschieden, ob das IT-Vorhaben/-Verfahren einer bereits bestehenden IT-Maßnahme (ITM) zugeordnet wird oder ob für dieses IT-Vorhaben/-Verfahren eine neue ITM eingerichtet wird; für diesen Fall ist das zugehörige Maßnahmenblatt auszufüllen.



Fortschreibung des Business Case
Zusätzlich werden mit Hilfe einer initialen IT-Wirtschaftlichkeitsbetrachtung (IT-WiBe) Zeitrahmen, monetäre und nicht monetäre Kosten und Nutzen bewertet. Im Business Case und IT-WiBe werden ebenfalls die möglichen Optionen einer Lösung beschrieben und bewertet.



Haushaltsplanung für die ITM



Feststellung, wer künftig die Rolle 2B Fach-Verantwortung wahrnehmen wird; dies gilt sowohl hinsichtlich der rechtlich-fachlichen Anforderungen an die künftige Lösung als auch hinsichtlich der späteren Nutzung der IT-Lösung. Kandidatin für die Wahrnehmung der Rolle 2B ist auf jeden Fall die Rolle 1 Bedarfsträgerin.



Bedarfsgerechte Einbindung der Rolle 2B Fach-Verantwortung, damit die Rolle 2B ihre rechtlich-fachliche Aufgabe in dieser Phase verantwortlich wahrnehmen kann.



Bedarfsgerechte Information der Rolle 3 Bedarfskommunikation über den Verlauf der Phase Anforderungen und über die Freigabe des Lastenheftes.



Bedarfsgerechte Information der Rolle 7 Konzeptionsmanagement über den Verlauf der Phase Anforderungen und über die Freigabe des Lastenheftes.



Abstimmung mit der Rolle 4 Anforderungsmanagement, wer wann die Rollen 5 Anforderungsbeschreibung und 6 Anforderungsbeschreibung Organisation für dieses IT-Vorhaben/-Verfahren wahrnehmen kann und ob die Aufgabenwahrnehmung für das betreffende IT-Vorhaben/-Verfahren mit eigenem Personal oder durch IT-Dienstleister erbracht werden sollte.



Beauftragung der Rolle 5 Anforderungsbeschreibung mit der Konkretisierung der Anforderungen:




Konkretisierung des Zielszenarios der IT-Lösung: WAS soll die IT-Lösung leisten?



In rechtlich-fachlicher Hinsicht



In IT-fachlicher Hinsicht




Ausgehend vom Zielszenario müssen Inhalt und Eigenschaften der IT-Lösung konkretisiert werden:




Beschreibung der benötigten Daten




Beschreibung der benötigten Informationen und Dokumente




Beschreibung der benötigten Funktionalitäten




Beschreibung der erzeugten Daten




Beschreibung der erzeugten Informationen und Dokumente




Berücksichtigung des Themenkomplexes Barrierefreiheit




Berücksichtigung des Themenkomplexes Informationssicherheit:





Initiale Schutzbedarfsfeststelllung und Risikoanalyse





Erhebung von Informationssicherheitsanforderungen



Beauftragung der Rolle 6 Anforderungsbeschreibung Organisation mit der Konkretisierung der künftigen IT-Organisation und Verwaltungsorganisation „um die IT-Lösung herum“.



Zustimmung zum Lastenheft und damit abschließende Bestätigung, dass das Lastenheft die Anforderungen an das künftige IT-Verfahren sowohl aus Sicht der Rolle 1 Bedarfsträgerin und der Rolle 2B Fach-Verantwortung als auch aus Sicht der Rolle 2A IT-Verantwortung selbst komplett und detailliert beschreibt.



Übergabe des Lastenheftes an die Konformitätsprüfung:



Bei erfolgreicher Prüfung: Start der Konzeptionsphase



Bei Prüfung mit Nachbesserungsbedarf: Aktualisierung des Lastenheftes mit den beteiligten Rollen



Phase: Anforderungen



Rolle 2B: Fach-Verantwortung



Ausprägung: V - Verantwortung (rechtlich-fachlich)



Aufgaben

Erläuterungen

Nutzungsanforderungen   

Die Nutzungsanforderungen sind in dieser Phase zu konkretisieren: WAS soll die IT-Lösung künftig leisten?



Die Konkretisierung wird dabei durch die Rollen 5 Anforderungsbeschreibung und 6 Anforderungsbeschreibung Organisation durchgeführt und seitens der Rolle 2A IT-Verantwortung gesteuert.



Die Rolle 2B Fach-Verantwortung wirkt bei der rechtlich-fachlichen Konkretisierung der Anforderungen verantwortlich mit, „beantwortet Fragen“ und gibt Hinweise.



Die Rolle 2B Fach-Verantwortung nimmt im Rahmen ihrer rechtlich-fachlichen Verantwortung die diesbezügliche Freigabe des Lastenheftes vor und stimmt damit auch aus der künftigen Nutzerinnensicht heraus zu, dass das Lastenheft ihre Anforderungen an das künftige IT-Verfahren komplett und detailliert beschreibt.



Phase: Anforderungen



Rolle 3: Bedarfskommunikation



Ausprägung: I - Information



Aufgaben

Erläuterungen

Begleitung   

Die Rolle 3 Bedarfskommunikation wird durch die Rolle 2A IT-Verantwortung informiert über den Verlauf der Phase Anforderungen und über die Freigabe des Lastenheftes.



Die Rolle 3 Bedarfskommunikation kann so ihre Abstimmungs- und Abgleichfunktion wahrnehmen und darauf hinwirken, dass die IT-Bedarfe in ihrem Bereich angemessen bearbeitet werden.



Phase: Anforderungen



Rolle 4: Anforderungsmanagement



Ausprägung: B - Beratung



Aufgaben

Erläuterungen

Koordinierung

Die Rolle 4 Anforderungsmanagement koordiniert in der Phase Anforderungen die Leistungserbringung durch die Rollen 5 Anforderungsbeschreibung und 6 Anforderungsbeschreibung Organisation für die unterschiedlichen IT-Vorhaben/-Verfahren.



Die Rolle 4 Anforderungsmanagement stimmt sich dabei mit den jeweiligen Rollen 2A Vorhabens-/Verfahrensverantwortung sowie mit den Rollen 5 Anforderungsbeschreibung und 6 Anforderungsbeschreibung Organisation für die unterschiedlichen IT-Vorhaben/-Verfahren ab.



Die Rolle 4 Anforderungsmanagement berät die Rolle 2A IT-Verantwortung bei der Entscheidungsfindung, ob jeweils in einer Projekt- oder Linienorganisation gearbeitet wird.

Standardisierung (Controlling)   

Die Rolle 4 Anforderungsmanagement sorgt dafür, dass die Leistungserbringung durch die Rollen 5 Anforderungsbeschreibung und 6 Anforderungsbeschreibung Organisation für die unterschiedlichen IT-Vorhaben/-Verfahren nach standardisierten Vorgehensweisen, Methoden und Mustern erfolgt.



Phase: Anforderungen



Rolle 5: Anforderungsbeschreibung



Ausprägung: D - Durchführung



Bei der Aufgabenerledigung werden der Auftrag der Rolle 2A IT-Verantwortung sowie die Standardisierungen der Rolle 4 Anforderungsmanagement beachtet.



Aufgaben

Erläuterungen

Konkretisierung des Zielszenarios der IT-Lösung

Durch präzisierende Fragen muss in Zusammenarbeit mit der Rolle 1 Bedarfsträgerin und der Rolle 2B Fach-Verantwortung erarbeitet werden, was das IT-Vorhaben/-Verfahren als Ziel hat und liefern soll.

Beschreibung der benötigten Daten

Durch präzisierende Fragen muss in Zusammenarbeit mit der Rolle 1 Bedarfsträgerin und der Rolle 2B Fach-Verantwortung erarbeitet werden,


über welche Sachverhalte


welche Daten auf Feldebene


für welchen Zweck


im IT-System benötigt werden. Dabei muss auch der Bezug zu Stammdaten betrachtet werden sowie der Bedarf an eventuellen Schnittstellen („Holen“) zu anderen IT-Systemen.

Beschreibung der benötigten
Informationen und Dokumente

Durch präzisierende Fragen muss in Zusammenarbeit mit der Rolle 1 Bedarfsträgerin und der Rolle 2B Fach-Verantwortung erarbeitet werden,


über welche Sachverhalte


welche Informationen in beschreibendem Text


für welchen Zweck


im IT-System benötigt werden.

Beschreibung der benötigten Funktionalitäten   

Durch präzisierende Fragen muss in Zusammenarbeit mit der Rolle 1 Bedarfsträgerin und der Rolle 2B Fach-Verantwortung erarbeitet werden, was das IT-System der Bedarfsträgerin zur Verfügung stellen soll, zum Beispiel:


Analyse der Geschäftsprozesse und ggf. Optimierung


Nutzung von Standard-Funktionalitäten


Nutzung von Daten und Informationen


Nutzung von Recherche


Speicherung von Daten und Informationen


Dokumentation des Verwaltungshandelns (DMS/VBS-Funktionen)


... ... ...

Beschreibung der erzeugten Daten

Durch präzisierende Fragen muss in Zusammenarbeit mit der Rolle 1 Bedarfsträgerin und der Rolle 2B Fach-Verantwortung erarbeitet werden,


über welche Sachverhalte


welche Daten auf Feldebene


für welchen Zweck


vom IT-System erzeugt werden. Dabei muss auch der Bezug zu Stammdaten betrachtet werden sowie der Bedarf an eventuellen Schnittstellen („Liefern“) zu anderen IT-Systemen.

Beschreibung der erzeugten
Informationen und Dokumente

Durch präzisierende Fragen muss in Zusammenarbeit mit der Rolle 1 Bedarfsträgerin und der Rolle 2B Fach-Verantwortung erarbeitet werden,


über welche Sachverhalte


welche Informationen in beschreibendem Text


für welchen Zweck


vom IT-System erzeugt werden und was mit diesen Erzeugnissen passieren soll (Ablage, Übermittlung, Informationsbereitstellung, ...).



Phase: Anforderungen



Rolle 6: Anforderungsbeschreibung Organisation



Ausprägung: D – Durchführung



Bei der Aufgabenerledigung werden der Auftrag der Rolle 2A IT-Verantwortung sowie die Standardisierungen der Rolle 4 Anforderungsmanagement beachtet.



Aufgaben

Erläuterungen

Beschreibung der benötigten IT-Organisation
„um die IT-Lösung herum“

Beschreibung der organisatorischen Rahmenbedingungen


Durch präzisierende Fragen muss in Zusammenarbeit mit der Rolle 1 Bedarfsträgerin und der Rolle 2B Fach-Verantwortung erarbeitet werden, welche IT-Organisation erforderlich sein wird, um das IT-System anwenden und nutzen zu können. Dazu gehören Analyse der Geschäftsprozesse und ggf. deren Optimierung.


Anwenden bedeutet das unmittelbare berechtigte Arbeiten im und mit dem IT-Verfahren; Datenverarbeitung als auch Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO.


Nutzen bedeutet die Nutzung von Ergebnissen des IT-Verfahrens. Dabei muss die Zweckbindung nach Art. 5 Abs. 1 Buchstabe b beachtet werden.

Beschreibung der benötigten Verwaltungsorganisation
„um die IT-Lösung herum“

Durch präzisierende Fragen muss in Zusammenarbeit mit der Rolle 1 Bedarfsträgerin und der Rolle 2B Fach-Verantwortung erarbeitet werden, welche Verwaltungsorganisation erforderlich sein wird, um das IT-System anwenden und nutzen zu können. Dazu gehören Analyse der Geschäftsprozesse und ggf. deren Optimierung.



Phase: Anforderungen



Rolle 7: Konzeptionsmanagement



Ausprägung: B - Beratung



Aufgaben

Erläuterungen

Koordinierung   

Die Rolle 7 Konzeptionsmanagement wird durch die Rolle 2A IT-Verantwortung informiert über den Verlauf der Phase Anforderungen und über die Freigabe des Lastenheftes.


Die Rolle 7 Konzeptionsmanagement kann so ihre IT-konzeptionelle Funktion wahrnehmen und frühzeitig dahingehend beraten, dass IT-strategische Belange berücksichtigt werden (Nutzung von Standard IT-SH und von Basisdiensten als IT-Portfolio des Landes, Ausrichtung an der IT-Strategie, Ausrichtung an übergreifenden Architekturprinzipien, ...).



Ergebnis dieser Phase ist das Lastenheft, das die Anforderungen an das künftige IT-Verfahren sowohl aus Sicht der Rolle 1 Bedarfsträgerin und der Rolle 2B Fach-Verantwortung als auch aus Sicht der Rolle 2A IT-Verantwortung komplett und detailliert beschreibt. Der Business Case ist fortgeschrieben.



8.


Tabelle 6: Konzeption der IT-Lösung (Service Design - Auswertung)




IT-Vorhaben/-Verfahren
Phasen →
Rollen ↓

Konzeption

1

Bedarfsträgerin

B

2A   

IT-Verantwortung

V

2B

Fach-Verantwortung

V
(Recht)

3

Bedarfskommunikation

I

4

Anforderungsmanagement

I

5

Anforderungsbeschreibung     

B

6

Anforderungsbeschreibung
Organisation

B

7

Konzeptionsmanagement

B

8

Konzepterstellung

D

9

Entwicklung


10

Technisches
Verfahrensmanagement
(TVM)


11

Fachliches
Verfahrensmanagement
(FVM)


12

Anwenderbetreuung
(Support)



Phasen-Ergebnis

detailliert beschriebenes IT-Vorhaben inkl. Pflichtenheft,
also das „WIE und WOMIT“



Ziel der Phase Konzeption ist das detailliert beschriebene IT-Vorhaben inkl. Pflichtenheft.



Hinweis: Auswertung beinhaltet Analyse der IST-Situation, Bewertung und Konzepterstellung.



Das Pflichtenheft beschreibt aus Sicht der IT komplett und detailliert, wie die Anforderungen der Bedarfsträgerin aus dem Lastenheft mit diesem IT-Vorhaben umgesetzt werden können. Es beschreibt auch die zugehörige IT-Organisation und Verwaltungsorganisation.



Auch in dieser Phase wird der Business Case fortgeschrieben.



Phase: Konzeption



Rolle 1: Bedarfsträgerin



Ausprägung: B - Beratung



Aufgaben

Erläuterungen

Bedarfsäußerung   

Nach der Konkretisierung der Bedarfsäußerung in der Phase Anforderungen ist nun die Erarbeitung der Konzeption zu begleiten. Dies erfolgt hinsichtlich der rechtlichen, tatsächlichen und/oder auch IT-technischen Notwendigkeiten.


Die Konzeption wird dabei durch die Rolle 8 Konzepterstellung durchgeführt und seitens der Rolle 2A IT-Verantwortung gesteuert.


Die Rolle 1 Bedarfsträgerin „beantwortet Fragen“ und gibt Hinweise.


Die Rolle 1 Bedarfsträgerin wirkt mit bei der Freigabe des Pflichtenheftes und stimmt damit aus ihrer rechtlichen, tatsächlichen und/oder auch IT-technischen Motivation heraus zu, dass das Pflichtenheft das künftige IT-Verfahren komplett und detailliert beschreibt.



Phase: Konzeption



Rolle 2A: IT-Verantwortung



Ausprägung: V - Verantwortung



Aufgaben

Erläuterungen

Verantwortliche Steuerung   

Die verantwortliche Steuerung bezieht sich in dieser Phase auf


Pflege einer ITM beim ZIT SH (Finanzmanagement)


Fortsetzung der Haushaltsplanung für die ITM


Fortschreibung Business Case und IT-WiBe


Bedarfsgerechte Einbindung der Rolle 2B Fach-Verantwortung, damit die Rolle 2B ihre beratende Aufgabe in der Phase Konzeption wahrnehmen kann.


Bedarfsgerechte Information der Rolle 3 Bedarfskommunikation über den Verlauf der Phase Konzeption und über die Freigabe des Pflichtenheftes.


Bedarfsgerechte Information der Rolle 4 Anforderungsmanagement über den Verlauf der Phase Konzeption und über die Freigabe des Pflichtenheftes.


Bedarfsgerechte Einbindung der Rollen 5 Anforderungsbeschreibung und 6 Anforderungsbeschreibung Organisation, damit die Rollen 5 und 6 ihre beratende Aufgabe in der Phase Konzeption wahrnehmen können.


Bedarfsgerechte Einbindung behördliche Datenschutzbeauftragte und zuständiges Informationssicherheitsmanagement


Abstimmung mit der Rolle 7 Konzeptionsmanagement, wer die Rolle 8 Konzepterstellung für dieses IT-Vorhaben/-Verfahren wahrnehmen kann und ob die Aufgabenwahrnehmung für das betreffende IT-Vorhaben/-Verfahren mit eigenem Personal oder durch IT-Dienstleister erbracht werden sollte.



Fortlaufende Einbindung der Rolle 7 Konzeptionsmanagement über den Verlauf der Phase Konzeption und schließlich über die Freigabe des Pflichtenheftes.


Beauftragung der Rolle 8 Konzepterstellung mit der Konzepterstellung, dabei ggf. auch Entscheidung, ob die Aufgabenwahrnehmung für das betreffende IT-Vorhaben/-Verfahren mit eigenem Personal oder durch IT-Dienstleister erbracht werden soll.


Steuerung der Konzepterstellung nach folgendem Ablauf:


Ermittlung von Lösungsvarianten auf der Basis von Vorhandenem


Bringt die ausgewählte Lösung den meisten Nutzen? Dies wird dargelegt im angepassten Business Case.


Prüfung auf Erfüllung der Informationssicherheits- und Datenschutzanforderungen


Soll die ausgewählte Lösung beschritten werden?


Dann: Beauftragung der Rolle 8 Konzepterstellung, auf Basis der gewählten Vorgehensweise (Kooperationsmöglichkeit, Standard-IT-SH-Komponenten, vorhandener Software) ein Pflichtenheft zu erstellen.


Wenn keine positive Entscheidung zu einer Lösung auf der Basis von Vorhandenem getroffen werden kann, Fortsetzung mit:


Ermittlung von Lösungsvarianten auf der Basis von Neuem


„Null-Option“ – es findet keine IT-Umsetzung zur Deckung des Bedarfs statt


Beschaffung einer geeigneten Lösung am Markt („Buy“)


Eigenentwicklung einer geeigneten Lösung („Make“).


Prüfung auf Erfüllung der Informationssicherheits- und Datenschutzanforderungen


Darstellung der einmaligen und laufenden Kosten


Erstellung einer Wirtschaftlichkeitsbetrachtung in angemessenem Umfang, Anpassung des initialen Business Case


Auf Grundlage dieser Informationen Entscheidung, ob der Weg „Make“ oder der Weg „Buy“ beschritten werden soll.



Für den Fall „Buy“ ist ein Auswahlprozess zu starten auf der Grundlage des Lastenhefts sowie der IT-strategischen Vorgaben. Vergaberelevant ist dann ein durch die Bieter zu erstellendes Pflichtenheft.



Für den Fall „Make“ ist auf Grundlage des Lastenheftes und eventuell genutzter Kooperationsmöglichkeiten, Standard-IT-SH-Komponenten und / oder vorhandener Software ein Pflichtenheft zu erstellen.



Einbindung der Vertretungen von Personalinteressen



Datenschutzbetrachtung



Berücksichtigung des Themenkomplexes Barrierefreiheit



Freigabe des detailliert beschriebenen IT-Vorhabens inkl. des Pflichtenheftes und damit Bestätigung, dass mit dem im Pflichtenheft beschriebenen „WIE und WOMIT“ das im Lastenheft beschriebene „WAS“, also die Anforderungen an das künftige IT-Verfahren, sowohl aus Sicht der Rolle 1 Bedarfsträgerin und der Rolle 2B Fach-Verantwortung als auch aus Sicht der Rolle 2A IT-Verantwortung selbst komplett und detailliert beschreibt.



Übergabe des detailliert beschriebenen IT-Vorhabens inkl. des Pflichtenheftes an die Konformitätsprüfung:




Bei erfolgreicher Prüfung: Start der Entwicklung- und Einführungsphase






Bei Prüfung mit Nachbesserungsbedarf: Aktualisierung des detailliert beschriebenen IT-Vorhabens inkl. des Pflichtenheftes mit den beteiligten Rollen



Phase: Konzeption



Rolle 2B: Fach-Verantwortung



Ausprägung: V - Verantwortung (rechtlich-fachlich)



Aufgaben

Erläuterungen

Nutzungsanforderungen   

Die Nutzungsanforderungen sind in der Phase Konzeption zu konkretisieren: WIE würde oder könnte die konkrete Nutzung der künftigen IT-Lösung funktionieren?


Die Konkretisierung wird dabei durch die Rolle 8 Konzepterstellung durchgeführt und seitens der Rolle 2A IT-Verantwortung gesteuert.


Die Rolle 2B Fach-Verantwortung „beantwortet Fragen“ und gibt Hinweise, testet eventuelle Prototypen und gibt Rückmeldungen an die Rolle 8 Konzepterstellung.


Die Rolle 2B Fach-Verantwortung wirkt mit bei der Freigabe des Pflichtenheftes und stimmt damit aus ihrer Nutzerinnensicht heraus zu, dass das Pflichtenheft ihre Anforderungen an die Nutzung des künftigen IT-Verfahrens komplett und detailliert beschreibt.



Phase: Konzeption



Rolle 3: Bedarfskommunikation



Ausprägung: I - Information



Aufgaben

Erläuterungen

Begleitung   

Die Rolle 3 Bedarfskommunikation wird durch die Rolle 2A IT-Verantwortung informiert über den Verlauf der Phase Konzeption und über die Freigabe des Pflichtenheftes.


Die Rolle 3 Bedarfskommunikation kann so ihre Abstimmungs- und Abgleichfunktion wahrnehmen und darauf hinwirken, dass die IT-Bedarfe in ihrem Bereich angemessen bearbeitet werden.



Phase: Konzeption



Rolle 4: Anforderungsmanagement



Ausprägung: I - Information



Aufgaben

Erläuterungen

Informationsaufnahme als Grundlage
für das Management der Rollen 5 und 6

Die Rolle 4 Anforderungsmanagement wird hinsichtlich der Konzeption für die unterschiedlichen IT-Bedarfe, in die die Rollen 5 Anforderungsbeschreibung und Rollen 6 Anforderungsbeschreibung Organisation jeweils beratend eingebunden sind, informiert und auf dem Laufenden gehalten, damit sie ihre Managementaufgabe hinsichtlich Einsatz der Rollen 5 und 6 wahrnehmen kann.



Phase: Konzeption



Rolle 5: Anforderungsbeschreibung



Ausprägung: B - Beratung



Aufgaben

Erläuterungen

Beratung   

Die Rolle 5 Anforderungsbeschreibung hat in der Phase Anforderung Detailwissen aufgebaut. Sie hat mit diesem Wissen das Lastenheft erstellt mit dem Fokus auf der künftigen IT-Lösung. Mit diesem Wissen berät sie nun die Rolle 2A IT-Verantwortung und die Rolle 8 Konzepterstellung.



Phase: Konzeption



Rolle 6: Anforderungsbeschreibung Organisation



Ausprägung: B - Beratung



Aufgaben

Erläuterungen

Beratung   

Die Rolle 6 Anforderungsbeschreibung Organisation hat in der Phase Anforderung Detailwissen aufgebaut. Sie hat mit diesem Wissen das Lastenheft erstellt mit dem Fokus auf der künftigen IT-Organisation und Verwaltungsorganisation. Mit diesem Wissen berät sie nun die Rolle 2A IT-Verantwortung und die Rolle 8 Konzepterstellung.



Phase: Konzeption



Rolle 7: Konzeptionsmanagement



Ausprägung: B - Beratung



Aufgaben

Erläuterungen

Koordinierung

Die Rolle 7 Konzeptionsmanagement koordiniert in der Phase Konzeption die Leistungserbringung durch die Rollen 8 Konzepterstellung für die unterschiedlichen IT-Vorhaben/-Verfahren.


Die Rolle 7 Konzeptionsmanagement stimmt sich dabei mit den jeweiligen Rollen 2A IT-Verantwortung sowie mit den Rollen 8 Konzepterstellung für die unterschiedlichen IT-Vorhaben/-Verfahren ab.


Die Rolle 7 Konzeptionsmanagement berät die Rolle 2A IT-Verantwortung bei der Entscheidungsfindung, ob jeweils in einer Projekt- oder Linienorganisation gearbeitet wird.

Standardisierung   

Die Rolle 7 Konzeptionsmanagement sorgt dafür, dass die Konzepterstellung durch die Rolle 8 Konzepterstellung für die unterschiedlichen IT-Vorhaben/-Verfahren nach standardisierten Vorgehensweisen, Methoden und Mustern erfolgt.



Phase: Konzeption



Rolle 8: Konzepterstellung



Ausprägung: D - Durchführung



Bei der Aufgabenerledigung werden der Auftrag der Rolle 2A IT-Verantwortung sowie die Standardisierungen der Rolle 7 Konzeptionsmanagement beachtet.



Aufgaben

Erläuterungen

Ermittlung von Lösungsvarianten   
auf Basis von Vorhandenem

Ermittlung von Lösungsvarianten auf der Basis von Vorhandenem


„Null-Option“ – es findet keine IT-Umsetzung zur Deckung des Bedarfs statt


Prüfung von Kooperationsmöglichkeiten


Prüfung der Einsatzmöglichkeit von Standard-IT SH


Nutzung von bereits vorhandener Software


Klärung von Informationssicherheits- und Datenschutzbelangen


Darstellung der einmaligen und laufenden Kosten


Finanzplanung


Erstellung einer Wirtschaftlichkeitsbetrachtung in angemessenem Umfang, Anpassung des fortgeschriebenen Business Case (Die fortlaufende Rechtfertigung, dass Aktivitäten wünschenswert, realisierbar und lohnend sind und bleiben).

Entscheidungsvorlage

Erstellung einer Entscheidungsvorlage für die Rolle 2A IT-Verantwortung, die ausführt, ob die ausgewählte Lösung den meisten Nutzen bringt (dargelegt im angepassten Business Case) und beschritten werden soll.

Erstellung Pflichtenheft auf Basis
von Vorhandenem

Wenn die Rolle 2A IT-Verantwortung positiv entschieden hat, die Lösung auf der Basis von Vorhandenem umzusetzen:


Erstellung eines Pflichtenheftes auf Basis der gewählten Vorgehensweise (Kooperationsmöglichkeit, Standard-IT-SH-Komponenten, vorhandener Software)

Ermittlung von Lösungsvarianten
auf Basis von Neuem

Wenn die Rolle 2A IT-Verantwortung negativ entschieden hat:


Ermittlung von Lösungsvarianten auf Basis von Neuem


„Null-Option“ – es findet keine IT-Umsetzung zur Deckung des Bedarfs statt


Beschaffung einer geeigneten Lösung am Markt („Buy“)


Eigenentwicklung einer geeigneten Lösung („Make“).


Klärung von Informationssicherheits- und Datenschutzbelangen



Darstellung der einmaligen und laufenden Kosten


Erstellung einer Wirtschaftlichkeitsbetrachtung in angemessenem Umfang, Anpassung des initialen Business Case / IT WiBe

Entscheidungsvorlage

Erstellung einer Entscheidungsvorlage für die Rolle 2A IT-Verantwortung, die ausführt, ob auf der Grundlage der vorliegenden Informationen die Null-Option, „Make“ oder „Buy“ den meisten Nutzen bringt (dargelegt im angepassten Business Case / IT WiBe).

Erstellung Pflichtenheft auf Basis von Neuem – Buy

Für den Fall „Buy“ ist ein Auswahlprozess zu starten auf der Grundlage des Lastenhefts sowie der IT-strategischen Vorgaben. Vergaberelevant ist dann ein durch die Bieter zu erstellendes Pflichtenheft.

Oder Erstellung Pflichtenheft auf Basis von Neuem – Make

Für den Fall „Make“ ist auf Grundlage des Lastenheftes und eventuell genutzter Kooperationsmöglichkeiten, Standard-IT-SH-Komponenten und / oder vorhandener Software ein Pflichtenheft zu erstellen.

Konzepterstellung

Die folgenden Konzepte können einzeln oder geeignet zusammengefasst erstellt werden:



Konfigurationskonzept



Installationskonzept



Organisationskonzept



IT-Organisationskonzept



IT-Nutzungskonzept



Schulungskonzept



Rechte- und Rollenkonzept



Datenschutzkonzept



Informationssicherheitskonzept inklusive ggf. fortgeschriebener Schutzbedarfsfeststellung und Risikoanalyse



Test-, Abnahme- und Freigabekonzept



Bestandteile der Verfahrensdokumentation für ein IT-Vorhaben/-Verfahren:



Verfahrensbeschreibung:
Grundangaben zum Verfahren: Was ist der Verfahrenszweck (Rechtsgrundlage?), wer ist IT-verantwortliche Stelle, wer ist fachlich verantwortliche Stelle (Sichtweise datenverarbeitende Stelle), wer sind die Betroffenen, welche Daten werden verarbeitet, an wen übermittelt. Auftragsdatenverarbeitung? Wenn ja wofür und durch wen und wie vertraglich vereinbart.


IT-Konzept:
Welche IT wird genutzt? Hardware, Software, Vernetzung


Konfigurationskonzept:
Wie wird die IT für die spezifische Nutzung konfiguriert? Mandanten, spezielle Einstellungen, Restriktionen, Datentypen, Datenstrukturen, ... Kann Teil vom IT-Konzept sein.


Datenschutz- und Sicherheitskonzept:
Welcher Schutzbedarf besteht? Welche Gefährdungen bestehen, welche Risiken? Welche Schutzmaßnahmen müssen dagegen getroffen werden? Welches Restrisiko bleibt? Wie ist dieses zu bewerten? Welche Maßnahmen zur Überprüfung der Datenschutz- und Sicherheitsmaßnahmen werden getroffen?


Test-, Abnahme- und Freigabekonzept:
In welchen Testschritten erfolgt wie die Überprüfung des IT-Systems daraufhin, ob es die im Pflichtenheft beschriebenen Leistungsmerkmale erfüllt und insbesondere die datenschutzrechtlichen Anforderungen erfüllt? Wer führt dieses Tests wie durch, was ist das erwartete Ergebnis, was ist das festgestellte Testergebnis, wie werden eventuelle Mängel bewertet, wird Abnahme erteilt, wird Freigabe erteilt?


IT-Organisationskonzept:
Wie bekommt wer welches Nutzungsrecht an der IT, wie sind die diesbezüglichen Rollen und Rechte, die Abläufe, die Dokumentation der Rollenvergabe und der Abläufe? Wie kümmert sich wer um den Datenschutz und die Datensicherheit?


Organisationskonzept:
Wie bekommt wer in der Verwaltungsorganisation die im IT-Organisationskonzept beschriebenen Rollen?


IT-Nutzungskonzept:
Wie erfolgt die Nutzung der IT durch die datenverarbeitenden Stellen: wer benutzt wie die IT, um dem Verfahrenszweck zu dienen? Welche vorbereitenden, unterstützenden Maßnahmen sind bei der IT-Nutzung erforderlich? Wie wird die verändernde Nutzung dokumentiert (Protokollierung auf Anwendungsebene)? Wie erfolgt die Löschung von Daten, wie werden Einsichtsrechte gewährt?


Schulungskonzept:
Wie und durch wen werden die zur Nutzung der IT notwendigen Kenntnisse vermittelt? Wer ist für die Organisation der Schulungsmaßnahmen verantwortlich?


Ein Ergebnis dieser Phase ist das Pflichtenheft, also das „WIE und WOMIT“.



Das gesamte Ergebnis der Phase Konzeption ist das durch die Rolle 2A IT-Verantwortung ausgewählte und detailliert beschriebene IT-Vorhaben, einschließlich Wirtschaftlichkeitsbetrachtung, IT-Organisation und Verwaltungsorganisation. Der Business Case ist fortgeschrieben.



Alle erforderlichen Konzepte sind initial fertiggestellt.



Das IT-Vorhaben ist damit reif für die Phase Entwicklung und Einführung.



9.


Tabelle 7: Entwicklung, Test, Einführung




IT-Vorhaben/-Verfahren
Phasen →
Rollen ↓

Entwicklung,
Test,
Einführung

1

Bedarfsträgerin

B

2A

IT-Verantwortung

V

2B   

Fach-Verantwortung

V; D
(Recht);
(Daten)

3

Bedarfskommunikation

I

4

Anforderungsmanagement

I

5

Anforderungsbeschreibung      

B

6

Anforderungsbeschreibung
Organisation

B

7

Konzeptionsmanagement

I

8

Konzepterstellung

B

9

Entwicklung

D

10

Technisches
Verfahrensmanagement
(TVM)


11

Fachliches
Verfahrensmanagement
(FVM)


12

Anwenderbetreuung
(Support)



Phasen-Ergebnis

betriebsreifes IT-Vorhaben einschließlich
IT- und Verwaltungsorganisation



Ziel der Phase Entwicklung, Test, Einführung ist, die Betriebsreife des IT-Vorhabens herzustellen.



Dazu gehören insbesondere:



Aufbau der technischen Infrastruktur,



Implementation der Lösung,



Implementation der zugehörigen IT-Organisation und Verwaltungsorganisation,



gegebenenfalls Anpassung der Konzeptlage,



Fortschreibung des Business Case,



Schulung, Test, Abnahme und Freigabe.



Das IT-Vorhaben wird danach mit der Produktivschaltung zum IT-Verfahren.



Die Verwaltung erwirbt oder entwickelt IT-Lösungen grundsätzlich nicht selbst, sondern nutzt dafür den IT-Dienstleister des Landes, Dataport AöR.



Dataport wird durch die IT-Verantwortung mit der Entwicklung oder dem Erwerb der konzipierten IT-Lösung beauftragt.



Wenn abweichend von diesen Grundsätzen IT-Lösungen landesintern entwickelt oder erworben und ggf. auch später technisch betrieben werden, gelten gleichwohl die nachfolgenden Rollen entsprechend.



Zu dieser Phase gehören auch Implementation, Tests, Abnahmen, Freigaben. Es handelt sich dabei immer noch um ein IT-Vorhaben, noch nicht um ein IT-Verfahren.



Ein IT-Vorhaben wird zum IT-Verfahren beim Übergang in den Produktivbetrieb.



Da diese Phase sehr umfassend ist und die Aufgaben (V, D, B, I) der jeweiligen Rollen im Verlauf der Unterphasen Entwicklung, Test, Einführung auch differieren können, wird nachfolgend diese Untergliederung in Bezug auf die VDBI-Ausprägung konkreter ausgeführt.



Unterphasen



Tabelle 8: Unterphasen Entwicklung, Test, Einführung




Entwicklung, Test, Einführung
Unterphasen →
Rollen ↓

Unterphase
   Entwicklung   

   Unterphase   
Test

    Unterphase   
Einführung

1

Bedarfsträgerin

B

B

B

2A

IT-Verantwortung

V

V

V

2B   

Fach-Verantwortung

V; B
(Recht); (Daten)

B; D
(Recht); (Daten)

B; D
(Recht); (Daten)

3

Bedarfskommunikation

I

I

I

4

Anforderungsmanagement

I

I

I

5

Anforderungsbeschreibung

B

B

B

6

Anforderungsbeschreibung Organisation

B

B

B

7

Konzeptionsmanagement

B

B

I

8

Konzepterstellung

B

B

B

9

Entwicklung

D

D

D

10

Technisches Verfahrensmanagement
(TVM)




11

Fachliches Verfahrensmanagement
(FVM)




12

Anwenderbetreuung
(Support)





Unterphasen-Ergebnis

detailliert beschriebenes IT-Vorhaben inkl. Pflichtenheft, also das „WIE und WOMIT“ einschließlich der Konzepte für die IT-und die Verwaltungsorganisation

Test-Konzeption sowie Test-Durchführung mit Dokumentation der Ergebnisse und Abnahme und der erforderlichen Freigaben

betriebsreifes IT-Vorhaben einschließlich IT- und Verwaltungsorganisation



Hinweise zu Abnahme und Freigabe(n)



Abnahme (siehe auch § 640 BGB):
Das ist die Abnahme des vertraglich bestellten Werkes beziehungsweise des vertraglich bestellten Werkes einschließlich einer zugehörigen erbrachten Dienstleistung. Vor der Abnahme ist im Regefall zu prüfen, ob die bestellten Funktionalitäten erbracht sind, also ein Abnahmetest ist durchzuführen. Dies gilt analog, wenn es kein Vertragsverhältnis gibt, sondern die IT-Leistung im Binnenverhältnis der Verwaltung erbracht wird. Dieser Abnahmeprozess ist ein rechtlich-fachlich-funktionaler Test. Daher sind am Abnahmetest die Rollen 1 Bedarfsträgerin sowie 2B Fach-Verantwortung (Sicht datenverarbeitende Stelle) maßgeblich zu beteiligen.


Datenschutzrechtliche Freigabe (nach § 7 LDSG):
Eine datenschutzrechtliche Freigabe ist nur bei denjenigen IT-Verfahren erforderlich, die personenbezogene Daten verarbeiten. Es sind die technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung n vorher zu testen, die Testergebnisse sind zu dokumentieren, und das Verfahren kann danach datenschutzrechtlich freigegeben werden.
Dieser Freigabeprozess ist ein funktionaler Test, bezogen auf die technischen und – soweit geeignet möglich – die organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung. Daneben ist auch die Umsetzung der Informationssicherheitsmaßnahmen zu überprüfen. Daher sind auch an diesem Freigabeprozess die Rollen 1 Bedarfsträgerin sowie 2B Fach-Verantwortung (Sicht datenverarbeitende Stelle) maßgeblich zu beteiligen.


Kassenrechtliche Freigabe:
IT-Verfahren, die eine Schnittstelle zum Zahlungsverkehr haben, müssen zusätzlich die beschriebenen Freigabeprozesse der Bestimmungen über die Mindestanforderungen für den Einsatz automatisierter Verfahren im Haushalts-, Kassen- und Rechnungswesen des Landes Schleswig-Holstein durchlaufen.


Verschlusssachen Freigabe:
IT-Verfahren, die dazu dienen sollen, Verschlusssachen zu verarbeiten, müssen zusätzlich hinsichtlich der Anforderungen aus der Verschlusssachenanweisung (VSA-SH) überprüft und freigegeben werden.


Systemtechnische Freigabe:
Eine systemtechnische Freigabe des Einsatzes eines IT-Verfahrens in einer standardisierten Arbeitsumgebung (Standard-IT SH) bezieht sich darauf, dass das Verfahren störungsfrei (= darf die übrigen dort im Einsatz befindlichen Verfahren nicht stören) auf den Standard-IT-Arbeitsplatz gebracht und dort genutzt werden kann. Eine solche systemtechnische Freigabe müssen alle IT-Verfahren durchlaufen, die auf den Standard-IT-Arbeitsplatz gebracht und dort genutzt werden sollen.
Die Vorgabe für eine solche systemtechnische Freigabe (was und wie ist zu testen) muss von der für die standardisierte Arbeitsumgebung zuständigen IT-Verantwortung kommen.


Phase: Entwicklung, Test, Einführung



Rolle 1: Bedarfsträgerin



Ausprägung: B - Beratung



Aufgaben

Erläuterungen

Bedarfsäußerung   

Nach der Mitwirkung bei der Freigabe des Pflichtenheftes in der Phase Konzeption ist nun die Entwicklung des IT-Verfahrens zu begleiten. Dies erfolgt hinsichtlich der rechtlichen, tatsächlichen und/oder auch IT-technischen Notwendigkeiten.


Die Entwicklung wird dabei durch die Rolle 9 Entwicklung durchgeführt und seitens der Rolle 2A IT-Verantwortung gesteuert.


Die Rolle 1 Bedarfsträgerin „beantwortet Fragen“ und gibt Hinweise.


Die Rolle 1 Bedarfsträgerin kann beratend bei der Freigabe des IT-Verfahrens mitwirken aus ihrer Bedarfssicht.



Phase: Entwicklung, Test, Einführung



Rolle 2A: IT-Verantwortung



Ausprägung: V - Verantwortung



Aufgaben

Erläuterungen

Verantwortliche Steuerung   

Die verantwortliche Steuerung bezieht sich in dieser Phase auf


Pflege einer ITM beim ZIT SH (Finanzmanagement)


Fortsetzung der Haushaltsplanung für die ITM


Fortschreibung des Business Case und IT-WiBe


Bedarfsgerechte Einbindung der Rolle 2B Fach-Verantwortung, damit die Rolle 2B Fach-Verantwortung bei der rechtlich-fachlichen Beurteilung der Entwicklung verantwortlich mitwirken kann.


Bedarfsgerechte Information der Rolle 3 Bedarfskommunikation über den Verlauf der Phase Entwicklung und Einführung und über die Freigabe des Produktivbetriebs.


Bedarfsgerechte Information der Rolle 4 Anforderungsmanagement über den Verlauf der Phase Entwicklung und Einführung und über die Freigabe des Produktivbetriebs.


Bedarfsgerechte Einbindung der Rollen 5 Anforderungsbeschreibung und Rolle 6 Anforderungsbeschreibung Organisation, damit die Rollen 5und 6 ihre beratende Aufgabe in der Phase Entwicklung und Einführung wahrnehmen können.


Bedarfsgerechte Information der Rolle 7 Konzeptionsmanagement über den Verlauf der Phase Entwicklung und Einführung und über die Freigabe des Produktivbetriebs.


Bedarfsgerechte Einbindung der Rolle 8 Konzepterstellung, damit das Wissen aus der Phase Konzeption in die Phase Entwicklung und Einführung einfließen kann.


Entscheidung, ob und inwieweit die Rolle 9 Entwicklung durch eigenes Personal der Verwaltung oder durch IT-Dienstleister wahrgenommen werden soll.


Beauftragung der Rolle 9 Entwicklung mit der Durchführung der Phase Entwicklung. Dies kann entweder Implementation einer gekauften Lösung sein („Buy“) oder Entwicklung einer eigenen Lösung („Make“).


Entscheidung, wer die Rolle 11 Fachliches Verfahrensmanagement (FVM) übernehmen soll – eigenes Personal (dann ist auch festzulegen, wer) oder IT-Dienstleister, insbesondere Dataport.


Entscheidung, wer die Rolle 12 Anwenderbetreuung (Support) übernehmen soll.


Steuerung der Phase Entwicklung und Einführung nach folgendem Ablauf einschließlich Verhandeln und Abschließen der zugehörigen Vertragslage:



Implementation einer gekauften Lösung („Buy“)



Umsetzung, ggf. Anpassung der Konzeptlage



Erstmalige Herstellung der Betriebsbereitschaft



Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO



Abnahme



Freigabe(n)



Entwicklung und Implementation einer eigenen Lösung sein („Make“)



Erstmalige Herstellung der eigenen Lösung für die Betriebsbereitschaft



Umsetzung, ggf. Anpassung der Konzeptlage



Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO



Abnahme



Freigabe(n)


Zur erstmaligen Herstellung der Betriebsbereitschaft gehören insbesondere:


Initiale Einrichtung von Benutzungs- und Zugriffsrechten


Initiale Einrichtung von administrativen oder konfigurativen Einstellungen


Initiale Konfiguration von Standards, Layoutvorgaben


Übergabe des beschriebenen betriebsreifen IT-Vorhabens einschließlich der Beschreibung zur Verwaltungs- und IT-Organisation an die Konformitätsprüfung:


Bei erfolgreicher Prüfung: Start der Betriebsphase


Bei Prüfung mit Nachbesserungsbedarf: Aktualisierung des beschriebenen betriebsreifen IT-Vorhabens einschließlich der Beschreibung zur Verwaltungs- und IT-Organisation mit den beteiligten Rollen

Gewährleistung der Maßnahmen für Datenschutz
und zur Datensicherheit

insbesondere nach Art. 32 DSGVO i. V. m. Art. 4 Nr. 12 DSGVO und Art. 5 Abs. 1 Buchstabe f DSGVO

Verzeichnis der Verarbeitungstätigkeiten

Herzustellen ist im Benehmen mit den beteiligten Stellen das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO.


Das Verzeichnis der Verarbeitungstätigkeiten ist aktuell zu halten.

Verfahrensdokumentation / Rechenschaftspflicht

Herzustellen und aktuell zu halten ist nach Art. 5 Abs. 2 DSGVO die Verfahrensdokumentation. Dies gilt für alle IT-Vorhaben/-Verfahren, unabhängig davon, ob sie personenbezogene Daten enthalten oder nicht. Die Verfahrensdokumentation muss gleichzeitig geeignet sein, die Mindestangaben für den Nachweis über das bewegliche Vermögen gemäß Landeshaushaltsordnung (VV zu § 73 LHO) bereit zu stellen.

Verfahrenstest

Dazu gehört die Verantwortung für Konzeption, Durchführung und Auswertung der Tests einschließlich der zugehörigen Testdokumentation. Die datenverarbeitenden Stellen im Kontext der Rolle 2B Fach-Verantwortung sind in die Testdurchführung einzubinden, die Rolle 2B Fach-Verantwortung in ihrem rechtlich-fachlichen Kontext einzubinden.


Der erfolgreiche Test ist Grundlage für die Freigabe, und diese wiederum Voraussetzung für den Übergang in den Produktivbetrieb.


Test und Freigabe können in einem gestuften Verfahren erfolgen. In jeder Stufe können der Test und die Freigabe auf die geplante Verarbeitung personenbezogener Daten begrenzt werden und sind dann Aufgabe der datenverarbeitenden Stellen. Die kombinierten oder ergänzten Tests sind gemäß Absatz 1 zu dokumentieren.


Der Themenkomplex Barrierefreiheit ist zu berücksichtigen.


Der Themenkomplex Informationssicherheit ist zu berücksichtigen.

Datenschutz-Folgenabschätzung

Hier liegt die Verantwortung für die Durchführung der Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO.

Mitbestimmung

Hier liegt die Verantwortung für die Beteiligung der zuständigen Mitbestimmungsgremien.

Abnahme

Hier liegt die Verantwortung für die fachliche Abnahme der durch die Rolle 9 Entwicklung erbrachten Leistungen, entsprechend der Vertragslage zwischen Auftraggeberin - immer Landesverwaltung – und Auftragnehmerin - Landesverwaltung oder Dataport oder andere IT-Dienstleister.

Freigabe

Hier liegt die Verantwortung für die Freigabe gemäß § 7 LDSG.

Management von Verfahrensmängeln

Hier liegt die Verantwortung für die Information der beteiligten Stellen über bekannt gewordene Verfahrensmängel und die voraussichtliche Dauer der Mängelbeseitigung.

Verantwortlicher nach Art. 4 Nr. 7 DSGVO

Diese Verantwortung beinhaltet die Zuständigkeit für die Einhaltung der Vorschriften der DSGVO und anderer Vorschriften über den Datenschutz. Rechte der Betroffenen sind dieser Stelle gegenüber geltend zu machen.



Phase: Entwicklung, Test, Einführung



Rolle 2B: Fach-Verantwortung



Ausprägung: Entwicklung: V - Verantwortung (Recht); B - Beratung (Daten)



Test: B - Beratung (Recht); D - Durchführung (Daten)



Einführung: B - Beratung (Recht); D - Durchführung (Daten)



Aufgaben

Erläuterungen

Nutzungsanforderungen

Die Nutzungsanforderungen sind in der Phase Entwicklung zu erproben: WIE wird die konkrete Nutzung der künftigen IT-Lösung funktionieren?


Die Rolle 2B Fach-Verantwortung (Recht) gibt rechtlich-fachliche Hinweise beziehungsweise macht im Bedarfsfall auch verantwortlich entsprechende Vorgaben.


Die Rolle 2B Fach-Verantwortung (Daten) testet gemäß Testkonzept und gibt Rückmeldungen zu den Testergebnissen an die Rolle 2A IT-Verantwortung; diese steuert die Konsequenzen aus den Rückmeldungen bei der Rolle 9 Entwicklung ein.


Die Rolle 2B Fach-Verantwortung (Recht und Daten) wirken insofern mit bei der Abnahme der IT-Lösung und stimmt damit aus ihrer Nutzerinnensicht heraus zu, dass die IT-Lösung ihre Anforderungen an die Nutzung des künftigen IT-Verfahrens komplett und detailliert erfüllt.

IT-Organisation und Verwaltungsorganisation

Die in der Verwaltung erforderlichen Maßnahmen zur Vorbereitung des produktiven Betriebes, die beschrieben sind in


Organisationskonzept


Schulungskonzept


Rechte- und Rollenkonzept


müssen umgesetzt werden und sich in Aufbau- und / oder Ablauforganisation niederschlagen.



Phase: Entwicklung, Test, Einführung



Rolle 3: Bedarfskommunikation



Ausprägung: I - Information



Aufgaben

Erläuterungen

Begleitung   

Die Rolle 3 Bedarfskommunikation wird durch die Rolle 2A IT-Verantwortung informiert über den Verlauf der Phase Entwicklung, Test, Einführung und über die Abnahme und Freigabe des IT-Verfahrens.


Die Rolle 3 Bedarfskommunikation kann so ihre Abstimmungs- und Abgleichfunktion wahrnehmen und darauf hinwirken, dass die IT-Bedarfe in ihrem Bereich angemessen bearbeitet werden.



Phase: Entwicklung, Test, Einführung



Rolle 4: Anforderungsmanagement



Ausprägung: I - Information



Aufgaben

Erläuterungen

Informationsaufnahme als Grundlage
für das Management der Rollen 5 und 6

Diese Rolle wird hinsichtlich der Entwicklung für die unterschiedlichen IT-Bedarfe, in die die Rollen 5 Anforderungsbeschreibung und Rollen 6 Anforderungsbeschreibung Organisation jeweils beratend eingebunden sind, informiert und auf dem Laufenden gehalten, damit sie ihre Managementaufgabe hinsichtlich Einsatz der Rollen 5 und 6 wahrnehmen kann.



Phase: Entwicklung, Test, Einführung



Rolle 5: Anforderungsbeschreibung



Ausprägung: B - Beratung



Aufgaben

Erläuterungen

Beratung   

Die Rolle 5 Anforderungsbeschreibung hat in der Phase Anforderung Detailwissen aufgebaut. Sie hat mit diesem Wissen das Lastenheft erstellt mit dem Fokus auf der künftigen IT-Lösung. Mit diesem Wissen berät sie nun die Rolle 2A IT-Verantwortung und die Rolle 9 Entwicklung.



Phase: Entwicklung, Test, Einführung



Rolle 6: Anforderungsbeschreibung Organisation



Ausprägung: B - Beratung



Aufgaben

Erläuterungen

Beratung   

Die Rolle 6 Anforderungsbeschreibung Organisation hat in der Phase Anforderung Detailwissen aufgebaut. Sie hat mit diesem Wissen das Lastenheft erstellt mit dem Fokus auf der künftigen IT-Organisation und Verwaltungsorganisation. Mit diesem Wissen berät sie nun die Rolle 2A IT-Verantwortung und die Rolle 9 Entwicklung.



Phase: Entwicklung, Test, Einführung



Rolle 7: Konzeptionsmanagement



Ausprägung: Entwicklung: B - Beratung



Test: B - Beratung



Einführung: I - Information



Aufgaben

Erläuterungen

Begleitung   

Die Rolle 7 Konzeptionsmanagement wird durch die Rolle 2A IT-Verantwortung informiert über den Verlauf der Phase Entwicklung, Test, Einführung und über die Abnahme und Freigabe des IT-Verfahrens.


Die Rolle 7 Konzeptionsmanagement kann so ihre IT-konzeptionelle Funktion wahrnehmen und weiterhin darauf hinwirken, dass IT-strategische Belange berücksichtigt werden (Nutzung von Standard IT-SH, Ausrichtung an der IT-Strategie, ...).



Phase: Entwicklung, Test, Einführung



Rolle 8: Konzepterstellung



Ausprägung: D - Durchführung



Aufgaben

Erläuterungen

Beratung

Die Rolle 8 Konzepterstellung hat in der Phase Konzeption Detailwissen aufgebaut. Sie hat mit diesem Wissen die Konzeption erstellt mit dem Fokus auf der künftigen IT-Lösung. Mit diesem Wissen berät sie nun die Rolle 2A IT-Verantwortung und die Rolle 9 Entwicklung.

Durchführung   

Je nach Bedarf schreibt diese Rolle die Konzepte, die in der Phase Konzeption initial fertiggestellt wurden, fort.



Phase: Entwicklung, Test, Einführung



Rolle 9: Entwicklung



Ausprägung: D – Durchführung



Implementation einer gekauften Lösung („Buy“)



Aufgaben

Erläuterungen

Umsetzung der Konzeptlage mit unmittelbarem
Bezug auf die IT-Lösung

Die durch die Rolle 8 Konzepterstellung in der Phase Konzeption erstellten Konzepte sind durch die Rolle 9 Entwicklung nun hinsichtlich der IT-Lösung umzusetzen.

Zuarbeit für die Datenschutz-Folgenabschätzung
gemäß Art. 35 DSGVO

Durch die Rolle 9 Entwicklung sind die notwendigen Unterlagen zu erstellen, damit auf dieser Grundlage die Rolle 2A IT-Verantwortung die Datenschutz-Folgenabschätzung durchführen kann.

Test

Die durch die Rolle 8 Konzepterstellung in der Phase Konzeption erstellten Testkonzepte sind durch die Rolle 9 Entwicklung in Zusammenarbeit mit der Rolle 2B Fach-Verantwortung anzuwenden. Die Rolle 2 B Fach-Verantwortung (Daten) führt die Anwendungstests durch und meldet für ihren Testbereich die Ergebnisse zurück (Test erfolgreich, Test mit Einschränkungen erfolgreich, Test nicht erfolgreich). Die Rolle 9 Entwicklung dokumentiert diese Ergebnisse.

Abnahme

Die Testergebnisse sind auszuwerten. Durch die Rolle 9 Entwicklung sind daraus die vertragsgemäß erbrachten Leistungen zu dokumentieren, damit auf dieser Grundlage die Rolle 2A IT-Verantwortung die Abnahme erklären kann und damit bestätigt, dass die vertraglich geschuldete Leistung erbracht wurde.

Freigabe

Die Testergebnisse sind auszuwerten. Durch die Rolle 9 Entwicklung sind daraus die notwendigen Unterlagen zu erstellen, damit auf dieser Grundlage die Rolle 2A IT-Verantwortung die datenschutzrechtliche Freigabe erklären kann.



Entwicklung und Implementation einer eigenen Lösung („Make“)



Aufgaben

Erläuterungen

Herstellung der eigenen Lösung

Durch die Rolle 9 Entwicklung ist die eigene Lösung entsprechend den Vorgaben des Pflichtenheftes zu programmieren.

Umsetzung der Konzeptlage

Die durch die Rolle 8 Konzepterstellung in der Phase Konzeption erstellten Konzepte sind durch die Rolle 9 Entwicklung nun hinsichtlich der IT-Lösung umzusetzen.

Zuarbeit für die Datenschutz-Folgenabschätzung
gemäß Art. 35 DSGVO

Durch die Rolle 9 Entwicklung sind die notwendigen Unterlagen zu erstellen, damit auf dieser Grundlage die Rolle 2A IT-Verantwortung die Datenschutz-Folgenabschätzung durchführen kann.

Test

Die durch die Rolle 8 Konzepterstellung in der Phase Konzeption erstellten Testkonzepte sind durch die Rolle 9 Entwicklung in Zusammenarbeit mit der Rolle 2B Fach-Verantwortung anzuwenden. Die Rolle 2 B Fach-Verantwortung (Daten) führt die Anwendungstests durch und meldet für ihren Testbereich die Ergebnisse zurück (Test erfolgreich, Test mit Einschränkungen erfolgreich, Test nicht erfolgreich). Die Rolle 9 Entwicklung dokumentiert diese Ergebnisse.

Abnahme

Die Testergebnisse sind auszuwerten. Durch die Rolle 9 Entwicklung sind daraus die vertragsgemäß erbrachten Leistungen zu dokumentieren, damit auf dieser Grundlage die Rolle 2A IT-Verantwortung die Abnahme erklären kann und damit bestätigt, dass die vertraglich geschuldete Leistung erbracht wurde.

Freigabe

Die Testergebnisse sind auszuwerten. Durch die Rolle 9 Entwicklung sind daraus die notwendigen Unterlagen zu erstellen, damit auf dieser Grundlage die Rolle 2A IT-Verantwortung die datenschutzrechtliche Freigabe erklären kann.



Ergebnis der Phase „Entwicklung, Test, Einführung“ ist das betriebsreife IT-Vorhaben einschließlich der „betriebsreifen IT-Organisation und Verwaltungsorganisation entsprechend den Konzepten aus der Phase Konzeption. Der Business Case ist fortgeschrieben. Das IT-Vorhaben kann jetzt produktiv eingesetzt werden und wird damit zum IT-Verfahren.



10.


Tabelle 9: Betrieb (Service Operation) und laufende Optimierung der IT-Services (Continual Service Improvement)




IT-Vorhaben/-Verfahren
Phasen →
Rollen ↓

Betrieb

1

Bedarfsträgerin

B

2A

IT-Verantwortung

V
(Ordnungsmäßigkeit)

2B   

Fach-Verantwortung

V; D
(Recht); (Daten)

3

Bedarfskommunikation

I

4

Anforderungsmanagement


5

Anforderungsbeschreibung


6

Anforderungsbeschreibung Organisation


7

Konzeptionsmanagement


8

Konzepterstellung


9

Entwicklung


10

Technisches
Verfahrensmanagement
(TVM)

D

11

Fachliches
Verfahrensmanagement
(FVM)

D

12

Anwenderbetreuung
(Support)

D


Phasen-Ergebnis

produktiv laufendes IT-Verfahren -
reibungslos und zu allseitiger Zufriedenheit



Ziel der Phase Betrieb ist der laufende Produktivbetrieb und damit die Nutzung des IT-Verfahrens.



Für die Betriebsorganisation und auch für die Zusammenarbeit mit einem oder mehreren IT-Dienstleistern (Outsourcing) können IT-Vorhaben/-Verfahren-spezifische Rollen der IT-Organisation und der Verwaltungsorganisation gebildet und beschrieben werden.



Diese ergänzen dann für die IT-Vorhaben/-Verfahren die in dieser Rahmenvorgabe beschriebenen Standardrollen ITSH.



Die unterschiedlichen Betriebsmodelle sind dabei durch Besonderheiten geprägt.



Outsourcing, externer Betrieb:



Outsourcing ist für den Betrieb von IT-Verfahren gängig. Mit dem Betrieb wird grundsätzlich Dataport als der zentrale IT-Dienstleister der Landesverwaltung beauftragt.



Bei der Beauftragung muss darauf geachtet werden, dass die Verantwortung für die Betriebsaufgaben auf Seiten der Landesverwaltung bei der verfahrensverantwortlichen Stelle (ITV) als Auftraggeberin bleibt und nicht abgegeben werden kann:



Die ITV beauftragt Dataport mit dem Richtigen – der Auftrag ist richtig.


Lediglich die Verantwortung für die auftragsgemäße, operative Durchführung der Arbeiten liegt auf Seiten der Auftragnehmerin:



Dataport führt das Beauftragte operativ richtig aus – die Ausführung des Auftrags ist richtig.


Dies gilt analog für die Beauftragung anderer Dienstleister.



Grundlage für den Betrieb ist ein EVB-IT-Vertrag.



Interner Betrieb:



Die bei Outsourcing beschriebene Rollenverteilung gilt analog auch, wenn innerhalb der Landesverwaltung eine Stelle in der Aufbauorganisation die Rolle ITV wahrnimmt und eine andere Stelle in der Aufbauorganisation die operative Durchführung des IT-Betriebs, also zum Beispiel das technische Verfahrensmanagement (TVM) für einen eigenen Server in der eigenen örtlichen Systemumgebung nach den Vorgaben der ITV ausführt.



Grundlage für den Betrieb ist eine IT-Organisationsregelung, ggf. ergänzt durch eine Verwaltungsorganisationsregelung.



Besondere Aufgabenverteilung in der Betriebsphase:



Während der Betriebsphase kann und wird es zu Änderungsbedarfen am laufenden IT-Verfahren kommen. Für diese Bedarfe beginnt dann das Durchlaufen der Phasen letztlich wieder von vorn. Nun aber kommen weitere Wissensträger hinzu, die es erst in der Betriebsphase gibt, nämlich



Rolle 10 Technisches Verfahrensmanagement (TVM)


Rolle 11 Fachliches Verfahrensmanagement (FVM)


Rolle 12 Anwenderbetreuung (Support).


In diesem Sinne ist nachstehend das Rollenmodell „Standardrollen ITSH“ im Überblick für das erneute Durchlaufen der Phasen konkretisiert.



Tabelle 10: Besondere Aufgabenverteilung in der Betriebsphase:




IT-Vorhaben/
IT-Verfahren
Phasen →
Rollen ↓

IT-Bedarf

Anforderungen

Konzeption

Entwicklung,
Test,
Einführung

Betrieb

1

Bedarfsträgerin

V

B

B

B

B

2A

IT-Verantwortung


V

V

V

V
(Ordnungsmäßigkeit)

2B   

Fach-Verantwortung


V
(Recht)

V
(Recht)

V; D
(Recht); (Daten)

V; D
(Recht); (Daten)

3

Bedarfskommunikation

D

I

I

I

I

4

Anforderungsmanagement

I

B

I

I


5

Anforderungsbeschreibung


D

B

B


6

Anforderungsbeschreibung Organisation


D

B

B


7

Konzeptionsmanagement


B

B

I


8

Konzepterstellung



D

B


9

Entwicklung




D


10

Technisches
Verfahrensmanagement
(TVM)

B

B

B

B

D

11

Fachliches
Verfahrensmanagement
(FVM)

B

B

B

B

D

12

Anwenderbetreuung (Support)

B

B

B

B

D


Phasen-Ergebnis

IT-Bedarfsbeschreibung

Lastenheft, also das „WAS“

detailliert beschriebenes
IT-Vorhaben inkl.
Pflichtenheft, also das
„WIE und WOMIT“

betriebsreifes IT-Vorhaben
einschließlich IT- und
Verwaltungsorganisation

produktiv laufendes
IT-Verfahren -
reibungslos und zu
allseitiger Zufriedenheit



Phase: Betrieb



Rolle 1: Bedarfsträgerin



Ausprägung: B - Beratung



Aufgaben

Erläuterungen

Beratung

Die Bedarfsträgerin berät nun, da das gewünschte IT-Verfahren produktiv ist, die Rolle 2A IT-Verantwortung und die Rolle 2B Fach-Verantwortung hinsichtlich der Nutzung entsprechend dem Business Case.


Soweit die Rollen 1 Bedarfsträgerin und 2B Fach-Verantwortung zusammenfallen, dann nutzt die Rolle 1 Bedarfsträgerin das IT-Verfahren auch selbst.

Änderungsbedarf   

Die Bedarfsträgerin muss beobachten, ob und inwieweit das IT-Verfahren immer noch hinsichtlich der rechtlichen, tatsächlichen und/oder auch IT-technischen Notwendigkeiten bedarfsgerecht arbeitet.


Die Bedarfsträgerin muss erkannten Änderungsbedarf an die Bedarfskommunikation kommunizieren.



Phase: Betrieb



Rolle 2A: IT-Verantwortung



Ausprägung: V - Verantwortung (Ordnungsmäßigkeit)



Aufgaben

Erläuterungen

Verantwortliche Steuerung des
laufenden Betriebs

Die verantwortliche Steuerung bezieht sich in dieser Phase auf:



Pflege der ITM beim ZIT SH (Finanzmanagement)



Fortsetzung der Haushaltsplanung für die ITM



Bei externer Dienstleistung Überprüfung der Leistungserbringung und der Einhaltung von eventuellen SLAs



Ordnungsgemäße Dokumentation der Nutzung des IT-Verfahrens



Veränderung von Benutzungs- und Zugriffsrechten


Veränderung von administrativen oder konfigurativen Einstellungen


Anpassungen an Standards, Layoutvorgaben


Nachziehen von organisatorischen Änderungen


Pflege der Verfahrensdokumentation gemäß Art. 5 Abs. 2 DSGVO und damit gleichzeitig Pflege des Nachweises über das bewegliche Vermögen gemäß Landeshaushaltsordnung (VV zu § 73 LHO)


... ... ...



Prüfung/Verfolgung der Einhaltung der Ordnungsmäßigkeit des IT-Verfahrens



Beratung und Koordinierung der Anforderungen der Verwaltung,



Planung, Beauftragung und Steuerung der Umsetzung von IT-Maßnahmen durch IT-Dienstleister, im Regelfall Dataport,



Vertragsmanagement für dieses IT-Vorhaben/-Verfahren einschließlich Finanzierung und Controlling, Dokumentationen und Weiterentwicklung



Prüfung/Verfolgung der Einhaltung der IT-organisatorischen Regularien



Prüfung/Verfolgung der Einhaltung der verwaltungsorganisatorischen Regularien



Bedarfsgerechte Aktualisierung des Business Case und IT-WiBe (Erfolgskontrolle)



Fortschreibung der Konzepte entsprechend den Veränderungen aus dem laufenden Betrieb

Verantwortliche Steuerung des Change
Managements für das IT-Vorhaben/-
Verfahren

Die Rolle 2A IT-Veranwortung muss sich um die Umsetzung erkannter Änderungsbedarfe (Request for Change – RfC) hinsichtlich des IT-Verfahrens kümmern.


Die Änderungsbedarfe können aus verschiedenen Perspektiven ausgelöst sein:


1.

Rechtlich-fachlich (dann hat die Bedarfsträgerin des IT-Vorhabens/-Verfahrens diesen geänderten Bedarf)


2.

Funktional (dann sind die datenverarbeitenden Stellen dafür Bedarfsträgerinnen, weil das IT-Verfahren für die Nutzung verbessert werden soll, und so weiter)


3.

Verfahrensverantwortlich (dann hat die Rolle 2A IT-Verantwortung selbst den Änderungsbedarf, weil etwa das IT-Verfahren nicht mehr finanziert werden kann, der Business Case nicht mehr gehalten werden kann, und so weiter


4.

IT-fachlich (dann ist eine übergreifende Stelle der IT-Leistungserbringung dafür Bedarfsträgerin, weil sich zum Beispiel die IT-Architektur grundsätzlich ändern soll, da die IT-strategischen Vorgaben geändert wurden, und so weiter)


Die Änderungsbedarfe gehen unmittelbar beziehungsweise über die bedarfsgerechte Einbindung der Rolle 3 Bedarfskommunikation an die Rolle 2A IT-Verantwortung.


Wenn mehrere Änderungsbedarfe am IT-Verfahren bestehen, die nicht zeitgleich umgesetzt werden können, priorisiert die Rolle 2A IT-Verantwortung.


Für die Konkretisierung und Umsetzung von Änderungsbedarfen werden alle Lebenszyklusphasen des IT-Vorhabens/-Verfahrens erneut durchlaufen.


Dabei bezieht die Rolle 2A IT-Verantwortung - wie oben beschrieben - die Rollen 1 Bedarfsträgerin, 2B Fach-Verantwortung und 3 Bedarfskommunikation ein.


Da ab der Betriebsphase die Rollen 10 Technisches Verfahrensmanagement (TVM), 11 Fachliches Verfahrensmanagement (FVM) und 12 Anwenderbetreuung (Support) bekannt, besetzt und aktiv sind, bezieht sie diese im Change Prozess in allen Phasen der IT-Leistungserbringung beratend mit ein.


Die Rolle 2A IT-Verantwortung muss für einen begründeten Änderungsbedarf den jeweiligen und erneuten Durchlauf der Phasen steuern und die jeweiligen Entscheidungen treffen.


Dies gilt vergleichbar für die „finale Änderung“, nämlich das Beendigen des IT-Vorhabens/-Verfahrens.

Phase: Betrieb



Rolle 2B: Fach-Verantwortung



Ausprägung: V - Verantwortung (Recht); D - Durchführung (Daten)



Aufgaben

Erläuterungen

Daten verarbeiten   

Gemäß Art. 4 Nr. 2 DSGVO bedeutet ‚Verarbeitung von Daten:



„Verarbeitung“ jedes mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorganges oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie



das Erheben,


das Erfassen,


die Organisation,


das Ordnen,


die Speicherung,


die Anpassung oder Veränderung,


das Auslesen,


das Abfragen,


die Verwendung,


die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung,


die Einschränkung,


das Löschen oder die Vernichtung.



Die datenverarbeitende Stelle im Kontext der Rolle 2B Fach-Verantwortung ist dabei verantwortlich, dass die Datenverarbeitung den


rechtlichen,


tatsächlichen und/oder


IT-technischen



Notwendigkeiten folgt.



Phase: Betrieb



Rolle 3: Bedarfskommunikation



Ausprägung: I - Information



Aufgaben

Erläuterungen

Bedarfskommunikation   

Kommunikation des Änderungsbedarfs am IT-Verfahren an die Rolle 2A IT-Verantwortung.



Phase: Betrieb



Rolle 10: Technisches Verfahrensmanagement (TVM)



Ausprägung: D - Durchführung



Aufgaben

Erläuterungen

Technisches Verfahrensmanagement   

Laufender technischer Betrieb des IT-Verfahrens. Dazu gehört der operative technische Betrieb der vom IT-Verfahren genutzten virtuellen oder physischen Server, des Betriebssystems, ggf. Datenbanksystems und der Anwendungssoftware.


Das technische Verfahrensmanagement wird immer dort wahrgenommen, wo die Technik steht.


Wenn die Technik bei Dataport steht, entspricht die Aufgabenwahrnehmung den Beschreibungen und vertraglichen Festlegungen zum „Technischen Verfahrensmanagement TVM“. Wenn Serverbetrieb bei Dataport beauftragt ist, muss immer auch das TVM von Dataport dazu gebucht werden.


Die Aufgaben des TVM orientieren sich an gängigen Managementmethoden zur IT-Serviceorientierung. Zum TVM können folgende Aufgaben gehören (siehe auch Dataport Service Level Agreement „Technisches Verfahrensmanagement“ allgemeiner Teil (Teil A) – SLA TVM):


Service Management


Capacity Management


IT-Service Continuity Management


Availability Management


Technical Design Architecture


Release & Deployment Management (einschließlich Erstellung und Pflege der Betriebshandbücher)


Service Asset & Configuration Management (einschließlich Dokumentation)


Change Management


Event Management


Incident Management


Problem Management


Access Management


Service Request Management


Die operative Aufgabenerledigung folgt den zugehörigen Konzepten, insbesondere


Datensicherungskonzept (bei Betrieb bei Dataport entsprechend den vereinbarten Bausteinen aus dem RZ-Servicekatalog)

Protokollierung und Dokumentation   
des Betriebs

Die Modifikationen der IT sind zu protokollieren, insbesondere wenn damit Rechteveränderungen verbunden sind. Art und Umfang der Protokollierung folgen den Vorgaben der zugehörigen Konzepte.


Soweit aus der Aufgabenerledigung Änderungen an der bestehenden IT folgen, sind auch die dazu bestehenden Dokumentationen zu pflegen.



Phase: Betrieb



Rolle 11: Fachliches Verfahrensmanagement (FVM)



Ausprägung: D - Durchführung



Aufgaben

Erläuterungen

Fachliches Verfahrensmanagement   

Laufende, IT-fachliche Betreuung des IT-Verfahrens; dies beinhaltet Änderungen im Rahmen der Benutzung des IT-Verfahrens (zum Beispiel wechselnde Berechtigungen), im Rahmen des Change Managements auch Änderungen am IT-Verfahren selbst (Changes, Request für Change RfC).


Die IT-fachliche Betreuung des IT-Verfahrens muss sicherstellen, dass das IT-Verfahren seine Funktionen richtig ausführt


Die IT-fachliche Betreuung setzt dabei die Vorgaben der zugehörigen Konzepte und der Rolle 2A IT-Verantwortung operativ um, insbesondere:


Nutzungskonzept


Rechte- und Rollenkonzept


Konfigurationskonzept


Reorganisationskonzept


Das FVM leistet auch Unterstützung und Beratung der Rollen 2B Fach-Verantwortung, die das IT-Verfahren nutzen, und auch 2A IT-Verantwortung sowie 1 Bedarfsträgerin.

Protokollierung und Dokumentation   

Die Modifikationen innerhalb des IT-Verfahrens (auf Anwendungsschicht) durch das FVM sind zu protokollieren, insbesondere wenn damit Rechteveränderungen verbunden sind.


Art und Umfang der Protokollierung folgen den Vorgaben der zugehörigen Konzepte.


Soweit aus der Aufgabenerledigung Änderungen in der bestehenden IT-Anwendung folgen, sind auch die dazu bestehenden Dokumentationen durch das FVM zu pflegen.



Phase: Betrieb



Rolle 12: Anwenderbetreuung (Support)



Ausprägung: D - Durchführung



Aufgaben

Erläuterungen

Unterstützung der
datenverarbeitenden Stellen   

Die Anwenderbetreuung berät die datenverarbeitenden Stellen bei der unmittelbaren Benutzung des IT-Verfahrens.


Die Anwenderbetreuung muss für ihre Beratung die zugehörigen Konzepte für die Benutzung des IT-Verfahrens sowie Vorgaben der Rolle 2A IT-Verantwortung beachten.



Laufendes Ergebnis der Phase „Betrieb“ ist das reibungslos und zu allseitiger Zufriedenheit laufende IT-Verfahren, das die Erwartungen des Business Case erfüllt.



11.


Diese Rahmenvorgabe tritt am 01.03.2020 in Kraft. Sie wird im Amtsblatt und im Transparenzportal SH veröffentlicht und löst die bisherige Fassung vom 21.03.2017 (Amtsbl. Schl.-H. 2017 S. 398, Gl.Nr. 2015.14) ab.



Diese Rahmenvorgabe wird außerdem im Extranet der Öffentlichen Verwaltung Schleswig-Holstein (SHIP) bereitgestellt.



Diese Rahmenvorgabe ist befristet bis zum 31. Dezember 2024.



Anlage: Übersicht Dokumentation



Anlage



Tabelle 11: Dokumentation gemäß Standard-Rollen ITSH



Dokumentation gemäß Standard-Rollen ITSH

IT-Bedarf

Anforderungen

Konzeption

Entwicklung und Einführung

Betrieb

Business Case

initialer Business Case

Fortscheibung Business Case
u. a. Optimierungspotenziale von Verwaltungsabläufen

Fortscheibung Business Case
u. a. Optimierungspotenziale von Verwaltungsabläufen

Fortscheibung Business Case

Bedarfsgerechte Aktualisierung Business Case

IT-Wirtschaftlichkeitsbetrachtung


initiale IT-WiBe

Fortschreibung IT-WiBe

Fortschreibung IT-WiBe


Vertrag/Vorvereinbarung


ggf. Vertrag / Vorvereinbarung

ggf. Vertrag / Vorvereinbarung

ggf. Vertrag / Vorvereinbarung

externer Betrieb: Vertrag

IT-Organisation


IT-Organisation

IT-Organisation


interner Betrieb: IT-Organisationsregelung

Verwaltungsorganisation


benötigte Verwaltungsorganisation

benötigte Verwaltungsorganisation


interner Betrieb: ggf. ergänzt durch eine Verwaltungsorganisationsregelung

Lasten/Pflichtenheft


Lastenheft (Grobkonzept)

Pflichtenheft (Feinkonzept)



Verfahrensbeschreibung/Konzepte



detailliert beschriebenes IT-Vorhaben:

ggf. Anpassung Konzeptlage

ggf. Anpassung Konzeptlage

Verfahrensbeschreibung



IT-Konzept

Konfigurationskonzept

Datenschutzkonzept

Informationssicherheitskonzept inklusive ggf. fortgeschriebener Schutzbedarfsfeststellung und Risikoanalyse

Test-, Abnahme- und Freigabekonzept

IT-Organisationskonzept

Organisationskonzept

IT-Nutzungskonzept

Schulungskonzept

Dokumentationen




Erstellen der Verfahrensdokumentation; Ordnungsgemäße Dokumentation der Einrichtung des IT-Verfahrens:

Fortschreibung der Verfahrensdokumentation gem. § 7 Abs. 1 LDSG und Art. 5 Abs. 2 DSGVO; Ordnungsgemäße Dokumentation der Nutzung des IT-Verfahrens:

Einrichtung von Benutzungs- und Zugriffsrechten

Veränderung von Benutzungs- und Zugriffsrechte

Veränderung von administrativen oder konfigurativen Einstellungen

Einrichtung von administrativen oder konfigurativen Einstellungen

Nachziehen von organisatorischen Änderungen

Testdokumentation

Anpassungen an Standards, Layoutvorgaben

Abnahmeerklärung

Freigabeerklärungen



 


Abkürzung Fundstelle Diesen Link können Sie kopieren und verwenden, wenn Sie immer auf die gültige Fassung der Vorschrift verlinken möchten:
http://www.gesetze-rechtsprechung.sh.juris.de/jportal/?quelle=jlink&query=VVSH-2015.18-MP-20200227-SF&psml=bsshoprod.psml&max=true