Kurzgutachten
LÄMMkom, Module SH (Sozialhilfe) und HzA (Hilfe zur Arbeit)
der Fa. Lämmerzahl EDV-Systemberatung GmbH, Dortmund

Zeitpunkt der Prüfung

05.04.2002 - 31.07.2002, Nachprüfungen am 09.01.2003, 25.02.2003 und 04.03.2003

Adresse des Antragstellers

Lämmerzahl GmbH

Dr. Dietmar Fox
Lindemannstraße 78
44137 Dortmund
Tel.: 0231 / 17794-0
e-Mail: info@laemmerzahl.de
www.laemmerzahl.de

Adressen des/der Sachverständigen

UIMCert GmbH
Prof. Dr. Reinhard Voßbein
Moltkestraße 19
42115 Wuppertal
Tel. 0202 / 30987-39
e-Mail: certification@uimcert.de
www.uimcert.de

Kurzbezeichnung des IT-Produktes

LÄMMkom, Module SH (Sozialhilfe) und HzA (Hilfe zur Arbeit)
Version 9.0.7.8 i

unter Verwendung des Datenmodells zur Version 9.0.7.8 i vom 10.02.2003 sowie der Parametrisierung vom 10.02.2003.

Systemvoraussetzungen:
Client: Microsoft Windows 95, 98, NT, 2000, XP
Server: Microsoft Windows NT, 2000, XP sowie UNIX
Speicherbedarf: 64 MB Hauptspeicher, 300 MB freie Festplattenkapazität

Angaben zu weiteren Leistungsdaten der Geräte sind der Herstellerdokumentation zu entnehmen.

Benötigte Zusatzprogramme: Datenbanksystem Progress, zur Nutzung der mitgelieferten Briefvorlagen: Microsoft Word ab Version 95 (Schnittstelle zur Dokumentenverwaltung).

Übergabeschnittstellen zu anderen LÄMMkom Programmen (Wohngeld-WG etc.) sind nicht Gegenstand dieses Gütesiegelverfahrens.

Die zuletzt durchgeführte Nachprüfung wurde auf einem Microsoft Windows XP Client, Service Pack 1 (ohne Serveranschluss, Single User) durchgeführt. 

Detaillierte Bezeichnung des IT-Produktes

LÄMMkom ist eine Software, die in verschiedenen Modulen (hier: SH-Sozialhilfe und HzA-Hilfe zur Arbeit) Geschäftsprozesse in der öffentlichen Verwaltung abbildet und unterstützt und zwar insbesondere für die Bereiche Sozialhilfegewährung (einschließlich Verwaltung der Daten von Antragstellerinnen und Antragstellern, Leistungsberechnung, Zahlbarmachung sowie Auswertung und Statistik) und Unterstützung der Hilfe zur Arbeit.

Grundlage der Datenverarbeitung mit LÄMMkom SH/HzA ist die einheitlich gestaltete zentrale Stammdatenerfassung sowie eine entsprechend den nachgesuchten Leistungen der Antragstellerinnen und Antragsteller differenziert ausgestaltete Verarbeitung der für die Leistungsgewährung und -berechnung erforderlichen Daten. Insbesondere im Modul HzA wird die fakultative Erfassung von Freitextdaten als Grundlage für die Arbeitsvermittlung vorgesehen. LÄMMkom SH unterstützt die Bearbeitung von Hilfen zum Lebensunterhalt für Einzelpersonen wie für Bedarfs- und Haushaltsgemeinschaften mit beliebiger Personenzahl sowie Hilfe in besonderen Lebenslagen innerhalb und außerhalb von Einrichtungen und Eingliederungshilfe. Weiterhin ist mit LÄMMkom SH die Bearbeitung von Leistungen der Kriegsopferfürsorge einschließlich der Bescheidung, die Durchführung einer altersabhängigen Gewährung von Landesblindengeld und die Berechnung von Leistungen nach dem Asylbewerberleistungsgesetz möglich. Gewährte Sach- und Geldleistungen sind nach Sachgebieten getrennt jederzeit nachvollziehbar.

Innerhalb der Software LÄMMkom SH erzielte Berechnungsergebnisse (Monats- oder Einzelfallabrechnungen) werden in mitgelieferte Standardbescheide eingefügt oder an eine Textverarbeitungssoftware übergeben, wo eine individuelle Nachbearbeitung erfolgen kann.

Die Software erlaubt die Auswertung des Fallbestandes für beliebige Zeiträume unter Berücksichtigung von soziografischen Aspekten und Kostengesichtspunkten.

In die Software ist eine umfassende und einfach zu bedienende Einnahme- und Ausgabenverwaltung integriert.

Die Anpassung an die bestehende Organisationsstruktur der jeweiligen Behörde erfolgt bei der Installation durch die Firma Lämmerzahl in Abstimmung mit den Verfahrensbetreuern der Behörde. Aktualisierungen und nachträgliche Anpassungen können durch den Verfahrensbetreuer erfolgen. Möglich sind rollenspezifische wie individuelle Festlegungen der Zugriffs- und Verarbeitungsrechte bis auf Datenfeldebene. Auf Grund der Vielzahl der so gegebenen Einstellungsmöglichkeiten ist beim Einsatz der Software für den jeweiligen Einzelfall ein technisch-organisatorisches Einsatzmodell zu entwickeln und anzuwenden. Die in der Produktdokumentation wiedergegebenen Hinweise zur Implementierung eines datenschutzgerechten Einsatzumfeldes sind dabei zu beachten. Ebenso sind für die Sachbearbeiter als Anwender die Benutzerhandbuch-Vorgaben zu beachten, soweit keine systemseitigen technischen Vorgaben bestehen.

Tools, die zur Herstellung des IT-Produktes verwendet wurden

Da die Offenlegung der zur Programmherstellung verwendeten Tools im Rahmen des Zertifizierungsverfahrens fakultativ ist, hat sich der Hersteller entschlossen, hierzu keine Angaben zu machen.

Zweck und Einsatzbereich

Mit dem Verfahren LÄMMkom (Module SH und HzA) werden personenbezogene Daten zur Sachbearbeitung, Hilfeplanung und Zahlbarmachung aller sich aus den Vorschriften des Bundessozialhilfegesetzes (BSHG) und des Asylbewerberleistungsgesetzes (AsylbLG) ergebenden Leistungen erhoben und verarbeitet. Unterstützt wird weiterhin die Gewährung des besonderen Mietzuschusses nach dem Wohngeldgesetz (WoGG), von Leistungen nach dem Kriegsopferfürsorgegesetz (KOFG) und die Erbringung von Landesblindengeld nach dem jeweiligen Landesrecht. Im Modul HzA werden zusätzliche Daten zur Unterstützung der Arbeitssuche erfasst.

Die über das Verfahren verwalteten Leistungen umfassen u.a. Hilfen zum Lebensunterhalt, Hilfe in besonderen Lebenslagen, Krankenhilfe sowie Asylbewerberleistungen.

Neben den o.g. fachspezifischen gesetzlichen Regelungen setzt das Verfahren im Anwendungsbereich BSHG die sozialdatenschutzrechtlichen Regelungen insbesondere in § 35 Sozialgesetzbuch (SGB) I und §§ 67 ff. SGB X um. Im Hinblick auf die Erbringung von Asylbewerberleistungen werden neben der Anwendung des AsylbLG insbesondere die Beachtung der Regelungen des Landesdatenschutzgesetzes (LDSG, z.B. LDSG Schleswig-Holstein - LDSG SH) unterstützt.

Das Verfahren unterstützt die gesetzeskonforme Erstellung von Schriftsätzen (z.B. Bewilligung, Ablehnung von Anträgen, Erstattungsanzeige nach § 107 BSHG) und gesetzlich vorgesehene Auswertungsroutinen (z.B. Datenexport zum Abgleich nach § 117 Abs. 1 BSHG).

Das Verfahren ermöglicht die Auswertung in Form von anonymisierten Statistiken gemäß den gesetzlichen Vorgaben (z.B. §§ 127 ff. BSHG).

Der Einsatz von LÄMMkom SH erfolgt in den Sozialämtern der kreisfreien Städte und der Kreise sowie der angeschlossenen Gemeinden.

Modellierung des Datenflusses

Durch die Software LÄMMkom SH wird der Arbeitsablauf in Sozialämtern abgebildet. Eine Verbindung zwischen verschiedenen Leistungsbereichen ("Ämtern") ist bei dem geprüften Produkt nicht vorgesehen und wird daher im nachstehenden Datenflussdiagramm nicht wiedergegeben.

Im Datenflussdiagramm sind vier Ebenen festzustellen: die erste Ebene umfasst die einzugebenden (Offline-)Daten und Nutzerrechte, die zweite Ebene stellt die Eingabeebene dar, auf der dritten Ebene werden die Berechnungsmodule und auf der vierten Ebene die Ausgabemodule erfasst.

Die in LÄMMkom (Modul SH und HzA) erfassten und verarbeiteten Daten sind im Datenmodell vom 10.02.2003 für die zertifizierte Version abschließend festgelegt. Hierbei sind Freitextfelder grundsätzlich gesperrt. Die Freischaltung von Freitextfeldern kann nur durch den Verfahrensbetreuer erfolgen.

Folgende verwendete Datenarten lassen sich unterscheiden:

Primärdaten

• Basis-Antragstellerdaten (Basisdaten zur Person des Antragstellers, z.B. Name, Geburtsangaben, Anschrift) einschließlich Referenzdaten (z.B. Buchungszeichen)

• Daten zur persönlichen Situation des Antragstellers
• Einkommensdaten des Antragstellers
• Bedarfsdaten
• HzA-Datenfelder (gemäß § 18 f. BSHG)

Sekundärdaten

• Basis-Mitarbeiterdaten

• Zugriffsrechte
• Protokolldaten

Der Zugriff auf und die Auswertung von Protokolldaten ist durch ein technisch-organisatorisches Einsatzmodell festgelegt; Auswertungsroutinen zur Leistungs- und Verhaltenskontrolle der Mitarbeiter sind im Produkt nicht vorgesehen und können durch den Verfahrensbetreuer nicht eingerichtet werden.

Das Produkt unterscheidet zwischen Zwangsfeldern, die auf Grund rechtlicher Rahmenbedingungen oder technischer Erfordernisse (z.B. Namensangabe, Adresse, Bankverbindung bei gewählter Zahlungsart "Überweisung") belegt werden müssen und bedarfsweise zu belegenden Feldern, deren Nutzung von der Erforderlichkeit im Einzelfall abhängig ist. Durch formale wie inhaltliche Plausibilitätsprüfungen (z.B. bzgl. Leistungshöhe, Alter, Haushaltsstellen) und Standardhinterlegungen werden Falscheintragungen vermieden.

Das Verfahren unterstützt die rechtmäßige Erfassung, Speicherung, Übermittlung, Nutzung, Löschung, Sperrung und Anonymisierung der Daten nach den Regelungen der §§ 67a ff. SGB X sowie der §§ 13 ff. LDSG SH, die Beachtung der Anforderungen an die Datensicherheit (§ 78a SGB X, §§ 5, 6 LDSG SH) und die Wahrnehmung der Betroffenenrechte (§§ 81 ff. SGB X, §§ 26 ff. LDSG SH). 

Version des Anforderungskatalogs, die der Prüfung zugrunde gelegt wurde

Anforderungskatalog V 1.0a sowie spezifische Anforderungs- und Bewertungskataloge des Gutachters.

Zusammenfassung der Prüfungsergebnisse

Allgemeine Prüfungsergebnisse

1. Die generellen technisch-organisatorischen Anforderungen gemäß der Anlage zu § 78a SGB X sowie gemäß §§ 5, 6 LDSG SH sind durch das Produkt in der vorgelegten Version 9.0.7.8 i erfüllt. Defizite, die sich beim Einsatz bestimmter Basis-Betriebssysteme ergeben können, werden durch technisch-organisatorische Maßnahmen, die bei der Installation in Kooperation mit der Fa. Lämmerzahl ergriffen werden können, kompensiert (z.B. Texterstellung und Textspeicherung im LÄMMkom-Verfahren unter Nutzung der dort vorgesehenen Sicherungen).

2. Das in der Standardeinstellung ausgelieferte Datenmodell hält zur Beachtung des Erforderlichkeitsgrundsatzes sowie des Prinzips der Datensparsamkeit an und entspricht den materiell-rechtlichen Vorgaben des jeweiligen Leistungsrechts (z.B. Hilfe zum Lebensunterhalt nach §§ 11-25 BSHG). Die im Einzelfall oder standardmäßig gewünschte Erweiterung auf Grund lokaler oder neuer besonderer Umstände ist nur nach Freischaltung durch den Verfahrensbetreuer möglich. Die Beachtung der datenschutzrechtlichen Vorgaben wird in diesem Fall durch Hinweise im Benutzerhandbuch erleichtert.

3. Durch die von Lämmerzahl mit gelieferten Produktdokumentationen sind Informationen für Anwender und Verfahrensbetreuer in einem Umfang verfügbar, der die datenschutzgerechte Anwendung des Verfahrens unterstützt. Verfahrensbetreuer werden in ihre Pflichten zur datenschutzgerechten Administration der Programmumgebung eingewiesen; Sachbearbeiter erhalten Hinweise zur datenschutzgerechten Programmanwendung.

   Ein Muster-Regelwerk zur Gestaltung einer sicheren und datenschutzgerechten Einsatzumgebung rundet die Dokumentation ab.

   Zur Erleichterung der täglichen Arbeit ist die Dokumentation auch in elektronischer Form in das Programm integriert.

 

Ausgleich von nur unzureichend erfüllten datenschutzrechtlichen Anforderungen und bestehenden Datenschutzrisiken

1. Sperrungen einzelner Datenfelder innerhalb eines Datensatzes oder einzelner Personen in einer Bedarfs-/Haushaltsgemeinschaft sind im Produkt bisher nicht vorgesehen. Die Dokumentation enthält eine organisatorische Regelung, welche die Löschung des Gesamtdatensatzes sowie die anschließende Neuerfassung ohne die zu sperrenden Datenfelder/Personen vorsieht. Eine vergleichbare Regelung ist auch zur Löschung der Änderungshistorie der Datensätze vorgesehen.

2. Durch das Produkt ist nicht auszuschließen, dass bei Nutzung der Schnittstellen zu Drittanwendungen (z.B. Textverarbeitung) dort eine unzulässige Weiterverarbeitung erfolgt. Die Dokumentation enthält Hinweise zur Beschränkung des Direktzugriffs zu den Austausch-Dateiverzeichnissen, so dass bei korrekter Anwendung ein Aufruf der Fremdsoftware nur aus der LÄMMkom-Umgebung heraus erfolgen kann.

3. Die Installation des Produktes erfolgt ausschließlich in Zusammenarbeit zwischen der Firma Lämmerzahl und den Verfahrensbetreuern des Kunden, so dass bei der Erarbeitung des konkreten technisch-organisatorischen Einsatzmodells die spezifischen Gegebenheiten in Form einer Risikoanalyse sowohl auf rechtlicher als auch auf technischer Basis Berücksichtigung finden.

Beschreibung, wie das IT-Produkt den Datenschutz fördert

1. Das Produkt erlaubt eine fein gegliederte Zugangsregelung zu den gespeicherten Daten und den zulässigen Verarbeitungsschritten durch den Verfahrensbetreuer. Hierbei sind sowohl individuelle Einstellungen als auch rollenspezifische Vorgaben möglich. So kann der Datenzugriff auf den für den jeweiligen Sachbearbeiter notwendigen und zulässigen Umfang beschränkt werden. Zugriffsrechte werden zeitlich begrenzt. Die Befugnisse für Eingabe, Kenntnisnahme, Änderung und Löschung können durch den Verfahrensbetreuer differenziert zugewiesen werden. Dem Trennungsgebot wird durch Verschiebung der Daten in unterschiedliche Sachgebiete (auch für den Fall der Sperrung bzw. Löschung von Daten) entsprochen.

2. Es erfolgt ein umfassender Passwortschutz beim Zugriff auf die Datenbank. An Passworte werden datenschutzrechtlich qualifizierte Anforderungen gestellt (Länge, Kombination, Alterung, Änderung bei Erstanmeldung). Passworte werden verschlüsselt abgelegt.

3. Auf die Datenbank kann nur durch das Produkt zugegriffen werden; es sind keine Werkzeuge vorhanden, die einen Zugriff durch Fremdsoftware ermöglichen würden.

4. Kopierfunktionen und Auswertungen sind bei der zertifizierten Version darauf beschränkt, dass nur zulässige Datennutzungen im Produkt unterstützt werden. Die Datenbankinhalte werden verschlüsselt abgelegt. Ein Zugriff auf den Schlüssel durch Nichtbefugte wird technisch ausgeschlossen.

5. Im lokalen Speicher befindliche Daten werden beim Schließen der Datenbank gelöscht; die dauerhafte Speicherung in der zentralen Datenbank erfolgt spätestens beim Ausloggen, über eine Zeiteinstellung oder durch Bestätigung des Sachbearbeiters. Ein Transaktionsüberwachungssystem stellt die Integrität der Daten sicher.

6. Das Datenmodell der zertifizierten Programmversion ist abschließend festgelegt. Datensparsamkeit und Datenvermeidung werden dadurch unterstützt, dass das Programm bei nicht unbedingt erforderliche Eingaben ein Übergehen der Eingabefelder zulässt.

7. Daten werden bei Auswertungen automatisch anonymisiert.

8. Das Programm erzeugt revisionsfähige Protokolle, die die Entwicklung der gespeicherten Daten wiedergeben. Es werden Logins und Änderungen in der Datenbank festgehalten und historisch protokolliert.

9. Eine Leistungskontrolle der Mitarbeiter durch Protokollauswertung wird nicht unterstützt.

Mit der Festlegung einer datenschutzkonformen Konfiguration, eines abschließenden Daten- und Funktionsmodells sowie einer ausreichenden Datenschutzdokumentation erfüllt das Produkt die Anforderungen zur Erteilung des Datenschutz-Gütesiegels durch das ULD.