Projektbeschreibung

Im Erzbistum Köln gibt es derzeit eine sehr heterogene IT-Struktur und Ausstattung. Die Möglichkeiten der Zusammenarbeit unterscheiden sich dadurch stark von Seelsorgebereich zu Seelsorgebereich.

Im Projekt wird eine zeitgemäße und einheitliche IT-Struktur geschaffen. Diese umfasst:

  1. Hardware Ausstattung für hauptamtliche Mitarbeitende, die ihrem Beschäftigungs-Umfang entspricht
  2. die Einführung einer modernen, cloudbasierten Plattform für die Bürokommunikation und Zusammenarbeit

Dadurch soll ein Ort für eine digitale und effektive Zusammenarbeit entstehen. Dabei werden die Anforderungen an flexible Strukturen sowie Informationssicherheit und Datenschutz berücksichtigt.

Die Ausstattung der Seelsorgebereiche erfolgt sukzessive ab Dezember 2020. Bis Ende 2022 sollen alle Seelsorgebereiche ausgestattet sein.

Das Vorhaben ist Teil der Gesamt-IT-Strategie und soll dazu beitragen Komplexität zu reduzieren und die Nutzung der digitalen Möglichkeiten auszubauen. 

 

Das Vorhaben verfolgt zwei Ziele:  

  1. (Primärziel): die Verbesserung von Information, Kommunikation und Zusammenarbeit
  2. (Sekundärziel): die Schaffung von flexiblen Strukturen sowie die Verbesserung des Datenschutzes

Dazu sollen bis Ende 2022 alle hauptamtlichen Mitarbeitenden des Erzbistums an zentral geplante und bereitgestellte IT-Services, welche die oben genannten Ziele adressieren, angeschlossen werden. 

 

Den Kern der Plattform für die Bürokommunikation und Zusammenarbeit bildet eine sogenannte „private Cloud“. Dabei handelt es sich um eine „Cloud-Lösung“, welche durch das Erzbistum bereitgestellt und betrieben wird. Die in dieser Lösung gespeicherten Daten befinden sich also im Einflussbereich des Erzbistums und nicht, wie bei einer „public Cloud“ üblich, in der Hoheit von Technologiekonzernen. Die Anforderungen an den Datenschutz (DSGVO / KDG) werden damit bestmöglich adressiert. 

Insgesamt besteht die Lösung aus einer Vielzahl von Komponenten. Nachfolgend ein kleiner Auszug signifikanter Bausteine zur Orientierung: 

Zentrale Komponenten / Infrastruktur im Rechenzentrum: 

  • Netzwerkkomponenten zur Anbindung an das Internet 
  • Server- (Linux und Windows) und Speichersysteme zum Betrieb der Anwendungskomponenten sowie zur zentralen Speicherung der Daten 
  • E-Mail System (Microsoft Exchange) für die Postfächer 
  • „private Cloud“ Lösung (Nextcloud) mit Funktionen Dateihandling (Nextcloud Files); Audio-, Video- und Webkonferenz (Nextcloud Talk); Kalender, Kontakte, Zusammenarbeit (Nextcloud Groupware); Online Textverarbeitung, Tabellenkalkulation, Präsentationen (OnlyOffice) 
  • Softwareverteilung (Baramundi) 
  • Mobile Device Management (Mobile Iron) 
  • Lösungen zur IT-Sicherheit (Schutz vor Bedrohungen im Zusammenhang mit dem Betrieb von Informationstechnologie) 

dezentrale Komponenten auf den Endgeräten: 

  • Desktopcomputer oder Notebooks (Industriestandard, für den geschäftsmäßigen Einsatz) mit dem Betriebssystem Windows10 zzgl. üblicher Peripherie (Tastatur, Maus, Bildschirm) 
  • Microsoft Office Standard (Word, Excel, Powerpoint, Outlook) 
  • Nextcloud Client in Kombination mit OnlyOffice 
  • weitere Software nach Bedarf (PDF, etc. – gemäß Warenkorb) 
  • Smartphones (Android) mit Nextcloud Apps 
  • Nextcloud Apps 
  • weitere Apps nach Bedarf 

Um eine Zusammenarbeit ohne ärgerliche Medienbrüche zwischen den unterschiedlichen Ebenen unseres Erzbistums sicher zu stellen bzw. überhaupt ersteinmal zu ermöglichen, fiel bereits zu Projektbeginn die Entscheidung, eine cloudbasierte IT-Lösung einzuführen. Die Möglichkeit, gemeinsame Daten/Dateien in einem gemeinsamen Laufwerk ablegen zu können, mit den gleichen Softwareprogrammen auf diese zugreifen und verarbeiten zu können, die Möglichkeiten gemeinsamer Kalender und E-Mail-Postfächer einschl. Vertretungs- bzw. Weiterleitungsmöglichkeiten überzeugte alle sowohl im Team als auch in den Entscheidungsgremien unseres Erzbistums.

Die Datenablage auf Laufwerken außerhalb des „eigenen“ PCs/Laptops wirft jedoch die Fragen nach einem sachgerechten Datenschutz auf:

  • Sind die Daten ausreichend vor einem Zugriff Dritter / Unberechtigter geschützt?
  • Ist sichergestellt, dass Daten nicht ohne mein Wissen im Ausland weitergenutzt werden?
  • Wird die Lösung insgesamt den strengen Vorgaben des Katholischen Datenschutzes gerecht?

Das im Juli 2020 vom Europäischen Gerichtshof (EuGH) gefällte Urteil zum sogenannten Privity-Shield-Abkommen der EU mit den USA stellte das Projektteam vor große Herausforderungen. Für den Betrieb der ursprünglich geplante Microsoft 365 - Cloud Lösung hat nach Auskunft des Katholischen Datenschutzzentrums der EuGH die Rechtsgrundlage entzogen. Bereits unmittelbar nach dem Urteil stellte der Projektlenkungsausschuss klar, dass nur eine datenschutzkonforme Lösung zum Einsatz kommen könne. 

Damit musste nach einer Alternative gesucht werden. Und diese haben wir auch gefunden. Während auf der einen Seite (lokal) weiterhin die bekannten Microsoft-Office-Produkte genutzt werden können (Word, Exel, Powerpoint, Outlook) kommt „darunter“ eine deutsche Cloud-Lösung zu Einsatz. Das bedeutet, dass diese Cloud-Lösung ausschließlich auf den Rechnern unseres IT-Dienstleisters ECKD in Köln und Kassel betrieben wird. Nur hier werden auch die Daten gespeichert. Ein Zugriff Dritter ist ausgeschlossen genauso wie die Möglichkeit amerikanischer Dienste auf diese Daten zuzugreifen.

Die damit verbundenen Mehrkosten wurden vom Generalvikar genehmigt und die finanziellen Mittel zur Verfügung gestellt.

 

Es wird zwei Ausstattungsvarianten geben:

Variante 1

Externer Monitor, in den auf der Rückseite ein kleiner Desktop-PC eingeschoben wird, so dass ein mobiler Einsatz möglich wird. Der PC verfügt über einen W-Lan-Anschluss. Komplettiert wird diese Variante mit Tastatur, Maus.

Diese Variante kommt insbesondere in Pastoralbüros sowie bei den Ehrenamtskoordinatoren zum Einsatz.

 

Variante 2

Laptop mit 14“ Monitor einschl. integrierter Kamera, Dockingstationg, externer Monitor, externe Tastatur und Maus.

 

Für einen möglichst reibungslosen Ablauf des RollOuts ist die Mitwirkung der Seelsorgebereiche u.a. bei folgenden Themen erforderlich: 

  • Zentrale Ansprechpartner für die Koordination
  • Information von und Abstimmung mit vorhandenen IT-Dienstleistern
  • Nennung der auszustattenden Mitarbeitenden und der Standorte
  • Angaben zur bisherigen IT-Infrastruktur
  • Ggf. Bereitstellung von Räumlichkeiten zur Lagerung und Ermöglichung des Zutritts für die Mitarbeitenden im RollOut
  • Sichten und aufräumen der vorhandenen Datenbestände
  • Sicherung und Übertragung von Voreinstellungen
  • Bereitstellung eines Internetanschlusses mit einer Mindestbandbreite von 25 Mbit/s 

Roadmap

Das Projekt hat mehrfach die Roll-Out-Planung überarbeitet. Aktuell gilt ein mit den Stadt- und Kreisdechanten abgestimmter Plan:

  • Es wird nur ein Pilotprojekt geben. Dieser Pilot ist der Sendungsraum Grevenbroich/Rommerskirchen
  • Grundsätzlich gilt, dass innerhalb eines Sendungsraumes / eines Seelsorgebereiches immer gleichzeitig die Arbeitsplätze in den Pastoralbüros, den Kitas (Leitung und stv. Leitung), die Seelsorgebereichsmusiker, die Ehrenamtskoordinatoren sowie alle Pastoralen Dienste mit der neuen einheitlichen Hard- und Software ausgestattet werden
  • Um die Vorteile der Zusammenarbeit optimal nutzen zu können, erfolgt der Roll-Out Stadt-/bzw. Kreisdekanatsweise. D.h. nach dem Pilotprojekt erfolgt der weitere Roll-Out innerhalb des Kreisdekantes Neuss
  • Parallel dazu erfolgt ab März 2021 die Ausstattung aller Arbeitsplätze der pastoralen Mitarbeitenden in der kategorialen Seelsorge, d.h. z.B. in den Krankenhäusern, Altenpflegeheimen, in den Haftanstalten
  • Anschließend wird das Kreisdekanat Rhein-Erft ausgestattet. Damit sind dann alle Dekante der Regionalrendantur WEST ausgestattet und nach der parallelen Einführung in der Regionalrendantur WEST ist die Kommunikation innerhalb des Regionalrendanturbereiches gewährleistet
  • Der weitere Roll-Out erfolgt dann im Regionalrendanturraum NORD, d.h. in den Dekanaten Düsseldorf, Mettmann, Solingen, Remscheid und Wuppertal
  • Anschließend erfolgt der Roll-Out im Regionalrendanturraum SÜD, d.h. in den Dekanaten Bonn, Rhein-Sieg-Kreis, Altenkirchen und Euskirchen
  • Den Roll-Out abschließen wird der Regionalrendanturraum Mitte-Ost mit den Dekanaten Köln, Leverkusen, Rheinisch-Bergischer Kreis und schließlich Oberbergischer Kreis

Ziel des Projektes ist es, alle Seelsorgebereiche bis zum 31.12.2022 umgestellt zu haben.

Überbrückung / Feuerwehraktion

Vor dem Hintergrund des bistumsweiten IT-Projekts musste eine Lösung für die Kirchengemeinden gefunden werden, die kurzfristig – z.B. wg. Hardwareausfalls – neue Endgeräte beschaffen müssen. Für sie wurde die „Feuerwehraktion“ ins Leben gerufen. Für welche Arbeitsplätze welche Komponenten beschafft werden können, darüber gibt ein Datenblatt Auskunft. Die Kirchengemeinden verpflichten sich, ausschließlich für die hier vorgesehenen Arbeitsplätze eine Ersatzbeschaffung vorzunehmen und bestätigen dies entweder durch einen Beschluss des KVs/KGVs bzw. durch Unterschrift der Verwaltungsleitung.

In diesen Fällen erhält die Kirchengemeinde den Link zum elektronischen Warenkorb unseres zentralen Dienstleisters Sinell und kann die benötigte Hardware dort bestellen. Die Kirchengemeinde tritt finanziell in Vorleistung. Sobald wir mit dem Projekt auch Ihre Kirchengemeinde einbeziehen, erstatten wir Ihnen die vorgelegten Kosten für die Hardware – nicht so für die die von Ihnen zu finanzierenden Leistungen örtlicher IT-Dienstleister.

Von der Feuerwehraktion bislang ausgeschlossen sind Beschaffungen für pastorale Mitarbeitende.

Die Feuerwehraktion bietet derzeit leider auch keine Lösung für Kirchengemeinden, die eine Serverlösung im Einsatz haben und diesen Server ersetzen müssen. 

Kollaboration

Parallel zur Ausstattung mit Hardware wird die Grundlage für eine moderne, digitale Zusammenarbeit aller Mitarbeitenden im gesamten Erzbistum Köln geschaffen. Die
zu implementierende Plattform adressiert insbesondere die 3K:

- Kommunikation (Austausch von Informationen und Wissen)
- Kooperation (gemeinsame Arbeit an ein und demsetben Produkt)
- Koordination (gemeinsame Abstimmung von Terminen, Ressourcen, Aufgaben)

Es wird eine effektive und flexible Zusammenarbeit aller 0rganisationseinheiten ermöglicht, unabhängig vom Arbeitsort. Die Plattform steht den hauptamtlichen Mitarbeitenden und den Mitarbeitenden der Gremien gleichermaßen zur Verfügung und dient der internen Kommunikation.

 

Die Umsetzung erfolgt in 2 Phasen: 

Phase 1: Konzeption und Implementierung der Grundfunktionen in der Fläche

Phase 2: Ablösung von GVB-Portal und EGV-Portal 

 

FAQ

Support

Nach aktueller Planung steht der Userhelpdesk jeweils Montag bis Freitag zwischen 08:00 und 18:00 Uhr zur Verfügung (ausgenommen bundeseinheitliche Feiertage).

Der Userhelpdesk kann per Telefon oder E-Mail/Serviceportal kontaktiert werden. 

Ein Verlust ist umgehend bekannt zu machen. Ist der Verlust durch einen Diebstahl begründet, so ist dieser bei der Polizei anzuzeigen.

Smartphone:

  • Mobilfunkkarte wird gesperrt
  • Geräte wird deaktiviert/gelöscht
  • Geräte wird im Assetmanagementals „verloren“ gekennzeichnet
  • Bereitstellung Ersatzgerät wird veranlasst

Notebook / Desktop:

  • Geräte wird im Assetmanagement als „verloren“ gekennzeichnet
  • Bereitstellung Ersatzgerät wird veranlasst

Ein Defekt von Geräten kann leider nie ausgeschlossen werden.

  • Sollte ein Gerätedefekt vorliegen, so steht zunächst ein qualifizierter Userhelpdesk zur Verfügung
  • Liegt ein Garantiefall vor, so erfolgt nach Möglichkeit ein Service vor Ort
  • Ersatzgerät wird durch Partner ausgeliefert
  • defektes Gerät wird an Partner eingeschickt; dort erfolgt:
    • Prüfung und Verwendungsentscheidung
    • Reparatur und Aufbereitung / Zuführung zum Gerätepool oder
    • Sachgerechte Datenlöschung und Verwertung

Datenschutz und IT-Sicherheit

Der Schutz personenbezogener Daten wurde mit der Einführung der DSGVO/KDG neu geregelt.

Es sind Maßnahmen zu ergreifen, die:

  • den Zugang zu Daten regeln
  • die Sicherheit von Daten gewährleisten
  • die Verfügbarkeit von Daten sicherstellen

Der Dienstgeber muss deshalb reagieren und geeignete Dienste bereitstellen, die die Anforderungen erfüllen. Die Haftung bleibt beim Träger vor Ort also der Kirchengemeinde; i.d.R. beim Pfarrer oder einem von ihm benannten Datenschutzbeauftragten.

Durch das Konzept der „private Cloud“ liegen die Daten in Rechenzentren-Standorten, in denen die Datenverarbeitung für das Erzbistum Köln stattfindet. Primär handelt es sich dabei um das Rechenzentrum des Erzbistums in Köln.

IT-Sicherheit und Informationssicherheit sind wichtige Voraussetzungen zur Einhaltung der Anforderungen an den Datenschutz.

  • Es werden nur personalisierte Benutzerkonten eingesetzt
  • Benutzerkonten und Berechtigungen werden zentral verwaltet
  • Smartphones werden in einem Mobile Device Management System verwaltet; dieses erlaubt die Deaktivierung/Löschung von Geräten
  • Fest eingebaute Datenträger in Notebooks/Desktops werden verschlüsselt
  • Sicherheitssoftware zur Erkennung von Gefahren und Bedrohungen wird installiert und kontinuierlich aktualisiert
  • Zur Unterstützung der Anwender steht ein Userhelpdesk zur Verfügung

Projekt RollOut

Die Arbeiten vor Ort werden in enger Abstimmung zwischen den Verantwortlichen vor Ort und dem Projektteam durchgeführt.

Vorbereitung

  • allgemeines Informationsgespräch
  • Festlegung des für die Koordination/Durchführung des Rollout Verantwortlichen vor Ort
  • detaillierte Abstimmung der Arbeiten

Durchführung

  • Durchführung der Arbeiten gemäß zuvor festgelegter Planung
  • Besprechung offener Punkte und etwaiger Probleme

Nachbereitung

  • Nachbesprechung (lessonslearned)

An das eingesetzte Equipment bestehen bestimmte Anforderungen (z.B. Tauglichkeit für Enterprise-Betrieb, etc.).

Grundsätzlich wird davon ausgegangen, dass die Ausstattung in Verbindung mit der Bereitstellung von neuem Equipment erfolgt.

Equipment (Notebooks, Desktops), welches im Rahmen der sog. Feuerwehraktion über den definierten Prozess und Warenkorb beschafft wurde, kann im Rahmen des Projektes neu installiert und entsprechend integriert werden.

Damit die Kirchengemeinden vor Ort handlungsfähig bleiben, wurde ein Konzept für einen „lokalen Administrator“ entwickelt.

Der „lokale Administrator“ kann Installationen vor Ort vornehmen. Somit besteht die Möglichkeit Software zu installieren, welche nicht zentral bereitgestellt wird und eine lokale Installation erfordert.

Mit der Installation von Software übernimmt die Funktion „lokaler Administrator“ sämtliche Verantwortung für durch ihn/sie installierte Software:

  • Einhaltung der Lizensierung
  • Einhaltung der Anforderungen an den Datenschutz
  • regelmäßige Durchführung von Softwareaktualisierungen
  • Neuinstallation der Software bei Gerätetausch
  • ausreichende Dokumentation

Lieferanten und Dienstleister wurden basierend auf einem Kriterienkatalog, durch eine beschränkte Ausschreibung in Zusammenarbeit mit der Vergabekontrollstelle ausgewählt.

Die im Projekt erarbeitete Vergabeempfehlung ist durch das Lenkungsteam zu bestätigen.

Art und Umfang der Ausstattung wurden durch die Bereiche Seelsorge (HA 10) und Seelsorge Personal (HA 50) definiert.

Die Ausstattung wurde aufeinander abgestimmt, so dass die Kompatibilität der eingesetzten Software sichergestellt ist.