OZG und Datenschutz – Kommunale Umsetzung in Schleswig-Holstein

Wer ist für was zuständig? Wer ist für was im Sinne des Datenschutzes verantwortlich? Wer hat welche Verpflichtungen?

Ein Artikel von Dr. Thomas Probst (Unabhängiges Landeszentrum für Datenschutz (ULD)) und Frank Weidemann (ITV.SH)

Das OZG

Auf Grundlage des Gesetzes zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (Onlinezugangsgesetz – OZG) hätten Bund und Länder (inklusive Kommunen) alle ihre Verwaltungsleistungen bis Ende 2022 auch elektronisch über ein Verwaltungsportal anbieten müssen. An dieser Stelle muss festgehalten werden, dass das hehre Ziel des Gesetzes bundesweit nicht eingehalten wurde.

Im Vergleich steht Schleswig-Holstein allerdings gut da. Dieser Artikel möchte Licht in den Dschungel verfügbarer Online-und Basisdienste bringen und dabei auf die rechtlichen Verpflichtungen, hier insbesondere auch das Datenschutzrecht, eingehen.

Die Begrifflichkeiten

Der Analogie des Gesetzgebers folgend ist es ratsam, sich erst einmal mit den Begrifflichkeiten rund um das OZG zu beschäftigen. Eine Verwaltungsleistung im Sinne dieses Gesetzes (§ 2 Abs. 3 OZG) ist „die elektronische Abwicklung von Verwaltungsverfahren und die dazu erforderliche elektronische Information des Nutzers und Kommunikation mit dem Nutzer über allgemein zugängliche Netze“.

Der Begriff Verwaltungsverfahren ergibt sich aus dem Verwaltungsverfahrensrecht, das in Schleswig-Holstein im Allgemeinen Verwaltungsgesetz für das Land Schleswig-Holstein (LVwG) geregelt ist. Hier handelt es sich um die Kernaufgabe der öffentlichen Verwaltung, die in der Regel im Erlass eines Verwaltungsaktes (wie z. B. der Ausstellung eines Personalausweises) mündet (vgl. § 74 LVwG). Die damit verbundenen Zuständigkeiten bleiben vom OZG unberührt, das heißt, die örtliche Meldebehörde organisiert ihre sämtlichen Aufgaben auch künftig eigenständig, benutzt dazu Fachverfahren(ssoftware), die sie selbst auswählt, betreibt oder in ihrem direkten Auftrag betreiben lässt (Art. 28 Datenschutz-Grundverordnung (DSGVO)).

Die elektronische Abwicklung von Verwaltungsverfahren (nachfolgend Onlinedienste genannt) hingegen beinhaltet die Bereitstellung elektronischer Formulare über ein öffentliches Netz (Internet), ggf. die Validierung der Formulardaten hinsichtlich Vollständigkeit und Plausibilität sowie das Weiterleiten an die sachlich und örtlich zuständige Behörde.

Hierzu werden zahlreiche weitere Dienste benötigt (nachfolgend Basisdienste genannt), die verfahrensübergreifend sind, beispielsweise ein Portal, Nutzerkonten, Postfächer, Authentifizierungs- oder Bezahldienste. Diese verfahrensübergreifenden Dienste könnten pro Landesbehörde oder Kommune bereitgestellt werden – so wie es in der „Offline-Welt“ pro Kommune eine Poststelle, eine Stadtkasse und Räumlichkeiten für den Publikumsverkehr gibt. In der Online-Welt bietet es sich aber an, diese verfahrensübergreifenden Dienste zentral nur einmal zu implementieren und sie – je nach Zuständigkeit – für das Land und für die Kommunen (hier im Sinne eines Angebotes) zur Nutzung bereitzustellen.

Ein besonders wichtiger Basisdienst ist der Formularservice, der ein elektronisches Formular (z.B. die Erteilung einer gaststättenrechtlichen Erlaubnis) nebst einer Kommunikationsschnittstelle zu den Nutzern bereitstellt, Eingaben validiert (hinsichtlich Vollständigkeit und Plausibilität) und die Formulardaten der jeweils zuständigen Stelle zuleitet – optimaler Weise in einem technischen Format, das die dort verwendete Fachverfahrenssoftware weiterverarbeiten kann.

Aus Sicht der Nutzerinnen und Nutzer besteht ein „Onlineverfahren“ aus sämtlichen Verfahrensschritten von der Beantragung per Formular, der Weiterleitung an die Kommune und dortige Bearbeitung, ggf. Bezahlvorgängen bis hin zu Anlage eines Bescheides in einem elektronischen Postfach.  Aus operativer Sicht zerfallen die Verfahrensschritte aber in zwei Teile (ohne dass den Nutzerinnen und Nutzern dies bewusstwerden muss): Einerseits in Verfahrensschritte, die die Kommune eigenständig bearbeitet – in erster Linie die fachliche Entscheidung. Und andererseits in (größtenteils technisch und organisatorisch geprägte) Verfahrensschritte, die zentral oder durch Dritte für die Kommunen erbracht werden, etwa die Antragsentgegennahmen im Portal (fachspezifische Onlinedienste), Bezahlverfahren und Bescheidzustellung im Postfach (fachlich übergreifende Basisdienste). Nur die beiden letzten Aspekte werden derzeit durch das OZG betrachtet – die fachlich eigenständige Bearbeitung durch die Kommunen oder Fachbehörden ist nicht Regelungsgegenstand.

Sowohl die Basis- als auch die Onlinedienste verarbeiten personenbezogene Daten, mithin gilt das einschlägige Datenschutzrecht.

Die Zuständigkeiten in Schleswig-Holstein

Die Kommunalverwaltungen fungieren als Anbieter aller kommunaler Verwaltungsleistungen. Sie entscheiden im Rahmen der kommunalen Organisationshoheit, inwieweit sie durch das Land zentral bereitgestellte Online- und Basisdienste mitnutzen wollen.

Das Zentrale IT-Management des Landes Schleswig-Holstein (ZIT), aktuell eine Abteilung der Staatkanzlei, stellt Onlinedienste mit Kommunalbezug bereit. Dieses umfasst zunächst einmal die Prüfung, ob es bereits nachnutzbare Onlinedienste „auf dem Markt“ gibt. Hierbei wird es sich dann in der Regel um so genannte EfA-Dienste (Einer für Alle) handeln, die im Auftrag des Bundes oder eines anderen Bundeslandes entwickelt wurden. Soweit erforderlich beauftragt das ZIT dann den Landes-IT-Dienstleister Dataport mit Anpassungen. Für komplett neue Onlinedienste erteilt das ZIT einen entsprechenden Entwicklungsauftrag an Dataport. Die übernommenen bzw. neu entwickelten Dienste werden dann in der Regel im Rechenzentrum bei Dataport im Auftrag des ZIT betrieben. Gegenstand weiterer Überlegungen zu OZG 2.0 ist auch ein bundesweit zentraler Betrieb durch IT-Dienstleister anderer Bundesländer.

Der IT-Verbund Schleswig-Holstein  (ITV.SH) wiederum nimmt seine gesetzlichen Aufgaben wahr, die sich aus dem Gesetz zur Errichtung einer Anstalt öffentlichen Rechts „IT-Verbund Schleswig-Holstein“ (Errichtungsgesetz ITVSH) ergeben. Dabei stellt die im § 3 Abs. 3 Errichtungsgesetz ITVSH formulierte Aufgabe der Unterstützung seiner Träger (also insbesondere alle Ämter, Gemeinden und Kreise des Landes Schleswig-Holstein) bei der Umsetzung des OZG einen besonderen Schwerpunkt der Anstaltstätigkeit dar.

Datenschutzrechtliche Verantwortung für Basis- und Onlinedienste

Die wohl wichtigste Rolle nach der Datenschutz-Grundverordnung ist die des Verantwortlichen, schließlich hat dieser eine Vielzahl Pflichten umzusetzen, die im Kapitel 4 der DSGVO geregelt sind.

Verantwortlicher im Sinne der DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Für die vom ZIT bereitgestellten Basis- und Onlinedienste besteht eine gemeinsame Verantwortung im Sinne des Art. 26 DSGVO zwischen dem Betreiber ZIT und den diese Dienste nutzenden Kommunen. Dieses bedarf einer entsprechenden Vereinbarung, die in transparenter Form die Verpflichtungen der Datenschutz-Grundverordnung, hier insbesondere die des Kapitels 3 (Umsetzung der Rechte der Betroffen, u.a. Informationspflichten) auf die einzelnen Verantwortlichen aufteilt.

Für die betroffenen Dienste wurde die gemeinsame Verantwortung durch Rechtsverordnungen geregelt. Möglich ist dieses aufgrund der entsprechenden Ermächtigung durch § 7 Abs. 3 und 4 Landesdatenschutzgesetz Schleswig-Holstein (LDSG).

Bei den oben genannten Rechtsverordnungen handelt es sich um die

  • Landesverordnung über die zentrale Stelle nach dem Landesdatenschutzgesetz für die vom
    Zentralen IT-Management der Landesregierung Schleswig-Holstein betriebenen Basisdienste (Zentrale-Stelle-Basisdiensteverordnung – ZStBaDiVO) in der Fassung vom 16.11.2020
  • Landesverordnung über die zentrale Stelle nach dem Landesdatenschutzgesetz für die vom
    Zentralen IT-Management der Landesregierung Schleswig-Holstein betriebenen Onlinedienste (Zentrale-Stelle-Onlinediensteverordnung – ZStOnDiVO)
    Diese Verordnung liegt zum Zeitpunkt der Erstellung dieses Artikels als Entwurf in der Version 0.9 vor. Es wird davon ausgegangen, dass die Verordnung unverändert zeitnah in Kraft tritt.

Da beide Rechtsverordnungen im Wesentlichen wortgleich sind, können diese nachfolgend gemeinsam betrachtet werden, wobei zu beachten ist, dass sich die Gültigkeit der Rechtsverordnungen auf die jeweils vom ZIT betriebenen Dienste bzw. deren Dienstanteile beschränkt: Im oben genannten Beispiels der gaststättenrechtlichen Erlaubnis sind dies die Entgegennahme des Antrags und Weiterleitung an die zuständige Kommune, ggf. Bezahlverfahren und Bescheidbereitstellung im Postfach des Portals. Die in der Kommune erfolgenden fachliche Bearbeitung ist nicht Regelungsgegenstand der Verordnung.

Basisdienste des ZIT

Die vom ZIT entsprechend betriebenen Basisdienste sind in der Anlage zur Landesverordnung über die Nutzung der Basisdienste des Landes Schleswig-Holstein (Basisdiensteverordnung- Basisdienste VO) vom 16.11.2020 abschließend aufgeführt. Im Kontext Betrieb der OZG-Onlinedienste sind dabei insbesondere folgende Basisdienste relevant:

  • Nutzerkonto (OSI.Servicekonto) zur Nutzerverwaltung und Authentifizierung
  • Nutzerpostfach (OSI.Servicekonto-Postfach) zur rechtssicheren Kommunikation mit den Bürger:innen
  • Betriebsplattform für digitale Verwaltungsleistungen (OSI.Onlinedienste) für die Bereitstellung von Onlinediensten
  • Zuständigkeitsfinder Schleswig-Holstein (ZuFiSH) zur Ermittlung zuständiger Stellen
  • Zentrales Antrags- und Fallmanagement (AFM) zur Online-Abwicklung von Antragsverfahren
  • Bürgerportal (buergerportal.sh) als Verwaltungsportal im Sinne des OZG
  • Bezahlfunktion (ePayBL-ePayment) als Bezahlkomponente für kostenpflichtige Antragsverfahren.

Hinzu kommt auch das kommunale OSI-Plugin (KOP) als zentraler Baustein für die Verwaltung von Anträgen in der Kommune. Das KOP ist zwar derzeit nicht in der Anlage erwähnt, wird aber trotzdem als weiterer Basisdienst betrachtet und in der nächsten Fassung der Verordnung aufgenommen.

Onlinedienste:

Die vom ZIT betriebenen Onlinedienste sind im OZG-Shop (https://shop-digitales.schleswig-holstein.de/) ersichtlich. Sie reichen beispielsweise von gaststättenrechtlichen Genehmigungen, über Gewerbean-, ab- und –ummeldungen, Anfragen an das Fundbüro bis hin zu Anmeldungen eines Brauchstumsfeuers.

Den Rechtsverordnungen zufolge ist das ZIT zentrale Stelle sowohl bei den Online- als auch den Basisdiensten. Diejenigen Träger der öffentlichen Verwaltung, die diese Dienste nutzen, werden beteiligte Stellen genannt.

Dabei ist die zentrale Stelle vor allem für die Ordnungsmäßigkeit der Basis- und Onlinedienste verantwortlich. Das heißt insbesondere, dass das ZIT einem den Risiken entsprechenden sicheren Betrieb der Dienste durch Dataport als Auftragsverarbeiter zu gewährleisten hat.

Die beteiligten Stellen sind für ihre Datenverarbeitung im Rahmen der Nutzung der Dienste verantwortlich. Zu ihren Aufgaben gehört insbesondere die Gewährleistung der Betroffenenrechte im Sinne des Kapitels 3 der DSGVO, also vor allem auch die Erstellung der Informationspflichten nach Art. 13 f DSGVO (gemeinhin als „Datenschutzerklärung“ bekannt).

Besonders wichtig ist an dieser Stelle noch der Verantwortungsübergang zu erwähnen, ab dem die dienstnutzenden Verwaltungen vollständig alleine datenschutzverantwortlich sind. Diese Schnittstelle („kommunale Haustür“) ist genau da, wo die elektronischen Antragsdaten einzig und alleine nur noch im kommunalen Zugriff sind. Da die für die Zustellung relevanten Basisdienste allesamt nur über das sichere Landesnetz Schleswig-Holstein kommunizieren, ist ein Anschluss an das Landesnetz somit für die Nutzung der Dienste obligatorisch. Die „Haustür“ ist dann die kommunale Seite des Landesnetzübergaberouters.

Exkurs: Datenschutzrechtliche Verantwortung des ITV.SH

Der ITV.SH ist nur dann datenschutzrechtlich verantwortlich im Sinne der DSGVO und der ZSTBaDiVo / ZStBaOnDiVO, wenn er selber als beteiligte Stelle Basis- oder Onlinedienste nutzt. Das ist dann der Fall, wenn der ITV.SH diese Dienste in seiner Eigenschaft als Einheitlicher Ansprechpartner Schleswig-Holstein (EA-SH) wahrnimmt. Die Verarbeitung personenbezogener Daten (z. B. im Rahmen der kursorischen Prüfung von Anträgen bzw. der Fristüberwachung bei Antragsverfahren) führt der EA-SH in diesem Fall in alleiniger datenschutzrechtlicher Verantwortlichkeit in Erfüllung seiner gesetzlichen Aufgaben (§ 2 Abs. 2 in Verbindung mit den §§ 138a ff LVwG) durch. Insofern gibt es hier weder eine gemeinsame Verantwortung mit den für die Bearbeitung der Anträge sachlich und örtlich zuständigen Behörden, noch liegt eine Auftragsverarbeitung im Sinne des Art. 28 DSGVO vor.

Das erweiterte Verzeichnis der Verarbeitungstätigkeiten

Die beteiligten Stellen nehmen die Verarbeitungstätigkeiten im Rahmen der Nutzung der Basis- bzw. Onlinedienste in ihre Verzeichnisse von Verarbeitungstätigkeiten nach Art. 30 DSGVO oder § 46 LDSG auf (§ 6 Nr. 3 ZStBaDiVo / ZStOnDiVo). Dabei stellt die zentrale Stelle den beteiligten Stellen alle Informationen zur Verfügung, die für die Datenverarbeitung im Rahmen der Nutzung der Basis- bzw. der Onlinedienste und die damit einhergehenden Dokumentations- und Prüfpflichten erforderlich sind (§3 Abs. 4 ZStBaDiVo / ZStOnDiVo).

Für die relevanten Onlinedienste stellt dabei der ITV.SH als Serviceangebot für seine Träger vorausgefüllte so genannte erweiterte Verzeichnisse der Verarbeitungstätigkeiten zur Verfügung, die von den beteiligten Stellen um individuelle Angaben (z. B. hinsichtlich der verwaltungsinternen Weiterverarbeitung der Antragsdaten) zu ergänzen sind.

Erweitertes Verarbeitungsverzeichnis bedeutet hierbei, dass neben den Angaben nach Art. 30 DSGVO auch noch alle weiteren Grundsätze berücksichtigt sind, die im Rahmen der Rechenschaftspflicht nach Art. 5 Abs. 2 zu dokumentieren sind.

Zusammen mit dem Muster-Verarbeitungsverzeichnis wird auch eine daraus abgeleitete Datenschutzerklärung bereitgestellt, die ebenfalls um die individuellen Verarbeitungstätigkeiten der beteiligten Stellen zu ergänzen ist.

Bereitstellung der Produkte

Verfügbare Onlinedienste können zusammen mit der datenschutzrechtlichen Musterdokumentation über den OZG-Shop (https://shop-digitales.schleswig-holstein.de) bezogen werden. Zusätzlich beinhaltet der Shop die Basisdienste Bürgerportal und KOP und künftig auch eine Bezahlfunktion ePayment-ePayBL).

Der OZG-Shop wird bereitgestellt in Kooperation zwischen ZIT, ITV.SH und Dataport.

Der Zugang zur Bestellmöglichkeit des Shops wird über eine entsprechende Nachnutzungsvereinbarung ermöglicht, die die Kommune mit dem ITV.SH zu schließen hat. Diese kann nebst den Nutzungsbestimmungen direkt über die Einstiegsseite des Shops bezogen werden.

OZG und Informationssicherheit

Neben der aus kommunaler Sicht hohen Wirtschaftlichkeit der Mitnutzung der oben genannten zentralen Dienste und dem Komfort der vorausgefüllten datenschutzrechtlichen Dokumentationsbestandteile soll an dieser Stelle auch noch erwähnt werden, dass die Nutzung besagter Dienste auch im Bereich Informationssicherheit mit einer erheblichen Reduzierung des Aufwands für die Nutzer verbunden ist.

  • 5 OZG sieht vor, dass die Anforderungen im Bereich der IT-Sicherheit an die im Portalverbund genutzten IT-Komponenten vom Bundesministerium des Innern durch Rechtsverordnung festgelegt wird. Recht spät, nämlich erst Anfang 2022 wurde diese Verordnung ausgefertigt (IT-Sicherheitsverordnung Portalverbund – ITSiV-PV).

Diese Verordnung unterscheidet dabei sehr deutlich zwischen unmittelbar und mittelbar an den Portalverbund angebundene IT-Komponenten, wobei unmittelbar angebundene IT-Systeme unmittelbar Daten mit dem Portalverbund austauschen und mit mittelbar angebundenen IT-Systemen diejenigen gemeint sind, die die unmittelbar angebundenen Komponenten lediglich nachnutzen.

Die vom Land betriebenen OZG-Basisdienste sind in der Regel unmittelbar an den Portalverbund angebunden. Kommunen, die diese Dienste lediglich nachnutzen, sind in aller Regel mittelbar an den Portalverbund angebunden.

Soweit aber Kommunen selber eigene OZG-Dienste im Portalverbund anbieten, muss hier allerdings wieder von einer unmittelbaren Anbindung ausgegangen werden. Das wird aber kurzfristig im Einzelnen noch zu klären sein.

Betreiber unmittelbar angebundener Komponenten müssen zur Gewährleistung der IT-Sicherheit mindestens Maßnahmen nach dem Stand der Technik treffen. Die Umsetzung wird dann vermutet, wenn alle vier im Anhang der Verordnung genannten Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) umgesetzt sind. Darüber hinaus sind alle Anforderungen der Standardabsicherung nach dem BSI-Standard 200-2 umzusetzen und in einem IT-Sicherheitskonzept zu dokumentieren. Zudem sind regelmäßig Penetrationstests und Webchecks durchzuführen.

Aus datenschutzrechtlicher Sicht müssen die mittelbar angebundene Kommunen ebenso adäquate Sicherheitsmaßnahmen treffen. Aufgrund der hier abweichenden technischen Voraussetzungen (nur mittelbarer Anschluss) sind diese weniger umfangreich. Dies spiegelt sich auch in § 3  der ITSiV-PV: mittelbar angebundene Dienste haben die Nutzungsbestimmungen des Betreibers der zentralen Komponenten zu beachten und dabei mindestens die Basis-Absicherung nach BSI-Standard 200-2 umzusetzen[1].

Fazit: Durch die Nachnutzung zentral bereitgestellter Dienste reduziert sich der Aufwand zur Gewährleistung der Ziele des Datenschutzes und der Informationssicherheit zwar nicht vollständig, wohl aber erheblich.

Elektronischer Rechtsverkehr

„Verwaltung ist schriftlich“ – dieser althergebrachte Verwaltungsgrundsatz hat in der Praxis dazu geführt, dass grundsätzlich alle Anträge und Bescheide unterschrieben werden (Schriftform). Dabei liegt ein Schriftformerfordernis nur dann vor, wenn diese auch gesetzlich angeordnet ist.

Zur Herstellung der Rechtssicherheit auch im elektronischen Rechtsverkehr hat der Gesetzgeber verschiedene schriftformersetzende Möglichkeiten eingeführt (vgl. § 52a LVwG). Dabei handelt es sich um die qualifizierte elektronische Signatur (qeS – die sich aber aufgrund der damit verbunden Kosten und der Komplexität bei der Schlüsselverwaltung nie wirklich durchgesetzt hat), absenderbestätigte De-Mails[2] (eine Technik, die sich (bisher) auch nicht wirklich durchgesetzt hat) und die Nutzung von besonderen Behördenpostfächern[3] (beBPo, was aktuell aber nur die zwischenbehördliche Kommunikation (insbesondere mit Gerichten, Notaren und Rechtsanwälten)  ermöglicht).

Umso erfreulicher ist es, dass seit der letzten Novellierung des LVwG ein Schriftformerfordernis auch erfüllt wird durch die unmittelbare Abgabe der Erklärung in einem elektronischen Formular, das von der Behörde in einem Eingabegerät (wie z.B. ein im Rathaus aufgestelltes Bürgerterminal) oder über öffentliche Netze zur Verfügung gestellt wird.

Letztlich ist dieses der Türöffner für einen medienbruchfreien Umstieg in die ganzheitliche digitale Vorgangsbearbeitung.

[1] Da dieses auch das definierte Ziel des ITV.SH-Sicherheitsstandards SiKoSH ist, empfiehlt sich hier ein Blick in die zahlreichen Hilfsmittel, die SiKoSH zur Zielerreichung bereitstellt (nähere Infos unter https://www.sikosh.de).

[2]              Unabhängig von der Nutzung ist das Vorhalten einer De-Mailadresse für jede Behörde verpflichtend (vgl. § 52 b Abs. 1 LVwG). Sofern noch nicht vorhanden, stellt der ITV.SH auf Antrag seinen Trägern auf Antrag bis zu zwei De-Mailpostfächer kostenlos bereit.

[3]              Auch die Nutzung des beBPo ist gesetzlich vorgeschrieben (§ 52 b LVwG); für die Einrichtung des beBPo stellt der ITV.SH auf Antrag hin Informationen und die Installationssoftware bereit.

Frank Weidemann

Frank Weidemann

Projektleitung, behördlicher Datenschutzbeauftragter