Eckpunkte der zentralen Postfachlösung auf der Grundlage vom OZG-PLUS-Postfach  Das OZG-PLUS Postfach kann technisch als zentrales Postfach für den Bürger eingesetzt werden.  Die regionalen Bürgerkonten verfügen über eine Referenz zu den einzelnen Konten des Bürgers im OZG-PLUS-Postfach.  Online-Dienste und Fachverfahren senden Nachrichten direkt an das OZG-PLUS Postfach, ohne Einbindung der regionalen Postfächer.  Die Postfachfunktionalität der regionalen Bürgerkonten wird abgeschaltet.  Der Bedarf an regionalen interoperablen Postfächern (FINK) entfällt somit.  Die regionalen (interoperablen) Bürgerkonten werden weiterhin für die Authentifizierung verwendet. 25.11.2021 | 3

Möglicher Ablauf  Registrierung: Das regionale Nutzerkonto legt bei der Registrierung eines neuen Bürgers ein OZG-PLUS Postfach-Konto an und erhält vom OZG-PLUS-Postfach eine Postfach- Referenz (als „Adresse“ für den Bürger).  Authentifizierung im Rahmen der Online-Antragstellung: Nach der Authentifizierung erhält der Online-Dienst vom regionalen Nutzerkonto die Postfach-Referenz zum OZG- PLUS-Postfach, die der Online-Dienst nach Antragstellung an das Fachverfahren weiterleitet.  Versand von Nachrichten vom Fachverfahren: Online-Dienste und Fachverfahren senden Nachrichten an das OZG-PLUS-Postfach bei ITZBund (über XTA/OSCI, eDelivery/AS4 oder FIT-Connect (zu klären)). Der Bürger wird gleichzeitig benachrichtigt, dass Unterlagen abgeholt werden können (E-Mail, SMS etc.).  Abholung von Nachrichten: Der Bürger loggt sich in das OZG-PLUS-Postfach mit Hilfe der regionalen Bürgerkonten ein und kann von dort aus die Nachrichten lesen. 25.11.2021 | 4

Erste Bewertung der Lösung aus Sicht BMI Vorteile                                               Nachteile  Vereinfachung der Realisierung des Rückkanals         Bereits erfolgte Investitionen finden keine  Minimale Anpassung der regionalen Bürgerkonten,        Verwendung: keine Umsetzung von interoperablen Postfächern            Bereits investierte regionale Postfachfunktionalität  Zukünftig schnellere Wartung und Weiterentwicklung,       Bereits umgesetzte Anbindungen Fachverfahren z.B. Ergänzung um Status-Monitor Funktionalitäten          an regionalen Postfächern  Regionale Konfigurierbarkeit schneller umsetzbar als  Zusätzliche Komplexität für die Fachverfahren, da bei einer Abstimmung von interoperablen                diese Nachrichten über Intermediäre senden müssen Schnittstellen (z.B. bei rechtlich unterschiedlichen  Zu prüfen, ob relevant: Der Nutzer hat zwei separate Auslegungen)                                           Lösungen für Authentifizierung und für das Postfach.  Fachverfahrenshersteller für Standardprodukte          Allerdings nutzt das OZG-PLUS-Postfach ebenfalls müssen nur eine Schnittstelle zum OZG-PLUS-            die regionalen Bürgerkonten für eine Authentifizierung. Postfach und nicht mehrere zu den regionalen Postfächern entwickeln  Einfachere Steuerung der Umsetzung, da zentral betriebene Lösung 25.11.2021 | 5

Beschlussvorschlag Die AL-Runde bittet den Bund, im Dialog mit den Ländern, insbesondere mit Bremen, bis zur Sitzung im Februar 2022 ein vertiefendes Konzept zur Realisierung des OZG-Plus-Postfachs als dem zentralen Bürgerkontenpostfach zu erstellen. Das Konzept soll eine zeitliche Planung und wesentliche Rahmenbedingungen für eine erfolgreiche Umsetzung umfassen. Auf Grundlage des Konzepts soll eine Entscheidung bezüglich der Umsetzung getroffen werden. 25.11.2021 | 6

=To0o0 ..

z—)o

 

®
oO FIT<O IT-Planungsrat

11. Sitzung der AL-Runde (28.10.2021 | Hamburg)
Dringlichkeitsantrag

TOP x Interoperable Servicekonten

die Befassung mit dem Thema „Interoperable Postfächer“ in der kommenden Sitzung
ist nötig, weil das Thema ein „showstopper“ für die OZG-Umsetzung ist (fehlender
Rückkanal, Erfüllung von Beschlüssen des IT-PLR zur geplanten Umsetzung der
Interoperabilität der Postfächer ist jetzt schon zeitkritisch). Die AL-Runde hat sich
bereits am 22.06.21 und am 28.10.21 mit dem Thema befasst, weil es auf
Arbeitsebene nicht lösbar schien. Es muss nun sehr zeitnah der Versuch
unternommen werden, eine Lösung herbeizuführen.

Aufgrund der komplexen Abstimmungen zwischen den Rechtsexperten und den IT-
Experten konnten die Unterlagen leider nicht fristgerecht zur Verfügung gestellt
werden. Wir bemühen uns, dieses so bald wie möglich zu tun.

Viele Grüße

 

Im Bundesministerium des Innern, für Bau und Heimat
Alt-Moabit 140

10557 Berlin

 

www.bmi.bund.de

11. Sitzung der AL-Runde (28.10.2021 | Hamburg)

——— 0

Sitzung AL-Runde am 07.12.2021
Steckbrief

Berichterstatter: Hamburg

Organisationseinheit: Senatskanzlei - Amt für IT und Digitalisierung -
Stand: 01.12.2021

TOP 09 Datenschutzrechtliches EfA-Nachnutzungsmodell

 
 

Geschätzte Dauer der Behandlung: ca. 10 Minuten

Gegenstand der Behandlung:

Die Anforderungen des Datenschutzrechts stellen im Rahmen der Umsetzung des OZG nach
dem "Einer für Alle/Viele"-Prinzip mit Blick auf die Vielzahl von entstehenden
Rechtsverhältnissen (EfA-Dienstbetreiber - nachnutzende Gebietskörperschaften) eine
erhebliche praktische Herausforderung dar. Auch weiterhin gibt es kein von allen Ländern
getragenes Nachnutzungskonzept, welches die datenschutzrechtlichen Rechtsverhältnisse im
Zusammenhang mit dem Betrieb eines Online-Dienstes im EfA-Kontext regelt. Bei der
Konzeption des FIT-Store-Modells wurde das Thema EfA-Datenschutz ausgeklammert, da der
FIT-Store hauptsächlich ein vergaberechtliches Nachnutzungsmodell darstellt.

Das hier vorgeschlagene datenschutzrechtliche EfA-Nachnutzungsmodell stellt als
Interimslösung bis zu einer gesetzgeberischen Lösung einen Weg dar, EfA-Leistungen auf
rechtskonforme und zugleich ressourcenschonende Weise betreiben und nachnutzen zu
können. Das Modell sorgt für die notwendige Rechtsklarheit und ermöglicht eine praktikable
Umsetzung von EfA-Leistungen ohne Notwendigkeit, im Verhältnis zwischen EfA-
Dienstbetreiber und den nachnutzenden Gebietskörperschaften eine
Auftragsverarbeitungsvereinbarung zu schließen.

Der Vorschlag berührt nicht die Datenverarbeitung durch die zuständige Behörde im
anschließenden Land oder in der anschließenden Kommune. Der Bereich der Verarbeitung
personenbezogener Daten im Verwaltungsverfahren durch die zuständige Behörde ist
datenschutzrechtlich bereits geregelt. Sobald EfA-Antragsdaten bei der zuständigen Behörde
im anschließenden Land oder in der anschließenden Kommune eingehen, ist ein
datenschutzrechtlicher Regelungsbedarf daher nicht gegeben.

Sitzung AL-Runde am 07.12.2021 S.1von3

Für den zeitlich und organisatorisch vorgelagerten Teil "Betrieb EfA-Leistung" sieht das Modell vor, dass Länder im Rahmen einer Verwaltungsvereinbarung eine verantwortliche Stelle des umsetzenden Landes bestimmen, die für die Datenverarbeitung im Zusammenhang mit dem Betrieb der EfA-Online-Dienstes dieses umsetzenden Landes allein verantwortlich ist. Durch eine solche Festlegung der Verantwortlichkeit wäre klargestellt, dass solche Datenverarbeitungsvorgänge nicht im Auftrag der nachnutzenden Gebietskörperschaft, sondern im Auftrag der jeweils verantwortlichen Stelle des umsetzenden Landes erfolgen. Aus diesem Grund wäre es nicht erforderlich, Auftragsverarbeitungsvereinbarungen zwischen umsetzendem Land und anschließendem Land bzw. der anschließenden Kommune zu schließen. Hierdurch wären die Beteiligten von administrativem Aufwand entlastet. Die Bestimmung der verantwortlichen Stelle würde dabei im eigenen Ermessen jedes umsetzenden Landes erfolgen, das der Verwaltungsvereinbarung beitritt. Nach dem Behördenprinzip muss es sich bei der verantwortlichen Stelle um eine Behörde handeln. Im Übrigen würden durch die Verwaltungsvereinbarung keine Vorgaben bestehen, auch nicht für die Tätigkeit der verantwortlichen Stelle. Die Bestimmung von mehreren verantwortlichen Stellen des umsetzenden Landes wäre möglich, etwa um die datenschutzrechtliche Verantwortlichkeit anhand der verschiedenen Fachlichkeiten aufzuteilen. Durch eine Bestimmung der datenschutzrechtlichen Verantwortung wäre Rechtsklarheit geschaffen, da Betrieb von und datenschutzrechtliche Verantwortung für EfA-Leistungen zusammengeführt würden. Mit alleiniger Verantwortung des umsetzenden Landes für die Verarbeitung personenbezogener Daten beim Betrieb der EfA-Dienste des umsetzenden Landes würde nur ein einziges Landesdatenschutzrecht Anwendung finden und auch nur die Zuständigkeit einer Landesaufsichtsbehörde gegeben sein. Zudem wäre Haftung vereinheitlicht, da das anschließende Land bzw. die anschließende Kommune datenschutzrechtlich für den Betrieb des EfA-Dienstes des umsetzenden Landes nicht verantwortlich wäre. Für die nachnutzende Gebietskörperschaft würde dies aufwandsärmste Lösung darstellen, da für den Betrieb der nachgenutzten EfA-Dienste keine Auftragsverarbeitungsvereinbarung zu schließen und keine datenschutzrechtlichen Pflichten und Aufgaben zu übernehmen wären. Das vorliegende Konzept wurde im Verbund der Dataport-Trägerländer entwickelt, hat im Übrigen aber keinen speziellen Bezug zu diesen Ländern. Die Möglichkeit, einen alleinigen datenschutzrechtlich Verantwortlichen durch Verwaltungsvereinbarung zu bestimmen, wurde in der Praxis bereits beim EfA-Dienst BAföG Digital umgesetzt. Das anliegende Dokument stellt das hier vorgestellte Konzept im Überblick dar. Im Rahmen eines fachlichen Roundtable-Gesprächs unter Beteiligung des Bundes und der Länder wurde das Konzept am 29.11.2021 vorgestellt und rechtlich erörtert. Sitzung AL-Runde am 07.12.2021                                                          S. 2 von 3

Vorgesehen ist, die Verwaltungsvereinbarung zunächst zwischen den Dataport-Trägerländern zu schließen und weiteren Ländern den Beitritt zu ermöglichen. Durch den Beitritt würde jedes beitretende Land die datenschutzrechtlichen Rechtsverhältnisse sowohl in Bezug auf die vom beitretenden Land umgesetzten als auch die vom beitretenden Land nachgenutzten EfA-Online-Dienste regeln. Unterschiedliche Regelungen in Bezug auf einzelne Länder sind nicht vorgesehen. Hamburg wird den Ländern einen Entwurf der gemeinsamen Verwaltungsvereinbarung der Dataport-Trägerländer zur Prüfung eines Betritts so bald wie möglich zur Verfügung stellen. 1 Fachliche Betroffenheit der Fachministerkonferenzen : ☐ Ja [betroffene FMK / kurze Darstellung der Betroffenheit] ☒ Nein Art der Behandlung: ☒ Information ☐ Beschluss Die folgenden Felder sind nur bei der Behandlungsart Beschluss auszufüllen. Geplante Sitzungsunterlagen 1. Kurzdarstellung des datenschutzrechtlichen EfA-Nachnutzungsmodells Beschlussvorschlag 2 Ist das Recht auf informationelle Selbstbestimmung betroffen ? ☐ Ja ☐ Nein Wie wirkt sich der Entscheidungsvorschlag auf das Recht der informationellen Selbstbestimmung aus? ☐ ☐ [kurze Begründung] 1 Gemäß § 1 Abs. 6 des IT-Staatsvertrags werden die Fachministerkonferenzen vom IT-Planungsrat beteiligt, sofern deren Fachplanungen von seinen Entscheidungen betroffen sind. 2 Nach § 5 Abs. 2 Nr. 1 der Geschäftsordnung des IT-Planungsrats ist bei Entscheidungsvorschlägen insbesondere darzulegen, ob und inwieweit durch die Entscheidung das Recht auf informationelle Selbstbestimmung betroffen sein könnte. Sitzung AL-Runde am 07.12.2021                                                                                      S. 3 von 3

Senatskanzlei Hamburg Amt für IT u. Digitalisierung                                                            Stand 01.12.2021 Datenschutzrechtliches EfA-Nachnutzungsmodell "Einfach für Alle" Vorschlag zur Festlegung der datenschutzrechtlichen Verantwortlichkeit des umsetzenden Landes durch Verwaltungsvereinbarung AUSGANGSLAGE Auftragsverarbeitungsverhältnisse (AVV) in einer Vielzahl von EfA-Leistungsbeziehungen (ca. 11.000 Kommunen, eine dreistellige Anzahl von EfA-Onlinediensten) würden einen erheblichen administrativen Umsetzungs- und Verwaltungsaufwand erfordern. Es galt daher eine rechtlich tragfähige Lösung zu entwickeln, die diese unzähligen Auftragsverarbeitungsverhältnisse im (horizontalen) Verhältnis zwischen dem anschließenden Land oder der anschließenden Kommune (bzw. dessen/deren IT-Dienstleister) und dem umsetzenden Land (bzw. dessen EfA-Dienstbetreiber) zu vermeiden hilft. Zugleich sollte Rechtsklarheit geschaffen werden, wer für die Verarbeitung von personenbezogenen Daten beim Betrieb eines EfA-Onlinedienstes datenschutzrechtlich verantwortlich ist. Bestehende Verantwortlichkeiten und Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten im Zusammenhang mit der Durchführung des Verwaltungsverfahrens durch die zuständige Behörde im anschließenden Land oder in der anschließenden Kommune sind nicht Gegenstand der Betrachtung und werden vom hiesigen Vorschlag nicht berührt. LÖSUNG Die DSGVO sieht die Möglichkeit vor, den datenschutzrechtlich Verantwortlichen durch ein "Rechtsinstrument der Mitgliedstaaten" (Art. 4 Nr. 7 DSGVO) zu bestimmen. Es wird vertreten, dass diese Bestimmung sowohl durch Gesetz oder Verordnung als auch durch Staatsvertrag oder Verwaltungsvereinbarung wirksam erfolgen kann. Der hiesige Vorschlag sieht vor, dass eine vom umsetzenden Land zu bestimmende "verantwortliche Stelle" die alleinige datenschutzrechtliche Verantwortlichkeit für die Datenverarbeitungstätigkeiten im Zusammenhang mit dem Betrieb einer EfA-Leistung trägt (und diese landesintern einer konkreten Stelle überantwortet). Diese Zuweisung erfolgt durch Verwaltungsvereinbarung, an der das umsetzende Land beteiligt ist. Dabei ist noch rechtlich zu prüfen, ob eine einzige Verwaltungsvereinbarung ausreichend ist, die im Verhältnis von umsetzendem Land und nachnutzenden Gebietskörperschaften den Betrieb aller EfA-Onlinedienste des umsetzenden Landes insgesamt datenschutzrechtlich regeln würde ("Eine für Alle"). Die alleinige Verantwortlichkeit bedeutet, dass die Verarbeitung personenbezogener Daten im Zusammenhang mit dem Betrieb eines EfA-Onlinedienstes nicht im Auftrag der nachnutzenden Gebietskörperschaft (des "Kunden"), sondern im Auftrag der verantwortlichen Stelle des umsetzenden Landes erfolgt. Im Verhältnis des umsetzenden Landes zur nachnutzenden Gebietskörperschaft entfiele somit die Notwendigkeit eines AVV. Unberührt bliebe die Notwendigkeit von AVV im Verhältnis zwischen verantwortlicher Stelle des umsetzenden Landes und demjenigen, der die Datenverarbeitung für den Betrieb der EfA-Onlinedienstes im Auftrag des umsetzenden Landes tatsächlich durchführt (IT-Dienstleister). Die Anzahl dieser (vertikalen) Beziehungen ist jedoch weitaus geringer, da für den Betrieb eines EfA-Onlinedienstes in der Regel nur ein EfA-Dienstbetreiber für das umsetzende Land tätig wird. Eine solche Festlegung der alleinigen Verantwortlichkeit würde zudem den tatsächlichen Verhältnissen entsprechen, da bei Entwicklung, Betrieb und Weiterentwicklung maßgeblich das umsetzende Land über die konkrete Datenverarbeitung entscheidet. Durch die Zuweisung der alleinigen

Senatskanzlei Hamburg Amt für IT u. Digitalisierung                                                         Stand 01.12.2021 datenschutzrechtlichen Verantwortlichkeit würde abgebildet, dass die tatsächlichen technischen und organisatorischen Einflussmöglichkeiten auf die Verarbeitung personenbezogener Daten beim Betrieb von EfA-Leistungen im umsetzenden Land und nicht auf der Seite der nachnutzenden Gebietskörperschaften liegen. Zwischen Betrieb des EfA-Onlinedienstes durch das umsetzende Land einerseits und dem nachfolgenden Verwaltungsverfahren andererseits ist damit eine klare datenschutzrechtliche Grenze gezogen: Die Verwaltungsvereinbarung würde nicht die datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Erbringung der Verwaltungsleistung durch die zuständige Behörde der nachnutzenden Gebietskörperschaft berühren. Sie beträfe auch nicht das Fachverfahren. Die Festlegung der Verantwortlichkeit würde sich auch nicht auf IT-Komponenten erstrecken, die jeweils im Zusammenhang mit dem Betrieb des EfA-Onlinedienstes genutzt, aber nicht vom umsetzenden Land betrieben werden, z.B. die an die EfA-Leistung angebundene Bezahlkomponente oder den jeweils verwendeten digitalen Rückkanal über das elektronische Postfach des Nutzerkontos. Für Betrieb dieser IT-Komponenten bleibt es bei den bestehenden datenschutzrechtlichen Verantwortlichkeiten. Durch den Beitritt eines Landes zu der Verwaltungsvereinbarung würde die datenschutzrechtliche Verantwortlichkeit im Verhältnis von umsetzendem Land und nachnutzenden Gebietskörperschaften für alle vom beitretenden Land betriebenen und nachgenutzten EfA-Onlinedienste geregelt werden, ohne dass es hierfür eines weiteren Vollzugsaktes bedürfte. Allein eine landesinterne organisatorische Festlegung einer konkreten Stelle wäre - neben der Verwaltungsvereinbarung - durch jedes Land zu veranlassen. Bis zu einer gesetzlichen Regelung der Verarbeitungsbefugnis stellt die datenschutzrechtliche Generalklausel nach dem Recht des jeweils umsetzenden Landes i.V.m. §§ 1 Abs. 1, 2 Abs. 3 OZG übergangsweise die Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten beim Betrieb eines EfA-Onlinedienstes dar und erlaubt die Erhebung, Speicherung und Übermittlung von personenbezogenen Daten zur elektronischen Abwicklung von Verwaltungsverfahren. ANWENDUNGSFÄLLE Das Konzept der alleinigen datenschutzrechtlichen Verantwortlichkeit für einen zentral betriebenen Online-Dienst, der von mehreren angeschlossenen Stellen genutzt wird, ist bereits in der Praxis erprobt worden. Bund und Länder haben durch Verwaltungsvereinbarung die alleinige datenschutzrechtliche Verantwortung für den Betrieb des digitalen Antragsassistenten "BAföG Digital" dem Land Sachsen- Anhalt bzw. einer von Sachsen-Anhalt zu benennender Stelle zugewiesen. Darüber hinaus wurde die datenschutzrechtliche Verantwortung für die Verarbeitung personenbezogener Daten innerhalb des Wirtschafts-Service-Portal.NRW gesetzlich einer einzelnen Behörde (MWIDE) zugewiesen. FAZIT Durch die Zuweisung der alleinigen datenschutzrechtlichen Verantwortlichkeit wird Rechtsklarheit geschaffen werden. Statt einer alleinigen Verantwortlichkeit könnte alternativ auch eine gemeinsame Verantwortlichkeit des umsetzenden Landes und der anschließenden Gebietskörperschaft bestimmt werden. Die Vorteile einer alleinigen Verantwortlichkeit ergeben sich jedoch aus folgenden Punkten: -    Die alleinige Verantwortlichkeit führt zur datenschutzrechtlichen Haftung des umsetzenden Landes ohne Mithaftung des anschließenden Landes bzw. der anschließenden Kommune. Damit bleibt die Verantwortung für Datenverarbeitungstätigkeiten bei dem, der auch den tatsächlichen Einfluss darauf hat.