Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 24. und 25. November 2021 (Festlegung) Top 10 – Begleitung der Umsetzung des Onlinezugangsgesetzes durch die DSK Die Datenschutzkonferenz trifft folgende Festlegung: 1. Der Sachstandsbericht des AK Verwaltung zur datenschutzrechtli- chen Begleitung der OZG-Umsetzung durch die DSK wird in der durch Niedersachen überarbeiteten Version zur Kenntnis genom- men. 2. Der Vorsitz des Arbeitskreises wird gebeten, diesen Sachstandsbe- richt an das Bundesministerium des Innern, für Bau und Heimat zu übermitteln. In einem Begleitschreiben soll darauf hingewiesen werden, dass seitens der Datenschutzkonferenz bis zum Beginn des III. Quartals 2022 eine gesetzliche Neuregelung erwartet wird.

Sachstandsbericht des AK Verwaltung zur datenschutzrechtlichen Begleitung der OZG-Umsetzung durch die DSK Hier: Datenschutzrechtliche Herausforderungen der OZG-Umsetzung insbesondere im Zusammenhang mit dem „Einer für alle/viele“-Prinzip Inhaltsverzeichnis 1. Einleitung 2. Datenschutzrechtliche Begleitung der OZG-Umsetzung durch die DSK 3. Problemfelder der OZG-Umsetzung nach „EfA-Prinzip“ a. Problemfeld: Datenschutzrechtliche Verantwortlichkeit (1)       Gemeinsame Verantwortlichkeit, Art. 26 DS-GVO (2)       Getrennte Verantwortlichkeit (3)       Zuweisung der Verantwortlichkeit, Art. 4 Nr. 7 HS. 2 DS-GVO (4)       Auftragsverarbeitung zwischen verantwortlichen Stellen, Art. 28 DS-GVO b. Problemfeld: Einbeziehung der IT-Dienstleister per Auftragsverarbeitung, Art. 28 DS- GVO c. Problemfeld: Abschluss von Nachnutzungsverträgen über den FIT-Store und AVV- Verhältnisse d. Problemfeld: Erlaubnistatbestände für zusätzliche Datenverarbeitungsvorgänge (1)        „Sur-Plus-Datenverarbeitung“ (2)       Datenverarbeitung in bundesländerübergreifenden Portalen e. Einwilligungserklärungen als Erlaubnistatbestand 4. Fazit 1. Einleitung Das Onlinezugangsgesetz (OZG) verpflichtet Bund und Länder bis spätestens zum Ablauf des Jahres 2022, ihre Verwaltungsleistungen auch elektronisch über Verwaltungsportale anzubieten und diese Verwaltungsportale miteinander zu einem Portalverbund zu verknüpfen (§ 1 OZG). Ein „Verwaltungsportal“ bezeichnet ein bereits gebündeltes elektronisches Verwaltungsangebot eines Landes oder des Bundes mit entsprechenden Angeboten einzelner Behörden (§ 2 Abs. 2 OZG). Unter „Verwaltungsleistungen“ versteht das OZG die elektronische Abwicklung von Verwaltungsverfahren und die dazu erforderliche elektronische Information des Nutzers und Kommunikation mit dem Nutzer über allgemein zugängliche Netze (§ 2 Abs. 3 OZG). Der IT-Planungsrat hat 575 Verwaltungsleistungen definiert, die im Rahmen der OZG-Umsetzung zu digitalisieren sind und diese nach mehreren Themenfeldern geordnet einzelnen Bundesländern 1 fiederführend zur Implementierung zugewiesen. Im Digitalisierungsprogramm Föderal haben sich der Bund und die Länder auf eine arbeitsteilige Umsetzung dieser einzelnen OZG-Leistungen geeinigt. 1 Siehe zum Digitalisierungsprogramm des IT-Planungsrat und den einzelnen Themenfeldern Kapitel 3.1 des OZG-Leitfadens unter: https://leitfaden.ozg-umsetzung.de/display/OZG/3.1+Digitalisierungsprogramm+IT- Planungsrat. 1

Die Themenfeldinhaber stellen in der Umsetzungsphase sicher, dass für jede OZG-Leistung ein Online-Service bereitgestellt wird. Diese Lösung kann anschließend von anderen Bundesländern bzw. 2 deren Kommunen nachgenutzt werden. 3 Aus den verschiedenen Nachnutzungsmodellen hat zuletzt vor allem das sogenannte „Einer-für-Alle“ 4 (EfA)-Prinzip an Bedeutung gewonnen, d.h. ein Land übernimmt ein Themenfeld und entwickelt für die dem Themenfeld zugeordneten Verwaltungsleistungen ein Online-Verfahren. Dieses Verfahren kann dann von den anderen Ländern übernommen und implementiert werden. Angesichts des hohen zeitlichen Verzuges der OZG-Umsetzung hat der Bund im Jahr 2020 als Teil des Konjunkturpaketes 3 Mrd. Euro für die Verwaltungsdigitalisierung bereitgestellt. Geknüpft ist die 5 Verwendung dieser Mittel an das „EfA-Prinzip“. Bund und Länder haben dazu die „EfA“- 6 Mindestanforderung im Rahmen einer Verwaltungsvereinbarung festgehalten. Grundsätzlich ist dabei zu beachten, dass eine Anwendung des „EfA“-Prinzips nur dort sinnvoll möglich ist, wo ein ausreichend vergleichbarer landesrechtlicher Rahmen vorzufinden ist. 2. Datenschutzrechtliche Begleitung der OZG-Umsetzung durch die DSK Mit der datenschutzrechtlichen Begleitung der Umsetzung des OZG hat die Datenschutzkonferenz im 7 Oktober 2020 den Arbeitskreis Verwaltung betraut . Es wurden folgende Festlegungen getroffen: 1. Der AK Verwaltung berichtet mindestens zu den Hauptkonferenzen der DSK über wesentliche neue Entwicklungen der OZG-Umsetzung. Der Bericht kann schriftlich erfolgen. 2. Der AK Verwaltung erarbeitet bis zum 1. Quartal 2021 ein Arbeitspapier, welches die Anforderungen an eine datenschutzrechtliche Dokumentation für eine vereinfachte Nachnutzbarkeit der Anwendungen aus dem OZG-Leistungskatalog darstellt. Der AK Verwaltung wird beauftragt, das Arbeitspapier nach Zustimmung durch die DSK den zuständigen Themenfeldinhabern zu übergeben. 3. Der AK Verwaltung richtet eine UAG zur datenschutzrechtlichen Bewertung der OZG- Umsetzung von Portalen und auch Fachanwendungen ein, die die möglichen Konstellationen von Betreibermodellen in Bezug auf deren datenschutzrechtliche Verantwortlichkeit und Umsetzung prüft. Hierzu erfolgt auch ein stetiger Austausch mit der FITKO und dem BMI. Die konstituierende Sitzung der Unter-Arbeitsgruppe (UAG) fand im November 2020 statt. Neben der Federführung durch Brandenburg, sind die Länder Berlin, Hessen, Niedersachsen, Saarland, Sachsen und Sachsen-Anhalt sowie der Bund Mitglieder der UAG. Entsprechend des Arbeitsauftrages fand im 2 Siehe allgemein zum Nachnutzungsprinzip Kapitel 8 des OZG-Leitfadens unter: https://leitfaden.ozg- umsetzung.de/display/OZG/10+Nachnutzung. 3 Siehe zu den verschiedenen Nachnutzungs-Modellen Kapitel 10.1 des OZG-Leitfadens, unter: https://leitfaden.ozg-umsetzung.de/display/OZG/10.1+Nachnutzungsmodelle. 4 Siehe allgemein zum „Einer für Alle/ Viele“- Prinzip Kapitel 8.2 des OZG-Leitfadens unter: https://leitfaden.ozg-umsetzung.de/display/OZG/10.1+Nachnutzungsmodelle. 5 Siehe dazu den BMI Wegweiser „Einer für Alle/ Viele“ vom Juni 2021, unter: https://leitfaden.ozg- umsetzung.de/download/attachments/12583387/EfA%20Wegweiser_2.0.pdf?version=3&modificationDate=16 23103287783&api=v2. 6 Verpflichtungserklärung der Länder zu EfA-Mindestanforderungen (Stand: 08.12.2020): https://leitfaden.ozg- umsetzung.de/download/attachments/12587267/EfA- Mindestanforderungen_Version%201.0.pdf?version=1&modificationDate=1623408506662&api=v2. 7 Umlaufverfahren 29/2020. 2

Februar 2021 ein erster fachlicher Austausch mit dem für die Umsetzung des OZG verantwortlichen Fachreferat beim Bundesministerium des Innern (BMI) statt, dem weitere Sitzungen, teilweise unter Beteiligung einzelner für die OZG-Umsetzung Verantwortlicher einzelner Bundesländer, folgten. Im Rahmen des fachlichen Austauschs stellte sich bereits früh heraus, dass sich viele der zum Teil sehr komplexen datenschutzrechtlichen Fragestellungen im Zusammenhang mit der OZG-Umsetzung erst im Rahmen der konkreten Umsetzung der einzelnen Projekte identifizieren lassen. Wegen der zeitlichen Verzögerung der OZG-Umsetzung insgesamt liegt der UAG nur eine begrenzte Zahl an konkreten Umsetzungsbeispielen vor, die durch die UAG in ihrer Arbeit berücksichtigt werden konnte. Es ist vor diesem Hintergrund mit Blick auf die zukünftige Arbeit der UAG von besonderer Bedeutung, dass ihre Mitglieder laufend über den Fortgang der OZG-Umsetzung anhand konkreter Beispiele informiert werden. Die Notwendigkeit einer entsprechenden Information ist durch die UAG Portallösungen an das BMI und z.T. an die Themenfeldverantwortlichen der Länder kommuniziert worden. Das vorliegende Papier kann daher noch nicht die nach dem Arbeitsauftrag der DSK geforderte datenschutzrechtliche Dokumentation für OZG-Umsetzungsprojekte nach dem Nachnutzungsprinzip vollumfänglich darstellen. Gleichwohl konnten im Rahmen der Arbeit der UAG aber zumindest die wesentlichen datenschutzrechtlichen Probleme umrissen werden, mit denen die zuständigen Stellen typischerweise bei der Entwicklung nachnutzbarer OZG-Umsetzungen konfrontiert sind. Besonders im Fokus stehen dabei die im Zusammenhang mit dem Nachnutzungsmodell „EfA“ stehenden datenschutzrechtlichen Herausforderungen. Das vorliegende Papier gibt hierzu einen ersten Überblick und stellt erste Lösungsansätze und den Stand der diesbezüglichen Fachdiskussion innerhalb der UAG, aber auch aus den Gesprächen mit dem BMI dar. Im Rahmen der Gespräche mit dem BMI wurde an die UAG durch das BMI das Papier „Eine datenschutzrechtliche Einordnung von Portallösungen und Fachanwendungen in der OZG-Umsetzung“ vom Januar 2021 übergeben, in dem das BMI zu bestimmten rechtlichen Aspekten Stellung nimmt. Aus diesem Grund geht das vorliegende Papier auf einige dieser Aspekte ein. Die Erarbeitung des von der DSK geforderten Arbeitspapiers, welches die Anforderungen an eine datenschutzrechtliche Dokumentation für eine vereinfachte Nachnutzbarkeit der Anwendungen aus dem OZG-Leistungskatalog darstellt, ist weiterhin Gegenstand der Arbeit der UAG. Wegen der grundsätzlichen datenschutzrechtlichen Fragestellungen, die sich in Bezug auf die Umsetzung des „EfA-Prinzips“ stellen und die in der bisherigen Arbeit der UAG thematisiert worden sind, soll an dieser Stelle zunächst ein Überblick über die sich stellenden Herausforderungen gegeben werden, um dann die aus Datenschutzsicht notwendigen Weichenstellungen, insbesondere in gesetzgeberischer Hinsicht, zu skizzieren. An dieser Stelle sei darauf hingewiesen, dass bei der OZG-Umsetzung zunächst selbstverständlich die allgemeinen datenschutzrechtlichen Dokumentationsanforderungen zu erfüllen sind, die sich aus der 8 DS-GVO ergeben und die bereits in diversen Arbeitspapieren der DSK formuliert sind. Die im vorliegenden Papier aufgeworfenen Problemfelder und Herangehensweisen sollten daher bereits 8 Siehe insbesondere die Kurzpapiere Nr. 1 (Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO; Nr. 5 (Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO); Nr. 6 (Auskunftsrecht der betroffenen Person, Art. 15 DS-GVO in Überarbeitung); Nr. 10 (Informationspflichten bei Dritt- und Direkterhebung in Überarbeitung); Nr. 11 (Recht auf Löschung / „Recht auf Vergessenwerden“ in Überarbeitung); Nr. 13 (Auftragsverarbeitung, Art. 28 DS-GVO in Überarbeitung); Nr. 16 (Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS-GVO in Überarbeitung); Nr. 17 (Besondere Kategorien personenbezogener Daten); Nr. 18 (Risiko für die Rechte und Freiheiten natürlicher Personen) und Nr. 20 (Einwilligung nach der DS-GVO in Überarbeitung); alle Papier abrufbar unter: https://www.datenschutzkonferenz-online.de/kurzpapiere.html. 3

jetzt durch die zuständigen Stellen in die laufende Entwicklung der OZG-Projekte einbezogen und mit den jeweiligen Datenschutzaufsichtsbehörden erörtert werden. 3. Problemfelder der OZG-Umsetzung nach „EfA-Prinzip“ Das Nachnutzungsmodell „EfA“ steht, wie dargestellt, gegenwärtig besonders im Fokus und ist zum Leitprinzip der dringend gebotenen Beschleunigung der OZG-Umsetzung erhoben worden. Der Ermittlung und Diskussion der mit dem „EfA“-Prinzip verbundenen teilweise sehr komplexen datenschutzrechtlichen Fragestellungen wurde hingegen bisher noch zu wenig Zeit eingeräumt. Besondere Herausforderungen treten dabei etwa auf, wenn OZG-Verwaltungsleistungen nach dem „EfA“-Prinzip in Form von fachspezifischen Portalen unter Beteiligung mehrerer oder sogar aller 9 Bundesländer umgesetzt werden . Ein solches Verfahren hatte der Gesetzgeber bei Erlass des OZG nämlich nicht vor Augen gehabt. Er war davon ausgegangen, dass die Bürgerinnen und Bürger ein Nutzerkonto beim Bund oder in einem Serviceportal eines Landes einrichten, mit dem sie sich über die in dem Nutzerkonto hinterlegten Identitätsdaten sicher authentifizieren können. Der Nutzer sollte dann über den Portalverbund direkt zu der zuständigen Behörde geleitet werden, damit er bei ihr die von ihm begehrte Verwaltungsleistung beantragen kann. Vor dem Hintergrund des engen zeitlichen Rahmens für eine fachliche Diskussion müssen die dargestellten Lösungsansätze insbesondere mit Blick auf einen möglichen gesetzgeberischen Handlungsbedarf weiter diskutiert und ggf. zeitnah überarbeitet werden. a. Problemfeld: Datenschutzrechtliche Verantwortlichkeit Eine zentrale Herausforderung im Rahmen der OZG-Umsetzung, speziell nach dem „EfA-Prinzip“, ist die Zuordnung der datenschutzrechtlichen Verantwortlichkeit. Dabei stellt sich insbesondere vor dem Hintergrund, dass Art. 4 Nr. 7 DS-GVO nach seinem Wortlaut auf die jeweils handelnde Behörde und nicht den übergeordneten Rechtsträger abstellt, die Frage, welche der oftmals zahlreichen beteiligten Akteure im jeweiligen Fall datenschutzrechtlich verantwortlich sind. Besondere Herausforderungen stellen sich vor allem bei nach „EfA“ entwickelten OZG-Projekten, die Verwaltungsleistungen über ein fachspezifisches Portal unter Beteiligung mehrerer oder sogar aller Bundesländer umsetzen (wie etwa „BAföG Digital“). Hier gilt es, die datenschutzrechtliche Verantwortlichkeit von potenziell hunderten beteiligten öffentlichen Stellen einzuordnen. (1)        Gemeinsame Verantwortlichkeit, Art. 26 DS-GVO Insbesondere vor dem Hintergrund der weiten Auslegung der gemeinsamen Verantwortlichkeit gem. Art. 26 DS-GVO durch den EuGH muss auch bei fachspezifischen Verwaltungsportalen unter Beteiligung aller Bundesländer im Sinne des OZG eine gemeinsame Verantwortung in Betracht gezogen werden. Nach Auffassung des EuGH (Urteile vom 05.06.2018 - Rs. C-210/16 und vom 10.7.2018, C- 10 9 Das für die OZG-Umsetzung zuständige Bundesinnenministerium (BMI) unterscheidet die folgenden Portalkonstellationen, wobei hier die relevante Datenverarbeitung erheblich variieren kann: 1. Fachunabhängige Portale eines Bundes oder Landes (z.B. Bundesportal, Serviceportal BW); 2. Fachspezifische Portale eines Bundes oder Landes (z.B. Elterngeld digital des BMFSFJ oder Rentenübersicht des BMAS); 3. Fachspezifische Portale unter Beteiligung mehrerer Länder (z.B. BAföG digital); 4. Fachspezifische Portale unter Beteiligung des Bundes und mindestens eines Landes (z.B. IfSG-Portal zur Geltendmachung von Schadensersatzansprüchen nach dem IfSG), siehe BMI-Papier „Eine datenschutzrechtliche Einordnung von Portallösungen und Fachanwendungen in der OZG-Umsetzung“ vom 15.1.2021, S. 10. 10 Vgl insbesondere EuGH, Urteil vom 5.6.2018, C-210/16, ULD Schleswig-Holstein/Wirtschaftsakademie Schleswig-Holstein; EuGH, Urteil vom 10.7.2018, C-25/17, Zeugen Jehovas; EuGH, Urteil vom 29.07.2019, C- 40/17, Fashion ID/Verbraucherzentrale NRW [„Gefällt mir“-Button]. Siehe auch Schild, in: Wolff/Brink, BeckOK 4

25/17 ) setzt die gemeinsame Verantwortlichkeit dabei nicht voraus, dass Zugang zu den betreffenden personenbezogenen Daten steht; ausreichend ist vielmehr, dass aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss genommen und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitgewirkt wird. Dabei muss die Einordnung als gemeinsame Verantwortliche nach Art. 26 jedoch stets auf der Grundlage einer Einzelfallentscheidung getroffen werden.11 Es gilt vor diesem Hintergrund zu überprüfen, inwieweit die Rechtsprechung des EuGH zu Art. 26 DS-GVO, der gänzlich andere Fallkonstellationen zugrunde lag, auf den Bereich der OZG- Umsetzung und speziell auf fachspezifische Verwaltungsportale unter Beteiligung aller Bundesländer sinnvoll übertragbar ist.    12 Für eine gemeinsame Verantwortlichkeit jenseits der einzelnen Fachbehörden könnte sprechen, wenn in einer Verwaltungsvereinbarung Bund und Länder Zweck und Mittel der Datenverarbeitung faktisch gemeinsam festlegen. Kommt man im Einzelfall auf Grund der o. g. Kriterien zur Annahme einer gemeinsamen Verantwortlichkeit, hat das u. a. folgende Konsequenzen: Bei einer gemeinsamen Verantwortlichkeit müssen alle mitverantwortlichen Stellen eine gemeinsame Vereinbarung nach Art. 26 Abs. 1 S. 2 DS- GVO schließen, die festlegt, wer die Gewährleistung der Betroffenenrechte aus den Art. 12 ff. DS-GVO verwirklicht. Eine solche Vereinbarung müsste unter Umständen von einer sehr großen Zahl an Behörden unterzeichnet werden, so dass ein sehr umfangreicher und komplexer Abstimmungsbedarf entstehen kann. Ungeachtet der Einzelheiten dieser Vereinbarung räumt die DS-GVO den betroffenen Personen die Möglichkeit ein, ihre Rechte jedoch auch bei und gegenüber jeder einzelnen mitverantwortlichen Behörde nach Art. 26 Abs. 3 DS-GVO geltend zu machen. Zudem haften nach Art. 82 Abs. 4 DS-GVO auch alle dieser mitverantwortlichen Behörden füreinander. Darüber hinaus kann 13 Klärungsbedarf in Bezug auf die datenschutzaufsichtsbehördliche Zuständigkeit entstehen. Darüber hinaus kann Klärungsbedarf in Bezug auf die datenschutzaufsichtsbehördliche Zuständigkeit 14 entstehen. Ungeachtet der o. g. praktischen Konsequenzen lassen sich dem Art. 26 DS-GVO keine Anhaltspunkte entnehmen, dass er für diese Fälle nicht gelten soll. (2)       Getrennte Verantwortlichkeit OZG-Umsetzungen, die insbesondere nach dem „EfA“-Prinzip entwickelt werden, müssen jedoch nicht zwingend zu einer gemeinsamen Verantwortlichkeit im Sinne des Art. 26 DS-GVO führen. Alternativ     15 Datenschutzrecht, 36. Edition, § 4 Nr. 7/ Rn 91b zur nach „EfA“ entwickelten Verwaltungsleistung „ELSTER“. Auch das DSK-Arbeitspapier Nr. 16 „Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS- GVO“ vom 19.02.2018 ging bei „E-Portalen“ noch generell von einer gemeinsamen Verantwortlichkeit iSd Art. 26 DS-GVO aus. Eine entsprechend pauschale Einordnung von E-Portalen als Fälle der gemeinsamen Verantwortlichkeit wurde demgegenüber iRd Erarbeitung der EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR vom 07.07.2021 nicht übernommen (siehe v.a. die Fallbeispiele auf S. 24 ff). Das DSK-Papier Nr. 16 befindet sich zurzeit in Überarbeitung. 11 Siehe EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.0, adopted on 07 July 2021, Rn. 69. 12 Kritisch hierzu Böllhoff/ Botta, Das datenschutzrechtliche Verantwortlichkeitsprinzip als Herausforderung für die Verwaltungsdigitalisierung, NVwZ 2021, 426 (428). 13 Zwar sind Behörden bei Datenschutzverstößen nicht dem Risiko aufsichtsbehördlicher Bußgelder (Art. 43 Abs. 3 DS-GVO), wohl aber zivilrechtlichen Schadensersatzansprüche ausgesetzt. 14 Vgl. BMI-Papier „Eine datenschutzrechtliche Einordnung von Portallösungen und Fachanwendungen in der OZG-Umsetzung“ vom 15.1.2021, S. 18 (nicht veröffentlicht); vgl. ferner Böllhoff/ Botta, Das datenschutzrechtliche Verantwortlichkeitsprinzip als Herausforderung für die Verwaltungsdigitalisierung [beruht auf einer Stellungnahme des Autors für das BMI], NVwZ 2021, 426 (428). 15 Vgl. EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.0, adopted on 07 July 2021, Rn. 69 ff. 5

ist zu prüfen, ob demgegenüber eine getrennte, ggf. nacheinander geschaltete Verantwortlichkeit vorliegt. Dies kommt insbesondere dann in Betracht, wenn eine verantwortliche Stelle die von ihr erhobenen Daten lediglich an eine weitere Stelle durch Übermittlung offenlegt. Entscheidet also etwa eine Behörde, die z. B. einen nach „EfA“ entwickelten Antragsassistenten in einem Antragsportal betreibt, autonom über die Zwecke und Mittel der Verarbeitung im Rahmen der Datenerhebung beim Bürger und übermittelt diese Daten anschließend lediglich an die zuständige Fachbehörde, so könnte man sie für die weitere Verarbeitung in der Fachbehörde als dafür nicht mehr datenschutzrechtlich verantwortlich einstufen. Das BMI geht von einer solchen „Kettenverantwortlichkeit“ zum Beispiel 16 beim Projekt „BAföG Digital“ aus. Von einer solchen nachgeordneten Verantwortlichkeit kann aber jedenfalls nur dann ausgegangen werden, wenn sich die Lenkungs- und Steuerungskreise hinsichtlich des „Wie“ der Datenverarbeitung klar voneinander abgrenzen lassen. Relevant erscheinen in diesem Zusammenhang auch die Fallbeispiele des EDPB und statistischer Analyse zu Aufgaben im öffentlichen Interesse („Statistical analysis for a task of public interest“).17 Unter Verweis auf den oben dargestellten Umsetzungsaufwand und die mit einer gemeinsamen Verantwortlichkeit verbundenen Haftungsrisiken, stuft das BMI eine solche „Kette getrennter 18 Verantwortlichkeiten“, abhängig von den Rechtsgrundlagen, als vorzugswürdig ein. Allerdings geht auch das BMI davon aus, dass nicht bei allen nach „EfA“ entwickelten OZG-Leistungen eine 19 gemeinsame Verantwortlichkeit zu vermeiden sein wird. Im Rahmen der OZG-Umsetzung müssen die Themenfeldverantwortlichen damit stets eine Einzelfallbewertung der jeweiligen Portallösung vornehmen und sich dabei insbesondere an den in den EDPB Guidelines 07/2020 zusammengefassten Kriterien orientieren. Dabei gilt es jedoch stets zu beachten, dass sich der EDPB bisher noch nicht eingehend mit den zum Teil besonderen Konstellationen einer föderal organisierten Verwaltungsdigitalisierung wie der OZG Umsetzung in Deutschland beschäftigt hat. (3)       Zuweisung der Verantwortlichkeit, Art. 4 Nr. 7 HS. 2 DS-GVO Einen weiteren Lösungsansatz stellt eine explizite Zuweisung der Verantwortlichkeit nach Art. 4 Nr. 7 HS. 2 DS-GVO dar. Sind die Zwecke und Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedsstaaten vorgegeben, kann eine Stelle im mitgliedsstaatlichen Recht ausdrücklich als Verantwortliche benannt oder zumindest können entsprechende Kriterien der Benennung einer 20 verantwortlichen Stelle definiert werden. Hier gilt es jedoch zu beachten, dass eine solche Zuweisung den tatsächlichen Einflussmöglichkeiten auf die Datenverarbeitung der beteiligten Akteure 21 entsprechen muss. Liegt also tatsächlich eine gemeinsame Verantwortung i. S. d. Art. 26 DS-GVO vor, kann dies nicht einfach durch eine entgegengesetzte Regelung nach Art. 4 Nr. 7 HS 2 DS-GVO übergangen werden. Grundsätzlich kann eine Verantwortungszuweisung nach Art. 4 Nr. 7 HS 2 DS-GVO im Wege eines formellen Gesetzes oder einer Rechtsverordnung erfolgen. Das BMI vertritt hierzu die Auffassung, eine 16 Vgl. BMI-Papier „Eine datenschutzrechtliche Einordnung von Portallösungen und Fachanwendungen in der OZG-Umsetzung“ vom 15.1.2021, S. 15. 17 Siehe EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.0, adopted on 07 July 2021, Rn. 71 und 72. 18 Vgl. BMI-Papier „Eine datenschutzrechtliche Einordnung von Portallösungen und Fachanwendungen in der OZG-Umsetzung“ vom 15.1.2021, S. 18. 19 Vgl. BMI-Papier „Eine datenschutzrechtliche Einordnung von Portallösungen und Fachanwendungen in der OZG-Umsetzung“ vom 15.1.2021, S. 18. 20 Siehe hierzu Hartung, in: Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, § 4 Nr. 7 Rn. 14. 21 Siehe Petri, in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019, Art. 4 Nr. 7 Rn. 26. 6

22 solche Zuweisung könne auch durch Staatsverträge oder einfache Verwaltungsvorschriften erfolgen. Es ist jedoch nicht davon auszugehen, dass reines Verwaltungsinnenrecht (wie Verwaltungsvereinbarungen oder Verwaltungsvorschriften)                    dem Begriff des „Rechts der Mitgliedsstaaten“ im Sinne des Art. 4 Nr. 7 HS 2 DS-GVO genügt. Wegen des strengen Gesetzesvorbehalts ist zumindest eine parlamentsgesetzliche Ermächtigung und eine Veröffentlichung 23 in einem außenwirksamen Regelwerk erforderlich , . Aus Sicht des BMI stellt eine Konzentration der Verantwortlichkeit bei einer zentralen Behörde über den Art. 4 Nr. 7 HS 2 DS-GVO aus Gründen der Rechtssicherheit die vorzugswürdigste Lösung dar. Gesetzgeberischer Handlungsbedarf zeigt sich bei diesem Lösungsansatz insoweit, als dass – bei Vorliegen der Voraussetzungen des Art. 4 Nr. 7 Hs. 2 DS-GVO -eine eindeutige Zuweisungsregelung 24 der Verantwortlichkeit im Sinne des Art. 4 Nr. 7 HS 2 DS-GVO beispielsweise im OZG geschaffen werden könnte, um hier Rechtssicherheit herzustellen. Dabei ist jedoch zu beachten, dass auch im Falle der Zuweisung der Verantwortlichkeit eine Rechtsgrundlage für die Verarbeitung durch den Verantwortlichen vorliegen muss. Angesichts des bevorstehenden Endes der Legislaturperiode hat das BMI bislang jedoch noch keine konkreten Vorschläge unterbreitet. Es gilt, hier insoweit zügig Vorschläge zu erarbeiten, um eine datenschutzkonforme OZG-Umsetzung zu ermöglichen. Als Vorbild für eine zum Beispiel im OZG zu schaffende Regelung wird von der Literatur § 14 Absatz 1 25 Wirtschafts-Portal-Gesetz Nordrhein-Westfalen (WiPG NRW) vorgeschlagen. Hiernach ist ein Landesministerium für die Datenverarbeitung innerhalb des Antragsportals allein verantwortlich. Ferner enthält auch § 24b Abs. 2 S. 1 Bundeselterngeld- und Elternzeitgesetz (BEEG) eine ausdrückliche Zuweisung der Verantwortlichkeit für das Bundesministerium für Familie, Senioren, Frauen und 26 Jugend für das durch den Bund nach Absatz 1 zu errichtende und betreibende Internetportal. Die Norm sieht vor, dass zur Unterstützung der elektronischen Antragstellung für das Elterngeld das Bundesministerium für das entsprechende Internetportal und damit auch für die dort verarbeiteten personenbezogenen Daten datenschutzrechtlich verantwortlich ist. Auch die datenschutzrechtliche Verantwortlichkeit für die Verarbeitung personenbezogener Daten im Bundesportal wurde in § 9c Abs. 1 Satz 1 E-Government-Gesetz des Bundes gesetzlich bestimmt. Insgesamt sind bei der Schaffung nationaler Rechtsgrundlagen im Rahmen der Öffnungsklauseln der DS-GVO die allgemeinen Vorgaben der DS-GVO, insbesondere hinsichtlich der Normklarheit und Bestimmtheit zu beachten (siehe insbesondere EG 41 DS-GVO). Zu diesen Anforderungen gehört vor allem auch, dass die konkrete Benennung eines Verantwortlichen selbst zumindest abgeleitete Normqualität haben muss, nicht allein der Modus der Benennung eines Verantwortlichen. (4) Auftragsverarbeitung zwischen verantwortlichen Stellen, Art. 28 DS-GVO Kommt man nach den oben dargestellten Kriterien zu dem Ergebnis, dass keine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DS-GVO der beteiligten Akteure vorliegt, so können auch 22 Vgl. BMI-Papier „Eine datenschutzrechtliche Einordnung von Portallösungen und Fachanwendungen in der OZG-Umsetzung“ vom 15.1.2021, S. 18. 23 Siehe hierzu Dix in Simitis/Hornung/Spiecker, Datenschutzrecht, Art. 23 Rn 12; ähnl. Bäcker in Kühling/Buchner, DS-GVO, Art. 23 Rn 35 einerseits a.A. Böllhoff/ Botta, Das datenschutzrechtliche Verantwortlichkeitsprinzip als Herausforderung für die Verwaltungsdigitalisierung, NVwZ 2021, 426 (429ff). 24 D.h., soweit die Zwecke und die Mittel der Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedsstaaten vorgegeben sind. 25 Vgl. Böllhoff/ Botta, Das datenschutzrechtliche Verantwortlichkeitsprinzip als Herausforderung für die Verwaltungsdigitalisierung, NVwZ 2021, 426 (429). 26 Allgemeine Zuweisungsnormen auf Grundlage des Art. 4 Nr. 7 DS-GVO finden sich ferner beispielsweise in § 6 Abs 2. S. 1 DSAG LSA oder § 3 Abs. 1 OZG Berlin. 7

Lösungen über eine Auftragsverarbeitung im Sinne des Art. 28 DS-GVO in Betracht gezogen werden (zu den allgemeinen Fragen hinsichtlich der Auftragsverarbeitung siehe sogleich unter b.). In gewissem Umfang lassen sich bei komplexen Verwaltungsdigitalisierungsprojekten Datenverarbeitungen zwischen mehreren potenziell verantwortlichen öffentlichen Stellen auch als Auftragsverarbeitungen abbilden. Hier fällt insbesondere ins Gewicht, dass der Auftragsverarbeiter im Rahmen des Art. 28 Abs. 3 hinsichtlich des Rechtmäßigkeitsgrundsatzes aus Art. 5 Abs. 1 lit. a DS-GVO privilegiert wird.27 Eine vergleichbare Wirkung ergibt sich im Rahmen des Art. 26 DS-GVO nicht. Hier ist nochmals auf das bereits oben genannte Fallbeispiel des EDSA zu unabhängigen Verantwortlichen bei geteilten Infrastrukturen („Independent controllers when using a shared infrastructure“) zu verweisen.   28 In der praktischen Konsequenz ist zu beachten, dass die Verarbeitung durch einen Auftragsverarbeiter gem. Art. 28 Abs. 3 DS-GVO auf der Grundlage eines Vertrages oder eines anderen Rechtsinstruments im Sinne des Art. 28 Abs. 3 DS-GVO erfolgen muss. Bei einer großen Zahl von beteiligten Stellen kann damit auch hier, wie bei einer Lösung nach Art. 26 DS-GV, ein erheblicher Verwaltungsaufwand entstehen, wenn eine Vielzahl solcher Auftragsverarbeitungsverträge abgeschlossen werden muss. Auch hier kommen jedoch praktischere Lösungen in Betracht, da Art. 28 Abs. 3 auch andere Rechtsinstrumente als Verträge zulässt (siehe hierzu unter sogleich unter b.). b. Problemfeld: Einbeziehung der IT-Dienstleister per Auftragsverarbeitung, Art. 28 DS-GVO Bei der Verwaltungsdigitalisierung und damit auch bei der OZG-Umsetzung ist es notwendig, IT- Dienstleister einzubinden. Dies erfolgt zumeist im Wege der Auftragsverarbeitung auf Basis des Art. 28 DS-GVO. Dabei verbleibt die datenschutzrechtliche Verantwortung beim Auftraggeber, für den der Auftragsverarbeiter nach Weisung agiert. Zur Ausgestaltung sind vertragliche Vereinbarungen 29 notwendig (siehe Art. 28 Abs. 3 DS-GVO). Bei der OZG-Umsetzung nach dem „EfA“-Prinzip wird die durch ein Bundesland unter Einbeziehung eines IT-Dienstleisters entworfene Digitalisierungslösung regelmäßig durch die anderen Bundesländer nachgenutzt. Der jeweilige IT-Dienstleister wird damit auch für diese nachnutzenden öffentlichen Stellen als Auftragsverarbeiter tätig. Würden nun alle diese nachnutzenden Stellen separate Auftragsverarbeitungsverträge i. S. d. Art. 28 Abs. 3 S. 3 DS-GVO schließen, entstünde ein erheblicher Verwaltungsaufwand. Auch hier könnten, wie in der Praxis üblich, Standardvertragsklauseln oder Standardverträge verwendet werden. Um den Aufwand gerade bei einem bundeslandübergreifenden Portalbetrieb noch weiter zu vermindern, wird vom BMI ein Abschluss von 30 Auftragsverarbeitungsverträgen (AVV) in Vertretung in Betracht gezogen. Vergleichbar zur Übung der Europäischen Kommission, Standardvertragsklauseln „on behalf of“ zu unterzeichnen, kommt es dabei zu einem Vertragsabschluss, der für eine Vielzahl von Beteiligten gilt. Dieser Lösungsweg wird insbesondere dann empfohlen wenn es sich bei dem IT-Dienstleister um ein privatwirtschaftliches Unternehmen handelt da hier, anders als bei öffentlichen Stellen, andere verwaltungsrechtliche 27 Vgl. Hartung, in: Kühling/Buchner, DS-GVO, Art. 28 Rn. 15 ff. 28 Siehe EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.0, adopted on 07 July 2021, Rn. 71. 29 Zur Auftragsverarbeitung siehe das Kurzpapier der Datenschutzkonferenz Nr. 13, „Auftragsverarbeitung, Art. 28 DS-GVO“. 30 Vgl. BMI-Papier „Eine datenschutzrechtliche Einordnung von Portallösungen und Fachanwendungen in der OZG-Umsetzung“ vom 15.1.2021, S. 22. 8

31 Rechtsinstrumente ausscheiden. Bezüglich öffentlicher Stellen als Auftragsverarbeiter befasst sich die UAG Portallösungen derzeit mit der Frage, inwiefern es einer gesetzlichen Aufgabenzuweisung für die Verarbeitung personenbezogener Daten von Bürgern anderer Bundesländer im Auftrag bedarf. Darüber hinaus gilt es selbstverständlich zu beachten, dass ein Abschluss eines Auftragsverarbeitungsvertrages durch eine zuständige Stelle eines Bundeslandes für die anderen beteiligten Bundesländer vorab einer entsprechenden Ermächtigung bedarf. Als weiterer Lösungsweg kommen neben vertraglichen Regelungen auch andere Rechtsinstrumente nach dem Wortlaut des Art. 28 Abs. 3 DS-GVO in Betracht.32 Dabei umfasst der Begriff der anderen 33 Rechtsinstrumente zunächst eher Gesetze im formellen Sinn. Bei Erfüllung der entsprechenden Voraussetzungen des Art. 80 Abs. 1 GG ist aber auch eine Rechtsverordnung denkbar. Zwar ist bisher, soweit ersichtlich, die Auftragsverarbeitung noch nicht in Form einer Rechtsverordnung geregelt worden. Gesetzliche Regelungen finden sich demgegenüber jedoch zum Beispiel in § 2 Abs. 5 S. 2 Gesetz über das Bundeskriminalamt (BKAG) und § 1 Abs. 1 S. 2 Gesetz über das Ausländerzentralregister (AZRG). Dabei gilt es jedoch zu beachten, dass auch jedes andere zur Regelung der Auftragsverarbeitung gewählte Rechtsinstrument die inhaltlichen Voraussetzungen des Art. 28 Abs. 3 DS-GVO erfüllen muss. Das bedeutet, dass alternative Rechtsinstrumente letztlich inhaltlich zu diesen Punkten nicht hinter den gängigen Auftragsverarbeitungsverträgen zurückbleiben 34 dürfen. Diese Voraussetzung erfüllen die genannten Normen des BKAG und AZRG nach Auffassung des BMI nicht, so dass in diesen Fällen weitere Vereinbarungen zwischen den beteiligten Stellen 35 getroffen werden müssen, um eine wirksame Auftragsverarbeitung zu erzielen. Schließlich werden als weiteres Rechtsinstrument im Sinne des Art. 28 Abs. 3 DS-GVO 36 Verwaltungsvorschriften im BMI-Papier diskutiert. Hier gilt es jedoch zu beachten, dass dieses Instrument eine gewisse Begrenzung dadurch erfährt, dass hierüber nur auftragsverarbeitende Stellen 37 innerhalb der Verwaltung rechtlich gebunden werden können. Damit kommt dieser Lösungsansatz nur bei IT-Dienstleistern in Betracht, die als Landesbetriebe ausgestaltet sind. Private IT-Dienstleister können nicht per Verwaltungsvereinbarung rechtlich gebunden werden. Darüber hinaus dürfte die Erfüllung der inhaltlichen Vorgaben des Art. 28 Abs. 3 DS-GVO gerade auch bei Verwaltungsvorschriften eine gewisse Herausforderung darstellen. Im Übrigen stellt sich auch hier bei öffentlichen Stellen die von der UAG derzeit diskutierte Frage, inwiefern es einer gesetzlichen Aufgabenzuweisung für die Verarbeitung personenbezogener Daten von Bürgern anderer Bundesländer bedarf. c. Problemfeld: Abschluss von Nachnutzungsverträgen über den FIT-Store und AVV- Verhältnisse 31 Vgl. BMI-Papier „Eine datenschutzrechtliche Einordnung von Portallösungen und Fachanwendungen in der OZG-Umsetzung“ vom 15.1.2021, S. 22. 32 Siehe allgemein zu „anderen Rechtsinstrumenten“ i.S.d. Art. 28 Abs. 3 DS-GVO hierzu Hartung, in: Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, § 28 Nr. 7 Rn. 63. 33 Vgl. Hartung, in: Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, Art. 28/ Rn. 63. 34 Vgl. hierzu Hartung, in: Kühling/Buchner, DS-GVO BDSG, 3. Auflage 2020, Art. 28/ Rn. 64ff. 35 Siehe dazu BMI-Papier „Eine datenschutzrechtliche Einordnung von Portallösungen und Fachanwendungen in der OZG-Umsetzung“ vom 15.1.2021, S. 24. 36 Siehe dazu BMI-Papier „Eine datenschutzrechtliche Einordnung von Portallösungen und Fachanwendungen in der OZG-Umsetzung“ vom 15.1.2021, S. 24. 37 Siehe dazu BMI-Papier „Eine datenschutzrechtliche Einordnung von Portallösungen und Fachanwendungen in der OZG-Umsetzung“ vom 15.1.2021, S. 24. 9