Vielen Dank für Ihre Aufmerksamkeit!

Kontakt

Bundesministerium des Innern, für Bau und
Heimat

Referat DG II]

Salzufer I

10587 Berlin

www.bmi.bund.de

Bi rson

 

BR Bundesministerium HESSEN
Rs des Innen, für Bau ee
und Heinzt - 1:
Dienstekansolkdierung u en
E\ Hessisches Ministerium
m für Soziales und Integration

AL-Runde am 07.12.2021 TOP 8 „Interoperable Postfächer“ OZG-PLUS-Postfach als zentraler Rückkanal für Bürger

Ausgangslage und Zielsetzung Ausgangslage                                      Zielstellung  Geringer Fortschritt bei der Umsetzung der       Prüfung der Möglichkeiten einer Umsetzung der interoperablen Postfächer                         interoperablen Postfächer auf Grundlage einer  Das Problem liegt an erster Stelle bei der        zentralen Postfachlösung (OZG-PLUS-Postfach) rechtlichen Klärung von Fragen mit Relevanz für  Bewertung der Lösung im Vergleich zu den den Rückkanal (insbesondere                       interoperablen Postfächern (FINK) Generaleinwilligung vs. Einzeleinwilligung) und  Anmerkung: Die vorliegende Unterlage basiert nicht bei der technischen Umsetzung an sich.      auf einer kurzfristigen Prüfung, vertiefende  Als Konsequenz sehr wenig verbleibende Zeit       Analysen sind im weiteren Verlauf notwendig. für eine rechtzeitige und flächendeckende Umsetzung der interoperablen Postfächer vor Ende 2022. 25.11.2021 | 2

Eckpunkte der zentralen Postfachlösung auf der Grundlage vom OZG-PLUS-Postfach  Das OZG-PLUS Postfach kann technisch als zentrales Postfach für den Bürger eingesetzt werden.  Die regionalen Bürgerkonten verfügen über eine Referenz zu den einzelnen Konten des Bürgers im OZG-PLUS-Postfach.  Online-Dienste und Fachverfahren senden Nachrichten direkt an das OZG-PLUS Postfach, ohne Einbindung der regionalen Postfächer.  Die Postfachfunktionalität der regionalen Bürgerkonten wird abgeschaltet.  Der Bedarf an regionalen interoperablen Postfächern (FINK) entfällt somit.  Die regionalen (interoperablen) Bürgerkonten werden weiterhin für die Authentifizierung verwendet. 25.11.2021 | 3

Möglicher Ablauf  Registrierung: Das regionale Nutzerkonto legt bei der Registrierung eines neuen Bürgers ein OZG-PLUS Postfach-Konto an und erhält vom OZG-PLUS-Postfach eine Postfach- Referenz (als „Adresse“ für den Bürger).  Authentifizierung im Rahmen der Online-Antragstellung: Nach der Authentifizierung erhält der Online-Dienst vom regionalen Nutzerkonto die Postfach-Referenz zum OZG- PLUS-Postfach, die der Online-Dienst nach Antragstellung an das Fachverfahren weiterleitet.  Versand von Nachrichten vom Fachverfahren: Online-Dienste und Fachverfahren senden Nachrichten an das OZG-PLUS-Postfach bei ITZBund (über XTA/OSCI, eDelivery/AS4 oder FIT-Connect (zu klären)). Der Bürger wird gleichzeitig benachrichtigt, dass Unterlagen abgeholt werden können (E-Mail, SMS etc.).  Abholung von Nachrichten: Der Bürger loggt sich in das OZG-PLUS-Postfach mit Hilfe der regionalen Bürgerkonten ein und kann von dort aus die Nachrichten lesen. 25.11.2021 | 4

Erste Bewertung der Lösung aus Sicht BMI Vorteile                                               Nachteile  Vereinfachung der Realisierung des Rückkanals         Bereits erfolgte Investitionen finden keine  Minimale Anpassung der regionalen Bürgerkonten,        Verwendung: keine Umsetzung von interoperablen Postfächern            Bereits investierte regionale Postfachfunktionalität  Zukünftig schnellere Wartung und Weiterentwicklung,       Bereits umgesetzte Anbindungen Fachverfahren z.B. Ergänzung um Status-Monitor Funktionalitäten          an regionalen Postfächern  Regionale Konfigurierbarkeit schneller umsetzbar als  Zusätzliche Komplexität für die Fachverfahren, da bei einer Abstimmung von interoperablen                diese Nachrichten über Intermediäre senden müssen Schnittstellen (z.B. bei rechtlich unterschiedlichen  Zu prüfen, ob relevant: Der Nutzer hat zwei separate Auslegungen)                                           Lösungen für Authentifizierung und für das Postfach.  Fachverfahrenshersteller für Standardprodukte          Allerdings nutzt das OZG-PLUS-Postfach ebenfalls müssen nur eine Schnittstelle zum OZG-PLUS-            die regionalen Bürgerkonten für eine Authentifizierung. Postfach und nicht mehrere zu den regionalen Postfächern entwickeln  Einfachere Steuerung der Umsetzung, da zentral betriebene Lösung 25.11.2021 | 5

Beschlussvorschlag Die AL-Runde bittet den Bund, im Dialog mit den Ländern, insbesondere mit Bremen, bis zur Sitzung im Februar 2022 ein vertiefendes Konzept zur Realisierung des OZG-Plus-Postfachs als dem zentralen Bürgerkontenpostfach zu erstellen. Das Konzept soll eine zeitliche Planung und wesentliche Rahmenbedingungen für eine erfolgreiche Umsetzung umfassen. Auf Grundlage des Konzepts soll eine Entscheidung bezüglich der Umsetzung getroffen werden. 25.11.2021 | 6

=To0o0 ..

z—)o

 

®
oO FIT<O IT-Planungsrat

11. Sitzung der AL-Runde (28.10.2021 | Hamburg)
Dringlichkeitsantrag

TOP x Interoperable Servicekonten

die Befassung mit dem Thema „Interoperable Postfächer“ in der kommenden Sitzung
ist nötig, weil das Thema ein „showstopper“ für die OZG-Umsetzung ist (fehlender
Rückkanal, Erfüllung von Beschlüssen des IT-PLR zur geplanten Umsetzung der
Interoperabilität der Postfächer ist jetzt schon zeitkritisch). Die AL-Runde hat sich
bereits am 22.06.21 und am 28.10.21 mit dem Thema befasst, weil es auf
Arbeitsebene nicht lösbar schien. Es muss nun sehr zeitnah der Versuch
unternommen werden, eine Lösung herbeizuführen.

Aufgrund der komplexen Abstimmungen zwischen den Rechtsexperten und den IT-
Experten konnten die Unterlagen leider nicht fristgerecht zur Verfügung gestellt
werden. Wir bemühen uns, dieses so bald wie möglich zu tun.

Viele Grüße

 

Im Bundesministerium des Innern, für Bau und Heimat
Alt-Moabit 140

10557 Berlin

 

www.bmi.bund.de

11. Sitzung der AL-Runde (28.10.2021 | Hamburg)

——— 0

Sitzung AL-Runde am 07.12.2021
Steckbrief

Berichterstatter: Hamburg

Organisationseinheit: Senatskanzlei - Amt für IT und Digitalisierung -
Stand: 01.12.2021

TOP 09 Datenschutzrechtliches EfA-Nachnutzungsmodell

 
 

Geschätzte Dauer der Behandlung: ca. 10 Minuten

Gegenstand der Behandlung:

Die Anforderungen des Datenschutzrechts stellen im Rahmen der Umsetzung des OZG nach
dem "Einer für Alle/Viele"-Prinzip mit Blick auf die Vielzahl von entstehenden
Rechtsverhältnissen (EfA-Dienstbetreiber - nachnutzende Gebietskörperschaften) eine
erhebliche praktische Herausforderung dar. Auch weiterhin gibt es kein von allen Ländern
getragenes Nachnutzungskonzept, welches die datenschutzrechtlichen Rechtsverhältnisse im
Zusammenhang mit dem Betrieb eines Online-Dienstes im EfA-Kontext regelt. Bei der
Konzeption des FIT-Store-Modells wurde das Thema EfA-Datenschutz ausgeklammert, da der
FIT-Store hauptsächlich ein vergaberechtliches Nachnutzungsmodell darstellt.

Das hier vorgeschlagene datenschutzrechtliche EfA-Nachnutzungsmodell stellt als
Interimslösung bis zu einer gesetzgeberischen Lösung einen Weg dar, EfA-Leistungen auf
rechtskonforme und zugleich ressourcenschonende Weise betreiben und nachnutzen zu
können. Das Modell sorgt für die notwendige Rechtsklarheit und ermöglicht eine praktikable
Umsetzung von EfA-Leistungen ohne Notwendigkeit, im Verhältnis zwischen EfA-
Dienstbetreiber und den nachnutzenden Gebietskörperschaften eine
Auftragsverarbeitungsvereinbarung zu schließen.

Der Vorschlag berührt nicht die Datenverarbeitung durch die zuständige Behörde im
anschließenden Land oder in der anschließenden Kommune. Der Bereich der Verarbeitung
personenbezogener Daten im Verwaltungsverfahren durch die zuständige Behörde ist
datenschutzrechtlich bereits geregelt. Sobald EfA-Antragsdaten bei der zuständigen Behörde
im anschließenden Land oder in der anschließenden Kommune eingehen, ist ein
datenschutzrechtlicher Regelungsbedarf daher nicht gegeben.

Sitzung AL-Runde am 07.12.2021 S.1von3

Für den zeitlich und organisatorisch vorgelagerten Teil "Betrieb EfA-Leistung" sieht das Modell vor, dass Länder im Rahmen einer Verwaltungsvereinbarung eine verantwortliche Stelle des umsetzenden Landes bestimmen, die für die Datenverarbeitung im Zusammenhang mit dem Betrieb der EfA-Online-Dienstes dieses umsetzenden Landes allein verantwortlich ist. Durch eine solche Festlegung der Verantwortlichkeit wäre klargestellt, dass solche Datenverarbeitungsvorgänge nicht im Auftrag der nachnutzenden Gebietskörperschaft, sondern im Auftrag der jeweils verantwortlichen Stelle des umsetzenden Landes erfolgen. Aus diesem Grund wäre es nicht erforderlich, Auftragsverarbeitungsvereinbarungen zwischen umsetzendem Land und anschließendem Land bzw. der anschließenden Kommune zu schließen. Hierdurch wären die Beteiligten von administrativem Aufwand entlastet. Die Bestimmung der verantwortlichen Stelle würde dabei im eigenen Ermessen jedes umsetzenden Landes erfolgen, das der Verwaltungsvereinbarung beitritt. Nach dem Behördenprinzip muss es sich bei der verantwortlichen Stelle um eine Behörde handeln. Im Übrigen würden durch die Verwaltungsvereinbarung keine Vorgaben bestehen, auch nicht für die Tätigkeit der verantwortlichen Stelle. Die Bestimmung von mehreren verantwortlichen Stellen des umsetzenden Landes wäre möglich, etwa um die datenschutzrechtliche Verantwortlichkeit anhand der verschiedenen Fachlichkeiten aufzuteilen. Durch eine Bestimmung der datenschutzrechtlichen Verantwortung wäre Rechtsklarheit geschaffen, da Betrieb von und datenschutzrechtliche Verantwortung für EfA-Leistungen zusammengeführt würden. Mit alleiniger Verantwortung des umsetzenden Landes für die Verarbeitung personenbezogener Daten beim Betrieb der EfA-Dienste des umsetzenden Landes würde nur ein einziges Landesdatenschutzrecht Anwendung finden und auch nur die Zuständigkeit einer Landesaufsichtsbehörde gegeben sein. Zudem wäre Haftung vereinheitlicht, da das anschließende Land bzw. die anschließende Kommune datenschutzrechtlich für den Betrieb des EfA-Dienstes des umsetzenden Landes nicht verantwortlich wäre. Für die nachnutzende Gebietskörperschaft würde dies aufwandsärmste Lösung darstellen, da für den Betrieb der nachgenutzten EfA-Dienste keine Auftragsverarbeitungsvereinbarung zu schließen und keine datenschutzrechtlichen Pflichten und Aufgaben zu übernehmen wären. Das vorliegende Konzept wurde im Verbund der Dataport-Trägerländer entwickelt, hat im Übrigen aber keinen speziellen Bezug zu diesen Ländern. Die Möglichkeit, einen alleinigen datenschutzrechtlich Verantwortlichen durch Verwaltungsvereinbarung zu bestimmen, wurde in der Praxis bereits beim EfA-Dienst BAföG Digital umgesetzt. Das anliegende Dokument stellt das hier vorgestellte Konzept im Überblick dar. Im Rahmen eines fachlichen Roundtable-Gesprächs unter Beteiligung des Bundes und der Länder wurde das Konzept am 29.11.2021 vorgestellt und rechtlich erörtert. Sitzung AL-Runde am 07.12.2021                                                          S. 2 von 3