Ihre
Suche

    17.12.2024

    Orientierungshilfe der DSK zum neuen Onlinezugangsgesetz


    Mit dem 2017 in Kraft getretenen Onlinezugangsgesetz („OZG“) wurden alle Behörden verpflichtet, ihre Verwaltungsleistungen bis Ende 2022 auch digital über Verwaltungsportale anzubieten. Dieses Ziel konnte unter anderem aufgrund der komplexen föderalen Strukturen und des unterschiedlichen Digitalisierungsgrades nicht erreicht werden. Häufig sind Online-Dienstleistungen zudem nur in einzelnen Ländern oder Kommunen verfügbar.

    Am 24. Juli 2024 ist daher nun das OZG-Änderungsgesetz in Kraft getreten. Mit dem OZG-Änderungsgesetz sollen die rechtlichen Rahmenbedingungen für die weitere Digitalisierung der Verwaltung geschaffen werden.

    Um die betroffenen Stellen bei der Rechtsanwendung aus datenschutzrechtlicher Sicht zu unterstützen, hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz - „DSK“) im November 2024 eine Orientierungshilfe („OH“) zu ausgewählten Fragen des neuen OZG veröffentlicht. Darin haben die Datenschutzbehörden die aus ihrer Sicht wichtigsten datenschutzrechtlichen Änderungen zusammengefasst und geben anhand konkreter Beispiele Hilfestellungen zu bestimmten Sachverhalten.

    Länderübergreifender Onlinedienst

    Das OZG folgt dem so genannten "Einer-für-alle-Prinzip". Danach soll eine Behörde einen Onlinedienst, z. B. das elektronische Antragsformular für die Beantragung einer Baugenehmigung, entwickeln und allen anderen Behörden - auch länderübergreifend - zur Nachnutzung zur Verfügung stellen. Das elektronische Antragsformular basiert dabei auf der IT-Infrastruktur des entwickelnden Landes ("länderübergreifender Onlinedienst"). In dieses Antragsformular können Nutzer aus dem gesamten Bundesgebiet ihre Daten eingeben. Von dort werden die Daten an die für die jeweilige Antragsbearbeitung örtlich und fachlich zuständige Behörde weitergeleitet.

    Verantwortlichkeit

    § 8a Abs. 4 des neuen OZG stellt nunmehr klar, dass in dieser Konstellation die jeweilige Behörde, die den länderübergreifenden Onlinedienst betreibt, für die Verarbeitung der Daten im Onlinedienst allein datenschutzrechtlich Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist. Soweit die Daten bei der dann zuständigen Fachbehörde (im Backend) verarbeitet werden, ist diese ebenfalls alleinige verantwortliche Stelle. Es reihen sich also mehrere Verantwortliche in einer Kette aneinander.

    Bedient sich die den länderübergreifenden Onlinedienst betreibende Behörde selbst eines IT-Dienstleisters, handelt dieser als Auftragsverarbeiter nach Art. 28 DSGVO.

    Rechtsgrundlage

    Die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im länderübergreifenden Onlinedienst sind in § 8a Abs. 1 bis 3 OZG geregelt. Im oben genannten Beispiel einer Baugenehmigung darf die den länderübergreifenden Onlinedienst betreibende Behörde demnach die vom Antragsteller in das Antragsformular eingegebenen Daten verarbeiten, an die zuständige Fachbehörde weiterleiten und dem Nutzer über Schnittstellen auch Dokumente zu den Verwaltungsvorgängen zur Verfügung stellen.

    Werden besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO verarbeitet (z. B. Gesundheitsdaten, Daten über religiöse oder weltanschauliche Überzeugungen), enthält das OZG Sonderregelungen, nach denen den technischen und organisatorischen Maßnahmen eine besondere Bedeutung zukommt.

    Die Rechtsgrundlage für die Verarbeitung durch die Fachbehörde im Backend richtet sich allein nach dem jeweiligen Fachrecht, das auch ohne Nutzung des Onlinedienstes maßgeblich ist. Das OZG gilt auch nicht für Onlinedienste, die dezentral betrieben werden, also z. B. nur den Nutzern eines Bundeslandes zur Verfügung stehen.

    Dokumentations- und Informationspflichten

    Die Behörde, die den länderübergreifenden Onlinedienst betreibt, unterliegt als Verantwortliche verschiedenen Informations- und Dokumentationspflichten. So hat die Behörde die Informationspflichten aus Art. 12 ff. DSGVO zu erfüllen und sie muss die Betroffenenrechte aus Art. 15 ff. DSGVO wahren. Etwaige Datenpannen sind der zuständigen Datenschutzaufsichtsbehörde und ggf. den Betroffenen zu melden.

    In der Regel wird vor Inbetriebnahme des jeweiligen Onlinedienstes die Erstellung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich sein. Darüber hinaus weist die DSK auf die Dokumentation der getroffenen technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO hin. Nicht zu vergessen ist auch die Erweiterung des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO.

    Sonstiges

    Darüber hinaus enthält das OZG-Änderungsgesetz weitere Regelungen zur Digitalisierung der Verwaltung. Zur Identifizierung und Authentifizierung der Nutzer von Onlinediensten ist ein Nutzerkonto erforderlich, das künftig zentral vom Bund bereitgestellt wird. Zudem wird das bisherige Bürgerkonto des Bundes („BundID“) zur „DeutschlandID“ weiterentwickelt.

    Des Weiteren wird das Gesetz zur Förderung der elektronischen Verwaltung („EGovG“) aktualisiert und in § 5 EGovG eine Rechtsgrundlage für den Abruf von Nachweisen in elektronischen Verwaltungsverfahren eingeführt. Damit werden Behörden ermächtigt, auf Weisung des Antragstellers die erforderlichen Dokumente selbst bei der ausstellenden Stelle abzurufen.

    Jason Komninos

    ADVANT Beiten berät Banyan Software bei Übernahme von FoxInsights
    Freiburg, 10. Februar 2025 – Die internationale Wirtschaftskanzlei ADVANT Beiten…
    Weiterlesen
    Goodbye OS-Plattform: Was (nicht mehr) zu tun ist
    Vor gut einem Jahr hat die Europäische Kommission eine Reform zur alternativen S…
    Weiterlesen
    Unternehmensverbünde, Familie und die unwiderlegbare Vermutung: Chaos und Unsicherheiten im Umgang mit familiären Verbindungen
    Einleitung Die Diskussion um die unwiderlegbare Vermutung eines gemeinsamen Han…
    Weiterlesen
    Tattoos in Videospielen - und was das Fototapeten-Urteil des BGH damit zu tun haben könnte
    Die Abbildung von Tätowierungen realer Personen, zumeist Sportlern, in Videospie…
    Weiterlesen
    Standortübergreifende Verstärkung: ADVANT Beiten gewinnt dreiköpfiges Team mit Partner Dennis Hillemann von Fieldfisher
    Hamburg, 2. Januar 2025 – Die internationale Wirtschaftskanzlei ADVANT Beiten ba…
    Weiterlesen
    Zusammenfassung von Betrieben gewerblicher Art: BFH entscheidet gegen abgestufte Kettenzusammenfassung
    Einführung Das Körperschaftsteuerrecht gibt juristischen Personen des öffentlic…
    Weiterlesen
    Aus drei mach vier – Änderung der Bekanntgabefiktion
    Ab dem 1. Januar 2025 wird die gesetzliche Bekanntgabefiktion bei Verwaltungsakt…
    Weiterlesen
    Solaranlagen und Denkmalschutz: Klimaschutz trifft auf Kulturerhalt
    Das Oberverwaltungsgericht (OVG) Nordrhein-Westfalen hat in zwei richtungsweisen…
    Weiterlesen
    Krankenhausreform kommt – was heißt das nun?
    Das Krankenhausversorgungsverbesserungsgesetz (KHVVG) hat am 22. November 2024 d…
    Weiterlesen