Mit dem 2017 in Kraft getretenen Onlinezugangsgesetz („OZG“) wurden alle Behörden verpflichtet, ihre Verwaltungsleistungen bis Ende 2022 auch digital über Verwaltungsportale anzubieten. Dieses Ziel konnte unter anderem aufgrund der komplexen föderalen Strukturen und des unterschiedlichen Digitalisierungsgrades nicht erreicht werden. Häufig sind Online-Dienstleistungen zudem nur in einzelnen Ländern oder Kommunen verfügbar.
Am 24. Juli 2024 ist daher nun das OZG-Änderungsgesetz in Kraft getreten. Mit dem OZG-Änderungsgesetz sollen die rechtlichen Rahmenbedingungen für die weitere Digitalisierung der Verwaltung geschaffen werden.
Um die betroffenen Stellen bei der Rechtsanwendung aus datenschutzrechtlicher Sicht zu unterstützen, hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz - „DSK“) im November 2024 eine Orientierungshilfe („OH“) zu ausgewählten Fragen des neuen OZG veröffentlicht. Darin haben die Datenschutzbehörden die aus ihrer Sicht wichtigsten datenschutzrechtlichen Änderungen zusammengefasst und geben anhand konkreter Beispiele Hilfestellungen zu bestimmten Sachverhalten.
Das OZG folgt dem so genannten "Einer-für-alle-Prinzip". Danach soll eine Behörde einen Onlinedienst, z. B. das elektronische Antragsformular für die Beantragung einer Baugenehmigung, entwickeln und allen anderen Behörden - auch länderübergreifend - zur Nachnutzung zur Verfügung stellen. Das elektronische Antragsformular basiert dabei auf der IT-Infrastruktur des entwickelnden Landes ("länderübergreifender Onlinedienst"). In dieses Antragsformular können Nutzer aus dem gesamten Bundesgebiet ihre Daten eingeben. Von dort werden die Daten an die für die jeweilige Antragsbearbeitung örtlich und fachlich zuständige Behörde weitergeleitet.
§ 8a Abs. 4 des neuen OZG stellt nunmehr klar, dass in dieser Konstellation die jeweilige Behörde, die den länderübergreifenden Onlinedienst betreibt, für die Verarbeitung der Daten im Onlinedienst allein datenschutzrechtlich Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist. Soweit die Daten bei der dann zuständigen Fachbehörde (im Backend) verarbeitet werden, ist diese ebenfalls alleinige verantwortliche Stelle. Es reihen sich also mehrere Verantwortliche in einer Kette aneinander.
Bedient sich die den länderübergreifenden Onlinedienst betreibende Behörde selbst eines IT-Dienstleisters, handelt dieser als Auftragsverarbeiter nach Art. 28 DSGVO.
Die Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im länderübergreifenden Onlinedienst sind in § 8a Abs. 1 bis 3 OZG geregelt. Im oben genannten Beispiel einer Baugenehmigung darf die den länderübergreifenden Onlinedienst betreibende Behörde demnach die vom Antragsteller in das Antragsformular eingegebenen Daten verarbeiten, an die zuständige Fachbehörde weiterleiten und dem Nutzer über Schnittstellen auch Dokumente zu den Verwaltungsvorgängen zur Verfügung stellen.
Werden besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO verarbeitet (z. B. Gesundheitsdaten, Daten über religiöse oder weltanschauliche Überzeugungen), enthält das OZG Sonderregelungen, nach denen den technischen und organisatorischen Maßnahmen eine besondere Bedeutung zukommt.
Die Rechtsgrundlage für die Verarbeitung durch die Fachbehörde im Backend richtet sich allein nach dem jeweiligen Fachrecht, das auch ohne Nutzung des Onlinedienstes maßgeblich ist. Das OZG gilt auch nicht für Onlinedienste, die dezentral betrieben werden, also z. B. nur den Nutzern eines Bundeslandes zur Verfügung stehen.
Die Behörde, die den länderübergreifenden Onlinedienst betreibt, unterliegt als Verantwortliche verschiedenen Informations- und Dokumentationspflichten. So hat die Behörde die Informationspflichten aus Art. 12 ff. DSGVO zu erfüllen und sie muss die Betroffenenrechte aus Art. 15 ff. DSGVO wahren. Etwaige Datenpannen sind der zuständigen Datenschutzaufsichtsbehörde und ggf. den Betroffenen zu melden.
In der Regel wird vor Inbetriebnahme des jeweiligen Onlinedienstes die Erstellung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich sein. Darüber hinaus weist die DSK auf die Dokumentation der getroffenen technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO hin. Nicht zu vergessen ist auch die Erweiterung des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO.
Darüber hinaus enthält das OZG-Änderungsgesetz weitere Regelungen zur Digitalisierung der Verwaltung. Zur Identifizierung und Authentifizierung der Nutzer von Onlinediensten ist ein Nutzerkonto erforderlich, das künftig zentral vom Bund bereitgestellt wird. Zudem wird das bisherige Bürgerkonto des Bundes („BundID“) zur „DeutschlandID“ weiterentwickelt.
Des Weiteren wird das Gesetz zur Förderung der elektronischen Verwaltung („EGovG“) aktualisiert und in § 5 EGovG eine Rechtsgrundlage für den Abruf von Nachweisen in elektronischen Verwaltungsverfahren eingeführt. Damit werden Behörden ermächtigt, auf Weisung des Antragstellers die erforderlichen Dokumente selbst bei der ausstellenden Stelle abzurufen.
