Onlinezugangsgesetz (OZG) – Datenschutzrechtliche Aspekte
Eine wesentliche Neuerung betrifft die datenschutzrechtliche Verantwortlichkeit der den Onlinedienst betreibenden Behörden und deren Pflichten im Umgang mit Nutzerdaten. Herausforderungen bestehen vor allem bei der Einbindung von IT-Dienstleistern, der Datenhaltung und der Umsetzung des Once-Only-Prinzips. Lösungsansätze wie Datenschutzcockpits und regelmäßige Datenschutz-Folgenabschätzungen sollen helfen, Transparenz und Rechtssicherheit zu gewährleisten.
Einführung
Mit dem Onlinezugangsgesetz (OZG) wird das Ziel verfolgt, Verwaltungsleistungen in Deutschland zu digitalisieren und für Bürger sowie Unternehmen online verfügbar zu machen. Im bisherigen OZG war vorgesehen, dass Verwaltungsleistungen bis Ende 2022 auch online angeboten werden. Beispielsweise sollte ein Antrag auf Zulassung eines Kraftfahrzeugs online möglich sein. Dieses Ziel haben Bund und Länder nach Einschätzung des Bundesrechnungshofs weitgehend verfehlt.
Daher wurde ein neuer Versuch gestartet. Mitte 2024 trat daher das OZG-Änderungsgesetz in Kraft. Danach gilt u. a.:
Ab dem Jahr 2028 haben Bürger gem. § 1a Abs. 2 OZG einen einklagbaren Rechtsanspruch auf elektronischen Zugang zu Verwaltungsleistungen des Bundes. Schadensersatz- oder Entschädigungsansprüche sollen dadurch aber nicht begründet sein.
Ab dem Jahr 2029 sollen die wesentlichen Verwaltungsleistungen des Bundes vollständig digitalisiert sein (Ende-zu-Ende-Digitalisierung).
Ab dem Jahr 2029 sollen Verwaltungsleistungen des Bundes gegenüber Unternehmen ausschließlich online zur Verfügung stehen (digital only).
Der Bund soll ein elektronisches Siegel für Behörden zur Verfügung stellen. Damit sollen diese ihre Bescheide künftig elektronisch signieren, um damit dem Schriftformerfordernis zu genügen.
Das Nutzerkonto Bund (BundID) soll zur „DeutschlandID“ weiterentwickelt werden. Bürger sollen sich damit online identifizieren, wenn sie Verwaltungsleistungen beantragen. Innerhalb von drei Jahren müssen die Behörden des Bundes und der Länder ihre eigenen Nutzerkonten abschalten und ausschließlich die DeutschlandID einbinden.
Zugleich wurden mit dem Mitte 2024 in Kraft getretenen OZG wesentliche rechtliche Anpassungen vorgenommen, insbesondere in Bezug auf den Datenschutz. In diesem Beitrag werden die wichtigsten datenschutzrechtlichen Fragestellungen sowie Lösungsansätze für die öffentliche Verwaltungen betrachtet.
Hintergrund der datenschutzrechtlichen Änderungen
Das ursprüngliche OZG aus dem Jahr 2017 sah vor, bis Ende 2022 über 6.000 Verwaltungsleistungen zu digitalisieren. Um eine effiziente Umsetzung sicherzustellen, wurde das „Einer-für-Alle“-Prinzip (EfA-Prinzip) eingeführt. Hierbei entwickelt eine Behörde einen Onlinedienst, den andere Behörden länderübergreifend nachnutzen können.
Dies wirft jedoch datenschutzrechtliche Fragen auf, insbesondere zur Verantwortlichkeit für die Verarbeitung personenbezogener Daten. Die unklare Rechtslage führte zu Unsicherheiten bei den betroffenen Behörden. Mit der Neufassung des § 8a OZG wurde dies nun präzisiert.
Verantwortlichkeit für die Verarbeitung personenbezogener Daten
Gemäß § 8a Abs. 4 OZG ist die Behörde, die einen länderübergreifenden Onlinedienst betreibt, alleinige datenschutzrechtlich Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO. Die Fachbehörden, die die Anträge weiterbearbeiten, bleiben jedoch für die Datenverarbeitung in ihrem Verantwortungsbereich verantwortlich. Es besteht somit eine „hintereinander geschaltete Verantwortlichkeit“. Zu betonen ist, dass dies für länderübergreifende Onlinedienste gilt, nicht für Dienste, die nur innerhalb eines Bundeslandes zugänglich sind.
Konsequenzen der gesetzlichen Regelung sind u. a.:
Die betreibende Behörde muss Informationspflichten nach Art. 12 ff. DSGVO erfüllen.
Betroffene können ihre Rechte nach Art. 15 ff. DSGVO gegenüber der betreibenden Behörde geltend machen.
Die betreibende Behörde hat als Verantwortliche Datenschutzpannen nach Art. 33 DSGVO der Aufsichtsbehörde zu melden.
Falls erforderlich, hat die betreibende Behörde eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) durchzuführen.
Rechtsgrundlagen für die Verarbeitung in länderübergreifenden Onlinediensten
§ 8a OZG regelt die Verarbeitung personenbezogener Daten in länderübergreifenden Onlinediensten und benennt die zulässigen Zwecke:
Unterstützung der Antragsteller bei der Nutzung elektronischer Verwaltungsleistungen.
Übermittlung der Daten an die zuständige Fachbehörde.
Bereitstellung elektronischer Dokumente für den Antragsteller.
Die Verarbeitung erfolgt dabei auf Grundlage von Art. 6 Abs. 1 lit. e, Abs. 2 und Abs. 3 S. 1 lit. b DSGVO i. V. m. § 8a OZG. Besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO) können zusätzlichen Schutzanforderungen unterliegen, etwa durch die Verpflichtung zu ausreichender Verschlüsselung (§ 22 Abs. 2 S. 2 Nr. 7 BDSG).
Einige datenschutzrechtliche Aspekte
Einige datenschutzrechtliche Aspekte, die bei der Ausgestaltung zu beachten sind, umfassen:
Datenhaltung und Löschung:
Die für die Unterstützung bei der Inanspruchnahme einer elektronischen Verwaltungsleistung erforderlichen Daten können im länderübergreifenden Onlinedienst zwischengespeichert werden, um dem Nutzer die Möglichkeit zu bieten, das Online-Formular zu einem späteren Zeitpunkt zu vervollständigen, zu korrigieren oder zu löschen. Solche zwischengespeicherte Daten dürfen aber i. d. R. höchstens 30 Tage lange gespeichert werden (§ 8a Abs. 2 OZG)
Einbindung von IT-Dienstleistern:
Falls die betreibende Behörde IT-Dienstleister nutzt, agieren diese als Auftragsverarbeiter nach Art. 28 DSGVO. Der Verantwortliche muss – wie stets bei Auftragsverarbeitern – die getroffenen technischen und organisatorischen Maßnahmen prüfen und dokumentieren.
Das Once-Only-Prinzip:
Nachweise, die bereits bei einer Behörde vorliegen, nicht erneut eingereicht werden müssen. Ein Beispiel hierfür ist die elektronische Geburtsurkunde: Wenn eine Person eine Eheschließung beantragt, kann das Standesamt die bereits hinterlegte Geburtsurkunde direkt aus dem Melderegister abrufen, anstatt den Antragsteller zur erneuten Vorlage aufzufordern. Die anfordernde Behörde trägt dabei die Verantwortung für die Zulässigkeit des Datenabrufs. Die Rechtsgrundlage hierfür ergibt sich aus § 5 EGovG.
Beispiel: Datenschutzcockpit
Ein zentrales Instrument zur Erhöhung der Transparenz im Umgang mit personenbezogenen Daten ist das sogenannte Datenschutzcockpit. Dieses ermöglicht es Nutzern, ihre gespeicherten Daten und deren Verarbeitung nachzuvollziehen sowie Einstellungen zur Datenweitergabe vorzunehmen.
Das Datenschutzcockpit bietet eine zentrale Übersicht über sowie die folgenden Funktionen:
Welche Daten wurden gespeichert?
Wer hatte Zugriff auf die Daten und zu welchen Zwecken?
Möglichkeiten zur Löschung oder Korrektur der Daten
Einstellungsmöglichkeiten zur Datennutzung durch Behörden
Beispielhafte Anwendung: Ein Bürger beantragt eine Baugenehmigung online. Über das Datenschutzcockpit kann er jederzeit nachverfolgen, welche Behörde seine Antragsdaten verarbeitet, ob sie weitergeleitet wurden und für welchen Zeitraum sie gespeichert bleiben. Zudem hat er die Möglichkeit, direkt eine Löschung seiner Daten nach Abschluss des Verwaltungsverfahrens zu beantragen.
Dokumentationspflichten
Werden über einen länderübergreifenden Onlinedienst personenbezogene Daten verarbeitet, gelten verschiedene Anforderungen der DSGVO im Hinblick. Deren Einhaltung sollte gut dokumentiert werden. Hierzu zählt u. a.:
In der Regel ist vor der Inbetriebnahme eines länderübergreifenden Onlinedienstes die Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich. Zudem muss die Dokumentation der getroffenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO erfolgen. Wenn bei der Verarbeitung ein Auftragsverarbeiter eingesetzt wird, reicht es für den Verantwortlichen nicht aus, lediglich darauf hinzuweisen, dass dieser technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ergriffen hat. Vielmehr muss sich der Verantwortliche selbst mit den vom Auftragsverarbeiter ergriffenen Maßnahmen befassen und deren Bewertung dokumentieren. Im Rahmen eines sog. „Datenschutzkonzepts“ sind zudem die im Zusammenhang mit dem länderübergreifenden Onlinedienst stattfindenden Verarbeitungen darzustellen, wobei jeder dieser Verarbeitungen eine Rechtsgrundlage zugeordnet werden muss. Ein weiterer Bestandteil des Datenschutzkonzepts kann die Abbildung der Prozesse zur Wahrung der Betroffenenrechte sowie die Darstellung der getroffenen technischen und organisatorischen Datenschutzmaßnahmen sein. Verschiedene dieser Aspekte können bereits über eine Datenschutz-Folgenabschätzung abgedeckt worden sein. Das Verzeichnis der Verarbeitungstätigkeiten ist zudem um einen Eintrag für den länderübergreifenden Onlinedienst zu erweitern.
Fazit
Das neue Onlinezugangsgesetz (OZG) schafft klare Regelungen zur datenschutzrechtlichen Verantwortlichkeit und stärkt die rechtliche Grundlage für die Verarbeitung personenbezogener Daten in länderübergreifenden Onlinediensten. Dennoch bleibt die Umsetzung anspruchsvoll, da viele Behörden mit technischen Herausforderungen, unklaren Zuständigkeiten und der Notwendigkeit umfangreicher Datenschutzmaßnahmen konfrontiert sind. Beispielsweise müssen bestehende IT-Infrastrukturen modernisiert, sichere Datenübertragungswege geschaffen und klare Regelungen für die Datenverantwortlichkeit etabliert werden. Zudem fehlen teilweise standardisierte Verfahren zur reibungslosen Integration neuer Systeme. Hier können gezielte Schulungen, die enge Zusammenarbeit mit Datenschutzexperten und eine zentrale Koordination der Digitalisierungsmaßnahmen Abhilfe schaffen. Behörden müssen sich ihrer datenschutzrechtlichen Verpflichtungen bewusst sein und entsprechende Maßnahmen ergreifen, um rechtskonforme digitale Verwaltungsprozesse sicherzustellen. Mit Blick darauf, dass der digitale Zugang ab 2028 vor den Verwaltungsgerichten einklagbar ist, sollten die Digitalisierungsprojekte nun mit Nachdruck betrieben werden.