Datenschutzrechtliche Herausforderungen der Verwaltungsdigitalisierung
Leicht kann der Eindruck entstehen, dass Beratung, Überwachung, Einhaltung und Durchsetzung datenschutzrechtlicher Vorschriften gegenüber nicht-öffentlichen Stellen im Fokus der aufsichtsbehördlichen Tätigkeit stehen. Ein Blick in die Arbeitsstatistik der Datenschutzaufsichtsbehörden zeigt aber, dass ein wesentlicher Teil der Arbeitskraft auch durch die Behandlung datenschutzrechtlicher Fragestellungen aus dem öffentlichen Bereich gebunden wird.
Besondere Bedeutung kommt hier beispielsweise Sachverhalten zu, die sich den Begriffen „Verwaltungsmodernisierung und Verwaltungsdigitalisierung“ zuordnen lassen. Ziel der Verwaltungsmodernisierung ist es Verwaltungsprozesse zu straffen und zu optimieren, Bürgerinnen und Bürgern sowie Unternehmen medienbruchfreie Serviceleistungen zur Verfügung zu stellen und die Zusammenarbeit zwischen öffentlichen Stellen zu vereinfachen. Zentrales Instrument der Verwaltungsmodernisierung ist dabei die Digitalisierung des Verwaltungshandelns, etwa durch die Einführung und Nutzung elektronischer Aktenführungssysteme sowie des elektronischen Behördenpostfachs oder durch die Bereitstellung von Verwaltungsleistungen über das Internet.
Auch wenn eine schnellere, effektivere und nutzerfreundlichere Verwaltung vollumfänglich zu begrüßen ist: Öffentliche Stellen sind hierbei an die Vorgaben des Datenschutzrechts in gleicher Weise gebunden wie nicht-öffentliche Stellen. Daneben besteht ein originäres Interesse an einer datenschutzkonformen Verwaltungsdigitalisierung, denn diese schafft Vertrauen und Akzeptanz auf Seiten der nutzenden Bürgerinnen und Bürger und ist somit ein wesentlicher Erfolgsfaktor.
Onlinezugangsgesetz als rechtliches Fundament der Verwaltungsdigitalisierung
Soweit es den übergreifenden informationstechnischen Zugang zu den Verwaltungsleistungen von Bund und Ländern betrifft (d. h. die Bereitstellung von Verwaltungsleistungen über das Internet), bilden Art. 91c Abs. 5 Grundgesetz (GG) und das Onlinezugangsgesetz (OZG) das rechtliche Fundament der Verwaltungsdigitalisierung. Das 2017 verabschiedete OZG verpflichtet Behörden Verwaltungsleistungen, wie z. B. den Antrag auf Eheschließung oder auf Erteilung einer Fahrerlaubnis, digital über Verwaltungsportale anzubieten.
Nach dem OZG-Umsetzungskonzept des Bundesministeriums des Innern, für Bau und Heimat (BMI) von 2018 sollten auf der Grundlage des OZG bis zum 31.12.2022 etwa 575 OZG-Leistungen umgesetzt werden. Dieses Ziel konnte nicht erreicht werden. Bereits 2022 begannen nicht zuletzt auch aus diesem Grund die Arbeiten an einer Änderung des OZG. Im Januar 2023 wurde sodann ein Referentenentwurf vorgelegt und im Mai 2023 folgte der Gesetzesentwurf der Bundesregierung. Am 23.02.2024 hat der Bundestag dem Gesetzesentwurf zur Änderung des OZG zugestimmt. Nach der Verabschiedung im Bundestag bedarf es nun noch der Zustimmung im Bundesrat.
Die Digitalisierung von etwa 575 Verwaltungsleistungen mag auf den ersten Blick möglicherweise nicht besonders kompliziert oder gar überschaubar erscheinen. Wird aber berücksichtigt, dass der Großteil der Verwaltungsleistungen durch die Bundesländer und die knapp 11.000 Kommunen erbracht werden, ergibt sich eine erhebliche Anzahl erforderlicher Umsetzungsprojekte. So ging der Nationale Normenkontrollrat im Oktober 2019 in einer groben Überschlagsrechnung von etwa 180.000 Implementierungen aus. Die Umsetzung des OZG ist damit das größte Modernisierungsvorhaben der Bundesrepublik seit ihrem Bestehen.
Verwaltungsdigitalisierung nach dem EfA-Prinzip
Um diese Herkulesaufgabe überhaupt realisieren zu können, wurde das sogenannte „Einer für Alle“ (EfA)-Prinzip entwickelt. Dem EfA-Prinzip liegt der Gedanke einer effizienten, nachhaltigen und kostenschonenden Verwaltungsdigitalisierung durch interföderale Kooperation zugrunde. Es besteht aus vier wesentlichen Schritten:
(1) Ein Land A digitalisiert eine Verwaltungsleistung (Onlinedienst) zentral in einem einheitlichen Design, (2) ein Dienstleister B betreibt die für den Onlinedienst erforderliche IT zentral, (3) alle übrigen Länder bzw. Kommunen (nachnutzende Länder und Kommunen C) nutzen den von Land A entwickelten und von dem Dienstleister B betriebenen Onlinedienst nach, schließlich wird (4) der Onlinedienst zentral für alle Länder weiterentwickelt und der Betrieb anteilig finanziert.
Datenschutzrechtliche Herausforderungen des EfA-Prinzips
Auch wenn die Umsetzung des OZG nach dem EfA-Prinzip sinnvoll ist: Mit Blick auf das Datenschutzrecht birgt die Digitalisierung von Verwaltungsleistungen nach dem EfA-Prinzip einige Herausforderungen. So stellt sich beispielsweise die Frage der datenschutzrechtlichen Verantwortlichkeit i. S. v. Art. 4 Nr. 7 DS-GVO. Zu klären ist etwa wie die datenschutzrechtlichen Rollen der beteiligten Akteure (Land A, Dienstleister B, nachnutzende Länder und Kommunen C) zu bewerten sind, welche Verantwortlichkeiten im Sinne der DS-GVO (Verantwortlichkeit, gemeinsame Verantwortlichkeit oder Auftragsverarbeitung) entstehen und wie die hieran anknüpfenden Rechtsfolgen effizient realisiert werden können (bedarf es der Schaffung neuer gesetzlicher Grundlagen oder sind zahlreiche Verträge abzuschließen). Dem Grundsatz der Rechtmäßigkeit des Art. 5 Abs. 1 Buchst. a i. V. m. Art. 6 Abs. 1 DS-GVO folgend muss zudem die Frage geklärt werden, welche Rechtsgrundlagen für die unterschiedlichen Datenverarbeitungen, die mit der Nutzung eines Onlinedienstes einhergehen, zur Anwendung gelangen. Die fachlich zuständige Behörde des nachnutzenden Landes/der nachnutzenden Kommune C kann die Verarbeitung personenbezogener Daten für die Inanspruchnahme der Verwaltungsleistung in der Regel auf Art. 6 Abs. 1 UAbs. 1 Buchst. e i. V. m. Art. 6 Abs. 3 i. V. m. einer Vorschrift aus dem jeweils einschlägigen Fachrecht stützen. Es fehlen aber Rechtsgrundlagen für Datenverarbeitungen, die der Bearbeitung der fachlich zuständigen Behörde vorgelagert, durch die den Onlinedienst betreibende Behörde (Land A) vorgenommen werden oder die ausschließlich aus dem Umstand der elektronischen Bereitstellung der Verwaltungsleistung erwachsen.
Das OZG enthält in seiner aktuellen Fassung keine Antworten auf diese Fragen. Letztlich bedürfte es daher für jede Nachnutzung eines Onlinedienstes nach dem EfA-Prinzip einer individuellen datenschutzrechtlichen Bewertung anhand der Vorschriften der DS-GVO. In praktischer Hinsicht ist hieran problematisch, dass die Digitalisierung von Verwaltungsleistungen nicht homogen einem bestimmten Schema folgt, sondern durch die Gegebenheiten des jeweiligen Digitalisierers (Land A und Dienstleister B) bestimmt ist. In rechtlicher Hinsicht tritt hinzu, dass die Regelungen der DS-GVO ausgelegt werden müssen und zusätzlich das Fachrecht auf die datenschutzrechtliche Bewertung Einfluss nimmt. Durch diese komplexe Gemengelage entstehen Interpretationsspielräume, die in der Praxis zu erheblichen Rechtsunsicherheiten führen. Hinzukommt, dass auch für den Fall, dass die datenschutzrechtlichen Fragen unter Nutzung der von der DS-GVO zur Verfügung gestellten Handlungsinstrumente gelöst werden, allein durch die Anzahl möglicher Akteure und Konstellationen erhebliche Aufwände entstehen (z. B. durch den Abschluss von zahlreichen Auftragsverarbeitungsverträgen nach Art. 28 DS-GVO).
Lösung durch ergänzende datenschutzrechtliche Regelungen im OZG
Die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat die datenschutzrechtlichen Herausforderungen der Verwaltungsdigitalisierung bereits frühzeitig erkannt und schon im Herbst 2021 ergänzende gesetzliche Regelungen gefordert. Sie stellte fest, dass die rechtlichen Rahmenbedingungen für eine datenschutzkonforme Umsetzung des EfA-Prinzips im OZG weiterhin nicht geschaffen worden seien und durch den zwangsläufigen Rückgriff auf diverse Übergangsregelungen zur Zuweisung der datenschutzrechtlichen Verantwortlichkeit erhebliche datenschutzrechtliche Risiken und Zweifel an der Rechtmäßigkeit des Verwaltungshandelns entstünden. Um den Gesetzgebungsprozess bezüglich datenschutzrechtlicher Fragestellungen proaktiv zu unterstützen, hat die DSK eine Kontaktgruppe eingesetzt, die die Ausarbeitung des „OZG 2.0“ beratend begleitet hat.
Datenschutzregelungen für Onlinedienste nach dem EfA-Prinzip
Der am 23.02.2024 im Bundestag verabschiedete Entwurf eines Gesetzes zur Änderung des OZG enthält – neben einer Vielzahl weiterer, nicht datenschutzspezifischer Änderungen – in Artikel 1 Nr. 2 und 9 OZG-Änderungsgesetz datenschutzrechtliche Regelungen für Onlinedienste nach dem EfA-Prinzip. Zunächst definiert § 2 Abs. 8 OZG-neu den Begriff des Onlinedienstes. Onlinedienst ist hiernach „eine IT-Komponente, die ein eigenständiges elektronisches Angebot an die Nutzer darstellt, welches die Abwicklung einer oder mehrerer elektronischer Verwaltungsleistungen von Bund oder Ländern ermöglicht. Der Onlinedienst dient dem elektronischen Ausfüllen der Online-Formulare für Verwaltungsleistungen von Bund oder Ländern, der Offenlegung dieser Daten an die zuständige Fachbehörde sowie der Übermittlung elektronischer Dokumente und Informationen zu Verwaltungsvorgängen an die Nutzer, gegebenenfalls unter Einbindung von Nutzerkonten einschließlich deren Funktion zur Übermittlung von Daten aus einem Nutzerkonto an eine für die Verwaltungsleistung zuständige Behörde. Der Onlinedienst kann auch verfahrensunabhängig und länderübergreifend, insbesondere in der Verantwortung einer Landesbehörde zur Nutzung durch weitere Länder, bereitgestellt werden.“ Sodann normiert § 8a OZG-neu die datenschutzrechtlich relevanten Aspekte der Verwaltungsdigitalisierung nach dem EfA-Prinzip. Nach § 8a Abs. 1 Satz 1 OZG-neu darf die einen Onlinedienst betreibende Behörde (Land A) für die folgenden Zwecke personenbezogene Daten verarbeiten: (1) Unterstützung bei der Inanspruchnahme einer elektronischen Verwaltungsleistung, (2) Offenlegung der Daten aus dem Online-Formular an die jeweils zuständige Behörde und (3) Übermittlung von elektronischen Dokumenten zu Verwaltungsvorgängen an den Nutzer. Hiervon umfasst sind nach § 8a Abs. 1 Satz 2 OZG-neu auch besondere Kategorien personenbezogener Daten, soweit diese für das angeschlossene Verwaltungsverfahren (Fachverfahren) erforderlich sind. Damit Nutzer die Möglichkeit haben die Bearbeitung eines Online-Formulars zu unterbrechen, schafft § 8a Abs. 2 OZG-neu zudem eine Rechtsgrundlage für die Zwischenspeicherung personenbezogener Daten im Onlinedienst. Ergänzend regelt § 8a Abs. 3 OZG-neu die Modalitäten der Aufbewahrung und Löschung der zwischengespeicherten Daten. § 8a OZG-neu schafft somit Rechtsgrundlagen für die Verarbeitung, um so die im geltenden Recht bestehenden Lücken zu schließen. Die Regelung des § 8a Abs. 4 OZG-neu macht wiederum von der Möglichkeit der gesetzlichen Verantwortungszuweisung nach Art. 4 Nr. 7 HS 2 DS-GVO Gebrauch. Nach § 8a Abs. 4 Satz 1 OZG-neu liegt die Verantwortlichkeit für die Verarbeitung personenbezogener Daten im Onlinedienst ausschließlich bei der den Onlinedienst betreibenden Behörde (Land A). Hiervon unberührt bleibt nach § 8a Abs. 4 Satz 2 OZG-neu die Verantwortlichkeit der Behörde, an die personenbezogene Daten zum Zwecke der Durchführung des Verwaltungsverfahrens übermittelt werden (Behörde des nachnutzenden Landes/der nachnutzenden Kommune C).
Durch die neu geschaffenen Regelungen entsteht nicht nur für die beteiligten Akteure ein höheres Maß an Rechtssicherheit. Auch für die nutzenden Bürgerinnen und Bürger wird das Handeln der Verwaltung im Kontext der Digitalisierung transparenter und nachvollziehbarer. Weiterhin werden eine Vielzahl andernfalls notwendiger vertraglicher Re- gelungen (Auftragsverarbeitungsverträge/Vereinbarungen zur gemeinsamen Verantwortlichkeit) durch die gesetzgeberische Verantwortungszuweisung und die neu geschaffenen Rechtsgrundlagen obsolet. Dies dürfte sich positiv auf das Voranschreiten der Verwaltungsdigitalisierung auswirken. Insgesamt sind die datenschutzrechtlichen Regelungen für Onlinedienste nach dem EfA-Prinzip des OZG-neu daher – trotz kleinerer Kritikpunkte – zu begrüßen.
Once-Only-Generalklausel
Sinn und Zweck des Once-Only-Prinzips ist es die Beantragung von digitalen Verwaltungsleistungen einfach, schnell und effektiv zu gestalten. Das Einverständnis der nutzenden Bürgerinnen, Bürger und Unternehmen vorausgesetzt, sollen einmal angegebene Daten wiederverwendet und mit anderen Behörden unkompliziert und sicher ausgetauscht werden können. Hierzu ist es erforderlich, dass die Nutzenden über ein Identifikationsmanagement eindeutig wiedererkannt werden können. An dieser Stelle kommt ein zweites Mammutprojekt der Verwaltungsdigitalisierung zum Tragen: Die Registermodernisierung nach dem Registermodernisierungsgesetz (RegMoG). Das vom RegMoG umfasste Identifikationsnummerngesetzes (IDNrG) legt die Steuer-ID als registerübergreifendes Identifikationsmerkmal fest und ermöglicht hierdurch das Identifikationsmanagement. Denknotwendig geht mit der Schaffung eines einheitlichen, registerübergreifenden Identifikationsmerkmals die Gefahr der Erstellung umfassender Persönlichkeitsprofile einher. Dies wird noch deutlicher, wenn man das Ausmaß der Registermodernisierung betrachtet: Nach Anlage 1 zu § 1 ID-NrG werden zunächst 51 Register durch die Steuer-ID als Identifikationsmerkmal miteinander verknüpft. In ihrer Entschließung vom 26. August 2020 „Registermodernisierung verfassungskonform umsetzen!“ hat die DSK auf die hiermit einhergehenden Gefahren für den Persönlichkeitsrechtsschutz hingewiesen. Auch an anderer Stelle wurden Bedenken an der Registermodernisierung geäußert.
Um die mit der Registermodernisierung einhergehenden Risiken zu minimieren, wurden insbesondere in den §§ 2 Nr. 3 und 9 IDNrG Regelungen zum Schutz der Rechte und Freiheiten der Betroffenen aufgenommen. § 2 Nr. 3 IDNrG verpflichtet registerführende Stellen natürlichen Personen die Übermittlung ihrer Daten unter Verwendung der Identifikationsnummer digital über eine zentrale Stelle transparent zu machen (Datenschutzcockpit). Hierdurch soll es Bürgerinnen und Bürgern ermöglicht werden den Überblick über die entstandenen Datenübermittlungen zu behalten. Flankierend ordnet § 9 Abs. 1 IDNrG an, dass Datenübermittlungen zwischen öffentlichen Stellen unter Nutzung einer Identifikationsnummer zu protokollieren sind. Nach § 9 Abs. 2 IDNrG dürfen die Protokolldaten nur zur datenschutzrechtlichen Prüfung sowie zur Gewährleistung der datenschutzrechtlichen Rechte der betroffenen Person, einschließlich der Übermittlung an das Datenschutzcockpit, verwendet werden.
Auch wenn die zuvor dargestellten Entwicklungen rund um das OZG-Änderungsgesetz zu begrüßen sind – mit der Erweiterung der Once-Only-Generalklausel in § 5 E-Government-Gesetz (EGovG-neu) und der hieraus resultierenden Verknüpfung der Regelungen des OZG-neu mit den Regelungen des IDNrG verbleibt aus der Perspektive des Datenschutzes ein Wermutstropfen.
Durch Artikel 2 Nr. 8 des OZG-Änderungsgesetzes soll § 5 Abs. 4 E-EGovG-neu nun folgenden Wortlaut erhalten:
„Soll der Nachweis aus einem Register, welches in der Anlage zum Identifikationsnummerngesetz (…) aufgeführt ist, abgerufen werden, darf die nachweisanfordernde Stelle die Identifikationsnummer nach § 1 des Identifikationsnummerngesetzes zur Zuordnung der Datensätze zum Antragsteller und zum Abruf des Nachweises an die nachweisliefernde Stelle übermitteln. Das Nachweisabrufersuchen darf zusätzlich weitere Daten im Sinne von § 4 Absatz 2 und 3 des Identifikationsnummerngesetzes, in der Regel das Geburtsdatum, zur Validierung der Zuordnung enthalten. Zu diesem Zweck darf die nachweisliefernde Stelle diese Daten verarbeiten.“ Die in § 5 Abs. 4 E-GovG-neu beschriebene Verarbeitung ist nicht von der Regelung des § 2 Nr. 3 IDNrG umfasst, da die Vorschrift nur die registerführenden Behörden, nicht aber diejenigen öffentlichen Stellen, die sich zum Zwecke des Abrufs an sie wenden, adressiert. Findet somit trotz Anfrage seitens der nachweisanfordernden Behörde keine Datenübermittlung durch die Registerbehörde statt, wird dieser Vorgang nicht im Datenschutzcockpit erfasst und bleibt für Bürgerinnen und Bürger somit intransparent. Dies ist bedauerlich, zumal das Transparenzdefizit durch geringfüge Anpassungen des gesetzlichen Wortlauts auszuräumen gewesen wäre.
Zusammenfassend lässt sich festhalten: Auch aus datenschutzrechtlicher Sicht bringt die Digitalisierung der Verwaltung Herausforderungen mit sich. Zu begrüßen ist, dass einige dieser Probleme durch den aktuellen Gesetzesentwurf zur Änderung des OZG gelöst werden und hierdurch zukünftig mehr Rechtssicherheit entsteht. Andererseits lässt der Umstand, dass die DSK bereits seit Herbst 2021 ergänzende datenschutzrechtliche Regelungen zum OZG fordert, erahnen, wie viel zeitliche und personelle Ressourcen in den vergangenen 2,5 Jahren allein zur Beantwortung datenschutzrechtlicher Fragen aufgewendet wurden. Diese wären durch ein zügigeres gesetzgeberisches Handeln vermeidbar gewesen. Nicht nur im Rahmen von Digitalisierungsprojekten, sondern auch am Beispiel der Gesetzgebung zum OZG zeigt sich einmal mehr: Datenschutz sollte frühzeitig mitgedacht und von Beginn an berücksichtigt werden. Denn hier gilt die Lebensweisheit des Dalai Lama: „Jede schwierige Situation, die du jetzt meisterst, bleibt dir in der Zukunft erspart.“
