„Und schließlich brauchen wir endlich eine digitale Verwaltung“, stellte der Bundeskanzler Olaf Scholz in seiner Rede anlässlich der re:publica 2022 in Berlin fest – einige Monate vor Ablauf der Frist zur Digitalisierung von Hunderten Verwaltungsleistungen in Deutschland. Ein wenig spät in Anbetracht der Tatsache, dass dieses Ziel schon 2017 beschlossen und bis zum Ablauf der Frist kaum flächendeckend umgesetzt wurde. Die Digitalisierung der öffentlichen Verwaltung ist in Deutschland kein einfaches Unterfangen, denn neben verschiedenen Problemen bei der Umsetzung gibt es auch datenschutzrechtliche Fragestellungen, die zu berücksichtigen sind.

Das Onlinezugangsgesetz (OZG)

Die Abkürzung OZG steht für das 2017 beschlossene Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen, kurz Onlinezugangsgesetz. Inhaltlich sieht das Gesetz in § 3 Abs. 1 OZG vor, „dass Nutzer über alle Verwaltungsportale von Bund und Ländern […] Zugang zu elektronischen Verwaltungsleistungen […] erhalten.“ Damit ist das OZG eines der größten Digitalisierungsprojekte hierzulande und wird von Bund, Ländern und Kommunen arbeitsteilig umgesetzt. In § 1 Abs. 1 OZG wird auch die Frist für die Umsetzung bestimmt: „bis spätestens“ Ende 2022. Wie allgemein bekannt, wurde dieses Ziel verfehlt.

Gründe für den unzureichenden Umsetzungsstand

Neben dem verspäteten Beginn ist wohl vor allem der Umstand, dass der Fristablauf für die Behörden keinerlei Konsequenzen hatte, ausschlaggebend für den unzureichenden Umsetzungsstand. Dazu kommt, dass es sich bei den beteiligten Akteuren um rund 11.000 Kommunen mit unterschiedlichen IT-Strukturen, verschiedenen Zuständigkeiten, Arbeitsweisen und Ressourcen handelt. Kombiniert mit der fehlenden Koordination durch den Bund und der Nichtvorgabe von einheitlichen Standards, war das Unterfangen schon von Anfang an für die einzelnen Kommunen in der vorgegebenen Zeit nicht stemmbar. Hinzu kommt die schleppende Umsetzung der 2021 beschlossenen Registermodernisierung über das Registermodernisierungsgesetz (RegMoG). Hiernach sollte die der einzelnen Person zugewiesene steuerliche Identifikationsnummer (Steuer-ID) mit den Registern, meist elektronisch geführten Datenbeständen der öffentlichen Verwaltung, gekoppelt werden. Letztlich soll damit der Austausch von Daten bzw. von Nachweisen zwischen unterschiedlichen Behörden und anderen verantwortlichen Stellen ermöglicht werden. Über die Gefahren, die im Zusammenhang mit der Entwicklung der Steuer-ID zu einer allumfassenden Personenkennziffer entstehen können, haben wir hier berichtet.

Kritik am Prinzip „Einer für Alle“ (EfA)

All diese Punkte müssten dem Bund bewusst gewesen sein, als man mit dem Projekt Digitalisierung der öffentlichen Verwaltung begann. Der Bund rief deshalb das Prinzip „Einer für Alle“ (EfA) ins Leben. Hiernach sollte ein Bundesland eine Verwaltungsleistung digitalisieren und alle anderen Länder sollten den hierfür entwickelten digitalen Dienst nachnutzen dürfen. Die Vorteile liegen klar auf der Hand: Nicht jeder Dienst sollte durch jeden entwickelt werden, sondern die Umsetzung sollte abgestimmt und arbeitsteilig erfolgen. Dies bedeutet eine Ersparnis von Zeit, Ressourcen und Kosten sowie die finanzielle Förderung durch den Bund. Das Bundesinnenministerium erläutert an einem Beispiel, dass wenn Bundesland A bereits einen Antrag für Wohngeld digitalisiert (hat), Bundesland B davon profitiert, weil es keinen eigenen Antrag digitalisieren muss, sondern sich an die Lösung aus Land A anschließen kann.

Jedoch hat das EfA-Prinzip bisher nicht flächendeckend zu einer Nachnutzung der Dienste geführt. Einer der Hauptkritikpunkte ist, dass das EfA-Prinzip nicht im Frontend ansetze und keine verbindlichen Standards für das Backend festlege (vgl. auch hier). Dies mache die Nachnutzung sehr aufwendig, da Kommunen die Dienste vor der Nachnutzung an die jeweiligen Fachverfahren und Basiskomponenten anpassen müssten, wie der Nationale Normenkontrollrat in seinem Positionspapier zum Entwurf eines Gesetzes zur Änderung des OZG treffend zusammenfasst. Außerdem seien die einheitlichen Softwarelösungen nicht geeignet, den unterschiedlichen Bedürfnissen der Verwaltungen gerecht zu werden. Weder hätte es einen innovationsförderlichen Wettbewerb unter den Softwareanbietern gegeben noch gäbe es ein „nachvollziehbares Architekturmanagement“, welches Standards setzt und die verschiedenen Komponenten bereitstellt. Es wurde dringend eine Änderung des Verfahrens angeraten.

Datenschutzrechtliche Verantwortlichkeit: Getrennt oder gemeinsam?

Neben diesen zahlreichen Problemen bei der tatsächlichen Umsetzung des EfA-Prinzips, stellen sich zudem auch Fragen des Datenschutzes. Konkret geht es um die Frage der datenschutzrechtlichen Verantwortlichkeit im Sinne des Art. 4 Nr. 7 DSGVO. Unproblematisch ist der Fall, wenn Bundesland A den Onlineantragsassistenten für eine Verwaltungsleistung stellt und auch die fachliche Datenverarbeitung übernimmt. Datenschutzrechtlich verantwortlich ist dann nur Land A. Wenn aber Land A den Onlineantragsassistenten stellt und Bundesland B als fachlich zuständige Behörde den Antrag weiterbearbeitet, stellt sich die Frage, ob sie getrennt oder gemeinsam verantwortlich sind.

Hinsichtlich der getrennten Verantwortlichkeit spricht das Bundesinnenministerium dabei in seinem Papier zur datenschutzrechtlichen Einordnung von Portallösungen und Fachanwendungen in der OZG-Umsetzung (vom 15.01.2021) von einer sog. „Verarbeitungskette“ und sieht darin die Übermittlung von erhobenen Daten einer verantwortlichen Stelle an eine weitere Stelle. Für eine gemeinsame Verantwortlichkeit hingegen müssten im Sinne des Art. 26 DSGVO die Mittel und Zwecke gemeinsam festgelegt werden. Das Ministerium betont, dass es letztlich eine Einzelfallentscheidung anhand der genannten Kriterien sei, argumentiert aber gleichzeitig vom Ergebnis her und sagt, dass es schon aus „Praktikabilitätsgründen“ lohnenswert sei, zu prüfen, ob es plausible Gründe gibt, um eine gemeinsame Verantwortlichkeit abzulehnen. So würden bei einer gemeinsamen Verantwortlichkeit mehrere Hundert Stellen in unterschiedlichen Bundesländern datenschutzrechtlich eine gesamtschuldnerische Haftung übernehmen. Eine Einzelfallentscheidung und eine Lösung aus Praktikabilitätsgründen klingen jedoch nicht nach einer datenschutzrechtlich einheitlichen Lösung, die für die Nutzer transparent und für die Behörden umsetzbar ist. Die Möglichkeit einer gesetzlichen Festlegung der datenschutzrechtlichen Verantwortlichkeit mit der entsprechenden Ausgestaltung im tatsächlichen Rahmen wird vom Ministerium auch als Option angeführt.

Fazit

Die digitale Verwaltung sollte nicht nur elektronisch, sondern einfacher und besser werden. Aufgrund der unzureichenden Planung und der Nichtberücksichtigung der Strukturen der öffentlichen Verwaltung hierzulande scheiterte die flächendeckende Umsetzung des OZG bislang. Das EfA-Prinzip konnte leider nicht den gewünschten Erfolg bringen, sondern führte tatsächlich und auch in datenschutzrechtlicher Hinsicht nicht zur Vereinheitlichung oder Erleichterung, sondern zu mehr Arbeit und Einzelfallentscheidungen. Die einzige Lösung bleibt demnach nur die Änderung des OZG und die Schaffung eines Folgegesetzes (OZG 2.0). In diesem sollten alle hier aufgeführten Probleme angegangen und insbesondere die datenschutzrechtliche Fragestellung hinsichtlich der Verantwortlichkeit bei EfA-Verfahren gesetzlich gelöst werden. Dieser Weg ist für die Behörden und auch die datenschutzrechtliche Beratung zu begrüßen.

In unserem zweiten Teil über das OZG werden wir das OZG 2.0 näher beleuchten und darstellen, ob wir mit den dort enthaltenen Änderungen dem Ziel der digitalen Verwaltung einen Schritt bzw. einen Klick näherkommen werden.