Symbolbild: Ein Geschäftsmann mit Tablet am Schreibtisch. Über das Bild virtuelle Symbole, u.a. eine Waage für Recht.
© Shutterstock / Alexander Supertramp

OZG und DSGVO: Nutzerkonto und Once Only-Prinzip müssen Datenschutz einhalten

Zwei Fachanwälte erklären die Relevanz der DSGVO bei der Umsetzung des Onlinezugangsgesetzes

Wenn personenbezogene Daten von BürgerInnen und Unternehmen nur ein einziges Mal erfasst und anderen Verwaltungen zur Verfügung gestellt werden sollen, tangiert das wichtige Belange des Datenschutzes. Die Fachanwälte Andreas Haak und Nico Winter erklären, was zu beachten ist.

Mit dem Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (Onlinezugangsgesetz, OZG) müssen Bund, Länder und Kommunen spätestens bis zum 31. Dezember 2022 verschiedene Verwaltungsleistungen über Verwaltungsportale online anbieten. An der Überfälligkeit und Richtigkeit der Digitalisierung besteht kein Zweifel. Doch die ambitionierte Zielsetzung der Digitalisierung im Allgemeinen und die Umsetzung des OZG im Besonderen stellt die drei Ebenen der föderalen Verwaltung (Bund, Länder und Kommunen) – wohl gleichsam unbestritten – vor immense Herausforderungen. Digitale Leistungen sind nicht nur zügig zu entwickeln, sondern ebenso wirksam wie schnell in die bestehenden Behördenabläufe zu integrieren. Rund 600 Verwaltungsleistungen sind zu digitalisieren. Diese Aufgabe wollen Bund, Länder und Kommunen arbeitsteilig im Sinne einer föderalen Zusammenarbeit (sog. „Ressort-Land-Tandem“) bewältigen. 

Nicht zuletzt das im Juni 2020 beschlossene Konjunktur- und Krisenbewältigungspaket der Bundesregierung, das für die zügige, flächendeckende Umsetzung des OZG durch Länder und Kommunen weitere Finanzmittel in Höhe von drei Milliarden Euro bereitstellt, besteht auf der arbeitsteiligen und flächendeckenden Umsetzung des Architekturkonzepts. Unter dem Leitgedanken „Einer für alle“ sind die Arbeitsgruppen aufgerufen, zentrale digitale Leistungen so zu entwickeln, dass diese zukünftig anderen Ländern und Kommunen zur Verfügung stehen oder gestellt werden können.

Im Zusammenhang mit der Entwicklung von IT-Lösungen wird dann das Vergaberecht wieder relevant. Der Leistungsaustausch zwischen den beteiligten Verwaltungsträgern ist Grundstein für eine langfristige Zusammenarbeit. Doch muss diese Zusammenarbeit den vergaberechtlichen Vorgaben entsprechen, die auf dem Gebiet der horizontalen und vertikalen Zusammenarbeit von öffentlichen Auftraggebern gelten. Erst jüngst hat der Europäische Gerichtshof (EuGH) seine traditionsreiche Rechtsprechungspraxis zu horizontalen Kooperationen mit Entscheidungen zum novellierten EU-Vergaberecht fortgesetzt und dadurch zumindest in Teilen mehr Rechtsicherheit geschaffen (EuGH, Urteil vom 28. Mai 2020 – C-796/18 – „Stadt Köln“, EuGH, Urteil vom 4. Juni 2020 – C- 429/19 – „Remondis“).

Das OZG legt ausdrücklich fest, welche Daten des Nutzers verarbeitet werden dürfen.
© Shutterstock / sdecoret

Once Only-Prinzip und DSGVO 

Doch die Umsetzung des OZG wirkt weit darüber hinaus und betrifft freilich andere (Rechts-)Bereiche. Mit der perspektivisch geplanten Einführung des „Once Only-Prinzips“, wonach personenbezogene Daten bei Bürgerinnen, Bürgern und Unternehmen nur ein einziges Mal erfasst und über den registerübergreifenden Datenaustausch anderen Verwaltungsträgern zur Verfügung gestellt werden sollen, tangiert insbesondere auch wichtige Belange des Datenschutzes. So sind sowohl rechtliche sowie technische Vorgaben zu beachten.

Die in der Datenschutz-Grundverordnung (DSGVO) verankerten Grundsätze für die Verarbeitung personenbezogener Daten sind unverändert auch im Zeitalter der digitalen Verwaltung zu beachten. Oberste Prämisse bleibt demnach: Keine Datenverarbeitung ohne Rechtsgrundlage! Diese Grundregel betrifft die Datenerhebung im Rahmen des Registrierungsprozesses ebenso wie die spätere Verarbeitung der angegebenen personenbezogenen Daten.

DSGVO verpflichtet zum Nachweis über erteilte Einwilligung

Für die Registrierung sowie die Kommunikation mit dem Registrierenden legt das OZG ausdrücklich fest, welche Datenkategorien verarbeitet werden dürfen. Bestimmte Verarbeitungsvorgänge bedürfen der Einwilligung des Nutzers – diese ist vor Beginn der Datenverarbeitung zu erteilen. Dabei verpflichtet die DSGVO den Verantwortlichen, wirksam Nachweis über die erteilten Einwilligungen zu erbringen. 

Denn digitale Verwaltung ändert nichts daran, dass die Nutzer die Hoheit über ihre Daten behalten (sollen). Entsprechend sind im Zusammenhang mit der Umsetzung des OZG technische Maßnahmen zu treffen, die den Nutzern die jederzeitige Löschung ihrer Nutzerkontos und/oder der gespeicherten Daten ermöglichen.

Die digitale Verwaltung lässt schließlich angemessene Maßnahmen zur IT-Sicherheit erforderlich werden. Die Standards für die im Portalverbund und für die zur Anbindung an denselben genutzten IT-Komponenten werden durch Rechtsverordnung des Bundesministeriums des Innern, für Bau und Heimat festgelegt. Eine solche steht bislang allerdings noch aus.