Bis Ende des Jahres sollte das bereits 2017 verabschiedete Online-Zugangsgesetz im gesamten Bundesgebiet umgesetzt sein. Die Digitalisierung und die Vernetzung von Verwaltungsvorgängen sollten dadurch einen immensen Schub erhalten – und damit auch Effektivität, Effizienz und Nutzerfreundlichkeit der Serviceleistungen. Doch ohne fremde Hilfe – sprich: IT-Fachkräfte – ist die Deadline wohl nicht einzuhalten.
Was regelt das Online-Zugangsgesetz?
Kurz gesagt geht es darum, dass mehr als 6.000 der am häufigsten von Bürgern genutzten Verwaltungsleistungen zukünftig digital verfügbar gemacht werden sollen. Diese erreichen von der Ummeldung des Wohnsitzes bis hin zur Abgabe der Steuererklärung. Die daraus gebildeten 575 Leistungsbündel decken insgesamt 25 Lebens- und 17 Unternehmenslagen aus 14 Themenfeldern ab.
Deutsche Verwaltung bei Umsetzung des OZG flächendeckend in Verzug
Die Digitalisierung und die Vernetzung der Leistungen ist – insbesondere bei kleineren Verwaltungen – bislang nur schleppend vorangekommen. Zwar sind viele deutsche Behörden mittlerweile in der Lage, online Formulare bereitzustellen und Kontaktaufnahmen per E-Mail anzubieten. Von einer rein digitalen Antragsabwicklung ist die deutsche Verwaltungslandschaft aber noch weit entfernt. Stand Juli 2022 befinden sich 71 OZG-Leistungen in Planung, 203 in Umsetzung und 80 gelten als umgesetzt – insofern als zumindest eine Leistung eines OUG-Leistungsbündels in zumindest einer Kommune online geschaltet worden ist. Mit Blick auf die in nunmehr sieben Wochen auslaufende Deadline eine ziemlich niedrige Ausbeute.
OZG-Realisierung vielerorts ohne externe Hilfe kaum zu stemmen
Der Grund hierfür ist denkbar einfach: Die Digitalisierung und Vernetzung von über 6.000 Serviceleistungen ist ein enormer Kraftakt – selbst für große Bundesbehörden, mehr noch aber für Landes- und vor allem kleine und kleinste Kommunalverwaltungen. Aus personeller Sicht ist die Masse der zu digitalisierenden Leistungen kaum zu stemmen. Es besteht ein Mangel an IT-Fachkräften – allen voran in den Verwaltungen kleiner Kommunen. Ohne diese Fachkräfte ist eine Umsetzung des Online-Zugangsgesetz schwer realisierbar, sowohl hinsichtlich des vorgegebenen Zeitplans als auch der in Deutschland geltenden Datensicherheits- und Datenschutzstandards.
Datenschutz und Datensicherheit als zentrale Herausforderung
Das Bundesinnenministerium (BMI) wurde im § 5 OZG damit beauftragt, Sicherheitsstandards für sämtliche zur Umsetzung der digitalen Verwaltungsleistungen erforderlichen IT-Komponenten zu definieren. Dies soll die Gewährleistung von IT-Sicherheit und Datenschutz bei der Umsetzung der OZG-Vorgaben in ausreichendem Umfang sicherstellen.
Hierin liegt für die Verwaltungen jedoch ein weiteres Problem: Denn bis zur Bekanntgabe der erforderlichen Sicherheitsstandards ließ das BMI viel Zeit verstreichen – erst am 20. Januar 2022 wurde die Verordnung zur Gewährleistung der IT-Sicherheit der im Portalverbund und zur Anbindung an den Portalverbund genutzten IT-Komponenten (IT-Sicherheitsverordnung Portalverbund – ITSiV-PV) veröffentlicht. Sie beinhaltet:
- Technische Richtlinien (§ 2 Abs. 2 ITSiV-PV)
- Vorgaben für Penetrationstests und Webchecks (§ 2 Abs. 9 ITSiV-PV)
- Muster für eine Eigenerklärung ($2 Abs. 12 ITSiV-PV) sowie
- Weitere Leitlinien, Standards und Hilfsmittel.
Die späte Bekanntgabe dieser sicherheitstechnischen Vorgaben warf viele Verwaltungen wieder zurück. Denn die Entwicklung und Implementierung von Lösungen war vielerorts zu diesem Zeitpunkt – weniger als ein Jahr vor der Deadline – in vollem Gange. Besonders schwierig war und ist es daher für Verwaltungen und Lösungsanbieter, die Sicherheit der umgesetzten „Verwaltungsangebote“ umständlich zu evaluieren und nachzujustieren – selbstverständlich bis zum Fristende.
Deswegen hat das Bundesamt für Sicherheit und Informationstechnik (BSI) in seiner Verordnung einen Aufschub gewährt. Verwaltungen, die ihre OZG-IT-Komponenten bis zum 30. Juni 2022 in Betrieb genommen haben, dürfen bis zum 31. Dezember 2022 – „in begründeten Fällen“ auch bis zu zwei Jahre nach Inkrafttreten der Verordnung – von den sicherheitstechnischen Richtlinien der ITSiV-PV abweichen. Damit erhalten Verwaltungen und Lösungsanbieter noch einmal eine „Schonfrist“, die OZG-Vorgaben doch noch so schnell und so sicher wie möglich umzusetzen.
Verwaltungen dagegen, die hinsichtlich der OZG-Umsetzung weit zurückliegen, profitieren von dieser Regelung nicht. Für sie ist die Frist nur einhaltbar, wenn sie sich möglichst schnell die fehlende Expertise von außen dazukaufen und fertige Lösungen externer Anbieter in ihre Systeme integrieren. Eine zentrale Rolle wird dabei das Aufspüren einer Compliance-konformen Lösung für den sicheren Datentransfer spielen. Neben den Standardvorgaben zu Datenschutz und Datensicherheit, wie DSGVO und ISO27001m muss die Lösung auch sämtliche Vorgaben des BMI für OZG-taugliche Komponenten einhalten. An der Implementierung eines Filesharing Services, der auf den Konzepten „Privacy by Design“ und „Security by Design“ beruht, der in der Lage ist, Datenübertragungen clientseitig Ende-zu-Ende zu verschlüsseln und Nutzer feingranular zu managen, werden deutsche Verwaltungen deshalb kaum herumkommen.
