Datenschutz im Bayerischen E-Government-Gesetz

Transkript

1 Datenschutz im Bayerischen E-Government-Gesetz Auswirkungen des BayEGovG auf die Bezirkskrankenhäuser und Bezirksverwaltungen Kurs Datenschutz bei den bayerischen Bezirken, Kloster Seeon, bis Dr. Wolfgang Denkhaus StMFLH/Bayerische Staatskanzlei

2 Überblick I. Das Gesetz im Überblick II. Regelungen mit Datenschutzbezug im BayEGovG 1. Art. 3 BayEGovG: Datenschutzkonforme Kommunikation 2. Art. 7 BayEGovG: Datenschutzkonforme elektronische Akte 3. Art. 8 BayEGovG: Datenschutz und IT-Sicherheit 4. Art. 9 BayEGovG: Basisdienste und zentrale Dienste III. Modernisierung des BayDSG IV. Auswirkungen des BayEGovG auf Bezirksverwaltungen und Bezirkskrankenhäuser 2

3 Teil I: Das BayEGovG im Überblick 3

4 BayEGovG: Regelungskonzept Ziel: Digitale Verwaltung auf allen Ebenen, insbesondere auch in der Fläche, In den über 2000 Kommunen in Bayern Rechtliche und technische, organisatorische und finanzielle Maßnahmen des egovernment abstimmen Bürger und Unternehmen als ein Motor des egovernment

5 Einstieg: BayEGovG und Monteglas 3.0 Montgelas 3.0 Bayern-Portal Montgelas 3.0 E- Government- Pakt E- Government- Gesetz

6 Bayern-Portal Zentrale Internetplattform des Freistaats Bayern, in die auch kommunale Dienste integriert werden können Freistaat stellt den Kommunen drei Infrastrukturbausteine zum Aufbau eigener Portale dauerhaft und kostenlos zur Verfügung Bürgerkonto (BayernID) Postkorb epayment

7 Bayern-Portal BayernPortal 7

8 Kommunale E-Government-Portale 8

9 E-Government-Pakt Regelt die Zusammenarbeit zwischen den kommunalen Spitzenverbänden und der Bayerischen Staatsregierung im Bereich E-Government Erstmals 2002 abgeschlossen; Überarbeitungen im Jahr 2009 und letzte Erneuerung am 13. November 2014 Projektliste beinhaltet gemeinsame Vorhaben: E-Government-Portale Informationssicherheit Harmonisierung von Adressdaten Digitalisierung der Schulsprengel Rechtssicheres Scannen

10 BayEGovG: Inhaltsübersicht Art. 1: Anwendungsbereich Art. 2: Digitale Zugangs- und Verfahrensrechte Art. 3: Elektronische Kommunikation und Identifizierung Art. 4: Elektronische Behördendienste Art. 5: Elektronischer Zahlungsverkehr und erechnung Art. 6: Elektronisches Verwaltungsverfahren Art. 7: Elektronische Akte Art. 8: IT-Sicherheit und Datenschutz Art. 9 Behördenzusammenarbeit Art. 9 a: Änderung anderer Rechtsvorschriften, BayVwVfG, BayDSG, Auskunftsrecht etc. Art. 10 Übergangs- und Schlussvorschriften 10

11 Konzeption des Gesetzes: Rechtsrahmen für everwaltung auf allen Ebenen in BY Subjektive Rechte auf verschlüsselte elektronische Kommunikation, elektronisches Verwaltungsverfahren, elektronische Nachweise, elektronisches Bezahlen Einführung der elektronischen Rechnung (ab 2019) Einführung der eakte in der Staatsverwaltung (ab 2017) und gesetzliche Normierung Grundsätze ordnungsgemäßer Aktenführung IT-Sicherheitskonzepte (auf Basis Art. 7 BayDSG) und Bayern- CERT Behördenzusammenarbeit in der IT (Bereitstellung von Basisdiensten und zentralen Diensten durch den Freistaat) Reform BayDSG: Einwilligung, Zentralisierung, Auskunftsanspruch Abbau von 40 Formvorschriften 11

12 Regelungsstruktur Rechte der Bürger z.b. auf Zugang, Verschlüsselung, elektronische Nachweise (Art. 2) Pflichten der Behörden korrespondierend (Art. 3 bis 6) Aufgabe des Freistaats behördenübergreifende Dienste zur Erfüllung der Pflichten aus Art 3 6 bereitzustellen (Art 9 Abs. 2 und 3) Berechtigung der Behörden ihre Pflichten aus Art 3 6 auch durch zentrale Dienste des Freistaats zu erfüllen (Art 9 Abs. 3 Satz 1 und Satz 3)

13 Inhaltsübersicht Art. 1: Anwendungsbereich Art. 2: Digitale Zugangs- und Verfahrensrechte Art. 3: Elektronische Kommunikation und Identifizierung Art. 4: Elektronische Behördendienste Art. 5: Elektronischer Zahlungsverkehr und erechnung Art. 6: Elektronisches Verwaltungsverfahren Art. 7: Elektronische Akte Art. 8: IT-Sicherheit und Datenschutz Art. 9 Behördenzusammenarbeit Art. 9 a: Änderung anderer Rechtsvorschriften, BayVwVfG, BayDSG, Auskunftsrecht etc. Art. 10 Übergangs- und Schlussvorschriften 13

14 Teil II: Regelungen mit Datenschutzbezug im BayEGovG 14

15 Datenschutz im BayEGovG Art 1 BayEGovG: Anwendungsbereich Bestimmungen des BayDSG auch im Anwendungsbereich des BayEGovG einzuhalten Anforderungen des BayDSG bleiben grundsätzlich unberührt BayEGovG enthält jedoch zum Teil ausdrückliche weitergehende bzw. abweichende Regelungen Art. 3: Verschlüsselte Kommunikation Art. 7: Ordnungsgemäße Aktenführung Art. 8: Erweiterter Anwendungsbereich des Art. 7 BaDSG auch für die IT-Sicherheit Art. 9: Basisdienste und zentralen Dienste als neue datenschutzrechtlich relevante Instrumente

16 Art 3 BayEGovG: Datenschutzkonforme Kommunikation 16

17 Art. 3: Datenschutz in der elektronischen Kommunikation Anspruch der Bürger auf elektronischen Zugang => Ab 2016 in Schriftformersetzender Form => Ab 2016 in Verschlüsselter Form (Hin- und Rückkanal => Ab 2020) Aktuell genügt damit Zugang! Pflicht der Behörden zur Zugangseröffnung per D Ähnlich 2 EGovG Bund => Start variabel Pflicht Behörde zu Online-Identifizierung per npa => Ab 2020 Zugangseröffnung durch den Bürger bleibt freiwillig 17

18 Datenschutzkonforme Kommunikation Pflicht für jede Behörde Kein Ermessen bei der Frage des Ob, aber Auswahlermessen bei der Frage des Wie. Möglichkeiten der Umsetzung Qualifizierte elektronische Signatur D npa mit Formular Umsetzung muss datenschutzkonform erfolgen => Maßgeblich ist die Sensitivität der betroffenen Daten => keine pauschale Lösung

19 Art. 7 BayEGovG Datenschutzkonforme elektronische Akte 19

20 Art. 7: Datenschutz in der elektronischen Akte Art. 7 Elektronische Akten und Register (1) 1 Die staatlichen Behörden sollen ihre Akten und Register elektronisch führen; Landratsämter und sonstige Behörden können ihre Akten und Register elektronisch führen. 2 Die Grundsätze ordnungsgemäßer Aktenführung sind zu wahren. Authentizität, Integrität und Zuverlässigkeit der elektronischen Akte setzt effektiven Datenschutz (vgl. Art. 7 BayDSG) zwingend voraus 3 Die gespeicherten Daten sind vor Informationsverlust sowie unberechtigten Zugriffen und Veränderungen zu schützen. 4 Die datenschutzrechtlichen Anforderungen sind zu beachten. 20

21 Art. 8 BayEGovG Datenschutz und IT-Sicherheit 21

22 Art. 8 IT-Sicherheit und Datenschutz Art. 8 Abs. 1 - Dezentral: IT-Sicherheitskonzepte der Behörden IT Sicherheit ist durch technisch-organisatorische Maßnahmen i.s.v. Art. 7 BayDSG zu gewährleisten Zur Umsetzung IT-Sicherheitskonzepte bis Art. 8 Abs. 2 - Zentral: Aufgaben und Befugnisse des CERT Datenverarbeitungsbefugnis bei IT- Sicherheitsvorfällen Meldepflichten an das CERT => Übermittlungsbefugnis 22

23 10 Gebote des Datenschutzes und der IT-Sicherheit Es sind gem. Art 8 Abs. 1 BayEGovG angemessene technische und organisatorische Maßnahmen im Sinne des Art. 7 BayDSG zu treffen: 1. Unbefugten ist der Zugang zu Datenverarbeitungsanlagen zu verwehren (Zugangskontrollen). 2. Das unbefugte Lesen, Kopieren, Verändern oder Entfernen von Datenträgern ist zu verhindern (Datenträgerkontrolle). 3. Die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten ist zu verhindern (Speicherkontrolle). 4. Die Nutzung von Datenverarbeitungssystemen mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten ist zu verhindern (Benutzerkontrolle). 5. Es ist zu gewährleisten, dass Berechtigte nur auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. (Zugriffskontrolle)

24 10 Gebote des Datenschutzes der IT- Sicherheit 6. Es ist zu gewährleisten, dass überprüft und festgestellt werden kann, an welchen Stellen Daten durch Einrichtungen der Datenübertragung übermittelt werden können (Übermittlungskontrolle). 7. Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, welche Daten zu welcher Zeit von wem in EDV-Systeme eingegeben worden sind (Eingabekontrolle). 8. Es ist zu gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle). 9. Das unbefugte Lesen, Kopieren, Verändern oder Löschen von Daten bei der Übertragung oder beim Transport von Datenträgern ist zu verhindern (Transportkontrolle). 10. Die Organisation ist so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle).

25 Art. 8 Abs. 1: IT-Sicherheit und Datenschutz Informationssicherheit ist im Rahmen der Verhältnismäßigkeit zu gewährleisten: Art und Ausmaß des Risikos Wahrscheinlichkeit des Risikoeintritts Kosten der Risikovermeidung Leistungsfähigkeit der jeweiligen Behörde

26 Art. 8 Abs. 1: IT-Sicherheit und Datenschutz Quelle: BSI-Standard 100-2, S. 32

27 Art. 8 IT-Sicherheit und Datenschutz Behörden erstellen die erforderlichen Informationssicherheitskonzepte Umsetzung des Beschlusses 2013/01 des IT- Planungsrats in Bayern Auch hier ist die Verhältnismäßigkeit ist zu beachten. Art und Ausmaß des Risikos Wahrscheinlichkeit des Risikoeintritts Kosten der Risikovermeidung Leistungsfähigkeit der jeweiligen Behörde

28 Informationssicherheitsmanagement (ISMS) Ein ISMS ist ein Rahmenwerk zur Etablierung und Fortführung eines kontinuierlichen Prozesses zur Planung, Lenkung und Kontrolle der Konzepte und Aufgaben, die auf die Wahrung der Ziele der Informationssicherheit in einer Institution gerichtet sind (Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung des IT-PLR). Art. 8 verlangt nicht ausdrücklich ein ISMS.

29 Anerkannte ISMS und Sicherheitsrichtlinien Art. 8 Abs. 1 legt keine bestimmten Standards fest. Anerkannte Standards sind insbesondere BSI-Grundschutz ISO ISIS12 ISA+ VdS 3473

30 IT-Sicherheitsstandards

31 ISIS12 Isis12 ist ein IT-Grundschutz-Profil für Kommunen Reduzierter Maßnahmenkatalog im BSI-Vergleich Handbuch und Katalog kostenfrei für alle Kommunen Online-Bestellung über Auf Initiative Bayerns hat der IT-Planungsrat ISIS12 zur Umsetzung seiner Mindestsicherheitsanforderungen anerkannt Auch BSI will mit der Modernisierung des IT-Grundschutzes ein IT-Grundschutz-Profil für Kommunen erarbeiten: Bayern fördert ISIS12 Einführung in Kommunen mit 50% (bis max )

32 ISIS12 Quelle: Bayerisches IT-Sicherheitscluster e.v.

33 Blaupausen ISIS12

34 Art. 8 Abs. 2: Bayern CERT Cyber-Emergency Response Team Schutz der IT-Infrastrukturen des Bayerischen Behördennetzes und der angeschlossenen Behörden Unselbstständiger Teil des Landesamts für Finanzen Bis zu 40 Mitarbeiter Bisherige Rechtslage CERT hat keine gesetzlichen Aufgaben und Befugnisse Tätigkeit nur im Auftrag der Behörden (datenschutzrechtlich) zulässig

35 Art. 8 Abs. 2: Bayern CERT Aufgabe (S. 1) Unterstützung und Beratung aller Behörden, die an das Behördennetz des Freistaates Bayern angeschlossen sind, für sicherheitsrelevante Vorfälle in IT-Systemen Befugnis (S. 2) Es sammelt und bewertet die zur Abwehr von Gefahren für die Sicherheit der Informationstechnik erforderlichen Daten, insbesondere zu Sicherheitslücken, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit der Informationstechnik Meldepflichten (S.3). Die an das Behördennetz angeschlossenen Behörden melden dem CERT sicherheitsrelevante Vorfälle. Das CERT spricht Warnungen und Empfehlungen aus und leitet Erkenntnisse an Dritte weiter, wenn dies zur Erkennung und Abwehr von Gefahren für Verwaltung, Bürger oder Wirtschaft erforderlich ist (S.4). Zweckbindungsgrundsatz: Personenbezogene Daten unterliegen der strikten Zweckbindung (S. 5)

36 Art. 8 Abs. 2: Bayern CERT Befugnis (S. 2) Es sammelt und bewertet die zur Abwehr von Gefahren für die Sicherheit der Informationstechnik erforderlichen Daten, insbesondere zu Sicherheitslücken, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit der Informationstechnik Datenschutzrechtlicher Rahmen: Art 15 BayDSG Art 16 BayDSG Art 17 BayDSG

37 Datenschutzrechtlicher Rahmen Art. 15 BayDSG (1) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, wenn 1. dieses Gesetz oder eine andere Rechtsvorschrift sie erlaubt oder anordnet oder 2. der Betroffene eingewilligt hat. Art. 16 BayDSG 1) Das Erheben personenbezogener Daten ist zulässig, wenn ihre Kenntnis zur Erfüllung der in der Zuständigkeit der erhebenden Stelle liegenden Aufgaben erforderlich ist. (2) Personenbezogene Daten, die nicht aus allgemein zugänglichen Quellen entnommen werden, sind beim Betroffenen mit seiner Kenntnis zu erheben. Personenbezogene Daten dürfen bei Dritten nur erhoben werden, wenn 1. eine Rechtsvorschrift eine solche Erhebung vorsieht oder zwingend voraussetzt, 2. a) die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder im Einzelfall eine solche Erhebung erforderlich macht oder b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde oder keinen Erfolg verspricht und keine Anhaltspunkte dafür bestehen, daß überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden, oder 3. die Daten nach Art. 18 Abs. 1 oder einer anderen Rechtsvorschrift von einer öffentlichen Stelle an die erhebende Stelle übermittelt werden dürfen. Art. 17 BayDSG (1) Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn 1. es zur Erfüllung der in der Zuständigkeit der speichernden Stelle liegenden Aufgaben erforderlich ist und 2. es für die Zwecke erfolgt, für die die Daten erhoben worden sind; ist keine Erhebung vorausgegangen, dürfen die Daten nur für die Zwecke geändert oder genutzt werden, für die sie gespeichert worden sind.

38 Art. 8 Abs. 2: Bayern CERT Meldepflichten (S.3). Die an das Behördennetz angeschlossenen Behörden melden dem CERT sicherheitsrelevante Vorfälle. Das CERT spricht Warnungen und Empfehlungen aus und leitet Erkenntnisse an Dritte weiter, wenn dies zur Erkennung und Abwehr von Gefahren für Verwaltung, Bürger oder Wirtschaft erforderlich ist (S.4). Datenschutzrechtlicher Rahmen: Art 18 BayDSG Art 19 BayDSG

39 Art. 18 BayDSG und Bayern CERT Art. 18 Datenübermittlung an öffentliche Stellen (1) Die Übermittlung personenbezogener Daten an andere öffentliche Stellen ist zulässig, wenn sie zur Erfüllung der in der Zuständigkeit der übermittelnden oder der empfangenden Stelle liegenden Aufgaben erforderlich ist und für Zwecke erfolgt, für die eine Nutzung nach Art. 17 Abs. 1 Nr. 2, Abs. 2 bis 4 zulässig wäre. (2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. Erfolgt die Übermittlung auf Ersuchen des Empfängers, trägt dieser die Verantwortung. In diesem Fall prüft die übermittelnde Stelle nur, ob das Übermittlungsersuchen im Rahmen der Aufgaben des Empfängers liegt, es sei denn, daß besonderer Anlaß zur Prüfung der Zulässigkeit der Übermittlung besteht. (3) Die empfangende Stelle darf die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihr übermittelt worden sind. Eine Verarbeitung oder Nutzung für andere Zwecke ist nur zulässig, wenn für diese Zwecke eine Nutzung nach Art. 17 Abs. 2 bis 4 zulässig wäre. (4) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen, weitere personenbezogene Daten des Betroffenen oder Dritter in Akten so verbunden, daß eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht offensichtlich überwiegende schutzwürdige Interessen des Betroffenen oder Dritter entgegenstehen. Eine Nutzung oder Verarbeitung dieser Daten durch den Empfänger ist nur zulässig, soweit die Daten auch hierfür hätten übermittelt werden dürfen.

40 Art. 19 BayDSG und Bayern CERT Art. 19 Datenübermittlung an nicht-öffentliche Stellen (1) Die Übermittlung personenbezogener Daten an nicht-öffentliche Stellen ist zulässig, wenn 1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung nach Art. 17 Abs. 1 Nr. 2, Abs. 2 bis 4 zulassen würden oder 2. die nicht-öffentliche Stelle ein berechtigtes Interesse an der Kenntnis der zu übermittelnden Daten glaubhaft darlegt und der Betroffene kein schutzwürdiges Interesse an dem Ausschluß der Übermittlung hat. (2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle. (3) 1In den Fällen der Übermittlung nach Absatz 1 Nr. 2 unterrichtet die übermittelnde Stelle den Betroffenen von der Übermittlung seiner Daten. Dies gilt nicht, wenn damit zu rechnen ist, daß er davon auf andere Weise Kenntnis erlangt, wenn die Unterrichtung wegen der Art der personenbezogenen Daten unter Berücksichtigung der schutzwürdigen Interessen des Betroffenen nicht geboten erscheint, oder wenn die Unterrichtung die öffentliche Sicherheit gefährden oder sonst dem Wohl des Freistaates Bayern, eines anderen Landes oder des Bundes Nachteile bereiten würde. (4) 1Die nicht-öffentliche Stelle darf die übermittelten Daten nur für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihr übermittelt worden sind. Sie ist von der übermittelnden Stelle darauf hinzuweisen. Eine Verarbeitung oder Nutzung für andere Zwecke ist zulässig, wenn eine Übermittlung nach Absatz 1 auch für die anderen Zwecke zulässig wäre und die übermittelnde Stelle zugestimmt hat.

41 Fazit Datenschutz und IT-Sicherheit sind im BayEGovG eng verzahnt Art. 8 Abs. 1 S. 2 BayEGovG knüpft für die IT-Sicherheit an die technischorganisatorischen Maßnahmen des Art 7 BayDSG an und überträgt sie auf alle Daten IT-Sicherheit ist jedoch nach Art. 8 Abs. 1 S. 1 nur im Rahmen der Verhältnismäßigkeit zu wahren BayEGovG schafft mit Art 8 Abs. 2 Satz 2 eine eigene Datenverarbeitungsbefugnis des CERT zum Zweck der Gewährleistung von IT-Sicherheit i.s.v. Art 16 Asb. 2 Nr. 1, 17 Abs. 1 BayDSG sowie eine besondere Datenübermittlungsbefugnis an das CERT i.s.v. Art 17 I, II Satz 2 BayDSG (Verantwortung beim CERT) Art. 8 Abs. 2 Satz 3 schafft ebenfalls eine besondere Datenübermittlungsbefugnis an das CERT i.s.v. Art 17 I, II Satz 1 BayDSG (Verantwortung bei Behörde) Art. 8 Abs. 2 Satz 4 schafft eine besondere Datenübermittlungsbefugnis des CERT an Dritte i.s.v. Art. 17 I, II Satz 1 (öffentliche Stellen) oder Art 18 (nichtöffentliche Stellen).

42 Art. 9 BayEGovG Behördenzusammenarbeit: Basisdienste und zentrale Dienste 42

43 Art. 9 Behördenzusammenarbeit Betrieb von Verwaltungs-IT als öffentliche Aufgabe. Behördenkooperation bei Entwicklung und Betrieb Behördenübergreifende Bereitstellung von Verwaltungs-IT Basisdienste (Nutzer ist automatisch Auftraggeber im datenschutzrechtlichen Sinne, keine Individual- ADV mehr erforderlich) Zentrale Dienste (Betreiber Anbieter und speichernde Stelle ist Freistaat) Verordnungsermächtigung

44 Bayern-Portal Zentrale Internetplattform des Freistaats Bayern, in die auch kommunale Dienste integriert werden können Freistaat stellt den Kommunen drei Infrastrukturbausteine zum Aufbau eigener Portale dauerhaft und kostenlos zur Verfügung Bürgerkonto (BayernID) Postkorb epayment

45 BayernPortal 45

46 Kommunale E-Government-Portale 46

47 Bereitstellung von Diensten des Freistaats Ausgangspunkte Art. 9 Abs. 1: Kooperationsprinzip: Freistaat und Kommunen können im Bereich der Verwaltungs-IT zusammenarbeiten Hintergründe: Haushaltsrecht: Art 44 Abs. 1, 23 BayHO: staatliches Interesse Vergaberecht: Rechtsprechung zur interkommunalen Zusammenarbeit Umsetzung: Art. 9 Abs. 2 und Abs. 3: Bereitstellung von behördenübergreifenden Diensten als Aufgabe des Freistaat Art. 9 Abs. 3 Satz 1 und Satz 3: Berechtigung der (kommunalen) Behörden, ihre Verpflichtungen aus dem BayEGovG auch durch Anschluss an Dienste des Freistaats zu erfüllen Bsp: Elektronische Identifizierung (Art. 3 Abs. 3) oder Bereitstellung von Formularen (Art. 6) nicht notwendig durch eigene Dienste auf eigener Homepage, sondern über Bayernportal

48 Art. 9 Abs. 2: Basisdienste Was sind Basisdienste? Alle elektronischen Verwaltungsinfrastrukturen (Hard und Software) zur Erfüllung von Verwaltungsaufgaben Als Basisdienste können freigegeben werden: IT-Dienste des Freistaats, z.b. vom LfF entwickelte Dienste, IT-Dienste der Kommunen, IT-Dienste der AKDB, IT-Dienste sonstiger (privater) Dritter, z.b. Kommuna Voraussetzungen: Qualifizierte datenschutzrechtliche Freigabe als Basisdienst (Art. 26 Abs. 1 Satz 2) Zuständigkeit: Jeweils fachlich zuständiges Staatsministerium Rechtsfolgen: Art. 9 Abs. 2 Satz 2 und Abs. 3 Satz 3 BayEGovG Nutzende Behörde kann Pflichten aus dem BayEGovG durch Anschluss an Basisdienste erfüllen (Art. 9 Abs. 3 Satz 3) Nutzende Behörden (z.b. Augsburg) ist Auftraggeber gem. Art. 6 BayDSG Der Betreiber der Dienste (z.b. zentrales RZ) ist Auftragnehmer gem. Art. 6 BayDSG Individual-ADV Behörden-RZ ist nicht mehr erforderlich

49 Art. 9 Abs. 3: Zentrale Dienste Was sind zentrale Dienste? IT-Dienste (Hard- und Software), die der Freistaat Bayerns selbst (in eigener datenschutzrechtlicher Verantwortung) behördenübergreifend bereitstellt Bsp: Behördenübergreifendes Bürgerkonto mit Berechtigung zur Verwendung der eid- Funktion des npa gem. 21 PAuswG Voraussetzung: Datenschutzrechtliche Freigabe als zentraler Dienst des Freistaats Rechtsfolgen: Art 9 Abs. 3 S. 1 und 3 BayEGovG (Kommunale) Behörden können Pflichten aus BayEGovG auch über zentrale Dienste des Freistaats erfüllen (Art 9 Abs. 3 S. 1) Datenschutzrechtliche Verantwortung für zentralen Dienst (z.b. eid npa) liegt beim Freistaat Zuständigkeit für Fachverfahren aber weiter bei (kommunalen) Behörden Freistaat erfüllt wegen Art. 9 Abs. 3 Satz 1 BayEGovG die Voraussetzungen für behördenübergreifendes Berechtigungszertifikat gem. 21 PAuswG

50 Teil III. Kleine Reform des BayDSG 50

51 Kleine Reform des BayDSG: 1. Zulassung einfacher elektronischer Erklärungen (Art. 4 Abs. 11 als Grundsatznorm und Art. 15 für die elektronische datenschutzrechtliche Einwilligung) 2. Datenschutzrechtliche Sonderregelungen bei Zentralisierung von Verwaltungs-IT und E-Government-Diensten Vereinfachte datenschutzrechtliche Freigabe automatisierter Verfahren (Art 26 und 28 BayDSG) Datenschutzrechtlicher Sonderregelungen für gemeinsame Verfahren mehrerer Behörden (Art 27a BayDSG) Datenschutzrechtliche Sonderregelungen für behördenübergreifende E-Government-Dienste ( Basisdienste und zentrale Dienste gem. Art 9 Abs. 2 und 3 BayEGovG, sieheoben)

52 Teil IV. Auswirkungen auf Bezirkskrankenhäuser und Bezirksverwaltungen 52

53 BayEGovG: Inhaltsübersicht Art. 1: Anwendungsbereich Art. 2: Digitale Zugangs- und Verfahrensrechte Art. 3: Elektronische Kommunikation und Identifizierung Art. 4: Elektronische Behördendienste Art. 5: Elektronischer Zahlungsverkehr und erechnung Art. 6: Elektronisches Verwaltungsverfahren Art. 7: Elektronische Akte Art. 8: IT-Sicherheit und Datenschutz Art. 9 Behördenzusammenarbeit Art. 9 a: Änderung anderer Rechtsvorschriften, BayVwVfG, BayDSG, Auskunftsrecht etc. Art. 10 Übergangs- und Schlussvorschriften 53

54 Anwendbarkeit BayEGovG auf die Bezirkskrankenhäuser / Verwaltung Art. 1 BayEGoG: Anwendungsbereich (1) Dieses Gesetz gilt für die öffentlich-rechtliche Verwaltungstätigkeit der Behörden des Freistaates Bayern, der Gemeinden und Gemeindeverbände und der sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts, soweit nicht besondere Rechtsvorschriften des Freistaates Bayern inhaltsgleiche oder entgegenstehende Bestimmungen enthalten. (2) 1 Dieses Gesetz gilt nicht für Schulen, Krankenhäuser, das Landesamt für Verfassungsschutz und Beliehene. 2 Dieses Gesetz ist nicht anzuwenden auf die Tätigkeit der Finanzbehörden nach der Abgabenordnung und die Verwaltungstätigkeit nach dem Zweiten Buch Sozialgesetzbuch. 3 Art. 2 Abs. 1 und 2 Nr. 2 und Abs. 3 des Bayerischen Verwaltungsverfahrensgesetzes (BayVwVfG) gelten entsprechend. (3) Das E-Government-Gesetz des Bundes findet nur beim Vollzug von Bundesrecht im Auftrag des Bundes Anwendung.

55 Anwendbarkeit BayEGovG auf die Bezirkskrankenhäuser / Verwaltung Ausgangspunkt auch hier: Art 1 BayEGovG BayEGovG ist vorrangig vor BayVwVfG BayEGovG ist nachrangig gegenüber dem besonderen Verwaltungsrecht (BayBO, BayNatSchG, BImSchG, SGB etc) Soweit Fachrecht abweichende oder abschließende Regelungen enthält, tritt BayEGovG zurück Im Übrigen ist BayEGovG anwendbar

56 Anwendbarkeit BayEGovG auf die Bezirkskrankenhäuser / Verwaltung Zu den Aufgaben des Bezirks gehören die soziale Sicherung der Bevölkerung (Sozialhilfe, Kriegsopferfürsorge, Jugendhilfe, Förderung freier Wohlfahrtsverbände, von Sozialstationen, Tagesstätten usw.), gesundheitliche Versorgung (v.a. Einrichtung von Spezialkrankenhäusern wie psychiatrischen Kliniken, Drogenkliniken etc.), Kultur- und Heimatpflege, das Schulwesen (Berufsfachschulen und Fachakademien), die Wirtschaftsförderung und der Natur- und Umweltschutz. Ferner übernimmt der Bezirk auch ihm vom Freistaat übertragene Aufgaben. Hinweis: Hierzu könnte nach Forderung des ORH bald auch die Lebensmittelkontrolle zählen

57 Anwendbarkeit BayEGovG auf die Bezirkskrankenhäuser / Verwaltung Sonderregelungen für Personalverwaltung: Im Personalaktenrecht greift nur das BayBG Art 111 (6) BayBG: Art. 7 des Bayerischen E- Government-Gesetzes findet auf die Personalakte keine Anwendung Im Übrigen ist das BayBG auf die Tätigkeit der Personalverwaltungen anwendbar

58 Anwendbarkeit BayEGovG auf die Bezirkskrankenhäuser / Verwaltung Sonderregelungen für Sozialbehörden Grundsatz BayEGovG ist anwendbar. Gesetzliche Ausnahme SGB II (vgl. Art 1 Abs. 2 satz 2 Fall 2 BayEGovG) warum?

59 Anwendbarkeit BayEGovG auf die Bezirkskrankenhäuser / Verwaltung Sonderregelungen für Sozialbehörden Im Übrigen: BayEGovG zwar grds. anwendbar SGB ist aber vorrangig, soweit abschließende oder entgegenstehende Regelungen Bsp: Art.3 Abs. 1 BayEGovG sieht Zugangseröffnungspflicht vor. 36a SGB sagt: Die Übermittlung elektronischer Dokumente ist zulässig, soweit der Empfänger hierfür einen Zugang eröffnet. Was gilt?

60 Anwendbarkeit BayEGovG auf die Bezirkskrankenhäuser / Verwaltung Sonderregelungen für Sozialbehörden Abhängig vom Fachrecht: Faustregel: Je dichter der sozialrechtliche Rechtsrahmen, desto weiter tritt BayEGovG zurück Bsp: 10 Kapitel SGB V : Versicherungs- und Leistungsdaten, Datenschutz, Datentransparenz b SGB V

61 BayEGovG: Inhaltsübersicht Art. 1: Anwendungsbereich Art. 2: Digitale Zugangs- und Verfahrensrechte Art. 3: Elektronische Kommunikation und Identifizierung Art. 4: Elektronische Behördendienste Art. 5: Elektronischer Zahlungsverkehr und erechnung Art. 6: Elektronisches Verwaltungsverfahren Art. 7: Elektronische Akte Art. 8: IT-Sicherheit und Datenschutz Art. 9 Behördenzusammenarbeit Art. 9 a: Änderung anderer Rechtsvorschriften, BayVwVfG, BayDSG, Auskunftsrecht etc. Art. 10 Übergangs- und Schlussvorschriften 61

62 Konzeption des Gesetzes: Rechtsrahmen für everwaltung auf allen Ebenen in BY Subjektive Rechte auf verschlüsselte elektronische Kommunikation, elektronisches Verwaltungsverfahren, elektronische Nachweise, elektronisches Bezahlen Einführung der elektronischen Rechnung (ab 2019) Einführung der eakte in der Staatsverwaltung (ab 2017) und gesetzliche Normierung Grundsätze ordnungsgemäßer Aktenführung IT-Sicherheitskonzepte (auf Basis Art. 7 BayDSG) und Bayern- CERT Behördenzusammenarbeit in der IT (Bereitstellung von Basisdiensten und zentralen Diensten durch den Freistaat) Reform BayDSG: Einwilligung, Zentralisierung, Auskunftsanspruch Abbau von 40 Formvorschriften 62

63 Art. 2 Digitale Zugangs- und Verfahrensrechte Art 2 begründet Zugangs- und Verfahrensrechte nach Maßgabe von Art 3 bis 6 des Gesetzes Art. 3: Elektronische Kommunikation und Identifizierung Art. 4: Elektronische Behördendienste Art. 5: Elektronischer Zahlungsverkehr und erechnung Art. 6: Elektronisches Verwaltungsverfahren Konzeption: Durch Art. 2 klagbares subjektives Recht durch Verweis auf Art. 3 bis Art. 6 Kopplung mit objektivrechtlichen Gewährleistungen (Behördenpflichten) Grund: Besonderheiten technikgebundener Rechte 63

64 Art. 3 Elektronische Kommunikation Anspruch der Bürger auf elektronischen Zugang => Ab 2016 in Schriftformersetzender Form => Ab 2016 in Verschlüsselter Form (Hin- und Rückkanal => Ab 2020) Aktuell genügt damit Zugang! Pflicht der Behörden zur Zugangseröffnung per D Ähnlich 2 EGovG Bund => Start variabel Pflicht Behörde zu Online-Identifizierung per npa => Ab 2020 Zugangseröffnung durch den Bürger bleibt freiwillig 64

65 Art. 5 Abs. 2 Elektronische Rechnungen Verpflichtung für öffentliche Auftraggeber, den Empfang und die Verarbeitung elektronischer Rechnungen sicherzustellen (ab 11/2019) Hintergrund: Öffentliche Auftraggeber c.a. 200 Mio. Rechnungen p.a. (85 % Länder und Kommunen) Einsparpotential von bis zu 80 % je Rechnung, d.h. in Bayern ca. 500 Mio. EU Richtlinie 2014/55/EU über die elektronische Rechnungstellung bei öffentlichen Auftraggebern Gilt nur oberhalb EU-Schwellenwerte ( ) 65

66 Art. 6 Elektronische Verwaltungsverfahren Verwaltungsverfahren oder abtrennbare Teile davon müssen auf Verlangen grds. elektronisch durchgeführt werden. Aber: Wirtschaftlichkeitsund Zweckmäßigkeitsvorbehalt Elektronische Formulare sind im Netz bereitzustellen => Ab Mitte 2017 Elektronische Nachweise Formularserver des Bayernportals 66

67 Art. 7 E-Akte zu E-Register E-Aktenführung für staatliche Behörden verpflichtend, für sonstige Behörden optional Übergangsfrist bis 1. Juli 2017 Wenn-Dann : Verpflichtung auf Grundsätze ordnungsgemäßer Aktenführung und Aktenaufbewahrung Gebot des elektronischen Aktenaustauschs Regelungen zum ersetzenden Scannen inhaltliche vs. bildliche Übereinstimmung Rückgabe oder Vernichtung Original Verhältnis zum Fachrecht

68 Art. 8 und Art 9: IT-Sicherheit und Datenschutz Art. 8 Abs. 1 - Dezentral: IT-Sicherheitskonzepte Übergangsfrist: Art. 8 Abs. 2 - Zentral: Aufgaben und Befugnisse des CERT Datenverarbeitungsbefugnis bei IT- Sicherheitsvorfällen Meldepflichten an das CERT Art. 9 - Übergreifend: Abs. 1: Behördenzusammenarbeit Abs. 2 und 3: Bereitstellung von Basisdiensten und zentralen Diensten 68

69 Medienbruch Schriftformerfordernis Bürger Verwaltung 69 Quelle: Tim Reckmann / pixelio.de Quelle: Rainer Sturm / pixelio.de

70 Schriftformersatz (Änderung BayVwVfG) Bürger Verwaltung 70 Quelle: Tim Reckmann / pixelio.de Quelle: Rainer Sturm / pixelio.de

71 Schriftformersatz (I) (Art. 3a Abs. 2 BayVwVfG)

72 Der neue Personalausweis Online-Ausweisfunktion Ermöglicht die sichere und eindeutige Identifizierung mit dem neuen Personalausweis. Unterschriftsfunktion Rechtsverbindliches Unterzeichnen von digitalen Dokumente. Signaturzertifikat erforderlich Komfortlesegerät erforderlich

73 Neuer Personalausweis; Kartenlesegeräte

74 Nutzung des neuen Personalausweises (I) Quelle: egovernment Monitor 2014

75 Nutzung des neuen Personalausweises (II) Quelle: egovernment Monitor 2014

76 Nutzung des neuen Personalausweises (III) Quelle: egovernment Monitor 2014

77 D

78 Versandart nach 5 Abs. 5 D -Gesetz Versandart Absender bestätigt (Empfänger erhält eine Bestätigung, dass der Absender mit der Stufe hoch angemeldet war) Stufe "hoch" Zwei-Faktor-Authentisierung Nutzung von Besitz und Wissen Z.B. neuer Personalausweis Geringeres Risiko der missbräuchlichen Nutzung

79 Einsatzbereiche Schriftformersatz Schriftformersatz durch Einsatzbereiche unmittelbare Schriftformersatz Abgabe einer Qualifizierte elektronische Signatur Erklärung in einem elektronischen Formular Schriftformersatz durch Versendung eines elektronischen Dokuments X Neuer Personalausweis X D X

80 Überblick elektronischer Zugang Elektronische Dokumente X X (qes) D X X E-Post x X (qes) Schriftformersatz E-Government-Portal (x) (x) (neuer Personalausweis) Elektronisches Kontaktformular mit Upload-Möglichkeit X X (qes)

81 Hinkanal Darf der Hinkanal eingeschränkt werden? Auswirkungen auf Rechtsbehelfsbelehrungen?

82 Rückkanal Rückkanal: Die Übermittlung elektronischer Dokumente der Behörden ist zulässig, soweit und solange der Empfänger hierfür einen Zugang eröffnet. Elektronischer Schriftformersatz Elektronische Bekanntgabe von Verwaltungsakten über Verwaltungsportale, wie z.b. BayernPortal oder E-Government-Portale der Kommunen - mit Einwilligung des Beteiligten.

83 Zusammenspiel Hin- und Rückkanal Pflicht der Behörde zur elektronischen Übermittlung bei eröffnetem Zugang? Anspruch des Bürgers auf Eröffnung eines bestimmten elektronischen Zugangs?

84 Verschlüsselungsverfahren Verpflichtung ab , für den Hin- und Rückkanal jeweils ein geeignetes Verschlüsselungsverfahren bereitzustellen (Art. 3 Abs. 1 Satz 3). Datenschutz Hinkanal: Verschlüsselte Kontaktformulare Rückkanal: Verschlüsselung bei personenbezogenen Daten Technisches Anbieten von Verschlüsselungsverfahren Medienbruchfreie Kommunikation

85 Überblick Verschlüsselungsverfahren (Hin- und Rückkanal) Hinkanal Rückkanal X (z.b. PGP) X (z.b. PGP) D X X E-Post x X E-Government-Portal (x) (x) Elektronisches Kontaktformular mit Upload- Möglichkeit X

86 Schriftformersatz (Änderung BayVwVfG) Bürger Verwaltung 86 Quelle: Tim Reckmann / pixelio.de Quelle: Rainer Sturm / pixelio.de

87 Geplante Neuerung beim Schriftformersatz Schriftformersatz auf Basis von Authega Authentifizierung beim elektronischen Steuererklärungsverfahren ELSTER (millionenfach bewährt) Entwickelt vom Bayerischen Landesamt für Steuern Das Verfahren ist hin- und rückkanalfähig und kann auch im Rahmen von Verfahren für juristische Personen genutzt werden. Zur Nutzung von Authega ist kein Lesegerät erforderlich. Stattdessen werden dem Nutzer in einem sicheren gekoppelten elektronischen und postalischen Verfahren Softwarezertifikate zur Verfügung gestellt.

88 Zusammenfassung Kommunikation Qualifizierte elektronische Signatur Vorteil: Geringer Aufwand. Prüfung der Signatur vorgeschrieben? Nachteil: Geringe Verbreitung D Vorteil: Einfaches und kostengünstiges Verfahren für den Bürger. In Grundversion geringer Aufwand für die Behörde. Nachteil: (Noch) geringe Verbreitung. Einbau in Workflow aufwändiger. npa mit Formular Vorteil: Gute Verknüpfbarkeit mit Fachverfahren, damit guter Workflow Nachteil: Relativ hoher Aufwand für den Bürger, dadurch geringe Verbreitung. Relativ hoher Anfangsaufwand für Behörde.

89 Fragen? Herzlichen Dank! 89