Digitale Verwaltung – Stand und Zukunft des Onlinezugangsgesetzes einschließlich eID-Verfahren, Standards, Open Source, Nachvollziehbarkeit und Transparenz
der Abgeordneten Anke Domscheit-Berg, Nicole Gohlke, Gökay Akbulut, Clara Bünger, Dr. André Hahn, Ina Latendorf, Cornelia Möhring, Petra Pau, Sören Pellmann, Victor Perli, Marina Renner, Dr. Petra Sitte, Kathrin Vogler und der Fraktion DIE LINKE.
Vorbemerkung
Mit dem 2017 beschlossenen Onlinezugangsgesetz (OZG – BGBl. I 2017, Nummer 57 vom 17. August 2017, S. 3122) wurden Bund und Länder einschließlich der Kommunen dazu verpflichtet, ihre über 6 000 Verwaltungsleistungen bis Ende 2022 auch elektronisch anzubieten. Für die Digitalisierung der in 575 OZG-Leistungsbündeln zusammengefassten Verwaltungsleistungen sind mittlerweile 3,5 Mrd. Euro vorgesehen. Zusätzlich zum „Digitalisierungsprogramm Bund“ für die Umsetzung auf Bundesebene wurde das „Digitalisierungsprogramm Föderal“ aufgelegt, um die Umsetzung in 16 Ländern und mehr als 11 000 Kommunen gemeinsam erfolgreich zu bewältigen und finanziell abzusichern. Dazu wurde, ausgehend vom IT-Planungsrat, die neu gegründete Anstalt Föderale IT-Kooperation (FITKO) eingebunden, um so ebenenübergreifend für eine faire Umsetzung, wirksame Vernetzung und wirkungsvolle Bündelung von Ressourcen und Kompetenzen zu sorgen.
Nach Forderungen im Herbst 2020, die OZG-Umsetzung solle transparent und messbar sein, hat das damalige Bundesministerium des Innern, für Bau und Heimat ein „OZG-Dashboard“ eingerichtet. Als OZG-konform gelten dort alle Leistungen, die mindestens eine Teilleistung mit Reifegrad 3 und 4 erhalten und in mindestens einem Ort in Deutschland nutzbar sind. Diese Darstellung kritisierte auch der Bundesrechnungshof als beschönigend (https://www.bundesrechnungshof.de/de/veroeffentlichungen/produkte/bemerkungen-jahresberichte/jahresberichte/2021-ergaenzungsband/einzelplanbezogene-pruefungsergebnisse/bundesministerium-des-innern-und-fuer-heimat/2021-43). In neuen Versionen des OZG-Dashboards ist Stand Juni 2022 ebenfalls nach wie vor nicht erkennbar, in welchen Kommunen einzelne OZG-Leistungen Ende zu Ende elektronisch erledigt werden können.
Inzwischen ist offensichtlich, dass es mit der OZG-Umsetzung bundesweit erhebliche Probleme gibt und das ursprüngliche Ziel nicht erreichbar ist. In einigen Bundesländern wurde laut OZG-Dashboard (Stand: 8. Juni 2022) noch keine einzige OZG-Leistung auf Landes- und/oder kommunaler Ebene umgesetzt. Allerdings gibt es Bundesländer wie Berlin, für die das Dashboard keine umgesetzte Landesleistung angibt, obwohl dort zahlreiche OZG-Leistungen verfügbar sind (https://www.berlin.de/moderne-verwaltung/e-government/ozg/digitale-verwaltung/artikel.965431.php).
In vielen Kommunen fehlen die Bereitschaft, die finanziellen Mittel und/oder die Kompetenzen, um ihren Beitrag zur OZG-Umsetzung zu leisten. Ausdruck findet dies unter anderem in den „Dresdner Forderungen“ vom März 2021 (https://www.it-planungsrat.de/fileadmin/it-planungsrat/der-it-planungsrat/fachkongress/fachkongress_2021/Tag_2_Kommunaleverwaltung_weiterdenken.pdf).
Neben einem sogenannten OZG-Booster, der die priorisierte bundesweite Umsetzung von 35 OZG-Leistungen bis Ende 2022 bewirken soll, hat der IT-Planungsrat im ersten Quartal 2022 auch ein OZG 2.0 angekündigt (https://www.onlinezugangsgesetz.de/SharedDocs/kurzmeldungen/Webs/OZG/DE/2022/01_vorsitzwechsel-it-planungsrat.html), um Umsetzungsbarrieren abzubauen und die Digitalisierung der Verwaltung mit veränderten Ansätzen zu fördern.
Festgelegte Servicestandards der OZG-Umsetzung sind unter anderem Open Source, Verwendung offener Standards, Interoperabilität, Sicherstellung von Datenschutz und IT-Sicherheit sowie das Once-Only- und Einer-für-Alle(EfA)-Prinzip (https://www.onlinezugangsgesetz.de/Webs/OZG/DE/umsetzung/servicestandard/servicestandard.html). Aus Sicht der Fragestellerinnen und Fragesteller sind diese zwar begrüßenswert, werden aber nach ihrer Auffassung in der Praxis nicht gelebt. Einheitliche Standards für Schnittstellen, Software und Datenformate unter Einbeziehung aller relevanten Akteure gibt es kaum, verbindliche offene Standards noch gar nicht und die Nachnutzung der Leistungen durch Länder und Kommunen wird in der Praxis durch komplexe Kosten- und Vertragsfragen erschwert (siehe Referenzangabe in Frage 11) Ein grundsätzliches Problem ist nach Auffassung der Fragestellerinnen und Fragesteller die technische und datenschutzrechtliche Umsetzung der Authentifizierung für Vorgänge mit hoher Sicherheitsstufe, die mittels des elektronischen Personalausweises (ePA) erfolgen soll. „Security by Design“ gab es ebenfalls nicht, weil bis Mitte 2020 für die OZG-Umsetzung noch gar kein IT-Sicherheitskonzept vorlag und die im Januar 2022 in Kraft getretene IT-Sicherheitsverordnung Portalverbund (IT-SiV-PV) erst 2024 umgesetzt sein muss.
Die Umsetzung des Once-Only-Prinzips mittels Ausweitung der Steuer-ID zu einer Art verwaltungsübergreifender Personenkennziffer wird von Fachleuten als verfassungswidrig bewertet und gefährdet mittelfristig den Erfolg der Verwaltungsdigitalisierung. Auch der Bundesbeauftragte für den Datenschutz zweifelt an der Verfassungskonformität und bezeichnete das Vorhaben als „äußerst riskant“ (https://www.golem.de/news/personenkennziffer-bundestag-beschliesst-einheitliche-buergernummer-2101-153765.html). Verfassungskonforme Alternativen für eine OZG-geeignete Registermodernisierung beschrieben unter anderem die Gesellschaft für Informatik und die Friedrich-Naumann-Stiftung in Stellungnahmen (https://gi.de/fileadmin/GI/Allgemein/PDF/2020-09-04_GI-Stellungnahme_zum_Registermodernisierungsgesetz.pdf und https://www.freiheit.org/de/registermodernisierung-datenschutzkonforme-und-umsetzbare-alternativen; https://www.freiheit.org/de/registermodernisierung-datenschutzkonforme-und-umsetzbare-alternativen).
Wir fragen die Bundesregierung:
Fragen41
Liegen der Bundesregierung repräsentative Erhebungen über die Nutzungshäufigkeit einzelner Verwaltungsdienstleistungen durch Bürgerinnen und Bürger oder sonstige Nutzer und Nutzerinnen vor, ggf. auch abhängig von den jeweiligen Regionen und der föderalen Zuständigkeitsebene?
Wenn ja, welche sind das, und welche Erkenntnisse lassen sich daraus ableiten?
Wenn nein, sind solche Erhebungen geplant, und wenn nein, wie soll die Umsetzung einzelner OZG-Verwaltungsleistungen künftig priorisiert werden?
Zu welchen der aktuell mindestens an einem Ort elektronisch verfügbaren OZG-Leistungen ist der Quellcode als Open Source verfügbar, und wo ist der Quellcode jeweils öffentlich einsehbar?
Warum wurde das OZG zwar schon 2017 beschlossen, ein dazugehöriges IT-Sicherheitskonzept mit der ITSiV-PV aber erst Jahre später auf den Weg gebracht, warum muss es erst 2024 umgesetzt sein, und wie werden potenzielle Sicherheitsrisiken systematisch identifiziert und beseitigt, die möglicherweise durch diese zeitliche Differenz entstanden sind oder entstehen werden?
Ist es zutreffend, dass im Rahmen der bisherigen OZG-Umsetzung nach Angaben der AG KRITIS (https://ag.kritis.info/2022/01/25/bmi-rettet-die-fristgemaesse-umsetzung-des-ozg-durch-schwaechstmoegliche-verordnungzur-it-sicherheit/, a) Verbände und die Zivilgesellschaft bei der Erarbeitung von Sicherheitsanforderungen nicht angemessen einbezogen wurden, b) die dabei entwickelte Software nicht verpflichtend zertifiziert wird, c) die dabei entwickelte Software nicht verpflichtend extern auditiert werden muss, d) und falls doch im Rahmen des OZG entwickelte Software auditiert wurde, welche Mindeststandards von welcher Qualitätsreferenz wurden dabei jeweils angesetzt, und welche Veröffentlichungspflichten galten für die Ergebnisse dieser Audits, e) ist für das OZG 2.0 geplant, eine verpflichtende Zertifizierung und Auditierung einzuführen?
Plant die Bundesregierung, die regionale Verortung der Koordinierungsstelle für IT-Standards (KoSIT) von Bremen an einen anderen Ort zu verlegen, sie zentraler aufzustellen und mit weitertreichenden Kompetenzen auszustatten – insbesondere mit einem Selbstbefassungsrecht zur Entwicklung von OZG-Standards?
Wenn nein, sieht die Bundesregierung in beiden Aspekten – regionale Verortung in Bremen und fehlendes Selbstbefassungsrecht – keine Hürden für die OZG-Umsetzung?
Wenn ja, wie, und bis wann soll dies erreicht werden?
Plant die Bundesregierung, Kommunen mehr Mitwirkungsrechte bei der Weiterentwicklung und Umsetzung des OZG einzuräumen, weil aus Sicht der Fragestellerinnen und Fragesteller auf kommunaler Ebene die Umsetzungshürden besonders hoch sind, die Bürgerkontakte jedoch besonders häufig, und wenn ja, in welcher Weise?
Hat die Bundesregierung konkrete Pläne dazu beizutragen, die OZG-Umsetzungsbarrieren des IT-Fachkräftemangels und Mangels an Digitalisierungskompetenz insbesondere bei Kommunen abzubauen, und wenn ja, welche (bitte begründen)?
Welche EfA-Leistungen sind nach aktuellem Stand zur Nachnutzung bereit, welche sind derzeit noch in Entwicklung, und auf welche OZG-Leistungen trifft keines von beiden zu?
In welchen Bundesländern können nach Kenntnis der Bundesregierung Kommunen EfA-Leistungen kostenfrei übernehmen aufgrund der Kostenübernahme durch ihr jeweiliges Bundesland, und was kann und wird die Bundesregierung tun, um auch in den übrigen Bundesländern Kommunen mit knappen Kassen die Verwaltungsdigitalisierung mit OZG-Leistungen zu ermöglichen?
Warum sind von den 1,6 Mrd. Euro zusätzlicher Mittel für die Umsetzung des OZG aus dem Konjunkturpaket Stand Juni 2022 erst 0,28 Mrd. Euro an die Länder geflossen, und wie verteilen sich die abgeflossenen Mittel auf die einzelnen Bundesländer?
Hat die Bundesregierung sich eine Position zu der Aussage von Andreas Hoffmeier vom Finanzministerium Thüringen (https://www.digitaler-staat.online/2022/03/21/ozg-2-0-als-folgegesetz-was-kommt-2023/, ab Minute 46:15 im dort verlinkten Mitschnitt), dass bereitgestellte EfA-Leistungen für einzelne Länder im Einkauf trotz des hocheffizienten Nachnutzungseffekts teilweise teurer sind als Eigenentwicklungen einer vergleichbaren Applikation, erarbeitet?
Wenn ja, zu welchem Ergebnis ist sie gekommen, und worin sieht sie ggf. Ursachen für den von Andreas Hoffmeier beschriebenen Effekt?
Welche Maßnahmen plant oder unternimmt die Bundesregierung, ggf. in Abstimmung mit den Bundesländern, um diesem aus Sicht der Fragestellerinnen und Fragesteller kontraproduktiven Effekt entgegenzuwirken?
Woran können Nutzerinnen und Nutzer erkennen, in welchen Kommunen einzelne OZG-Leistungen verfügbar sind und ob ihre Kommune eine bestimmte Leistung auch anbietet, und ist eine Darstellung der elektronischen Verfügbarkeit bestimmter öffentlicher Dienstleistungen in den einzelnen Kommunen geplant, und wenn ja, wann wird sie verfügbar sein?
Wie ist der konkrete Prozess zur Bereitstellung von Daten aus Kommunen und Ländern für das OZG-Dashboard?
Wie wird sichergestellt, dass die im OZG-Dashboard dargestellten Daten für alle Bundesländer und Kommunen aktuell und vollständig sind (siehe die in der Vorbemerkung der Fragesteller beschriebenen erheblichen Abweichungen zwischen Dashboard und Homepage des Landes Berlin)?
Gibt es vereinbarte, offene OZG-Schnittstellen über die föderalen Ebenen hinweg, um stets aktuelle Daten zu erhalten, und wenn ja, welche sind das?
Wie sind die Rollen und Verantwortlichkeiten im Prozess Datenbereitstellung für das OZG-Dashboard verteilt?
Welche 35 OZG-Leistungen umfasst der sogenannte OZG-Booster, und welche sind jeweils Leistungen des Bundes, der Länder und der Kommunen?
Welche der 35 OZG-Leistungen waren nach Kenntnis der Bundesregierung zum 1. Juni 2022 (oder zum aktuellsten verfügbaren Datum) jeweils a) als Bundesleistung verfügbar, b) als Landesleistung verfügbar – und in jeweils welchen Bundesländern, c) als kommunale Leistung verfügbar – und in wie vielen Kommunen in wie vielen Bundesländern waren sie verfügbar (jeweils bitte nach Bundesland aufschlüsseln)?
Nach welchen Kriterien wurden die 35 OZG-Leistungen für den „OZG-Booster“ priorisiert, warum wurden diese Kriterien ausgewählt, und warum wurde aus der Grundgesamtheit von 575 OZG-Leistung ein Antragsbündel für Waffenerlaubnisse priorisiert für den nationalen Roll-out bis Ende 2022 (https://www.it-planungsrat.de/fileadmin/beschluesse/2022/Beschluss2022-20_priorisierte_Leistungen_inkl._OZG-Nr.pdf)?
Wie soll erreicht werden, dass diese 35 OZG-Leistungen bis Ende 2022 bundesweit verfügbar sein werden, und wie soll insbesondere erreicht werden, dass bis dahin alle über 11 000 Kommunen ins Boot geholt und zur Umsetzung befähigt werden?
Wann soll der Entwurf für ein OZG 2.0 vorliegen?
Wie werden Wissenschaft, Kommunen und Zivilgesellschaft in die Gestaltung des OZG 2.0 einbezogen (bitte je Stakeholder getrennt beantworten), und auf welche Weise erfolgt ggf. intern eine kritische Bestandsaufnahme von Erfolgsfaktoren und Herausforderungen im Rahmen der bisherigen OZG-Umsetzung, und welche Lehren werden daraus gezogen?
Ist eine Neuausrichtung der OZG-Umsetzung dahin gehend geplant, dass neben dem Webinterface Folgendes in einem gemeinsamen Verwaltungsvorgang im Portalverbund prozessierbar wird (siehe auch „vertikales Mehrkanalmanagement“, https://www.genios.de/fachzeitschriften/artikel/BSPI/20180410/mehrkanal-management-notwendig/BSPI_20180410_026_01_04.html) a) das Bürgertelefon 115, b) der persönliche Besuch im Bürgeramt, c) Briefe und anderer analoger Schriftverkehr, d) ggf. weitere Vertriebskanäle (Chatbots; sprachgesteuerte Angebote; offene, standardisierte Programmierschnittstellen [APIs] etc.)?
Wird durch das OZG 2.0 sichergestellt, dass eine digitalisierte Gesamtprozessbearbeitung vom Input-Kanal der Bürgerinnen und Bürger über die Anbindung von Fachverfahren bis hin zur Bearbeitung in den Fachverfahren im Back-End umgesetzt wird, also nicht nur die Bereitstellung eines zusätzlichen elektronischen Input-Kanals erreicht wird, ohne dass sich Prozesse im Back-End hinreichend ändern?
Erwägt die Bundesregierung, im Rahmen von OZG 2.0 verbindliche Vorgaben für die zu verwendende Software und/oder die zu nutzenden Standards für I) Schnittstellen, II) Datenformate, III) Benutzerfreundlichkeit und IV) Sonstiges in Fachverfahren von Ländern und Kommunen festzulegen, und wenn dies nicht beabsichtigt ist, a) warum nicht, b) wie kann ohne verbindliche Vorgaben Wildwuchs verhindert und die Qualität und Geschwindigkeit der Verwaltungsdigitalisierung erhöht werden, c) wie können insbesondere die Kriterien Open Source, offene Daten- und Dateiformate sowie Interoperabilität in der Praxis durchgesetzt werden?
Plant die Bundesregierung, den Kommunen und Bundesländern hilfreiches Wissen zur OZG-Umsetzung aufbereitet bereitzustellen, insbesondere zu komplexen und sich wiederholenden Datenschutzfragen, Vertragsfragen oder zur Implementierung von Bezahlsystemen?
Plant die Bundesregierung, zu sich wiederholenden Fragestellungen in Abstimmung mit den Ländern einheitliche Verfahrensweisen zu bestimmen, um insbesondere rechtliche und vertragliche Barrieren bei der OZG-Umsetzung vor allem im Zusammenhang mit dem flächendeckenden Rollout von EfA-Leistungen abzubauen?
Erwägt die Bundesregierung, um konsequent Open Data zu gewährleisten, für Länder und Kommunen geeignete Mustervertragsbausteine zu erarbeiten und zur Nachnutzung bereitzustellen, damit Urheber- und Nutzungsrechte an Daten zuverlässig in Anforderungskataloge bei Vertragsabschlüssen von Ländern und Kommunen mit Dienstleistern integriert werden können, und plant die Bundesregierung, für Auftragsvergaben an IT-Dienstleister ggf. sinngemäße Anforderungen und/oder Vorgaben zur Gewährleistung der Interoperabilität generell verbindlich vorzuschreiben?
Wie ist der Umsetzungsstand von Basisdiensten und Fachverfahren, die in den Verwaltungen zur digitalen Bearbeitung von OZG-Leistungen benötigt werden – auch im Hinblick darauf, ob Open-Source-Software verwendet wird –, und plant die Bundesregierung, Basisdienste wie ePayBL und FIT-Connect als leicht nachnutzbare Standarddienste für die digitale Verwaltung allgemein einzuführen?
Wenn ja, mit welchem Zeitplan, und mit welchen Verantwortlichkeiten der Umsetzung?
Strebt die Bundesregierung für ein OZG 2.0 einen kleinteiligeren, modularen Aufbau von Verfahrensentwicklungen an, um die Nachnutzung zu erleichtern, und wenn ja, mit welcher Strategie soll dies erreicht werden?
Welche Indikatoren erwägt die Bundesregierung ggf., um künftig den Fortschritt der Verwaltungsdigitalisierung (also nicht nur, aber auch zum OZG-Fortschritt) zu messen und ihn transparent und nachvollziehbar zu machen?
Erwägt die Bundesregierung Sanktionen jedweder Art für den Fall, dass einzelne Bundesländer, Kommunen oder öffentliche IT-Dienstleister den Vorgaben der OZG-Umsetzung auch künftig nicht nachkommen?
Wenn ja, welche Art von Sanktionen käme dafür in Betracht, und unter welchen Voraussetzungen wäre eine Anwendung denkbar?
Plant die Bundesregierung, die Verwendung des ePA zu einem künftigen Zeitpunkt verbindlich zu machen, damit bestimmte Verwaltungsleistungen des Bundes und/oder Länder in Anspruch genommen werden können?
Plant die Bundesregierung, für ein OZG 2.0 die Software, die für die Nutzung des ePA benötigt wird, neu zu konzipieren oder neu einzubetten?
Wenn ja, worin soll sie sich im Wesentlichen von der AusweisApp 2 unterscheiden?
Wie schätzt die Bundesregierung die Benutzerfreundlichkeit der derzeitigen AusweisApp 2 ein, und auf welcher (Daten-)Grundlage kommt sie zu dieser Einschätzung?
Wie hoch sind nach Kenntnis der Bundesregierung die Abbruchraten bei Benutzung und vor allem bei Erstbenutzung der AusweisApp 2?
Will die Bundesregierung sicherstellen, dass Kartenlesegeräte zur Nutzung der Funktionen des ePA allen Bürgerinnen und Bürger bei Interesse zur Verfügung stehen?
Wenn ja, wie will sie dies tun, und berücksichtigt sie dabei auch diejenigen, die sich selbst kein Lesegerät leisten können?
Werden aus Sicht der Bundesregierung weitere digitale Personen-ID-Systeme durch eine künftig ausgeweitete Nutzung des ePA obsolet, und/oder sieht die Bundesregierung unabhängig von den (potenziellen) Funktionen des ePA weitere förderwürdige Anwendungsszenarien für digitale Personen-Identitäten (wenn ja, welche Szenarien sind das beispielsweise)?
Welche Konsequenzen zieht die Bundesregierung aus der massiven Kritik an der Registermodernisierung auf Basis einer verwaltungsübergreifenden Identifikationsnummer (Steuer-ID), die von vielen Fachleuten (aus Wissenschaft, IT-Verbänden, vom Bundesdatenschutzbeauftragten, von der fachkundigen Zivilgesellschaft und von Juristinnen und Juristen) als nicht verfassungskonform eingeschätzt wird?
Hat die Bundesregierung alternative Optionen für ein verfassungskonformes Identitätsmanagement geprüft, die von den genannten Kritikerinnen und Kritikern vorgeschlagen wurden, und wenn ja, mit welchem Ergebnis, und wenn nein, warum wurden diese Alternativen nicht geprüft?
Wie soll technisch, also nicht gesetzlich oder durch andere leicht umgehbare Vorgaben, verhindert werden, dass es zu einer unerwünschten Profilbildung durch eine einheitliche Identifikationsnummer kommt?
Soll es den Nutzenden anhand des geplanten Datenschutzcockpits möglich sein, die Weitergabe persönlicher Daten an andere Register, Standorte oder Dritte nicht nur einzusehen, sondern auch aktiv zu regulieren, und wenn nein, warum nicht?
Verfolgt die Bundesregierung Ziele zur Weiterentwicklung des ePA in Richtung einer selbstbestimmten Identität (SSI) in Bezug auf Verwaltungsleistungen, und wenn ja, welche?