Digitale Verwaltung

Informationen und Materialien

• Gesetzesbegründung (LT-Drs. 19/2591)
• Verordnung über die Digitalisierung im Freistaat Bayern (Bayerische Digitalverordnung)

Sicherheit informationstechnischer Systeme

Art. 43 BayDiG sieht die behördenübergreifenden Pflichten vor. Die darin enthaltenen Vorgaben zur Sicherheit informationstechnischer Systeme sind im Rahmen der Verhältnismäßigkeit sicherzustellen, Art. 43 Abs. 1 S. 1 BayDiG.

Art. 43 BayDiG im Wortlaut:

(1) ¹Die Sicherheit der informationstechnischen Systeme der Behörden ist im Rahmen der Verhältnismäßigkeit sicherzustellen. ²Die Behörden treffen zu diesem Zweck angemessene technische, operative und organisatorische Maßnahmen und erstellen die hierzu erforderlichen Informationssicherheitskonzepte.

(2) Die obersten Dienstbehörden stellen in ihrem Geschäftsbereich sicher, dass die Leitungsebene staatlicher Behörden über ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie zu Risikomanagementpraktiken im Bereich Cybersicherheit verfügt.

(3) ¹Werden staatlichen oder sonstigen an das Behördennetz angeschlossenen Stellen Informationen bekannt, die zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik von Bedeutung sind, unterrichten diese das Landesamt und ihre jeweilige oberste Dienstbehörde unverzüglich hierüber, soweit andere Vorschriften oder Vereinbarungen mit Dritten nicht entgegenstehen. ²Andere Stellen können erhebliche Sicherheitsvorfälle im Sinne des Art. 49b Abs. 2 Satz 2, Cyberbedrohungen im Sinne des Art. 2 Nr. 8 der Verordnung (EU) 2019/881 und Beinahe-Vorfälle im Sinne des Art. 6 Nr. 5 der Richtlinie (EU) 2022/2555 an das Landesamt melden. ³Soweit erforderlich übermittelt das Landesamt der nationalen zentralen Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 die Informationen über die gemäß diesem Absatz eingegangenen Meldungen, wobei es die Vertraulichkeit und den angemessenen Schutz der von der meldenden Stelle übermittelten Informationen sicherstellt. ⁴Unbeschadet der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten dürfen Meldungen nach Satz 2 nicht dazu führen, dass der meldenden Stelle zusätzliche Verpflichtungen auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hätte.

(4) Die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen unterstützen das Landesamt bei Maßnahmen nach Art. 42 Abs. 1 Nr. 1, 2, 4 und 5, soweit keine Vorschriften entgegenstehen.

(5) Bei der Planung und Umsetzung von maßgeblichen neuen Digitalisierungsvorhaben des Landes ist das Landesamt zur Gewährleistung der Sicherheit in der Informationstechnik durch die jeweils zuständige Stelle frühzeitig zu beteiligen und es ist ihm die Gelegenheit zur Stellungnahme zu geben.

Art. 32 DSGVO und die Maßnahmen zur Behandlung von Risiken informationstechnischer Systeme

Die Maßnahmen zur Behandlung von Risiken durch den Einsatz von informationstechnischen Systemen, orientieren sich an den Maßnahmen zum Schutz personenbezogener Daten.

Vereinfacht heißt das, jede Information auch ohne Personenbezug soll so wie personenbezogene Daten geschützt werden. Für die Systeme wie die Prozesse sind - soweit zutreffend - folgende Maßnahmen auf Grundlage einer Risikobewertung zu treffen.

• Zugangskontrollen
• Organisationskontrollen
• Datenträgerkontrollen
• Speicherkontrollen
• Benutzerkontrollen
• Transportkontrollen
• Zugriffskontrollen
• Übertragungskontrollen
• Eingabekontrollen
• Wiederherstellungsgewährleistung
• Gewährleistung der Systemzuverlässigkeit
• Gewährleistung der Datenintegrität
• Auftragskontrollen

Aus der entsprechenden Anwendung von Art. 32 DSGVO folgt:

• risikoorientierter Ansatz nach Eintrittswahrscheinlichkeit und Schwere der Risiken für die Informationssicherheit
• Mit folgenden Maßnahmen zur Risikobehandlung
  • (Pseudonymisierung) und Verschlüsselung von Daten
  • Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
  • Fähigkeit, die Verfügbarkeit der Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit

1. Elektronische Kommunikation

Seit dem 1. Juli 2016 müssen staatliche Hochschulen mindestens einen Kanal für elektronische Kommunikation anbieten. Dieser Kanal kann eine DE-Mail-Adresse sein, aber ebenso gut eine Chatlösung. Die wirtschaftlichste Wahl und vertrauteste Lösung wird jedoch E-Mail sein. Soweit es um den rechtswirksamen Zugang von Dokumenten geht ist sicherzustellen, dass die den E-Mail-Eingang Bearbeitenden qualifizierte elektronische Signaturen überprüfen können.

Weitere Informationen zu technischen Fragen finden Sie unter Akzeptanz elektronischer Nachweise.

2. Schriftformersatz

Im Rahmen elektronischer Kommunikation ist ein Schriftformersatz oft möglich. Soweit keine persönliche Anwesenheit für das Verwaltungsverfahren erforderlich ist aber die Schriftform gesetzlich vorgeschrieben ist, kann u.a.

• ein Dokument mit qualifizierter Elektronischer Signatur,
• die unmittelbare Abgabe der Erklärung in einem elektronischen Formular, das von der Behörde in einem Eingabegerät oder über öffentlich zugängliche Netze zur Verfügung gestellt wird (z.B. ein Terminal in der Behörde),
• weitere Verfahren nach Art. 3a Abs. 2 S. 4 BayVwVfG

die Schriftform ersetzen.

3. Rechtsbehelfsbelehrung

Durch den neuen Anspruch auf digitalen Zugang zu Behörden bedürfen Rechtsbehelfsbelehrungen einer Ergänzung.

Für Rechtsbehelfsbelehrungen gibt es Muster in der Anlage der Bekanntmachung des Bayerischen Staatsministeriums des Innern, für Bau und Verkehr über den Vollzug des Art. 12 des Gesetzes zur Ausführung der Verwaltungsgerichtsordnung vom 19. August 2021 (BayMBl. Nr. 627).

4. Verschlüsselung

Für eine vertrauliche Kommunikation sind geeignete Verschlüsselungsverfahren anzubieten.

Hochschulen steht über die DFN-PKI bereits ein Verschlüsselungsverfahren zur Verfügung. Für einen flächendeckenden Einsatz bedarf es jedoch einer ausreichenden personellen Infrastruktur.

Zur Ergänzung sollten auch PGP-Schlüssel oder S/MINE Zertifikate angeboten werden, um Personen außerhalb der DFN-PKI die Verschlüsselung des Nachrichteninhaltes zu ermöglichen.

Bitte beachten Sie, dass die Datenschutzaufsichtsbehörden bereits jetzt die Verpflichtung sehen, Nachrichteninhalte zu verschlüsseln, wenn diese personenbezogene Daten enthalten.

Eine Verschlüsselung der Kommunikation kann ferner auch über Chatdienste angeboten werden.

Auskünfte und Informationen

Dienste, die Behörden außerhalb eines Verwaltungsverfahrens anbieten, sind auch digital anzubieten.

Dies umfasst insbesondere Auskünfte und Informationen durch Behörden. Im Hochschulbereich sollten daher die Informationen über Veranstaltungen stets auch online vorgehalten werden.

"Eine Gewähr für die jederzeitige uneingeschränkte Aktualität, Richtigkeit, Vollständigkeit und Verfügbarkeit der bereit gestellten Dienste ist [... damit ...] nicht verbunden." (so noch LT-Drs. 17/7537 zur Gesetzesnegründung des BayEGovG)

1. Anspruch auf elektronisches Verwaltungsverfahren

Die Beteiligten an einem Verwaltungsverfahren haben einen Anspruch auf elektronische Durchführung des Verfahrens.

Sollte aus wirtschaftlichen wie aus zweckmäßigen Gründen von einer elektronischen Durchführung des Verfahrens abgesehen werden, bedarf dies einer Begründung. Daher empfiehlt sich ein Umsetzungskonzept hinsichtlich der Digitalisierung der Verwaltung in den Hochschulen.

2. Akzeptanz elektronischer Nachweise

Unterlagen können grundsätzlich elektronisch eingereicht werden. Bei Bedarf kann die Vorlage von Originalen erfolgen.

Die gesetzlichen Anforderungen an digitale Nachweise ergeben sich auf dem Vertrauensdienstegesetz und der VO (EU) 910/2014 (eIDAS).

3. Digitale Identitätsnachweise

Soweit die gesetzliche Pflicht besteht, die Beteiligten an einen Verwaltungsverfahren zu identifizieren, sind europäische elektronische Identitätsnachweise, wie der deutsche Personalausweis oder der elektronischen Aufenthaltstitel, anzubieten.

Aktenführung

Nach Art. 33 Abs. 1 S. 1 BayDiG sollen die staatlichen Behörden und können die Landratsämter und sonstige Behörden können ihre Akten digital führen. Für staatliche Hochschulen besteht ausweislich dieser nicht gebundnenen Norm keine Pflicht, die E-Akte einzuführen.

Jedoch kann die bestehende hybride Aktenführung haushaltsrechtlich unwirtschaftlich sei. Denn im Hinblick auf die Verpflichtung zahlreiche Dienste elektronisch anzubieten, wie auch die verpflichtende elektronische Kommunikation mit anderen Behörden und Gerichten, wird eine hypride Aktenführung immer aufwendiger und zunehmend ineffizient.

1. Allgemeines zur E(X)-Rechnung

Der Empfang und die Verarbeitung elektronischer Rechnungen ist sicherzustellen. Für Hochschulen ist diese Pflicht auf EU-weite Vergaben beschränkt. Beim Empfang der Rechnung wird die formale Korrektheit der Rechnung technisch überprüft. Der Code für ein Valdierungstool wurde auf Github veröffentlicht unter https://github.com/itplr-kosit/validationtool. Ein Standard zur E-Rechnung ist die XRechnung. Weitere gehen Informationen finden Sie bei der Koordinierungsstelle für IT-Standards.

2. Anwendungsbereich

Anders als die meisten Normen des Bayerischen E-Government-Gesetzes, die ausschließlich auf staatliche Behörden Anwendung finden, gilt die Pflicht hinsichtlich elektronischer Rechnungen nach Art. 15 Abs. 2 S. 1 BayDiG für alle öffentlichen Auftraggeber im Sinne des § 98 GWB. Daher können auch Hochschulen in kirchlicher Trägerschaft oder Studentenwerke ebenso im Anwendungsbereich dieser Norm sein.

Die Norm des Art. 15 Abs. 2 S. 1 BayDiG (i.V.m. § 98 GWB) gilt jedoch nur, soweit 

1. für sie eine Vergabekammer des Freistaates Bayern zuständig ist, 

2. sie im Rahmen der Organleihe für den Bund tätig werden oder 

3. dies durch Rechtsverordnung der Staatsregierung vorgesehen ist.

1. Unbarer Zahlungsverkehr

Die Verpflichtung, dass Forderungen der Behörden unbar beglichen werden können, wird in Bayern weitergehend umgesetzt.

Daher ist die bloße Angabe einer Bankverbindung nicht ausreichend, vielmehr sind elektronische Zahlungsmöglichkeiten wie Kreditkarten anzubieten. Der Freistaat stellt dafür eine Basiskomponente E-Payment bereit.

2. Haushaltsrecht

Gebühren, die durch den Einsatz elektronischer Bezahlplattformen entstehen, sind bereits durch eine allgemeine Auszahlungsanordnung haushaltsrechtlich elegant  abgebildet über Nr. 11.7. c VV zu Art. 70 BayHO.

Dies entbindet jedoch nicht von der Beachtung der Grundsätze der Wirtschaftlichkeit und Sparsamkeit, vgl. Art. 7 Abs. 1 S. 1 BayHO.

Bayerische E-Governmentplattform

Das BayernPortal ist die zentrale Plattform des Freistaates für Bürgerservice, Unternehmerservice und Verwaltungsservice.

Es ist unter https://www.freistaat.bayern/ erreichbar.

Zur Digitalisierung der eigenen Dienste und Verfahren ist das Bayernportal eine optimale Unterstützung zur Umsetzung.

Über das Portal ist bereits mit einem Postfach eine Möglichkeit verschlüsselter Kommunikation und der Zustellung von Bescheiden gegeben. Ebenso können die Nutzenden bereits elektronisch ihre Identifikation nachweisen.

Portal für Beschäftigte des Freistaates Bayern

Unter  https://www.mitarbeiterportal.bayern.de/ bietet der Freistaat seinen Beschäftigten eine Portallösung an.

Über dieses Portal ist auch das Management von Dienstreisen möglich, auch die Zeiterfassung wird demnächst in dieses Portal integriert werden. Soweit diese Dienste den Anforderungen der Hochschulen genügen, sollte es eine Selbstverständlichkeit sein diese Portallösung einzusetzen.

Informationen

Autor: Johannes Nehlsen Titel: Digitale Verwaltung an bayerischen Hochschulen

Dieses Werk ohne Bilder ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 4.0 International Lizenz.