Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (Onlinezugangsgesetz - OZG)

(1) Bund und Länder sind verpflichtet, bis spätestens zum Ablauf des fünften auf die Verkündung dieses Gesetzes folgenden Kalenderjahres ihre Verwaltungsleistungen auch elektronisch über Verwaltungsportale anzubieten.

(2) Bund und Länder sind verpflichtet, ihre Verwaltungsportale miteinander zu einem Portalverbund zu verknüpfen.

(1) Der „Portalverbund“ ist eine technische Verknüpfung der Verwaltungsportale von Bund und Ländern, über den der Zugang zu Verwaltungsleistungen auf unterschiedlichen Portalen angeboten wird.

(2) Ein „Verwaltungsportal“ bezeichnet ein bereits gebündeltes elektronisches Verwaltungsangebot eines Landes oder des Bundes mit entsprechenden Angeboten einzelner Behörden.

(3) „Verwaltungsleistungen“ im Sinne dieses Gesetzes sind die elektronische Abwicklung von Verwaltungsverfahren und die dazu erforderliche elektronische Information des Nutzers und Kommunikation mit dem Nutzer über allgemein zugängliche Netze.

(4) „Nutzer“ im Sinne dieses Gesetzes sind

1.

natürliche Personen,

2.

juristische Personen,

3.

Vereinigungen, soweit ihnen ein Recht zustehen kann, und

4.

Behörden.

(5) Ein „Nutzerkonto“ ist eine zentrale Identifizierungs- und Authentifizierungskomponente, die eine staatliche Stelle anderen Behörden zur einmaligen oder dauerhaften Identifizierung und Authentifizierung der Nutzer zu Zwecken der Inanspruchnahme von Verwaltungsleistungen der öffentlichen Verwaltung bereitstellt. Ein Nutzerkonto kann als Bürger- oder Organisationskonto angeboten werden. Ein „Bürgerkonto“ ist ein Nutzerkonto, das natürlichen Personen zur Verfügung steht. Ein „Organisationskonto“ ist ein Nutzerkonto, das juristischen Personen, Vereinigungen, denen ein Recht zustehen kann, natürlichen Personen, die gewerblich oder beruflich tätig sind, oder Behörden zur Verfügung steht. Die Verwendung von Nutzerkonten ist für die Nutzer freiwillig.

(6) „IT-Komponenten“ im Sinne dieses Gesetzes sind IT-Anwendungen, Basisdienste, digitale Werkzeuge und die elektronische Realisierung von Standards, Schnittstellen und Sicherheitsvorgaben, die für die Anbindung an den Portalverbund, für den Betrieb des Portalverbundes und für die Abwicklung der Verwaltungsleistungen im Portalverbund erforderlich sind.

(7) Ein „Postfach“ ist eine IT-Komponente, über die eine Behörde Nutzern mit deren Zustimmung elektronische Dokumente und Informationen bereitstellen kann. Das Postfach ist Bestandteil eines Nutzerkontos. Die Nutzung eines Postfachs ist für die Nutzer freiwillig.

(1) Der Portalverbund stellt sicher, dass Nutzer über alle Verwaltungsportale von Bund und Ländern einen barriere- und medienbruchfreien Zugang zu elektronischen Verwaltungsleistungen dieser Verwaltungsträger erhalten.

(2) Bund und Länder stellen im Portalverbund Nutzerkonten bereit, über die sich Nutzer für die im Portalverbund verfügbaren elektronischen Verwaltungsleistungen von Bund und Ländern einheitlich identifizieren und authentifizieren können. Das Bundesministerium des Innern, für Bau und Heimat wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates zu bestimmen, welche staatlichen Stellen im Portalverbund ein einheitliches Organisationskonto bereitstellen. Über das Organisationskonto können sich Nutzer im Sinne des § 2 Absatz 5 Satz 4 für die im Portalverbund verfügbaren elektronischen Verwaltungsleistungen von Bund und Ländern einheitlich über ein nach § 87a Absatz 6 der Abgabenordnung in der Steuerverwaltung eingesetztes sicheres Verfahren identifizieren und authentisieren. Der Einsatz von Identifizierungs- und Authentifizierungsmitteln für natürliche Personen ist dadurch nicht ausgeschlossen. Die besonderen Anforderungen einzelner Verwaltungsleistungen an die Identifizierung und Authentifizierung ihrer Nutzer sind zu berücksichtigen.

(1) Für die elektronische Abwicklung von Verwaltungsverfahren, die der Durchführung unmittelbar geltender Rechtsakte der Europäischen Union oder der Ausführung von Bundesgesetzen dienen, wird die Bundesregierung ermächtigt, im Benehmen mit dem IT-Planungsrat durch Rechtsverordnung ohne Zustimmung des Bundesrates die Verwendung bestimmter IT-Komponenten nach § 2 Absatz 6 verbindlich vorzugeben. In der Rechtsverordnung kann auch die Verwendung von IT-Komponenten geregelt werden, die das jeweils zuständige Bundesministerium bereitstellt. Die Länder können von den in der Rechtsverordnung getroffenen Regelungen durch Landesrecht abweichen, soweit sie für den Betrieb im Portalverbund geeignete IT-Komponenten bereitstellen.

(2) Die Länder sind verpflichtet, die technischen und organisatorischen Voraussetzungen für den Einsatz der nach Absatz 1 vorgegebenen Verfahren sicherzustellen.

Für die im Portalverbund und für die zur Anbindung an den Portalverbund genutzten IT-Komponenten werden die zur Gewährleistung der IT-Sicherheit erforderlichen Standards durch Rechtsverordnung des Bundesministeriums des Innern, für Bau und Heimat ohne Zustimmung des Bundesrates festgelegt. Die Einhaltung der Standards der IT-Sicherheit ist für alle Stellen verbindlich, die entsprechende IT-Komponenten nutzen. Von den in der Rechtsverordnung getroffenen Regelungen kann durch Landesrecht nicht abgewichen werden. § 4 Absatz 2 gilt entsprechend.

(1) Für die Kommunikation zwischen den im Portalverbund genutzten informationstechnischen Systemen legt das Bundesministerium des Innern, für Bau und Heimat im Benehmen mit dem IT-Planungsrat durch Rechtsverordnung ohne Zustimmung des Bundesrates die technischen Kommunikationsstandards fest.

(2) Für die Anbindung von Verwaltungsverfahren, die der Ausführung von Bundesgesetzen dienen, an die im Portalverbund genutzten informationstechnischen Systeme legt das für das jeweilige Bundesgesetz innerhalb der Bundesregierung zuständige Bundesministerium im Einvernehmen mit dem Bundesministerium des Innern, für Bau und Heimat durch Rechtsverordnung ohne Zustimmung des Bundesrates die technischen Kommunikationsstandards fest. Das Bundesministerium des Innern, für Bau und Heimat setzt sich mit dem IT-Planungsrat hierzu ins Benehmen.

(3) Für die Anbindung der der Ausführung sonstiger Verwaltungsverfahren dienenden informationstechnischen Systeme an im Portalverbund genutzte informationstechnische Systeme legt das Bundesministerium des Innern, für Bau und Heimat im Benehmen mit dem IT-Planungsrat durch Rechtsverordnung ohne Zustimmung des Bundesrates die technischen Kommunikationsstandards fest.

(4) Die Einhaltung der nach den Absätzen 1 bis 3 vorgegebenen Standards ist für alle Stellen verbindlich, deren Verwaltungsleistungen über den Portalverbund angeboten werden. Von den in den Rechtsverordnungen nach den Absätzen 1 bis 3 getroffenen Regelungen kann durch Landesrecht nicht abgewichen werden. § 4 Absatz 2 gilt entsprechend.

(1) Bund und Länder bestimmen jeweils eine öffentliche Stelle, die natürlichen Personen die Einrichtung eines Nutzerkontos anbietet.

(2) Bund und Länder bestimmen jeweils öffentliche Stellen, die die Registrierung von Nutzerkonten vornehmen dürfen (Registrierungsstellen).

(3) Vorbehaltlich des § 3 Absatz 2 Satz 2 sind das Nutzerkonto, dessen Verwendung zur Identifizierung für elektronische Verwaltungsleistungen und die gegebenenfalls verbundene Registrierung von allen öffentlichen Stellen anzuerkennen, die Verwaltungsleistungen über die Verwaltungsportale im Sinne dieses Gesetzes anbieten.

(1) Der Nachweis der Identität des Nutzers eines Nutzerkontos kann auf unterschiedlichen Vertrauensniveaus erfolgen und muss die Verwendung des für das jeweilige Verwaltungsverfahren erforderlichen Vertrauensniveaus ermöglichen. Zur Feststellung der Identität des Nutzers eines Nutzerkontos dürfen bei Registrierung und Nutzung folgende Daten verarbeitet werden:

1.

bei einer natürlichen Person

a)

Familienname,

b)

Geburtsname,

c)

Vornamen,

d)

akademischer Grad,

e)

Tag der Geburt,

f)

Ort der Geburt,

g)

Geburtsland,

h)

Anschrift,

i)

Staatsangehörigkeit,

j)

bei Nutzung der elektronischen Identitätsfunktion im Sinne des § 18 des Personalausweisgesetzes, des § 12 des eID-Karte-Gesetzes oder des § 78 Absatz 5 des Aufenthaltsgesetzes die Abkürzung „D“ für Bundesrepublik Deutschland, die Dokumentenart sowie das dienste- und kartenspezifische Kennzeichen,

k)

die eindeutige Kennung sowie die spezifischen Daten, die von notifizierten elektronischen Identifizierungsmitteln nach der Verordnung (EU) Nr. 910/2014 vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73) übermittelt werden,

l)

die eindeutige Kennung, die von sonstigen anerkannten elektronischen Identifizierungsmitteln übermittelt wird, und

m)

die Postfachreferenz des Nutzerkontos;

bei späterer Nutzung des Nutzerkontos mit der eID-Funktion sind grundsätzlich das dienste- und kartenspezifische Kennzeichen und die Anschrift zu übermitteln; bei elektronischen Identifizierungsmitteln nach den Buchstaben k und l nur die jeweilige eindeutige Kennung;

2.

bei einer juristischen Person oder Vereinigungen, soweit ihnen ein Recht zustehen kann,

a)

Firma,

b)

Name oder Bezeichnung,

c)

Rechtsform oder Art der Organisation,

d)

Registergericht,

e)

Registerart,

f)

Registernummer,

g)

Registerort, soweit vorhanden,

h)

Anschrift des Sitzes oder der Niederlassungen,

i)

die eindeutige Kennung sowie spezifische Daten, die von notifizierten elektronischen Identifizierungsmitteln nach der Verordnung (EU) Nr. 910/2014 übermittelt werden,

j)

die eindeutige Kennung, die von sonstigen anerkannten elektronischen Identifizierungsmitteln übermittelt wird,

k)

die Postfachreferenz des Nutzerkontos und

l)

Namen der Mitglieder des Vertretungsorgans oder der gesetzlichen Vertreter;

ist ein Mitglied des Vertretungsorgans oder der gesetzliche Vertreter eine juristische Person, so sind deren Daten nach den Buchstaben a bis f und h bis k zu erheben; soweit eine natürliche Person für eine Organisation handelt, sind die gespeicherten personenbezogenen Daten nach Nummer 1 mit Ausnahme der „Anschrift“ und die Daten nach Absatz 3 zu verwenden.

Daten im Sinne des Satzes 2 Nummern 1 und 2 dürfen mit Einwilligung des Nutzers auch zwischen den Nutzerkonten von Bund und Ländern ausgetauscht werden.

(2) Zur Feststellung der Identität eines Nutzers darf die Finanzbehörde, die im Auftrag der obersten Finanzbehörden des Bundes und der Länder das sichere Verfahren nach § 87a Absatz 6 der Abgabenordnung betreibt,

1.

die in § 139b Absatz 3 Nummer 3, 4, 5, 6, 8 und 10, in § 139c Absatz 4 Nummer 3, 5, 8 und 10 und in § 139c Absatz 5 Nummer 4, 6, 9 und 11 der Abgabenordnung aufgeführten Daten des Bundeszentralamts für Steuern sowie entsprechende, für das Besteuerungsverfahren gespeicherte Daten der Finanzämter bei diesen Finanzbehörden im automatisierten Verfahren mit Einwilligung des Nutzers abrufen und

2.

die abgerufenen Daten mit Einwilligung des Nutzers an dessen Nutzerkonto übermitteln.

(3) Zur Kommunikation mit dem Nutzer können zusätzlich folgende Daten verarbeitet werden: Anrede, weitere Anschriften, De-Mail-Adresse oder vergleichbare Adresse eines Zustelldienstes eines anderen EU-/EWR-Staates nach der Verordnung (EU) Nr. 910/2014, E-Mail-Adresse, Telefon- oder Mobilfunknummer, Telefaxnummer.

(4) Mit Einwilligung des Nutzers dürfen im Nutzerkonto elektronische Dokumente zu Verwaltungsvorgängen sowie Status- und Verfahrensinformationen innerhalb des Nutzerkontos verarbeitet werden.

(5) Die elektronische Identifizierung kann jeweils mittels einer einmaligen Abfrage der Identitätsdaten erfolgen. Mit Einwilligung des Nutzers sind eine dauerhafte Speicherung der Identitätsdaten und deren Übermittlung an und Verwendung durch die für die Verwaltungsleistung zuständige Behörde zulässig. Im Falle der dauerhaften Speicherung muss der Nutzer jederzeit die Möglichkeit haben, das Nutzerkonto und alle gespeicherten Daten selbständig zu löschen.

(6) Die für die Abwicklung einer Verwaltungsleistung zuständige Behörde kann im Einzelfall mit Einwilligung des Nutzers die für die Identifizierung des Nutzers erforderlichen Daten bei der für das Nutzerkonto zuständigen Stelle elektronisch abrufen. Das nach § 87a Absatz 6 Satz 1 der Abgabenordnung eingesetzte sichere Verfahren ersetzt im Falle der Identifizierung und Authentifizierung am Organisationskonto eine durch Rechtsvorschrift angeordnete Schriftform.

(7) Bis zum Ablauf des 30. Juni 2023 werden die nach § 87a Absatz 6 der Abgabenordnung in der Steuerverwaltung bis einschließlich 31. Dezember 2019 eingesetzten sicheren Verfahren bundesweit zum Nachweis der Identität auf dem Vertrauensniveau „substantiell“ anerkannt. Satz 1 gilt nicht für Verwaltungsleistungen im Anwendungsbereich der Abgabenordnung.

(8) Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates festzulegen, welche elektronischen Identifizierungsmittel im Rahmen der Interoperabilität der Nutzerkonten von Bund und Ländern zum Nachweis der Identität eingesetzt werden können, die Details eines Anerkennungsverfahrens festzulegen und die technischen Rahmenbedingungen zur Sicherstellung der Interoperabilität der Nutzerkonten zu bestimmen.

(1) Mit Einwilligung des Nutzers kann ein elektronischer Verwaltungsakt dadurch bekannt gegeben werden, dass er vom Nutzer oder seinem Bevollmächtigten über öffentlich zugängliche Netze von dessen Postfach nach § 2 Absatz 7, das Bestandteil eines Nutzerkontos nach § 2 Absatz 5 ist, abgerufen wird. Die Behörde hat zu gewährleisten, dass der Abruf nur nach Authentifizierung der berechtigten Person möglich ist und dass der elektronische Verwaltungsakt von dieser gespeichert werden kann. Der Verwaltungsakt gilt am dritten Tag nach der Bereitstellung zum Abruf als bekannt gegeben. Im Zweifel hat die Behörde für den Eintritt der Fiktionswirkung die Bereitstellung und den Zeitpunkt der Bereitstellung nachzuweisen. Der Nutzer oder sein Bevollmächtigter wird spätestens am Tag der Bereitstellung zum Abruf über die zu diesem Zweck von ihm angegebene Adresse über die Möglichkeit des Abrufs benachrichtigt. Erfolgt der Abruf vor einer erneuten Bekanntgabe des Verwaltungsaktes, bleibt der Tag des ersten Abrufs für den Zugang maßgeblich.

(2) Die Bundesregierung berichtet dem Deutschen Bundestag und dem Bundesrat bis spätestens 10. Dezember 2025 über die Erfahrungen in der Praxis mit der Bekanntgabe des Verwaltungsaktes über das Postfach.

(1) Ein „Datenschutzcockpit“ ist eine IT-Komponente im Portalverbund, mit der sich natürliche Personen Auskünfte zu Datenübermittlungen zwischen öffentlichen Stellen anzeigen lassen können. Erfasst werden diejenigen Datenübermittlungen, bei denen eine Identifikationsnummer nach § 5 des Identifikationsnummerngesetzes zum Einsatz kommt.

(2) Im Datenschutzcockpit werden nach Maßgabe von Absatz 4 Satz 3 ausschließlich Protokolldaten nach § 9 des Identifikationsnummerngesetzes einschließlich der dazu übermittelten Inhaltsdaten sowie die Bestandsdaten der Register angezeigt. Diese Daten werden im Datenschutzcockpit nur für die Dauer des jeweiligen Nutzungsvorgangs gespeichert; nach Beendigung des Nutzungsvorgangs sind sie unverzüglich zu löschen. Der Auskunftsanspruch nach Artikel 15 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2; L 74 vom 4.3.2021, S. 35) bleibt unberührt. Das Datenschutzcockpit ist aus Sicht des Nutzers einfach und zweckmäßig auszugestalten. Es sind technische und organisatorische Maßnahmen vorzusehen, damit staatliche Eingriffe zum Nachteil des Nutzers nicht möglich sind.

(3) Jede natürliche Person kann sich bei der öffentlichen Stelle, die das Datenschutzcockpit betreibt, für ein Datenschutzcockpit registrieren. Sie hat sich bei der Registrierung und Nutzung des Datenschutzcockpits mit einem Identifizierungsmittel auf dem Vertrauensniveau hoch zu identifizieren. Zur Feststellung der Identität darf bei Registrierung und Nutzung das dienste- und kartenspezifische Kennzeichen verarbeitet werden. Im Übrigen kann sich der Nutzer auch mit einem Nutzerkonto des Portalverbundes beim Datenschutzcockpit registrieren.

(4) Das Datenschutzcockpit darf die Identifikationsnummer nach § 139b der Abgabenordnung als Identifikator für die Anfrage zur Erhebung und Anzeige der Daten nach Absatz 2 verarbeiten. Zur Anfrage nach § 6 des Identifikationsnummerngesetzes erhebt das Datenschutzcockpit bei der Registrierung des Nutzers folgende Daten:

1.

Namen,

2.

Vornamen,

3.

Anschrift,

4.

Geburtsname und

5.

Tag der Geburt.

Der Nutzer legt fest, in welchem Umfang das Datenschutzcockpit Protokolldaten einschließlich der übermittelten Inhaltsdaten sowie die Bestandsdaten der Register nach Absatz 2 erheben und anzeigen darf. Auf diese Daten hat nur der Nutzer Zugriff. Der Nutzer muss sein Konto im Datenschutzcockpit jederzeit selbst löschen können. Das Konto im Datenschutzcockpit wird automatisiert gelöscht, wenn es drei Jahre nicht verwendet wurde.

(5) Das Datenschutzcockpit wird von einer öffentlichen Stelle errichtet und betrieben, die durch Rechtsverordnung des Bundesministeriums des Innern, für Bau und Heimat im Benehmen mit dem IT-Planungsrat mit Zustimmung des Bundesrates bestimmt wird. Das Nähere zu den technischen Verfahren, den technischen Formaten der Datensätze und den Übertragungswegen legt das Bundesministerium des Innern, für Bau und Heimat im Benehmen mit dem IT-Planungsrat mit Zustimmung des Bundesrates durch Rechtsverordnung fest.

Bis zum Inkrafttreten des § 10 darf ein Datenschutzcockpit mit Zustimmung des Bundesministeriums des Innern, für Bau und Heimat in Pilotverfahren angewendet werden, in denen der Nutzer einen Antrag auf eine oder mehrere Verwaltungsleistungen stellt und dabei einwilligt, dass erforderliche Nachweise durch einen automatisierten Datenaustausch beigebracht werden.