Onlinezugangsgesetz 2.0Bundestag beschließt Update für die Verwaltungsdigitalisierung

Der Bundestag hat umfassende Änderungen des Onlinezugangsgesetzes beschlossen. Damit geht die Ampel grundsätzliche Probleme bei der Digitalisierung der öffentlichen Verwaltung an. Für Euphorie gibt es allerdings keinen Grund. Denn die gesetzlichen Verbesserungen haben ein paar Haken.

ein Mann joggt an einem grünen Ufer auf eine Wand aus Aktenstapeln zu
Das OZG 2.0 ist im Endspurt. Der Bundestag hat die Änderungen beschlossen, nun muss nur noch der Bundesrat zustimmen. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Aktenstapel: Unsplash/Wesley Tingey; Jogger am Ufer: Unsplash/Gary Butterfield; Montage: netzpolitik.org

Der Bundestag hat heute nach monatelangen Debatten die neue Version des Onlinezugangsgesetzes (OZG) beschlossen. Das OZG 2.0 soll die öffentliche Verwaltung endlich digitaler machen. Bürger:innen, Unternehmen und Organisationen sollen sich so den Gang aufs Amt und damit viel Zeit und Papier sparen.

Die Digitalisierung zahlreicher Verwaltungsdienstleistungen sollte eigentlich schon Ende 2022 abgeschlossen sein. So sieht es das OZG aus dem Jahr 2017 vor. Doch die Umsetzung hat mit etlichen Hürden zu kämpfen und lahmt daher seit Jahren. Mit dem OZG-Update will die Bundesregierung die Versäumnisse der vergangenen Jahre nun endlich aufholen.

Tatsächlich sieht das Gesetz etliche Verbesserungen vor. So verpflichtet es Behörden unter anderem dazu, einheitliche Standards zu befolgen und vorrangig auf Open-Source-Software zu setzen. Allerdings kommen die Verbesserungen mit deutlichen Beschränkungen einher. Und auch Probleme der IT-Sicherheit adressiert das neue Gesetz nur unzureichend.

Anke Domscheit-Berg (Die Linke) bezeichnete das Gesetz in der heutigen Plenardebatte als „zu unverbindlich“, „nicht ehrgeizig genug“ und nahm der Euphorie der Koalitionsfraktionen den Wind aus den Segeln. Dennoch stimmte auch sie für das Gesetz. Zwar bedeute das OZG 2.0 nur „kleine Trippelschritte“, doch die Ampel gehe damit ein Stück weit nach vorn, so die Abgeordnete.

Endlich verbindliche Standards

Begrüßenswerterweise hat die Ampel viele Verbesserungsvorschläge von Sachverständigen in den finalen Gesetzestext einbezogen. Neben einer wissenschaftlichen Evaluierung der Digitalisierung in regelmäßigen Abständen sowie einem Rechtsanspruch auf digitale Leistungen werden Nutzerfreundlichkeit und Barrierefreiheit verbindlich. Sie sollen auch bei der Festlegung einheitlicher IT-Standards berücksichtigt werden, nach denen Bund, Länder und Kommunen die einzelnen Verwaltungsleistungen digitalisieren.

Die Vorgabe zu einheitlichen Standards und offenen Schnittstellen ist das Herzstück des OZG 2.0. Bislang fehlten solche verbindlichen Vorgaben, was unter anderem dazu führte, dass eine zentrale Regelung des OZG 1.0 scheiterte, nämlich das Einer-für-Alle-Prinzip (EfA). Dieses verfolgt die Idee, dass sich Bund und Länder die Digitalisierungsarbeit teilen und alle von den Umsetzungen der anderen profitieren.

Die neue Regelung ist jedoch eingeschränkt: Denn der Bund entwickelt die Standards nur für Bundesleistungen und muss das erst in zwei Jahren umsetzen. Bis dahin setzt sich der Software-Wildwuchs damit unverändert fort. Das aber sei ein Scheitern mit Ansage, kommentiert Katina Schubert von der Partei Die Linke das Vorhaben in einer Pressemeldung.

Hinzu kommt, dass die Zuständigkeit dafür, die offenen Standards und Schnittstellen zur Verfügung zu stellen, laut Gesetz allein beim Bundesinnenministerium (BMI) liegt – und damit bei einer einzigen Behörde. Die Umsetzung hängt somit maßgeblich davon ab, ob das Ministerium über genug Personal und ausreichend Mittel verfügt. Zwar wird im Gesetz der IT-Planungsrat erwähnt, doch muss vom BMI lediglich über die Neuerungen informiert werden, hat damit keine aktive Mitsprache.

Mehr Open Source für die Zukunft

Auch die Forderung nach mehr Open-Source-Software (OSS) hat es in den finalen Gesetzestext geschafft. Dort heißt es: „Open-Source-Software soll vorrangig vor solcher Software eingesetzt werden, deren Quellcode nicht öffentlich zugänglich ist oder deren Lizenz die Verwendung, Weitergabe und Veränderung einschränkt.“ Frühere Versionen des Gesetzestextes sahen vor, dass Behörden OSS nur dann einsetzen sollen, wenn es „technisch möglich und wirtschaftlich“ ist. Diese Einschränkung ist gestrichen. Außerdem müssen Behörden den Quellcode neuer OSS-Leistungen fortan veröffentlichen.

Welche Wirkung diese Regelung haben wird, ist derzeit noch offen. Denn die zuständigen Stellen sollen OSS nur dann bevorzugen, wenn sie Vorgaben für IT-Komponenten machen. Bestehende Komponenten sollen aber nicht unter eine Open-Source-Lizenz gestellt werden. Auch gibt das Gesetz nicht vor, dass Verwaltungen den Quellcode eigener Softwareentwicklungen veröffentlichen müssen.

Der Vorrang für OSS gilt außerdem nur für Bundesleistungen. Länder und Kommunen sind von dieser Regelung ausgenommen. Laut Misbah Khan (Grüne) hätten die Länder einer solchen Pflicht im Bundesrat nicht zugestimmt. Daher hoffe die Bundesregierung nun, Positivbeispiele zu setzen und Länder und Kommunen so für einen breiteren Einsatz von OSS zu gewinnen.

BundID statt eID

Mit dem OZG 2.0 will die Ampel zudem die BundID weiter stärken. Über das Konto sollen Bürger:innen künftig Verwaltungsleistungen beantragen, über das eingebaute Postfach mit Behörden kommunizieren und Gebühren entrichten können. Die BundID fristet bislang ein Schattendasein. Zulauf erhielt sie nur über Taschenspielertricks: So machte der Bund es Anfang 2023 zur Bedingung für all jene Studierenden und Fachschüler:innen, die sich die Energiepreispauschale in Höhe von 200 Euro auszahlen lassen wollten.

Um weitere Hürden abzubauen, vereinfacht der Bund mit dem OZG 2.0 die Registrierung für die BundID. Bürger:innen müssen sich nur einmalig mit der eID-Funktion ihres elektronischen Personalausweises identifizieren, um die BundID dann nur noch mit einfachem Passwort-Login nutzen zu können. Je nach Sicherheitsniveau der einzelnen Dienste sind zudem verschiedene Authentifizierungswege geplant. Dabei sollen auch biometrische Merkmale zum Einsatz kommen wie die FaceID auf dem iPhone.

Damit aber schwächt das Gesetz die sichere und nutzerfreundliche eID. Aus Sicht der IT-Sicherheit ist das nicht nachvollziehbar, da hardwaregebundene eID ist als vergleichsweise sicher gilt. Die BundID ist kein Ersatz dafür, sondern nur eine zwischengeschaltete Plattform, mit der sich digitale Verwaltungsleistungen beantragen lassen.

Datenschutzcockpit als Einfallstor

Eine große Schwäche des OZG 2.0 ist die Konzeption des Datenschutzcockpits. Es soll Bürger:innen einen Überblick darüber gewähren, welche Behörden welche ihre Daten abgerufen haben. Aus Sicht der Bundesregierung soll das Cockpit so mehr Transparenz und später auch mehr Kontrolle bieten.

Doch IT-Sicherheitsexpert:innen äußern starke Kritik am Cockpit. Denn es böte die Möglichkeit, die Daten aller Bürger:innen an zentraler Stelle abzurufen. Zwar sollen die Daten laut OZG 2.0 nicht mehr im Cockpit vorgehalten werden. Wollen Bürger:innen wissen, wer welche Daten abgerufen hat, werden die entsprechenden Informationen jeweils abgefragt – und zwar häufig ohne Verweis auf die Identifikationsnummer. Auch das ist eine Verbesserung zum ursprünglichen OZG-2.0-Entwurf.

Dennoch ist aus Sicht der IT-Sicherheit wenig gewonnen. So mahnt die Sicherheitsexpertin Bianca Kastl an, dass „eine Kompromittierung des Cockpits fatale Folgen hätte“. Angreifer:innen könnten dann theoretisch abgefragte Daten der Register mitschneiden und hätten dann trotzdem Zugriff auf diese Daten. Diese Gefahr ließe sich technisch leicht bannen, so Kastl gegenüber netzpolitik.org, die Lösung: Daten via Ende-zu-Ende-Verschlüsselung für jede:n Einzelne:n individuell so zu verschlüsseln, dass diese nur für die betroffene Person einsehbar sind.

Das Recht, digitale Leistung einzuklagen

In die neue Version des OZG hat zudem eine weitere Forderung der Zivilgesellschaft Eingang gefunden. Vom Jahr 2028 an sollen Bürger:innen und Unternehmen beim Verwaltungsgericht ihr Recht auf digitale Verwaltungsleistungen einklagen können. Gleichzeitig schränkt das Gesetz den Rechtsanspruch ein: Er gilt nur für Leistungen des Bundes und nicht für Verwaltungsleistungen, die selten beantragt werden oder die „technisch und rechtlich“ nicht digital angeboten werden können.

Er gilt zudem nur für das digitale Einreichen von Anträgen, also entsprechend dem OZG nur für den Onlinezugang, wie auch Domscheit-Berg anmerkt. Die dahinterliegenden Prozesse sind davon unberührt. Ein wesentliches Problem der Digitalisierung der Verwaltung ist jedoch, dass die Prozesse vom Antrag bis zur Veraktung nicht medienbruchfrei konzipiert werden. Nadine Schön (CDU) merkt zurecht an, dass hier die Gefahr besteht, den Fokus zu sehr auf das Frontend zu legen.

Der Rechtsanspruch soll laut Manuel Höferlin (FDP) Druck auf die Behörden aufbauen, auch wenn es sich um eine Regelung mit Symbolwirkung handelt, wie der Bundestagsabgeordnete im Pressegespräch einräumte, da mit einer Klage kein Anspruch auf Schadensersatz geltend gemacht werden kann.

Katina Schubert von der Linkspartei ist da deutlich skeptischer. Da die Klagen erst ab dem Jahr 2028 möglich sein werden, reiche die Bundesregierung den „schwarzen Peter“ an die nächste Regierung weiter, erklärt sie.

„OZG ist wichtig, aber nicht alles“

Die Koalitionsfraktionen zeigten sich in der heutigen Plenardebatte demonstrativ stolz auf ihr Gesetz. Misbah Khan spricht von einem Meilenstein, Volker Redder (FDP) betont überschwänglich seine Freude über das neue Gesetz und der parlamentarische Staatssekretär des Innern und für Heimat Johann Saathoff (SPD) geht noch weiter: „Mit dem OZG 2.0 legen wir nicht weniger als eines der größten Verwaltungsmodernisierungsprojekte des Jahrhunderts vor.“

Doch es geht auch etwas zurückhaltender. Robin Mesarosch (SPD) zieht ein nüchterneres Fazit: „OZG ist wichtig, aber nicht alles.“ Mit dieser Einschätzung erkennt er an, dass die Verwaltungsdigitalisierung vor etlichen Problemen steht, die auch das OZG 2.0 nicht abdeckt. Um für weiteren Schub zu sorgen, müssen Bund, Länder und Kommunen zusätzliche Stellschrauben bedienen. Sie müssen etwa eine gemeinsame Gesamtstrategie entwickeln und verfolgen, Zuständigkeiten klarer verteilen und einheitliche Standards über alle Ebenen hinweg umsetzen sowie dringend benötigtes Personal ausbilden.

Das OZG 2.0 ist ein wichtiger Schritt auf dem Weg dahin. Bevor das Gesetz in Kraft tritt, muss nun noch der Bundesrat zustimmen. Als Nächstes berät der Ausschuss für Innere Angelegenheiten am 7. März über das OZG-Änderungsgesetz.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

9 Ergänzungen

  1. Ich mache mir da seit einiger Zeit so einige Gedanken.
    Bin im Herbst 2023 auf das Arbeitspapier der „Berlin Group“ gestoßen:

    https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2023/17-Berlin-Group-Telemetrie.html

    Wenn ich mir das Arbeitspapier durchlese, dann kommen mir massive Zweifel, ob mit den dort im Anhang (Kinks/ References) ab S. 14 querverwiesenen Quelleninformationen das „Onlinezugangsgesetz 2.0“ mit „Open-Source“ überhaupt funktioniert.

    Müssten wir hier in Europa uns nicht zunächst einmal von propritären Systemen möglichst „verabschieden“?
    Allein schon, um zu verstehen, was „hinter den Kulissen“ die Betriebssysteme und Programme mit „unseren“ Daten machen?

  2. „Open Source“ und proprietär (und damit teuer) geht auch zusammen. Beispiel: Corona-Warn-App.
    Der Quellcode wird offengelegt, die Lizenzen sind aber nicht frei.

  3. Die Ausführungen zum Datenschutzcockpit sind nahezu in Gänze unzutreffend

    >Zwar sollen die Daten laut OZG 2.0 nicht mehr im Cockpit vorgehalten werden.
    Schon in der ersten Iteration des Cockpits nach dem Registermodernisierungsgesetz sollten dort keine Daten vorgehalten werden

    >und zwar häufig ohne Verweis auf die Identifikationsnummer.
    Ich denke, dass sich das auf die neue Ausbaustufe des Cockpits bezieht, die auch Datenübermittlungen ohne Einsatz der Identifikationsnummer erfassen möchte, sobald hierfür die technischen Voraussetzungen vorliegen. Die ersten Ausbaustufen bauen aber zwingend auf der Identifikationsnummer auf

    >Diese Gefahr ließe sich technisch leicht bannen, so Kastl gegenüber netzpolitik.org, die Lösung: Daten via Ende-zu-Ende-Verschlüsselung für jede:n Einzelne:n individuell so zu verschlüsseln, dass diese nur für die betroffene Person einsehbar sind.
    Auch das ist schon seit der ersten Iteration des Cockpits so vorgesehen

      1. Zu 1.
        Das Quellen-Modell als Grundlage für die Architektur wird schon im ursprünglichen Regierungsentwurf des Registermodernisierungsgesetzes erwähnt.

        Zu 2.
        Der Beschluss des Innenausschusses selbst (BT-Drs 20/10417) mit den neuen Regelungen zu § 5 E-Government-Gesetz und § 10 Onlinezugangsgesetz. Am leichtesten nachvollziehen kann man es in der Begründung zu § 10 Absatz 1 OZG recht weit unten.

        Zu 3.
        XDatenschutzcockpit-Standard

        1. Die Schlüsse aus den Quellen sind nicht zwingend. Beim Thema Ende-zu-Ende-Verschlüsselung jedenfalls sind das ozg 2.0 wie auch das Papier XDatenschutzcockpit-Standard nicht eindeutig. Im ozg 2.0 steht nur, dass Daten im Cockpit (on demand) erzeugt werden sollen, nicht aber, dass sie Clientseitig verschlüsselt werden sollen: „Der Abruf der Daten zur Anzeige im Datenschutzcockpit erfolgt in jeder Sitzung nach Anforderung durch den Nutzer erneut, das heißt, beim Datenschutzcockpit werden keine Daten dauerhauft vorgehalten.“ Das Sequenzdiagramm im XDatenschutzcockpit-Standard (S. 14) legt Ihren Schluss auch nicht nahe. https://www.xrepository.de/api/xrepository/urn:xoev-de:kosit:standard:xdatenschutzcockpit_1.0.1:dokument:XDatenschutzcockpit_Teil1:_Technologieunabh_ngige_Spezifikation

  4. Ein wichtiger Aspekt kommt hier zu kurz.
    Es wurden schon seit Jahren Gesetze erlassen, die die Digitalisierung vorantreiben sollen. Sie sind bisher allesamt gescheitert (an der Frist). Es nützt nichts etwas gesetzlich einzufordern, zu dem man technisch nicht im Stande ist. Ein einklagbarer Anspruch nützt hier auch nichts, wenn man versucht etwas einzuklagen, das technisch (derzeit) gar nicht möglich ist.
    Auch die Justiz, als die stärkste Bastion gegen Digitalisierung, wird in solchen Fällen mit Sicherheit nichts urteilen, von dem sie selbst glaubt, dass es (derzeit) technisch nicht möglich ist.

    Es gibt bei diesem x-ten Gesetz keinen Grund zur Euphorie, weil es an dem grundlegenden Problem – der Unfähigkeit zu Digitalisieren – nichts ändert.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.