Der Freistaat Sachsen hat mit dem Sächsischen E-Government-Gesetz (SächsEGovG) vom 9. Juli 2014 (SächsGVBl. S. 398 ff.) den rechtlichen Rahmen für das elektronisch gestützte Verwaltungshandeln im Freistaat Sachsen erweitert. Nach § 10 Absatz 4 SächsEGovG bestimmt die Staatsregierung unter dem Vorbehalt der Bereitstellung von Haushaltsmitteln für die Umsetzung durch den Landtag die Basiskomponenten durch Rechtsverordnung abschließend. Die Staatsregierung wird ferner ermächtigt, die Ausgestaltung einzelner Basiskomponenten unter dem Vorbehalt der Bereitstellung von Haushaltsmitteln für die Umsetzung durch den Landtag jeweils durch Rechtsverordnung zu regeln.
Mit dieser Rechtsverordnung werden die Basiskomponenten entsprechend § 10 Absatz 4 Satz 1 des Sächsischen E-Government-Gesetzes abschließend bestimmt und rechtlich ausgestaltet. Die Rechtsverordnung legt Interoperabilitäts- und Informationssicherheitsstandards fest. Sie konkretisiert die Daten, die zum Betrieb des Zuständigkeitsfinders erforderlich sind und die gemäß § 10 Absatz 2 Satz 1 in Verbindung mit § 10 Absatz 3 des Sächsischen E-Government-Gesetzes von den staatlichen Behörden und den Trägern der Selbstverwaltung zu liefern und einmal jährlich zu aktualisieren sind. Die Ausgestaltung der Basiskomponenten erfolgt nicht abschließend. Ein Rückgriff auf andere gesetzliche Bestimmungen, zum Beispiel des Sächsischen Datenschutzgesetzes oder des Telemediengesetzes ist im Einzelfall erforderlich. Die Rechtsverordnung schafft die datenschutzrechtliche Rechtsgrundlage für die Basiskomponenten, die personenbezogene Daten verarbeiten.
Die Einführung der Basiskomponenten verfolgt das Ziel eines bürger- und unternehmerfreundlichen Verfahrens. Es werden zum Beispiel mit der Basiskomponente Amt24 Informationen über Zuständigkeiten und Verfahren verbessert und standardisiert vorgehalten. Amt24 trägt zur Beschleunigung der Verfahren bei und eröffnet die Möglichkeit, sich besser auf einen Kontakt mit der Behörde vorzubereiten.
Durch die Funktionalitäten, die die verschiedenen Basiskomponenten anbieten, wird der Bedarf persönlicher Vorsprachen bei der Behörde verringert.
Adressat der Rechtsverordnung sind die staatlichen Behörden, da diese gemäß § 10 Absatz 2 des Sächsischen E-Government-Gesetzes verpflichtet sind, bei der Einführung neuer informationstechnischer Systeme und bei der wesentlichen Änderung der eingesetzten informationstechnischen Systeme die hierfür einsetzbaren Basiskomponenten zu nutzen. Gemäß § 10 Absatz 4 Satz 3 und 4 des Sächsischen E-Government-Gesetzes gelten die Vorgaben der Rechtsverordnung auch für die Träger der Selbstverwaltung, soweit sie Basiskomponenten nutzen oder gemäß Satz 1 in Verbindung mit § 10 Absatz 3 des Sächsischen E-Government-Gesetzes zur Bereitstellung elektronischer Daten verpflichtet sind. Die staatlichen Behörden treffen nach § 9 Absatz 2 Satz 1 des Sächsischen E-Government-Gesetzes angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zur Einhaltung der in § 9 Absatz 2 des Sächsischen Datenschutzgesetzes definierten Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und Transparenz für die in ihren informationstechnischen Systemen verarbeiteten Daten. Zur Erreichung und Aufrechterhaltung dieses Informationssicherheitsniveaus sind für die staatlichen Behörden die Standards und Kataloge des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils aktuellen Fassung maßgeblich. Dieses Informationssicherheitsniveau gilt auch für die Träger der Selbstverwaltung, soweit sie Basiskomponenten nutzen und durch diese Nutzung die Informationssicherheit staatlicher Behörden berührt ist.
Eine Verpflichtung zur Vornahme eines Mehrbelastungsausgleiches nach Artikel 85 Absatz 2 der Verfassung des Freistaates Sachsen ist mit der Geltung der Rechtsverordnung für die Träger der Selbstverwaltung, soweit sie Basiskomponenten nutzen, nicht verbunden. Den Trägern der Selbstverwaltung wird durch die Rechtsverordnung keine neue Aufgabe übertragen. Bereits mit Erlass des Sächsischen E-Government-Gesetzes wurden den Trägern der Selbstverwaltung die Aufgaben der elektronischen Zurverfügungstellung und mindestens jährlichen Aktualisierung der Daten, die für den Betrieb der als Zuständigkeitsfinder eingesetzten Basiskomponente erforderlich sind, auferlegt. Diese Aufgabenübertragung wurde in die Erwägungen zum Mehrbelastungsausgleich einbezogen. Die Rechtsverordnung dient lediglich der Umsetzung der Regelungen des Sächsischen E-Government-Gesetzes, indem der Umfang der Datenlieferung abschließend geregelt wird. Durch die Rechtsverordnung wird auch keine finanzielle Mehrbelastung der Träger der Selbstverwaltung bei der Erledigung dieser Aufgabe unmittelbar verursacht (Artikel 85 Absatz 2 Satz 2 Sächsische Verfassung). Für die Träger der Selbstverwaltung kommen lediglich Pflichten hinzu, die organisatorischen oder prozeduralen Inhalt haben. Dabei handelt es sich um Nebenpflichten, nicht um neue Aufgaben (vgl. SächsVerfGH, Urteil vom 20. Mai 2005, Az.: Vf 34-VIII-04).
Die Basiskomponenten sind von den staatlichen Behörden ab dem 1. August 2016, frühestens ab Inkrafttreten dieser Rechtsverordnung unter den Voraussetzungen des § 10 Absatz 2 des Sächsischen E-Government-Gesetzes zu nutzen.
Gemäß § 14 Absatz 1 des Sächsischen E-Government-Gesetzes kann das Staatsministerium des Innern die Basiskomponenten den Trägern der Selbstverwaltung zur Verfügung stellen. Auf Beliehene finden gemäß § 1 Absatz 1 Satz 2 des Sächsischen E-Government-Gesetzes die Vorschriften des E-Government-Gesetzes für die Träger der Selbstverwaltung Anwendung. Der Freistaat Sachsen kann die Basiskomponenten außerdem nach § 10 Absatz 2 Satz 4 des Sächsischen E-Government-Gesetzes anderen, nicht zu ihrer Nutzung verpflichteten Behörden zur Verfügung stellen. Davon umfasst ist jede Form der Nutzung bzw. Mitnutzung. Die Zurverfügungstellung erfolgt durch Abschluss von Nutzungsvereinbarungen. Nutzen die Träger der Selbstverwaltung Basiskomponenten, dann gelten die Vorgaben dieser Rechtsverordnung nach § 14 Absatz 2 Satz 2 des Sächsischen E-Government-Gesetzes auch für die Träger der Selbstverwaltung und sind bei Abschluss der Nutzungsvereinbarung zu berücksichtigen. Um die Anzahl der Nutzungsvereinbarungen möglichst gering zu halten, werden diese mit den kommunalen Spitzenverbänden geschlossen. Sie benennen mindestens die zur Verfügung gestellten Basiskomponenten, beschreiben den Leistungsumfang des Staatsministeriums des Innern und enthalten eine Regelung zur Kostentragung.
Die Basiskomponenten verarbeiten personenbezogene Daten zur Unterstützung von Verwaltungsverfahren der zuständigen Behörden. Die Verarbeitung personenbezogener Daten dieser Verwaltungsverfahren durch die zuständige Behörde ist nach § 4 Absatz 1 in Verbindung mit § 12 Absatz 1, § 13 Absatz 1 Nummer 1 und 2, § 14 Absatz 1 Nummer 1 und 2 des Sächsischen Datenschutzgesetzes zulässig, nicht aber durch das Staatsministerium des Innern. Soweit mit der Basiskomponente personenbezogene Daten von Verwaltungsverfahren durch das Staatsministerium des Innern verarbeitet werden, muss deshalb zwischen der die Basiskomponente nutzenden Behörde und dem Staatsministerium des Innern eine Vereinbarung zur Auftragsdatenverarbeitung abgeschlossen werden. Um eine Vielzahl von Vereinbarungen zur Auftragsdatenverarbeitung zu vermeiden, wurde in § 2 Absatz 1 der Verordnung geregelt, dass die Basiskomponente nutzende Behörde als Auftraggeber gilt. Die Verarbeitung der personenbezogenen Daten des Fachverfahrens erfolgt damit durch das Staatsministerium des Innern im Auftrag und in Verantwortung der die Basiskomponente nutzenden Behörde.
Erfüllen die Basiskomponenten über die Verarbeitung der Daten des Fachverfahrens hinaus verfahrensunabhängig oder verfahrensübergreifend Querschnittsaufgaben bedarf die Zulässigkeit der Erhebung der Daten einer eigenen Rechtsgrundlage. Andernfalls ist sie nur zulässig, soweit der Betroffene eingewilligt hat. Das Staatsministerium des Innern hat sich aus Gründen der Rechtsklarheit und wegen des mit der Verarbeitung personenbezogener Daten verbundenen möglichen Eingriffs in das Recht auf informationelle Selbstbestimmung dafür entschieden, die Datenverarbeitung durch die Basiskomponenten in dieser Rechtsverordnung zu regeln.
Öffentliche Stellen dürfen personenbezogene Daten nur im Rahmen ihrer Aufgabenerfüllung verarbeiten. Die Rechtsgrundlage muss die Voraussetzung und den Umfang der Verarbeitung personenbezogener Daten klar und für den Bürger erkennbar ergeben. Dies ist der Fall, wenn eine Rechtsvorschrift eine eindeutige Befugnis zur Datenverarbeitung und zumindest die Art der Daten und der Zweck der Verarbeitung regelt. § 10 Absatz 1 des Sächsischen E-Government-Gesetzes und die Bestimmung der Basiskomponenten in der Rechtsverordnung allein genügen diesen Anforderungen nicht. Aus der Befugnis zur Bereitstellung, der Konzeption, Entwicklung, Weiterentwicklung und dem Betrieb der Basiskomponenten ergibt sich zwar mittelbar eine Befugnis zur Verarbeitung personenbezogener Daten. Diese ist jedoch nicht bestimmt genug, um die Anforderungen des Datenschutzrechtes zu erfüllen. Aus diesem Grund wurden für die Basiskomponenten, die verfahrensunabhängig oder verfahrensübergreifend Unterstützungsleistungen erbringen, Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im Sinne von § 4 Absatz 1, § 12 Absatz 1, § 13 Absatz 1 Nummer 1 und 2 und § 14 Absatz 1 Nummer 1 und 2 des Sächsischen Datenschutzgesetzes geschaffen. Das betrifft zum Beispiel die Basiskomponente Elektronische Signatur und Verschlüsselung, die zum Zwecke der Verschlüsselung technische Nutzerdaten verarbeitet oder das Beteiligungsportal, das Zugangsdaten der Nutzer verarbeitet. Sollen personenbezogene Daten von Dritten in einem Nutzerkonto für eine spätere Verwendung durch den Nutzer verarbeitet werden, ist die Erforderlichkeit der Datenerhebung in zeitlicher Hinsicht nicht mehr gegeben. Die Daten werden zur Erfüllung der Aufgaben der zuständigen Verwaltungsbehörde nicht mehr benötigt, sollen aber als Funktionalität der Basiskomponente weiter verarbeitet werden. Die Zulässigkeit der Verarbeitung von personenbezogenen Daten in einem Nutzerkonto bedarf deshalb einer eigenen Rechtsgrundlage, die dem Verhältnismäßigkeitsgebot genügen muss. Eine anlasslose Speicherung zu noch nicht bestimmbaren Zwecken ist unzulässig. In den Nutzerkonten der Basiskomponenten werden personenbezogene Daten durch das Staatsministerium des Innern zur Verwendung für den Nutzer gespeichert. Die Zulässigkeit der Speicherung der erhobenen Daten richtet sich damit nach § 13 Absatz 2 des Sächsischen Datenschutzgesetzes. Mit der Aufnahme einer ausdrücklichen gesetzlichen Befugnis zur Speicherung von Daten der Nutzer in Nutzerkonten durch das Staatsministerium des Innern wird dem Grundsatz der Erforderlichkeit der Datenerhebung Rechnung getragen. Die Einwilligung des Nutzers in die Datenverarbeitung ist zur Schaffung einer verhältnismäßigen Regelung erforderlich. Der Widerruf der Einwilligung versetzt den Inhaber des Nutzerkontos in die Lage, die Verarbeitung seiner personenbezogenen Daten durch das Staatsministerium des Innern jederzeit zu beenden.
Soweit die Datenverarbeitung in den einzelnen Basiskomponenten von der Einwilligung des Nutzers abhängen soll, bedarf diese keiner qualifizierten elektronischen Signatur, sondern sie kann gemäß § 12 Absatz 1, § 13 Absatz 2 des Telemediengesetzes vom 26. Februar 2007 (BGBl. I. S. 179), das zuletzt durch Artikel 4 des Gesetzes vom 17. Juli 2015 (BGBl. I S. 1324) geändert worden ist, elektronisch erteilt werden.
Keine Regelung erfolgte in der Rechtsverordnung, soweit personenbezogene Daten von Administratoren und Nutzern / Anwendern der Basiskomponente, die Mitarbeiter des Staatsministeriums des Innern oder der die Basiskomponenten nutzenden Behörden sind, verarbeitet werden. Administratoren sind Mitarbeiter, die im Rahmen ihrer Aufgaben Änderungen an dem automatisierten Verfahren der Basiskomponente bewirken können. Nutzer sind Mitarbeiter, die die Basiskomponenten im Rahmen ihrer Aufgaben anwenden. Nutzer können auch Externe / Bürger sein. Als Nutzerdaten verarbeitet werden die für ein Nutzerkonto erforderlichen Zugangsdaten sowie Protokoll- und Verbindungsdaten.
Soweit es sich bei den genannten Daten um Daten von Bediensteten handelt, werden nach den einschlägigen Bestimmungen (§ 111 Absatz 5 des Sächsischen Beamtengesetzes vom 18. Dezember 2013 (SächsGVBl. S. 970, 971), § 12 Absatz 1 und § 37 des Sächsischen Datenschutzgesetzes) verarbeitet. Darüber hinaus dürfen personenbezogene Daten der Administratoren aufgrund von § 12 Absatz 1 und § 13 Absatz 4 des Sächsischen Datenschutzgesetzes für die dort genannten Zwecke und hiermit im Zusammenhang stehende Maßnahmen gegenüber Bediensteten genutzt werden. Diese Vorschriften sichern die Verarbeitung der von der Basiskomponente verarbeiteten personenbezogenen Daten von Mitarbeitern hinreichend. Weitere Regelungen sind nicht erforderlich.
