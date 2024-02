Der Bundestag hat heute nach monatelangen Debatten die neue Version des Onlinezugangsgesetzes (OZG) beschlossen. Das OZG 2.0 soll die öffentliche Verwaltung endlich digitaler machen. Bürger:innen, Unternehmen und Organisationen sollen sich so den Gang aufs Amt und damit viel Zeit und Papier sparen.

Die Digitalisierung zahlreicher Verwaltungsdienstleistungen sollte eigentlich schon Ende 2022 abgeschlossen sein. So sieht es das OZG aus dem Jahr 2017 vor. Doch die Umsetzung hat mit etlichen Hürden zu kämpfen und lahmt daher seit Jahren. Mit dem OZG-Update will die Bundesregierung die Versäumnisse der vergangenen Jahre nun endlich aufholen.

Tatsächlich sieht das Gesetz etliche Verbesserungen vor. So verpflichtet es Behörden unter anderem dazu, einheitliche Standards zu befolgen und vorrangig auf Open-Source-Software zu setzen. Allerdings kommen die Verbesserungen mit deutlichen Beschränkungen einher. Und auch Probleme der IT-Sicherheit adressiert das neue Gesetz nur unzureichend.

Anke Domscheit-Berg (Die Linke) bezeichnete das Gesetz in der heutigen Plenardebatte als „zu unverbindlich“, „nicht ehrgeizig genug“ und nahm der Euphorie der Koalitionsfraktionen den Wind aus den Segeln. Dennoch stimmte auch sie für das Gesetz. Zwar bedeute das OZG 2.0 nur „kleine Trippelschritte“, doch die Ampel gehe damit ein Stück weit nach vorn, so die Abgeordnete.

Endlich verbindliche Standards

Begrüßenswerterweise hat die Ampel viele Verbesserungsvorschläge von Sachverständigen in den finalen Gesetzestext einbezogen. Neben einer wissenschaftlichen Evaluierung der Digitalisierung in regelmäßigen Abständen sowie einem Rechtsanspruch auf digitale Leistungen werden Nutzerfreundlichkeit und Barrierefreiheit verbindlich. Sie sollen auch bei der Festlegung einheitlicher IT-Standards berücksichtigt werden, nach denen Bund, Länder und Kommunen die einzelnen Verwaltungsleistungen digitalisieren.

Die Vorgabe zu einheitlichen Standards und offenen Schnittstellen ist das Herzstück des OZG 2.0. Bislang fehlten solche verbindlichen Vorgaben, was unter anderem dazu führte, dass eine zentrale Regelung des OZG 1.0 scheiterte, nämlich das Einer-für-Alle-Prinzip (EfA). Dieses verfolgt die Idee, dass sich Bund und Länder die Digitalisierungsarbeit teilen und alle von den Umsetzungen der anderen profitieren.

Die neue Regelung ist jedoch eingeschränkt: Denn der Bund entwickelt die Standards nur für Bundesleistungen und muss das erst in zwei Jahren umsetzen. Bis dahin setzt sich der Software-Wildwuchs damit unverändert fort. Das aber sei ein Scheitern mit Ansage, kommentiert Katina Schubert von der Partei Die Linke das Vorhaben in einer Pressemeldung.

Hinzu kommt, dass die Zuständigkeit dafür, die offenen Standards und Schnittstellen zur Verfügung zu stellen, laut Gesetz allein beim Bundesinnenministerium (BMI) liegt – und damit bei einer einzigen Behörde. Die Umsetzung hängt somit maßgeblich davon ab, ob das Ministerium über genug Personal und ausreichend Mittel verfügt. Zwar wird im Gesetz der IT-Planungsrat erwähnt, doch muss vom BMI lediglich über die Neuerungen informiert werden, hat damit keine aktive Mitsprache.

Mehr Open Source für die Zukunft

Auch die Forderung nach mehr Open-Source-Software (OSS) hat es in den finalen Gesetzestext geschafft. Dort heißt es: „Open-Source-Software soll vorrangig vor solcher Software eingesetzt werden, deren Quellcode nicht öffentlich zugänglich ist oder deren Lizenz die Verwendung, Weitergabe und Veränderung einschränkt.“ Frühere Versionen des Gesetzestextes sahen vor, dass Behörden OSS nur dann einsetzen sollen, wenn es „technisch möglich und wirtschaftlich“ ist. Diese Einschränkung ist gestrichen. Außerdem müssen Behörden den Quellcode neuer OSS-Leistungen fortan veröffentlichen.

Welche Wirkung diese Regelung haben wird, ist derzeit noch offen. Denn die zuständigen Stellen sollen OSS nur dann bevorzugen, wenn sie Vorgaben für IT-Komponenten machen. Bestehende Komponenten sollen aber nicht unter eine Open-Source-Lizenz gestellt werden. Auch gibt das Gesetz nicht vor, dass Verwaltungen den Quellcode eigener Softwareentwicklungen veröffentlichen müssen.

Der Vorrang für OSS gilt außerdem nur für Bundesleistungen. Länder und Kommunen sind von dieser Regelung ausgenommen. Laut Misbah Khan (Grüne) hätten die Länder einer solchen Pflicht im Bundesrat nicht zugestimmt. Daher hoffe die Bundesregierung nun, Positivbeispiele zu setzen und Länder und Kommunen so für einen breiteren Einsatz von OSS zu gewinnen.

BundID statt eID

Mit dem OZG 2.0 will die Ampel zudem die BundID weiter stärken. Über das Konto sollen Bürger:innen künftig Verwaltungsleistungen beantragen, über das eingebaute Postfach mit Behörden kommunizieren und Gebühren entrichten können. Die BundID fristet bislang ein Schattendasein. Zulauf erhielt sie nur über Taschenspielertricks: So machte der Bund es Anfang 2023 zur Bedingung für all jene Studierenden und Fachschüler:innen, die sich die Energiepreispauschale in Höhe von 200 Euro auszahlen lassen wollten.

Um weitere Hürden abzubauen, vereinfacht der Bund mit dem OZG 2.0 die Registrierung für die BundID. Bürger:innen müssen sich nur einmalig mit der eID-Funktion ihres elektronischen Personalausweises identifizieren, um die BundID dann nur noch mit einfachem Passwort-Login nutzen zu können. Je nach Sicherheitsniveau der einzelnen Dienste sind zudem verschiedene Authentifizierungswege geplant. Dabei sollen auch biometrische Merkmale zum Einsatz kommen wie die FaceID auf dem iPhone.

Damit aber schwächt das Gesetz die sichere und nutzerfreundliche eID. Aus Sicht der IT-Sicherheit ist das nicht nachvollziehbar, da hardwaregebundene eID ist als vergleichsweise sicher gilt. Die BundID ist kein Ersatz dafür, sondern nur eine zwischengeschaltete Plattform, mit der sich digitale Verwaltungsleistungen beantragen lassen.

Datenschutzcockpit als Einfallstor

Eine große Schwäche des OZG 2.0 ist die Konzeption des Datenschutzcockpits. Es soll Bürger:innen einen Überblick darüber gewähren, welche Behörden welche ihre Daten abgerufen haben. Aus Sicht der Bundesregierung soll das Cockpit so mehr Transparenz und später auch mehr Kontrolle bieten.

Doch IT-Sicherheitsexpert:innen äußern starke Kritik am Cockpit. Denn es böte die Möglichkeit, die Daten aller Bürger:innen an zentraler Stelle abzurufen. Zwar sollen die Daten laut OZG 2.0 nicht mehr im Cockpit vorgehalten werden. Wollen Bürger:innen wissen, wer welche Daten abgerufen hat, werden die entsprechenden Informationen jeweils abgefragt – und zwar häufig ohne Verweis auf die Identifikationsnummer. Auch das ist eine Verbesserung zum ursprünglichen OZG-2.0-Entwurf.

Dennoch ist aus Sicht der IT-Sicherheit wenig gewonnen. So mahnt die Sicherheitsexpertin Bianca Kastl an, dass „eine Kompromittierung des Cockpits fatale Folgen hätte“. Angreifer:innen könnten dann theoretisch abgefragte Daten der Register mitschneiden und hätten dann trotzdem Zugriff auf diese Daten. Diese Gefahr ließe sich technisch leicht bannen, so Kastl gegenüber netzpolitik.org, die Lösung: Daten via Ende-zu-Ende-Verschlüsselung für jede:n Einzelne:n individuell so zu verschlüsseln, dass diese nur für die betroffene Person einsehbar sind.

Das Recht, digitale Leistung einzuklagen

In die neue Version des OZG hat zudem eine weitere Forderung der Zivilgesellschaft Eingang gefunden. Vom Jahr 2028 an sollen Bürger:innen und Unternehmen beim Verwaltungsgericht ihr Recht auf digitale Verwaltungsleistungen einklagen können. Gleichzeitig schränkt das Gesetz den Rechtsanspruch ein: Er gilt nur für Leistungen des Bundes und nicht für Verwaltungsleistungen, die selten beantragt werden oder die „technisch und rechtlich“ nicht digital angeboten werden können.

Er gilt zudem nur für das digitale Einreichen von Anträgen, also entsprechend dem OZG nur für den Onlinezugang, wie auch Domscheit-Berg anmerkt. Die dahinterliegenden Prozesse sind davon unberührt. Ein wesentliches Problem der Digitalisierung der Verwaltung ist jedoch, dass die Prozesse vom Antrag bis zur Veraktung nicht medienbruchfrei konzipiert werden. Nadine Schön (CDU) merkt zurecht an, dass hier die Gefahr besteht, den Fokus zu sehr auf das Frontend zu legen.

Der Rechtsanspruch soll laut Manuel Höferlin (FDP) Druck auf die Behörden aufbauen, auch wenn es sich um eine Regelung mit Symbolwirkung handelt, wie der Bundestagsabgeordnete im Pressegespräch einräumte, da mit einer Klage kein Anspruch auf Schadensersatz geltend gemacht werden kann.

Katina Schubert von der Linkspartei ist da deutlich skeptischer. Da die Klagen erst ab dem Jahr 2028 möglich sein werden, reiche die Bundesregierung den „schwarzen Peter“ an die nächste Regierung weiter, erklärt sie.

„OZG ist wichtig, aber nicht alles“

Die Koalitionsfraktionen zeigten sich in der heutigen Plenardebatte demonstrativ stolz auf ihr Gesetz. Misbah Khan spricht von einem Meilenstein, Volker Redder (FDP) betont überschwänglich seine Freude über das neue Gesetz und der parlamentarische Staatssekretär des Innern und für Heimat Johann Saathoff (SPD) geht noch weiter: „Mit dem OZG 2.0 legen wir nicht weniger als eines der größten Verwaltungsmodernisierungsprojekte des Jahrhunderts vor.“

Doch es geht auch etwas zurückhaltender. Robin Mesarosch (SPD) zieht ein nüchterneres Fazit: „OZG ist wichtig, aber nicht alles.“ Mit dieser Einschätzung erkennt er an, dass die Verwaltungsdigitalisierung vor etlichen Problemen steht, die auch das OZG 2.0 nicht abdeckt. Um für weiteren Schub zu sorgen, müssen Bund, Länder und Kommunen zusätzliche Stellschrauben bedienen. Sie müssen etwa eine gemeinsame Gesamtstrategie entwickeln und verfolgen, Zuständigkeiten klarer verteilen und einheitliche Standards über alle Ebenen hinweg umsetzen sowie dringend benötigtes Personal ausbilden.

Das OZG 2.0 ist ein wichtiger Schritt auf dem Weg dahin. Bevor das Gesetz in Kraft tritt, muss nun noch der Bundesrat zustimmen. Die Entscheidung der Länderkammer steht für den 7. März auf der Tagesordnung.

Offenlegung: Bianca Kastl schreibt als Kolumnistin auf netzpolitik.org alle vier Wochen zur Digitalisierung der Verwaltung und des Gesundheitswesens.