Digitalisierung
Kooperation
IT-Kooperationsrat
Im Januar 2024 hat sich der IT-Kooperationsrat durch das Ministerium für Arbeit, Soziales, Transformation und Digitalisierung (MASTD) Rheinland-Pfalz gemäß § 28 Abs. 2 E-Government-Gesetz Rheinland-Pfalz gegründet. Ziel der Arbeit des Gremiums ist es, die Zusammenarbeit des Landes und der Kommunen im Bereich der Digitalisierung zu koordinieren und die digitale Transformation der Verwaltung voranzutreiben. Hierzu wurden bislang zwei Unterarbeitsgruppen ins Leben gerufen: die Arbeitsgemeinschaft für Verwaltungsdigitalisierung – speziell für die Themen Onlinezugangsgesetz und Registermodernisierung – sowie die Arbeitsgemeinschaft für Informationssicherheit. Es gibt sowohl eine Kooperationsvereinbarung zwischen dem Land Rheinland-Pfalz und den Kommunalen Spitzenverbänden für das Thema E- Government als auch für das Thema Informationssicherheit, die beide Grundlage der gemeinsamen Arbeit der Arbeitsgemeinschaften sind.
Als Verband bringen wir uns im IT-Kooperationsrat sowie in seinen beiden Unterarbeitsgruppen für die Anliegen der Mitgliedsstädte ein. Es sind aus unserer Sicht klare rechtliche, zeitliche und finanzielle Voraussetzungen für die flächendeckende Digitalisierung und Vernetzung der Kommunalverwaltung nötig. Denn nur mit der Entwicklung einer Gesamtstrategie kann die digitale Transformation der Städte in Rheinland-Pfalz gänzlich gelingen. Wir fordern zusätzlich, dass das Thema Informationssicherheit bei den digitalen Prozessen kontinuierlich mitbetrachtet wird. Gerade die Unterstützung zu vielfältigen Präventionsmaßnahmen, um einem Informationssicherheitsvorfall zuvorzukommen, wollen wir als Verband verstärkt mit dem Land Rheinland-Pfalz, aber auch mit anderen Akteuren, verstetigen.
Gesetzgebung
Onlinezugangsgesetz
Auch das Onlinezugangsgesetz stand seit Beginn des Jahres wieder im Fokus der Kommunen; zum einen in Erwartungshaltung des Inkrafttretens des OZG-Änderungsgesetzes (OZG 2.0) und zum anderen hinsichtlich der neuen Projektstruktur im Bereich des Rollouts von EfA-Leistungen und deren Nachnutzungsmanagement.
Aufgrund der ausbleibenden Erfolge bei der Verwaltungsdigitalisierung und den unerfüllten Erwartungen innerhalb der Bevölkerung und der Wirtschaft wurden ein OZG 2.0 sowie weitere ergänzende Vorschriften zur Digitalisierung der Verwaltung auf den Weg gebracht. Die wichtigsten Maßnahmen des OZG 2.0 sind die Fokussierung auf die vollständige Digitalisierung von Verwaltungsleistungen (»Ende-zu-Ende-Digitalisierung«), die Festlegung eines einheitlichen Bürger- und Organisationskontos (vorher BundID, künftig DeutschlandID) und die Festlegung der Architekturvorgaben, Qualitätsanforderungen und Interoperabilitätsstandards. Der Bundesrat hat dem OZG 2.0 in seiner Sitzung am 22. März 2024 zunächst nicht zugestimmt. Nachdem das Vermittlungsverfahren abgeschlossen wurde, haben Bundestag und Bundesrat am 14. Juni 2024 über den veränderten Gesetzesentwurf beschlossen.
Wesentliche Änderungen am ursprünglichen Gesetzesentwurf sind eine deutlich verlängerte Übergangsfrist der Ländernutzerkonten zur Nutzung der Bund-ID, das Bekenntnis zur weiteren Nutzung der Elster-Zertifikate als Identifizierungsinstrument, eine Evaluation der Umsetzungsschritte des Gesetzes sowie ein klares Bekenntnis zum »Once-Only-Grundsatz«.
Seit dem 1. Januar 2024 organisiert das Ministerium für Arbeit, Soziales, Transformation und Digitalisierung Rheinland-Pfalz den Einer-für-Alle (EfA)-Roll-Out aus dem Kommunalpakt (z. B. Elterngeld, Führerscheinwesen) und das zentrale Nachnutzungsmanagement in einer neuen agilen Projektstruktur durch den Landesbetrieb Daten und Information. Das Programm ist für drei Jahre von 2024 bis 2026 vorgesehen.
Wir setzen uns in vielen Gesprächen mit dem Land dafür ein, dass die erforderlichen Basisdienste (Signatur- und Siegeldienste, ePayment etc.) für die Kommunen problemlos abrufbar sind und dass den Kommunen feste Ansprechpersonen zur Verfügung stehen, um allgemeine Anliegen und Fragen zur Umsetzung des Onlinezugangsgesetzes (z. B. Föderales Informationsmanagement) zu erörtern und einen Wissenstransfer zu ermöglichen. Daneben sollte ein regelmäßiger Austausch zu Best-Practice-Beispielen erfolgen. Wir empfehlen auch die Unterstützung der Kommunen bei der Veröffentlichung von nutzbaren Verwaltungsleistungen in Richtung der Bevölkerung. Die Verwaltungsdigitalisierung in Deutschland braucht Tempo, nicht weiteren Stillstand, sonst werden die Bürger:innen jegliches Vertrauen in die Handlungsfähigkeit des Staates verlieren. Das verabschiedete OZG 2.0 ist dabei ein zu begrüßender Schritt in die richtige Richtung.
Registermodernisierung
Die Registermodernisierung und das Onlinezugangsgesetz können nicht getrennt voneinander betrachtet werden, sondern sind eng miteinander verknüpft. Moderne Register sind die Grundlage dafür, Verwaltungsleistungen für Bürger:innen sowie Unternehmen digital anzubieten und Verwaltungsprozesse effizienter zu gestalten. Aufgrund der föderalen Struktur waren die Register bisher überwiegend dezentral organisiert. Ziel ist es, dass die Bürger:innen ihre Daten und Nachweise für von ihnen beantragte Verwaltungsleistungen, nur einmal nach dem Once-Only-Prinzip hinterlegen müssen. Für das Betreiben des National Once-Only-Technical System (NOOTS) fehlte es bisher noch an einer rechtlichen Grundlage. Die rechtliche Regelung für die Weiterentwicklung und den Betrieb des NOOTS wird nun von Bund und Ländern über einen Staatsvertrag geregelt werden.
Das Bundesverwaltungsamt hat in Zusammenarbeit mit dem Statistischen Bundesamt die erste Ausbaustufe der Registerlandkarte online gestellt. Die Registerlandkarte bietet eine effiziente Navigation durch die Metadaten von über 280 Verwaltungsregistern. Damit ist sie ein wichtiger Baustein der Registermodernisierung und der Umsetzung des Once-Only-Prinzips. Denn um Bürger:innen später vereinfachte Verwaltungsleistungen anbieten zu können, sind erst einmal detaillierte Informationen über die in Registern geführten Datenbestände erforderlich. Die Registerlandkarte ist unter folgender URL abrufbar:
www.registerlandkarte.de
Wir weisen darauf hin, dass die Kommunen in die Projektplanung der Registermodernisierung vollumfänglich involviert sein müssen. Dies betrifft besonders die Stellen- genauso wie die Haushaltsplanung. Bisher fehlt es seitens der Gesamtsteuerung Registermodernisierung oft an konkreten Informationen, was vor Ort in den Kommunen in die Wege zu leiten ist. Daneben wurde seitens des Bundes überlegt, wie man zukünftig mit Kommunikationsprotokollen (OSCI/XTA-Protokoll) umgeht oder ob stattdessen eine neue Infrastruktur entwickelt werden müsste. Durch unsere Umfrage im Juli 2024 wurde die Notwendigkeit eines Austauschformates im Bereich Registermodernisierung deutlich. Deshalb gab es im Sommer 2024 einen ersten Austausch unter den Verantwortlichen für Registermodernisierung, der durch unseren Verband organisiert wurde. Ziel des Austausches ist es, den Verantwortlichen für Registermodernisierung in den Mitgliedsstädten eine Möglichkeit für die gemeinsame Vernetzung zur Verfügung zu stellen und Herausforderungen auf kommunaler Ebene zu identifizieren.
Schutz und Sicherheit
Informationssicherheit
Im Juli 2023 wurde eine Kooperationsvereinbarung zum Thema Informationssicherheit zwischen dem Land Rheinland-Pfalz und den Kommunalen Spitzenverbänden geschlossen. Diese legt fest, dass das Land einen Dienstleister im Sinne eines Mobile Incident Response Team (MIRT) zur Verfügung stellt. Die Kommunen können sich daraus bedienen und müssen verursachergerecht dafür bezahlen. Ferner gibt es eine Malware Information Sharing Plattform (MISP), welche den Kommunen zur Verfügung gestellt werden soll. Das Ministerium für Arbeit, Soziales, Transformation und Digitalisierung (MASTD) stellt auch einen kostenlosen Cybersecurity-Check als Standortbestimmung im Zusammenhang mit der Erhöhung der Informationssicherheitsmaßnahmen bereit, welcher u. a. darauf abzielt, die Verwaltungsspitzen für das Thema zu sensibilisieren.
Das BSI warnt immer wieder in seinen jährlichen Lageberichten davor, dass Cyberkriminalität eine allgegenwärtige Bedrohung nicht nur für Unternehmen, sondern auch für die öffentliche Verwaltung darstellt. Dieser hochdynamische Kriminalitätsbereich zwingt die bestehenden Strukturen im Bereich der IT- und Cybersicherheit zu regelmäßigen Anpassungen. Gerade hier ist die interkommunale Zusammenarbeit enorm wichtig, wenn Informationssicherheitsvorfälle die Handlungsfähigkeit der Kommunen einschränken.
Auch die NIS2-Richtlinie als Weiterentwicklung der (ersten) NIS-Richtlinie aus dem Jahr 2016 hat im Jahr 2024 thematisch für viele Fragen gesorgt. Die NIS-Richtlinie definierte Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Europäischen Union. Mit der NIS-Richtlinie wurde auch ein einheitlicher Rechtsrahmen für den EU-weiten Aufbau nationaler Kapazitäten für die Cybersicherheit geschaffen. Insbesondere sieht die NIS-Richtlinie eine stärkere Zusammenarbeit der Mitgliedstaaten sowie Mindestsicherheitsanforderungen und Meldepflichten für Kritische Infrastrukturen (KRITIS) sowie für bestimmte Anbieter digitaler Dienste vor. Die Kommunen sind vom Anwendungsbereich der NIS2-Richtlinie ausgenommen worden. Grundlage der Ausnahme für die kommunale IT ist ein Beschluss des IT-Planungsrats vom 3. November 2023. So können die Kommunen beispielsweise auch keine Ressourcen für die Verbesserung der Informationssicherheit einfordern (Stellenplan, finanzielle Mittel). Außerdem ist unklar, ob es nicht doch mittelbare Auswirkungen für die Kommunen gibt.
Die Anforderungen der Informationssicherheitsmaßnahmen (u. a. bei bundesweiten Anwendungen) steigen jedoch auch unabhängig von der NIS2-Richtlinie von allen Seiten enorm, was beispielsweise bei der Anbindung der Ausländerbehörden an das Schengener Informationssystem (SIS) oder seitens des Kraftfahrtbundesamtes in Bezug auf das iKfZ und auf das Führerscheinwesen erkennbar deutlich geworden ist. Auch im Zusammenhang mit Statistik, Zensus und Wahlen sind zusätzliche IT-Sicherheitsmaßnahmen erforderlich. Durch die hohen Sicherheitsanforderungen ist auch die Arbeit im Homeoffice in manchen Fachbereichen nicht oder kaum möglich, solange keine gehärtete Hardware – Computertechnik, die die Sicherheit eines Systems erhöhen (z. B. vom BSI zugelassene SINA Produkte) – zum Einsatz kommt, was in den Kommunen nicht unerhebliche Kosten verursachen würde.
Das Thema Informationssicherheit ist aus unserer Perspektive immens wichtig, um die Handlungsfähigkeit der Kommunen stets aufrechtzuerhalten. Wir setzen uns stark dafür ein, dass die Kommunen auch die entsprechenden Ressourcen für ihre Aufgaben der Informationssicherheit erhalten. Ferner unterstützen wir durch von uns organisierte Informationsveranstaltungen, u. a. mit dem Landeskriminalamt Rheinland-Pfalz, im Hinblick auf den Aufbau von Krisenstäben oder auf das Business-Continuity-Management. Der Arbeitskreis der Informationssicherheitsbeauftragten, der von uns organisiert wird, trifft sich in regelmäßigen Intervallen und wir haben zusätzlich einen zweiwöchig stattfindenden kurzen Austausch initiiert, um akute Sicherheitshemen zu thematisieren und zentrale Themen gemeinsam zu bearbeiten. Ein Schwerpunkt unserer Verbandsarbeit war auch, wie wir die interkommunalen Kooperationen in Bezug auf Informationssicherheit aufbauen können. Ebenso ist der Fachkräftemangel im Hinblick auf die zu besetzenden Stellen der Informationssicherheitsbeauftragten in den Kommunen enorm herausfordernd.
Datenschutz
Aufgrund der Unternehmensziele von Microsoft, immer mehr Anwendungen in der Cloud und nicht mehr On-Premise (lokale Anwendung) anzubieten, überlegen die Kommunen, welche IT-Anwendungen zukünftig vor Ort nutzbar wären und wie man sich strategisch in den nächsten Jahren aufstellen wird. Wir waren deshalb in Bezug auf die derzeit nicht datenschutzkonforme Nutzung von Microsoft 365 im Jahr 2024 vielfach im Austausch mit den Kolleg:innen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI).
Der LfDI initiierte im Sommer 2024 die Durchführung einer anonymen und freiwilligen Befragung der kommunalen Datenschutzbeauftragten. Die Ergebnisse der Umfrage sollen als Grundlage für einen Dialog des LfDI mit dem Landesrechnungshof dienen, um die Position der behördlichen Datenschutzmitarbeiter:innen zu stärken. Die Arbeitsgemeinschaft der Kommunalen Spitzenverbände wurde seitens des LfDI vorab darüber informiert, dass sämtliche Kommunen in Rheinland-Pfalz eine Umfrage zur Stellung und Arbeitsweise der kommunalen Datenschutzmitarbeiter:innen erreichen wird. Vor dem Hintergrund haben wir im Rahmen der Arbeitsgemeinschaft der Kommunalen Spitzenverbände auch entsprechende Anmerkungen und Hinweise zur Umfrage an den LfDI übersandt, diese wurden in Teilen berücksichtigt.
Aus unserer Sicht muss es eine klare Vorgehensweise seitens der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder für die Nutzung von Microsoft 365 geben. Es ist unrealistisch, dass jede einzelne Kommune individuell in Verhandlungen mit Microsoft über die Ausgestaltung der Auftragsverarbeitungsverträge geht. Das LfDI wurde aufgrund dieser Thematik deshalb z. B. auch zu der Veranstaltung des gemeinsamen Arbeitskreises IT der Kommunalen Spitzenverbände im April 2024 eingeladen. Das Ergebnis der Veranstaltung war, dass es außer den Handlungsempfehlungen des LfDI zur Nutzung von Microsoft 365 keine weiteren Aussagen zur datenschutzkonformen Nutzung von Microsoft 365 gab.
Auch das Thema Datenschutz und Social Media sowie das Thema Datenschutz und KI waren in diesem Jahr besonders prägend. In unserer ersten Umfrage zum Thema KI-Anwendungen im März 2024 wollten wir erfahren, welche Kommunen bereits KI-Anwendungen nutzen und ob KI-Dienstanweisungen bzw. KI-Schulungsangebote initiiert wurden. Hierdurch konnten sich interessierte Kolleg:innen aus den Kommunen zu bereits implementierten Maßnahmen und Best-Practice-Beispielen untereinander vernetzen.