Wichtiger Hinweis
Diese Website befindet sich derzeit im Umbau. Bitte beachten Sie, dass einige Funktionen vorübergehend eingeschränkt sein können. Wir danken Ihnen für Ihr Verständnis.


Ein zweiter wesentlicher Aspekt bei der Umsetzung von EfA-Leistungen ist die rechtliche Abbildung der länderübergreifenden Kooperation.

Auch für diese Dimension wurden zwei EfA-Mindestanforderungen definiert:

Anforderung R1: „Das verantwortliche Land MUSS eine geeignete rechtliche Mitnutzungsmöglichkeit für Leistungen im Landesvollzug und übertragenen Wirkungskreis anbieten (z.B. Verwaltungsvereinbarung, FIT-Store, govdigital Marktplatz)."
Anforderung R2: „Das verantwortliche Land MUSS für den Online-Dienst über ausreichende Lizenzrechte für die Nutzung durch andere Länder und Kommunen verfügen."

Wie in der ersten rechtlichen Mindestanforderung bereits angedeutet gibt es aktuell im Wesentlichen zwei Optionen, wie Länder eine Kooperation im Rahmen eines EfA-Projekts aus juristischer Sicht ermöglichen können: Den Abschluss einer leistungsspezifischen Verwaltungsvereinbarung mit Hilfe der Blaupause Verwaltungsabkommen oder den Abschluss von bilateralen Verträgen mit der FITKO AöR (FITKO) im Rahmen des FIT-Stores.

Blaupause Verwaltungsabkommen

Der Abschluss eines multilateralen Verwaltungsabkommens (VwA) ist die klassische rechtliche Lösung für länderübergreifende Kooperationen in der öffentlichen Verwaltung.

Ein solches Abkommen, das sowohl vom umsetzenden als auch allen nachnutzenden Ländern unterzeichnet werden muss, kann für EfA-Leistungen genutzt werden, um den länderübergreifenden Betrieb, die Pflege sowie die Weiterentwicklung des Online-Dienstes zu regeln. Auch Aspekte wie Organisation, Finanzierung und Beitritt zu einem Umsetzungsprojekt sollten im Verwaltungsabkommen abgedeckt werden (siehe Fallbeispiel BAföG am Ende des Kapitels 11.2.1.4.).

Um den Aufwand bei der Erstellung von Verwaltungsabkommen zu reduzieren, wurde im OZG-Programm die „Blaupause „Verwaltungsabkommen zur Umsetzung eines digitalen Online-Dienstes“ entwickelt, die als Vorlage genutzt werden kann. Die Blaupause ist den Themenfeldern zur Verfügung gestellt worden.

Wie in Kapitel 11.2.2.2. weiter ausgeführt liegt die Hauptverantwortung für die Initiierung eines Abkommens zunächst im umsetzenden Land und dort bei den Themenfeld-Federführer:innen und Leistungsverantwortlichen. Dies beinhaltet die Koordination zwischen den beteiligten Ländern, das Aufsetzen des Verwaltungsabkommens, sowie die Steuerung des Zeichnungsprozesses.

Als Parteien eines Verwaltungsabkommens gemäß der Blaupause kommen die Länder und gegebenenfalls der Bund in Betracht, nicht die Kommunen. Diese müssen also bei Interesse am Anschluss einer Leistung darauf hinwirken, dass ihr Land dem betreffenden Abkommen beitritt und eine Lösung zur vergaberechtskonformen Weitergabe findet.

FIT-Store

Um einen möglichst effizienten Umgang mit den rechtlichen Aspekten der Nachnutzung im Modell EfA zu ermöglichen, hat der IT-PLR als zusätzliche Option neben den VwA das Konzept des FIT-Store beschlossen (Beschluss 2020/40) und die FIT-Store-Vertragsunterlagen in der 34. Sitzung im März 2021 verabschiedet. Grundgedanke ist, die Nachnutzung von EfA-Leistungen aus rechtlicher Sicht soweit möglich zu standardisieren und über die FITKO als zentralen Vermittler abzuwickeln.


Im FIT-Store stellen Bund und Länder die von ihnen entwickelten Online-Lösungen auf Basis eines standardisierten Vertrags mit der FITKO in ein zentrales Leistungsportfolio ein. Andere Länder können diese Leistung nun ebenfalls auf Basis eines standardisierten Vertrags mit der FITKO nachnutzen, wobei aus vergaberechtlicher Sicht das Inhouse-Verhältnis zwischen der FITKO und Bund und Ländern als ihren Trägern genutzt wird. Die FIT-Store Vertragsunterlagen regeln die Bereitstellung von Diensten nach dem Modell Software-as-a-Service (SaaS), wobei über die jeweiligen Verträge neben der reinen Bereitstellung auch weitere im Online-Dienst inkludierte Dienstleistungen wie zum Beispiel Anpassungs- und Weiterentwicklungsleistungen geregelt werden.

Abbildung 99: Funktionsweise und Vorteile des FIT-Stores


Das Modell beruht auf Freiwilligkeit und bietet auch Ländern, die selbst (bisher) keine Leistungen zur Verfügung gestellt haben, die Möglichkeit, Leistungen aus dem Portfolio des FIT-Stores abzurufen (s. Abbildung 99).


Zentrale Vertragsdokumente sind der SaaS-Einstellungsvertrag und der SaaS-Nachnutzungsvertrag, jeweils beruhend auf den Einstellungs- bzw. Nachnutzungs- AGB. Sie regeln die vertraglichen Beziehungen zwischen dem umsetzenden Land (UL) und der FITKO einerseits und dem anschließenden Land (AL) und der FITKO andererseits. Trotz der dargestellten Vertragskette ist zur praktischen Abstimmung der Nachnutzung insbesondere in Bezug auf technische Aspekte auch ein direkter Austausch zwischen AL und UL sowie ggf. durch UL beauftragten IT-Dienstleistern möglich und sinnvoll.


Entwürfe der Vertragsunterlagen wurden im Auftrag des IT-PLR durch Arbeitsgruppe aus BMI, FITKO, und Ländern erarbeitet. Die finale Beratung und Beschlussfassung zum FIT-Store erfolgte in der 34. Sitzung des IT-Planungsrats am 17. März 2021. Seit dieser Beschlussfassung kann der FIT-Store operativ genutzt werden; die ersten wesentlichen Schritte bei der Einstellung einer Leistung sind dabei eine Kontaktaufnahme mit der FITKO und die Erstellung einer Leistungsbeschreibung, die Teil des Einstellungsvertrags wird. Für weitere Informationen und Kontaktdaten siehe www.fitko.de/fitstore.


Da Kommunen – anders als Bund und alle Länder – keine Träger der FITKO AöR sind, können diese weder direkt Leistungen in den FIT-Store einstellen, noch direkt aus dem FIT-Store abrufen. Zur Einstellung und Weitergabe nach Abrufung von Leistungen im kommunalen Vollzug sind daher geeignete Regelungen innerhalb der einzelnen Länder zu treffen. Hierbei ist insbesondere zu berücksichtigen, dass eine vergaberechtskonforme Weitergabe von Leistungen durch Länder an ihre Kommunen ohne weitere Vorkehrungen nur entgeltfrei erfolgen kann. Alternativ ist allerdings beispielsweise denkbar, dass innerhalb eines Landes die rechtliche Konstruktion, die hinter dem FIT-Store steht, fortgesetzt wird. Dazu kann im Land eine Stelle genutzt oder geschaffen werden, die in einem Inhouse-Verhältnis sowohl zum Land als auch zu den Kommunen steht. Weitere Details zu dieser Thematik sind in Kapitel 11.2.3.2 ausgeführt. Darüber hinaus ist eine geeignete Governance zu etablieren, in der die beteiligten Länder Pflege- und Weiterentwicklungsbedarfe erheben, priorisieren und abstimmen (z.B. Anwendergemeinschaft).

Govdigital Marktplatz

Weitere Informationen zur EfA-Nachnutzung über den Govdigital Marktplatz sowie eine Auflistung der verfügbaren Online-Dienste findet sich hier:

Datenschutzrechtliche Themen und IT-Sicherheit

Neben der vergaberechtskonformen Abwicklung der Nachnutzung stellen Datenschutz sowie Datensicherheit und IT-Sicherheit einen weiteren Themenkomplex mit rechtlichem Bezug dar, in dem sich aufgrund der länderübergreifenden Strukturen von EfA-Diensten komplexe Anforderungen ergeben. Die Perspektive des BMI auf zentrale datenschutzrechtliche Fragestellungen im OZG wurde im Rahmen einer datenschutzrechtlichen Einordnung dokumentiert, die über das OZG-Programmmanagement verfügbar ist und sich in weiterer Abstimmung mit FITKO und Datenschutzkonferenz (DSK) befindet.

Die EfA-Mindestanforderungen legen mit Blick auf die IT-Sicherheit folgendes Vorgehen fest:

Anforderung S1: "Der Online-Dienst MUSS über eine security.txt gemäß RFC 9116 verfügen. Ein interner Prozess zum Umgang mit Responsible-Disclosure-Meldungen muss etabliert sein."


In bisherigen EfA-Umsetzungen wie etwa dem Projekt Wohngeld hat sich gezeigt, dass diese Themen z.T. erheblicher Vorlauf- und Klärungszeiten bedürfen und dementsprechend direkt nach Projektstart adressiert werden sollten. Insbesondere die Abgrenzung der Verantwortlichkeiten zwischen den beteiligten Akteuren kann Herausforderungen bereithalten und bedarf üblicherweise einer sorgfältigen Betrachtung der Spezifika des geplanten Online-Dienstes. Alle Daten- und Grundschutzanforderung sollten daher möglichst frühzeitig geklärt und als eigene Arbeitspakete unter Einbeziehung von Fach-experten/ -Spezialisten behandelt werden.

  • Die für das Thema Datenschutz verantwortlichen Projektteilnehmer:innen sollten während der Entwicklungsphase das Niveau des Schutzbedarfs bestimmen, woraus sich ggf. zu implementierende technische Maßnahmen ergeben können
  • Bei der Umsetzung von EfA-Services sollten bei der Erstellung von Datenschutz- und Datensicherheitskonzepten frühzeitig Verantwortlichkeiten und zu erfüllende Aufgaben zwischen dem UL und den ALs festgelegt werden, da ein länderübergreifender Datenaustausch und Datenverarbeitung stattfindet
  • Auch in der Betriebsphase müssen die Einhaltung von Datenschutz und Datensicherheit sowie die Wirksamkeit der eingesetzten technischen Maßnahmen gemäß der erarbeiteten Konzepte fortlaufend überwacht und im Bedarfsfall angepasst werden


Stand: 10.11.2022