Verwaltungsvorschrift über die Betriebsbedingungen des einheitlichen Organisationskontos
Auf Grund § 1 der Verordnung nach § 3 Absatz 2 Satz 2 des Onlinezugangsgesetzes vom 22. September 2021 (BGBl. I S. 4370) in Verbindung mit Art. 1 Abs. 1 Satz 1 des Zuständigkeitsgesetzes (ZustG) vom 7. Mai 2013 (GVBl. S. 246, BayRS 2015-1-V), das zuletzt durch § 1 Abs. 36 der Verordnung vom 26. März 2019 (GVBl. S. 98) geändert worden ist, und § 8 Satz 1 Nr. 4 und § 14 Nr. 3 der Verordnung über die Geschäftsverteilung der Bayerischen Staatsregierung (StRGVV) vom 28. Januar 2014 (GVBl. S. 31, BayRS 1102-2-S), die zuletzt durch Verordnung vom 14. September 2020 (GVBl. S. 566) geändert worden ist, erlassen das Bayerische Staatsministerium für Digitales und das Bayerische Staatsministerium der Finanzen und für Heimat:
1. Präambel
¹Die Verordnung nach § 3 Absatz 2 Satz 2 des Onlinezugangsgesetzes betraut den Freistaat Bayern und die Freie Hansestadt Bremen mit dem Betrieb des einheitlichen Organisationskontos im Sinne des § 2 Abs. 5 Satz 4 des Onlinezugangsgesetzes (OZG).
²Gemäß Begründung zu § 1 dient die Verordnung nach § 3 Absatz 2 Satz 2 des Onlinezugangsgesetzes der Umsetzung des IT-PLR Beschlusses vom 14. Februar 2020 (Beschluss 2020/1). ³Gemäß der dort festgelegten Zuständigkeitsverteilung zwischen Bayern und Bremen ist der Freistaat Bayern im Rahmen des Projekts „EKONA 2“ (Elster Konten für Alle) für die Bereitstellung der vier Bausteine MEIN UP, NEZO, NEZOP und Postfach 2.0 zuständig (BR-Drs. 396/21). ⁴Die Freie Hansestadt Bremen ist für die Umsetzung von Baustein 5 (OZG-Plus Postfach) und Baustein 6 (Autorisierungsmodul) zuständig.
⁵In Bayern ist das Staatsministerium für Digitales gemäß § 14 Nr. 3 der Verordnung über die Geschäftsverteilung der Bayerischen Staatsregierung (StRGVV) für die Föderale IT-Kooperation und die Umsetzung des Portalverbunds zuständig. ⁶Daraus folgt gemäß Art. 1 Abs. 1 Satz 1 des Zuständigkeitsgesetzes (ZustG) die Zuständigkeit des Staatsministeriums für Digitales zur Umsetzung der Bereitstellung eines einheitlichen Organisationskontos im Rahmen der dem Freistaat Bayern durch die Verordnung nach § 3 Absatz 2 Satz 2 des Onlinezugangsgesetzes zugewiesenen Aufgaben.
⁷Der Betrieb des Organisationskontos erfolgt entsprechend des Basiskonzepts Einheitliches Unternehmenskonto auf Basis von ELSTER (Anlage des Beschlusses 2020/1) beim Landesamt für Steuern, welches seinerseits dem Staatsministerium für Finanzen und für Heimat untersteht.
⁸Geplant ist, die Betriebsbedingungen einheitlich für alle sechs Bausteine im Wege einer Rahmenvereinbarung zwischen den Betreiberländern Bayern und Bremen auf der einen Seite und dem Bund und den weiteren Ländern auf der anderen Seite umzusetzen.
⁹Um Verzögerungen beim Rollout der bayerischen Bausteine 1 bis 4 zu vermeiden, werden übergangsweise Regelungen im Wege von Verwaltungsvorschriften nur für den Betrieb der Bausteine 1 bis 4 getroffen.
2. Zweck der Verwaltungsvorschrift
¹Der Freistaat Bayern stellt der nutzungsberechtigten Stelle das Organisationskonto mit den Bausteinen 1 bis 4 und die dazugehörigen Schnittstellen zur Nutzung entsprechende der Nrn. 3 bis 19 zur Verfügung. ²Der Freistaat Bayern fungiert dabei als Betreiberland der Bausteine 1 bis 4.
3. Nutzungsberechtigte Stellen
3.1
¹Eine nutzungsberechtigte Stelle ist
eine Bundesbehörde,
eine Landesbehörde,
eine kommunale Behörde und
eine sonstige Behörde im Sinne von § 1 Abs. 4 des Verwaltungsverfahrensgesetz (VwVfG).
²Einbezogen sind damit alle Ebenen der Verwaltung, die staatsorganisationsrechtlich dem Bund oder einem Land zuzurechnen sind. ³Erfasst sind auch gemeinsame öffentliche Einrichtungen von Bund und Ländern oder Kommunen, sowie Einrichtungen in öffentlicher oder in öffentlich-privater Trägerschaft, soweit sie Verwaltungsleistungen nach § 2 Abs. 3 OZG bereitstellen.
3.2
Die Behörden der Freien Hansestadt Bremen gelten in Bezug auf die Bausteine 1 bis 4 gegenüber dem Freistaat Bayern als nutzungsberechtige Stellen.
3.3
Die nutzungsberechtigten Stellen können Dienstleister beauftragten, die im Auftrag der jeweiligen Stelle die technische Umsetzung der Anbindung übernehmen.
4. Gegenstand der Bausteine 1 bis 4 des einheitlichen Organisationskontos
4.1 Allgemeines
4.1.1
¹Der Freistaat Bayern erlaubt der nutzungsberechtigten Stelle, dass diese ihre Nutzer zur Identifizierung auf die Login-Seite des ELSTER Authentifizierungsportals („Login-Seite“) weiterleitet. ²Hierzu stellt der Freistaat Bayern die Schnittstellen zur Verfügung, an die sich die nutzungsberechtigte Stelle anschließen kann. ³Auf der Login-Seite kann sich ein Nutzer mittels seines ELSTER-Zertifikats und Passworts anmelden. ⁴Der Freistaat Bayern übermittelt über die NEZO-Schnittstelle, mit der Einwilligung des Nutzers, die unter Nr. 5 genannten Daten an die nutzungsberechtigte Stelle.
4.1.2
¹Der Freistaat Bayern bietet der nutzungsberechtigten Stelle darüber hinaus im Rahmen der Nutzung des Organisationskontos das Postfach 2.0 zur Übermittlung von Mitteilungen und rechtsverbindlichen Bescheiden an die Nutzer der Webanwendung der nutzungsberechtigten Stelle gemäß § 9 OZG an. ²Bei dem Postfach 2.0 handelt es sich um ein Postfach nach § 2 Abs. 7 OZG. ³Voraussetzung hierfür ist die Anbindung der nutzungsberechtigten Stelle an die NEZO-Schnittstelle. ⁴Die Nutzer der Webanwendung der nutzungsberechtigten Stelle müssen für die Verwendung des Postfach 2.0 bei ELSTER registriert sein, sich über die NEZO-Schnittstelle in der Webanwendung der nutzungsberechtigten Stelle identifiziert und authentifiziert und in die elektronische Bekanntgabe gegenüber der nutzungsberechtigten Stelle eingewilligt haben. ⁵Bescheide und Mitteilungen können vom Nutzer der Webanwendung der nutzungsberechtigten Stelle in seinem Postfach von „Mein Unternehmenskonto“ auf www.mein-unternehmenskonto.de eingesehen und heruntergeladen werden. ⁶Zur Identifizierung des Postfachs des Nutzers als Empfänger wird der nutzungsberechtigten Stelle bei Registrierung ein Postfachhandle (eindeutigen Referenzwert) übermittelt. ⁷Hierüber kann die nutzungsberechtigte Stelle einem bestimmten Empfänger Bescheide und Mitteilungen in sein Postfach einstellen, woraufhin der Empfänger eine Benachrichtigung per E-Mail über den Eingang erhält. ⁸Der Freistaat Bayern stellt der nutzungsberechtigten Stelle für die Übermittlung eine technische Schnittstelle zur Verfügung.
4.1.3
¹Zur Identifizierung und Authentifizierung des Nutzers bei der Webanwendung der nutzungsberechtigten Stelle mittels der ELSTER-Zertifikate werden aktuelle Identitätsdaten zusammen mit der ELSTER-Account-ID, das Vertrauensniveau der Identifizierung (im Registrierungsfall), das Vertrauensniveau der Authentifizierung (im Login-Fall) und im Fall der Verwendung eines ELSTER-Organisationszertifikats die DUEbEL-ID als eindeutiger Schlüssel über die Schnittstelle an die Webanwendung der nutzungsberechtigten Stelle übergeben. ²Bei der ELSTER-Account-ID handelt es sich um eine eindeutige Kennung eines registrierten ELSTER-Accounts bei ELSTER. ³Jeder Account entspricht dabei einem Nutzer. ⁴Für Datenübermittler, die sich mit der Steuernummer bei ELSTER registriert haben, bildet DUEbEL (Aktualisierungsdienst für Datenübermittler bei ELSTER) eine Steuernummernkette. ⁵DUEbEL sammelt unter einer eindeutigen Kennung (DUEbEL-ID oder D-ID) alle neueren Steuernummern der Datenübermittler, so dass jederzeit zu einem Zertifikat mit historischer Steuernummer die jeweils aktuelle Nummer ermittelt werden kann.
4.1.4
Die Freischaltung der Nutzung des Organisationskontos und der dazugehörigen Schnittstellen erfolgt durch Abruf am Self-Service-Portal durch die nutzungsberechtigte Stelle.
4.1.5
Die Leistungen werden durch einen Diensteanbieter des Freistaates Bayern im räumlichen Geltungsbereich der Datenschutz-Grundverordnung erbracht.
4.1.6
Übergabepunkt für die Leistungen ist der Internetübergabepunkt des Verfahrens ELSTER und zwar sowohl aus als auch in Richtung der nutzungsberechtigten Stelle.
4.2 ELSTER-Organisationszertifikate
4.2.1
¹Als ELSTER-Organisationszertifikat wird ein Zertifikat bezeichnet, das einer Organisation (juristische Person oder Vereinigungen, denen ein Recht zustehen kann) zugeordnet ist. ²Ein solches Organisations-Zertifikat befindet sich in der Regel im Besitz eines Mitarbeitenden (handelnde Person) der Organisation (der juristischen Person oder Vereinigungen, denen ein Recht zustehen kann). ³Alle Organisationszertifikate repräsentieren in identischer Weise die Organisation; die handelnde Person ist über das ELSTER-Organisationszertifikat grundsätzlich selbst nicht erkennbar.
4.2.2
Ein ELSTER-Organisationszertifikat kann auch einer natürlichen Person, die wirtschaftlich tätig ist, zugeordnet werden.
4.2.3
¹Die Identitätsdaten für Inhaber von ELSTER-Organisationszertifikaten, die mittels der NEZO-Schnittstelle übergeben werden, stammen aus dem Datenbestand der Steuerverwaltung. ²Die Stammdaten zu den Steuerkonten der ELSTER-Organisationszertifikate, die mittels der NEZO-Schnittstelle übergeben werden, stammen vom Grundinformationsdienst Steuer (GINSTER).
4.3 Persönliche ELSTER-Zertifikate
4.3.1
¹Als persönliches ELSTER-Zertifikat wird ein Zertifikat bezeichnet, das genau einer natürlichen Person zugeordnet ist. ²Pro natürlicher Person, das heißt pro Steuer-Identifikationsnummer, existiert nur ein persönliches ELSTER-Zertifikat.
4.3.2
¹Die Identitätsdaten für Inhaber von persönlichen ELSTER-Zertifikaten, die mittels der NEZO-Schnittstelle übergeben werden, stammen aus der Steuer-Identifikationsnummer-Datenbank (IdNr-Datenbank). ²Die IdNr-Datenbank enthält zentral alle Stammdaten zu den Steuer-Identifikationsnummern.
5. Datenkranz
Der Umfang des mittels der NEZO-Schnittstelle übergebenen Datenkranzes richtet sich nach den geltenden gesetzlichen Vorschriften und Regelungen (insbesondere § 8 OZG).
6. Self-Service-Portal
6.1
Der Freistaat Bayern stellt für die Nutzung des Organisationskontos und der dazugehörigen Schnittstellen ein Self-Service-Portal zur Verfügung.
6.2
Über das Self-Service-Portal können insbesondere folgende Funktionen genutzt werden:
Stellung von Supportanfragen,
Automationsgestützte Einbindung von Schnittstellen,
Anlegen und Administrieren von Service Providern in Test- und Produktivumgebungen.
7. Kryptographische Schlüssel für die SAML-Kommunikation, Schlüsselmanagement
7.1
Die nutzungsberechtigte Stelle verpflichtet sich, Server einzusetzen, die ausschließlich Transport Layer Security (TLS) Cipher Suites verwenden, die den jeweils aktuellen technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) entsprechen.
7.2
¹Das verwendete Schlüsselmaterial und die kryptographischen Verfahren müssen den Vorgaben des Freistaates Bayern entsprechen (siehe Nr. 11 Technische Betriebsbedingungen). ²Bei einer Änderung der Vorgaben ist die nutzungsberechtigte Stelle verpflichtet, die Vorgaben innerhalb einer vom Freistaat Bayern festgelegten Frist von einem Jahr umzusetzen. ³Sollten sich die Vorgaben des BSI frühzeitiger ändern, sind die nutzungsberechtigten Stellen verpflichtet, die vom BSI vorgegebenen Fristen einzuhalten.
8. Anpassungen durch den Freistaat Bayern
8.1
¹Der Freistaat Bayern behält sich vor, im Rahmen der Aufgaben der OZG-Umsetzung Anpassungen an den technischen Komponenten (insbesondere auch Weiterentwicklungen) vorzunehmen und zu implementieren. ²Der Freistaat Bayern wird die nutzungsberechtigten Stellen bei Bekanntwerden des Änderungsgrundes darüber informieren und sie – wie bisher – im Rahmen der bestehenden Gremienstrukturen in den Entscheidungsprozess einbeziehen.
8.2
¹Die nutzungsberechtigte Stelle ist verpflichtet, die für die Nutzung des Organisationskontos und der dazugehörigen Schnittstellen bereitgestellten Anpassungen innerhalb eines Jahres zu implementieren. ²Die Frist beginnt mit dem Tag zu laufen, an dem die Anpassung im Echtsystem verfügbar ist. ³Die Frist kann sich verkürzen, wenn der Anpassung eine Gesetzesänderung zu Grunde liegt.
8.3
Bei Nichtimplementierung von Anpassungen nach Ablauf der Implementierungsfrist trägt die nutzungsberechtigte Stelle die sich daraus ergebenden Risiken, unter anderem rechtlicher und technischer Natur, selbst.
9. Verwendung und Änderung des ELSTER-Logos
9.1
Die nutzungsberechtigte Stelle kann das ELSTER-Logo nur gemäß den vom Freistaat Bayern zur Verfügung gestellten Vorlagen verwenden.
9.2
Das der nutzungsberechtigten Stelle zur Verfügung gestellte ELSTER-Logo darf in den Print-, Online- und Offlinemedien nur an Stellen verwendet werden, die einen direkten Bezug zur Authentifizierung und Identifizierung mittels der ELSTER-Zertifikate bei der Webanwendung der nutzungsberechtigten Stelle haben.
9.3
Das der nutzungsberechtigten Stelle zur Verfügung gestellte ELSTER-Logo darf von dieser ausschließlich auf eine Art und Weise verwendet werden, die den Ruf und das Ansehen des Freistaates Bayern nicht beschädigt.
9.4
¹Dem Freistaat Bayern steht es frei, das ELSTER-Logo jederzeit zu ändern oder einzuziehen. ²Bei Erscheinen eines neuen ELSTER-Logos erfolgt in geeigneter Weise ein Hinweis und eine Zurverfügungstellung seitens des Freistaates Bayern als Markenrechtsinhaber. ³Die nutzungsberechtigte Stelle hat immer das aktuellste Logo zu verwenden. ⁴Der nutzungsberechtigten Stelle ist es untersagt, das Erscheinungsbild des ELSTER-Logos eigenmächtig zu ändern.
9.5
Sollte es zukünftig ein eigenes Logo für das Organisationskonto geben, so finden die vorstehenden Nrn. 9.1 bis 9.4 entsprechend Anwendung.
10. Nutzungsrecht
10.1
Jede nutzungsberechtigte Stelle erhält für die Geltungsdauer dieser Verwaltungsvorschrift ein nicht ausschließliches und nicht übertragbares Nutzungsrecht an dem Organisationskonto und den dazugehörigen Schnittstellen für den unter Nr. 2 genannten Zweck.
10.2
¹Die nutzungsberechtigte Stelle darf das Nutzungsrecht nicht auf Dritte übertragen. ²Dies gilt nicht, soweit die nutzungsberechtigte Stelle durch gesetzliche Vorschriften zum Einsatz von Beliehenen ermächtigt ist. ³Setzt die nutzungsberechtigte Stelle Beliehene ein, so sind diese zur Geheimhaltung zu verpflichten. ⁴Der Einsatz von Beliehenen ist vorab dem Freistaat Bayern, vertreten durch das Bayerischen Staatsministeriums für Digitales, in Textform anzuzeigen.
11. Technische Betriebsbedingungen
¹Der Freistaat Bayern ist berechtigt, Technische Betriebsbedingungen zu erlassen. ²Die jeweils geltenden Technischen Betriebsbedingungen werden der nutzungsberechtigen Stelle in geeigneter Weise zur Verfügung gestellt.
12. Support
12.1
¹Die nutzungsberechtigte Stelle verpflichtet sich, für die Nutzer in eigener Verantwortung einen Support zu betreiben (First-Level-Support). ²Demnach unterbleibt für ihre Nutzer der Hinweis auf den Second-Level-Support des Diensteanbieters des Freistaates Bayern, insbesondere auf die ELSTER-Hotline.
12.2
Soweit es sich um einen konkreten Supportfall im Verantwortungsbereich des Diensteanbieters des Freistaates Bayern handelt, kann auf den Second-Level-Support des Freistaates Bayern verwiesen werden.
13. Kosten
Die Einräumung des Nutzungsrechts durch den Freistaat Bayern erfolgt als Anwendung des IT-Planungsrates für die nutzungsberechtigte Stelle unentgeltlich.
14. Datenschutz, Geheimhaltung und Informationssicherheit
14.1
¹Die nutzungsberechtigte Stelle und der Freistaat Bayern sind verpflichtet, die geltenden Vorschriften zum Datenschutz und zur Geheimhaltung von Geschäfts- und Betriebsgeheimnissen zu beachten. ²Sie werden ein hohes Maß an IT-Sicherheitsvorkehrungen auf dem aktuellen Stand der Technologie im Sinne des Art. 32 der Datenschutzgrundverordnung (DSGVO) zum Schutz der personenbezogenen Daten der Nutzer gewährleisten.
14.2
Die nutzungsberechtigte Stelle ist verpflichtet, in der Webanwendung einen der Datenschutzgrundverordnung entsprechenden Datenschutzhinweis anzubringen und eine Einwilligung der Nutzer im Sinne von Art. 7 DSGVO für die Verwendung der Webanwendung zu verlangen, sofern sie nicht über eine andere rechtliche Grundlage für die Verarbeitung der personenbezogenen Daten verfügt.
15. Haftung, Schadensersatz
15.1
Schadensersatzansprüche zwischen der nutzungsberechtigten Stelle und dem Freistaat Bayern sind ausgeschlossen, soweit sie nicht auf Vorsatz oder grober Fahrlässigkeit beruhen.
15.2
Die nutzungsberechtigte Stelle und der Freistaat Bayern haften jeweils unbeschränkt für vorsätzlich oder fahrlässig verursachte Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit durch sie selbst, ihre gesetzlichen Vertreter oder Erfüllungsgehilfen.
16. Ansprüche Dritter
16.1
¹Macht ein Dritter zu Recht geltend, durch die Nutzung des Organisationskontos in seinen Schutzrechten verletzt zu sein, hat die nutzungsberechtigte Stelle dies dem Freistaat Bayern, vertreten durch das Bayerischen Staatsministeriums für Digitales, unverzüglich mitzuteilen. ²Der Freistaat Bayern wird die nutzungsberechtigte Stelle von Ansprüchen des Dritten freistellen und das Organisationskonto so ändern oder ersetzen, dass das Schutzrecht nicht weiter verletzt wird.
16.2
¹Gelingt dem Freistaat Bayern ein Ändern oder Ersetzen zu angemessenen Bedingungen nicht, kann der Freistaat Bayern die betroffene nutzungsberechtigte Stelle von der Nutzung des Organisationskontos ganz oder teilweise ausschließen oder den Dienst ganz oder teilweise einstellen mit Wirkung für alle nutzungsberechtigten Stellen. ²Die betroffenen nutzungsberechtigten Stellen sind möglichst mit einer angemessenen Frist vorab zu informieren.
16.3
¹Soweit die nutzungsberechtigte Stelle die Schutzrechtsverletzung selbst zu vertreten hat, sind Ansprüche gegen den Freistaat Bayern ausgeschlossen. ²Im Fall eines beiderseitigen Vertretenmüssens werden die nutzungsberechtigte Stelle und der Freistaat Bayern eine angemessene Aufteilung der entstandenen Nachteile vornehmen.
17. Ausschluss von nutzungsberechtigten Stellen
Der Freistaat Bayern kann die nutzungsberechtigte Stelle von der Nutzung des Organisationskontos ganz oder teilweise ausschließen, falls die nutzungsberechtigte Stelle gegen Nutzungsbestimmungen – trotz vorhergehenden Hinweises auf die Verletzung – verstößt.
18. Einstellung des Betriebs der Bausteine 1 bis 4 des einheitlichen Organisationskontos
¹Das Betreiberland Freistaat Bayern kann den Betrieb der Bausteine 1 bis 4 aus wichtigem Grund unter Einhaltung einer Frist von sechs Monaten zum Jahresende einstellen. ²Ein wichtiger Grund liegt insbesondere vor, wenn
für die in dieser Verwaltungsvorschrift festgelegten Leistungen keine vollumfängliche und zentrale Finanzierung durch den IT-Planungsrat oder den Bund erfolgt oder
auf Grund eines Beschlusses der Steuerungsgruppe IT des Vorhabens KONSENS die NEZO-Schnittstelle vom Bayerischen Landesamt für Steuern nicht mehr oder nur noch mit erheblichem Aufwand bereitgestellt werden kann
und in der Folge eine Bereitstellung der Bausteine 1 bis 4 des Organisationskontos so nicht mehr möglich ist.
19. Bisherige Einzelvereinbarungen
Soweit eine nutzungsberechtigte Stelle bereits eine Einzelvereinbarung mit dem Freistaat Bayern über die Anbindung des Organisationskontos abgeschlossen hat, gelten weiterhin die Bestimmungen dieser Einzelvereinbarung.
20. Inkrafttreten
Diese Bekanntmachung tritt mit Wirkung vom 1. März 2022 in Kraft.
Bayerisches Staatsministerium
für Digitales
Bayerisches Staatministerium
der Finanzen und für Heimat
Dr. Hans Michael Strepp
Ministerialdirektor
Harald Hübner
Ministerialdirektor
Feedback