Intern
  • 50-jähriges Jubiläum des Rechenzentrums
Rechenzentrum

Digitale Verwaltung

Digitale Verwaltung an bayerischen Hochschulen

Die Digitalisierung stellt nicht nur die Wirtschaft vor neue Herausforderungen, sondern im gleichen Maße auch die Verwaltung.

 

Den gesetzlichen Rahmen für die Digitalisierung schafft für bayerische staatliche Hochschulen unter anderem das Gesetz über die elektronische Verwaltung in Bayern. Der Volltext ist abrufbar unter: https://www.gesetze-bayern.de/Content/Document/BayEGovG/True

Die Digitalisierungsstrategie des Freistaates ist ambitioniert. Aus diesem Grund, wie auch zwecks besserer Abstimmung auch weiterer nationaler wie europäischer Vorgaben und Regularien, treten die Normen nicht gleichzeitig in Kraft.

Die Endtermine der Umsetzungsfristen entbinden nicht davon, die internen Prozesse zur Umsetzung rechtzeitig vor Ablauf dieser anzustoßen.

1. Informationen und Materialien

2. Umsetzungsfristen

 

1. Informationen und Materialien

 

2. Umsetzungsfristen

Zeitpunkt Inhalt Norm
30. Dez 2015 Elektronische Kopie und Beglaubigung von Urkunden Art. 33 Abs. 4 - 7 BayVwVfG
01. Jul 2016 Digitale Zugangs- und Verfahrensrechte Art. 2 Satz 1 und 2 BayEGovG
01. Jul 2017 Onlineverfügbarkeit von Formularen zu Verwaltungsverfahren Art. 6 Abs. 2 Satz 1 BayEGovG
01. Dez 2017 Landesamt für Sicherheit in der Informationstechnik Art. 9 ff BayEGovG
01. Jan 2020 Informationssicherheitskonzepte für Behörden Art. 11 Abs. 1 Satz 2 BayEGovG
01. Jan 2020 Anbieten der Möglichkeit mit Behörden verschlüsselt zu kommunizieren Art. 3 Abs. 1 Satz 3 BayEGovG
01. Jan 2020 Identifikation mit Lösungen  wie z.B. eID des Personalausweises Art. 3 Abs. 3 BayEGovG
01. Jan 2020 Ermöglichung von E-Payment Art. 5 Abs. 1 BayEGovG
27. Nov 2019 Entgegennahme elektronischer Rechnungen Art. 5 Abs. 2 Satz 1 BayEGovG

 

1. Elektronische Kommunikation

2. Schriftformersatz

3. Rechtsbehelfsbelehrung

4. Verschlüsselung

1. Elektronische Kommunikation

Seit dem 1. Juli 2016 müssen staatliche Hochschulen mindestens einen Kanal für elektronische Kommunikation anbieten.

Dieser Kanal kann eine DE-Mail-Adresse sein, aber ebenso gut eine Chatlösung. Die wirtschaftlichste Wahl und vertrauteste Lösung wird jedoch E-Mail sein.

Soweit es um den rechtswirksamen Zugang von Dokumenten geht ist sicherzustellen, dass die den E-Mail-Eingang Bearbeitenden qualifizierte elektronische Signaturen überprüfen können.

Weitere Informationen zu technischen Fragen finden Sie unter Akzeptanz elektronischer Nachweise.

2. Schriftformersatz

Im Rahmen elektronischer Kommunikation ist ein Schriftformersatz oft möglich.

Soweit keine persönliche Anwesenheit für das Verwaltungsverfahren erforderlich ist aber die Schriftform gesetzlich vorgeschrieben ist, kann u.a.

  • ein Dokument mit qualifizierter Elektronischer Signatur,
  • die unmittelbare Abgabe der Erklärung in einem elektronischen Formular, das von der Behörde in einem Eingabegerät oder über öffentlich zugängliche Netze zur Verfügung gestellt wird (z.B. ein Terminal in der Behörde),
  • weitere Verfahren nach Art. 3a Abs. 2 S. 4 BayVwVfG

die Schriftform ersetzen.

3. Rechtsbehelfsbelehrung

Durch den neuen Anspruch auf digitalen Zugang zu Behörden bedürfen Rechtsbehelfsbelehrungen einer Ergänzung.

Für Rechtsbehelfsbelehrungen gibt es Muster in der Anlage der Bekanntmachung des Bayerischen Staatsministeriums des Innern, für Bau und Verkehr über den Vollzug des Art. 15 des Gesetzes zur Ausführung der Verwaltungsgerichtsordnung vom 6. September 2016 (AllMBl. S. 2077).

4. Verschlüsselung

Für eine vertrauliche Kommunikation sind spätestens bis zum 1. Januar 2020 geeignete Verschlüsselungsverfahren anzubieten.

Hochschulen steht über die DFN-PKI bereits ein Verschlüsselungsverfahren zur Verfügung. Für einen flächendeckenden Einsatz bedarf es jedoch einer ausreichenden personellen Infrastruktur.

Zur Ergänzung sollten auch PGP-Schlüssel oder S/MINE Zertifikate angeboten werden, um Personen außerhalb der DFN-PKI die Verschlüsselung des Nachrichteninhaltes zu ermöglichen.


Bitte beachten Sie, dass die Datenschutzaufsichtsbehörden bereits jetzt die Verpflichtung sehen, Nachrichteninhalte zu verschlüsseln, wenn diese personenbezogene Daten enthalten.

Eine Verschlüsselung der Kommunikation kann ferner auch über Chatdienste angeboten werden.

 

Auskünfte und Informationen

Dienste, die Behörden außerhalb eines Verwaltungsverfahrens anbieten, sind auch digital anzubieten.

Dies umfasst insbesondere Auskünfte und Informationen durch Behörden.

Im Hochschulbereich sollten daher die Informationen über Veranstaltungen stets auch online vorgehalten werden.

"Eine Gewähr für die jederzeitige uneingeschränkte Aktualität, Richtigkeit, Vollständigkeit und Verfügbarkeit der bereit gestellten Dienste ist [... damit ...] nicht verbunden." (LT-Drs. 17/7537)

 

1. Anspruch auf elektronisches Verwaltungsverfahren

2. Akzeptanz elektronischer Nachweise

3. Digitale Identitätsnachweise

1. Anspruch auf elektronisches Verwaltungsverfahren

Die Beteiligten an einem Verwaltungsverfahren haben einen Anspruch auf elektronische Durchführung des Verfahrens.

Sollte aus wirtschaftlichen wie aus zweckmäßigen Gründen von einer elektronischen Durchführung des Verfahrens abgesehen werden, bedarf dies einer Begründung. Daher empfiehlt sich ein Umsetzungskonzept hinsichtlich der Digitalisierung der Verwaltung in den Hochschulen.

2. Akzeptanz elektronischer Nachweise

Unterlagen können grundsätzlich elektronisch eingereicht werden. Bei Bedarf kann die Vorlage von Originalen erfolgen.

Digitale Signaturen oder Siegel können z.B. mit dem Governikus Signer, eine Anwendung des IT-Planungsrates oder SecSigner von SecCommerce verifiziert und an Dokumenten angebracht werden.

Die gesetzlichen Anforderungen an digitale Nachweise ergeben sich auf dem Vertrauensdienstegesetz und der VO (EU) 910/2014 (eIDAS).

3. Digitale Identitätsnachweise

Soweit die gesetzliche Pflicht besteht, die Beteiligten an einen Verwaltungsverfahren zu identifizieren, sind spätestens ab 1. Januar 2020 europäische elektronische Identitätsnachweise, wie der deutsche Personalausweis oder der elektronischen Aufenthaltstitel, anzubieten.

Aktenführung

Für staatliche Hochschulen besteht keine Pflicht, die E-Akte einzuführen.

Jedoch kann die bestehende hybride Aktenführung haushaltsrechtlich unwirtschaftlich sei.

Denn im Hinblick auf die Verpflichtung zahlreiche Dienste elektronisch anzubieten, wie auch die verpflichtende elektronische Kommunikation mit anderen Behörden und Gerichten, wird eine hypride Aktenführung immer aufwendiger und zunehmend ineffizient.

1. XRechnung

2. Anwendungsbereich

1. XRechnung

Ab dem 18. April 2020 ist der Empfang und die Verarbeitung elektronischer Rechnungen sicherzustellen. Für Hochschulen ist diese Pflicht auf EU-weite Vergaben beschränkt.

Beim Empfang der Rechnung wird nun die formale Korrektheit der Rechnung technisch überprüft. Der Code für ein Valdierungstool wurde auf Github veröffentlicht unter https://github.com/itplr-kosit/validationtool.

Ein Standard zur E-Rechnung ist die XRechnung. Weitere gehen Informationen finden Sie bei der Koordinierungsstelle für IT-Standards.

2. Anwendungsbereich

Anders als die meisten Normen des Bayerischen E-Government-Gesetzes, die ausschließlich auf staatliche Behörden Anwendung finden, gilt die Pflicht hinsichtlich elektronischer Rechnungen für alle öffentlichen Auftraggeber im Sinne des § 98 GWB.

Daher können auch Hochschulen in kirchlicher Trägerschaft oder Studentenwerke ebenso im Anwendungsbereich dieser Norm sein.

1. Unbarer Zahlungsverkehr

2. Haushaltsrecht

1. Unbarer Zahlungsverkehr

Die Verpflichtung, dass Forderungen der Behörden unbar beglichen werden können, wird in Bayern weitergehend umgesetzt.

Daher ist die bloße Angabe einer Bankverbindung nicht ausreichend, vielmehr sind elektronische Zahlungsmöglichkeiten wie Kreditkarten anzubieten. Der Freistaat stellt dafür eine Basiskomponente E-Payment bereit.

2. Haushaltsrecht

Gebühren, die durch den Einsatz elektronischer Bezahlplattformen entstehen, sind bereits durch eine allgemeine Auszahlungsanordnung haushaltsrechtlich elegant  abgebildet über Nr. 11.7. c VV zu Art. 70 BayHO.

Dies entbindet jedoch nicht von der Beachtung der Grundsätze der Wirtschaftlichkeit und Sparsamkeit.

1. Tipps für Anwender und Administratoren

2. Informationssicherheit - Gesetzliche Grundlage

3. Aufgabe Informationssicherheit

4. Verhätnismäßigkeitsvorbehalt

5. Maßnahmen zur Informationssicherheit

6. Anforderungen an die Informationssicherheitskonzepte

7. Fachliche Grundlage für informationssicherheitskonzepte

8. Arbeitshilfen und Informationen zur Umsetzung

9. Informationssicherheitsleitlinien

10. Informationssicherheitsorganisation

11. Schulungen und Sensibilisierungen

12. Treffen der Informationssicherheitsbeauftragten und Erfahrungsaustausch

13. Qualifikation und Fortbildung der Informationssicherheitsbeauftragten

1. Tipps für Anwender und Administratoren

Beachten Sie die "Goldenen Regeln" der Informationssicherheit.

2. Informationssicherheit - Gesetzliche Grundlage

Art. 11 Abs. 1 BayEGovG -Behördenübergreifende Pflichten

 1 Die Sicherheit der informationstechnischen Systeme der Behörden, für die der Anwendungsbereich von Teil 1 ganz oder zum Teil eröffnet ist, ist im Rahmen der Verhältnismäßigkeit sicherzustellen.

2 Die Behörden treffen zu diesem Zweck angemessene technische und organisatorische Maßnahmen im Sinn von Art. 32 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) und Art. 32 des Bayerischen Datenschutzgesetzes (BayDSG) und erstellen die hierzu erforderlichen Informationssicherheitskonzepte.

3. Aufgabe Informationssicherheit

Die Aufgabe Informationssicherheit in der jeweiligen Behörde zu gewährleisten, legitimiert das behördliche Handeln.

Allein aus dieser Aufgabe kann jedoch ein Eingriff in das Fernmeldegeheimnis nicht gerechtfertigt werden. Soweit daher für Kommunikationssysteme das Fernmeldegeheimnis zu beachten ist, sind die rechtlichen Vorgaben des Telekommunikationsgesetzes zu beachten.

4. Verhätnismäßigkeitsvorbehalt

Die Pflicht Absicherung der informationstechnischen Systeme der Behörden steht unter einem Verhältnismäßigkeitsvorbehalt.

In der Begründung zu dem Gesetzesentwurf wird dazu ausgeführt (Bayerischer Landtag Drucksache17/7537 S. 38):

"Im Rahmen der Prüfung der Verhältnismäßigkeit sind Art und Ausmaß des Risikos, die Wahrscheinlichkeit des Risikoeintritts und die Kosten der Risikovermeidung abzuwägen. Unter dem Gesichtspunkt der Wirtschaftlichkeit kann auch die Leistungsfähigkeit der jeweiligen Behörde berücksichtigt werden, da diese nach wie vor in der Lage sein muss, ihre jeweiligen öffentlichen Aufgaben zu erfüllen."

5. Maßnahmen zur Informationssicherheit

Die Maßnahmen zur Behandlung von Risiken durch den Einsatz von informationstechnischen Systemen, orientieren sich an den Maßnahmen zum Schutz personenbezogener Daten.

Vereinfacht heißt das, jede Information auch ohne Personenbezug soll so wie personenbezogene Daten geschützt werden. Für die Systeme wie die Prozesse sind - soweit zutreffend - folgende Maßnahmen auf Grundlage einer Risikobewertung zu treffen.

  • Zugangskontrollen
  • Organisationskontrollen
  • Datenträgerkontrollen
  • Speicherkontrollen
  • Benutzerkontrollen
  • Transportkontrollen
  • Zugriffskontrollen
  • Übertragungskontrollen
  • Eingabekontrollen
  • Wiederherstellungsgewährleistung
  • Gewährleistung der Systemzuverlässigkeit
  • Gewährleistung der Datenintegrität
  • Auftragskontrollen

Aus der entsprechenden Anwendung von Art. 32 DSGVO folgt:

  • risikoorientierter Ansatz nach Eintrittswahrscheinlichkeit und Schwere der Risiken für die Informationssicherheit
  • Mit folgenden Maßnahmen zur Risikobehandlung
    • (Pseudonymisierung) und Verschlüsselung von Daten
    • Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
    • Fähigkeit, die Verfügbarkeit der Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
    • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit

6. Anforderungen an die Informationssicherheitskonzepte

Art. 11 Abs. 1 BayEGovG dient der Umsetzung des  IT-Planungsrats Beschlusses 2013/01. Die Informationssicherheit soll jedoch nur orientiert an diesem Beschluss umgesetzt werden, d.h. auch in der Endstufe dürfte der IT-Grundschutz für Hochschulen nicht verpflichtend werden.

Dennoch ergeben sich aus diesem Beschluss die Mindestanforderungen (S.8 f Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung):

  • Festlegung und Dokumentation von Verantwortlichkeiten hinsichtlich des Informationssicherheitsmanagements (z.B. Benennung IT-Sicherheitsbeauftragte).
  • Erstellung von jeweiligen verbindlichen Leitlinien für die Informationssicherheit.
  • Erstellung und Umsetzung von Sicherheitskonzepten für Behörden und Einrichtungen.
  • Festlegung und Dokumentation der Abläufe bei IT-Sicherheitsvorfällen.
  • Etablierung von Prozessen, mit denen Umsetzung, Wirksamkeit und Beachtung der Informationssicherheitsmaßnahmen regelmäßig kontrolliert und die Einleitung ggf. erforderlicher Maßnahmen (z. B. Fortschreibung Sicherheitskonzepte) gewährleistet wird.
  • Information, Weiterbildung, Sensibilisierung aller Beschäftigten der öffentlichen Verwaltung zu Themen der Informationssicherheit. Hierzu gehört auch die Etablierung und Durchführung regelmäßiger Sensibilisierungsmaßnahmen für die oberste Leitungsebene.
  • Anforderungsgerechte und einheitliche Fortbildung der IT-Sicherheitsbeauftragten. Eine Zertifizierung der IT-Sicherheitsbeauftragten wird angestrebt.
  • Jahrestagungen der IT-Sicherheitsbeauftragten zum gegenseitigen Erfahrungsaustausch.

7. Fachliche Grundlage für informationssicherheitskonzepte

Die fachliche Grundlage für Informationssicherheitskonzepte sind:

  • Grundschutz des BSI
  • ISO 270xx
  • ISIS12

Bei besonders kleinen Einheiten auch:

  • VdS3473
  • ISA+

Zertifizierungen sind möglich, aber nicht verpflichtend.

8. Arbeitshilfen und Informationen zur Umsetzung

Analyse zum eigenen Umsetzungsstand von Informationssicherheitskonzepten

Checkliste für Prozesse und IT-Services

  • Demnächst

Risikobewertung

9. Informationssicherheitsleitlinien

Aktuelle Muster stellt Ihnen die Stabsstelle Informationssicherheit der bayerischen staatlichen Universitäten und Hochschulen zur Verfügung.

10. Informationssicherheitsorganisation

Aktuelle Muster stellt Ihnen die Stabsstelle Informationssicherheit der bayerischen staatlichen Universitäten und Hochschulen zur Verfügung.

11. Schulungen und Sensibilisierungen

Informationstechnologie

  • Demnächst

IT-Recht

12. Treffen der Informationssicherheitsbeauftragten und Erfahrungsaustausch

Arbeitsgruppen, Erfahrungsaustausch und Treffen organisiert die Stabsstelle Informationssicherheit der bayerischen staatlichen Universitäten und Hochschulen.

Weiterer Erfahrungsaustausch:

13. Qualifikation und Fortbildung der Informationssicherheitsbeauftragten

 

1. Bayerische E-Governmentplattform

2. Redaktionsrechte

1. Bayerische E-Governmentplattform

Das BayernPortal ist die zentrale Plattform des Freistaates für Bürgerservice, Unternehmerservice und Verwaltungsservice.

Es ist unter https://www.freistaat.bayern/ erreichbar.

Zur Digitalisierung der eigenen Dienste und Verfahren ist das Bayernportal eine optimale Unterstützung zur Umsetzung.

Über das Portal ist bereits mit einem Postfach eine Möglichkeit verschlüsselter Kommunikation und der Zustellung von Bescheiden gegeben. Ebenso können die Nutzenden bereits elektronisch ihre Identifikation nachweisen.

2. Redaktionsrechte

Das Redaktionssystem ist unter https://www.baybw-redaktion.bayern.de/login.do erreichbar.
Dort finden Sie auch die Informationen und Kontaktdaten, um erstmalig Zugangsrechte zu beantragen.

Portal für Beschäftigte des Freistaates Bayern

Unter  https://www.mitarbeiterportal.bayern.de/ bietet der Freistaat seinen Beschäftigten eine Portallösung an.

Über dieses Portal ist auch das Management von Dienstreisen möglich, auch die Zeiterfassung wird demnächst in dieses Portal integriert werden.

Soweit diese Dienste den Anforderungen der Hochschulen genügen, sollte es eine Selbstverständlichkeit sein diese Portallösung einzusetzen.

1. Portalverbünde

2. Europa

1. Portalverbünde

Durch Änderungen des Grundgesetzes wurden die Voraussetzungen geschaffen, die Portale des Bundes und der Länder für Verwaltungsleistungen auch in einen Verbund anzubieten.

2. Europa

Darüber hinaus verfolgt die EU-Kommission ähnliche Pläne mit einer zentralen Einstiegsseite zu Verwaltungsleistungen.

Ferner sollen die wichtigsten Verwaltungsleistungen verpflichtend online angeboten werden, wie z.B. für Studieninteressierte die Einschreibung zum Studium an einer Hochschule.

Informationen

Autor: Johannes Nehlsen Titel: Digitale Verwaltung an bayerischen Hochschulen

Dieses Werk ohne Bilder ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 4.0 International Lizenz.