Veröffentlichung BayMBl. 2022 Nr. 237 vom 13.04.2022

Veröffentlichendes Ressort

Staatsministerium für Digitales

Download

Amtliche elektronische Ausgabe Amtliche elektronische Ausgabe Hash-Prüfsumme der PDF-Datei BayMBl(sha256): 3D003F79FA7289CB1993060A7D3FDD34FB679B55A71971599EF431D77D6A0823

Verwaltungsvorschrift

206-D
  • Verwaltung

206-D

Verwaltungsvorschrift über die Betriebsbedingungen des einheitlichen
Organisationskontos (VVBeBOrgBek)

Gemeinsame Bekanntmachung des Bayerischen Staatsministeriums für Digitales und des
Bayerischen Staatsministeriums der Finanzen und für Heimat

vom 30. März 2022, Az. 6260-7-23

Auf Grund § 1 der Verordnung nach § 3 Absatz 2 Satz 2 des Onlinezugangsgesetzes vom 22. September 2021 (BGBl. I S. 4370) in Verbindung mit Art. 1 Abs. 1 Satz 1 des Zuständigkeitsgesetzes (ZustG) vom 7. Mai 2013 (GVBl. S. 246, BayRS 2015-1-V), das zuletzt durch § 1 Abs. 36 der Verordnung vom 26. März 2019 (GVBl. S. 98) geändert worden ist, und § 8 Satz 1 Nr. 4 und § 14 Nr. 3 der Verordnung über die Geschäftsverteilung der Bayerischen Staatsregierung (StRGVV) vom 28. Januar 2014 (GVBl. S. 31, BayRS 1102-2-S), die zuletzt durch Verordnung vom 14. September 2020 (GVBl. S. 566) geändert worden ist, erlassen das Bayerische Staatsministerium für Digitales und das Bayerische Staatsministerium der Finanzen und für Heimat:

1.Präambel

1Die Verordnung nach § 3 Absatz 2 Satz 2 des Onlinezugangsgesetzes betraut den Freistaat Bayern und die Freie Hansestadt Bremen mit dem Betrieb des einheitlichen Organisationskontos im Sinne des § 2 Abs. 5 Satz 4 des Onlinezugangsgesetzes (OZG).

2Gemäß Begründung zu § 1 dient die Verordnung nach § 3 Absatz 2 Satz 2 des Onlinezugangsgesetzes der Umsetzung des IT-PLR Beschlusses vom 14. Februar 2020 (Beschluss 2020/1). 3Gemäß der dort festgelegten Zuständigkeitsverteilung zwischen Bayern und Bremen ist der Freistaat Bayern im Rahmen des Projekts „EKONA 2“ (Elster Konten für Alle) für die Bereitstellung der vier Bausteine MEIN UP, NEZO, NEZOP und Postfach 2.0 zuständig (BR-Drs. 396/21). 4Die Freie Hansestadt Bremen ist für die Umsetzung von Baustein 5 (OZG-Plus Postfach) und Baustein 6 (Autorisierungsmodul) zuständig.

5In Bayern ist das Staatsministerium für Digitales gemäß § 14 Nr. 3 der Verordnung über die Geschäftsverteilung der Bayerischen Staatsregierung (StRGVV) für die Föderale IT-Kooperation und die Umsetzung des Portalverbunds zuständig. 6Daraus folgt gemäß Art. 1 Abs. 1 Satz 1 des Zuständigkeitsgesetzes (ZustG) die Zuständigkeit des Staatsministeriums für Digitales zur Umsetzung der Bereitstellung eines einheitlichen Organisationskontos im Rahmen der dem Freistaat Bayern durch die Verordnung nach § 3 Absatz 2 Satz 2 des Onlinezugangsgesetzes zugewiesenen Aufgaben.

7Der Betrieb des Organisationskontos erfolgt entsprechend des Basiskonzepts Einheitliches Unternehmenskonto auf Basis von ELSTER (Anlage des Beschlusses 2020/1) beim Landesamt für Steuern, welches seinerseits dem Staatsministerium für Finanzen und für Heimat untersteht.

8Geplant ist, die Betriebsbedingungen einheitlich für alle sechs Bausteine im Wege einer Rahmenvereinbarung zwischen den Betreiberländern Bayern und Bremen auf der einen Seite und dem Bund und den weiteren Ländern auf der anderen Seite umzusetzen.

9Um Verzögerungen beim Rollout der bayerischen Bausteine 1 bis 4 zu vermeiden, werden übergangsweise Regelungen im Wege von Verwaltungsvorschriften nur für den Betrieb der Bausteine 1 bis 4 getroffen.

2.Zweck der Verwaltungsvorschrift

1Der Freistaat Bayern stellt der nutzungsberechtigten Stelle das Organisationskonto mit den Bausteinen 1 bis 4 und die dazugehörigen Schnittstellen zur Nutzung entsprechende der Nrn. 3 bis 19 zur Verfügung. 2Der Freistaat Bayern fungiert dabei als Betreiberland der Bausteine 1 bis 4.

3.Nutzungsberechtigte Stellen

3.1
1Eine nutzungsberechtigte Stelle ist
a)
eine Bundesbehörde,
b)
eine Landesbehörde,
c)
eine kommunale Behörde und
d)
eine sonstige Behörde im Sinne von § 1 Abs. 4 des Verwaltungsverfahrensgesetz (VwVfG).

2Einbezogen sind damit alle Ebenen der Verwaltung, die staatsorganisationsrechtlich dem Bund oder einem Land zuzurechnen sind. 3Erfasst sind auch gemeinsame öffentliche Einrichtungen von Bund und Ländern oder Kommunen, sowie Einrichtungen in öffentlicher oder in öffentlich-privater Trägerschaft, soweit sie Verwaltungsleistungen nach § 2 Abs. 3 OZG bereitstellen.

3.2
Die Behörden der Freien Hansestadt Bremen gelten in Bezug auf die Bausteine 1 bis 4 gegenüber dem Freistaat Bayern als nutzungsberechtige Stellen.
3.3
Die nutzungsberechtigten Stellen können Dienstleister beauftragten, die im Auftrag der jeweiligen Stelle die technische Umsetzung der Anbindung übernehmen.

4.Gegenstand der Bausteine 1 bis 4 des einheitlichen Organisationskontos

4.1
Allgemeines
4.1.1
1Der Freistaat Bayern erlaubt der nutzungsberechtigten Stelle, dass diese ihre Nutzer zur Identifizierung auf die Login-Seite des ELSTER Authentifizierungsportals („Login-Seite“) weiterleitet. 2Hierzu stellt der Freistaat Bayern die Schnittstellen zur Verfügung, an die sich die nutzungsberechtigte Stelle anschließen kann. 3Auf der Login-Seite kann sich ein Nutzer mittels seines ELSTER-Zertifikats und Passworts anmelden. 4Der Freistaat Bayern übermittelt über die NEZO-Schnittstelle, mit der Einwilligung des Nutzers, die unter Nr. 5 genannten Daten an die nutzungsberechtigte Stelle.
4.1.2
1Der Freistaat Bayern bietet der nutzungsberechtigten Stelle darüber hinaus im Rahmen der Nutzung des Organisationskontos das Postfach 2.0 zur Übermittlung von Mitteilungen und rechtsverbindlichen Bescheiden an die Nutzer der Webanwendung der nutzungsberechtigten Stelle gemäß § 9 OZG an. 2Bei dem Postfach 2.0 handelt es sich um ein Postfach nach § 2 Abs. 7 OZG. 3Voraussetzung hierfür ist die Anbindung der nutzungsberechtigten Stelle an die NEZO-Schnittstelle. 4Die Nutzer der Webanwendung der nutzungsberechtigten Stelle müssen für die Verwendung des Postfach 2.0 bei ELSTER registriert sein, sich über die NEZO-Schnittstelle in der Webanwendung der nutzungsberechtigten Stelle identifiziert und authentifiziert und in die elektronische Bekanntgabe gegenüber der nutzungsberechtigten Stelle eingewilligt haben. 5Bescheide und Mitteilungen können vom Nutzer der Webanwendung der nutzungsberechtigten Stelle in seinem Postfach von „Mein Unternehmenskonto“ auf www.mein-unternehmenskonto.de eingesehen und heruntergeladen werden. 6Zur Identifizierung des Postfachs des Nutzers als Empfänger wird der nutzungsberechtigten Stelle bei Registrierung ein Postfachhandle (eindeutigen Referenzwert) übermittelt. 7Hierüber kann die nutzungsberechtigte Stelle einem bestimmten Empfänger Bescheide und Mitteilungen in sein Postfach einstellen, woraufhin der Empfänger eine Benachrichtigung per E-Mail über den Eingang erhält. 8Der Freistaat Bayern stellt der nutzungsberechtigten Stelle für die Übermittlung eine technische Schnittstelle zur Verfügung.
4.1.3
1Zur Identifizierung und Authentifizierung des Nutzers bei der Webanwendung der nutzungsberechtigten Stelle mittels der ELSTER-Zertifikate werden aktuelle Identitätsdaten zusammen mit der ELSTER-Account-ID, das Vertrauensniveau der Identifizierung (im Registrierungsfall), das Vertrauensniveau der Authentifizierung (im Login-Fall) und im Fall der Verwendung eines ELSTER-Organisationszertifikats die DUEbEL-ID als eindeutiger Schlüssel über die Schnittstelle an die Webanwendung der nutzungsberechtigten Stelle übergeben. 2Bei der ELSTER-Account-ID handelt es sich um eine eindeutige Kennung eines registrierten ELSTER-Accounts bei ELSTER. 3Jeder Account entspricht dabei einem Nutzer. 4Für Datenübermittler, die sich mit der Steuernummer bei ELSTER registriert haben, bildet DUEbEL (Aktualisierungsdienst für Datenübermittler bei ELSTER) eine Steuernummernkette. 5DUEbEL sammelt unter einer eindeutigen Kennung (DUEbEL-ID oder D-ID) alle neueren Steuernummern der Datenübermittler, so dass jederzeit zu einem Zertifikat mit historischer Steuernummer die jeweils aktuelle Nummer ermittelt werden kann.
4.1.4
Die Freischaltung der Nutzung des Organisationskontos und der dazugehörigen Schnittstellen erfolgt durch Abruf am Self-Service-Portal durch die nutzungsberechtigte Stelle.
4.1.5
Die Leistungen werden durch einen Diensteanbieter des Freistaates Bayern im räumlichen Geltungsbereich der Datenschutz-Grundverordnung erbracht.
4.1.6
Übergabepunkt für die Leistungen ist der Internetübergabepunkt des Verfahrens ELSTER und zwar sowohl aus als auch in Richtung der nutzungsberechtigten Stelle.
4.2
ELSTER-Organisationszertifikate
4.2.1
1Als ELSTER-Organisationszertifikat wird ein Zertifikat bezeichnet, das einer Organisation (juristische Person oder Vereinigungen, denen ein Recht zustehen kann) zugeordnet ist. 2Ein solches Organisations-Zertifikat befindet sich in der Regel im Besitz eines Mitarbeitenden (handelnde Person) der Organisation (der juristischen Person oder Vereinigungen, denen ein Recht zustehen kann). 3Alle Organisationszertifikate repräsentieren in identischer Weise die Organisation; die handelnde Person ist über das ELSTER-Organisationszertifikat grundsätzlich selbst nicht erkennbar.
4.2.2
Ein ELSTER-Organisationszertifikat kann auch einer natürlichen Person, die wirtschaftlich tätig ist, zugeordnet werden.
4.2.3
1Die Identitätsdaten für Inhaber von ELSTER-Organisationszertifikaten, die mittels der NEZO-Schnittstelle übergeben werden, stammen aus dem Datenbestand der Steuerverwaltung. 2Die Stammdaten zu den Steuerkonten der ELSTER-Organisationszertifikate, die mittels der NEZO-Schnittstelle übergeben werden, stammen vom Grundinformationsdienst Steuer (GINSTER).
4.3
Persönliche ELSTER-Zertifikate
4.3.1
1Als persönliches ELSTER-Zertifikat wird ein Zertifikat bezeichnet, das genau einer natürlichen Person zugeordnet ist. 2Pro natürlicher Person, das heißt pro Steuer-Identifikationsnummer, existiert nur ein persönliches ELSTER-Zertifikat.
4.3.2
1Die Identitätsdaten für Inhaber von persönlichen ELSTER-Zertifikaten, die mittels der NEZO-Schnittstelle übergeben werden, stammen aus der Steuer-Identifikationsnummer-Datenbank(IdNr-Datenbank). 2Die IdNr-Datenbank enthält zentral alle Stammdaten zu den Steuer-Identifikationsnummern.

5.Datenkranz

Der Umfang des mittels der NEZO-Schnittstelle übergebenen Datenkranzes richtet sich nach den geltenden gesetzlichen Vorschriften und Regelungen (insbesondere § 8 OZG).

6.Self-Service-Portal

6.1
Der Freistaat Bayern stellt für die Nutzung des Organisationskontos und der dazugehörigen Schnittstellen ein Self-Service-Portal zur Verfügung.
6.2
Über das Self-Service-Portal können insbesondere folgende Funktionen genutzt werden:
a)
Stellung von Supportanfragen,
b)
Automationsgestützte Einbindung von Schnittstellen,
c)
Anlegen und Administrieren von Service Providern in Test- und Produktivumgebungen.

7.Kryptographische Schlüssel für die SAML-Kommunikation, Schlüsselmanagement

7.1
Die nutzungsberechtigte Stelle verpflichtet sich, Server einzusetzen, die ausschließlich Transport Layer Security (TLS) Cipher Suites verwenden, die den jeweils aktuellen technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik (BSI) entsprechen.
7.2
1Das verwendete Schlüsselmaterial und die kryptographischen Verfahren müssen den Vorgaben des Freistaates Bayern entsprechen (siehe Nr. 11 Technische Betriebsbedingungen). 2Bei einer Änderung der Vorgaben ist die nutzungsberechtigte Stelle verpflichtet, die Vorgaben innerhalb einer vom Freistaat Bayern festgelegten Frist von einem Jahr umzusetzen. 3Sollten sich die Vorgaben des BSI frühzeitiger ändern, sind die nutzungsberechtigten Stellen verpflichtet, die vom BSI vorgegebenen Fristen einzuhalten.

8.Anpassungen durch den Freistaat Bayern

8.1
1Der Freistaat Bayern behält sich vor, im Rahmen der Aufgaben der OZG-Umsetzung Anpassungen an den technischen Komponenten (insbesondere auch Weiterentwicklungen) vorzunehmen und zu implementieren. 2Der Freistaat Bayern wird die nutzungsberechtigten Stellen bei Bekanntwerden des Änderungsgrundes darüber informieren und sie – wie bisher – im Rahmen der bestehenden Gremienstrukturen in den Entscheidungsprozess einbeziehen.
8.2
1Die nutzungsberechtigte Stelle ist verpflichtet, die für die Nutzung des Organisationskontos und der dazugehörigen Schnittstellen bereitgestellten Anpassungen innerhalb eines Jahres zu implementieren. 2Die Frist beginnt mit dem Tag zu laufen, an dem die Anpassung im Echtsystem verfügbar ist. 3Die Frist kann sich verkürzen, wenn der Anpassung eine Gesetzesänderung zu Grunde liegt.
8.3
Bei Nichtimplementierung von Anpassungen nach Ablauf der Implementierungsfrist trägt die nutzungsberechtigte Stelle die sich daraus ergebenden Risiken, unter anderem rechtlicher und technischer Natur, selbst.

9.Verwendung und Änderung des ELSTER-Logos

9.1
Die nutzungsberechtigte Stelle kann das ELSTER-Logo nur gemäß den vom Freistaat Bayern zur Verfügung gestellten Vorlagen verwenden.
9.2
Das der nutzungsberechtigten Stelle zur Verfügung gestellte ELSTER-Logo darf in den Print-, Online- und Offlinemedien nur an Stellen verwendet werden, die einen direkten Bezug zur Authentifizierung und Identifizierung mittels der ELSTER-Zertifikate bei der Webanwendung der nutzungsberechtigten Stelle haben.
9.3
Das der nutzungsberechtigten Stelle zur Verfügung gestellte ELSTER-Logo darf von dieser ausschließlich auf eine Art und Weise verwendet werden, die den Ruf und das Ansehen des Freistaates Bayern nicht beschädigt.
9.4
1Dem Freistaat Bayern steht es frei, das ELSTER-Logo jederzeit zu ändern oder einzuziehen. 2Bei Erscheinen eines neuen ELSTER-Logos erfolgt in geeigneter Weise ein Hinweis und eine Zurverfügungstellung seitens des Freistaates Bayern als Markenrechtsinhaber. 3Die nutzungsberechtigte Stelle hat immer das aktuellste Logo zu verwenden. 4Der nutzungsberechtigten Stelle ist es untersagt, das Erscheinungsbild des ELSTER-Logos eigenmächtig zu ändern.
9.5
Sollte es zukünftig ein eigenes Logo für das Organisationskonto geben, so finden die vorstehenden Nrn. 9.1 bis 9.4 entsprechend Anwendung.

10.Nutzungsrecht

10.1
Jede nutzungsberechtigte Stelle erhält für die Geltungsdauer dieser Verwaltungsvorschrift ein nicht ausschließliches und nicht übertragbares Nutzungsrecht an dem Organisationskonto und den dazugehörigen Schnittstellen für den unter Nr. 2 genannten Zweck.
10.2
1Die nutzungsberechtigte Stelle darf das Nutzungsrecht nicht auf Dritte übertragen. 2Dies gilt nicht, soweit die nutzungsberechtigte Stelle durch gesetzliche Vorschriften zum Einsatz von Beliehenen ermächtigt ist. 3Setzt die nutzungsberechtigte Stelle Beliehene ein, so sind diese zur Geheimhaltung zu verpflichten. 4Der Einsatz von Beliehenen ist vorab dem Freistaat Bayern, vertreten durch das Bayerischen Staatsministeriums für Digitales, in Textform anzuzeigen.

11.Technische Betriebsbedingungen

1Der Freistaat Bayern ist berechtigt, Technische Betriebsbedingungen zu erlassen. 2Die jeweils geltenden Technischen Betriebsbedingungen werden der nutzungsberechtigen Stelle in geeigneter Weise zur Verfügung gestellt.

12.Support

12.1
1Die nutzungsberechtigte Stelle verpflichtet sich, für die Nutzer in eigener Verantwortung einen Support zu betreiben (First-Level-Support). 2Demnach unterbleibt für ihre Nutzer der Hinweis auf den Second-Level-Support des Diensteanbieters des Freistaates Bayern, insbesondere auf die ELSTER-Hotline.
12.2
Soweit es sich um einen konkreten Supportfall im Verantwortungsbereich des Diensteanbieters des Freistaates Bayern handelt, kann auf den Second-Level-Support des Freistaates Bayern verwiesen werden.

13.Kosten

Die Einräumung des Nutzungsrechts durch den Freistaat Bayern erfolgt als Anwendung des IT-Planungsrates für die nutzungsberechtigte Stelle unentgeltlich.

14.Datenschutz, Geheimhaltung und Informationssicherheit

14.1
1Die nutzungsberechtigte Stelle und der Freistaat Bayern sind verpflichtet, die geltenden Vorschriften zum Datenschutz und zur Geheimhaltung von Geschäfts- und Betriebsgeheimnissen zu beachten. 2Sie werden ein hohes Maß an IT-Sicherheitsvorkehrungen auf dem aktuellen Stand der Technologie im Sinne des Art. 32 der Datenschutzgrundverordnung (DSGVO) zum Schutz der personenbezogenen Daten der Nutzer gewährleisten.
14.2
Die nutzungsberechtigte Stelle ist verpflichtet, in der Webanwendung einen der Datenschutzgrundverordnung entsprechenden Datenschutzhinweis anzubringen und eine Einwilligung der Nutzer im Sinne von Art 7 DSGVO für die Verwendung der Webanwendung zu verlangen, sofern sie nicht über eine andere rechtliche Grundlage für die Verarbeitung der personenbezogenen Daten verfügt.

15.Haftung, Schadensersatz

15.1
Schadensersatzansprüche zwischen der nutzungsberechtigten Stelle und dem Freistaat Bayern sind ausgeschlossen, soweit sie nicht auf Vorsatz oder grober Fahrlässigkeit beruhen.
15.2
Die nutzungsberechtigte Stelle und der Freistaat Bayern haften jeweils unbeschränkt für vorsätzlich oder fahrlässig verursachte Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit durch sie selbst, ihre gesetzlichen Vertreter oder Erfüllungsgehilfen.

16.Ansprüche Dritter

16.1
1Macht ein Dritter zu Recht geltend, durch die Nutzung des Organisationskontos in seinen Schutzrechten verletzt zu sein, hat die nutzungsberechtigte Stelle dies dem Freistaat Bayern, vertreten durch das Bayerischen Staatsministeriums für Digitales, unverzüglich mitzuteilen. 2Der Freistaat Bayern wird die nutzungsberechtigte Stelle von Ansprüchen des Dritten freistellen und das Organisationskonto so ändern oder ersetzen, dass das Schutzrecht nicht weiter verletzt wird.
16.2
1Gelingt dem Freistaat Bayern ein Ändern oder Ersetzen zu angemessenen Bedingungen nicht, kann der Freistaat Bayern die betroffene nutzungsberechtigte Stelle von der Nutzung des Organisationskontos ganz oder teilweise ausschließen oder den Dienst ganz oder teilweise einstellen mit Wirkung für alle nutzungsberechtigten Stellen. 2Die betroffenen nutzungsberechtigten Stellen sind möglichst mit einer angemessenen Frist vorab zu informieren.
16.3
1Soweit die nutzungsberechtigte Stelle die Schutzrechtsverletzung selbst zu vertreten hat, sind Ansprüche gegen den Freistaat Bayern ausgeschlossen. 2Im Fall eines beiderseitigen Vertretenmüssens werden die nutzungsberechtigte Stelle und der Freistaat Bayern eine angemessene Aufteilung der entstandenen Nachteile vornehmen.

17.Ausschluss von nutzungsberechtigten Stellen

Der Freistaat Bayern kann die nutzungsberechtigte Stelle von der Nutzung des Organisationskontos ganz oder teilweise ausschließen, falls die nutzungsberechtigte Stelle gegen Nutzungsbestimmungen – trotz vorhergehenden Hinweises auf die Verletzung – verstößt.

18.Einstellung des Betriebs der Bausteine 1 bis 4 des einheitlichen Organisationskontos

1Das Betreiberland Freistaat Bayern kann den Betrieb der Bausteine 1 bis 4 aus wichtigem Grund unter Einhaltung einer Frist von sechs Monaten zum Jahresende einstellen. 2Ein wichtiger Grund liegt insbesondere vor, wenn

a)
für die in dieser Verwaltungsvorschrift festgelegten Leistungen keine vollumfängliche und zentrale Finanzierung durch den IT-Planungsrat oder den Bund erfolgt oder
b)
auf Grund eines Beschlusses der Steuerungsgruppe IT des Vorhabens KONSENS die NEZO-Schnittstelle vom Bayerischen Landesamt für Steuern nicht mehr oder nur noch mit erheblichem Aufwand bereitgestellt werden kann

und in der Folge eine Bereitstellung der Bausteine 1 bis 4 des Organisationskontos so nicht mehr möglich ist.

19.Bisherige Einzelvereinbarungen

Soweit eine nutzungsberechtigte Stelle bereits eine Einzelvereinbarung mit dem Freistaat Bayern über die Anbindung des Organisationskontos abgeschlossen hat, gelten weiterhin die Bestimmungen dieser Einzelvereinbarung.

20.Inkrafttreten

Diese Bekanntmachung tritt mit Wirkung vom 1. März 2022 in Kraft.

Bayerisches Staatsministerium
für Digitales

Bayerisches Staatsministerium
der Finanzen und für Heimat

Dr. Hans Michael Strepp

Ministerialdirektor

Harald Hübner

Ministerialdirektor