Gesetz über die elektronische Verwaltung in Bayern
Landesrechtliche Regelung
Adressat: Das BayEGovG ist im Gegensatz zum EGovG Landesrecht und gilt somit für alle staatlichen Behörden auf Landesebene. Insbesondere werden vom BayEGovG auch Gemeinde und sonstige der Aufsicht des Freistaates Bayerns unterstehende juristische Personen des öffentlichen Rechts (Art. 1 Abs. 1 BayEGovG) umfasst.
Relevante Normen: Art. 7; Art. 8; Art. 10; Art. 12; Art. 13
Regelungsgehalt
Art. 7:
Art. 7 BayEGovG ist im Großen und Ganzen vom Regelungsgehalt deckungsgleich mit Art. 7 EGovG. Insbesondere sind die verfolgten Schutzziele (Integrität, Authentizität, Vertraulichkeit etc.) dieselben und es wird auf eine einheitliche und effiziente elektronische Aktenführung hingearbeitet (weiterführend siehe EGovG). Ein einziger Unterschied zu Art. 7 EGovG besteht wohl darin, dass die Landratsämter elektronische Akten nicht führen sollen, sondern führen können. Ihnen ist also eine eigene Entscheidung überlassen, ob sie elektronische Akten führen wollen.
Art. 8:
Art. 8 Abs. 4 ist eine Verordnungsermächtigung für den Freistaat Bayern. Sie ermächtigt die Landesregierung dazu, Einzelheiten zu der technischen Verwaltungsinfrastruktur (im Sinne des Abs. 1) und den dazugehörigen Aufgaben und datenschutzrechtlichen Befugnissen der Behörden festzulegen, soweit es um die Aspekte Planung, Nutzung, Sicherheit und technische Standards geht. Auf Grund der bayerischen Verfassung (genauer Art. 55 Nr. 2 S. 3 BV) kann die Landesregierung solche Verordnungen nämlich nur treffen, soweit ein Gesetz sie explizit dazu ermächtigt. Kommunen allerdings sind in ihrer Autonomie durch das Grundgesetz (Art. 28 GG) besonders geschützt, weshalb Art. 8 Abs. 4 S. 2 für Kommunen explizit eine Beschränkung auf die behördliche Zusammenarbeit bei der Entwicklung, Errichtung und dem Betrieb von technischen Verwaltungsinfrastrukturen vorsieht.
Art. 10:
Auf staatlicher Ebene statuiert das BayEGovG durch Art. 9 ein Landesamt für Sicherheit in der Informationstechnik (LSI), welches dem Staatsministerium der Finanzen und für Heimat unmittelbar nachgeordnet ist. In Art. 10 werden die Aufgaben des LSI beschrieben. Das LSI muss gewährleisten, dass Gefahren für die Sicherheit der Informationstechnik an den Schnittstellen zwischen Behördennetz und anderen Netzen abgewehrt werden (Art. 10 Abs. 1 Nr. 1). Besondere Bedeutung kommt hier der Überwachung des zentralen Internetzugangs der Behörde zu. Art. 10 Abs. 1 Nr. 2 beinhaltet eine Aufgabe zur Amtshilfe, was die Unterstützung anderer Behörden bei besagter Gefahrenabwehr angeht. Gemäß Nr. 3 muss das LSI ein für die staatliche informationstechnische Verwaltungsinfrastruktur angemessenes Sicherheitsniveau durchsetzen können. Vornehmlich bedient sich das LSI dabei IT-Sicherheitsrichtlinien zur Festlegung gewisser Mindeststandards. Die Kontrolle der Einhaltung dieser Mindeststandards obliegt auch dem LSI (Nr. 4). Gemäß Nr. 5 sammelt das LSI zentral Informationen über Sicherheitsrisiken und Sicherheitsvorkehrungen. Dabei ist nicht nur das Sammeln aktueller Ereignisse erfasst, sondern auch Informationen über Zukunftstechnologien und Erkenntnisse des LSI. Insbesondere muss bei Angriffen von Schadsoftware schnell reagiert und über die betroffene Stelle unterrichtet werden, um rechtzeitige Gefahrenabwehr zu gewährleisten. Schlussendlich regelt Nr. 6, dass das LSI alle vom BSI vermittelte Informationen von Betreibern kritischer Infrastruktur (Verkehr, Gesundheit, Telekommunikation etc.), wozu das BSI gemäß § 8b Abs. 2 Nr. 4 lit. c BSIG) verpflichtet ist, an die zuständigen Aufsichtsbehörden weiterzuleiten hat. Das LSI dient hier der effizienten Kanalisierung von allen relevanten Meldungen.
Art. 12:
In Art. 12 Abs. 1 BayEGovG ist die zentrale Befugnis des LSI geregelt um die eben genannten Aufgaben durchzusetzen. Es kann die nötigen Maßnahmen oder Anordnungen treffen, um ein einheitliches hohes Schutzniveau der IT-Sicherheit zu gewährleisten. Dabei wird auch die nötige (!) Verarbeitung von personenbezogenen Daten erfasst, wenn eine Einwilligung des Betroffenen nicht mehr rechtzeitig vor Gefahrenabwehr eingeholt werden kann. Grundsätzlich beurteilt sich die Rechtmäßigkeit einer Maßnahme nach Art. 12 Abs. 1 BayEGovG nach dem Grundsatz der Verhältnismäßigkeit. Das heißt der Eingriff in Rechte anderer durch die Maßnahme darf nicht mit dem angestrebten konkreten Schutzzweck grob außer Verhältnis stehen.
Art. 13:
Eine weitere wichtige Befugnis des LSI ist die Auditierung der gesamten IT-Infrastruktur nach Art. 13 BayEGovG. Das heißt das LSI darf die Sicherheit der Informationstechnik von behördlichen Netzen (Abs. 1) und auf dem Markt bereitgestellte und dafür auch vorgesehene Produkte (Abs. 2) daraufhin untersuchen, ob davon Gefahren für die IT-Sicherheit ausgehen oder sie gefährdet ist. Dies ist aber nur zur Erfüllung der beiden Aufgaben aus Art. 10 Abs. 1 Nr. 1 und Nr. 4 zulässig. In den Fällen des Abs. 2 muss das LSI besonders auf schutzwürdige Interessen des betroffenen Marktteilnehmers achten. Dabei darf das LSI auch zur Verschwiegenheit verpflichtete Dritte beauftragen und auch Produkte prüfen die noch nicht auf dem Markt sind, aber bereits angekündigt worden sind.