Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Allgemeines

Der Landtag des Freistaates Bayern hat das folgende Gesetz beschlossen, das hiermit bekannt gemacht wird:

Teil 1
Allgemeiner Teil

Kapitel 1
Allgemeines, Digitalstandort, Digitale Technologien

Art. 1 Anwendungsbereich

(1) Dieses Gesetz gilt für den Freistaat Bayern, die Gemeindeverbände und Gemeinden und die sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts. Für die staatlichen Landratsämter, die Verwaltungsgemeinschaften und Zweckverbände gelten die Rechtsvorschriften für Gemeindeverbände und Gemeinden entsprechend.

(2) Soweit nichts anderes bestimmt ist, gelten Teil 2 und 3 dieses Gesetzes für die öffentlich-rechtliche Verwaltungstätigkeit der Behörden der in Abs. 1 genannten juristischen Personen. Teil 2 und 4 dieses Gesetzes gelten nicht für

1. die Tätigkeiten der Schulen, Krankenhäuser, des Landesamtes für Verfassungsschutz und Beliehener,
2. die Tätigkeit der Finanzbehörden nach der Abgabenordnung (AO),
3. die in Art. 2 Abs. 1, 2 Nr. 2, 3, 5 und 6 des Bayerischen Verwaltungsverfahrensgesetzes (BayVwVfG) genannten Bereiche,
4. die Tätigkeit der Behörden im Rahmen des Prüfungsverfahrens und
5. die Tätigkeit der Gerichtsverwaltungen und der Behörden der Justizverwaltung, soweit sie nicht der Nachprüfung durch die Gerichte der Verwaltungsgerichtsbarkeit oder durch die in verwaltungsrechtlichen Anwalts- und Notarsachen zuständigen Gerichte unterliegt oder soweit Teil 2 Kapitel 3 die Einbeziehung von Justizleistungen nicht ausdrücklich regelt.

(3) Dieses Gesetz gilt nicht für die Verwaltungstätigkeit nach dem Zweiten Buch Sozialgesetzbuch (SGB II), soweit sie von gemeinsamen Einrichtungen nach § 44b SGB II vollzogen wird.

(4) Das E-Government-Gesetz findet nur beim Vollzug von Bundesrecht im Auftrag des Bundes Anwendung.

Art. 2 Förderung der Digitalisierung

Der Freistaat Bayern gestaltet und fördert die Digitalisierung im Interesse von Bürgern, Gesellschaft und Wirtschaft. Die Maßnahmen des Freistaates Bayern zielen insbesondere auf

1. die Förderung digitaler Technologien am Digitalstandort Bayern,
2. den Ausbau digitaler Bildungsangebote, insbesondere an Schulen und Hochschulen, sowie allgemeiner digitaler Weiterbildungs- und Informationsangebote,
3. die Förderung der digitalen Daseinsvorsorge, insbesondere leistungsfähiger digitaler Infrastrukturen sowie digitaler Inklusion und Teilhabe,
4. eine stärkere Nutzung der Möglichkeiten der Digitalisierung im Mobilitätsbereich,
5. die Digitalisierung in Gesundheit und Pflege,
6. die Stärkung der Digitalisierung in der Wissenschaft,
7. die Stärkung digitaler Grundkompetenzen in Gesellschaft, Wirtschaft und Verwaltung,
8. den digitalen Verbraucherschutz und die Stärkung digitaler Kompetenzen der Verbraucher,
9. die Förderung digitaler Geschäftsmodelle,
10. die Förderung des gleichberechtigten Zugangs zu Digitalberufen,
11. die Stärkung der IT-Sicherheit in Staat, Verwaltung und Wirtschaft,
12. die Digitalisierung der Verwaltung und den Ausbau digitaler Verwaltungsangebote,
13. die Vereinfachung und nutzerfreundliche Gestaltung von Verwaltungsleistungen,
14. die Bereitstellung offener Daten der Verwaltung und
15. die digitale Barrierefreiheit öffentlicher Dienste.

Art. 3 Digitale Entscheidungsfähigkeit des Freistaates Bayern

(1) Die eigenständige digitale Entscheidungs- und Handlungsfähigkeit des Freistaates Bayern ist durch geeignete Maßnahmen zu sichern. Der Freistaat Bayern unterhält hierfür staatliche Rechenzentren und staatlich verfügbare Netze, geeignete Cloud-Dienste und weitere geeignete Technologien und Anwendungen. Der Freistaat Bayern wirkt mit dem Bund und anderen Ländern im Bereich der Digitalisierung in geeigneter Weise zusammen.

(2) Der Freistaat Bayern schützt die Funktionsfähigkeit und den Zugang zu kritischen staatlichen Infrastrukturen und Netzen.

(3) Der Freistaat Bayern, die Gemeindeverbände und Gemeinden treffen nach Maßgabe dieses Gesetzes angemessene Maßnahmen zur Abwehr von Gefahren für die Sicherheit ihrer informationstechnischen Systeme.

(4) Die Behörden des Freistaates Bayern sollen bei Neuanschaffungen offene Software verwenden und offene Austauschstandards nutzen, soweit dies wirtschaftlich und zweckmäßig ist. Den Gemeindeverbänden und Gemeinden sowie den sonstigen Körperschaften des öffentlichen Rechts wird die Verwendung offener Software im Sinne des Satzes 1 empfohlen.

(5) Die Behörden des Freistaates Bayern sollen bei Neuanschaffungen von Software die Gebrauchstauglichkeit, das Benutzererlebnis und die Benutzerfreundlichkeit berücksichtigen sowie Nutzersicht und Wirtschaftlichkeit gleichrangig behandeln.

Art. 4 Digitale Daseinsvorsorge

(1) Der Freistaat Bayern, die Gemeindeverbände und Gemeinden und sonstige unter der Aufsicht des Freistaates Bayern stehende juristische Personen des öffentlichen Rechts stellen ihre hierfür geeigneten Verwaltungsleistungen und sonstigen öffentlichen Dienste im Rahmen ihrer Zuständigkeiten nach Maßgabe dieses Gesetzes auch digital über öffentlich zugängliche Netze bereit.

(2) Der Freistaat Bayern, die Gemeindeverbände und Gemeinden stellen zur inhaltlichen Vermittlung und zur Förderung der Akzeptanz ihrer digitalen Angebote qualifizierte Ansprechpartner bereit.

(3) Der Freistaat Bayern unterstützt die Gemeindeverbände und Gemeinden beim Angebot digitaler öffentlicher Dienste im Sinne der Abs. 1 und 2. Der Freistaat Bayern stellt hierzu insbesondere Basisdienste und zentrale Dienste bereit und fördert die Qualifizierung von digitalen Ansprechpartnern. Die Aufgaben, Zuständigkeiten und Verantwortlichkeiten der Gemeindeverbände und Gemeinden bleiben unberührt.

(4) Die Landratsämter als Aufsichtsbehörden sollen die Gemeinden und Verwaltungsgemeinschaften bei der Erfüllung ihrer Aufgaben im Bereich der digitalen Verwaltung beraten, fördern und schützen sowie die Selbstverantwortung der handelnden Organe stärken.

Art. 5 Digitalisierung von Staat und Verwaltung

(1) Geeignete staatliche Prozesse der Verwaltung des Freistaates Bayern sollen vollständig digitalisiert und bereits digitalisierte Prozesse in einem Verbesserungsprozess fortentwickelt werden.

(2) Bei Verwaltungsverfahren, die vollständig durch automatische Einrichtungen durchgeführt werden, sind die eingesetzten Einrichtungen regelmäßig auf ihre Zweckmäßigkeit, Objektivität und Wirtschaftlichkeit hin zu überprüfen. Der Einsatz von Künstlicher Intelligenz in der Verwaltung ist durch geeignete Kontroll- und Rechtsschutzmaßnahmen abzusichern.

(3) Die Digitalisierung der Verwaltung zur Umsetzung des Onlinezugangsgesetzes (OZG) wird im Freistaat Bayern vom Staatsministerium für Digitales gesteuert. Die Zuständigkeiten der Staatsministerien sowie die Themenfeldverantwortung und Themenfeldbetreuung nach dem Onlinezugangsgesetz bleiben unberührt.

Art. 6 Nachhaltigkeit

Im Rahmen der Wirtschaftlichkeit und Zweckmäßigkeit sind staatliche Behörden verpflichtet, bei ihrer digitalen Aufgabenerfüllung Aspekte der Ökologie und der Nachhaltigkeit zu berücksichtigen, insbesondere

1. bei der Beschaffung der IT-Infrastruktur auf eine Wiederverwertbarkeit der Rohstoffe, auf hohe Energieeffizienz sowie auf umweltgerechtes Verpackungsmaterial zu achten,
2. bei der Server-Betreuung und beim Server-Betrieb auf Energieeffizienz und -sparsamkeit zu achten,
3. für eine umweltgerechte Entsorgung der IT-Infrastruktur Sorge zu tragen,
4. bei Beschaffung, Entwicklung und Einsatz von Software und mobilen Applikationen auf Energieeffizienz hinzuwirken,
5. nach Möglichkeit auf Dienstreisen zu verzichten und sie durch digitale Formen der Zusammenarbeit zu ersetzen.

Den Gemeinden und Gemeindeverbänden und den sonstigen unter der Aufsicht des Freistaates Bayern stehenden juristischen Personen des öffentlichen Rechts wird die Berücksichtigung von Nachhaltigkeitsaspekten gemäß Satz 1 empfohlen.

Art. 7 Personal und Qualifizierung

(1) Der Freistaat Bayern fördert die digitale Qualifizierung der Beschäftigten der öffentlichen Verwaltung. Der Freistaat Bayern trifft geeignete Maßnahmen zur Gewinnung, Bindung und Entwicklung von IT-Fachkräften in der bayerischen Staatsverwaltung.

(2) Der Einsatz nutzerfreundlicher digitaler Verfahren und Anwendungen in den Behörden sowie die Einrichtung von Telearbeitsplätzen werden gefördert. Dies umfasst auch die digitale Barrierefreiheit.

(3) Bei der Einführung neuer digitaler Verfahren sowie bei wesentlichen Erweiterungen oder sonstigen Änderungen bestehender Verfahren sind die hiervon betroffenen staatlichen Bediensteten angemessen fort- und weiterzubilden.

(4) Den Gemeinden und Gemeindeverbänden und den sonstigen unter der Aufsicht des Freistaates Bayern stehenden juristischen Personen des öffentlichen Rechts wird die Förderung der Telearbeit gemäß Abs. 2 und das Angebot von Fort- und Weiterbildungsangeboten gemäß Abs. 3 empfohlen.

Kapitel 2
Digitale Rechte und Gewährleistungen

Art. 8 Freier Zugang zum Internet

Jeder hat das Recht auf freien Zugang zum Internet über allgemein zugängliche Netze. Der Zugang zum Internet kann nur durch Gesetz oder aufgrund eines Gesetzes beschränkt werden. Allgemeine staatliche Internetzugangsblockaden sind unzulässig.

Art. 9 Digitale Handlungsfähigkeit

Der Freistaat Bayern stellt digitale Dienste bereit, die insbesondere die Möglichkeiten zur digitalen Ausübung der Rechts- und Geschäftsfähigkeit, der Beteiligten- und Handlungsfähigkeit im Verwaltungsverfahren, der elterlichen Sorge, der Vormundschaft, der Betreuung, der Bevollmächtigung, der Pflegschaft und der Rechtsnachfolge im Erbfall im Rahmen der Kommunikation mit den Behörden verbessern.

Art. 10 Digitale Selbstbestimmung

(1) Der Freistaat Bayern fördert die digitale Selbstbestimmung und stellt hierzu nutzerfreundliche und barrierefreie digitale Dienste bereit. Die Nutzer sollen in die Entwicklung neuer digitaler Angebote des Freistaates Bayern einbezogen werden.

(2) Der Freistaat Bayern fördert geeignete Maßnahmen zur Stärkung der digitalen Grundkompetenzen von natürlichen und juristischen Personen. Der Freistaat Bayern fördert geeignete Qualifizierungsmaßnahmen zur digitalen Barrierefreiheit.

Art. 11 Digitale Identität

(1) Jede natürliche Person hat nach Maßgabe dieses Artikels das Recht auf eine eigene digitale Identität. Dies umfasst die Bereitstellung digitaler Identitätsdienste zur sicheren Abwicklung digitaler Kontakte mit den Behörden, zur Inanspruchnahme digitaler öffentlicher Dienste, zur Durchführung von Verwaltungsverfahren und zum Empfang, zur Vorlage und Archivierung von Belegen und Nachweisen.

(2) Hierzu stellt der Freistaat Bayern den Berechtigten unentgeltlich Nutzerkonten und weitere erforderliche digitale Dienste nach Maßgabe der Art. 29 bis 31 zur Verfügung. Die digitalen Identitätsdienste werden über einen sicheren Identitätsnachweis im Sinne von Art. 31 Abs. 2 beantragt.

(3) Die Einrichtung und Nutzung der digitalen Identität ist freiwillig. Ihr Inhaber hat das jederzeitige Zugriffs- und Löschungsrecht für die digitale Identität als solche und all ihrer Inhalte. Die datenschutzrechtliche Aufsicht über die bereitstellende Stelle erfolgt durch den Landesbeauftragten für den Datenschutz.

(4) Die in der digitalen Identität gespeicherten amtlichen Dokumente sind der Sphäre des Inhabers zuzurechnen, dauerhaft zu sichern und gegen den unbefugten Zugriff Dritter zu schützen. Ein Zugriff auf die im Rahmen der digitalen Identität gespeicherten digitalen Dokumente ist ohne Einwilligung des Inhabers nur unter den Voraussetzungen der §§ 94, 95, 97 und 98 der Strafprozeßordnung (StPO) zulässig. Besondere gesetzliche Befugnisse bleiben unberührt.

Art. 12 Rechte in der digitalen Verwaltung

(1) Jeder hat das Recht nach Maßgabe der Art. 16 bis 18 digital über das Internet mit den Behörden zu kommunizieren und ihre Dienste in Anspruch zu nehmen. Er kann verlangen, dass Verwaltungsverfahren nach Maßgabe des Art. 19 ihm gegenüber digital durchgeführt werden. Die Möglichkeit, Verwaltungsverfahren auch nichtdigital zu erledigen, bleibt unberührt.

(2) Die zuständigen Behörden haben den Beteiligten in digitalen Verfahren eine nichtdigitale Beratung, Auskunft und Anhörung anzubieten. Die Kontaktdaten für die persönliche Beratung, Auskunft und Anhörung sollen für die Beteiligten leicht erkennbar, erreichbar und ständig verfügbar sein.

(3) Der sofortige Vollzug vollständig automatisiert erlassener Verwaltungsakte ist nur aufgrund gesetzlicher Ermächtigung zulässig.

Art. 13 Mobile Dienste

(1) Jeder hat nach Maßgabe dieses Artikels das Recht auf mobile Bereitstellung öffentlicher digitaler Dienste.

(2) Der Freistaat Bayern stellt geeignete öffentliche digitale Dienste auch mobil über allgemein zugängliche Netze bereit. Der Freistaat Bayern unterstützt die Gemeindeverbände und Gemeinden bei der mobilen Bereitstellung digitaler öffentlicher Dienste durch geeignete Basisdienste oder zentrale Dienste.

Art. 14 Offene Daten

(1) Die Nutzbarkeit offener Datenbestände der öffentlichen Verwaltung wird gewährleistet. Die staatlichen Behörden sind zur zielgruppenorientierten und nutzerfreundlichen Aufbereitung öffentlich zugänglicher Daten verpflichtet.

(2) Die Behörden können für ein datenbasiertes Verwalten vorhandene Daten so kombinieren, dass neue, zukunftsorientierte Leistungen für Bürger und Unternehmen entstehen. Die Regelungen zum Schutz personenbezogener Daten bleiben unberührt.

(3) Das Nähere wird durch Gesetz oder aufgrund eines Gesetzes bestimmt.

Art. 15 Digitalplan, Digitalbericht

(1) Zur Umsetzung der Ziele dieses Gesetzes beschließt die Staatsregierung auf Vorschlag des Staatsministeriums für Digitales im Einvernehmen mit den Ressorts einen Digitalplan und schreibt diesen regelmäßig fort.

(2) Die Staatsregierung berichtet auf Basis des Digitalplans dem Landtag regelmäßig, spätestens drei Jahre nach Inkrafttreten dieses Gesetzes, über den Stand der Digitalisierung in Bayern und die Umsetzung der nach diesem Gesetz vorgesehenen Maßnahmen.

Teil 2
Digitale Verwaltung

Kapitel 1
Digitale Kommunikation und Dienste

Art. 16 Digitale Kommunikation

Jede Behörde ist verpflichtet, einen Zugang für die Übermittlung digitaler sowie im Sinne des Art. 3a Abs. 2 BayVwVfG schriftformersetzender Dokumente zu eröffnen. Die Übermittlung digitaler Dokumente durch Behörden ist zulässig, soweit und solange der Empfänger hierfür einen Zugang eröffnet. Die Behörden stellen geeignete sichere Verfahren für die Kommunikation mit dem Nutzer bereit. Soweit nichts anderes bestimmt ist, entscheidet die Behörde über die Art und Weise der Übermittlungsmöglichkeit.

Art. 17 Digitale Dienste

(1) Die Behörden sollen geeignete Dienste auch digital über allgemein zugängliche Netze anbieten. Die Behörden sollen dabei zugleich die Informationen bereitstellen, die ihre sachgerechte und nutzerfreundliche digitale Inanspruchnahme ermöglichen.

(2) Für die Nutzung des digitalen Weges werden vorbehaltlich anderer Rechtsvorschriften keine zusätzlichen Kosten erhoben.

(3) Veröffentlichungspflichtige Mitteilungen und amtliche Verkündungsblätter sollen auch digital bekannt gemacht werden. Vorbehaltlich entgegenstehender rechtlicher Vorgaben kann die Bekanntmachung ausschließlich digital erfolgen, wenn eine Veränderung der veröffentlichten Inhalte ausgeschlossen ist und die Einsichtnahme auch unmittelbar bei der die Veröffentlichung veranlassenden Stelle auf Dauer gewährleistet wird. Das Nähere regelt die Staatsregierung für ihren Bereich durch Bekanntmachung.

Art. 18 Zahlungsabwicklung und Rechnungen

(1) Geldansprüche öffentlicher Kassen können unbar beglichen werden, solange kein sofortiges anderes Vollstreckungsinteresse besteht. Die Behörden bieten hierfür integrierte digitale Zahlungsmöglichkeiten an, soweit dies wirtschaftlich und zweckmäßig ist.

(2) Alle Auftraggeber im Sinne von § 98 des Gesetzes gegen Wettbewerbsbeschränkungen stellen den Empfang und die Verarbeitung digitaler Rechnungen sicher, soweit

1. für sie eine Vergabekammer des Freistaates Bayern zuständig ist,
2. sie im Rahmen der Organleihe für den Bund tätig werden oder
3. dies durch Rechtsverordnung der Staatsregierung vorgesehen ist.

Eine Rechnung ist digital, wenn sie in einem strukturierten digitalen Format ausgestellt, übermittelt und empfangen werden kann, das ihre automatische und digitale Verarbeitung ermöglicht.

Kapitel 2
Digitales Verwaltungsverfahren

Art. 19 Digitale Verfahren

(1) Die Behörden bieten geeignete Verwaltungsleistungen auch digital an. Die Gemeindeverbände und die Gemeinden sollen in Angelegenheiten des eigenen Wirkungskreises geeignete Verwaltungsleistungen auch digital anbieten.
(2) Behördliche Formulare, die zur Verwendung durch Beteiligte dienen, sind in digital ausfüllbarer Form zum Abruf und zur sicheren Datenübermittlung an die Behörden bereitzustellen. Dies gilt nicht, soweit Verwaltungsleistungen gemäß Abs. 1 vollständig digital angeboten werden. Ist aufgrund einer Rechtsvorschrift ein bestimmtes Formular zwingend zu verwenden, das ein Unterschriftsfeld vorsieht, wird allein dadurch nicht die Anordnung der Schriftform bewirkt.

(3) Die Behörden sind verpflichtet, in digitalen Verwaltungsverfahren, in denen sie die Identität einer Person aufgrund einer Rechtsvorschrift festzustellen haben oder aus anderen Gründen eine Identifizierung für notwendig

1. nach § 18 des Personalausweisgesetzes (PAuswG),
2. nach § 78 Abs. 5 des Aufenthaltsgesetzes (AufenthG),
3. nach § 12 des eID-Karte-Gesetzes (eIDKG) oder
4. durch ein anderes sicheres Verfahren, das gesetzlich oder durch Rechtsverordnung der Staatsregierung als allgemeines Identifizierungs- oder Authentifizierungsmittel oder zum Ersatz der Schriftform zugelassen ist.

Art. 20 Digitale Verfahren als Regelfall

(1) Staatliche Behörden sollen geeignete Verwaltungsverfahren oder abtrennbare Teile davon in der Regel digital durchführen. Digital durchgeführte Verfahren sind von den staatlichen Behörden nutzerfreundlich im Sinne des Art. 10 zu gestalten. Art. 12 bleibt unberührt.

(2) Verwaltungsleistungen, die über ein Organisationskonto im Sinne des Art. 29 Abs. 2 Satz 2 abgewickelt werden, können auch ausschließlich digital angeboten werden. Zur Vermeidung unbilliger Härten ist auf eine digitale Abwicklung auf Antrag des Beteiligten zu verzichten, wenn diese persönlich oder wirtschaftlich unzumutbar ist.

(3) Der Freistaat Bayern, die Gemeindeverbände und die Gemeinden sowie die sonstigen der Aufsicht des Freistaates Bayern unterstehenden juristischen Personen des öffentlichen Rechts können Verwaltungsdienstleistungen im Bereich der Personalverwaltung und Personalwirtschaft gegenüber ihren Beschäftigten ausschließlich digital anbieten und erbringen.

Art. 21 Assistenzdienste, Datenübermittlung durch Dritte

(1) Die Staatsministerien können beim Angebot digitaler Verwaltungsleistungen den Einsatz nicht amtlicher digitaler Assistenzdienste gewerblicher Anbieter durch Bekanntmachung zulassen. In der Bekanntmachung sind für die jeweilige Verwaltungsleistung die amtlichen Datensätze und amtlichen Schnittstellen zu bezeichnen.

(2) Bei der digitalen Übermittlung von amtlich vorgeschriebenen Datensätzen an die zuständigen Behörden hat der Anbieter gewerblicher Assistenzdienste die hierfür amtlich bestimmten Schnittstellen ordnungsgemäß zu bedienen. Die amtlich bestimmten Schnittstellen werden über das Internet zur Verfügung gestellt.

Art. 22 Einwilligung im digitalen Verfahren

(1) Die Durchführung digitaler Verwaltungsverfahren erfolgt mit Einwilligung des oder der Beteiligten, soweit gesetzlich nichts anderes bestimmt ist. Die Einwilligung kann für einzelne Verfahren, für bestimmte Gruppen von Behördenkontakten oder generell erteilt werden. Sie kann die Weitergabe personenbezogener Daten an andere digitale Anwendungen und Verfahren umfassen.

(2) Die generelle Einwilligung im digitalen Verwaltungsverfahren soll digital über das Nutzerkonto gemäß Art. 29 erteilt werden. Die Einwilligung ist im Nutzerkonto zu dokumentieren und kann mit Wirkung für die Zukunft widerrufen werden. Der Widerruf in einem laufenden Verwaltungsverfahren ist gegenüber der für die Durchführung des Verwaltungsverfahrens zuständigen Behörde zu erklären.

Art. 23 Nachweise, Direktabruf von Informationen

(1) Die Beteiligten können benötigte Nachweise und Unterlagen digital einreichen, soweit durch Rechtsvorschrift nichts anderes bestimmt ist. Die Behörde kann für bestimmte Verfahren oder im Einzelfall die Vorlage eines Originals oder amtlich beglaubigter Kopien verlangen.

(2) Von einer zuständigen inländischen Behörde zur Vorlage verlangte Informationen sollen mit Einwilligung der betroffenen Person von der Behörde selbst eingeholt werden, wenn die Informationen von der Behörde in digitaler Form abgerufen werden können. Für den Abruf nach Satz 1 werden Kosten nach Maßgabe des Kostengesetzes erhoben. Die betroffene Person ist über die Kosten des Abrufs vorab zu informieren. Sonstige gesetzliche Regelungen bleiben unberührt.

(3) Im Fall des Abs. 2 darf die datenabrufende Stelle die Nachweise der betroffenen Person bei der datenübermittelnden Stelle abrufen, soweit dies zur Erfüllung ihrer Aufgabe erforderlich ist und der Nachweis aufgrund anderer Rechtsvorschrift bei der betroffenen Person erhoben werden dürfte. Liegen die Voraussetzungen nach Satz 1 vor, darf die datenübermittelnde Stelle die Nachweise der betroffenen Person an die datenabrufende Stelle übermitteln. Datenabrufende Stelle kann die für die Entscheidung über den Antrag zuständige Behörde oder auch eine andere öffentliche Stelle sein, die dafür zuständig ist, Antragsdaten und Nachweise einzuholen und an die für die Entscheidung über den Antrag zuständige Behörde weiterzuleiten. Datenübermittelnde Stelle ist eine Stelle, die über den Nachweis verfügt.

(4) Die zuständige Behörde darf bei einer Behörde eines anderen Mitgliedstaats der Europäischen Union einen Nachweis abrufen, soweit dies zur Erfüllung ihrer Aufgaben für eines der Verfahren nach Art. 14 Abs. 1 der Verordnung (EU) 2018/1724 erforderlich ist.

(5) Die Übermittlung von Nachweisen an Behörden anderer Mitgliedstaaten der Europäischen Union ist nach Maßgabe von Art. 14 der Verordnung (EU) 2018/1724 sowie einem dazu ergangenen Durchführungsrechtsakt zulässig.

Art. 24 Bekanntgabe über Portale

(1) Mit Einwilligung des Beteiligten können Verwaltungsakte bekannt gegeben werden, indem sie dem Beteiligten oder einem von ihm benannten Dritten zum Datenabruf durch Datenfernübertragung bereitgestellt werden. Für den Abruf hat sich die abrufberechtigte Person zu authentifizieren. Im Falle des Art. 20 Abs. 3 ist eine Einwilligung des Beteiligten nicht erforderlich.

(2) Der Verwaltungsakt gilt am dritten Tag, nachdem die digitale Benachrichtigung über die Bereitstellung des Verwaltungsakts zum Abruf an die abrufberechtigte Person abgesendet wurde, als bekannt gegeben. Dies gilt nicht, wenn die digitale Benachrichtigung nicht oder zu einem späteren Zeitpunkt zugegangen ist. Im Zweifel hat die Behörde den Zugang der digitalen Benachrichtigung nachzuweisen. Gelingt ihr der Nachweis nicht, gilt der Verwaltungsakt in dem Zeitpunkt als bekannt gegeben, in dem die abrufberechtigte Person den Datenabruf durchgeführt hat.

(3) Die Übermittlung der Benachrichtigung, der Tag der Bereitstellung zum Abruf und des Versands der Benachrichtigung sowie der Abruf durch die abrufberechtigte Person sind zu protokollieren.

(4) Die Abs. 1 bis 3 gelten auch abweichend von § 9 Abs. 1 OZG.

Art. 25 Zustellung über Portale

Ein elektronisches Dokument kann, unbeschadet des Art. 5 Abs. 4 bis 6 des Bayerischen Verwaltungszustellungs- und Vollstreckungsgesetzes (VwZVG), auch durch Bereitstellung zum Datenabruf gemäß Art. 24 zugestellt werden. Die Zustellung setzt voraus, dass der Beteiligte ausdrücklich in die Zustellung durch Bereitstellung zum Datenabruf einwilligt. Der Beteiligte ist vor der Einwilligung unter ausdrücklichem Hinweis auf diese Rechtsvorschrift über die Rechtsfolgen der Zustellung zu informieren. Im Falle des Art. 20 Abs. 3 ist eine Einwilligung des Beteiligten nicht erforderlich.

Kapitel 3
Portalverbund Bayern

Art. 26 Portalverbund Bayern

(1) Der Freistaat Bayern errichtet und betreibt den Portalverbund Bayern. Der Portalverbund Bayern umfasst das Bayernportal und das Organisationsportal Bayern. Der Portalverbund Bayern stellt sicher, dass die Nutzer einen barriere- und medienbruchfreien Zugang zu den digitalen Verwaltungs- und Justizleistungen der Behörden, Gerichte und Staatsanwaltschaften erhalten. Der Portalverbund Bayern ist auch das Verwaltungsportal des Freistaates Bayern im Sinne des § 1 Abs. 2 OZG.

(2) Über den Portalverbund Bayern werden von den Behörden, Gerichten und Staatsanwaltschaften

1. die Verwaltungs- und Justizleistungen im Sinne des Abs. 1 sowie aktuelle Informationen über Verwaltungsleistungen, Anschrift, Geschäftszeiten sowie postalische, telefonische und digitale Erreichbarkeiten zur Verfügung gestellt,
2. die Rechte aus den Art. 11 bis 13 gewährleistet,
3. der digitale Zugang zur Verwaltung nach Art. 16 eröffnet,
4. digitale Behördendienste nach Art. 17 bereitgestellt,
5. der digitale Zahlungsverkehr nach Art. 18 ermöglicht,
6. Verwaltungsverfahren nach Maßgabe der Art. 19 bis 25 abgewickelt,
7. Verwaltungsverfahren bereitgestellt, die über den Einheitlichen Ansprechpartner oder über die einheitliche Stelle abgewickelt werden können,
8. die Identifizierung mit einem digitalen Identitätsnachweis nach Art. 19 Abs. 3 ermöglicht,
9. Nutzerkonten nach den Art. 29 bis 32 bereitgestellt und
10. die Pflichten der Behörden aus dem Onlinezugangsgesetz und aus der Verordnung (EU) 2018/1724 erfüllt.

Die erforderlichen technischen Standards werden durch das Staatsministerium für Digitales im Einvernehmen mit dem Staatsministerium der Finanzen und für Heimat festgelegt, wobei für Portale der mittelbaren Staatsverwaltung auch eine Anbindung durch eine Verlinkung zugelassen werden kann.

Art. 27 Bayernportal

Das Bayernportal ist das allgemeine Verwaltungsportal des Freistaates Bayern. Über das Bayernportal stellt der Freistaat Bayern Funktionen bereit, um insbesondere

1. eine digitale Suche nach Verwaltungsleistungen der Behörden des Freistaates Bayern und der Gemeindeverbände und Gemeinden anzubieten,
2. die Identifizierung und Authentifizierung über das Bürgerkonto gemäß Art. 29 Abs. 2 Satz 1 anzubieten,
3. Online-Antragsformulare für die digitale Beantragung von Verwaltungs- und Justizleistungen der Behörden des Freistaates Bayern und der Gemeindeverbände und Gemeinden bereitzustellen und
4. einen sicheren digitalen Übermittlungsweg für die Behörden zu eröffnen, der es ihnen ermöglicht Bescheide und sonstige Dokumente digital an das Postfach im Bürgerkonto des Antragstellers zu übermitteln, soweit der Antragsteller diesen Kommunikationskanal gewählt hat.

Art. 28 Organisationsportal Bayern

(1) Der Freistaat Bayern errichtet und betreibt ein elektronisches, über allgemein zugängliche Netze aufrufbares Verwaltungsportal, das die landesweite elektronische Abwicklung aller Verwaltungsleistungen und sonstigen Verwaltungsverfahren ermöglicht, die über das Organisationskonto im Sinne von Art. 29 Abs. 2 Satz 2 abgewickelt werden können (Organisationsportal).

(2) Über das Organisationsportal werden alle Verwaltungsverfahren bereitgestellt, die über das "einheitliche digitale Zugangstor" im Sinne der Verordnung (EU) 2018/1724 abgewickelt werden.

(3) Die Behörden sind zur digitalen Abwicklung der im Organisationsportal bereitgestellten Verwaltungsleistungen verpflichtet, die der Nutzer über das Portal einleitet oder anfordert. Gleiches gilt für sonstige Verwaltungsverfahren, die nach Abs. 1 über das Organisationskonto abgewickelt werden können.

(4) Die Behörden müssen die für die Abwicklung erforderlichen technischen und organisatorischen Voraussetzungen schaffen. Sie sollen der effizienten Verfahrensgestaltung dienende technische Einrichtungen, technische Kommunikationsstandards und Möglichkeiten zur medienbruchfreien Datenübermittlung nutzen.

Art. 29 Nutzerkonto, Postfach

(1) Der Freistaat Bayern stellt im Portalverbund Bayern Nutzerkonten bereit, über die sich Nutzer für die im Portalverbund angebotenen Verwaltungs- und Justizleistungen einheitlich identifizieren und authentisieren können. Nutzerkonten im Sinne des Satzes 1 können vom Freistaat Bayern auch gemeinsam mit dem Bund und anderen Ländern bereitgestellt werden. Das Nutzerkonto umfasst auch eine Kommunikationsfunktion mit den Behörden sowie ein Postfach, das die Bekanntgabe und Zustellung von Verwaltungsakten und die Übermittlung sonstiger elektronischer Dokumente und Informationen von den Behörden, Gerichten oder Staatsanwaltschaften ermöglicht. Nutzerkonten werden als jeweils eigenständige Bürger- und Organisationskonten angeboten.

(2) Das bayerische Bürgerkonto ist das Nutzerkonto des Freistaates Bayern, das natürlichen Personen für ihre privaten, nicht wirtschaftlichen Verwaltungskontakte zur Verfügung steht. Das Organisationskonto ist ein einheitliches Nutzerkonto von Bund und Ländern, das juristischen Personen, Vereinigungen, denen ein Recht zustehen kann, natürlichen Personen, die beruflich oder wirtschaftlich tätig sind oder wirtschaftliche Fördermaßnahmen in Anspruch nehmen, Land- und Forstwirten sowie Behörden zur Inanspruchnahme der Verwaltungs- und Justizleistungen im Sinne von Art. 26 Abs. 1 zur Verfügung steht.

(3) Über das Organisationskonto können sich Nutzer für die im Organisationsportal des Freistaates Bayern verfügbaren digitalen Verwaltungsleistungen einheitlich über ein nach § 87a Abs. 6 Satz 1 AO in der Steuerverwaltung eingesetztes sicheres Verfahren identifizieren und authentifizieren. Das schließt den Einsatz von Identifizierungsmitteln für natürliche Personen als Vertreter von Organisationen nicht aus.

(4) Die Behörden haben die Nutzerkonten im Rahmen ihrer Verwaltungsleistungen anzubinden. Dies gilt nicht für Verwaltungsleistungen, die über rein verwaltungsinterne Portale angeboten werden. Die Anbindung von Bürgerkonten des Bundes oder anderer Länder an Verwaltungsleistungen der Behörden erfolgt über das bayerische Bürgerkonto. Eine abweichende Form der Anbindung ist nur mit Zustimmung des Staatsministeriums für Digitales im Einvernehmen mit dem Staatsministerium der Finanzen und für Heimat und dem Staatsministerium des Innern, für Sport und Integration zulässig. Die technischen Anforderungen an die Funktionen des Nutzerkontos werden durch Bekanntmachung des Staatsministeriums für Digitales im Einvernehmen mit dem Staatsministerium der Finanzen und für Heimat festgelegt.

Art. 30 Funktionsumfang des Nutzerkontos, Datenschutz

(1) Im Nutzerkonto werden die zur Identifizierung des Nutzers gespeicherten Daten und die in das Postfach übermittelten elektronischen Dokumente so aufgeführt, dass sie für ihn nach vorheriger Authentifizierung jederzeit einsehbar sind. Der Nutzer hat die Möglichkeit, über ihn im Nutzerkonto gespeicherte Daten, im Postfach gespeicherte Dokumente oder auch das gesamte Nutzerkonto zu löschen. Die Sicherheit des Nutzerkontos wird nach dem Stand der Technik gewährleistet.

(2) Das Nutzerkonto ist mit einer Funktion zu verknüpfen, die es dem Nutzer ermöglicht, sich über aktive Zustimmungen und die auf dieser Grundlage derzeit übermittelten Daten zu informieren, Zustimmungen zu erteilen sowie jederzeit zu widerrufen. Daten aus dem Nutzerkonto können mit Zustimmung des Nutzers automatisiert in die zur Antragstellung bereitgestellten Formulare übernommen werden.

(3) Das Nutzerkonto umfasst eine sichere Archivierungsfunktion für digitale amtliche Dokumente des Nutzers. Die im Nutzerkonto gespeicherten Dokumente sind vor unberechtigten Zugriffen und Veränderungen zu schützen. Sie sind zum Datenabruf durch den Nutzer auch zur mobilen Vorlage bereitzustellen. Von den zuständigen Behörden in das Postfach übermittelte digitale Dokumente können zur Erfüllung von Nachweispflichten auch digital als Nachweis vorgelegt werden.

(4) Die Datenverarbeitungsvorgänge, die im Zusammenhang mit der Antragstellung über das Nutzerkonto stehen, sind in digital abrufbarer Form im Nutzerkonto zu speichern.

Art. 31 Identifizierung am Nutzerkonto, Schriftformersatz

(1) Der Nachweis der Identität eines Nutzers kann durch unterschiedliche Identifizierungsmittel erfolgen. Vor jeder Verwendung muss der Nutzer die Zustimmung zur Verarbeitung seiner Identitätsdaten für die konkrete digitale Verwaltungs- und Justizleistung erteilen. Der Nutzer kann die Zustimmung zur Verarbeitung seiner Identitätsdaten auch generell für alle Verwaltungs- und Justizleistungen erteilen. In den Fällen des Satzes 3 ist der Nutzer bei der Zustimmung über deren rechtliche Folgen zu informieren. Die Zustimmung ist zu protokollieren und kann jederzeit widerrufen werden.

(2) In Verwaltungsverfahren und der sonstigen digitalen Kommunikation über den Portalverbund kann sich jeder Nutzer unter Inanspruchnahme des Nutzerkontos identifizieren

1. durch einen Identitätsnachweis nach § 18 PAuswG, nach § 78 Abs. 5 AufenthG oder nach § 12 eIDKG,
2. durch ein sicheres Verfahren nach § 87a Abs. 6 Satz 1 AO,
3. durch Dienste anderer Mitgliedstaaten, die nach Maßgabe der Verordnung (EU) 910/2014 auf dem Vertrauensniveau
   1. "substanziell" oder
   2. "hoch"

      notifiziert worden sind oder

4. durch ein anderes sicheres Verfahren, das gesetzlich oder durch Rechtsverordnung der Staatsregierung als Identifizierungs- oder Authentifizierungsmittel oder zum Ersatz der Schriftform zugelassen ist.

Die zuständige Behörde kann von einer Identifizierung durch ein Verfahren im Sinne des Satzes 1 für einzelne Verwaltungsverfahren absehen, soweit Sicherheitsbedenken nicht entgegenstehen. Satz 1 Nr. 2, 3 Buchst. a und Nr. 4 sowie Satz 2 gelten nicht, soweit durch gesetzliche Vorschrift ein Identitätsnachweis nach § 18 PAuswG, nach § 78 Abs. 5 AufenthG oder nach § 12 eIDKG genutzt wird. In begründeten Ausnahmefällen kann die Behörde ein Verfahren im Sinne des Satzes 3 auch für weitere Verwaltungsverfahren vorsehen.

(3) Das nach § 87a Abs. 6 Satz 1 AO eingesetzte sichere Verfahren ersetzt im Falle der Identifizierung und Authentifizierung am Nutzerkonto auch eine durch Rechtsvorschrift angeordnete Schriftform. Gleiches gilt für Dienste anderer Mitgliedstaaten, die nach Maßgabe der Verordnung (EU) 910/2014 auf dem Vertrauensniveau "substanziell" oder "hoch" notifiziert worden sind.

(4) Abs. 3 gilt auch abweichend von § 8 Abs. 6 Satz 2 OZG.

(5) Eine durch Rechtsvorschrift angeordnete Schriftform wird auch ersetzt

1. bei Übermittlung eines elektronischen Dokuments
   1. aus einem Postfach einer Behörde oder einer juristischen Person des öffentlichen Rechts im Sinne von § 130a Abs. 4 Satz 1 Nr. 3 der Zivilprozessordnung (ZPO) - besonderes elektronisches Behördenpostfach - oder aus einem elektronischen Gerichts- und Verwaltungspostfach eines Gerichts oder einer Staatsanwaltschaft (elektronische Poststelle eines Gerichts oder einer Staatsanwaltschaft) oder
   2. an ein besonderes elektronisches Behördenpostfach oder eine elektronische Poststelle eines Gerichts oder einer Staatsanwaltschaft, wenn das elektronische Dokument versandt wurde,
      aa) aus einem besonderen elektronischen Anwaltspostfach nach § 31a der Bundesrechtsanwaltsordnung oder einem entsprechenden, auf gesetzlicher Grundlage errichteten elektronischen Postfach im Sinne von § 130aAbs. 4 Satz 1 Nr. 2 ZPO,
      bb) aus einem besonderen elektronischen Behördenpostfach oder von einer elektronischen Poststelle eines Gerichts oder einer Staatsanwaltschaft oder
      cc) aus einem Postfach einer natürlichen oder juristischen Person oder einer sonstigen Vereinigung im Sinne von § 130a Abs. 4 Satz 1 Nr. 4 ZPO (besonderes elektronisches Bürger- und Organisationenpostfach)

   oder

2. durch die Verwendung von elektronischen Siegeln im Sinne des Abschnitts 5 der Verordnung (EU) Nr. 910/2014.

Art. 32 Rechtsgrundlage der Datenverarbeitung

(1) Zur Feststellung der Identität des Nutzers dürfen bei Registrierung und Nutzung eines Nutzerkontos die zur Identitätsfeststellung erforderlichen Daten natürlicher und juristischer Personen verarbeitet werden. Gleiches gilt für Daten, die zum bestimmungsgemäßen Betrieb des Nutzerkontos und zur Abwicklung von Verwaltungsverfahren über das Nutzerkonto erforderlich sind. Bei Einsatz des Nutzerkontos dürfen die zur Durchführung des Verwaltungsverfahrens oder zur Inanspruchnahme sonstiger Leistungen der öffentlichen Verwaltung erforderlichen Daten verarbeitet werden.

(2) Daten im Sinne des Abs. 1 dürfen auch zwischen den Nutzerkonten von Bund und Ländern ausgetauscht und an weitere öffentliche Stellen weitergegeben werden, soweit dies zur Durchführung eines Verwaltungsverfahrens oder zur Inanspruchnahme eines Dienstes erforderlich ist.

(3) Daten im Sinne des Abs. 1 sind im Nutzerkonto zu speichern und können automatisiert aktualisiert werden, soweit die Daten für den Betrieb des Nutzerkontos oder die Abwicklung von Verwaltungsverfahren über das Nutzerkonto erforderlich sind. Sie können zur Abwicklung von Verwaltungsverfahren genutzt und in die hierfür bereitgestellten Verfahren und Formulare automatisiert übertragen werden. Der Nutzer ist über Aktualisierungen der Daten im Sinne des Satzes 1 zu informieren.

Kapitel 4
Digitale Akten und Register

Art. 33 Digitale Akten

(1) Die staatlichen Behörden sollen, Landratsämter und sonstige Behörden können, ihre Akten digital führen. Die Grundsätze ordnungsgemäßer Aktenführung sind zu wahren. Die verarbeiteten Daten sind vor Informationsverlust sowie unberechtigten Zugriffen und Veränderungen zu schützen.

(2) Nutzt eine Behörde die digitale Aktenführung, soll sie Akten, Vorgänge und Dokumente gegenüber anderen Behörden unter Einhaltung der datenschutzrechtlichen Bestimmungen digital übermitteln.

(3) Papierdokumente sollen in ein digitales Format übertragen und gespeichert werden. Sie können anschließend vernichtet werden, soweit keine entgegenstehenden Pflichten zur Rückgabe oder Aufbewahrung bestehen. Bei der Übertragung ist nach dem Stand der Technik sicherzustellen, dass die digitale Fassung mit dem Papierdokument übereinstimmt.

(4) Die Verfahren zur digitalen Vorgangsbearbeitung und Aktenführung sind schrittweise technisch so zu gestalten, dass sie auch von Menschen mit Behinderung grundsätzlich uneingeschränkt genutzt werden können.

Art. 34 Einsicht in die digitale Akte

Die Einsicht in digital geführte Akten ist in nutzerfreundlicher Form sicherzustellen. Soweit ein Recht auf Akteneinsicht besteht, können die Behörden, die Akten digital führen, Akteneinsicht insbesondere dadurch gewähren, dass sie

1. einen Aktenausdruck zur Verfügung stellen,
2. die digitalen Dokumente auf einem Bildschirm wiedergeben,
3. digitale Dokumente übermitteln oder
4. den digitalen Zugriff auf den Inhalt der Akten gestatten.

Art. 35 Digitale Register

Die staatlichen Behörden sollen ihre Register digital führen. Landratsämter und sonstige Behörden können ihre Register digital führen.

Kapitel 5
Behördenzusammenarbeit, Rechenzentren

Art. 36 Behördliche Zusammenarbeit

Die Behörden unterhalten die zur Erfüllung ihrer Aufgaben erforderlichen digitalen Verwaltungsinfrastrukturen. Sie gewährleisten deren Sicherheit und fördern deren gegenseitige technische Abstimmung und Barrierefreiheit. Die Behörden können bei Entwicklung, Einrichtung und Betrieb von digitalen Verwaltungsinfrastrukturen zusammenwirken und sich diese wechselseitig zur öffentlichen Aufgabenerfüllung überlassen.

Art. 37 Basisdienste und zentrale Dienste

(1) Der Freistaat Bayern soll digitale Verwaltungsinfrastrukturen zur behördenübergreifenden Nutzung bereitstellen (Basisdienste). Die datenschutzrechtliche Verantwortung für die Nutzung liegt bei der nutzenden Stelle. Die Möglichkeit einer gemeinsamen Verantwortung gemäß Art. 26 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung - DSGVO) bleibt hiervon unberührt.

(2) Der Freistaat Bayern kann den Behörden digitale Verwaltungsinfrastrukturen des Staatsministeriums für Digitales oder des Staatsministeriums der Finanzen und für Heimat bereitstellen (zentrale Dienste). Die datenschutzrechtliche Verantwortung liegt in diesem Fall beim bereitstellenden Staatsministerium. Personenbezogene Daten können mit Zustimmung des Nutzers an angeschlossene Behörden übermittelt werden. Diese personenbezogenen Daten dürfen ausschließlich für die Zwecke der zentralen Dienste und der mit diesen in Anspruch genommenen Verwaltungsleistungen verarbeitet werden.

(3) Behördenübergreifende Dienste werden in der Regel als Basisdienste angeboten. Soll ein zentraler Dienst bereitgestellt werden, ist dies ausdrücklich festzulegen. Die Nutzung von Basisdiensten und zentralen Diensten kann den Behörden vom Staatsministerium für Digitales im Einvernehmen mit dem Staatsministerium der Finanzen und für Heimat verbindlich vorgegeben werden.

(4) Der Freistaat Bayern stellt den Behörden Dienste im Sinne der Abs. 1 und 2 zur Aufgabenerfüllung zur Verfügung, soweit dies wirtschaftlich und zweckmäßig ist. Die Behörden können ihre Verpflichtungen gemäß den Art. 16 bis 25 auch durch den Anschluss an Dienste im Sinne der Abs. 1 und 2 erfüllen.

(5) Die Bereitstellung von Diensten aus anderen Ländern zur Nachnutzung im Rahmen der Umsetzung des Onlinezugangsgesetzes erfolgt für die Behörden, Gerichte und Staatsanwaltschaften über das Staatsministerium für Digitales in Zusammenarbeit mit den fachlich zuständigen Ressorts. Die Bereitstellung von Diensten im Sinne des Satzes 1 an die Behörden erfolgt nach Freigabe durch das fachlich zuständige Ressort. Das Staatsministerium für Digitales kann sich zur Erfüllung der Aufgabe im Sinne des Satzes 1 auf der Grundlage eines öffentlich-rechtlichen Vertrags der in Art. 52 Abs. 1 genannten Anstalt des öffentlichen Rechts bedienen.

Art. 38 Auftragsverarbeitung durch staatliche Stellen

(1) Unabhängig vom Anwendungsbereich dieses Gesetzes erfolgt die datenschutzrechtliche Auftragsverarbeitung durch staatliche Stellen für öffentliche Stellen auf Grundlage eines Vertrages im Sinne des Art. 28 Abs. 3 Satz 1 Alternative 1 DSGVO oder § 62 Abs. 5 Satz 1 Alternative 1 des Bundesdatenschutzgesetzes und mit dem Vertragsinhalt, wie er nach Maßgabe dieses Artikels bestimmt wird, wenn und soweit die Auftragsverarbeitung nicht anderweitig gesetzlich geregelt ist. Zur Begründung eines Auftragsverarbeitungsverhältnisses durch Vertrag teilt der Verantwortliche dem Auftragsverarbeiter in Textform mit:

1. Gegenstand und Dauer der Verarbeitung,
2. Art und Zweck der Verarbeitung,
3. die Art der personenbezogenen Daten und
4. die Kategorien betroffener Personen.

(2) Bereits bestehende Auftragsverarbeitungsverhältnisse im Sinne des Abs. 1 Satz 1 werden zum Ablauf des dritten auf das Inkrafttreten des Gesetzes folgenden Kalenderjahres ungültig, soweit nicht rechtzeitig vor diesem Zeitpunkt der Verantwortliche oder der Auftragsverarbeiter ein bestehendes Auftragsverarbeitungsverhältnis in Textform bestätigt und der jeweils andere Vertragspartner zustimmt. Die allgemeinen Nutzungsbedingungen zur datenschutzrechtlichen Auftragsverarbeitung werden in der jeweils geltenden Fassung, die durch Bekanntmachung der Staatsregierung im Bayerischen Ministerialblatt festgelegt werden, Bestandteil des Vertrages im Sinne des Abs. 1 Satz 1, soweit Verantwortlicher und Auftragsverarbeiter nicht eine abweichende individualvertragliche Vereinbarung treffen. Die allgemeinen Nutzungsbedingungen zur datenschutzrechtlichen Auftragsverarbeitung können auch Regelungen zur Begründung von weiteren Auftragsverarbeitungsverhältnissen enthalten.

Art. 39 Bayernserver

(1) Die für die Digitalisierung der staatlichen öffentlichen Verwaltung erforderlichen Infrastrukturen, insbesondere Leitungen, Server und Programme, sind nach Stand der Technik und der angemessenen Verfügbarkeit einzurichten und vorzuhalten.

(2) Die staatliche öffentliche Verwaltung betreibt im Geschäftsbereich des Staatsministeriums der Finanzen und für Heimat sowohl ein zentrales Rechenzentrum als Dienstleister für den IT-Betrieb der Staatsverwaltung und der Fachgerichte als auch ein spezialisiertes Rechenzentrum für den IT-Betrieb im Bereich der Steuerverwaltung und für die Gerichte und Staatsanwaltschaften (Bayernserver). Den Rechenzentren obliegt auch der Betrieb von bestimmten Diensten und Anwendungen im Sinne der Art. 26 bis 29 und von bestimmten Basisdiensten und zentralen Diensten im Sinne des Art. 37. Das Staatsministerium der Finanzen und für Heimat steuert die beiden vorgenannten staatlichen Rechenzentren. Die Befugnisse der Gerichtsbarkeiten bleiben hiervon unberührt. Polizeiliche Fachanwendungen werden in einem spezialisierten Rechenzentrum im Geschäftsbereich des Staatsministeriums des Innern, für Sport und Integration betrieben. Es stimmt sich hinsichtlich Aufbau und Betrieb der Rechenzentrumsflächen mit dem Staatsministerium der Finanzen und für Heimat ab.

(3) Der Bayernserver stellt im Benehmen mit der Staatskanzlei und den Staatsministerien staatliche Informationstechnik zur Verfügung. Die Aufgaben des zentralen Rechenzentrums umfassen insbesondere

1. die Beobachtung der Entwicklungen in der Informationstechnik,
2. das Bereitstellen und den Betrieb von IT-Infrastruktursystemen für die Informationstechnik der staatlichen öffentlichen Verwaltung,
3. die Entwicklung und den Betrieb ressortübergreifender digitaler Verwaltungsverfahren unter Berücksichtigung der Regelungen des Datenschutzes und der Datensicherheit,
4. den Auf- und Ausbau sowie die Förderung des Datenaustausches mit Dritten auf der Basis standardisierter Prozesse und Techniken,
5. die Beratung der staatlichen öffentlichen Verwaltung bei Planung, Entwicklung und Einsatz digitaler Verwaltungsverfahren und
6. die Übernahme von Entwicklungen und des Betriebs der von der Staatskanzlei oder einem Staatsministerium beauftragten digitalen Verwaltungsverfahren nach Maßgabe des Staatshaushaltes.

Die Rechenzentren im Sinne des Abs. 2 können im Einvernehmen mit den betroffenen obersten Dienstbehörden Dritte mit der Durchführung der ihnen obliegenden Aufgaben betrauen. Auf der Basis von Vereinbarungen oder öffentlich-rechtlichen Verträgen können auch der Landtag, Kommunen oder sonstige Personen des öffentlichen Rechts die Dienste der Rechenzentren im Sinne des Abs. 2 im Einvernehmen mit den betroffenen obersten Dienstbehörden in Anspruch nehmen. Im Rahmen der Umsetzung des Onlinezugangsgesetzes und von IT-Kooperationen ist auch eine Aufgabenübernahme für Behörden außerhalb Bayerns möglich.

Art. 40 Staatlich verfügbare Netze

(1) Der Freistaat Bayern unterhält staatlich verfügbare Netze für die behördeninterne Kommunikation.

(2) Zur Festigung seiner strategischen Autonomie kann der Freistaat Bayern seine Fertigungstiefe in Bezug auf die eigene Netzinfrastruktur erhöhen.

Teil 3
IT-Sicherheit

Kapitel 1
Allgemeine Vorschriften

Art. 41 Landesamt für Sicherheit in der Informationstechnik ^24a

Es besteht ein Landesamt für Sicherheit in der Informationstechnik (Landesamt). Es ist dem Staatsministerium der Finanzen und für Heimat unmittelbar nachgeordnet. Das Landesamt ist zuständige Behörde im Sinne des Art. 8 der Richtlinie (EU) 2022/2555.

Art. 42 Aufgaben ^24a

(1) Das Landesamt hat

1. Gefahren für die Sicherheit der Informationstechnik an den Schnittstellen zwischen Behördennetz und anderen Netzen abzuwehren,
2. die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen bei der Abwehr von Gefahren für die Sicherheit in der Informationstechnik zu unterstützen,
3. sicherheitstechnische Mindeststandards an die Informationstechnik für die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen zu entwickeln,
4. die Einhaltung der Mindeststandards nach Nr. 3 zu prüfen,
5. alle für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik, die Erkennung von Sicherheitsrisiken und die Bewertung von Sicherheitsvorkehrungen erforderlichen Informationen zu sammeln und auszuwerten sowie die staatlichen und sonstigen an das Behördennetz angeschlossenen Stellen unverzüglich über die sie betreffenden Informationen zu unterrichten,
6. die zuständigen Aufsichtsbehörden über Informationen, die es als Kontaktstelle im Rahmen des Verfahrens zu § 8b des BSI-Gesetzes erhalten hat, zu unterrichten,
7. als Computer-Notfallteam (CSIRT) im Sinne von Art. 10 der Richtlinie (EU) 2022/2555 die Aufgaben nach Art. 11 Abs. 3 der Richtlinie (EU) 2022/2555 wahrzunehmen,
8. an Peer Reviews nach Art. 19 der Richtlinie (EU) 2022/2555 mitzuwirken,
9. der Leitungsebene und den Beschäftigten von Behörden Schulungen im Bereich Cybersicherheit anzubieten und
10. Meldungen nach Art. 43 Abs. 3 Satz 3 und Art. 49b Abs. 5 sowie Informationen nach Art. 49a Abs. 3 an die nationale zentrale Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 zu übermitteln.

(2) Auf Ersuchen kann das Landesamt staatliche und kommunale Stellen, öffentliche Unternehmen, Betreiber kritischer Infrastrukturen und weitere Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen in Fragen der Sicherheit in der Informationstechnik unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen beraten und unterstützen.

(3) Auf Ersuchen kann das Landesamt die Polizei, die Strafverfolgungsbehörden und das Landesamt für Verfassungsschutz bei der Wahrnehmung ihrer gesetzlichen Aufgaben technisch unterstützen, insbesondere bei der Durchführung von technischen Untersuchungen oder der Datenverarbeitung.

(4) Für die Kommunikationstechnik des Landtags, der Gerichte, des Obersten Rechnungshofs und des Landesbeauftragten für den Datenschutz ist das Landesamt nur zuständig, soweit sie an das Behördennetz angeschlossen sind oder Dienste im Sinne des Art. 37 nutzen.

(5) Das Landesamt arbeitet mit dem Bundesamt für Sicherheit in der Informationstechnik, den für IT-Sicherheit in den Ländern und in den Mitgliedstaaten zuständigen Stellen, der Agentur der Europäischen Union für Cybersicherheit und den gemäß der Verordnung (EU) 2022/2554 und der Richtlinie (EU) 2022/2557 jeweils zuständigen Behörden zusammen.

Art. 43 Behördenübergreifende Pflichten ^24a

(1) Die Sicherheit der informationstechnischen Systeme der Behörden ist im Rahmen der Verhältnismäßigkeit sicherzustellen. Die Behörden treffen zu diesem Zweck angemessene technische, operative und organisatorische Maßnahmen und erstellen die hierzu erforderlichen Informationssicherheitskonzepte.

(2) Die obersten Dienstbehörden stellen in ihrem Geschäftsbereich sicher, dass die Leitungsebene staatlicher Behörden über ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie zu Risikomanagementpraktiken im Bereich Cybersicherheit verfügt.

(3) Werden staatlichen oder sonstigen an das Behördennetz angeschlossenen Stellen Informationen bekannt, die zur Abwehr von Gefahren für die Sicherheit in der Informationstechnik von Bedeutung sind, unterrichten diese das Landesamt und ihre jeweilige oberste Dienstbehörde unverzüglich hierüber, soweit andere Vorschriften oder Vereinbarungen mit Dritten nicht entgegenstehen. Andere Stellen können erhebliche Sicherheitsvorfälle im Sinne des Art. 49b Abs. 2 Satz 2, Cyberbedrohungen im Sinne des Art. 2 Nr. 8 der Verordnung (EU) 2019/881 und Beinahe-Vorfälle im Sinne des Art. 6 Nr. 5 der Richtlinie (EU) 2022/2555 an das Landesamt melden. Soweit erforderlich übermittelt das Landesamt der nationalen zentralen Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 die Informationen über die gemäß diesem Absatz eingegangenen Meldungen, wobei es die Vertraulichkeit und den angemessenen Schutz der von der meldenden Stelle übermittelten Informationen sicherstellt. Unbeschadet der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten dürfen Meldungen nach Satz 2 nicht dazu führen, dass der meldenden Stelle zusätzliche Verpflichtungen auferlegt werden, die nicht für sie gegolten hätten, wenn sie die Meldung nicht übermittelt hätte.

(4) Die staatlichen und die sonstigen an das Behördennetz angeschlossenen Stellen unterstützen das Landesamt bei Maßnahmen nach Art. 42 Abs. 1 Nr. 1, 2, 4 und 5, soweit keine Vorschriften entgegenstehen.

(5) Bei der Planung und Umsetzung von maßgeblichen neuen Digitalisierungsvorhaben des Landes ist das Landesamt zur Gewährleistung der Sicherheit in der Informationstechnik durch die jeweils zuständige Stelle frühzeitig zu beteiligen und es ist ihm die Gelegenheit zur Stellungnahme zu geben.

Kapitel 2
Befugnisse

Art. 44 Abwehr von Gefahren für die Informationstechnik

(1) Das Landesamt kann zur Erfüllung seiner Aufgaben gegenüber staatlichen und an das Behördennetz angeschlossenen Stellen die nötigen Anordnungen treffen oder Maßnahmen ergreifen, um Gefahren für die Informationstechnik etwa durch Schadprogramme, programmtechnische Sicherheitslücken oder unbefugte Datenverarbeitung zu erkennen und abzuwehren. Das umfasst insbesondere auch die dazu nötige Datenverarbeitung gemäß Abs. 2. Die Sätze 1 und 2 gelten nicht für die vom Behördennetz getrennte Informationstechnik des Landesamts für Verfassungsschutz.

(2) Das Landesamt kann hierzu, soweit dies zur Erfüllung seiner Aufgaben erforderlich ist,

1. Protokolldaten erheben und automatisiert auswerten, die beim Betrieb von Informationstechnik des Landes oder der an das Behördennetz angeschlossenen Stellen anfallen,
2. Daten erheben und automatisiert auswerten, die an den Schnittstellen zwischen dem Behördennetz und anderen Netzen und an vergleichbaren Schnittstellen innerhalb des Behördennetzes anfallen,
3. Daten aus öffentlich zugänglichen Quellen, die Informationen mit Auswirkungen auf die Sicherheit der Informationstechnik des Landes oder der an das Behördennetz angeschlossenen Stellen haben können, erheben und automatisiert auswerten und
4. bei der Untersuchung von Informationstechnik des Landes oder der an das Behördennetz angeschlossenen Stellen, soweit ein Angriff auf die Informationstechnik anzunehmen ist, zur Bearbeitung des Angriffs die dort gespeicherten Daten verarbeiten.

(3) Soweit das Landesamt zur Erfüllung seiner Aufgaben nach Art. 42 Abs. 2 gegenüber kommunalen Stellen, öffentlichen Unternehmen, Betreibern kritischer Infrastrukturen und weiteren Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen personenbezogene Daten verarbeitet, handelt das Landesamt als Auftragsverarbeiter der für die Daten verantwortlichen Stelle nach Art. 28 DSGVO.

Art. 45 Untersuchung der Sicherheit in der Informationstechnik

(1) Das Landesamt kann zur Erfüllung seiner Aufgaben nach Art. 42 Abs. 1 Nr. 1 und 4 die Sicherheit der Informationstechnik staatlicher und an das Behördennetz angeschlossener Stellen untersuchen und bewerten. Über das Ergebnis erstellt das Landesamt einen Bericht, der der untersuchten Stelle zur Verfügung gestellt wird.

(2) Das Landesamt kann auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme untersuchen und bewerten. Die Bewertung kann vom Landesamt an die an das Behördennetz angeschlossenen Stellen und im Einzelfall an die in Art. 42 Abs. 2 genannten öffentlichen Stellen weitergegeben werden.

Art. 46 Mindeststandards

Das Landesamt erarbeitet Mindeststandards für die Sicherheit der Informationstechnik. Das Staatsministerium der Finanzen und für Heimat kann im Einvernehmen mit den weiteren Staatsministerien und der Staatskanzlei diese Mindeststandards ganz oder teilweise als allgemeine Verwaltungsvorschriften erlassen. Für Landratsämter und die an das Behördennetz angeschlossenen nicht staatlichen Stellen gelten die Mindeststandards für die Teilnahme am Behördennetz.

Art. 47 Warnungen

(1) Das Landesamt kann Warnungen zu Gefahren für die Sicherheit in der Informationstechnik, insbesondere zu Sicherheitslücken, Schadprogrammen oder unbefugten Datenzugriffen aussprechen und Sicherheitsmaßnahmen empfehlen.

(2) Stellen sich die von der Behörde an die Öffentlichkeit gegebenen Informationen im Nachhinein als falsch oder die zugrunde liegenden Umstände als unrichtig wiedergegeben heraus, so ist dies unverzüglich öffentlich bekannt zu machen, sofern der betroffene Wirtschaftsbeteiligte dies beantragt oder dies zur Wahrung erheblicher Belange des Gemeinwohls erforderlich ist. Diese Bekanntmachung soll in derselben Weise erfolgen, in der die Information der Öffentlichkeit ergangen ist.

Kapitel 3
Datenschutz

Art. 48 Datenspeicherung und -auswertung ^24a

(1) Sofern nicht die nachfolgenden Absätze eine weitere Verarbeitung gestatten, muss eine automatisierte Auswertung der Daten durch das Landesamt unverzüglich erfolgen und müssen die Daten nach erfolgtem Abgleich sofort und spurlos gelöscht werden. Daten, die weder dem Fernmeldegeheimnis unterliegen noch Personenbezug aufweisen, sind von den Verarbeitungseinschränkungen dieser Vorschrift ausgenommen.

(2) Protokolldaten nach Art. 44 Abs. 2 Nr. 1 dürfen über den für die automatisierte Auswertung erforderlichen Zeitraum hinaus, längstens jedoch für 18 Monate, gespeichert werden, soweit tatsächliche Anhaltspunkte bestehen, dass die Daten erforderlich sein können

1. für den Fall der Bestätigung eines Verdachts nach Abs. 4 Satz 1 Nr. 2 zur Abwehr von Gefahren für die Informationstechnik oder
2. zur Verhütung, Unterbindung oder Verfolgung damit zusammenhängender Straftaten.

Die Daten sind im Gebiet der Europäischen Union zu speichern. Durch organisatorische und technische Maßnahmen nach dem Stand der Technik ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt. Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. Eine nicht automatisierte Auswertung oder eine personenbezogene Verarbeitung ist nur nach Maßgabe der nachfolgenden Absätze zulässig. Soweit hierzu die Wiederherstellung des Personenbezugs pseudonymisierter Daten erforderlich ist, muss diese durch die Behördenleitung angeordnet werden. Die Entscheidung ist zu dokumentieren.

(3) Für die Datenverarbeitung von Inhaltsdaten gilt Abs. 2 mit der Maßgabe, dass eine Speicherung für höchstens zwei Monate zulässig ist, die Speicherung und Auswertung von der Behördenleitung und einem weiteren Bediensteten des Landesamts mit der Befähigung zum Richteramt angeordnet sind und dies zum Schutz der technischen Systeme unerlässlich ist. Die Anordnung gilt längstens für zwei Monate; sie kann verlängert werden.

(4) Eine über die Abs. 2 und 3 hinausgehende Verarbeitung der Daten ist nur zulässig,

1. wenn bestimmte Tatsachen den Verdacht begründen, dass die Daten Gefahren für die Informationstechnik, etwa durch Schadprogramme, programmtechnische Sicherheitslücken oder unbefugte Datenverarbeitung, enthalten oder Hinweise auf solche Gefahren geben können und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu bestätigen oder zu widerlegen,
2. wenn sich der Verdacht nach Nr. 1 bestätigt und soweit dies zur Abwehr von Gefahren für die Informationstechnik erforderlich ist oder
3. wenn bei einer Verarbeitung der Daten ein nach Art. 49 Abs. 2 zu übermittelndes Datum festgestellt wird.

Werden Daten, welche die richterliche Unabhängigkeit berühren, nach diesem Absatz verarbeitet, ist dies der jeweils zuständigen obersten Dienstbehörde unverzüglich zu berichten. Berührt die Datenverarbeitung die Aufgabenwahrnehmung anderer unabhängiger Stellen oder ein Berufs- oder besonderes Amtsgeheimnis, ist die betroffene Stelle unverzüglich zu unterrichten. Die jeweiligen Stellen nach den Sätzen 2 und 3 können vom Landesamt Auskunft über die Verarbeitung von Daten nach diesem Absatz verlangen.

(5) Soweit möglich, ist bei der Datenverarbeitung technisch sicherzustellen, dass Daten, die den Kernbereich privater Lebensgestaltung betreffen, nicht erhoben werden. Werden Erkenntnisse aus dem Kernbereich privater Lebensgestaltung erlangt, dürfen diese nicht verwendet werden und sind unverzüglich zu löschen. Die Tatsache ihrer Erlangung und Löschung ist zu dokumentieren. Dies gilt auch in Zweifelsfällen.

Art. 49 Datenübermittlung

(1) Das Landesamt übermittelt Daten nach Art. 48 Abs. 2 bis 4 an die für den Betrieb der Informations- und Kommunikationstechnik verantwortlichen Stellen, wenn und soweit dies zur Abwehr oder Beseitigung von Gefahren für die Vertraulichkeit, Verfügbarkeit und Integrität der Daten in der Informations- und Kommunikationsinfrastruktur erforderlich ist.

(2) Das Landesamt soll Daten nach Art. 48 Abs. 2 bis 4 unverzüglich übermitteln

1. an die Polizei und sonstigen Sicherheitsbehörden zur Verhütung und Unterbindung von in Nr. 2 genannten Straftaten sowie zur Abwehr von Gefahren für Leib, Leben oder Freiheit einer Person; Art. 24 des Bayerischen Verfassungsschutzgesetzes bleibt unberührt; und
2. an die Strafverfolgungsbehörden zur Verfolgung einer Straftat,
   1. soweit die Tatsachen, aus denen sich eine Gefahr für die Informationstechnik oder der diesbezügliche Verdacht ergibt, den Verdacht einer Straftat begründen oder
   2. soweit bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder Teilnehmer eine Straftat von auch im Einzelfall erheblicher Bedeutung, insbesondere eine in § 100a Abs. 2 StPO bezeichnete Straftat begangen hat, in Fällen, in denen der Versuch strafbar ist, zu begehen versucht oder durch eine Straftat vorbereitet hat.

Näheres regeln Verwaltungsvorschriften, die das Staatsministerium der Finanzen und für Heimat im Einvernehmen mit dem Staatsministerium des Innern, für Sport und Integration und dem Staatsministerium der Justiz festlegt.

Kapitel 4 ^24a
Besondere Vorschriften für Einrichtungen mit Bedeutung für den Binnenmarkt

Art. 49a Einrichtung mit Bedeutung für den Binnenmarkt ^24a

(1) In Bezug auf Einrichtungen mit Bedeutung für den Binnenmarkt gelten ergänzend zu den Art. 41 bis 49 die Bestimmungen dieses Kapitels. Die Art. 41 bis 49 bleiben unberührt.

(2) Einrichtungen mit Bedeutung für den Binnenmarkt sind staatliche Behörden, die nach einer risikobasierten Bewertung Dienste erbringen, deren Störung erhebliche Auswirkungen auf kritische gesellschaftliche oder wirtschaftliche Tätigkeiten haben könnte. Satz 1 gilt nicht für den Landtag, den Landesbeauftragten für den Datenschutz, den Obersten Rechnungshof, die Justiz sowie Behörden, die ausschließlich in den Bereichen nationale Sicherheit, öffentliche Sicherheit, Verteidigung oder Strafverfolgung, einschließlich der Verhütung, Ermittlung, Aufdeckung und Verfolgung von Straftaten, tätig werden. Werden Behörden nur teilweise in den Bereichen des Satzes 2 tätig, finden die Vorschriften dieses Kapitels insoweit keine Anwendung.

(3) Das Landesamt ermittelt unter Einbindung der obersten Dienstbehörden erstmalig bis zum 17. April 2025 alle Einrichtungen mit Bedeutung für den Binnenmarkt. Dabei sind die in Art. 27 Abs. 2 der Richtlinie (EU) 2022/2555 genannten Informationen zu erfassen. Einrichtungen mit Bedeutung für den Binnenmarkt teilen Änderungen der erfassten Informationen unverzüglich dem Landesamt mit. Das Landesamt überprüft die erfassten Informationen regelmäßig, spätestens jedoch alle zwei Jahre. Die ermittelten Einrichtungen mit Bedeutung für den Binnenmarkt und die erfassten Informationen übermittelt das Landesamt der nationalen zentralen Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 erstmals zum 17. April 2025 und danach alle zwei Jahre, im Fall von Änderungen unverzüglich.

(4) Für Einrichtungen mit Bedeutung für den Binnenmarkt gelten als Mindestsicherheitsniveau die durch und aufgrund von Art. 21 der Richtlinie (EU) 2022/2555 festgelegten Standards. Art. 45 Abs. 1 findet in Bezug auf die Anforderungen nach Satz 1 entsprechend Anwendung.

(5) Die in diesem Kapitel festgelegten Verpflichtungen umfassen nicht die Bereitstellung von Informationen, deren Offenlegung wesentlichen Interessen im Bereich der nationalen Sicherheit, der öffentlichen Sicherheit oder der Verteidigung zuwiderlaufen würde.

Art. 49b Besonderes Meldeverfahren ^24a

(1) Einrichtungen mit Bedeutung für den Binnenmarkt übermitteln dem Landesamt über eine eingerichtete Meldemöglichkeit

1. unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung von einem erheblichen Sicherheitsvorfall, eine Frühwarnung, in der angegeben wird, ob der Verdacht besteht, dass der erhebliche Sicherheitsvorfall auf rechtswidrige oder böswillige Handlungen zurückzuführen ist oder grenzüberschreitende Auswirkungen haben könnte,
2. unverzüglich, spätestens innerhalb von 72 Stunden nach Kenntniserlangung des erheblichen Sicherheitsvorfalls, eine Meldung über den Sicherheitsvorfall, in der die in Nr. 1 genannten Informationen bestätigt oder aktualisiert werden und eine erste Bewertung des erheblichen Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen, sowie gegebenenfalls die Kompromittierungsindikatoren an - gegeben werden,
3. auf Ersuchen des Landesamtes einen Zwischenbericht über relevante Statusaktualisierungen und
4. spätestens einen Monat nach Übermittlung der Meldung des Sicherheitsvorfalls gemäß Nr. 2, vorbehaltlich des Abs. 3, einen Abschlussbericht, der Folgendes enthält:
   1. eine ausführliche Beschreibung des Sicherheitsvorfalls, einschließlich seines Schweregrads und seiner Auswirkungen,
   2. Angaben zur Art der Bedrohung sowie zur zugrunde liegenden Ursache, die wahrscheinlich den Sicherheitsvorfall ausgelöst hat,
   3. Angaben zu den getroffenen und laufenden Abhilfemaßnahmen und
   4. gegebenenfalls die grenzüberschreitenden Auswirkungen des Sicherheitsvorfalls.

(2) Ein Sicherheitsvorfall liegt vor, wenn ein Ereignis die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder die Dienste, die über informationstechnische Systeme, Komponenten oder Prozesse angeboten werden oder zugänglich sind, beeinträchtigt. Ein Sicherheitsvorfall gilt als erheblich, wenn dieser

1. schwerwiegende Betriebsstörungen der Dienste oder finanzielle Verluste für die betreffende Einrichtung verursacht hat oder verursachen kann,
2. andere natürliche oder juristische Personen durch erhebliche materielle oder immaterielle Schäden beeinträchtigt hat oder beeinträchtigen kann oder
3. in einem Durchführungsrechtsakt der Europäischen Kommission gemäß Art. 23 Abs. 11 Unterabs. 2 der Richtlinie (EU) 2022/2555 als erheblich bezeichnet ist.

(3) Dauert der Sicherheitsvorfall im Zeitpunkt des Abs. 1 Nr. 4 noch an, legt die betreffende Einrichtung statt eines Abschlussberichtes zu diesem Zeitpunkt einen Fortschrittsbericht und binnen eines Monats nach Abschluss der Bearbeitung des Sicherheitsvorfalls einen Abschlussbericht vor.

(4) Soweit die Europäische Kommission einen Durchführungsrechtsakt gemäß Art. 23 Abs. 11 Unterabs. 1 der Richtlinie (EU) 2022/2555 erlässt, in dem die Art der Angaben, das Format oder das Verfahren der Meldungen festgelegt ist, sind diese Vorgaben einzuhalten. Das Landesamt kann die Einzelheiten zur Ausgestaltung des Meldeverfahrens und zur Konkretisierung der Meldungsinhalte im Einvernehmen mit dem Staatsministerium der Finanzen und für Heimat festlegen, soweit dies Durchführungsrechtsakten der Europäischen Kommission nicht widerspricht.

(5) Das Landesamt unterrichtet die nationale zentrale Anlaufstelle im Sinne des Art. 8 Abs. 3 der Richtlinie (EU) 2022/2555 unverzüglich über eingegangene Meldungen nach diesem Artikel.

(6) Das Landesamt übermittelt der meldenden Einrichtung unverzüglich und nach Möglichkeit innerhalb von 24 Stunden nach Eingang der Frühwarnung eine Antwort, einschließlich einer ersten Rückmeldung zu dem erheblichen Sicherheitsvorfall und, auf Ersuchen der Einrichtung, Orientierungshilfen oder operative Beratung für die Durchführung möglicher Abhilfemaßnahmen. Das Landesamt leistet auf Ersuchen der meldenden Einrichtung zusätzliche technische Unterstützung. Wird bei dem erheblichen Sicherheitsvorfall ein krimineller Hintergrund vermutet, gibt das Landesamt ferner Orientierungshilfen für die Meldung des Sicherheitsvorfalls an die Strafverfolgungsbehörden. Das Landesamt bearbeitet auch sonstige Meldungen gemäß Art. 43 Abs. 3 Satz 2 nach dem in diesem Absatz vorgesehenen Verfahren und kann der meldenden Stelle auf Ersuchen entsprechende Unterstützung leisten.

(7) Einrichtungen mit Bedeutung für den Binnenmarkt können darüber hinaus auf freiwilliger Basis Sicherheitsvorfälle im Sinne des Abs. 2 Satz 1, Cyberbedrohungen im Sinne des Art. 2 Nr. 8 der Verordnung (EU) 2019/881 und Beinahe-Vorfälle im Sinne des Art. 6 Nr. 5 der Richtlinie (EU) 2022/2555 an das Landesamt melden. Abs. 6 Satz 4 und Art. 43 Abs. 3 Satz 3 und 4 gelten entsprechend.

Art. 49c Aufsicht und Durchsetzung ^24a

(1) Das Landesamt überwacht bei Einrichtungen mit Bedeutung für den Binnenmarkt die Einhaltung der Verpflichtungen nach Art. 43 Abs. 1, Art. 46, 49a Abs. 3 Satz 3, Abs. 4 und Art. 49b nach Maßgabe des Art. 33 der Richtlinie (EU) 2022/2555. 2Rechtfertigen Tatsachen die Annahme, dass eine Einrichtung mit Bedeutung für den Binnenmarkt einer Verpflichtung nach Satz 1 nicht nachkommt, so kann das Landesamt, soweit dies zur Erfüllung seiner Aufgabe nach Satz 1 erforderlich ist, im Einvernehmen mit der zuständigen obersten Dienstbehörde

1. bei der betreffenden Einrichtung Vor-Ort-Kontrollen, externe nachträgliche Aufsichtsmaßnahmen, gezielte Sicherheitsprüfungen oder Sicherheitsscans auf der Grundlage objektiver, nichtdiskriminierender, fairer und transparenter Risikobewertungskriterien, erforderlichenfalls auch in Zusammenarbeit mit der betreffenden Einrichtung, durchführen oder unabhängige Stellen mit der Durchführung einer gezielten Sicherheitsüberprüfung beauftragen,
2. von der betreffenden Einrichtung Informationen zur nachträglichen Bewertung der ergriffenen Risikomanagementmaßnahmen im Bereich der Cybersicherheit, einschließlich dokumentierter Cybersicherheitskonzepte, oder zur Einhaltung der Verpflichtungen nach Art. 49a Abs. 3 Satz 3 anfordern,
3. bei der betreffenden Einrichtung den Zugang zu Daten, Dokumenten oder sonstigen Informationen anfordern oder
4. von der betreffenden Einrichtung Nachweise für die Umsetzung der Cybersicherheitskonzepte anfordern.

Das Landesamt kann, soweit dies zur Behebung festgestellter Verstöße einer Einrichtung mit Bedeutung für den Binnenmarkt gegen Verpflichtungen nach Satz 1 erforderlich ist, im Einvernehmen mit der zuständigen obersten Dienstbehörde

1. die betreffende Einrichtung anweisen oder ihr gegenüber anordnen, die festgestellten Mängel oder Verstöße gegen die Verpflichtungen nach Satz 1 zu beheben,
2. die betreffende Einrichtung anweisen, das gegen die Verpflichtungen nach Satz 1 verstoßende Verhalten einzustellen und von Wiederholungen abzusehen,
3. die betreffende Einrichtung anweisen, entsprechend bestimmter Vorgaben und innerhalb einer bestimmten Frist die Erfüllung der Verpflichtungen nach Satz 1 sicherzustellen oder
4. die betreffende Einrichtung anweisen, die im Rahmen einer Sicherheitsprüfung formulierten Empfehlungen innerhalb einer angemessenen Frist umzusetzen.

Anweisungen nach Satz 3 sind zu begründen. Der anzuweisenden Einrichtung mit Bedeutung für den Binnenmarkt ist vorab mit angemessener Frist Gelegenheit zur Stellungnahme zu geben, es sei denn, dies würde die Wirksamkeit von sofortigen Maßnahmen zur Verhütung von Sicherheitsvorfällen oder zur Reaktion auf Sicherheitsvorfälle beeinträchtigen.

(2) Stellt das Landesamt fest, dass der Verstoß einer Einrichtung mit Bedeutung für den Binnenmarkt gegen Verpflichtungen aus Art. 43 Abs. 1, Art. 46, 49a Abs. 4 oder Art. 49b eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO zur Folge haben kann, die gemäß Art. 33 DSGVO zu melden ist, unterrichtet es im Einvernehmen mit der zuständigen obersten Dienstbehörde unverzüglich den Landesbeauftragten für den Datenschutz.

(3) Das Landesamt kann, soweit erforderlich, im Einvernehmen mit der zuständigen obersten Dienstbehörde die Öffentlichkeit oder von einem Sicherheitsvorfall betroffene Dritte über erhebliche Sicherheitsvorfälle bei Einrichtungen mit Bedeutung für den Binnenmarkt sowie mögliche Abwehr- oder Abhilfemaßnahmen informieren oder Einrichtungen mit Bedeutung für den Binnenmarkt anweisen, dies zu tun. Zudem kann es diese im Einvernehmen mit der zuständigen obersten Dienstbehörde anweisen, Informationen zu Verstößen gegen die Verpflichtungen nach Abs. 1 Satz 1 nach bestimmten Vorgaben öffentlich bekannt zu machen oder selbst Warnungen über Verstöße gegen diese Verpflichtungen durch Einrichtungen mit Bedeutung für den Binnenmarkt herausgeben, soweit dies erforderlich ist.

Teil 4
Organisation

Art. 50 Kommunaler Digitalpakt

(1) Der Kommunale Digitalpakt ist das gemeinsame Gremium für die verwaltungsträgerübergreifende Zusammenarbeit zwischen dem Freistaat Bayern und den Gemeindeverbänden und Gemeinden im Bereich der Digitalisierung.

(2) Dem Kommunalen Digitalpakt gehören als ständige Mitglieder an:

1. ein Vertreter des Staatsministeriums für Digitales, das den Vorsitz führt,
2. je ein Vertreter des Staatsministeriums der Finanzen und für Heimat, des Staatsministeriums des Innern, für Sport und Integration und des Staatsministeriums für Wirtschaft, Landesentwicklung und Energie und
3. je ein Vertreter der kommunalen Spitzenverbände.

Bei Bedarf kann der Kommunale Digitalpakt weitere Dritte als beratende Mitglieder hinzuziehen. Beratende Mitglieder sind nicht stimmberechtigt.

(3) Der Kommunale Digitalpakt ist über Beschlüsse des IT-Planungsrats, Maßnahmen zur Umsetzung des Onlinezugangsgesetzes und der Verordnung (EU) 2018/1724 sowie sonstige für die Gemeindeverbände und Gemeinden relevante Rechtssetzungsvorhaben, Planungen und Maßnahmen im Bereich der Digitalisierung zu informieren.

(4) Der Kommunale Digitalpakt kann einstimmig Empfehlungen aussprechen, insbesondere

1. zu den im IT-Planungsrat behandelten Themen und den Beschlussvorschlägen des IT-Planungsrats sowie zu relevanten Rechtsetzungsvorhaben, Planungen und Maßnahmen nach Maßgabe des Abs. 3,
2. zur Umsetzung von Standardisierungsbeschlüssen nach Art. 51, soweit sie für die Gemeindeverbände und Gemeinden relevant sind,
3. zur Weiterentwicklung der Digital-Strategie und zum Digitalplan des Freistaates Bayern,
4. zu den im Freistaat Bayern vom Land und von Gemeindeverbänden und Gemeinden gegenseitig überlassenen oder gemeinsam genutzten Verwaltungsinfrastrukturen,
5. zur Förderung des Angebots digitaler öffentlicher Dienste und von anforderungsgerechten Qualifizierungsmaßnahmen,
6. zum Anschluss der Landratsämter und Gemeinden an das sichere Behördennetz des Freistaates Bayern,
7. zu landesspezifischen IT-Interoperabilitäts- und IT-Sicherheitsstandards für die Ebenen übergreifende Kooperation der im Freistaat Bayern eingesetzten informationstechnischen Systeme und
8. zu digitalen Kommunikations- und Zahlungsverfahren.

(5) Das Staatsministerium für Digitales berichtet dem Landesbeauftragten für den Datenschutz regelmäßig über datenschutzrelevante Themen im Sinne des Abs. 1. Der Landesbeauftragte für den Datenschutz wird zu datenschutzrechtlich relevanten Empfehlungen des Kommunalen Digitalpakts angehört.

(6) Der Kommunale Digitalpakt wird durch eine Geschäftsstelle beim Staatsministerium für Digitales unterstützt. Der Kommunale Digitalpakt gibt sich eine Geschäftsordnung.

Art. 51 Standardisierungsbeschlüsse

(1) Das Staatsministerium für Digitales legt nach Anhörung des Kommunalen Digitalpakts im Einvernehmen mit dem Staatsministerium der Finanzen und für Heimat, im Einvernehmen mit den fachlich zuständigen Ressorts und unter Beachtung der sicherheitstechnischen Mindeststandards nach Art. 42 Abs. 1 Nr. 3 IT-Standards für die im Freistaat Bayern übergreifend eingesetzten informationstechnischen Systeme fest. Das Landesamt für Sicherheit in der Informationstechnik ist bei Sicherheitsfragen anzuhören.

(2) Vom IT-Planungsrat gemäß § 1 Abs. 1 Satz 1 Nr. 2 und § 2 des IT-Staatsvertrages beschlossene fachunabhängige und fachübergreifende IT-Interoperabilitäts- oder IT-Sicherheitsstandards gelten für die Behörden im Sinne des Art. 1 Abs. 2. Das Staatsministerium für Digitales kann nach Beteiligung des Kommunalen Digitalpakts und im Einvernehmen mit den fachlich zuständigen Staatsministerien Ausführungsbestimmungen erlassen.

Art. 52 Errichtung der BayKommun ²⁴

(1) Es besteht eine rechtsfähige Anstalt des öffentlichen Rechts mit der Bezeichnung "BayKommun".

(2) Gemeinsame Träger der BayKommun sind der Freistaat Bayern sowie die Gemeinden, Landkreise und Bezirke.

(3) Weitere Träger können mit Zustimmung der in Abs. 2 genannten Träger durch öffentlich-rechtlichen Vertrag aufgenommen werden.

Art. 53 Aufgaben und Finanzierung der BayKommun ²⁴

(1) Die BayKommun ist als Einrichtung der Leistungsverwaltung Kompetenzzentrum für die Bereitstellung digitaler Verwaltungsleistungen an Bürger sowie Unternehmen auf kommunaler Ebene. Vorrangig wird die BayKommun hierbei im Zusammenhang mit Leistungen nach dem "Einer für Alle"-Prinzip ("EfA-Leistungen") tätig. Zu diesem Zweck nimmt sie insbesondere folgende Aufgaben wahr:

1. rechtssicherer Transport von EfA-Leistungen anderer Länder an die bayerischen Kommunen,
2. Koordinierung der Bereitstellung von digitalen Verwaltungsleistungen durch IT-Dienstleister für die Kommunen in Bayern,
3. Ausrollen von EfA-Leistungen nach Maßgabe der Vorgaben des Staatsministeriums für Digitales,
4. flankierende Beratung der bayerischen Kommunen zur Umsetzung der Aufgaben nach den vorbezeichneten Nrn. 1 bis 3.

(2) Das Nähere hinsichtlich der Aufgaben der BayKommun regelt die Satzung.

(3) Für die Erfüllung der Aufgaben nach den Abs. 1 und 2 erhält die BayKommun vom Freistaat Bayern Finanzmittel als Globalzuweisung. Die Finanzierung erfolgt nach Maßgabe und vorbehaltlich eines beschlossenen Landeshaushalts. Art. 55a bleibt unberührt.

(4) Die Träger unterstützen die BayKommun bei der Erfüllung ihrer Aufgaben mit der Maßgabe, dass ein Anspruch der BayKommun gegen die Träger oder eine sonstige Verpflichtung der Träger, der BayKommun Mittel zur Verfügung zu stellen, nicht besteht.

(5) Die BayKommun haftet für ihre Verbindlichkeiten mit ihrem gesamten Vermögen. Die Träger haften nicht für die Verbindlichkeiten der BayKommun.

Art. 54 Organisation der BayKommun ²⁴

(1) Die BayKommun regelt ihre inneren Verhältnisse durch Satzung. Der Erlass sowie die Änderung der Satzung bedürfen der Zustimmung durch die Aufsichtsbehörde.

(2) Organe der BayKommun sind der Verwaltungsrat und die Geschäftsführung.

(3) Der Verwaltungsrat besteht aus neun Mitgliedern. Von den Trägern entsenden in den Verwaltungsrat

1. für den Freistaat Bayern
   1. das Staatsministerium für Digitales zwei Vertreter,
   2. das Staatsministerium der Finanzen und für Heimat zwei Vertreter,
   3. das Staatsministerium des Innern, für Sport und Integration einen Vertreter,
2. die Gemeinden, Landkreise und Bezirke jeweils einen Vertreter des Bayerischen Gemeindetags, des Bayerischen Städtetags, des Bayerischen Landkreistags und des Bayerischen Bezirketags.

(4) Die Entsendung erfolgt für die Dauer von fünf Jahren. Für jeden Vertreter im Verwaltungsrat ist für den Fall der Verhinderung eine Vertretung zu entsenden. Eine vorzeitige Abberufung ist durch denjenigen, der die Vertreter entsandt hat, zulässig. In diesem Fall ist für den Rest der Amtszeit ein neuer Vertreter zu entsenden. Bis zu dessen Entsendung werden die Aufgaben durch den bisherigen Vertreter weiter wahrgenommen.

(5) Der Verwaltungsrat wählt aus seiner Mitte den Vorsitzenden sowie dessen Stellvertretung. Der Verwaltungsrat entscheidet mit einer Mehrheit von sechs Stimmen, soweit in der Geschäftsordnung nichts anderes bestimmt ist. Der Verwaltungsrat gibt sich eine Geschäftsordnung. Beamte der Träger nehmen ihre Aufgaben im Verwaltungsrat im Rahmen ihres Hauptamtes wahr. Die Geschäftsführung nimmt an den Sitzungen des Verwaltungsrates beratend teil. Der Vorsitzende des Verwaltungsrates vertritt die BayKommun gerichtlich und außergerichtlich.

(6) Der Verwaltungsrat entscheidet über die grundsätzlichen Angelegenheiten der BayKommun, insbesondere über:

1. strategische und allgemeine Grundsätze für die Tätigkeit der BayKommun,
2. den Erlass von Satzung und Geschäftsordnung für die BayKommun und ihre Änderungen,
3. den Sitz der BayKommun,
4. die Feststellung des Wirtschaftsplanes und seine Änderungen,
5. die Bestellung der Jahresabschlussprüferin oder des Jahresabschlussprüfers,
6. die Feststellung des geprüften Jahresabschlusses und die Genehmigung des Lageberichts,
7. die Ergebnisverwendung,
8. die Entlastung der Geschäftsführung,
9. die Auswahl, Einstellung, Verlängerung und Beendigung des Beschäftigungsverhältnisses der Geschäftsführung,
10. allgemeine Vereinbarungen und Maßnahmen zur Regelung der arbeits-, dienst- und versorgungsrechtlichen Verhältnisse der Beschäftigten und
11. Grundsatzfragen der Personalverwaltung.

(7) Der Verwaltungsrat kann sich jederzeit über alle Angelegenheiten der BayKommun unterrichten lassen.

Art. 55 Geschäftsführung und Aufsicht der BayKommun ²⁴

(1) Die Geschäftsführung wird vom Verwaltungsrat bestellt und führt die Geschäfte der BayKommun nach wirtschaftlichen Grundsätzen mit der Sorgfalt eines ordentlichen Kaufmanns im Rahmen der Gesetze, der Satzung und der Grundsätze für die Geschäftsführung im Rahmen der Weisungen des Verwaltungsrates. Der Vorsitzende der Geschäftsführung vertritt die BayKommun gerichtlich und außergerichtlich. Die Geschäftsführung bereitet die Beschlüsse des Verwaltungsrates vor und führt diese aus. Sie hat den Verwaltungsrat über alle wichtigen Vorgänge rechtzeitig zu unterrichten und auf Aufforderung dem Verwaltungsrat über alle Angelegenheiten der BayKommun Auskunft zu geben. Die erste Geschäftsführung wird durch das Staatsministerium für Digitales bestellt.

(2) Der Vorsitzende der Geschäftsführung ist Vorgesetzter der Beschäftigten der BayKommun. Er entscheidet über die Einstellung und Kündigung sowie über weitere arbeitsrechtliche Maßnahmen gegenüber den Beschäftigten und übt das Direktionsrecht aus.

(3) Die BayKommun unterliegt der Aufsicht des Staatsministeriums für Digitales. Die Vorschriften der Gemeindeordnung über die staatliche Aufsicht gelten entsprechend.

Art. 55a Gemeinsam finanzierte Dienste ²⁴

(1) Der Freistaat Bayern, die Gemeindeverbände und Gemeinden finanzieren gemeinsam technische Lösungen zur Verwaltungsdigitalisierung nach Maßgabe dieses Gesetzes (gemeinsam finanzierte Dienste). Die gemeinsame Finanzierung kann sich auf einen Teil der Kosten beschränken. Die Finanzierung anderer gemeinsamer Vorhaben bleibt unberührt.

(2) Der Freistaat Bayern trägt nach Maßgabe des Staatshaushalts folgende Kosten gemeinsam finanzierter Dienste:

1. die Hälfte der dem jeweiligen Jahr zuzuordnenden Anschaffungs-, Herstellungs-, Weiterentwicklungs- sowie Betriebs-, Wartungs- und Pflege kosten und
2. die dem jeweiligen Jahr zuzuordnenden Kosten der technischen Implementierung bis zur erstmaligen Aufnahme des Regelbetriebs.

Im Übrigen tragen die Gemeindeverbände und Gemeinden die Kosten gemeinsam finanzierter Dienste als kommunalen Finanzierungsanteil über Umlagen getrennt nach

1. Bezirken,
2. Landkreisen,
3. kreisfreien Städten und
4. kreisangehörigen Gemeinden und Verwaltungsgemeinschaften.

Dabei erfolgt eine Aufteilung des kommunalen Finanzierungsanteils zwischen den vier Gruppen nach Satz 2 Nr. 1 bis 4 entsprechend dem finanziellen Anteil der zu ihrer Nutzung bestimmten gemeinsam finanzierten Dienste.

Teil 5
Übergangs- und Schlussbestimmungen

Art. 56 Experimentierklausel

Zur Einführung und Fortentwicklung digitaler Verwaltungsinfrastrukturen kann das Staatsministerium für Digitales im Einvernehmen mit der Staatskanzlei und den fachlich betroffenen Ressorts durch Rechtsverordnung sachlich und räumlich begrenzte Abweichungen von folgenden Vorschriften zulassen:

1. Zuständigkeits- und Formvorschriften nach den Art. 3, 3a, 27a, 33, 34, 37 Abs. 2 bis 5, Art. 41, 57, 64 und 69 Abs. 2 BayVwVfG,
2. Art. 5 Abs. 4 bis 7, Art. 6 und 15 Abs. 2 VwZVG und
3. sonstigen landesgesetzlichen Zuständigkeits- und Formvorschriften, soweit dies zur Erprobung neuer digitaler Formen des Schriftformersatzes, der Übermittlung, Zustellung und Bekanntgabe von Dokumenten oder Erklärungen, der Vorlage von Nachweisen, der Erhebung, Verarbeitung, Nutzung oder Weitergabe von Daten oder für die Erprobung von Basisdiensten oder zentralen Diensten sowie Diensten von Portalen erforderlich ist.

Die Ausnahmegenehmigungen sind auf höchstens fünf Jahre zu befristen und können einmalig für einen Zeitraum von höchstens zwei weiteren Jahren verlängert werden.

Art. 57 Verordnungsermächtigungen ²⁴

(1) Die Staatsregierung wird ermächtigt, durch Rechtsverordnung

1. Maßnahmen zur Gewährleistung der Barrierefreiheit in der digitalen Verwaltung im Zusammenhang mit den Förderzielen aus Art. 2 und den Aufgaben nach Art. 10 zu bestimmen,
2. ausführende Maßnahmen zum Schutz des freien Zugangs zum Internet im Sinne von Art. 8 zu treffen, insbesondere in Bezug auf die Freiheit und Pluralität der Medien, den Jugendschutz, den Schutz des unternehmerischen Wettbewerbs im Internet und die Förderung kleinerer und mittlerer Unternehmen,
3. das Nähere zum Vollzug des Art. 18, insbesondere Vorschriften, die sich auf die Ausgestaltung des digitalen Rechnungsverkehrs, insbesondere auf die Verbindlichkeit der elektronischen Form beziehen, festzulegen,
4. Ausführungsbestimmungen zu digitalen Verwaltungsverfahren oder Teilen hiervon im Sinne des Art. 19 Abs. 1, einschließlich Mindeststandards, Übergangsvorschriften und Ausnahmen festzulegen,
5. im Rahmen von Art. 19 festzulegen, dass Verwaltungsverfahren auch über vom Freistaat Bayern festgelegte einheitliche digitale Formulare oder Online-Verfahren erreichbar sein müssen,
6. im Rahmen von Art. 19 zu bestimmen, dass für bestimmte Verwaltungsleistungen der Behörden Zugangstor-Dienste im Sinne der Art. 4 bis 7 der Verordnung (EU) 2018/1724 anzubieten oder Anforderungen im Sinne der Art. 9 bis 16 der Verordnung (EU) 2018/1724 einzuhalten sind,
7. im Rahmen von Art. 21 nähere Bestimmungen zum Einsatz digitaler Assistenzdienste gewerblicher Anbieter zu treffen, insbesondere im Hinblick auf Zuverlässigkeit und technischen Betrieb,
8. zur Umsetzung der Art. 26 bis 31 weitere Anforderungen an den Portalverbund Bayern und die Nutzerkonten, insbesondere Standards zur Nutzerfreundlichkeit, zur Kommunikation zwischen den im Portalverbund Bayern genutzten informationstechnischen Systemen, zu Anforderungen und Standards im Sinne des Abs. 3, zur Gewährleistung von IT-Sicherheit sowie zu Art, Umfang und Aktualisierung veröffentlichungspflichtiger Informationen festzulegen, soweit nicht Zuständigkeiten aus Abs. 4 Nr. 1 und 2 bestehen,
9. im Rahmen von Art. 28 und 29 Abs. 3 Anforderungen für Verwaltungsleistungen festzulegen, die über das Organisationsportal bereitzustellen und über das Organisationskonto abzuwickeln sind,
10. weitere Identifizierungs- und Authentifizierungsmittel im Sinne von Art. 31 Abs. 2 zuzulassen,
11. Einzelheiten zu den Datenverarbeitungstatbeständen im Nutzerkonto gemäß Art. 30 Abs. 4 und für die Feststellung der Identität des Nutzers und die Kommunikation im Portalverbund Bayern im Rahmen von Art. 32 festzulegen und
12. im Rahmen von Art. 36 Einzelheiten zu Planung, Errichtung, Betrieb, Bereitstellung, Nutzung, Sicherheit und technischen Standards digitaler Verwaltungsinfrastrukturen sowie die damit zusammenhängenden Aufgaben und datenschutzrechtlichen Befugnisse der Behörden festzulegen; dies gilt für die Kommunen nur für die Behördenzusammenarbeit im Sinne von Art. 36 Satz 3.

(2) Das Staatsministerium für Digitales wird im Einvernehmen mit der Staatskanzlei ermächtigt, durch Rechtsverordnung

1. Voraussetzungen für die Bereitstellung und den Funktionsumfang der digitalen Identität sowie die Zuständigkeiten für deren Bereitstellung gemäß Art. 11 im Benehmen mit dem Staatsministerium des Innern, für Sport und Integration festzulegen und
2. die technischen Voraussetzungen der Verpflichtung nach Art. 13 Abs. 2 einschließlich Übergangsfristen zu regeln.

(3) Das Staatsministerium für Digitales wird im Einvernehmen mit den fachlich zuständigen Staatsministerien ermächtigt, durch Rechtsverordnung

1. zur Ausführung von Art. 26 für Behörden der in Art. 1 Abs. 1 genannten juristischen Personen verbindliche IT-Interoperabilitätsstandards oder die Nutzung von Basisdiensten festzulegen und
2. im Rahmen von Art. 26 Mindestkataloge von Verwaltungsleistungen festzulegen, die von den zuständigen Behörden über den Portalverbund Bayern bereitgestellt werden und Standards für die einheitliche Bereitstellung dieser Leistungen über den Portalverbund festzulegen.

(4) Das Staatsministerium für Digitales wird ermächtigt, durch Rechtsverordnung

1. Einzelheiten zur Errichtung, Betrieb und Nutzung des Organisationsportals und des Organisationskontos im Sinne von Art. 28 und 29 festzulegen,
2. zur Ausführung von Art. 29 und 30 die Nutzungsbedingungen des Nutzerkontos, die technischen Anforderungen an Nutzerkonto und Postfach, insbesondere die zugelassenen Identifizierungsmittel und Schnittstellen, sowie den Zeitpunkt der Freischaltung des Nutzerkontos und seiner Funktionen festzulegen,
3. im Rahmen von Art. 32 Verfahren zur Änderung personenbezogener Daten und der Rechtsnachfolge festzulegen.

(4a) Das Staatsministerium für Digitales wird ermächtigt, im Einvernehmen mit dem Staatsministerium der Finanzen und für Heimat und dem Staatsministerium des Innern, für Sport und Integration durch Rechtsverordnung

1. gemeinsam finanzierte Dienste zu bestimmen
   1. für die Bezirke im Einvernehmen mit dem Bayerischen Bezirketag,
   2. für die Landkreise im Einvernehmen mit dem Bayerischen Landkreistag,
   3. für die kreisfreien Städte im Einvernehmen mit dem Bayerischen Städtetag,
   4. für die kreisangehörigen Gemeinden und Verwaltungsgemeinschaften im Einvernehmen mit dem Bayerischen Gemeindetag,
2. die Zuständigkeit und Einzelheiten zur Berechnung und Erhebung des kommunalen Finanzierungsanteils hinsichtlich gemeinsam finanzierter Dienste sowie der Aufteilung des kommunalen Finanzierungsanteils auf die jeweiligen Gemeindeverbände und Gemeinden festzulegen.

(5) Jedes Staatsministerium wird ermächtigt, in den Angelegenheiten seines Geschäftsbereichs durch Rechtsverordnung im Einvernehmen mit dem Staatsministerium der Finanzen und für Heimat juristischen Personen des öffentlichen Rechts, die der Aufsicht des Freistaates Bayern unterstehen, die Erbringung von IT-Dienstleistungen im Zusammenhang mit der Bereitstellung digitaler öffentlicher Dienste im Sinne von Art. 17, der Errichtung und dem Betrieb des Portalverbunds Bayern im Sinne von Art. 26, des Bayernportals im Sinne von Art. 27, des Organisationsportals Bayern im Sinne von Art. 28 sowie der Bereitstellung von Nutzerkonten im Sinne von Art. 29 zu übertragen.

(6) Das Staatsministerium für Umwelt und Verbraucherschutz wird ermächtigt, beim Betrieb von Flächenmanagement-Datenbanken durch Gemeinden durch Rechtsverordnung Regelungen der hierzu erforderlichen Verarbeitung, Verwendung und Einbeziehung personen- und grundstücksbezogener Daten zu treffen.

(7) Das Staatsministerium für Wohnen, Bau und Verkehr wird ermächtigt, zur Planung und Steuerung der baulichen und sonstigen Nutzung der Grundstücke durch die Gemeinden durch Rechtsverordnung Regelungen der hierzu erforderlichen Datenerfassung, -nutzung und -verarbeitung zu treffen.

(8) Das Staatsministerium für Digitales wird ermächtigt, durch Rechtsverordnung im Einvernehmen mit dem Staatsministerium des Innern, für Sport und Integration Bestimmungen über den Aufbau und die Durchführung der Datenverarbeitung im kommunalen Bereich sowie die dafür durch die Kommunalen Spitzenverbände geschaffenen Einrichtungen zu treffen.

(9) Das Staatsministerium für Digitales wird ermächtigt, im Einvernehmen mit dem Staatsministerium der Finanzen und für Heimat durch Rechtsverordnung weitere Bestimmungen zu Organisation und Geschäftsführung der BayKommun zu treffen, insbesondere Fragen zur Wirtschaftsführung, Risikovorsorge und Rücklagenbildung, zum Geschäftsjahr, Jahresabschluss und Personal.

(10) Durch Rechtsverordnung der Staatsregierung können Regelungen zur Verwendung von Wappen und Logos von Behörden der in Art. 1 Abs. 1 genannten juristischen Personen zum Zwecke der Darstellung von behördenbezogenen Informationen und Online-Verfahren auf Plattformen und Anwendungen des Freistaates Bayern und im Portalverbund des Bundes und der Länder getroffen werden.

(Gültig bis 31.12.2024 siehe =>)
Art. 57a Änderung des Bayerischen Digitalgesetzes ^24a

Art. 19 Abs. 1 und 2 des Bayerischen Digitalgesetzes (BayDiG) vom 22. Juli 2022 (GVBl. 374, BayRS 206-1-D) wird wie folgt gefasst:

Art. 57b (aufgehoben) ^24a

Art. 58 Einschränkung von Grundrechten ^24a

Die Art. 44, 48, 49 und 49c schränken das Fernmeldegeheimnis (Art. 10 des Grundgesetzes, Art. 112 der Verfassung) ein.

Art. 59 Inkrafttreten, Außerkrafttreten ^24a

(1) Dieses Gesetz tritt am 1. August 2022 in Kraft.

(2) Art. 57a

Art. 57a Änderung weiterer Rechtsvorschriften

(1) Das Kostengesetz (KG) vom 20. Februar 1998 (GVBl. S. 43, BayRS 2013-1-1-F), das zuletzt durch § 2 des Gesetzes vom 19. März 2020 (GVBl. S. 153) geändert worden ist, wird wie folgt geändert:

1. Dem Art. 5 Abs. 2 werden die folgenden Sätze 4 und 5 angefügt:

"Ist für eine Amtshandlung ein digitales Verfahren eröffnet, kann für die Gebühr, die im Kostenverzeichnis festgelegt wird, eine Ermäßigung vorgesehen werden, wenn sich der Verwaltungsaufwand durch das digitale Verfahren verringert. Die Ermäßigung darf 100 Euro nicht überschreiten."

2. Art. 21 Abs. 3 Satz 1 Halbsatz 2 wird wie folgt gefasst:

alt	neu
Art. 5 Abs. 3, 5 und 6 gelten entsprechend	"Art. 5 Abs. 2 Satz 4 und 5, Abs. 3, 5 und 6 gilt entsprechend."

(2) Die Gemeindeordnung (GO) in der Fassung der Bekanntmachung vom 22. August 1998 (GVBl. S. 796, BayRS 2020-1-1-I), die zuletzt durch § 1 des Gesetzes vom 9. März 2021 (GVBl. S. 74) geändert worden ist, wird wie folgt geändert:

1. Art. 26 Abs. 2 Satz 2 wird wie folgt geändert:

a) In Halbsatz 1 wird das Wort "anderen" gestrichen.

b) In Halbsatz 2 werden nach dem Wort "Niederlegung" die Wörter "digital über das Internet," eingefügt.

2. Dem Art. 38 Abs. 2 wird folgender Satz 4 angefügt:

"Bei der Vergabe von öffentlichen Aufträgen und Konzessionen genügt die Textform, soweit eine andere Rechtsvorschrift nichts Abweichendes bestimmt."

(3) Dem Art. 35 Abs. 2 der Landkreisordnung (LKrO) in der Fassung der Bekanntmachung vom 22. August 1998 (GVBl. S. 826, BayRS 2020-3-1-I), die zuletzt durch § 2 des Gesetzes vom 9. März 2021 (GVBl. S. 74) geändert worden ist, wird folgender Satz 4 angefügt:

"Bei der Vergabe von öffentlichen Aufträgen und Konzessionen genügt die Textform, soweit eine andere Rechtsvorschrift nichts Abweichendes bestimmt."

(4) Dem Art. 33a Abs. 2 der Bezirksordnung (BezO) in der Fassung der Bekanntmachung vom 22. August 1998 (GVBl. S. 850, BayRS 2020-4-2-I), die zuletzt durch

§ 3 des Gesetzes vom 9. März 2021 (GVBl. S. 74) geändert worden ist, wird folgender Satz 4 angefügt:

"Bei der Vergabe von öffentlichen Aufträgen und Konzessionen genügt die Textform, soweit eine andere Rechtsvorschrift nichts Abweichendes bestimmt."

(5) Art. 37 des Gesetzes über die kommunale Zusammenarbeit (KommZG) in der Fassung der Bekanntmachung vom 20. Juni 1994 (GVBl. S. 555, 1995 S. 98, BayRS 2020-6-1-I), das zuletzt durch § 4 des Gesetzes vom 9. März 2021 (GVBl. S. 74) geändert worden ist, wird wie folgt geändert:

1. Abs. 1 wird wie folgt geändert:

a) Die Absatzbezeichnung "(1)" wird gestrichen.

b) In Satz 1 werden die Wörter "oder müssen in elektronischer Form mit einer dauerhaft überprüfbaren qualifizierten elektronischen Signatur versehen sein" durch die Wörter " ; das gilt nicht für ständig wiederkehrende Geschäfte des täglichen Lebens, die finanziell von unerheblicher Bedeutung sind" ersetzt.

c) Folgender Satz 4 wird angefügt:

"Bei der Vergabe von öffentlichen Aufträgen und Konzessionen genügt die Textform, soweit eine andere Rechtsvorschrift nichts Abweichendes bestimmt."

2. Abs. 2 wird

(2) Absatz 1 Satz 1 findet keine Anwendung auf ständig wiederkehrende Geschäfte des täglichen Lebens, die finanziell von unerheblicher Bedeutung sind.

aufgehoben.

(6) In Art. 15 Abs. 2a Satz 1 des Bayerischen Besoldungsgesetzes (BayBesG) vom 5. August 2010 (GVBl. S. 410, 764, BayRS 2032-1-1-F), das zuletzt durch die Art. 1, 2 und 3 des Gesetzes vom 23. Juni 2022 (GVBl. S. 254) geändert worden ist, werden die Wörter "mit Zustimmung des Beamten oder der Beamtin" gestrichen.

tritt am 1. Januar 2023 außer Kraft.

(3) Art. 57a tritt mit Ablauf des 31. Dezember 2024

Art. 57a Änderung des Bayerischen Digitalgesetzes

Art. 19 Abs. 1 und 2 des Bayerischen Digitalgesetzes (BayDiG) vom 22. Juli 2022 (GVBl. 374, BayRS 206-1-D) wird wie folgt gefasst:

außer Kraft.

(4) Das Bayerische E-Government-Gesetz (BayEGovG) vom 22. Dezember 2015 (GVBl. S. 458, BayRS 206-1-D), das zuletzt durch § 1 Abs. 138 der Verordnung vom 26. März 2019 (GVBl. S. 98) geändert worden ist, tritt mit Ablauf des 31. Juli 2022 außer Kraft.

ENDE