Verwaltungsvorschrift zum elektronischen Zugang zur Verwaltung
und zum Einsatz von Verschlüsselungsverfahren
nach dem E-Government-Gesetz Nordrhein-Westfalen

Runderlass des Ministeriums für Inneres und Kommunales
vom 1. Februar 2017

Aufgrund des § 23 Absatz 2 Nummer 1, 2 und 3 des E-Government-Gesetzes Nordrhein-Westfalen vom 8. Juli 2016 (GV. NRW. S. 551) gibt das Ministerium für Wirtschaft, Innovation, Digitalisierung und Energie als für Informationstechnik in der Landesverwaltung zuständiges Ministerium im Einvernehmen mit dem Ministerpräsidenten und den übrigen Ministerien die Verwaltungsvorschrift zum elektronischen Zugang zur Verwaltung und zum Einsatz von Verschlüsselungsverfahren nach dem E-Government-Gesetz Nordrhein-Westfalen bekannt:

1
Anwendungsbereich

Diese Verwaltungsvorschrift gilt für die öffentlich-rechtliche Verwaltungstätigkeit der Behörden des Landes, soweit sie dem Anwendungsbereich des E-Government-Gesetzes Nordrhein-Westfalen vom 8. Juli 2016 (GV. NRW. S. 551) in der jeweils geltenden Fassung unterfallen. Die Verwaltungsvorschrift gilt nicht für Gemeinden und Gemeindeverbände.

2
Zu § 4 Absatz 3 elektronische Formate

Offene Formate

2.1
Die Behörde legt offene Formate im Sinne des § 4 Absatz 3 des E-Government-Gesetzes Nordrhein-Westfalen zur Nutzung fest. Im Einzelnen sollen Dateiformate verwendet werden, deren Spezifikation folgende Voraussetzungen erfüllt:

2.1.1
Alle Beteiligten können gleichberechtigt an der Entwicklung der Spezifikation mitwirken und eine öffentliche Überprüfung ist Bestandteil des Entscheidungsprozesses,

2.1.2
die Spezifikation steht jedermann zur Prüfung zur Verfügung und

2.1.3
die Lizenzierung der Urheberrechte an der Spezifikation erfolgt zu fairen, angemessenen und diskriminierungsfreien Bedingungen oder gebührenfrei in einer Weise, die eine Integration sowohl in proprietäre als auch quelloffene Software zulässt.

Abweichungen sind möglich, soweit die Behörde Formate definiert und diese frei zugänglich sind.

2.2
Grundsätzlich soll eine geeignete Version des PDF-Formats genutzt werden. Welche PDF-Version eingesetzt werden soll, muss im Rahmen der Anforderungen des jeweiligen Verwaltungsverfahrens festgelegt werden. Nicht alle Versionen von PDF erfüllen die Voraussetzungen eines offenen Formates. Offene Formate sind insbesondere PDF/A-3, PDF/A-2, PDF/A-1 und PDF 1.7.
Die Behörde kann in begründeten Ausnahmefällen von der Nutzung eines PDF-Formates absehen.

2.3
Die Verpflichtung zu offenen Formaten gilt dann nicht, wenn diese nicht für den Anwendungszweck verfügbar sind. Bei Formaten für Fachdaten entscheidet dies die zuständige Behörde. Die Ausnahme soll intern dokumentiert werden.

2.4
Die Behörde soll die Formate, die sie verschickt, auch im Empfang akzeptieren.

2.5
Es ist zulässig, die an die Behörde gerichteten Dokumente mit einer qualifizierten elektronischen Signatur nach den jeweils geltenden rechtlichen Bestimmungen zu versehen.

3
Zu § 3 Absatz 2 elektronischer Zugang mittels De-Mail

3.1
Regelungsbereich

Die nachfolgenden Regelungen betreffen die Ausgestaltung und Nutzung des elektronischen Zugangs zur Verwaltung mittels De-Mail.

3.2
Technische und organisatorische Anforderungen

3.2.1
Jede Behörde muss, soweit eine gesetzliche Verpflichtung nach § 3 Absatz 2 des E-Government Gesetzes Nordrhein-Westfalen besteht, mindestens ein De-Mail-Postfach einrichten, um der Verpflichtung zur Zugangseröffnung nachkommen zu können. Hierzu eröffnet die Behörde den Zugang für das De-Mail-Funktionspostfach „poststelle“ als allgemeinen Zugang zur Behörde. Dieses wird im lokalen Teil der Adresse dargestellt (d.h. vor dem @). Aus zwingenden organisatorischen Gründen können auch mehrere De-Mail-Funktionspostfächer angelegt werden (z.B. personal@mik-nrw.de-mail.de, beihilfestelle@mik-nrw.de-mail.de). Ein Personenbezug soll vermieden werden.

3.2.2
Es muss bei Behörden für den Domänenteil der De-Mail-Adressen (d.h. die individuelle Bezeichnung oder Abkürzung der Behörde nach dem @) auf der 3. Ebene von rechts eine Bezeichnung genutzt werden, die in direktem Bezug zu ihrer Bezeichnung steht (beispielsweise poststelle@mik-nrw.de-mail.de). Die Behörde muss bereits aus dieser Bezeichnung heraus bestimmbar sein.

3.2.3
Die technische Bereitstellung des De-Mail-Dienstes für Behörden im Anwendungsbereich dieser Verwaltungsvorschrift erfolgt zentral bei IT. NRW über das Landesverwaltungsnetz. Die Zugangseröffnung für De-Mail soll ausschließlich über diesen Dienst erfolgen. Für diesen Zweck schließt IT. NRW einen Vertrag mit einem De-Mail-Diensteanbieter (DMDA) im Sinne des De-Mail-Gesetzes vom 28. April 2011 (BGBl. I S. 666), das zuletzt durch Artikel 3 Absatz 7 des Gesetzes vom 18. Juli 2016 (BGBl. I S. 1666) geändert worden ist.

3.2.4
Die Eröffnung eines De-Mail-Postfachs muss über IT. NRW bei dem DMDA beantragt werden. Hierzu muss sich die Behörde durch eine vertretungsberechtigte Person gegenüber dem DMDA identifizieren.

3.2.5
Der Empfang einer De-Mail erfolgt über das De-Mail-Funktionspostfach oder die De-Mail-Funktionspostfächer der Behörde auf der zentralen De-Mail-Infrastrukturkomponente bei IT. NRW. Es erfolgt eine Weiterleitung der Inhalte der De-Mail an den E-Mail-Server, an ein geeignetes System zur Posteingangsverarbeitung im Sinne der Vorgangsbearbeitung oder an ein IT-Fachverfahren der Behörde. Es wird ein zentrales System angeboten, das die mit der De-Mail gegebenenfalls verbundenen qualifizierten Signaturen beweiswerterhaltend im Sinne der Technischen Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik zur Beweiserhaltung kryptographisch signierter Dokumente BSI-TR 03125 in der jeweils geltenden Version speichert.

4
Die Zugangseröffnung

4.1
Die Behörde ist verpflichtet, ab dem 1. Januar 2018 den elektronischen Zugang zum Verwaltungsverfahren nach § 3a Absatz 1 des Verwaltungsverfahrensgesetzes für das Land Nordrhein-Westfalen (VwVfG NRW) in der Fassung der Bekanntmachung vom 12. November 1999 (GV. NRW. S. 602), das zuletzt durch Artikel 1 des Gesetzes vom 20. Mai 2014 (GV. NRW. S. 294) geändert worden ist, mittels De-Mail zu eröffnen.

4.2
Die Zugangseröffnung erfolgt durch Bekanntmachung der De-Mail-Adresse(n) über die Homepage der Behörde, wobei die technischen und organisatorischen Rahmenbedingungen, unter welchen eine elektronische Kommunikation stattfinden kann, mit anzugeben sind, § 3a Absatz 1 Sätze 2 und 3 VwVfG NRW.
Für jedes De-Mail-Funktionspostfach ist eine separate Zugangseröffnung auf der Homepage erforderlich. Dabei können die technischen Rahmenbedingungen differieren, um Besonderheiten in Fachverfahren Rechnung tragen zu können.

Diese Zugangseröffnung kann zum Beispiel folgenden Inhalt haben:

Zugangseröffnung für die elektronische Kommunikation mittels De-Mail

Die Übermittlung von De-Mails an [die Behörde / De-Mail Adresse] ist sowohl für den formlosen als auch für den formgebundenen Schriftverkehr möglich. Senden Sie eine De-Mail an uns, gehen wir davon aus, dass Sie für diese Angelegenheit auch eine Antwort per De-Mail wünschen. [Die Behörde] eröffnet diesen Zugang für De-Mails eingeschränkt unter folgenden Bedingungen:

1. Dateianhänge

Werden Dateianhänge an [die Behörde] versandt, so ist zu beachten, dass [die Behörde] nicht alle auf dem Markt gängigen Dateiformate und Anwendungen unterstützen kann. Folgende gängige Dateiformate werden aktuell unterstützt:

Für Dokumente

- PDF (Portable Document Format)

Für Bilder

- JPEG (JPEG File Interchange Format (JFIF))

- PNG (Portable Network Graphics)

- TIFF (Tagged Image File Format).

Dateien, die mit einem Kennwort verschlüsselt sind oder solche, die selbst ausführbar sind beziehungsweise ausführbare Bestandteile enthalten (zum Beispiel mit den Dateiendungen *.exe und *.bat- sowie Office-Dateien mit Makros), werden [von der Behörde] nicht entgegengenommen.

Sollte die De-Mail bzw. enthaltene Dateianhänge, welche Sie [der Behörde] übersenden, von Virenschutzprogrammen als infiziert erkannt werden, können diese nicht angenommen werden beziehungsweise wird die De-Mail ungelesen gelöscht. Sie erhalten daraufhin eine Benachrichtigung, dass ihre De-Mail nicht angenommen werden konnte.

2. De-Mail in schriftform-wahrender Versandart nach § 5 Absatz 5 des De-Mail-Gesetzes

Sollte durch Gesetz die Schriftform für bestimme Schreiben angeordnet sein, wäre grundsätzlich eine eigenhändige Unterschrift Ihrerseits notwendig.

Wir haben den Zugang für schriftform-wahrende De-Mails eröffnet. Dies ersetzt Ihre eigenhändige Unterschrift. Für die rechtsverbindliche elektronische Versendung von schriftformbedürftigen Dokumenten nutzen Sie bitte De-Mails in der Versandoption nach § 5 Absatz 5 des De-Mail-Gesetzes. Die gesetzliche Voraussetzung ist erfüllt, wenn bei der Versendung der De-Mail die Versandoption „absenderbestätigt“ gewählt wurde.

Schließen des De-Mail-Postfachs

Sollten Sie Ihr De-Mail-Postfach wieder schließen, bitten wir um eine entsprechende Mitteilung, damit wir nicht weiter mit Ihnen per De-Mail kommunizieren.

4.3
Die technischen und organisatorischen Rahmenbedingungen müssen vollständig und nachvollziehbar beschrieben werden. Die technischen Rahmenbedingungen sollen die Vorgaben zu einheitlichen elektronischen Formaten berücksichtigen, wie sie unter Punkt 1 dieser Verwaltungsvorschrift beschrieben werden.

4.4
Die Behörde veröffentlicht zumindest das Funktionspostfach „poststelle“ im De-Mail-Verzeichnisdienst.

4.5
Eine generelle Zugangseröffnung über den De-Mail-Verzeichnisdienst ist nicht vorzunehmen. Diese muss über die Homepage der Behörde erfolgen.

5
Empfang von De-Mail-Nachrichten durch die Behörde

5.1
Eine De-Mail Nachricht an die Behörde ist zugegangen, sobald sie in einem gültigen De-Mail-Postfach der Behörde abgelegt wird. Ein Postfach ist dann als gültiges Postfach anzusehen, wenn für dieses der Zugang eröffnet wurde. Ist eine De-Mail-Nachricht in ein Postfach eingegangen, für das kein De-Mail-Zugang eröffnet ist, so entscheidet die Behörde über die Bearbeitung in eigener Zuständigkeit.

5.2
Eine De-Mail muss der zuständigen Sachbearbeiterin oder dem zuständigen Sachbearbeiter innerhalb der Behörde als solche erkennbar sein. Dies wird bei Übertragung der De-Mail durch ein Gateway und die angeschlossenen Systeme sichergestellt.

5.3
Sollte ein mittels De-Mail im Anhang übersandtes elektronisches Dokument für die Behörde zur Bearbeitung nicht geeignet sein, teilt sie dies der Absenderin oder dem Absender unter Angabe der für sie geltenden technischen Rahmenbedingungen unverzüglich mit, § 3a Absatz 3 Satz 1 VwVfG NRW. Inkompatibilitäten können bei der Nutzung von De-Mails nur bei Dateianhängen bestehen. Es kann sich hier um Fälle defekter Dateien handeln beziehungsweise auch um unerwartet inkompatible Formate, welche trotz der Angabe der technischen Rahmenbedingungen bei der Zugangseröffnung auftauchen können. Dabei soll der Fehler möglichst so beschrieben werden, dass die Absenderin oder der Absender in die Lage versetzt wird, diesen auch zu erkennen.

Sollte das Dateiformat nicht von der Zugangseröffnung umfasst sein, besteht diese Hinweispflicht dennoch.

5.4
Sofern beigefügte Anhänge den wesentlichen Inhalt der De-Mail darstellen, gilt für diesen Inhalt der Zugang als nicht erfolgt, soweit der Anhang den bei der Zugangseröffnung angegebenen technischen Rahmenbedingungen nicht entspricht.

5.5
Die De-Mail erfüllt auf Grund des § 3a Absatz 2 Satz 4 Nummer 2 des Verwaltungsverfahrensgesetzes für das Land Nordrhein-Westfalen auch ein Schriftformerfordernis auf rein elektronischem Weg. Dazu ist eine De-Mail nach § 5 Absatz 5 des De-Mail-Gesetzes in der Sendevariante „bestätigte sichere Anmeldung“ (absenderbestätigte De-Mail) notwendig. Die Absenderin oder der Absender muss sich mit dem Authentifizierungsniveau „hoch“ angemeldet und diese Versandart gewählt haben. Die besondere Versandart ist der zuständigen Sachbearbeiterin oder dem zuständigen Sachbearbeiter durch eine entsprechende Kennzeichnung erkennbar.

5.6
Sollte ein Schriftformerfordernis im elektronischen Verwaltungsverfahren bestehen und dieses durch die empfangene De-Mail nicht gewahrt sein, so ist die Absenderin oder der Absender auf diesen Umstand hinzuweisen.

6
Versand von De-Mail-Nachrichten durch die Behörde

6.1
Die Zugangseröffnung durch natürliche oder juristische Personen ist stets zwingende Voraussetzung für den Versand einer De-Mail, § 3a Absatz 1 Satz 1 VwVfG NRW. Die Zugangseröffnung kann konkludent durch Nutzung der De-Mail gegenüber der Behörde oder ausdrücklich erfolgen. Sollte eine De-Mail versandt werden, ohne dass vorab der Zugang eröffnet wurde, kann diese selbst bei Empfang keine Rechtsfolgen entfalten.

6.2
Behörden nutzen zum Versand von De-Mails die Funktionspostfächer, für die auch der Zugang eröffnet wurde. Die Behörde muss analog zu den bestehenden Regelungen des Post-/Emailversandes festlegen, welche Personen De-Mails nach außen schicken dürfen. Die Identifizierung des zuständigen Mitarbeiters oder der zuständigen Mitarbeiterin erfolgt wie üblich durch Namensangabe innerhalb der De-Mail.

6.3
Es muss die für den jeweiligen Vorgang rechtlich notwendige Versandart der De-Mail gewählt werden. Hierfür gibt es folgende Versandoptionen:

Einfache De-Mail:
Die niedrigste Sicherheitsstufe ohne besondere Sicherheitsmerkmale

Versandbestätigung:
Lediglich der Versand der De-Mail wird qualifiziert, das heißt nachweisbar bestätigt.

Eingangsbestätigung:
Der Eingang der De-Mail im Postfach des Empfängers wird nachweisbar bestätigt. Dies ist vergleichbar mit einem Einwurfeinschreiben, ohne dass die Schriftform gewahrt wird.

Absenderbestätigung:
Der Absender muss mit hohem Authentifizierungsniveau angemeldet sein und diese Versandart wählen. Nur diese Art des Versandes ersetzt die Schriftform.

Abholbestätigung:
Förmliche Zustellung nach § 5a Absatz 1 des Landeszustellungsgesetzes vom 7. März 2006 (GV. NRW. S. 94), das zuletzt durch Artikel 2 des Gesetzes vom 8. Juli 2016 (GV. NRW. S. 557) geändert worden ist. Sowohl Sender als auch Empfänger müssen mit hohem Authentifizierungsniveau angemeldet sein (vergleichbar mit einem Postzustellungsauftrag).

Die Versandarten können auch kombiniert werden. Hier ist jeweils die notwendige Kombination zu wählen. Nicht alle Kombinationen sind sinnvoll, wie zum Beispiel die Kombination „Eingangsbestätigung“ und „Versandbestätigung“.

6.4
Nach § 3a Absatz 2 Satz 4 Nummer 3 des Verwaltungsverfahrensgesetzes für das Land Nordrhein-Westfalen kann bei elektronischen Verwaltungsakten oder sonstigen elektronischen Dokumenten der Behörden die Schriftform durch Versendung einer De-Mail-Nachricht nach § 5 Absatz 5 des De-Mail-Gesetzes ersetzt werden. Bei der Bestätigung des akkreditierten Diensteanbieters muss die erlassende Behörde als Nutzer des De-Mail-Kontos zu erkennen sein.

6.5
Es soll bei einer Kontaktaufnahme und damit erfolgter Zugangseröffnung mittels De-Mail durch die Behörde auch mittels De-Mail geantwortet werden, § 4 Absatz 1 Satz 2 des E-Government-Gesetzes Nordrhein-Westfalen. Davon ist jedoch abzusehen, soweit die Antwort in einem elektronischen Fachverfahren erzeugt oder versandt wird, wenn Rechtsvorschriften dem gewählten Kommunikationsweg entgegenstehen oder die Antwort der Behörde aufgrund technischer Unmöglichkeit nicht auf demselben elektronischen Weg erfolgen kann.

6.6
Jeder Verwaltungsakt muss die erlassende Behörde erkennen lassen. Daneben muss bei einem Verwaltungsakt mittels De-Mail die Behörde auch in der De-Mail selbst erkennbar sein. Hier ist sicherzustellen, dass keine widersprüchlichen Angaben zur erlassenden Behörde gemacht werden. Die Angaben müssen mit den Absenderdaten und den im Domänenteil der De-Mail-Adresse enthaltenen Angaben übereinstimmen.

6.7
Wird ein Verwaltungsakt, für den ein Schriftformerfordernis besteht, mittels De-Mail versandt, ist zu beachten, dass nur eine De-Mail in der Sendevariante „bestätigte sichere Anmeldung“ nach § 5 Absatz 5 des De-Mail-Gesetzes die Schriftform ersetzt. Darüber hinaus ist auch die Rechtsbehelfsbelehrung anzupassen, sofern sie sich nicht nur auf die Mindestbestandteile nach § 58 Absatz 1 der Verwaltungsgerichtsordnung in der Fassung der Bekanntmachung vom 19. März 1991 (BGBl. I S. 686), die zuletzt durch Artikel 3 des Gesetzes vom 13. Oktober 2016 (BGBl. I S. 2258) geändert worden ist, beschränken, sondern darüber hinaus unter Servicegesichtspunkten auch Ausführungen zur Form des Rechtsbehelfs enthalten soll. So kann ein als Rechtsbehelf statthafter Widerspruch schriftformersetzend auch durch absenderbestätigte De-Mail (Versandoption nach § 5 Absatz 5 des De-Mail-Gesetzes) erhoben werden. Dabei ist die De-Mail-Adresse der Widerspruchsbehörde erneut anzugeben.

7
Schließen des Zugangs

Nutzende Personen können den Zugang zum elektronischen Verwaltungsverfahren jederzeit wieder schließen. Die Behörde muss den Zugangsschluss für die Angelegenheit vermerken. Ab diesem Zeitpunkt ist eine Kommunikation mittels De-Mail nicht mehr zulässig. Das Schließen des Zugangs erfolgt analog zum Eröffnen. Ein konkludenter Zugangsschluss liegt etwa vor, wenn das De-Mail-Konto aufgelöst wird.

8
Verschlüsselungsverfahren

8.1
Die Behörden bieten gemäß § 3 Absatz 1 des E-Government-Gesetzes Nordrhein-Westfalen für den behördlichen Zugang ein oder mehrere Verschlüsselungsverfahren an, über die eine elektronische Kommunikation (E-Mail) mit Bürgerinnen und Bürgern sowie Unternehmen verschlüsselt erfolgen kann.

8.2
Die Behörden stellen dazu auf ihrer Homepage in öffentlich zugänglichen Netzen bei den Kontaktangaben einen oder mehrere öffentliche Schlüssel (Zertifikate) für die E-Mail-Adresse poststelle@<behördenkürzel>.sec.nrw.de bereit. Sollten mehrere Verschlüsselungsverfahren zugelassen sein, hat die Behörde für jedes Verfahren einen Schlüssel zu veröffentlichen.

8.3
Die verschlüsselte Kommunikation von Bürgerinnen und Bürgern sowie Unternehmen mit einer Organisationseinheit innerhalb der Behörde oder unmittelbar mit einzelnen Personen in der Behörde ist insbesondere zum Schutz vor Schadsoftware nicht zulässig. Im Geschäftsverhältnis zu beauftragten Unternehmen ist eine verschlüsselte Kommunikation mit einzelnen, der Behörde zugehörigen Personen ausnahmsweise zulässig. Der Beauftragte der Landesregierung für die Informationstechnik (CIO) kann weitere Ausnahmen bestimmen.

8.4
IT. NRW stellt den Behörden das oder die Zertifikate entsprechend dem aktuellen Stand der Technik auf Antrag zur Verfügung.

8.5
Die Art der eingesetzten Verschlüsselungstechnik entspricht den in öffentlich zugängigen Netzen üblichen Verfahren und bietet ein Vertrauensniveau von mindestens „normal“ gemäß „Technische Richtlinie TR-03107-1 Elektronische Identitäten und Vertrauensdienste im E-Government“ des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung.

8.6
Antwortet die Behörde auf eine verschlüsselte E-Mail elektronisch, erfolgt dies ebenfalls verschlüsselt, soweit die Behörde technisch und organisatorisch dazu in der Lage ist. Ansonsten erfolgt eine Antwort auf einem anderem geeigneten Wege.

8.7
Die Übermittlung von elektronischen Dokumenten an eine Behörde ist nicht zulässig, wenn die elektronischen Dokumente nicht durch automatisierte Verfahren im Zugangssystem auf ihre IT-technische Sicherheit überprüft werden können.  § 3a Absatz 3 VwVfg NRW gilt entsprechend.

9
Inkrafttreten

Diese Verwaltungsvorschrift tritt mit Wirkung vom 1. Februar 2017 in Kraft.

MBl. NRW. 2017 S. 72, geändert durch Runderlass vom 26 . Februar 2018 (MBl. NRW. S. 472).