Zum Hauptinhalt springen

Nutzungsbedingungen für die Anbindung an FIT-Connect im eingeschränkten Teilnehmendenkreis (Produktivumgebung)

Stand: 26.04.2022 (v1.1.0)

Geltungsbereich der Nutzungsbedingungen

Diese Nutzungsbedingungen regeln Ihre und unsere Rechte und Pflichten im Zusammenhang mit der Nutzung der von der FITKO bereitgestellten Produktivumgebung von FIT-Connect.

Begriffsdefinitionen

Für ein besseres und einheitliches Verständnis der Nutzungsbedingungen werden im Folgenden die wichtigsten Begriffe definiert.

  • Schnittstelle (Application Programming Interface, kurz: API): Eine Schnittstelle fungiert als Software-Vermittler, der die Kommunikation zwischen zwei Softwaresystemen mit einem festen Satz von Befehlen, Funktionen, Protokollen und Objekten definiert.
  • API-Client: Ein technisches System, das mit den FIT-Connect-Schnittstellen interagiert.
  • Nutzer:in: Eine Nutzer:in ist eine natürliche oder juristische Person, die einen API-Client betreibt (Sie). Nutzer:innen können API-Clients über das FIT-Connect Self-Service-Portal registrieren und konfigurieren.
  • Zustelldienst: Der FIT-Connect Zustelldienst implementiert die Schnittstelle zur Übermittlung von Einreichungen (Submission API) und fungiert damit als vermittelndes System zwischen dem sendenden System (Sender) und dem empfangenden System (Subscriber).
  • Einreichung (Submission): Eine Einreichung bei einer zuständigen Stelle kann ein Antrag (bspw. ein Antrag nach dem Onlinezugangsgesetz), ein Bericht (bspw. Statistikmeldung eines Unternehmens) oder eine sonstige Einreichung für die Initiierung eines Bearbeitungsvorgangs in einem Verwaltungsverfahren sein. Eine Einreichung besteht mindestens aus einem Metadatensatz und einem Fachdatensatz und / oder einem oder mehreren Anlagen. Eine Einreichung besitzt immer eine systemübergreifend eindeutige ID (submissionId). Diese ID wird für jeden Vorgang durch den Zustelldienst vergeben.
  • Sendendes System (Sender): Das technische System, das eine Einreichung über die Submission API vornimmt. (z.B. ein Online-Antragsservice oder Unternehmenssystem). Dies ist in der Regel ein Online-Antragsservice (spezialisiertes Webportal für eine bestimmte Fachlichkeit), das Endgerät der Antragsteller:in oder auch ein Verwaltungsportal, das typischerweise mehrere Fachlichkeiten / Antragstypen unterstützt. Perspektivisch wären hier auch andere API-Clients denkbar, z.B. spezialisierte Anwendungen zur Antragseinreichung ohne Webinterface oder Fachverfahren der Verwaltung, über die beim Behördengang durch eine:n Sachbearbeiter:in stellvertretend für die Antragsteller:in eine Einreichung eingereicht wird.
  • Empfangendes System (Subscriber): Das technische System, das Einreichungen auf Verwaltungsseite über die Submission API entgegennimmt (z.B. eine Fachanwendung / virtuelle Poststelle).
  • Zuständige Fachbehörde: Die für die Bearbeitung der Einreichung zuständige Stelle. Die zuständige Fachbehörde betreibt zum Empfang von Einreichungen ein empfangendes System.
  • Zustellpunkt (Destination): Technisch eindeutig adressierbarer Endpunkt zur Einreichung von Anträgen oder Berichten an die Verwaltung über die FIT-Connect Übermittlungsinfrastruktur. Ein Zustellpunkt repräsentiert typischerweise ein konkretes empfangendes System (Fachverfahren oder virtuelle Poststelle). Für ein empfangendes System können jedoch multiple Zustellpunkte angelegt werden. In der Konfiguration eines Zustellpunkts sind interne und öffentliche Teile hinterlegt. Interne Angaben sind solche, die zu Administrationszwecken dienen. Öffentliche Angaben legen z.B. fest, in welcher Form das empfangende System Einreichungen akzeptiert.
  • Fachschemareferenz (Submission Schema): Das referenzierte Fachschema aus FIM oder XÖV. Eine Liste der möglichen Fachschemata wird im Zustellpunkt angegeben. Das für eine konkrete Einreichung verwendete Fachschema ist im Metadatensatz hinterlegt.
  • Ereignis (Event): Ein aufgezeichnetes Ereignis zu einer Einreichung oder einem Vorgang. Dies kann z.B. das Absenden einer Einreichung sein.
  • Ereignisprotokoll (Event Log): Der Zustelldienst bündelt alle einer Einreichung oder einem Vorgang zugeordneten Ereignisse in einem Ereignisprotokoll.

Beschreibung von FIT-Connect

Die FIT-Connect-Schnittstellen (im Folgenden: APIs) sind als ein universelles Eingangstor für digitale Einreichungen von Dokumenten an die Verwaltung ausgelegt.

Empfangende Systeme (bspw. Fachverfahren) können einen digitalen Zugang (Zustellpunkt) eröffnen und hierüber beliebige Einreichungen (Anträge, Berichtsmeldungen, etc.) erhalten. Was empfangen wird, kann über eindeutige Fachschemareferenzen auf Fachstandards festgelegt werden.

Sendende Systeme (bspw. Antragsdienste) können Einreichungen über die Submission API an alle existierenden Zustellpunkte senden. Um die richtigen Zustellpunkte für den jeweiligen Leistungskontext und die jeweilige Zuständigkeit zu finden, wird sendenden Systemen eine Routing API bereitgestellt. Mit der Routing API können sendende Systeme auf Basis des Leistungs- und Ortsbezugs der Einreichung den fachlich zuständigen Zustellpunkt ermitteln und alle technischen Verbindungsparameter ermitteln.

Die Vertraulichkeit der Übermittlung ist jederzeit gewährleistet, da eine Ende-zu-Ende Verschlüsselung standardmäßig für alle übermittelten Daten vorgesehen ist und bis in den Browser oder das Endgerät der Antragssteller:in oder Berichtsersteller:in möglich ist.

Die Nutzung der APIs ist unter https://docs.fitko.de/fit-connect/ ausführlich beschrieben und dokumentiert.

Beschreibung der Umgebung

Bei der bereitgestellten Umgebung handelt es sich um die Produktivumgebung der FIT-Connect Antragsdatenübermittlungsinfrastruktur. Die Umgebung steht in ihrer jetzigen Form nur einem eingeschränkten Teilnehmendenkreis von Fachbehörden und -verfahren zur Verfügung.

Zugang zu FIT-Connect

Ein Zugang zur FIT-Connect-Infrastruktur wird ausschließlich durch formlosen Antrag über einen die FITKO bereitgestellten Zugang gewährt. Ein Zugang im Rahmen des produktiven Pilotbetriebs wird ausschließlich für einen eingeschränkten Kreis an Pilotverfahren gewährt. Ein Anspruch auf Zulassung besteht nicht. Interessenbekundungen richten Sie bitte an fit-connect@fitko.de.

Verfügbarkeit

Für die Produktivumgebung hat die FITKO mit den von ihr beauftragten IT-Dienstleistern entsprechende Verfügbarkeitszusagen vereinbart. Auf dieser Basis wird die Produktivumgebung zur Verfügung gestellt.

Alle von der FITKO beauftragten IT-Dienstleister, die für den Betrieb der FIT-Connect-Infrastruktur verantwortlich sind, haben der FITKO mindestens die folgenden Supportzeiten zugesichert:

  • Mo-Fr, 8-17 Uhr, mit Ausnahme von gesetzlichen Feiertagen

Leistungsverfügbarkeit und störungsfreier Betrieb gelten vorbehaltlich von Störungen, die von der FITKO nicht zu vertreten sind, sowie vorbehaltlich von Wartungsfenstern und ähnlicher notwendiger Maßnahmen, die die Betriebszeit bzw. die Leistungsverfügbarkeit beeinflussen können, auch wenn dies zu einer Erreichbarkeit der Infrastruktur unterhalb der durchschnittlichen jährlichen Verfügbarkeit führt

Der Zugang zur Infrastruktur kann jederzeit vorübergehend eingeschränkt oder eingestellt werden, wenn dies im Hinblick auf die Sicherheit oder Integrität der Umgebung oder zur Durchführung zwingender technischer Maßnahmen zur Aufrechterhaltung unserer Leistungen auch gegenüber anderen Nutzer:innen zwingend erforderlich ist. Die Einschränkung des Zugangs kann insbesondere zum Schutz gegen Angriffe aus dem Internet (z.B. bei sog. Denial of Service“-Attacken) erforderlich werden. Diese Ausfallzeiten werden bei der jährlich durchschnittlichen Verfügbarkeit ebenfalls nicht berücksichtigt.

Feedback

Wir freuen uns immer sehr über Feedback zur Dokumentation, zur API selbst, zu technischen oder fachlichen Abläufen bei der Nutzung und über Erfahrungsberichte!

Anregungen und Ideen zur Dokumentation und Submission API können über die im Dokumentationsportal genannten Kommunikationskanäle an uns zurückgespielt werden.

Wenn Sie uns Feedback oder Vorschläge zu den APIs oder der Dokumentation übermitteln, werden wir diese möglicherweise verwenden, weshalb Sie uns eine unbegrenzte, unwiderrufliche, unbefristete, unterlizenzierbare, übertragbare und gebührenfreie Lizenz gewähren, dieses Feedback oder diese Vorschläge für jegliche Zwecke zu verwenden, ohne dass Pflichten Ihnen gegenüber oder Entschädigungsansprüche Ihrerseits entstehen. Falls wir uns dafür entscheiden, einen Vorschlag nicht umzusetzen, nehmen Sie uns das bitte nicht persönlich. Wir wissen Ihr Feedback zu sehr schätzen.

Support

Die FITKO bietet über einen von ihr beauftragten Support-Dienstleister einen Support zur Anbindung von API-Clients an die FIT-Connect-Infrastruktur an.

Supportzeiten sind von Montag bis Freitag in der Zeit von 9:00 Uhr bis 15:30 Uhr.

Schriftliche Anfragen an die im Dokumentationsportal genannte Support-Adresse werden innerhalb von 72 Stunden beantwortet (Reaktionszeit).

Berechtigt zur Stellung von Supportanfragen sind Nutzer:innen mit Zugang zur eingeschränkten Produktivumgebung.

Bedingungen Nutzung der FIT-Connect-Schnittstellen

Für die Nutzung der APIs gelten folgende Regelungen:

  • (1) Zugriffe dürfen nicht in einer Art und Weise erfolgen, bei der unsere technischen Prozesse oder Sicherheitsmaßnahmen im Zusammenhang mit den Services so beeinträchtigt, unterbrochen oder umgangen werden, dass es dabei für andere Nutzer:innen zu Nachteilen oder Einschränkungen kommt.
  • (2) Sie dürfen unsere APIs nicht in einer Weise nutzen, welche die Grenzwerte gemäß der in der Dokumentation festgelegten Vorgaben überschreitet oder eine übermäßige oder missbräuchliche Nutzung darstellt. Das impliziert Last- und Performancetests ohne expliziten Auftrag der FITKO.
  • (3) Bei der Anbindung an die APIs sind die in der Dokumentation beschriebenen Vorgaben einzuhalten. Bei Unklarheiten zur Interpretation der Dokumentation können die im Abschnitt "Feedback" genannten Feedback-Kanäle genutzt werden.
  • (4) Jegliche im Zusammenhang mit FIT-Connect bestehende Zugangsdaten (z.B. OAuth-Credentials oder Login-Daten für das Self-Service-Portal) dürfen nicht an Dritte weitergegeben werden. Für Betreiber:innen von sendenden Systemen (Sender) gelten darüber hinaus die folgenden Bedingungen:
  • (5) Betreiber:innen von sendenden Systemen (Sender) verpflichten sich, bis zum Erhalt einer Empfangsbestätigung des empfangenden Systems (Subscriber) geeignete Maßnahmen zu ergreifen, um angemessen auf eventuell auftretende Fehler bei der Zustellung von Einreichungen reagieren zu können.

Für Betreiber:innen von empfangenden Systemen (Subscriber) gelten darüber hinaus die folgenden Regelungen:

  • (6) Betreiber:innen von empfangenden Systemen (Subscriber) verpflichten sich, beim Betrieb eines Subscribers gültige Zertifikate aus der Verwaltungs-PKI zu verwenden und diese in regelmäßigen Abständen gemäß den Vorgaben der Verwaltungs-PKI zu aktualisieren.
  • (7) Betreiber:innen von empfangenden Systemen (Subscriber) verpflichten sich an sie adressierte Einreichungen vom Zustelldienst innerhalb von 72 Stunden abzurufen und deren Empfang im Ereignisprotokoll zu quittieren. Bei nicht erfolgter Abholung eines Antrags durch ein empfangendes System erfolgt eine Benachrichtigung des technischen Kontakts auf Empfängerseite 3 Tage nach Eingang eines Antrags. 14 Tage nach Eingang eines neuen Antrags in der FIT-Connect-Infrastruktur erfolgt eine Markierung des Antrags als nicht-zustellbar ("reject"-Event). Ab diesem Zeitpunkt können Anträge nicht mehr abgerufen werden. Nach weiteren 7 Tagen, die zu Debugging-Zwecken benötigt werden, erfolgt anschließend eine Löschung des übermittelten Antrags.Nicht abgerufene Einreichungen werden nach 7 Tagen unwiderruflich gelöscht.
  • (8) Für die Prüfung der Willenserklärung der übermittelten Einreichung gemäß dem im jeweiligen Einreichungskontext erforderlichen Vertrauensniveau ist das empfangende System (Subscriber) verantwortlich.
  • (9) Da nie vollständig ausgeschlossen werden kann, dass die von sendenden Systemen erzeugten Einreichungen und insb. darin enthaltene Anlagen schadhafte Inhalte wie Viren oder Trojaner enthalten, müssen empfangende Systeme (Subscriber) nach der Entschlüsselung der empfangenden Daten geeignete Maßnahmen zur Prüfung auf entsprechende Inhalte ergreifen, bevor die empfangenen Daten weiterverarbeitet werden.

Die FITKO behält sich bei missbräuchlicher Nutzung der APIs und den darüber abgerufenen Daten vor, den Zugriff auf die APIs temporär oder dauerhaft zu sperren. Eine missbräuchliche Nutzung liegt insbesondere bei einem Verstoß gegen diese Nutzungsbedingungen vor.

Die FITKO behält sich das Recht vor, die Zahl der Zugriffe auf die APIs zu begrenzen (Rate-Limiting) oder einzelne Nutzer:innen temporär oder dauerhaft von der Nutzung der APIs auszuschließen, wenn dies für die Aufrechterhaltung des reibungslosen Betriebs der APIs notwendig erscheint oder um die gleiche Leistung der APIs für alle Nutzer:innen zu gewährleisten.

Umgang mit Änderungen der angebotenen Schnittstellen

Die FITKO wird die FIT-Connect-Schnittstellen kontinuierlich weiterentwickeln und aktualisieren, um Funktionen zu verbessern, an aktuelle Bedarfe anzupassen, zu ergänzen oder zu entfernen. Nutzer:innen der APIs sind dafür verantwortlich, angebundene Anwendungen (API-Clients) bei Bedarf zu pflegen und zu aktualisieren.

Für nicht abwärtskompatible Änderungen an der API ("breaking changes") wird die FITKO für eine Übergangsfrist nach Veröffentlichung der nicht abwärtskompatiblen Änderungen von 3 Monaten einen Parallelbetrieb mehrere Versionen der Schnittstelle sicherstellen. In dieser Zeit können Nutzer:innen die nötigen Anpassungen zur Nutzung der neuen API-Version vornehmen. Die Abkündigung von Funktionen wird mindestens 3 Monate vor dem Wirksamwerden durch Veröffentlichung einer neuen Schnittstellenspezifikation mitgeteilt, es sei denn sie dient zur Schließung einer Sicherheitslücke.

Umgang mit Schwachstellen

Bei FIT-Connect legen wir sehr viel Wert auf die Sicherheit unserer Systeme. Zusammen mit unseren Partnern widmen wir der Entwicklung und der Wartung große Aufmerksamkeit. Niemand ist perfekt und so kann es trotzdem vorkommen, dass eine Schwachstelle entdeckt wird. Mit der Nutzung von FIT-Connect verpflichten Sie sich, die FITKO über Ihnen bekannte Schwachstellen so schnell wie möglich zu informieren, damit wir zeitnah Maßnahmen zum Schutz von FIT-Connect und der Nutzer:innen einleiten können.

In den Richtlinien zur verantwortungsvollen Offenlegung von Schwachstellen wird im Detail beschrieben, wie Sie uns Schwachstellen melden können und wie wir mit gemeldeten Schwachstellen umgehen.

Haftung / Gewährleistung

(1) Die Nutzer:in stellt die FITKO, ihre Mitarbeitenden und ihre Erfüllungsgehilfen auf erstes Anfordern von jeglichen Ansprüchen Dritter frei, die infolge einer schuldhaften Verletzung der hier aufgeführten Pflichten und / oder infolge anderer schuldhafter schädigender Handlungen durch die Nutzer:in oder ihm zurechenbare Dritte gegen die FITKO geltend gemacht werden. Überdies leistet die Nutzer:in Ersatz für darüberhinausgehende Schäden, die der FITKO entstehen, einschließlich der Kosten für eine eventuelle erforderliche Rechtsverfolgung und –verteidigung einschließlich Anwaltskosten. Diese Verpflichtung besteht auch bei einem Missbrauch der Zugangsdaten durch Dritte, soweit die Nutzer:in dafür ein Verschulden trifft.

(2) Die FITKO haftet nicht für Schäden infolge von Leistungsausfällen und Leistungsverzögerungen aufgrund unvorhersehbarer von der FITKO, seinen gesetzlichen Vertretern oder Erfüllungsgehilfen nicht zu vertretender Ereignisse (höhere Gewalt). Als Ereignisse höherer Gewalt in diesem Sinne können insbesondere gelten: Krieg, Unruhen, Naturgewalten, Feuer, Sabotageangriffe durch Dritte (wie z. B. mit Computerviren), Stromausfälle und der Ausfall oder eine Leistungsbeschränkung von Kommunikationsnetzen und Gateways anderer Betreiber:innen.

(3) Die FITKO übernimmt keine Gewähr oder Garantie für die ununterbrochene Verfügbarkeit der FIT-Connect Antragsdatenübermittlungsinfrastruktur oder die Verfügbarkeit zu einem bestimmten Zeitpunkt. Ferner haftet die FITKO nicht für Schäden, die aufgrund der Nichtbenutzbarkeit der Leistungen von Internet- und Serviceprovidern oder der nicht ordnungsgemäßen Funktion externer Übertragungsleitungen eintreten.

(4) Es besteht keine Haftung oder Gewährleistung seitens der FITKO noch übernimmt die FITKO Garantien gleich welcher Art – weder ausdrücklich noch stillschweigend noch aus Gepflogenheiten, Gewohnheitsrecht u.ä. - für die Vollständigkeit, Richtigkeit oder Aktualität, Datenformate, Eignung für einen bestimmten Zweck, oder andere Umstände der seitens der Nutzer:in an FIT-Connect übermittelten Daten. Ebenso haftet die FITKO nicht für die Sicherheit von Daten außerhalb des rechtlich zurechenbaren Bereiches der FIT-Connect-Antragsdatenübermittlungsinfrastruktur sowie für Schäden, die durch die Weiterverarbeitung schadhafter Inhalte entstehen, deren Ursprung die FITKO nicht zu vertreten hat.

(5) Die FITKO haftet nicht für Schäden, die der Nutzer:in durch Verlust oder Missbrauch der Zugangsdaten und Zertifikatsinformationen entstehen.

(6) Für sonstige Schäden, gleichgültig aus welchem Rechtsgrund, haftet die FITKO nur bei vorsätzlicher oder grob fahrlässiger Verursachung. Bei Verletzung wesentlicher Vertragspflichten, bei Verletzung von Leben, Körper oder Gesundheit sowie bei einer Haftung nach zwingenden gesetzlichen Vorschriften tritt diese Haftung auch bei einfacher Fahrlässigkeit ein. Der Höhe nach ist die Haftung auf den Ersatz des typischerweise vorhersehbaren Schadens begrenzt.

Datenschutz

(1) Die Nutzer:in ist verpflichtet, die Regelungen der für sie gültigen Datenschutzgesetze zu kennen und zu beachten, insbesondere alle technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, personenbezogene Daten gegen Missbrauch zu sichern.

(2) Die Nutzer:in sichert zu, dass die bei ihm zur Leistungserbringung eingesetzten Personen und Subunternehmer / Dienstleister mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut sind und zur Einhaltung der vorstehenden Regelungen verpflichtet sind. Die Einhaltung der datenschutzrechtlichen Vorschriften ist zu überwachen. Vertrauliche Informationen werden nur in dem Umfang an zur Leistungserbringung eingesetzte Personen und Subunternehmer / Dienstleister weitergegeben, der erforderlich ist, um den vereinbarten Zweck zu erreichen.

(3) Bei Nichterfüllung der vorstehend genannten Pflichten ist die FITKO berechtigt, Nutzer:innen temporär oder dauerhaft von der Nutzung der APIs auszuschließen.

(4) Die FITKO erbringt ihre Leistungen unter Einhaltung der für geltenden datenschutzrechtlichen Bestimmungen. Insbesondere hat die FITKO alle technischen und organisatorischen Maßnahmen gemäß Art. 32 DGSVO getroffen, die erforderlich sind, personenbezogene Daten gegen Missbrauch zu sichern. Es wurden ein Verfahrensverzeichnis, ein Protokollierungskonzept und ein Datensicherheitskonzept erstellt. Diese Dokumente sind und werden mit dem behördlichen Datenschutzbeauftragten sowie mit dem Hessischen Datenschutzbeauftragten abgestimmt und werden laufend fortgeschrieben. Die Wirksamkeit der Maßnahmen unterliegt einer regelmäßigen Kontrolle.

Datenspeicherung

(1) Die FITKO ist berechtigt, die von der Nutzer:in im Rahmen des Registrierungsprozesses zur Nutzung von FIT-Connect angegebenen personenbezogenen Daten sowie die Daten der Ansprechpartner:innen der Nutzer:in zu speichern, zu verarbeiten und zu nutzen, soweit dies nach den geltenden datenschutzrechtlichen Bestimmungen zulässig und für die Bereitstellung der Zugänge und/oder die Dokumentation der Zustimmung zu diesen Nutzungsbedingungen erforderlich ist.

(2) Die Nutzer:in ist jederzeit berechtigt, über die sie betreffenden gespeicherten personenbezogenen Daten beim fachlichen Ansprechpartner der FITKO Auskunft zu erhalten.

Nutzererklärung

Mit der Nutzung des oben beschriebenen Systems erklärt jede Nutzer:in ihr Einverständnis zu den hier deklarierten Nutzungsbedingungen. Änderungen der Nutzungsbedingungen behalten wir uns vor. Nutzer:innen sind verpflichtet, sich regelmäßig über Aktualisierungen der Nutzungsbedingungen auf den bekannt gegebenen Seiten unter https://docs.fitko.de/ zu informieren.

Nach 90 Tagen ohne Zustimmung zu den aktualisierten Nutzungsbedingungen werden das Konto und damit verknüpfte API-Clients und Zustellpunkte bis zur Zustimmung deaktiviert und können keine neuen Einreichungen stellen bzw. abrufen.

Schlussbestimmungen

(1) Sollten eine oder mehrere Bestimmungen dieser Nutzungsbedingungen nichtig oder unwirksam sein oder werden oder sollte sich eine Lücke in diesen Nutzungsbedingungen herausstellen, wird die Wirksamkeit der übrigen Bestimmungen dadurch nicht berührt. Statt der unwirksamen oder nichtigen Bestimmung gilt eine Bestimmung, welche dem Zweck der ungültigen Bestimmung in rechtswirksamer Weise so nahe wie möglich kommt. Entsprechendes gilt bei einer Regelungslücke.

(2) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Ausschließlicher Gerichtsstand ist Frankfurt am Main.