Tools:
Update via:
Synopse aller Änderungen der PAuswV am 07.10.2017
Diese Gegenüberstellung vergleicht die jeweils alte Fassung (linke Spalte) mit der neuen Fassung (rechte Spalte) aller am 7. Oktober 2017 durch Artikel 1 der 2. PAuswVÄndV geänderten Einzelnormen. Synopsen für andere Änderungstermine finden Sie in der Änderungshistorie der PAuswV.Hervorhebungen: alter Text, neuer Text
Verpasst?
PAuswV a.F. (alte Fassung) in der vor dem 07.10.2017 geltenden Fassung | PAuswV n.F. (neue Fassung) in der am 07.10.2017 geltenden Fassung durch Artikel 1 V. v. 28.09.2017 BGBl. I S. 3521 |
---|---|
Gliederung | |
(Textabschnitt unverändert) Eingangsformel Kapitel 1 Allgemeine Vorschriften § 1 Begriffsbestimmungen § 2 Technische Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik | |
(Text alte Fassung) § 3 Zertifizierung | (Text neue Fassung) § 3 Zertifizierung von Systemkomponenten |
§ 4 Dokumentationspflichten § 5 Speicherung und Löschung Kapitel 2 Übermittlung der Ausweisantragsdaten § 6 Erfassung der Anschrift § 7 Qualitätssicherung des Lichtbildes und der Fingerabdrücke § 8 Übermittlung § 9 Qualitätsstatistik Kapitel 3 Produktion § 10 Eingang der Antragsdaten § 11 Muster für den Personalausweis § 12 Muster für den vorläufigen Personalausweis § 12a Muster für den Ersatz-Personalausweis § 13 Schnittstelle des elektronischen Speicher- und Verarbeitungsmediums § 14 Speicherung von personenbezogenen Daten; Zugriffsschutz § 15 Übermittlung und Übersendung des Sperrkennworts an die Personalausweisbehörde § 16 Übermittlung der Sperrsumme und des Sperrschlüssels an den Sperrlistenbetreiber § 17 Übersendung der Geheimnummer, der Entsperrnummer und des Sperrkennworts Kapitel 4 Aushändigung § 18 Aushändigung des Personalausweises Kapitel 5 Änderung von Daten § 19 Änderung der Anschrift § 20 Neusetzung und Änderung der Geheimnummer | |
§ 21 Mehrfache Fehleingabe der Geheimnummer | § 21 (aufgehoben) |
Kapitel 6 Nutzung des elektronischen Identitätsnachweises | |
§ 22 Nachträgliches Aus- und Einschalten § 23 Voraussetzungen für die Nutzung bei dem Ausweisinhaber | § 22 Nachträgliches Einschalten § 23 (aufgehoben) |
Kapitel 7 Sperrung und Entsperrung des elektronischen Identitätsnachweises § 24 Referenzliste; allgemeine Sperrliste § 25 Sperrung des elektronischen Identitätsnachweises § 26 Entsperrung des elektronischen Identitätsnachweises § 27 Auskunft über Sperrung Kapitel 8 Beantragung von Berechtigungen | |
§ 28 Antrag § 29 Anforderungen an Datenschutz und -sicherheit | § 28 Antrag auf Erteilung einer Berechtigung für Vor-Ort-Diensteanbieter und sonstige Diensteanbieter § 29 Antrag auf Erteilung einer Berechtigung für Identifizierungsdiensteanbieter; Vorgaben zu Datenschutz und Datensicherheit bei Identifizierungsdiensteanbietern § 29a Einholung von Stellungnahmen der Datenschutzaufsichtsbehörden |
§ 30 Öffentliche Liste der Berechtigungen Kapitel 9 Ausgabe von Berechtigungszertifikaten § 31 Angaben vor der Ausgabe von Berechtigungszertifikaten § 32 Beachtung der Anforderungen des Inhabers der Wurzelzertifikate § 33 Beachtung der Berechtigung durch den Berechtigungszertifikateanbieter § 34 Gültigkeitsdauer von Berechtigungszertifikaten § 35 Speicherung, Abruf und Verwendung von Daten durch Berechtigungszertifikateanbieter § 36 Ausgabe von hoheitlichen Berechtigungszertifikaten | |
§ 36a Ausgabe von Berechtigungszertifikaten für öffentliche Stellen anderer Mitgliedstaaten | |
Kapitel 10 Schlussvorschriften § 37 Übergangsregelungen § 38 Inkrafttreten Schlussformel Anhang 1 Muster des Personalausweises Anhang 2 Muster des vorläufigen Personalausweises Anhang 2a Muster des Ersatz-Personalausweises Anhang 3 Formale Anforderungen an die Einträge in Ausweisen im Sinne des § 2 Absatz 1 des Personalausweisgesetzes | |
Anhang 4 Übersicht über die Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik Anhang 5 Übersicht über die zu zertifizierenden Systemkomponenten | Anhang 4 Übersicht über die zu zertifizierenden Systemkomponenten |
§ 2 Technische Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik | |
1 Nach dem Stand der Technik sind zu erfüllen 1. die technischen Anforderungen an a) die Speicherung des Lichtbildes und der Fingerabdrücke und b) den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Daten sowie 2. die technischen und organisatorischen Anforderungen an | |
a) die Erfassung und Qualitätssicherung des Lichtbildes und der Fingerabdrücke, b) die Übermittlung sämtlicher Ausweisantragsdaten von den Personalausweisbehörden an den Ausweishersteller, c) den elektronischen Identitätsnachweis und | a) die Erfassung, Echtheitsbewertung und Qualitätssicherung des Lichtbildes und der Fingerabdrücke, b) die Übermittlung sämtlicher Ausweisantragsdaten und die in § 8 Absatz 1 Satz 2 genannten Daten von den Personalausweisbehörden an den Ausweishersteller, c) den elektronischen Identitätsnachweis und das Vor-Ort-Auslesen und |
d) die Geheimnummer, die Sperrung und Entsperrung des elektronischen Identitätsnachweises durch den Ausweisinhaber und die Speicherung und Löschung der Sperrmerkmale und des Sperrkennwortes, insbesondere an die dabei einzusetzenden technischen Systeme und Kommunikationswege. | |
2 Der Stand der Technik ist als niedergelegt zu vermuten in den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik. 3 Diese sind in Anhang 4 aufgeführt und gelten in der jeweils im Bundesanzeiger veröffentlichten Fassung. | 2 Der Stand der Technik ist als niedergelegt zu vermuten in den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik. 3 Die Übersicht über die Technischen Richtlinien wird im Bundesanzeiger veröffentlicht; die jeweils geltende Fassung der Technischen Richtlinien wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik bekannt gemacht. |
§ 3 Zertifizierung | § 3 Zertifizierung von Systemkomponenten |
(1) Die Systemkomponenten der Personalausweisbehörden, des Ausweisherstellers, der Diensteanbieter und ihrer Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes, deren Zertifizierung verpflichtend oder optional ist, ergeben sich aus dem Anhang 5. Die Art und die Einzelheiten der Zertifizierung sind den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik zu entnehmen. (2) Für die Zertifizierung gilt § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) sowie die BSI-Zertifizierungsverordnung vom 7. Juli 1992 (BGBl. I S. 1230) in der jeweils geltenden Fassung. (3) Die Kosten der Zertifizierung trägt der Antragsteller. Die BSI-Kostenverordnung vom 3. März 2005 (BGBl. I S. 519) in der jeweils geltenden Fassung findet Anwendung. | (1) 1 Die Systemkomponenten der Personalausweisbehörden, des Ausweisherstellers, der Diensteanbieter und ihrer Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes, deren Zertifizierung verpflichtend oder optional ist, ergeben sich aus dem Anhang 5. 2 Die Art und die Einzelheiten der Zertifizierung sind den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik zu entnehmen. (2) Für die Zertifizierung gelten § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist, sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231), die durch Artikel 40 des Gesetzes vom 29. März 2017 (BGBl. I S. 626) geändert worden ist, in der jeweils geltenden Fassung. (3) 1 Die Kosten der Zertifizierung trägt der Antragsteller. 2 Die BSI-Kostenverordnung vom 3. März 2005 (BGBl. I S. 519) in der jeweils geltenden Fassung findet Anwendung. |
§ 4 Dokumentationspflichten | |
(1) Die Personalausweisbehörde dokumentiert für die Zwecke des elektronischen Identitätsnachweises: 1. Erklärungen des Ausweisinhabers, die im Rahmen der Antragstellung und Ausweisverwaltung erfolgt sind; 2. das Datum und die Uhrzeit der Ausgabe des Personalausweises; 3. das Datum und die Uhrzeit der Übergabe des Briefes mit der Geheimnummer, der Entsperrnummer und dem Sperrkennwort, falls die Personalausweisbehörde den Brief übergibt; | |
4. die Ausschaltung des elektronischen Identitätsnachweises mit Datum und Uhrzeit der Ausschaltung sowie die Personalausweisbehörde, die den elektronischen Identitätsnachweis ausgeschaltet hat; 5. die Einschaltung des elektronischen Identitätsnachweises mit Datum und Uhrzeit der Einschaltung sowie die Personalausweisbehörde, die den elektronischen Identitätsnachweis eingeschaltet hat; 6. den Sperrantrag durch den Ausweisinhaber, die Übermittlung der Sperrsumme an den Sperrlistenbetreiber sowie das Datum und die Uhrzeit von Antrag und Übermittlung; 7. den Entsperrantrag des Ausweisinhabers, die Übermittlung der Sperrsumme an den Sperrlistenbetreiber sowie das Datum und die Uhrzeit von Antrag und Übermittlung. | 4. die Einschaltung des elektronischen Identitätsnachweises mit Datum und Uhrzeit der Einschaltung sowie die Personalausweisbehörde, die den elektronischen Identitätsnachweis eingeschaltet hat; 5. den Sperrantrag durch den Ausweisinhaber, die Übermittlung der Sperrsumme an den Sperrlistenbetreiber sowie das Datum und die Uhrzeit von Antrag und Übermittlung; 6. den Entsperrantrag des Ausweisinhabers, die Übermittlung der Sperrsumme an den Sperrlistenbetreiber sowie das Datum und die Uhrzeit von Antrag und Übermittlung. |
(2) Der Sperrnotruf dokumentiert für die Zwecke des elektronischen Identitätsnachweises den Sperrantrag durch den Ausweisinhaber, die Übermittlung der Sperrsumme an den Sperrlistenbetreiber sowie das Datum und die Uhrzeit von Antrag und Übermittlung. (3) Der Sperrlistenbetreiber dokumentiert 1. im Zusammenhang mit der Sperrung des elektronischen Identitätsnachweises a) den Eingang des Sperrantrages mit der Sperrsumme sowie das Datum und die Uhrzeit des Eingangs, b) die Aufnahme des allgemeinen Sperrmerkmals in die Sperrliste sowie das Datum und die Uhrzeit der Sperrung, c) die Anfrage zur Erzeugung der Sperrliste sowie das Datum und die Uhrzeit der Erzeugung und d) den tatsächlichen Abruf sowie das Datum und die Uhrzeit des tatsächlichen Abrufs sowie 2. im Zusammenhang mit der Entsperrung des elektronischen Identitätsnachweises a) den Eingang des Entsperrantrages mit der Sperrsumme sowie das Datum und die Uhrzeit des Eingangs, b) die Entfernung des allgemeinen Sperrmerkmals aus der Sperrliste sowie das Datum und die Uhrzeit der Entfernung, c) die Bereitstellung der Sperrliste zum Abruf sowie das Datum und die Uhrzeit der Bereitstellung sowie d) den tatsächlichen Abruf sowie das Datum und die Uhrzeit des tatsächlichen Abrufs. | |
§ 8 Übermittlung | |
(1) 1 Nachdem die Personalausweisbehörde alle Antragsdaten erfasst hat, führt sie diese zu einem digitalen Datensatz zusammen und übermittelt sie dem Ausweishersteller. 2 Die Datenübermittlung umfasst auch | |
1. die Qualitätswerte zu den Fingerabdrücken, soweit diese abgenommen wurden, 2. die Qualitätswerte zu den Lichtbildern, 3. die Versionsnummern der Qualitätssicherungssoftware, 4. die Sollwerte der Qualitätssicherungssoftware, 5. die technischen Eigenschaften der gespeicherten biometrischen Daten gemäß ISO-Standard 19794, 6. die Behördenkennzahl sowie 7. den Zeitstempel des Ausweisantrages. 3 Die Datenübermittlung erfolgt entweder durch Datenübertragung über die informationstechnischen Netze von Bund und Ländern oder über allgemein zugängliche Netze. 4 Soweit die Datenübermittlung zwischen informationstechnischen Netzen von Bund und Ländern stattfindet, ist dafür spätestens ab dem 1. Januar 2015 nach § 3 des Gesetzes über die Verbindung der informationstechnischen Netze des Bundes und der Länder vom 10. August 2009 (BGBl. I S. 2706) *) das Verbindungsnetz zu nutzen. 5 Die zu übermittelnden Daten sind nach dem Stand der Technik fortgeschritten elektronisch zu signieren und zu verschlüsseln. | 1. die technischen Eigenschaften der gespeicherten Daten, 2. die Behördenkennzahl sowie 3. anonymisierte Protokolldaten zur Erfassung und Qualitätssicherung des Lichtbildes und der Fingerabdrücke. 3 Die Datenübermittlung erfolgt entweder durch Datenübertragung über die informationstechnischen Netze von Bund und Ländern oder über allgemein zugängliche Netze. 4 Soweit die Datenübermittlung zwischen informationstechnischen Netzen von Bund und Ländern stattfindet, ist dafür spätestens ab dem 1. Januar 2015 nach § 3 des Gesetzes über die Verbindung der informationstechnischen Netze des Bundes und der Länder vom 10. August 2009 (BGBl. I S. 2706) *) das Verbindungsnetz zu nutzen. 5 Die zu übermittelnden Daten sind nach dem Stand der Technik elektronisch zu signieren und zu verschlüsseln. |
(2) Zum Signieren und Verschlüsseln der nach Absatz 1 zu übermittelnden Daten sind geeignete gültige Zertifikate aus der untergeordneten Zertifizierungsinstanz 'Hoheitliche Dokumente' der Deutschland-Online-Infrastruktur zu verwenden. (3) 1 Für die Übermittlung der Daten an den Ausweishersteller nach Absatz 1 Satz 3 wird das Datenformat XhD auf der Basis des Datenübermittlungsprotokolls OSCI-Transport verwendet. 2 Die Datenübermittlung kann auch über Vermittlungsstellen erfolgen. 3 Die beteiligten Stellen haben dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten sowie die Feststellbarkeit der übermittelnden Stelle gewährleisten; insofern sind dem jeweiligen Stand der Technik entsprechende Verschlüsselungsverfahren - auch im Fall der Nutzung allgemein zugänglicher Netze - anzuwenden. 4 Das Auswärtige Amt kann für die Datenübermittlung an den Ausweishersteller ein abweichendes Übermittlungsprotokoll verwenden. 5 Die Datenübermittlung zwischen dem Auswärtigen Amt und seinen Auslandsvertretungen muss hinsichtlich Datensicherheit und Datenschutz ein den Anforderungen dieser Verordnung entsprechendes Niveau aufweisen. (4) 1 Vor der Übermittlung der Ausweisdaten hinterlegen Personalausweisbehörden, Ausweishersteller und Vermittlungsstellen alle für eine elektronische und automatisierte Kommunikation benötigten technischen Verbindungsparameter im Deutschen Verwaltungsdiensteverzeichnis (DVDV), insbesondere die dafür erforderlichen Zertifikate. 2 Der Ausweishersteller nutzt eine Funktionalität des DVDV, um die Personalausweisbehörde als eine solche zu verifizieren. 3 Das Auswärtige Amt kann die benötigten technischen Verbindungsparameter und die damit verbundenen erforderlichen Zertifikate technisch unabhängig vom Deutschen Verwaltungsdiensteverzeichnis (DVDV) lösen. 4 Die Lösung muss hinsichtlich Datensicherheit und Datenschutz ein den Anforderungen dieser Verordnung entsprechendes Niveau aufweisen. --- *) Anm. d. Red.: Gemeint ist vermutlich das 'Gesetz über die Verbindung der informationstechnischen Netze des Bundes und der Länder - Gesetz zur Ausführung von Artikel 91c Absatz 4 des Grundgesetzes -', dessen Fundstelle G. v. 10. August 2009 (BGBl. I S. 2702, 2706) | |
§ 14 Speicherung von personenbezogenen Daten; Zugriffsschutz | |
(1) 1 Alle im elektronischen Speicher- und Verarbeitungsmedium des Personalausweises gespeicherten personenbezogenen Daten sind gegen unbefugten Zugriff zu schützen. 2 Es ist insbesondere sicherzustellen, dass | |
1. vor der Übermittlung personenbezogener Daten die Geheimnummer, die Zugangsnummer oder die Daten der maschinenlesbaren Zone (MRZ) eingegeben werden müssen, | 1. vor der Übermittlung personenbezogener Daten die Geheimnummer, die Zugangsnummer oder die Daten der maschinenlesbaren Zone (MRZ) an das elektronische Speicher- und Verarbeitungsmedium übermittelt werden müssen, |
2. Zugriffsrechte über Berechtigungszertifikate nachgewiesen werden müssen und 3. alle personenbezogenen Daten zwischen dem elektronischen Speicher- und Verarbeitungsmedium und Inhabern von Berechtigungszertifikaten verschlüsselt übermittelt werden. (2) Der Personalausweis ist so herzustellen, dass personenbezogene Daten ausschließlich ausgelesen werden können durch | |
1. Behörden, die zur Identitätsfeststellung berechtigt sind und ein hoheitliches Berechtigungszertifikat nutzen, oder 2. berechtigte Diensteanbieter, die ein Berechtigungszertifikat nutzen, nach Eingabe der Geheimnummer durch den Ausweisinhaber. | 1. Behörden, die ein hoheitliches Berechtigungszertifikat nutzen, 2. berechtigte Diensteanbieter, die ein Berechtigungszertifikat nutzen, nach Eingabe der Geheimnummer durch den Ausweisinhaber, oder 3. berechtigte Vor-Ort-Diensteanbieter, die ein Vor-Ort-Zertifikat nutzen, nach Übermittlung der Zugangsnummer an das elektronische Speicher- und Verarbeitungsmedium. |
§ 18 Aushändigung des Personalausweises | |
(1) Erklärt die antragstellende Person, den elektronischen Identitätsnachweis nicht nutzen zu wollen, schaltet die Personalausweisbehörde den elektronischen Identitätsnachweis aus. (2) Bestätigt die antragstellende Person den Empfang des Briefes nach § 17 Absatz 7 nicht, darf der Personalausweis nur mit ausgeschaltetem elektronischem Identitätsnachweis übergeben werden. | (1) (aufgehoben) (2) Bestätigt die antragstellende Person den Empfang des Briefes nach § 17 Absatz 7 nicht, darf die Personalausweisbehörde den ausgestellten Ausweis nur übergeben, wenn sie zuvor die Neusetzung der Geheimnummer nach § 20 Absatz 1 bewirkt hat. |
(3) Der Ausweisinhaber kann sich die auslesbaren personenbezogenen Daten, die auf seinem Personalausweis gespeichert sind, jederzeit bei einer Personalausweisbehörde anzeigen lassen. (4) Für das Lesen der Daten nach den Absätzen 1 und 3 sind zertifizierte Lesegeräte mit hoheitlichem Berechtigungszertifikat zu verwenden. (5) Die Personalausweisbehörde im Ausland darf Personalausweise im Ausland auf dem Postweg an die antragstellende Person versenden, sofern die Abholung des Personalausweises für die antragstellende Person nur unter unzumutbaren Zuständen möglich wäre. | |
§ 21 Mehrfache Fehleingabe der Geheimnummer | § 21 (aufgehoben) |
(1) Wurde die Geheimnummer zwei Mal falsch eingegeben, kann durch vorherige Eingabe der Zugangsnummer ein dritter Eingabeversuch freigegeben werden. (2) Wurde die Geheimnummer drei Mal falsch eingegeben, kann der elektronische Identitätsnachweis nur genutzt werden, wenn die Entsperrnummer eingegeben wird und diese nicht bereits zehn Mal benutzt wurde. Eine Verwendung der Entsperrnummer ist nach zehnmaliger Nutzung nicht mehr möglich. Sofern die Geheimnummer nach dreimaliger Falscheingabe gesperrt wurde, kann die Neusetzung der Geheimnummer ausschließlich in der Personalausweisbehörde erfolgen. | |
§ 22 Nachträgliches Aus- und Einschalten | § 22 Nachträgliches Einschalten |
(1) 1 Bevor die ausstellende oder zuständige Personalausweisbehörde einen eingeschalteten elektronischen Identitätsnachweis nach § 10 Absatz 3 Satz 2 des Personalausweisgesetzes ausschaltet, prüft sie die Identität des Ausweisinhabers. 2 Die Personalausweisbehörde speichert die Tatsache der Ausschaltung im Personalausweisregister. 3 Handelt die zuständige Personalausweisbehörde, informiert sie die ausstellende Personalausweisbehörde über die Ausschaltung. 4 In diesem Fall speichert die ausstellende Personalausweisbehörde die Tatsache der Ausschaltung im Personalausweisregister. (2) 1 Bevor die ausstellende oder zuständige Personalausweisbehörde einen ausgeschalteten elektronischen Identitätsnachweis nach § 10 Absatz 3 Satz 1 des Personalausweisgesetzes einschaltet, prüft sie die Identität des Ausweisinhabers. 2 Die Personalausweisbehörde löscht die Tatsache der Ausschaltung im Personalausweisregister. 3 Handelt die zuständige Personalausweisbehörde, findet Absatz 1 Satz 3 und 4 entsprechende Anwendung. 4 Die Personalausweisbehörde initiiert bei jeder nachträglichen Einschaltung die Neusetzung der Geheimnummer durch den Ausweisinhaber und teilt ihm auf Wunsch das Sperrkennwort aus dem Personalausweisregister mit. (3) Für das nachträgliche Ein- und Ausschalten des elektronischen Identitätsnachweises nach den Absätzen 1 und 2 sind zertifizierte Geräte mit hoheitlichem Berechtigungszertifikat zu verwenden. | (1) (aufgehoben) (2) 1 Bevor die ausstellende oder zuständige Personalausweisbehörde einen ausgeschalteten elektronischen Identitätsnachweis nach § 10 Absatz 3 Satz 1 des Personalausweisgesetzes einschaltet, prüft sie die Identität des Ausweisinhabers. 2 Die Personalausweisbehörde löscht die Tatsache der Ausschaltung im Personalausweisregister. 3 Handelt die zuständige Personalausweisbehörde, informiert sie die ausstellende Personalausweisbehörde über die Einschaltung; in diesem Fall löscht die ausstellende Personalausweisbehörde die Tatsache der Ausschaltung im Personalausweisregister. 4 Die Personalausweisbehörde initiiert bei jeder nachträglichen Einschaltung die Neusetzung der Geheimnummer durch den Ausweisinhaber und teilt ihm auf Wunsch das Sperrkennwort aus dem Personalausweisregister mit. (3) Für das nachträgliche Einschalten des elektronischen Identitätsnachweises nach Absatz 2 sind zertifizierte Geräte mit hoheitlichem Berechtigungszertifikat zu verwenden. |
§ 23 Voraussetzungen für die Nutzung bei dem Ausweisinhaber | § 23 (aufgehoben) |
(1) Vor erstmaliger Nutzung des elektronischen Identitätsnachweises soll der Ausweisinhaber die Geheimnummer einmalig durch Eingabe der im Brief übersandten ursprünglichen Geheimnummer neu setzen. (2) Der Ausweisinhaber soll sicherstellen, dass insbesondere folgende Komponenten bei der Nutzung des elektronischen Identitätsnachweises eingesetzt werden: 1. informationstechnische Systeme mit geeigneten Abwehrmaßnahmen gegen Sicherheitslücken nach dem Stand der Technik; 2. Lesegeräte, die durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert worden sind; 3. Software zur Nutzung des elektronischen Identitätsnachweises, die durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert worden ist. | |
§ 28 Antrag | § 28 Antrag auf Erteilung einer Berechtigung für Vor-Ort-Diensteanbieter und sonstige Diensteanbieter |
(1) Um das Vorliegen der Voraussetzungen des § 21 Absatz 2 Satz 1 des Personalausweisgesetzes überprüfen zu können, muss ein Antrag nach § 21 Absatz 1 Satz 1 des Personalausweisgesetzes enthalten: 1. Angaben zur Identitätsfeststellung von juristischen und natürlichen Personen; bei natürlichen Personen sind dies insbesondere der Familienname, die Vornamen, der Tag und der Ort der Geburt sowie die Anschrift der Hauptwohnung; bei juristischen Personen sind diese insbesondere der Name, die Anschrift des Sitzes, die Rechtsform und die Bevollmächtigten; außerdem ist in diesem Fall eine Kopie des Handelsregisterauszugs oder der Errichtungsurkunde beizulegen; 2. Kontaktdaten, insbesondere die Telefon- und Faxnummer sowie die E-Mail-Adresse; | (1) Der Antrag auf Erteilung einer Berechtigung nach § 21 Absatz 2 des Personalausweisgesetzes oder der Antrag auf Erteilung einer Vor-Ort-Berechtigung nach § 21a des Personalausweisgesetzes muss folgende Angaben enthalten: 1. Angaben, die zur Feststellung der Identität von juristischen und natürlichen Personen notwendig sind, a) bei natürlichen Personen insbesondere der Familienname, die Vornamen, der Tag und der Ort der Geburt sowie die Anschrift der Hauptwohnung, b) bei juristischen Personen insbesondere der Name, die Anschrift des Sitzes, die Rechtsform und die Bevollmächtigten; außerdem ist in diesem Fall eine Kopie des Handelsregisterauszugs oder der Errichtungsurkunde beizufügen; 2. Kontaktdaten, insbesondere die telefonische oder elektronische Erreichbarkeit; |
3. Angaben zu antragstellenden Personen mit Wohnung oder Sitz außerhalb Deutschlands, soweit zur eindeutigen länderspezifischen Identifizierung erforderlich, einschließlich einer ladungsfähigen Anschrift; soweit eine Niederlassung in Deutschland besteht, sind auch deren Angaben nach den Nummern 1 und 2 aufzunehmen; | |
4. eine Beschreibung des Diensteanbieters und seiner Tätigkeitsfelder sowie die Angabe der Unternehmenswebsite, soweit vorhanden; 5. eine Beschreibung des Diensteangebots für das das Berechtigungszertifikat gelten soll, einschließlich einer Angabe der Internetseite, auf der das Berechtigungszertifikat genutzt wird, oder des Standortes bei Automaten und eines Verweises auf die für das Angebot geltende Datenschutzerklärung; 6. eine hinreichende Beschreibung des Zwecks der Datenerhebung, für den die Berechtigung ausgestellt werden soll; 7. eine Angabe der Datenkategorien nach § 18 Absatz 3 des Personalausweisgesetzes, auf die die antragstellende Person zugreifen möchte; hierbei ist für jede Datenkategorie zu begründen, warum es für den dargelegten Zweck erforderlich ist, die Daten zu erheben; 8. Angaben zum oder zur betrieblichen oder behördlichen Datenschutzbeauftragten nach § 4f des Bundesdatenschutzgesetzes (Name, Anschrift, Telefonnummer, E-Mail-Adresse) und zur zuständigen Datenschutzaufsichtsbehörde (Name, Sitz, Anschrift, Telefonnummer, E-Mail-Adresse); 9. die Angabe, ob die antragstellende Person sich eines Auftragnehmers nach § 11 des Bundesdatenschutzgesetzes zur Durchführung des elektronischen Identitätsnachweises bedienen wird und gegebenenfalls die Angaben nach Nummer 1 für diesen Auftragnehmer; ist diese Angabe zum Zeitpunkt des Antrages noch nicht bekannt, so ist sie sobald bekannt unverzüglich nachzuliefern. (2) Der Antrag ist von der antragstellenden Person zu unterschreiben oder mit einer qualifizierten elektronischen Signatur zu versehen. Die antragstellende Person ist zu identifizieren durch: 1. persönliches Erscheinen und Vorlage eines amtlichen Lichtbildausweises der antragstellenden Person, bei juristischen Personen einer vertretungsberechtigten Person bei der Vergabestelle für Berechtigungszertifikate oder geeigneten Dritten, 2. eine qualifizierte elektronische Signatur oder 3. den elektronischen Identitätsnachweis. Die Vergabestelle für Berechtigungszertifikate bestimmt, welche der genannten Arten des Identitätsnachweises genutzt werden können. | 4. eine kurze Beschreibung des Diensteanbieters und seiner Tätigkeitsfelder sowie die Angabe der Unternehmenswebsite, soweit vorhanden; 5. eine kurze Beschreibung des dem Antrag zu Grunde liegenden Interesses an einer Berechtigung; darzulegen ist, welche Funktion a) im Falle eines Antrages auf Erteilung einer Berechtigung nach § 21 Absatz 2 des Personalausweisgesetzes der elektronische Identitätsnachweis oder b) im Falle eines Antrages auf Erteilung einer Vor-Ort-Berechtigung nach § 21a des Personalausweisgesetzes das Vor-Ort-Auslesen im Rahmen der behördlichen Aufgabenwahrnehmung oder der vorgesehenen Geschäftszwecke der antragstellenden Person erfüllen soll; 6. die Angabe der Datenkategorien nach § 18 Absatz 3 des Personalausweisgesetzes, auf die die antragstellende Person zugreifen möchte; 7. die Erklärung, dass der Diensteanbieter den betrieblichen Datenschutz einhält; 8. die Angabe, ob die antragstellende Person sich eines Auftragnehmers nach § 11 des Bundesdatenschutzgesetzes zur Durchführung des elektronischen Identitätsnachweises oder des Vor-Ort-Auslesens bedienen wird und in diesem Fall die Angaben nach Nummer 1 für diesen Auftragnehmer; ist diese Angabe zum Zeitpunkt des Antrages noch nicht bekannt, so ist sie, sobald bekannt, unverzüglich nachzuliefern. (2) Der Antrag bedarf der Schriftform. |
§ 29 Anforderungen an Datenschutz und -sicherheit | § 29 Antrag auf Erteilung einer Berechtigung für Identifizierungsdiensteanbieter; Vorgaben zu Datenschutz und Datensicherheit bei Identifizierungsdiensteanbietern |
(1) Anforderungen im Sinne des § 21 Absatz 2 Satz 1 Nummer 4 des Personalausweisgesetzes liegen insbesondere nicht vor, wenn 1. der Zweck der Datenerhebung ausschließlich in der Auslesung oder Bereitstellung personenbezogener Daten aus dem Personalausweis für Dritte besteht, 2. der Staat des Wohnsitzes oder des Sitzes der antragstellenden Person kein angemessenes Datenschutzniveau gewährleistet entsprechend der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31), 3. der elektronische Identitätsnachweis für den Diensteanbieter durch einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes durchgeführt wird und hierbei kein wirksames Auftragsverhältnis nach § 11 des Bundesdatenschutzgesetzes zwischen dem Diensteanbieter und dem Auftragnehmer besteht, 4. der Diensteanbieter einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes gewählt hat, der die technischen und organisatorischen Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik für die sichere Bereitstellung des elektronischen Identitätsnachweises nicht erfüllt. (2) 1 Die Anforderungen an die Datensicherheit im Sinne des § 21 Absatz 2 Satz 1 Nummer 4 des Personalausweisgesetzes sind durch die Diensteanbieter nach dem Stand der Technik zu erfüllen. 2 Art und Umfang der einzusetzenden Systemkomponenten legt die Vergabestelle für Berechtigungszertifikate in der Berechtigung fest. 3 Die Vergabestelle für Berechtigungszertifikate legt in Richtlinien die weiteren technischen und organisatorischen Anforderungen fest, die ein Diensteanbieter zu erfüllen hat, um für die Nutzung von Berechtigungszertifikaten zugelassen zu werden. 4 Die Richtlinien gelten in der jeweils im Bundesanzeiger veröffentlichten Fassung. (3) Vor Erteilung einer Berechtigung für einen nichtöffentlichen Diensteanbieter kann die Vergabestelle für Berechtigungszertifikate eine Stellungnahme der zuständigen Datenschutzaufsichtsbehörde einholen, ob dort Umstände bekannt sind, aus denen sich Anhaltspunkte für eine missbräuchliche Verwendung der Berechtigung ergeben. | (1) Für den Antrag auf Erteilung einer Berechtigung für Identifizierungsdiensteanbieter nach § 21b des Personalausweisgesetzes gilt § 28 entsprechend. (2) 1 Die nach § 21b Absatz 2 Satz 1 Nummer 1 des Personalausweisgesetzes einzuhaltenden technisch-organisatorischen Maßnahmen und die weiteren Anforderungen an die Datensicherheit nach § 21 Absatz 2 Satz 1 Nummer 2 des Personalausweisgesetzes legt das Bundesamt für Sicherheit in der Informationstechnik im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in einer Technischen Richtlinie fest. 2 Dies umfasst insbesondere Anforderungen an die Datenspeicherung und -löschung, das einzusetzende Verschlüsselungsverfahren sowie an das Informationssicherheitsmanagement. (3) 1 Die Einhaltung der in Absatz 2 genannten Voraussetzungen hat der Antragsteller durch Vorlage eines Zertifikats des Bundesamtes für Sicherheit in der Informationstechnik nachzuweisen. 2 Das Bundesamt für Sicherheit in der Informationstechnik darf sich bei seiner Überprüfung externer Dienstleister bedienen. 3 Die hierbei anfallenden Kosten trägt der Antragsteller. (4) Die weiteren Anforderungen an den Datenschutz nach § 21b Absatz 2 Satz 1 Nummer 2 des Personalausweisgesetzes liegen nicht vor, wenn 1. der Staat des Wohnsitzes oder des Sitzes der antragstellenden Person kein angemessenes Datenschutzniveau gewährleistet entsprechend der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31), 2. der elektronische Identitätsnachweis für den Identifizierungsdiensteanbieter durch einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes durchgeführt wird und hierbei kein wirksames Auftragsverhältnis nach § 11 des Bundesdatenschutzgesetzes zwischen dem Diensteanbieter und dem Auftragnehmer besteht, 3. der Identifizierungsdiensteanbieter einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes gewählt hat, der die technischen und organisatorischen Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik für die sichere Bereitstellung des elektronischen Identitätsnachweises nicht erfüllt oder 4. der Identifizierungsdiensteanbieter nicht die Voraussetzungen des § 21 Absatz 2 des Personalausweisgesetzes erfüllt. |
§ 29a (neu) | § 29a Einholung von Stellungnahmen der Datenschutzaufsichtsbehörden |
1 Die Vergabestelle für Berechtigungszertifikate kann jederzeit eine Stellungnahme der zuständigen Datenschutzaufsichtsbehörde einholen, ob dort Umstände bekannt sind, aus denen sich Anhaltspunkte für eine missbräuchliche Verwendung der Berechtigung ergeben. 2 Vor Erteilung der Berechtigung soll die Vergabestelle die Stellungnahme der Datenschutzaufsichtsbehörde nur in Zweifelsfällen abwarten. | |
§ 31 Angaben vor der Ausgabe von Berechtigungszertifikaten | |
Berechtigungszertifikateanbieter dürfen Berechtigungszertifikate für den elektronischen Identitätsnachweis bereitstellen, wenn sie vor Aufnahme dieser Tätigkeit gegenüber der Vergabestelle für Berechtigungszertifikate die in § 28 Absatz 1 Nummer 1 bis 3, 8 und 9 sowie Absatz 2 aufgeführten Angaben gemacht haben. | Berechtigungszertifikateanbieter dürfen Berechtigungszertifikate für den elektronischen Identitätsnachweis bereitstellen, wenn sie vor Aufnahme dieser Tätigkeit gegenüber der Vergabestelle für Berechtigungszertifikate die in § 28 Absatz 1 Nummer 1 bis 3, 7 und 8 *) sowie Absatz 2 aufgeführten Angaben gemacht haben. --- *) Anm. d. Red.: Die nicht durchführbare Änderung in Artikel 1 Nr. 13 V. v. 28. September 2017 (BGBl. I S. 3521) wurde sinngemäß konsolidiert. |
§ 32 Beachtung der Anforderungen des Inhabers der Wurzelzertifikate | |
1 Das Bundesamt für Sicherheit in der Informationstechnik ist Inhaber der Wurzelzertifikate für Berechtigungszertifikate zum elektronischen Identitätsnachweis. 2 Die Zertifikatsrichtlinien des Bundesamtes für Sicherheit in der Informationstechnik für die technischen und organisatorischen Voraussetzungen für die Ausstellung von Berechtigungszertifikaten sind vom Berechtigungszertifikateanbieter einzuhalten. 3 Die Richtlinien gelten in der jeweils im Bundesanzeiger veröffentlichten Fassung. | 1 Das Bundesamt für Sicherheit in der Informationstechnik ist Inhaber der Wurzelzertifikate für Berechtigungszertifikate zum elektronischen Identitätsnachweis. 2 Die Zertifikatsrichtlinien des Bundesamtes für Sicherheit in der Informationstechnik für die technischen und organisatorischen Voraussetzungen für die Ausstellung von Berechtigungszertifikaten sind vom Berechtigungszertifikateanbieter einzuhalten. 3 Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik bekannt gemacht. |
§ 36 Ausgabe von hoheitlichen Berechtigungszertifikaten | |
(1) Hoheitliche Berechtigungszertifikate nach § 2 Absatz 4 Satz 3 des Personalausweisgesetzes dürfen ausschließlich an die zur Identitätsfeststellung berechtigten Behörden ausgegeben werden. | (1) 1 Hoheitliche Berechtigungszertifikate nach § 2 Absatz 4 Satz 3 des Personalausweisgesetzes dürfen vorbehaltlich von Satz 2 ausschließlich an die zur Identitätsfeststellung berechtigten Behörden ausgegeben werden. 2 Zum Zwecke der Qualitätssicherung anhand von Testausweisen dürfen hoheitliche Berechtigungszertifikate auch an das Bundesamt für Sicherheit in der Informationstechnik ausgegeben werden. |
(2) Das Bundesministerium des Innern bestimmt, welche Stellen hoheitliche Berechtigungszertifikate an welche zur Identitätsfeststellung berechtigten Behörden ausgeben dürfen, und veröffentlicht dies im Bundesanzeiger. (3) Die Gültigkeitsdauer hoheitlicher Berechtigungszertifikate wird nach den Vorgaben des § 34 Satz 3 vom Bundesamt für Sicherheit in der Informationstechnik festgelegt. (4) Zur Ausgabe berechtigte Stellen dokumentieren Empfänger, zugrunde liegende Berechtigung sowie das Datum und die Uhrzeit der Ausgabe von Berechtigungszertifikaten. | |
§ 36a (neu) | § 36a Ausgabe von Berechtigungszertifikaten für öffentliche Stellen anderer Mitgliedstaaten |
1 Der Bund stellt Berechtigungszertifikate für öffentliche Stellen anderer Mitgliedstaaten zur Verfügung. 2 Die Kommunikation und die Identifizierung der öffentlichen Stellen erfolgt über die einheitlichen Ansprechpartner nach dem Durchführungsbeschluss (EU) 2015/296 der Kommission vom 24. Februar 2015 zur Festlegung von Verfahrensmodalitäten für die Zusammenarbeit zwischen den Mitgliedstaaten auf dem Gebiet der elektronischen Identifizierung gemäß Artikel 12 Absatz 7 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (ABl. L 53 vom 25.2.2015, S. 14). | |
Anhang 4 Übersicht über die Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik | Anhang 4 (aufgehoben) |
1. BSI: Technische Richtlinie TR-02102, Kryptographische Verfahren: Empfehlungen und Schlüssellängen 2. BSI: Technische Richtlinie TR-03104, Technische Richtlinie zur Produktionsdatenerfassung, -qualitätsprüfung und -übermittlung für hoheitliche Dokumente (TR PDÜ hD) 3. BSI: Technische Richtlinie TR-03110, Advanced Security Mechanisms for Machine Readable Travel Documents - Extended Access Control (EAC), Password Authenticated Connection Establishment (PACE) and Restricted Identification (RI) [Fortgeschrittene Sicherheitsmechanismen für maschinenlesbare Reisedokumente] 4. BSI: Technische Richtlinie TR-03111, Elliptic Curve Cryptography (ECC) [Elliptische-Kurven-Kryptographie] 5. BSI: Technische Richtlinie TR-03112, eCard-API-Framework 6. BSI: Technische Richtlinie TR-03116-2, eCard-Projekte der Bundesregierung - Hoheitliche Ausweisdokumente 7. BSI: Technische Richtlinie TR-03117, eCards mit kontaktloser Schnittstelle als sichere Signaturerstellungseinheit 8. BSI: Technische Richtlinie TR-03119, Anforderungen an Kartenleser mit Unterstützung des Personalausweises 9. BSI: Technische Richtlinie TR-03121, Biometrics for Public Sector Applications [Technische Richtlinie für Biometrie in hoheitlichen Anwendungen] 10. BSI: Technische Richtlinie TR-03123, XML-Datenaustauschformat für hoheitliche Dokumente (TR XhD) 11. BSI: Technische Richtlinie TR-03127, Architektur Elektronischer Personalausweis 12. BSI: Technische Richtlinie TR-03128, Public Key Infrastrukturen für den elektronischen Personalausweis 13. BSI: Technische Richtlinie TR-03129, Communication Protocols for Extended Access Control [Kommunikationsprotokolle für die erweiterte Zugriffskontrolle] 14. BSI: Technische Richtlinie TR-03130, eID-Server 15. BSI: Technische Richtlinie TR-03131, EAC-Box Architecture and Interfaces [EAC-Box Architektur und Schnittstellen] 16. BSI: Technische Richtlinie TR-03132, Sichere Szenarien für Kommunikationsprozesse im Bereich hoheitlicher Dokumente (TR SiSKo hD) 17. BSI: Common Criteria Protection Profile Electronic Identity Card, BSI-CC-PP-0061 [Gemeinsame Kriterien - Schutzprofil Elektronische Identitätskarte] 18. BSI: Common Criteria Protection Profile for Inspection Systems (IS), BSI-CC-PP-0064 [Gemeinsame Kriterien - Schutzprofil für Inspektionssysteme] | |
Anhang 5 Übersicht über die zu zertifizierenden Systemkomponenten | Anhang 4 Übersicht über die zu zertifizierenden Systemkomponenten |
Nr. | Bezeichnung der Systemkomponente | Verpflichtung/Option 1 | Elektronisches Speicher- und Verarbeitungsmedium auf der Ausweiskarte (Hard- und Software) | Verpflichtung für den Ausweishersteller | |
2 | Fingerabdruckleser | Verpflichtung für die Anbieter dieser Geräte Verpflichtung für den Ausweishersteller Verpflichtung für die Personalausweisbehörden 3 | Software zur Erfassung und Qualitätssicherung des Lichtbildes und der Fingerabdrücke | Verpflichtung für den Ausweishersteller Verpflichtung für die Personalausweisbehörden | 2 | Hardware zur Erfassung und Echtheitsbewertung von Fingerabdrücken | Verpflichtung für die Anbieter dieser Geräte Verpflichtung für den Ausweishersteller Verpflichtung für die Personalausweisbehörden 3 | Software zur Erfassung, Echtheitsbewertung und Qualitätssicherung des Lichtbildes und der Fingerabdrücke | Verpflichtung für den Ausweishersteller Verpflichtung für die Personalausweisbehörden |
4 | System zur sicheren Übermittlung des Lichtbildes von Dritten an die Personalausweisbehörde | Verpflichtung für die Personalausweisbehörden, wel- che das Lichtbild gemäß § 7 Absatz 1 Satz 2 Nummer 1 von Dritten erhalten 5 | Erfassungsstation zur Fertigung des Lichtbildes | Verpflichtung für die Personalausweisbehörden, die das Lichtbild gemäß § 7 Absatz 1 Satz 2 Nummer 2 selbst fertigen 6 | Modul für die Datenübermittlung von den Personal- ausweisbehörden an den Ausweishersteller | Verpflichtung für den Ausweishersteller Verpflichtung für die Personalausweisbehörden 7 | Modul zur Sicherung der Authentizität und Vertrau- lichkeit der Antragsdaten | Verpflichtung für den Ausweishersteller Verpflichtung für die Personalausweisbehörden 8 | Änderungs- und Visualisierungmodul für den Ände- rungs- und Visualisierungsdienst in den Personal- ausweisbehörden | Verpflichtung für den Ausweishersteller Verpflichtung für die Personalausweisbehörden | |
9 | Kartenlesegeräte für die Nutzung im Rahmen des § 18 des Personalausweisgesetzes | Optionale Durchführung durch den Anbieter dieser Geräte. Empfehlung des Einsatzes zertifizierter Geräte an den Ausweisinhaber 10 | Bürgerclient | Optionale Durchführung durch den Anbieter dieser Software. Empfehlung des Einsatzes zertifizierter Software an den Ausweisinhaber 11 | Hard- und Software zur Durchführung des elektro- nischen Identitätsnachweises bei den Diensteanbie- tern oder ihrer Auftragnehmer (eID-Server) | Verpflichtung für den Diensteanbieter oder dessen Auftragnehmer | 9 | Kartenlesegeräte für die Nutzung im Rahmen des § 18 des Personalausweisgesetzes | Optionale Durchführung durch den Anbieter dieser Geräte. 10 | eID-Client | Optionale Durchführung durch den Anbieter dieser Software. Empfehlung des Einsatzes zertifizierter Software an den Ausweisinhaber 11 | Hard- und Software zur Durchführung des elektro- nischen Identitätsnachweises oder des Vor-Ort-Auslesens *) bei den Diensteanbie- tern oder ihrer Auftragnehmer (eID-Server) | Verpflichtung für den Diensteanbieter oder dessen Auftragnehmer --- *) Anm. d. Red.: Die nicht durchführbare Änderung in Artikel 1 Nr. 18 Buchstabe e V. v. 28. September 2017 (BGBl. I S. 3521) wurde sinngemäß konsolidiert. |
Link zu dieser Seite: https://www.buzer.de/gesetz/9461/v210006-2017-10-07.htm