Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

Verordnung über Personalausweise, eID-Karten für Unionsbürger und Angehörige des Europäischen Wirtschaftsraums und den elektronischen Identitätsnachweis (Personalausweisverordnung - PAuswV)


Kapitel 1 Allgemeine Vorschriften

§ 1 Begriffsbestimmungen



(1) 1Eine Sperrsumme ist ein eindeutiges Merkmal, das aus dem Sperrkennwort nach § 2 Absatz 6 des Personalausweisgesetzes, dem Familiennamen, den Vornamen und dem Tag der Geburt eines Ausweisinhabers errechnet wird. 2Es dient der Übermittlung einer Sperrung vom Sperrnotruf oder einer Personalausweisbehörde an den Sperrlistenbetreiber. 3Mit Hilfe der Sperrsumme ermittelt der Sperrlistenbetreiber anhand der Referenzliste den Sperrschlüssel eines zu sperrenden elektronischen Identitätsnachweises.

(2) 1Ein Sperrschlüssel ist ein eindeutiges kartenspezifisches Merkmal, das der Errechnung eines allgemeinen Sperrmerkmals eines zu sperrenden elektronischen Identitätsnachweises dient. 2Er wird vom Ausweishersteller erzeugt, dem Sperrlistenbetreiber übermittelt und dauerhaft in der Referenzliste gespeichert.

(3) Berechtigungszertifikateanbieter im Sinne dieser Verordnung ist eine natürliche oder juristische Person, die Berechtigungszertifikate im Sinne des § 2 Absatz 4 Satz 1 des Personalausweisgesetzes ausstellt.

(4) 1Ein allgemeines Sperrmerkmal ist ein eindeutiges kartenspezifisches Merkmal, das einen gesperrten elektronischen Identitätsnachweis in der allgemeinen Sperrliste repräsentiert. 2Es wird Berechtigungszertifikateanbietern übermittelt, die es zu Sperrmerkmalen nach § 2 Absatz 7 des Personalausweisgesetzes umrechnen.

(5) Der Sperrnotruf ist eine Einrichtung, über die der Ausweisinhaber seinen elektronischen Identitätsnachweis unter Angabe von Sperrkennwort, Familienname, Vornamen und Tag der Geburt in die allgemeine Sperrliste aufnehmen lassen kann.

(6) Extensible Markup Language für hoheitliche Dokumente (XhD) ist ein in erweiterbarer Seitenbeschreibungssprache (XML) verfasstes Datenaustauschformat für hoheitliche Dokumente.

(7) 1OSCI-Transport ist der vom Kooperationsausschuss Automatisierte Datenverarbeitung Bund/Länder/Kommunaler Bereich festgelegte jeweils geltende Standard für ein Datenübermittlungsprotokoll. 2Der Standard OSCI-Transport ist in der vom Bundesamt für Sicherheit in der Informationstechnik festgelegten Fassung, die im Bundesanzeiger bekannt gemacht ist, zu verwenden.




§ 2 Technische Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik



1Nach dem Stand der Technik sind zu erfüllen

1.
die technischen Anforderungen an

a)
die Speicherung des Lichtbildes und der Fingerabdrücke,

b)
den Zugriffsschutz auf die im Chip des Personalausweises abgelegten Daten,

c)
den Zugriffsschutz auf die in dem Chip eines mobilen Endgeräts abgelegten Daten sowie

2.
die technischen und organisatorischen Anforderungen an

a)
die Erfassung, Echtheitsbewertung und Qualitätssicherung des Lichtbildes und der Fingerabdrücke,

b)
die Übermittlung sämtlicher Ausweisantragsdaten und die in § 8 Absatz 1 Satz 2 genannten Daten von den Personalausweisbehörden an den Ausweishersteller,

c)
den elektronischen Identitätsnachweis und das Vor-Ort-Auslesen,

d)
die Geheimnummer, die Sperrung und Entsperrung des elektronischen Identitätsnachweises durch den Ausweisinhaber und die Speicherung und Löschung der Sperrmerkmale und des Sperrkennwortes, insbesondere an die dabei einzusetzenden technischen Systeme und Kommunikationswege,

e)
das Zurücksetzen und Neusetzen der Geheimnummer durch den Ausweishersteller nach elektronisch gestelltem Antrag und

f)
das Ändern der Anschrift auf dem Personalausweis unter Verwendung eines Aufklebers nach Anhang 1 sowie auf dem Chip des Personalausweises nach einer elektronischen Anmeldung nach § 23a des Bundesmeldegesetzes,

g)
die Übermittlung der Daten nach § 10a Absatz 1 Satz 1 des Personalausweisgesetzes und

h)
den elektronischen Identitätsnachweis mit einem mobilen Endgerät.

2Der Stand der Technik ist als niedergelegt zu vermuten in den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik. 3Die Übersicht über die Technischen Richtlinien wird im Bundesanzeiger veröffentlicht; die jeweils geltende Fassung der Technischen Richtlinien wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik bekannt gemacht.




§ 3 Zertifizierung von Systemkomponenten



(1) 1Die Systemkomponenten der Personalausweisbehörden, des Ausweisherstellers, der Diensteanbieter und ihrer Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes, deren Zertifizierung verpflichtend oder optional ist, ergeben sich aus dem Anhang 5. 2Die Art und die Einzelheiten der Zertifizierung sind den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik zu entnehmen.

(2) Für die Zertifizierung gelten § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist, sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231), die durch Artikel 40 des Gesetzes vom 29. März 2017 (BGBl. I S. 626) geändert worden ist, in der jeweils geltenden Fassung.

(3) 1Die Kosten der Zertifizierung trägt der Antragsteller. 2Die BSI-Kostenverordnung vom 3. März 2005 (BGBl. I S. 519) in der jeweils geltenden Fassung findet Anwendung.




§ 4 Dokumentationspflichten



(1) Die Personalausweisbehörde dokumentiert für die Zwecke des elektronischen Identitätsnachweises mit dem Personalausweis:

1.
Erklärungen des Ausweisinhabers, die im Rahmen der Antragstellung und Ausweisverwaltung erfolgt sind;

2.
das Datum und die Uhrzeit der Ausgabe des Personalausweises;

3.
das Datum und die Uhrzeit der Übergabe des Briefes mit der Geheimnummer, der Entsperrnummer und dem Sperrkennwort, falls die Personalausweisbehörde den Brief übergibt;

4.
die Einschaltung des elektronischen Identitätsnachweises mit Datum und Uhrzeit der Einschaltung sowie die Personalausweisbehörde, die den elektronischen Identitätsnachweis eingeschaltet hat;

5.
den Sperrantrag durch den Ausweisinhaber, die Übermittlung der Sperrsumme an den Sperrlistenbetreiber sowie das Datum und die Uhrzeit von Antrag und Übermittlung;

6.
den Entsperrantrag des Ausweisinhabers, die Übermittlung der Sperrsumme an den Sperrlistenbetreiber sowie das Datum und die Uhrzeit von Antrag und Übermittlung.

(2) Der Sperrnotruf dokumentiert für die Zwecke des elektronischen Identitätsnachweises den Sperrantrag durch den Ausweisinhaber, die Übermittlung der Sperrsumme an den Sperrlistenbetreiber sowie das Datum und die Uhrzeit von Antrag und Übermittlung.

(3) Der Sperrlistenbetreiber dokumentiert

1.
im Zusammenhang mit der Sperrung des elektronischen Identitätsnachweises

a)
den Eingang des Sperrantrages mit der Sperrsumme sowie das Datum und die Uhrzeit des Eingangs,

b)
die Aufnahme des allgemeinen Sperrmerkmals in die Sperrliste sowie das Datum und die Uhrzeit der Sperrung,

c)
die Anfrage zur Erzeugung der Sperrliste sowie das Datum und die Uhrzeit der Erzeugung und

d)
den tatsächlichen Abruf sowie das Datum und die Uhrzeit des tatsächlichen Abrufs;

2.
im Zusammenhang mit der Entsperrung des elektronischen Identitätsnachweises eines Personalausweises

a)
den Eingang des Entsperrantrages mit der Sperrsumme sowie das Datum und die Uhrzeit des Eingangs,

b)
die Entfernung des allgemeinen Sperrmerkmals aus der Sperrliste sowie das Datum und die Uhrzeit der Entfernung,

c)
die Bereitstellung der Sperrliste zum Abruf sowie das Datum und die Uhrzeit der Bereitstellung sowie

d)
den tatsächlichen Abruf sowie das Datum und die Uhrzeit des tatsächlichen Abrufs sowie

3.
im Zusammenhang mit der Löschung des Sperreintrags des elektronischen Identitätsnachweises nach § 10 Absatz 8 Satz 1 des Personalausweisgesetzes

a)
die Sperrsumme sowie das Datum und die Uhrzeit der Löschung,

b)
die Entfernung des allgemeinen Sperrmerkmals aus der Sperrliste sowie das Datum und die Uhrzeit der Entfernung,

c)
die Bereitstellung der Sperrliste zum Abruf sowie das Datum und die Uhrzeit der Bereitstellung sowie

d)
den tatsächlichen Abruf sowie das Datum und die Uhrzeit des tatsächlichen Abrufs.