Druck- und Lokalversion Regelwerk

Änderungstext

Zweite Verordnung zur Änderung der Personalausweisverordnung

Vom 28. September 2017
(BGBl. I Nr. 66 vom 06.10.2017 S. 3521)


Erläuterung /Begründung siehe BR DRpdf download

Siehe Fn. 1

Auf Grund des § 34 Nummer 2 bis 6 Buchstabe a und b und Nummer 7 des Personalausweisgesetzes, dessen Nummer 7 durch Artikel 1 Nummer 19 Buchstabe b des Gesetzes vom 7. Juli 2017 (BGBl. I S. 2310) geändert worden ist, verordnet das Bundesministerium des Innern im Benehmen mit dem Auswärtigen Amt:

Artikel 1
Änderung der Personalausweisverordnung

Die Personalausweisverordnung vom 1. November 2010 (BGBl. I S. 1460), die zuletzt durch Artikel 5 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745) geändert worden ist, wird wie folgt geändert:

1. In der Inhaltsübersicht werden die Angaben zu Anhang 4 und 5 durch die folgende Angabe ersetzt:

"Anhang 4
Übersicht über die zu zertifizierenden Systemkomponenten".

2. § 2 wird wie folgt geändert:

a) Satz 1 Nummer 2 wird wie folgt geändert:

aa) In Buchstabe a werden nach dem Wort "Erfassung" ein Komma und das Wort "Echtheitsbewertung" eingefügt.

bb) In Buchstabe b werden nach den Wörtern "sämtlicher Ausweisantragsdaten" die Wörter "und die in § 8 Absatz 1 Satz 2 genannten Daten" eingefügt.

cc) In Buchstabe c werden nach den Wörtern "den elektronischen Identitätsnachweis" die Wörter "und das Vor-Ort-Auslesen" eingefügt.

b) Satz 3 wird wie folgt gefasst:

altneu
Diese sind in Anhang 4 aufgeführt und gelten in der jeweils im Bundesanzeiger veröffentlichten Fassung."Die Übersicht über die Technischen Richtlinien wird im Bundesanzeiger veröffentlicht; die jeweils geltende Fassung der Technischen Richtlinien wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik bekannt gemacht."

3. § 3 wird wie folgt geändert:

a) In der Überschrift werden nach dem Wort "Zertifizierung" die Wörter "von Systemkomponenten" eingefügt.

b) Absatz 2 wird wie folgt gefasst:

altneu
(2) Für die Zertifizierung gilt § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) sowie die BSI-Zertifizierungsverordnung vom 7. Juli 1992 (BGBl. I S. 1230) in der jeweils geltenden Fassung."(2) Für die Zertifizierung gelten § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist, sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231), die durch Artikel 40 des Gesetzes vom 29. März 2017 (BGBl. I S. 626) geändert worden ist, in der jeweils geltenden Fassung."

4. § 4 Absatz 1 wird wie folgt geändert:

a) Nummer 4

4. die Ausschaltung des elektronischen Identitätsnachweises mit Datum und Uhrzeit der Ausschaltung sowie die Personalausweisbehörde, die den elektronischen Identitätsnachweis ausgeschaltet hat;

wird aufgehoben.

b) Die bisherigen Nummern 5 bis 7 werden die Nummern 4 bis 6.

5. § 8 Absatz 1 wird wie folgt geändert:

a) Satz 2 wird wie folgt gefasst:

altneu
Die Datenübermittlung umfasst auch
  1. die Qualitätswerte zu den Fingerabdrücken, soweit diese abgenommen wurden,
  2. die Qualitätswerte zu den Lichtbildern,
  3. die Versionsnummern der Qualitätssicherungssoftware,
  4. die Sollwerte der Qualitätssicherungssoftware,
  5. die technischen Eigenschaften der gespeicherten biometrischen Daten gemäß ISO-Standard 19794,
  6. die Behördenkennzahl sowie
  7. den Zeitstempel des Ausweisantrages.
"Die Datenübermittlung umfasst auch
  1. die technischen Eigenschaften der gespeicherten Daten,
  2. die Behördenkennzahl sowie
  3. anonymisierte Protokolldaten zur Erfassung und Qualitätssicherung des Lichtbildes und der Fingerabdrücke."

b) In Satz 5 wird das Wort "fortgeschritten" gestrichen.

6. § 14 wird wie folgt geändert:

a) In Absatz 1 Satz 2 Nummer 1 wird das Wort "eingegeben" durch die Wörter "an das elektronische Speicher- und Verarbeitungsmedium übermittelt" ersetzt.

b) Absatz 2 wird wie folgt gefasst:

altneu
(2) Der Personalausweis ist so herzustellen, dass personenbezogene Daten ausschließlich ausgelesen werden können durch
  1. Behörden, die zur Identitätsfeststellung berechtigt sind und ein hoheitliches Berechtigungszertifikat nutzen, oder
  2. berechtigte Diensteanbieter, die ein Berechtigungszertifikat nutzen, nach Eingabe der Geheimnummer durch den Ausweisinhaber.
"(2) Der Personalausweis ist so herzustellen, dass personenbezogene Daten ausschließlich ausgelesen werden können durch
  1. Behörden, die ein hoheitliches Berechtigungszertifikat nutzen,
  2. berechtigte Diensteanbieter, die ein Berechtigungszertifikat nutzen, nach Eingabe der Geheimnummer durch den Ausweisinhaber, oder
  3. berechtigte Vor-Ort-Diensteanbieter, die ein Vor-Ort-Zertifikat nutzen, nach Übermittlung der Zugangsnummer an das elektronische Speicher- und Verarbeitungsmedium."

7. § 18 wird wie folgt geändert:

a) Absatz 1

(1) Erklärt die antragstellende Person, den elektronischen Identitätsnachweis nicht nutzen zu wollen, schaltet die Personalausweisbehörde den elektronischen Identitätsnachweis aus.

wird aufgehoben.

b) Absatz 2 wird wie folgt gefasst:

altneu
(2) Bestätigt die antragstellende Person den Empfang des Briefes nach § 17 Absatz 7 nicht, darf der Personalausweis nur mit ausgeschaltetem elektronischem Identitätsnachweis übergeben werden."(2) Bestätigt die antragstellende Person den Empfang des Briefes nach § 17 Absatz 7 nicht, darf die Personalausweisbehörde den ausgestellten Ausweis nur übergeben, wenn sie zuvor die Neusetzung der Geheimnummer nach § 20 Absatz 1 bewirkt hat."

8. § 21

§ 21 Mehrfache Fehleingabe der Geheimnummer 17a

(1) Wurde die Geheimnummer zwei Mal falsch eingegeben, kann durch vorherige Eingabe der Zugangsnummer ein dritter Eingabeversuch freigegeben werden.

(2) Wurde die Geheimnummer drei Mal falsch eingegeben, kann der elektronische Identitätsnachweis nur genutzt werden, wenn die Entsperrnummer eingegeben wird und diese nicht bereits zehn Mal benutzt wurde. Eine Verwendung der Entsperrnummer ist nach zehnmaliger Nutzung nicht mehr möglich. Sofern die Geheimnummer nach dreimaliger Falscheingabe gesperrt wurde, kann die Neusetzung der Geheimnummer ausschließlich in der Personalausweisbehörde erfolgen.

wird aufgehoben.

9. § 22 wird wie folgt geändert:

a) In der Überschrift werden die Wörter "Aus- und" gestrichen.

b) Absatz 1

(1) Bevor die ausstellende oder zuständige Personalausweisbehörde einen eingeschalteten elektronischen Identitätsnachweis nach § 10 Absatz 3 Satz 2 des Personalausweisgesetzes ausschaltet, prüft sie die Identität des Ausweisinhabers. Die Personalausweisbehörde speichert die Tatsache der Ausschaltung im Personalausweisregister. Handelt die zuständige Personalausweisbehörde, informiert sie die ausstellende Personalausweisbehörde über die Ausschaltung. In diesem Fall speichert die ausstellende Personalausweisbehörde die Tatsache der Ausschaltung im Personalausweisregister.

wird aufgehoben.

c) Absatz 2 Satz 3 wird wie folgt gefasst:

altneu
Handelt die zuständige Personalausweisbehörde, findet Absatz 1 Satz 3 und 4 entsprechende Anwendung."Handelt die zuständige Personalausweisbehörde, informiert sie die ausstellende Personalausweisbehörde über die Einschaltung; in diesem Fall löscht die ausstellende Personalausweisbehörde die Tatsache der Ausschaltung im Personalausweisregister."

d) In Absatz 3 werden die Wörter "Ein- und Ausschalten" durch das Wort "Einschalten" und die Wörter "den Absätzen 1 und" durch das Wort "Absatz" ersetzt.

10. § 23

§ 23 Voraussetzungen für die Nutzung bei dem Ausweisinhaber 17a

(1) Vor erstmaliger Nutzung des elektronischen Identitätsnachweises soll der Ausweisinhaber die Geheimnummer einmalig durch Eingabe der im Brief übersandten ursprünglichen Geheimnummer neu setzen.

(2) Der Ausweisinhaber soll sicherstellen, dass insbesondere folgende Komponenten bei der Nutzung des elektronischen Identitätsnachweises eingesetzt werden:

  1. informationstechnische Systeme mit geeigneten Abwehrmaßnahmen gegen Sicherheitslücken nach dem Stand der Technik;
  2. Lesegeräte, die durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert worden sind;
  3. Software zur Nutzung des elektronischen Identitätsnachweises, die durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert worden ist.

wird aufgehoben.

11. Die § § 28 und 29 werden wie folgt gefasst:

altneu
§ 28 Antrag

(1) Um das Vorliegen der Voraussetzungen des § 21 Absatz 2 Satz 1 des Personalausweisgesetzes überprüfen zu können, muss ein Antrag nach § 21 Absatz 1 Satz 1 des Personalausweisgesetzes enthalten:

  1. Angaben zur Identitätsfeststellung von juristischen und natürlichen Personen; bei natürlichen Personen sind dies insbesondere der Familienname, die Vornamen, der Tag und der Ort der Geburt sowie die Anschrift der Hauptwohnung; bei juristischen Personen sind diese insbesondere der Name, die Anschrift des Sitzes, die Rechtsform und die Bevollmächtigten; außerdem ist in diesem Fall eine Kopie des Handelsregisterauszugs oder der Errichtungsurkunde beizulegen;
  2. Kontaktdaten, insbesondere die Telefon- und Faxnummer sowie die E-Mail-Adresse;
  3. Angaben zu antragstellenden Personen mit Wohnung oder Sitz außerhalb Deutschlands, soweit zur eindeutigen länderspezifischen Identifizierung erforderlich, einschließlich einer ladungsfähigen Anschrift; soweit eine Niederlassung in Deutschland besteht, sind auch deren Angaben nach den Nummern 1 und 2 aufzunehmen;
  4. eine Beschreibung des Diensteanbieters und seiner Tätigkeitsfelder sowie die Angabe der Unternehmenswebsite, soweit vorhanden;
  5. eine Beschreibung des Diensteangebots für das das Berechtigungszertifikat gelten soll, einschließlich einer Angabe der Internetseite, auf der das Berechtigungszertifikat genutzt wird, oder des Standortes bei Automaten und eines Verweises auf die für das Angebot geltende Datenschutzerklärung;
  6. eine hinreichende Beschreibung des Zwecks der Datenerhebung, für den die Berechtigung ausgestellt werden soll;
  7. eine Angabe der Datenkategorien nach § 18 Absatz 3 des Personalausweisgesetzes, auf die die antragstellende Person zugreifen möchte; hierbei ist für jede Datenkategorie zu begründen, warum es für den dargelegten Zweck erforderlich ist, die Daten zu erheben;
  8. Angaben zum oder zur betrieblichen oder behördlichen Datenschutzbeauftragten nach § 4f des Bundesdatenschutzgesetzes (Name, Anschrift, Telefonnummer, E-Mail-Adresse) und zur zuständigen
  9. Datenschutzaufsichtsbehörde (Name, Sitz, Anschrift, Telefonnummer, E-Mail-Adresse);
  10. die Angabe, ob die antragstellende Person sich eines Auftragnehmers nach § 11 des Bundesdatenschutzgesetzes zur Durchführung des elektronischen Identitätsnachweises bedienen wird und gegebenenfalls die Angaben nach Nummer 1 für diesen Auftragnehmer; ist diese Angabe zum Zeitpunkt des Antrages noch nicht bekannt, so ist sie sobald bekannt unverzüglich nachzuliefern.

(2) Der Antrag ist von der antragstellenden Person zu unterschreiben oder mit einer qualifizierten elektronischen Signatur zu versehen. Die antragstellende Person ist zu identifizieren durch:

  1. persönliches Erscheinen und Vorlage eines amtlichen Lichtbildausweises der antragstellenden Person, bei juristischen Personen einer vertretungsberechtigten Person bei der Vergabestelle für Berechtigungszertifikate oder geeigneten Dritten,
  2. eine qualifizierte elektronische Signatur oder
  3. den elektronischen Identitätsnachweis.

Die Vergabestelle für Berechtigungszertifikate bestimmt, welche der genannten Arten des Identitätsnachweises genutzt werden können.

" § 28 Antrag auf Erteilung einer Berechtigung für Vor-Ort-Diensteanbieter und sonstige Diensteanbieter

(1) Der Antrag auf Erteilung einer Berechtigung nach § 21 Absatz 2 des Personalausweisgesetzes oder der Antrag auf Erteilung einer Vor-Ort-Berechtigung nach § 21a des Personalausweisgesetzes muss folgende Angaben enthalten:

  1. Angaben, die zur Feststellung der Identität von juristischen und natürlichen Personen notwendig sind,
    1. bei natürlichen Personen insbesondere der Familienname, die Vornamen, der Tag und der Ort der Geburt sowie die Anschrift der Hauptwohnung,
    2. bei juristischen Personen insbesondere der Name, die Anschrift des Sitzes, die Rechtsform und die Bevollmächtigten; außerdem ist in diesem Fall eine Kopie des Handelsregisterauszugs oder der Errichtungsurkunde beizufügen;
  2. Kontaktdaten, insbesondere die telefonische oder elektronische Erreichbarkeit;
  3. Angaben zu antragstellenden Personen mit Wohnung oder Sitz außerhalb Deutschlands, soweit zur eindeutigen länderspezifischen Identifizierung erforderlich, einschließlich einer ladungsfähigen Anschrift; soweit eine Niederlassung in Deutschland besteht, sind auch deren Angaben nach den Nummern 1 und 2 aufzunehmen;
  4. eine kurze Beschreibung des Diensteanbieters und seiner Tätigkeitsfelder sowie die Angabe der Unternehmenswebsite, soweit vorhanden;
  5. eine kurze Beschreibung des dem Antrag zu Grunde liegenden Interesses an einer Berechtigung; darzulegen ist, welche Funktion
    1. im Falle eines Antrages auf Erteilung einer Berechtigung nach § 21 Absatz 2 des Personalausweisgesetzes der elektronische Identitätsnachweis oder
    2. im Falle eines Antrages auf Erteilung einer Vor-Ort-Berechtigung nach § 21a des Personalausweisgesetzes das Vor-Ort-Auslesen

    im Rahmen der behördlichen Aufgabenwahrnehmung oder der vorgesehenen Geschäftszwecke der antragstellenden Person erfüllen soll;

  6. die Angabe der Datenkategorien nach § 18 Absatz 3 des Personalausweisgesetzes, auf die die antragstellende Person zugreifen möchte;
  7. die Erklärung, dass der Diensteanbieter den betrieblichen Datenschutz einhält;
  8. die Angabe, ob die antragstellende Person sich eines Auftragnehmers nach § 11 des Bundesdatenschutzgesetzes zur Durchführung des elektronischen Identitätsnachweises oder des Vor-Ort-Auslesens bedienen wird und in diesem Fall die Angaben nach Nummer 1 für diesen Auftragnehmer; ist diese Angabe zum Zeitpunkt des Antrages noch nicht bekannt, so ist sie, sobald bekannt, unverzüglich nachzuliefern.

(2) Der Antrag bedarf der Schriftform.
§ 29 Anforderungen an Datenschutz und -sicherheit

(1) Anforderungen im Sinne des § 21 Absatz 2 Satz 1 Nummer 4 des Personalausweisgesetzes liegen insbesondere nicht vor, wenn

  1. der Zweck der Datenerhebung ausschließlich in der Auslesung oder Bereitstellung personenbezogener Daten aus dem Personalausweis für Dritte besteht,
  2. der Staat des Wohnsitzes oder des Sitzes der antragstellenden Person kein angemessenes Datenschutzniveau gewährleistet entsprechend der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995 S. 31),
  3. der elektronische Identitätsnachweis für den Diensteanbieter durch einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes durchgeführt wird und hierbei kein wirksames Auftragsverhältnis nach § 11 des Bundesdatenschutzgesetzes zwischen dem Diensteanbieter und dem Auftragnehmer besteht,
  4. der Diensteanbieter einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes gewählt hat, der die technischen und organisatorischen Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik für die sichere Bereitstellung des elektronischen Identitätsnachweises nicht erfüllt.

(2) Die Anforderungen an die Datensicherheit im Sinne des § 21 Absatz 2 Satz 1 Nummer 4 des Personalausweisgesetzes sind durch die Diensteanbieter nach dem Stand der Technik zu erfüllen. Art und Umfang der einzusetzenden Systemkomponenten legt die Vergabestelle für Berechtigungszertifikate in der Berechtigung fest. Die Vergabestelle für Berechtigungszertifikate legt in Richtlinien die weiteren technischen und organisatorischen Anforderungen fest, die ein Diensteanbieter zu erfüllen hat, um für die Nutzung von Berechtigungszertifikaten zugelassen zu werden. Die Richtlinien gelten in der jeweils im Bundesanzeiger veröffentlichten Fassung.

(3) Vor Erteilung einer Berechtigung für einen nichtöffentlichen Diensteanbieter kann die Vergabestelle für Berechtigungszertifikate eine Stellungnahme der zuständigen Datenschutzaufsichtsbehörde einholen, ob dort Umstände bekannt sind, aus denen sich Anhaltspunkte für eine missbräuchliche Verwendung der Berechtigung ergeben.

 § 29 Antrag auf Erteilung einer Berechtigung für Identifizierungsdiensteanbieter; Vorgaben zu Datenschutz und Datensicherheit bei Identifizierungsdiensteanbietern

(1) Für den Antrag auf Erteilung einer Berechtigung für Identifizierungsdiensteanbieter nach § 21b des Personalausweisgesetzes gilt § 28 entsprechend.

(2) Die nach § 21b Absatz 2 Satz 1 Nummer 1 des Personalausweisgesetzes einzuhaltenden technischorganisatorischen Maßnahmen und die weiteren Anforderungen an die Datensicherheit nach § 21 Absatz 2 Satz 1 Nummer 2 des Personalausweisgesetzes legt das Bundesamt für Sicherheit in der Informationstechnik im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in einer Technischen Richtlinie fest. Dies umfasst insbesondere Anforderungen an die Datenspeicherung und -löschung, das einzusetzende Verschlüsselungsverfahren sowie an das Informationssicherheitsmanagement.

(3) Die Einhaltung der in Absatz 2 genannten Voraussetzungen hat der Antragsteller durch Vorlage eines Zertifikats des Bundesamtes für Sicherheit in der Informationstechnik nachzuweisen. Das Bundesamt für Sicherheit in der Informationstechnik darf sich bei seiner Überprüfung externer Diensteister bedienen. Die hierbei anfallenden Kosten trägt der Antragsteller.

(4) Die weiteren Anforderungen an den Datenschutz nach § 21b Absatz 2 Satz 1 Nummer 2 des Personalausweisgesetzes liegen nicht vor, wenn

  1. der Staat des Wohnsitzes oder des Sitzes der antragstellenden Person kein angemessenes Datenschutzniveau gewährleistet entsprechend der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. Nr. L 281 vom 23.11.1995 S.31),
  2. der elektronische Identitätsnachweis für den Identifizierungsdiensteanbieter durch einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes durchgeführt wird und hierbei kein wirksames Auftragsverhältnis nach § 11 des Bundesdatenschutzgesetzes zwischen dem Diensteanbieter und dem Auftragnehmer besteht,
  3. der Identifizierungsdiensteanbieter einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes gewählt hat, der die technischen und organisatorischen Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik für die sichere Bereitstellung des elektronischen Identitätsnachweises nicht erfüllt oder
  4. der Identifizierungsdiensteanbieter nicht die Voraussetzungen des § 21 Absatz 2 des Personalausweisgesetzes erfüllt."

12. Nach § 29 wird folgender § 29a eingefügt:

" § 29a Einholung von Stellungnahmen der Datenschutzaufsichtsbehörden

Die Vergabestelle für Berechtigungszertifikate kann jederzeit eine Stellungnahme der zuständigen Datenschutzaufsichtsbehörde einholen, ob dort Umstände bekannt sind, aus denen sich Anhaltspunkte für eine missbräuchliche Verwendung der Berechtigung ergeben. Vor Erteilung der Berechtigung soll die Vergabestelle die Stellungnahme der Datenschutzaufsichtsbehörde nur in Zweifelsfällen abwarten."

13. In § 31 Nummer 2 wird die Angabe "8 und 9" durch die Angabe "7 und 8" ersetzt.

14. § 32 Satz 3 wird wie folgt gefasst:

altneu
Die Richtlinien gelten in der jeweils im Bundesanzeiger veröffentlichten Fassung."Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik bekannt gemacht."

15. § 36 Absatz 1 wird wie folgt gefasst:

altneu
(1) Hoheitliche Berechtigungszertifikate nach § 2 Absatz 4 Satz 3 des Personalausweisgesetzes dürfen ausschließlich an die zur Identitätsfeststellung berechtigten Behörden ausgegeben werden."(1) Hoheitliche Berechtigungszertifikate nach § 2 Absatz 4 Satz 3 des Personalausweisgesetzes dürfen vorbehaltlich von Satz 2 ausschließlich an die zur Identitätsfeststellung berechtigten Behörden ausgegeben werden. Zum Zwecke der Qualitätssicherung anhand von Testausweisen dürfen hoheitliche Berechtigungszertifikate auch an das Bundesamt für Sicherheit in der Informationstechnik ausgegeben werden."

16. Nach § 36 wird folgender § 36a eingefügt:

" § 36a Ausgabe von Berechtigungszertifikaten für öffentliche Stellen anderer Mitgliedstaaten

Der Bund stellt Berechtigungszertifikate für öffentliche Stellen anderer Mitgliedstaaten zur Verfügung. Die Kommunikation und die Identifizierung der öffentlichen Stellen erfolgt über die einheitlichen Ansprechpartner nach dem Durchführungsbeschluss (EU) 2015/296 der Kommission vom 24. Februar 2015 zur Festlegung von Verfahrensmodalitäten für die Zusammenarbeit zwischen den Mitgliedstaaten auf dem Gebiet der elektronischen Identifizierung gemäß Artikel 12 Absatz 7 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (ABl. Nr. L 53 vom 25.02.2015 S. 14)."

17. Anhang 4

.
Übersicht über die Technischen Richtlinien
des Bundesamtes für Sicherheit in der Informationstechnik		Anhang 4
  1. BSI: Technische Richtlinie TR-02102, Kryptographische Verfahren: Empfehlungen und Schlüssellängen
  2. BSI: Technische Richtlinie TR-03104, Technische Richtlinie zur Produktionsdatenerfassung, -qualitätsprüfung und -übermittlung für hoheitliche Dokumente (TR PDÜ hD)
  3. BSI: Technische Richtlinie TR-03110, Advanced Security Mechanisms for Machine Readable Travel Documents - Extended Access Control (EAC), Password Authenticated Connection Establishment (PACE) and Restricted Identification (RI) [Fortgeschrittene Sicherheitsmechanismen für maschinenlesbare Reisedokumente]
  4. BSI: Technische Richtlinie TR-0311 1, Elliptic Curve Cryptography (ECC) [Elliptische-Kurven-Kryptographie]
  5. BSI: Technische Richtlinie TR-03112, eCard-API-Framework
  6. BSI: Technische Richtlinie TR-03116-2, eCard-Projekte der Bundesregierung - Hoheitliche Ausweisdokumente
  7. BSI: Technische Richtlinie TR-03117, eCards mit kontaktloser Schnittstelle als sichere Signaturerstellungseinheit
  8. BSI: Technische Richtlinie TR-03119, Anforderungen an Kartenleser mit Unterstützung des Personalausweises
  9. BSI: Technische Richtlinie TR-03121, Biometrics for Public Sector Applications [Technische Richtlinie für Biometrie in hoheitlichen Anwendungen]
  10. BSI: Technische Richtlinie TR-03123, XML-Datenaustauschformat für hoheitliche Dokumente (TR XhD)
  11. BSI: Technische Richtlinie TR-03127, Architektur Elektronischer Personalausweis
  12. BSI: Technische Richtlinie TR-03128, Public Key Infrastrukturen für den elektronischen Personalausweis
  13. BSI: Technische Richtlinie TR-03129, Communication Protocols for Extended Access Control [Kommunikationsprotokolle für die erweiterte Zugriffskontrolle]
  14. BSI: Technische Richtlinie TR-03130, eID-Server
  15. BSI: Technische Richtlinie TR-03131, EAC-Box Architecture and Interfaces [EAC-Box Architektur und Schnittstellen]
  16. BSI: Technische Richtlinie TR-03132, Sichere Szenarien für Kommunikationsprozesse im Bereich hoheitlicher Dokumente (TR SiSKo hD)
  17. BSI: Common Criteria Protection Profile Electronic Identity Card, BSI-CC-PP-0061 [Gemeinsame Kriterien - Schutzprofil Elektronische Identitätskarte]
  18. BSI: Common Criteria Protection Profile for Inspection Systems (IS), BSI-CC-PP-0064 [Gemeinsame Kriterien - Schutzprofil für Inspektionssysteme]

wird aufgehoben.

18. Der bisherige Anhang 5 wird Anhang 4 und wie folgt geändert:

a) In Nummer 2 Spalte 2 wird das Wort "Fingerabdruckleser" durch die Wörter "Hardware zur Erfassung und Echtheitsbewertung von Fingerabdrücken" ersetzt.

b) In Nummer 3 Spalte 2 wird nach dem Wort "Erfassung" ein Komma und das Wort "Echtheitsbewertung" eingefügt.

c) In Nummer 9 Spalte 3 werden die Wörter "Empfehlung des Einsatzes zertifizierter Geräte an den Ausweisinhaber" gestrichen.

d) In Nummer 10 Spalte 2 wird das Wort "Bürgerclient" durch das Wort "eID-Client" ersetzt.

e) In Nummer 11 Spalte 2 werden nach den Wörtern "elektronischer Identitätsnachweis" die Wörter "oder des Vor-Ort-Auslesens" eingefügt.

Artikel 2
Weitere Änderung der Personalausweisverordnung

Die Personalausweisverordnung vom 1. November 2010 (BGBl. I S. 1460), die zuletzt durch Artikel 1 dieser Verordnung geändert worden ist, wird wie folgt geändert:

1. § 28 Absatz 1 Nummer 8 wird wie folgt gefasst:

altneu
8. die Angabe, ob die antragstellende Person sich eines Auftragnehmers nach § 11 des Bundesdatenschutzgesetzes zur Durchführung des elektronischen Identitätsnachweises oder des Vor-Ort-Auslesens bedienen wird und in diesem Fall die Angaben nach Nummer 1 für diesen Auftragnehmer; ist diese Angabe zum Zeitpunkt des Antrages noch nicht bekannt, so ist sie, sobald bekannt, unverzüglich nachzuliefern."8. die Angabe, ob die antragstellende Person sich zur Durchführung des elektronischen Identitätsnachweises eines Auftragnehmers nach den Artikeln 28 bis 31 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. Nr. L 119 vom 04.05.2016 S. 1; L 314 vom 22.11.2016 S. 72) bedienen wird und in diesem Fall die Angaben nach Nummer 1 für diesen Auftragnehmer; ist diese Angabe zum Zeitpunkt des Antrages noch nicht bekannt, so ist sie, sobald bekannt, unverzüglich nachzuliefern."

2. In § 29 Absatz 4 werden die Nummern 1 bis 3 wie folgt gefasst:

altneu
1. der Staat des Wohnsitzes oder des Sitzes der antragstellenden Person kein angemessenes Datenschutzniveau gewährleistet entsprechend der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. Nr. L 281 vom 23.11.1995 S.31),

2. der elektronische Identitätsnachweis für den Identifizierungsdiensteanbieter durch einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes durchgeführt wird und hierbei kein wirksames Auftragsverhältnis nach § 11 des Bundesdatenschutzgesetzes zwischen dem Diensteanbieter und dem Auftragnehmer besteht,

3. der Identifizierungsdiensteanbieter einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes gewählt hat, der die technischen und organisatorischen Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik für die sichere Bereitstellung des elektronischen Identitätsnachweises nicht erfüllt oder

"1. der Staat des Wohnsitzes oder des Sitzes der antragstellenden Person kein angemessenes Datenschutzniveau gewährleistet entsprechend der Verordnung (EU) 2016/679,

2. der elektronische Identitätsnachweis für den Identifizierungsdiensteanbieter durch einen Auftragnehmer nach den Artikeln 28 bis 31 der Verordnung (EU) 2016/679 durchgeführt wird und hierbei kein wirksames Auftragsverhältnis nach den Artikeln 28 bis 31 der Verordnung (EU) 2016/679 zwischen dem Diensteanbieter und dem Auftragnehmer besteht,

3. der Identifizierungsdiensteanbieter einen Auftragnehmer nach den Artikeln 28 bis 31 der Verordnung (EU) 2016/679 gewählt hat, der die technischen und organisatorischen Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik für die sichere Bereitstellung des elektronischen Identitätsnachweises nicht erfüllt.

Artikel 3
Inkrafttreten

(1) Artikel 1 tritt am Tag nach der Verkündung in Kraft.

(2) Artikel 2 tritt am 25. Mai 2018 in Kraft.

____
1) Notifiziert gemäß der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. Nr. L 241 vom 17.09.2015 S. 1).

ID 171637

ENDE