Regelwerk |
Änderungstext
Zweite Verordnung zur Änderung der Personalausweisverordnung
Vom 28. September 2017
(BGBl. I Nr. 66 vom 06.10.2017 S. 3521)
Erläuterung /Begründung siehe BR DR
Siehe Fn. 1
Auf Grund des § 34 Nummer 2 bis 6 Buchstabe a und b und Nummer 7 des Personalausweisgesetzes, dessen Nummer 7 durch Artikel 1 Nummer 19 Buchstabe b des Gesetzes vom 7. Juli 2017 (BGBl. I S. 2310) geändert worden ist, verordnet das Bundesministerium des Innern im Benehmen mit dem Auswärtigen Amt:
Artikel 1
Änderung der Personalausweisverordnung
Die Personalausweisverordnung vom 1. November 2010 (BGBl. I S. 1460), die zuletzt durch Artikel 5 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745) geändert worden ist, wird wie folgt geändert:
1. In der Inhaltsübersicht werden die Angaben zu Anhang 4 und 5 durch die folgende Angabe ersetzt:
"Anhang 4
Übersicht über die zu zertifizierenden Systemkomponenten".
2. § 2 wird wie folgt geändert:
a) Satz 1 Nummer 2 wird wie folgt geändert:
aa) In Buchstabe a werden nach dem Wort "Erfassung" ein Komma und das Wort "Echtheitsbewertung" eingefügt.
bb) In Buchstabe b werden nach den Wörtern "sämtlicher Ausweisantragsdaten" die Wörter "und die in § 8 Absatz 1 Satz 2 genannten Daten" eingefügt.
cc) In Buchstabe c werden nach den Wörtern "den elektronischen Identitätsnachweis" die Wörter "und das Vor-Ort-Auslesen" eingefügt.
b) Satz 3 wird wie folgt gefasst:
alt | neu |
Diese sind in Anhang 4 aufgeführt und gelten in der jeweils im Bundesanzeiger veröffentlichten Fassung. | "Die Übersicht über die Technischen Richtlinien wird im Bundesanzeiger veröffentlicht; die jeweils geltende Fassung der Technischen Richtlinien wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik bekannt gemacht." |
3. § 3 wird wie folgt geändert:
a) In der Überschrift werden nach dem Wort "Zertifizierung" die Wörter "von Systemkomponenten" eingefügt.
b) Absatz 2 wird wie folgt gefasst:
alt | neu |
(2) Für die Zertifizierung gilt § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821) sowie die BSI-Zertifizierungsverordnung vom 7. Juli 1992 (BGBl. I S. 1230) in der jeweils geltenden Fassung. | "(2) Für die Zertifizierung gelten § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist, sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231), die durch Artikel 40 des Gesetzes vom 29. März 2017 (BGBl. I S. 626) geändert worden ist, in der jeweils geltenden Fassung." |
4. § 4 Absatz 1 wird wie folgt geändert:
a) Nummer 4
4. die Ausschaltung des elektronischen Identitätsnachweises mit Datum und Uhrzeit der Ausschaltung sowie die Personalausweisbehörde, die den elektronischen Identitätsnachweis ausgeschaltet hat;
wird aufgehoben.
b) Die bisherigen Nummern 5 bis 7 werden die Nummern 4 bis 6.
5. § 8 Absatz 1 wird wie folgt geändert:
a) Satz 2 wird wie folgt gefasst:
alt | neu |
Die Datenübermittlung umfasst auch
| "Die Datenübermittlung umfasst auch
|
b) In Satz 5 wird das Wort "fortgeschritten" gestrichen.
6. § 14 wird wie folgt geändert:
a) In Absatz 1 Satz 2 Nummer 1 wird das Wort "eingegeben" durch die Wörter "an das elektronische Speicher- und Verarbeitungsmedium übermittelt" ersetzt.
b) Absatz 2 wird wie folgt gefasst:
alt | neu |
(2) Der Personalausweis ist so herzustellen, dass personenbezogene Daten ausschließlich ausgelesen werden können durch
| "(2) Der Personalausweis ist so herzustellen, dass personenbezogene Daten ausschließlich ausgelesen werden können durch
|
7. § 18 wird wie folgt geändert:
a) Absatz 1
(1) Erklärt die antragstellende Person, den elektronischen Identitätsnachweis nicht nutzen zu wollen, schaltet die Personalausweisbehörde den elektronischen Identitätsnachweis aus.
wird aufgehoben.
b) Absatz 2 wird wie folgt gefasst:
alt | neu |
(2) Bestätigt die antragstellende Person den Empfang des Briefes nach § 17 Absatz 7 nicht, darf der Personalausweis nur mit ausgeschaltetem elektronischem Identitätsnachweis übergeben werden. | "(2) Bestätigt die antragstellende Person den Empfang des Briefes nach § 17 Absatz 7 nicht, darf die Personalausweisbehörde den ausgestellten Ausweis nur übergeben, wenn sie zuvor die Neusetzung der Geheimnummer nach § 20 Absatz 1 bewirkt hat." |
§ 21 Mehrfache Fehleingabe der Geheimnummer 17a(1) Wurde die Geheimnummer zwei Mal falsch eingegeben, kann durch vorherige Eingabe der Zugangsnummer ein dritter Eingabeversuch freigegeben werden.
(2) Wurde die Geheimnummer drei Mal falsch eingegeben, kann der elektronische Identitätsnachweis nur genutzt werden, wenn die Entsperrnummer eingegeben wird und diese nicht bereits zehn Mal benutzt wurde. Eine Verwendung der Entsperrnummer ist nach zehnmaliger Nutzung nicht mehr möglich. Sofern die Geheimnummer nach dreimaliger Falscheingabe gesperrt wurde, kann die Neusetzung der Geheimnummer ausschließlich in der Personalausweisbehörde erfolgen.
wird aufgehoben.
9. § 22 wird wie folgt geändert:
a) In der Überschrift werden die Wörter "Aus- und" gestrichen.
b) Absatz 1
(1) Bevor die ausstellende oder zuständige Personalausweisbehörde einen eingeschalteten elektronischen Identitätsnachweis nach § 10 Absatz 3 Satz 2 des Personalausweisgesetzes ausschaltet, prüft sie die Identität des Ausweisinhabers. Die Personalausweisbehörde speichert die Tatsache der Ausschaltung im Personalausweisregister. Handelt die zuständige Personalausweisbehörde, informiert sie die ausstellende Personalausweisbehörde über die Ausschaltung. In diesem Fall speichert die ausstellende Personalausweisbehörde die Tatsache der Ausschaltung im Personalausweisregister.
wird aufgehoben.
c) Absatz 2 Satz 3 wird wie folgt gefasst:
alt | neu |
Handelt die zuständige Personalausweisbehörde, findet Absatz 1 Satz 3 und 4 entsprechende Anwendung. | "Handelt die zuständige Personalausweisbehörde, informiert sie die ausstellende Personalausweisbehörde über die Einschaltung; in diesem Fall löscht die ausstellende Personalausweisbehörde die Tatsache der Ausschaltung im Personalausweisregister." |
d) In Absatz 3 werden die Wörter "Ein- und Ausschalten" durch das Wort "Einschalten" und die Wörter "den Absätzen 1 und" durch das Wort "Absatz" ersetzt.
§ 23 Voraussetzungen für die Nutzung bei dem Ausweisinhaber 17a(1) Vor erstmaliger Nutzung des elektronischen Identitätsnachweises soll der Ausweisinhaber die Geheimnummer einmalig durch Eingabe der im Brief übersandten ursprünglichen Geheimnummer neu setzen.
(2) Der Ausweisinhaber soll sicherstellen, dass insbesondere folgende Komponenten bei der Nutzung des elektronischen Identitätsnachweises eingesetzt werden:
- informationstechnische Systeme mit geeigneten Abwehrmaßnahmen gegen Sicherheitslücken nach dem Stand der Technik;
- Lesegeräte, die durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert worden sind;
- Software zur Nutzung des elektronischen Identitätsnachweises, die durch das Bundesamt für Sicherheit in der Informationstechnik zertifiziert worden ist.
wird aufgehoben.
11. Die § § 28 und 29 werden wie folgt gefasst:
alt | neu |
§ 28 Antrag
(1) Um das Vorliegen der Voraussetzungen des § 21 Absatz 2 Satz 1 des Personalausweisgesetzes überprüfen zu können, muss ein Antrag nach § 21 Absatz 1 Satz 1 des Personalausweisgesetzes enthalten:
(2) Der Antrag ist von der antragstellenden Person zu unterschreiben oder mit einer qualifizierten elektronischen Signatur zu versehen. Die antragstellende Person ist zu identifizieren durch:
Die Vergabestelle für Berechtigungszertifikate bestimmt, welche der genannten Arten des Identitätsnachweises genutzt werden können. | " § 28 Antrag auf Erteilung einer Berechtigung für Vor-Ort-Diensteanbieter und sonstige Diensteanbieter
(1) Der Antrag auf Erteilung einer Berechtigung nach § 21 Absatz 2 des Personalausweisgesetzes oder der Antrag auf Erteilung einer Vor-Ort-Berechtigung nach § 21a des Personalausweisgesetzes muss folgende Angaben enthalten:
(2) Der Antrag bedarf der Schriftform. |
§ 29 Anforderungen an Datenschutz und -sicherheit
(1) Anforderungen im Sinne des § 21 Absatz 2 Satz 1 Nummer 4 des Personalausweisgesetzes liegen insbesondere nicht vor, wenn
(2) Die Anforderungen an die Datensicherheit im Sinne des § 21 Absatz 2 Satz 1 Nummer 4 des Personalausweisgesetzes sind durch die Diensteanbieter nach dem Stand der Technik zu erfüllen. Art und Umfang der einzusetzenden Systemkomponenten legt die Vergabestelle für Berechtigungszertifikate in der Berechtigung fest. Die Vergabestelle für Berechtigungszertifikate legt in Richtlinien die weiteren technischen und organisatorischen Anforderungen fest, die ein Diensteanbieter zu erfüllen hat, um für die Nutzung von Berechtigungszertifikaten zugelassen zu werden. Die Richtlinien gelten in der jeweils im Bundesanzeiger veröffentlichten Fassung. (3) Vor Erteilung einer Berechtigung für einen nichtöffentlichen Diensteanbieter kann die Vergabestelle für Berechtigungszertifikate eine Stellungnahme der zuständigen Datenschutzaufsichtsbehörde einholen, ob dort Umstände bekannt sind, aus denen sich Anhaltspunkte für eine missbräuchliche Verwendung der Berechtigung ergeben. | § 29 Antrag auf Erteilung einer Berechtigung für Identifizierungsdiensteanbieter; Vorgaben zu Datenschutz und Datensicherheit bei Identifizierungsdiensteanbietern
(1) Für den Antrag auf Erteilung einer Berechtigung für Identifizierungsdiensteanbieter nach § 21b des Personalausweisgesetzes gilt § 28 entsprechend. (2) Die nach § 21b Absatz 2 Satz 1 Nummer 1 des Personalausweisgesetzes einzuhaltenden technischorganisatorischen Maßnahmen und die weiteren Anforderungen an die Datensicherheit nach § 21 Absatz 2 Satz 1 Nummer 2 des Personalausweisgesetzes legt das Bundesamt für Sicherheit in der Informationstechnik im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in einer Technischen Richtlinie fest. Dies umfasst insbesondere Anforderungen an die Datenspeicherung und -löschung, das einzusetzende Verschlüsselungsverfahren sowie an das Informationssicherheitsmanagement. (3) Die Einhaltung der in Absatz 2 genannten Voraussetzungen hat der Antragsteller durch Vorlage eines Zertifikats des Bundesamtes für Sicherheit in der Informationstechnik nachzuweisen. Das Bundesamt für Sicherheit in der Informationstechnik darf sich bei seiner Überprüfung externer Diensteister bedienen. Die hierbei anfallenden Kosten trägt der Antragsteller. (4) Die weiteren Anforderungen an den Datenschutz nach § 21b Absatz 2 Satz 1 Nummer 2 des Personalausweisgesetzes liegen nicht vor, wenn
|
12. Nach § 29 wird folgender § 29a eingefügt:
" § 29a Einholung von Stellungnahmen der Datenschutzaufsichtsbehörden
Die Vergabestelle für Berechtigungszertifikate kann jederzeit eine Stellungnahme der zuständigen Datenschutzaufsichtsbehörde einholen, ob dort Umstände bekannt sind, aus denen sich Anhaltspunkte für eine missbräuchliche Verwendung der Berechtigung ergeben. Vor Erteilung der Berechtigung soll die Vergabestelle die Stellungnahme der Datenschutzaufsichtsbehörde nur in Zweifelsfällen abwarten."
13. In § 31 Nummer 2 wird die Angabe "8 und 9" durch die Angabe "7 und 8" ersetzt.
14. § 32 Satz 3 wird wie folgt gefasst:
alt | neu |
Die Richtlinien gelten in der jeweils im Bundesanzeiger veröffentlichten Fassung. | "Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik bekannt gemacht." |
15. § 36 Absatz 1 wird wie folgt gefasst:
alt | neu |
(1) Hoheitliche Berechtigungszertifikate nach § 2 Absatz 4 Satz 3 des Personalausweisgesetzes dürfen ausschließlich an die zur Identitätsfeststellung berechtigten Behörden ausgegeben werden. | "(1) Hoheitliche Berechtigungszertifikate nach § 2 Absatz 4 Satz 3 des Personalausweisgesetzes dürfen vorbehaltlich von Satz 2 ausschließlich an die zur Identitätsfeststellung berechtigten Behörden ausgegeben werden. Zum Zwecke der Qualitätssicherung anhand von Testausweisen dürfen hoheitliche Berechtigungszertifikate auch an das Bundesamt für Sicherheit in der Informationstechnik ausgegeben werden." |
16. Nach § 36 wird folgender § 36a eingefügt:
" § 36a Ausgabe von Berechtigungszertifikaten für öffentliche Stellen anderer Mitgliedstaaten
Der Bund stellt Berechtigungszertifikate für öffentliche Stellen anderer Mitgliedstaaten zur Verfügung. Die Kommunikation und die Identifizierung der öffentlichen Stellen erfolgt über die einheitlichen Ansprechpartner nach dem Durchführungsbeschluss (EU) 2015/296 der Kommission vom 24. Februar 2015 zur Festlegung von Verfahrensmodalitäten für die Zusammenarbeit zwischen den Mitgliedstaaten auf dem Gebiet der elektronischen Identifizierung gemäß Artikel 12 Absatz 7 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (ABl. Nr. L 53 vom 25.02.2015 S. 14)."
.
Übersicht über die Technischen Richtlinien
des Bundesamtes für Sicherheit in der InformationstechnikAnhang 4
- BSI: Technische Richtlinie TR-02102, Kryptographische Verfahren: Empfehlungen und Schlüssellängen
- BSI: Technische Richtlinie TR-03104, Technische Richtlinie zur Produktionsdatenerfassung, -qualitätsprüfung und -übermittlung für hoheitliche Dokumente (TR PDÜ hD)
- BSI: Technische Richtlinie TR-03110, Advanced Security Mechanisms for Machine Readable Travel Documents - Extended Access Control (EAC), Password Authenticated Connection Establishment (PACE) and Restricted Identification (RI) [Fortgeschrittene Sicherheitsmechanismen für maschinenlesbare Reisedokumente]
- BSI: Technische Richtlinie TR-0311 1, Elliptic Curve Cryptography (ECC) [Elliptische-Kurven-Kryptographie]
- BSI: Technische Richtlinie TR-03112, eCard-API-Framework
- BSI: Technische Richtlinie TR-03116-2, eCard-Projekte der Bundesregierung - Hoheitliche Ausweisdokumente
- BSI: Technische Richtlinie TR-03117, eCards mit kontaktloser Schnittstelle als sichere Signaturerstellungseinheit
- BSI: Technische Richtlinie TR-03119, Anforderungen an Kartenleser mit Unterstützung des Personalausweises
- BSI: Technische Richtlinie TR-03121, Biometrics for Public Sector Applications [Technische Richtlinie für Biometrie in hoheitlichen Anwendungen]
- BSI: Technische Richtlinie TR-03123, XML-Datenaustauschformat für hoheitliche Dokumente (TR XhD)
- BSI: Technische Richtlinie TR-03127, Architektur Elektronischer Personalausweis
- BSI: Technische Richtlinie TR-03128, Public Key Infrastrukturen für den elektronischen Personalausweis
- BSI: Technische Richtlinie TR-03129, Communication Protocols for Extended Access Control [Kommunikationsprotokolle für die erweiterte Zugriffskontrolle]
- BSI: Technische Richtlinie TR-03130, eID-Server
- BSI: Technische Richtlinie TR-03131, EAC-Box Architecture and Interfaces [EAC-Box Architektur und Schnittstellen]
- BSI: Technische Richtlinie TR-03132, Sichere Szenarien für Kommunikationsprozesse im Bereich hoheitlicher Dokumente (TR SiSKo hD)
- BSI: Common Criteria Protection Profile Electronic Identity Card, BSI-CC-PP-0061 [Gemeinsame Kriterien - Schutzprofil Elektronische Identitätskarte]
- BSI: Common Criteria Protection Profile for Inspection Systems (IS), BSI-CC-PP-0064 [Gemeinsame Kriterien - Schutzprofil für Inspektionssysteme]
wird aufgehoben.
18. Der bisherige Anhang 5 wird Anhang 4 und wie folgt geändert:
a) In Nummer 2 Spalte 2 wird das Wort "Fingerabdruckleser" durch die Wörter "Hardware zur Erfassung und Echtheitsbewertung von Fingerabdrücken" ersetzt.
b) In Nummer 3 Spalte 2 wird nach dem Wort "Erfassung" ein Komma und das Wort "Echtheitsbewertung" eingefügt.
c) In Nummer 9 Spalte 3 werden die Wörter "Empfehlung des Einsatzes zertifizierter Geräte an den Ausweisinhaber" gestrichen.
d) In Nummer 10 Spalte 2 wird das Wort "Bürgerclient" durch das Wort "eID-Client" ersetzt.
e) In Nummer 11 Spalte 2 werden nach den Wörtern "elektronischer Identitätsnachweis" die Wörter "oder des Vor-Ort-Auslesens" eingefügt.
Artikel 2
Weitere Änderung der Personalausweisverordnung
Die Personalausweisverordnung vom 1. November 2010 (BGBl. I S. 1460), die zuletzt durch Artikel 1 dieser Verordnung geändert worden ist, wird wie folgt geändert:
1. § 28 Absatz 1 Nummer 8 wird wie folgt gefasst:
alt | neu |
8. die Angabe, ob die antragstellende Person sich eines Auftragnehmers nach § 11 des Bundesdatenschutzgesetzes zur Durchführung des elektronischen Identitätsnachweises oder des Vor-Ort-Auslesens bedienen wird und in diesem Fall die Angaben nach Nummer 1 für diesen Auftragnehmer; ist diese Angabe zum Zeitpunkt des Antrages noch nicht bekannt, so ist sie, sobald bekannt, unverzüglich nachzuliefern. | "8. die Angabe, ob die antragstellende Person sich zur Durchführung des elektronischen Identitätsnachweises eines Auftragnehmers nach den Artikeln 28 bis 31 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. Nr. L 119 vom 04.05.2016 S. 1; L 314 vom 22.11.2016 S. 72) bedienen wird und in diesem Fall die Angaben nach Nummer 1 für diesen Auftragnehmer; ist diese Angabe zum Zeitpunkt des Antrages noch nicht bekannt, so ist sie, sobald bekannt, unverzüglich nachzuliefern." |
2. In § 29 Absatz 4 werden die Nummern 1 bis 3 wie folgt gefasst:
alt | neu |
1. der Staat des Wohnsitzes oder des Sitzes der antragstellenden Person kein angemessenes Datenschutzniveau gewährleistet entsprechend der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. Nr. L 281 vom 23.11.1995 S.31),
2. der elektronische Identitätsnachweis für den Identifizierungsdiensteanbieter durch einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes durchgeführt wird und hierbei kein wirksames Auftragsverhältnis nach § 11 des Bundesdatenschutzgesetzes zwischen dem Diensteanbieter und dem Auftragnehmer besteht, 3. der Identifizierungsdiensteanbieter einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes gewählt hat, der die technischen und organisatorischen Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik für die sichere Bereitstellung des elektronischen Identitätsnachweises nicht erfüllt oder | "1. der Staat des Wohnsitzes oder des Sitzes der antragstellenden Person kein angemessenes Datenschutzniveau gewährleistet entsprechend der Verordnung (EU) 2016/679,
2. der elektronische Identitätsnachweis für den Identifizierungsdiensteanbieter durch einen Auftragnehmer nach den Artikeln 28 bis 31 der Verordnung (EU) 2016/679 durchgeführt wird und hierbei kein wirksames Auftragsverhältnis nach den Artikeln 28 bis 31 der Verordnung (EU) 2016/679 zwischen dem Diensteanbieter und dem Auftragnehmer besteht, 3. der Identifizierungsdiensteanbieter einen Auftragnehmer nach den Artikeln 28 bis 31 der Verordnung (EU) 2016/679 gewählt hat, der die technischen und organisatorischen Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik für die sichere Bereitstellung des elektronischen Identitätsnachweises nicht erfüllt. |
Artikel 3
Inkrafttreten
(1) Artikel 1 tritt am Tag nach der Verkündung in Kraft.
(2) Artikel 2 tritt am 25. Mai 2018 in Kraft.
____
1) Notifiziert gemäß der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. Nr. L 241 vom 17.09.2015 S. 1).
ID 171637
ENDE |