Die
Personalausweisverordnung vom
1. November 2010 (BGBl. I S. 1460), die zuletzt durch
Artikel 5 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745) geändert worden ist, wird wie folgt geändert:
- 1.
- In der Inhaltsübersicht werden die Angaben zu Anhang 4 und 5 durch die folgende Angabe ersetzt:
„Anhang 4 Übersicht über die zu zertifizierenden Systemkomponenten".
- 2.
- § 2 wird wie folgt geändert:
- a)
- Satz 1 Nummer 2 wird wie folgt geändert:
- aa)
- In Buchstabe a werden nach dem Wort „Erfassung" ein Komma und das Wort „Echtheitsbewertung" eingefügt.
- bb)
- In Buchstabe b werden nach den Wörtern „sämtlicher Ausweisantragsdaten" die Wörter „und die in § 8 Absatz 1 Satz 2 genannten Daten" eingefügt.
- cc)
- In Buchstabe c werden nach den Wörtern „den elektronischen Identitätsnachweis" die Wörter „und das Vor-Ort-Auslesen" eingefügt.
- b)
- Satz 3 wird wie folgt gefasst:
„Die Übersicht über die Technischen Richtlinien wird im Bundesanzeiger veröffentlicht; die jeweils geltende Fassung der Technischen Richtlinien wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik bekannt gemacht."
- 3.
- § 3 wird wie folgt geändert:
- a)
- In der Überschrift werden nach dem Wort „Zertifizierung" die Wörter „von Systemkomponenten" eingefügt.
- b)
- Absatz 2 wird wie folgt gefasst:
- 4.
- § 4 Absatz 1 wird wie folgt geändert:
- a)
- Nummer 4 wird aufgehoben.
- b)
- Die bisherigen Nummern 5 bis 7 werden die Nummern 4 bis 6.
- 5.
- § 8 Absatz 1 wird wie folgt geändert:
- a)
- Satz 2 wird wie folgt gefasst:
„Die Datenübermittlung umfasst auch
- 1.
- die technischen Eigenschaften der gespeicherten Daten,
- 2.
- die Behördenkennzahl sowie
- 3.
- anonymisierte Protokolldaten zur Erfassung und Qualitätssicherung des Lichtbildes und der Fingerabdrücke."
- b)
- In Satz 5 wird das Wort „fortgeschritten" gestrichen.
- 6.
- § 14 wird wie folgt geändert:
- a)
- In Absatz 1 Satz 2 Nummer 1 wird das Wort „eingegeben" durch die Wörter „an das elektronische Speicher- und Verarbeitungsmedium übermittelt" ersetzt.
- b)
- Absatz 2 wird wie folgt gefasst:
„(2) Der Personalausweis ist so herzustellen, dass personenbezogene Daten ausschließlich ausgelesen werden können durch
- 1.
- Behörden, die ein hoheitliches Berechtigungszertifikat nutzen,
- 2.
- berechtigte Diensteanbieter, die ein Berechtigungszertifikat nutzen, nach Eingabe der Geheimnummer durch den Ausweisinhaber, oder
- 3.
- berechtigte Vor-Ort-Diensteanbieter, die ein Vor-Ort-Zertifikat nutzen, nach Übermittlung der Zugangsnummer an das elektronische Speicher- und Verarbeitungsmedium."
- 7.
- § 18 wird wie folgt geändert:
- a)
- Absatz 1 wird aufgehoben.
- b)
- Absatz 2 wird wie folgt gefasst:
„(2) Bestätigt die antragstellende Person den Empfang des Briefes nach
§ 17 Absatz 7 nicht, darf die Personalausweisbehörde den ausgestellten Ausweis nur übergeben, wenn sie zuvor die Neusetzung der Geheimnummer nach
§ 20 Absatz 1 bewirkt hat."
- 8.
- § 21 wird aufgehoben.
- 9.
- § 22 wird wie folgt geändert:
- a)
- In der Überschrift werden die Wörter „Aus- und" gestrichen.
- b)
- Absatz 1 wird aufgehoben.
- c)
- Absatz 2 Satz 3 wird wie folgt gefasst:
„Handelt die zuständige Personalausweisbehörde, informiert sie die ausstellende Personalausweisbehörde über die Einschaltung; in diesem Fall löscht die ausstellende Personalausweisbehörde die Tatsache der Ausschaltung im Personalausweisregister."
- d)
- In Absatz 3 werden die Wörter „Ein- und Ausschalten" durch das Wort „Einschalten" und die Wörter „den Absätzen 1 und" durch das Wort „Absatz" ersetzt.
- 10.
- § 23 wird aufgehoben.
- 11.
- Die §§ 28 und 29 werden wie folgt gefasst:
„§ 28 Antrag auf Erteilung einer Berechtigung für Vor-Ort-Diensteanbieter und sonstige Diensteanbieter
- 1.
- Angaben, die zur Feststellung der Identität von juristischen und natürlichen Personen notwendig sind,
- a)
- bei natürlichen Personen insbesondere der Familienname, die Vornamen, der Tag und der Ort der Geburt sowie die Anschrift der Hauptwohnung,
- b)
- bei juristischen Personen insbesondere der Name, die Anschrift des Sitzes, die Rechtsform und die Bevollmächtigten; außerdem ist in diesem Fall eine Kopie des Handelsregisterauszugs oder der Errichtungsurkunde beizufügen;
- 2.
- Kontaktdaten, insbesondere die telefonische oder elektronische Erreichbarkeit;
- 3.
- Angaben zu antragstellenden Personen mit Wohnung oder Sitz außerhalb Deutschlands, soweit zur eindeutigen länderspezifischen Identifizierung erforderlich, einschließlich einer ladungsfähigen Anschrift; soweit eine Niederlassung in Deutschland besteht, sind auch deren Angaben nach den Nummern 1 und 2 aufzunehmen;
- 4.
- eine kurze Beschreibung des Diensteanbieters und seiner Tätigkeitsfelder sowie die Angabe der Unternehmenswebsite, soweit vorhanden;
- 5.
- eine kurze Beschreibung des dem Antrag zu Grunde liegenden Interesses an einer Berechtigung; darzulegen ist, welche Funktion
- a)
- im Falle eines Antrages auf Erteilung einer Berechtigung nach § 21 Absatz 2 des Personalausweisgesetzes der elektronische Identitätsnachweis oder
- b)
- im Falle eines Antrages auf Erteilung einer Vor-Ort-Berechtigung nach § 21a des Personalausweisgesetzes das Vor-Ort-Auslesen
im Rahmen der behördlichen Aufgabenwahrnehmung oder der vorgesehenen Geschäftszwecke der antragstellenden Person erfüllen soll;
- 6.
- die Angabe der Datenkategorien nach § 18 Absatz 3 des Personalausweisgesetzes, auf die die antragstellende Person zugreifen möchte;
- 7.
- die Erklärung, dass der Diensteanbieter den betrieblichen Datenschutz einhält;
- 8.
- die Angabe, ob die antragstellende Person sich eines Auftragnehmers nach § 11 des Bundesdatenschutzgesetzes zur Durchführung des elektronischen Identitätsnachweises oder des Vor-Ort-Auslesens bedienen wird und in diesem Fall die Angaben nach Nummer 1 für diesen Auftragnehmer; ist diese Angabe zum Zeitpunkt des Antrages noch nicht bekannt, so ist sie, sobald bekannt, unverzüglich nachzuliefern.
(2) Der Antrag bedarf der Schriftform.
§ 29 Antrag auf Erteilung einer Berechtigung für Identifizierungsdiensteanbieter; Vorgaben zu Datenschutz und Datensicherheit bei Identifizierungsdiensteanbietern
(2) Die nach
§ 21b Absatz 2 Satz 1 Nummer 1 des Personalausweisgesetzes einzuhaltenden technisch-organisatorischen Maßnahmen und die weiteren Anforderungen an die Datensicherheit nach
§ 21 Absatz 2 Satz 1 Nummer 2 des Personalausweisgesetzes legt das Bundesamt für Sicherheit in der Informationstechnik im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in einer Technischen Richtlinie fest. Dies umfasst insbesondere Anforderungen an die Datenspeicherung und -löschung, das einzusetzende Verschlüsselungsverfahren sowie an das Informationssicherheitsmanagement.
(3) Die Einhaltung der in Absatz 2 genannten Voraussetzungen hat der Antragsteller durch Vorlage eines Zertifikats des Bundesamtes für Sicherheit in der Informationstechnik nachzuweisen. Das Bundesamt für Sicherheit in der Informationstechnik darf sich bei seiner Überprüfung externer Dienstleister bedienen. Die hierbei anfallenden Kosten trägt der Antragsteller.
- 1.
- der Staat des Wohnsitzes oder des Sitzes der antragstellenden Person kein angemessenes Datenschutzniveau gewährleistet entsprechend der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31),
- 2.
- der elektronische Identitätsnachweis für den Identifizierungsdiensteanbieter durch einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes durchgeführt wird und hierbei kein wirksames Auftragsverhältnis nach § 11 des Bundesdatenschutzgesetzes zwischen dem Diensteanbieter und dem Auftragnehmer besteht,
- 3.
- der Identifizierungsdiensteanbieter einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes gewählt hat, der die technischen und organisatorischen Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik für die sichere Bereitstellung des elektronischen Identitätsnachweises nicht erfüllt oder
- 4.
- der Identifizierungsdiensteanbieter nicht die Voraussetzungen des § 21 Absatz 2 des Personalausweisgesetzes erfüllt."
- 12.
- Nach § 29 wird folgender § 29a eingefügt:
„§ 29a Einholung von Stellungnahmen der Datenschutzaufsichtsbehörden
Die Vergabestelle für Berechtigungszertifikate kann jederzeit eine Stellungnahme der zuständigen Datenschutzaufsichtsbehörde einholen, ob dort Umstände bekannt sind, aus denen sich Anhaltspunkte für eine missbräuchliche Verwendung der Berechtigung ergeben. Vor Erteilung der Berechtigung soll die Vergabestelle die Stellungnahme der Datenschutzaufsichtsbehörde nur in Zweifelsfällen abwarten."
- 13.
- In § 31 Nummer 2 wird die Angabe „8 und 9" durch die Angabe „7 und 8" ersetzt.
- 14.
- § 32 Satz 3 wird wie folgt gefasst:
„Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik bekannt gemacht."
- 15.
- § 36 Absatz 1 wird wie folgt gefasst:
„(1) Hoheitliche Berechtigungszertifikate nach
§ 2 Absatz 4 Satz 3 des Personalausweisgesetzes dürfen vorbehaltlich von Satz 2 ausschließlich an die zur Identitätsfeststellung berechtigten Behörden ausgegeben werden. Zum Zwecke der Qualitätssicherung anhand von Testausweisen dürfen hoheitliche Berechtigungszertifikate auch an das Bundesamt für Sicherheit in der Informationstechnik ausgegeben werden."
- 16.
- Nach § 36 wird folgender § 36a eingefügt:
„§ 36a Ausgabe von Berechtigungszertifikaten für öffentliche Stellen anderer Mitgliedstaaten
Der Bund stellt Berechtigungszertifikate für öffentliche Stellen anderer Mitgliedstaaten zur Verfügung. Die Kommunikation und die Identifizierung der öffentlichen Stellen erfolgt über die einheitlichen Ansprechpartner nach dem Durchführungsbeschluss (EU) 2015/296 der Kommission vom 24. Februar 2015 zur Festlegung von Verfahrensmodalitäten für die Zusammenarbeit zwischen den Mitgliedstaaten auf dem Gebiet der elektronischen Identifizierung gemäß Artikel 12 Absatz 7 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (ABl. L 53 vom 25.2.2015, S. 14)."
- 17.
- Anhang 4 wird aufgehoben.
- 18.
- Der bisherige Anhang 5 wird Anhang 4 und wie folgt geändert:
- a)
- In Nummer 2 Spalte 2 wird das Wort „Fingerabdruckleser" durch die Wörter „Hardware zur Erfassung und Echtheitsbewertung von Fingerabdrücken" ersetzt.
- b)
- In Nummer 3 Spalte 2 wird nach dem Wort „Erfassung" ein Komma und das Wort „Echtheitsbewertung" eingefügt.
- c)
- In Nummer 9 Spalte 3 werden die Wörter „Empfehlung des Einsatzes zertifizierter Geräte an den Ausweisinhaber" gestrichen.
- d)
- In Nummer 10 Spalte 2 wird das Wort „Bürgerclient" durch das Wort „eID-Client" ersetzt.
- e)
- In Nummer 11 Spalte 2 werden nach den Wörtern „elektronischer Identitätsnachweis" die Wörter „oder des Vor-Ort-Auslesens" eingefügt.
V. v. 01.11.2010 BGBl. I S. 1460; zuletzt geändert durch Artikel 7 V. v. 30.10.2023 BGBl. 2023 I Nr. 290