Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

Kapitel 1 - Personalausweisverordnung (PAuswV)


Kapitel 1 Allgemeine Vorschriften

§ 1 Begriffsbestimmungen



(1) 1Eine Sperrsumme ist ein eindeutiges Merkmal, das aus dem Sperrkennwort nach § 2 Absatz 6 des Personalausweisgesetzes, dem Familiennamen, den Vornamen und dem Tag der Geburt eines Ausweisinhabers errechnet wird. 2Es dient der Übermittlung einer Sperrung vom Sperrnotruf oder einer Personalausweisbehörde an den Sperrlistenbetreiber. 3Mit Hilfe der Sperrsumme ermittelt der Sperrlistenbetreiber anhand der Referenzliste den Sperrschlüssel eines zu sperrenden elektronischen Identitätsnachweises.

(2) 1Ein Sperrschlüssel ist ein eindeutiges kartenspezifisches Merkmal, das der Errechnung eines allgemeinen Sperrmerkmals eines zu sperrenden elektronischen Identitätsnachweises dient. 2Er wird vom Ausweishersteller erzeugt, dem Sperrlistenbetreiber übermittelt und dauerhaft in der Referenzliste gespeichert.

(3) Berechtigungszertifikateanbieter im Sinne dieser Verordnung ist eine natürliche oder juristische Person, die Berechtigungszertifikate im Sinne des § 2 Absatz 4 Satz 1 des Personalausweisgesetzes ausstellt.

(4) 1Ein allgemeines Sperrmerkmal ist ein eindeutiges kartenspezifisches Merkmal, das einen gesperrten elektronischen Identitätsnachweis in der allgemeinen Sperrliste repräsentiert. 2Es wird Berechtigungszertifikateanbietern übermittelt, die es zu Sperrmerkmalen nach § 2 Absatz 7 des Personalausweisgesetzes umrechnen.

(5) Der Sperrnotruf ist eine Einrichtung, über die der Ausweisinhaber seinen elektronischen Identitätsnachweis unter Angabe von Sperrkennwort, Familienname, Vornamen und Tag der Geburt in die allgemeine Sperrliste aufnehmen lassen kann.

(6) Extensible Markup Language für hoheitliche Dokumente (XhD) ist ein in erweiterbarer Seitenbeschreibungssprache (XML) verfasstes Datenaustauschformat für hoheitliche Dokumente.

(7) 1OSCI-Transport ist der vom Kooperationsausschuss Automatisierte Datenverarbeitung Bund/Länder/Kommunaler Bereich festgelegte jeweils geltende Standard für ein Datenübermittlungsprotokoll. 2Der Standard OSCI-Transport ist in der vom Bundesamt für Sicherheit in der Informationstechnik festgelegten Fassung, die im Bundesanzeiger bekannt gemacht ist, zu verwenden.




§ 2 Technische Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik



1Nach dem Stand der Technik sind zu erfüllen

1.
die technischen Anforderungen an

a)
die Speicherung des Lichtbildes und der Fingerabdrücke,

b)
den Zugriffsschutz auf die im Chip des Personalausweises abgelegten Daten,

c)
den Zugriffsschutz auf die in dem Chip eines mobilen Endgeräts abgelegten Daten sowie

2.
die technischen und organisatorischen Anforderungen an

a)
die Erfassung, Echtheitsbewertung und Qualitätssicherung des Lichtbildes und der Fingerabdrücke,

b)
die Übermittlung sämtlicher Ausweisantragsdaten und die in § 8 Absatz 1 Satz 2 genannten Daten von den Personalausweisbehörden an den Ausweishersteller,

c)
den elektronischen Identitätsnachweis und das Vor-Ort-Auslesen,

d)
die Geheimnummer, die Sperrung und Entsperrung des elektronischen Identitätsnachweises durch den Ausweisinhaber und die Speicherung und Löschung der Sperrmerkmale und des Sperrkennwortes, insbesondere an die dabei einzusetzenden technischen Systeme und Kommunikationswege,

e)
das Zurücksetzen und Neusetzen der Geheimnummer durch den Ausweishersteller nach elektronisch gestelltem Antrag und

f)
das Ändern der Anschrift auf dem Personalausweis unter Verwendung eines Aufklebers nach Anhang 1 sowie auf dem Chip des Personalausweises nach einer elektronischen Anmeldung nach § 23a des Bundesmeldegesetzes,

g)
die Übermittlung der Daten nach § 10a Absatz 1 Satz 1 des Personalausweisgesetzes und

h)
den elektronischen Identitätsnachweis mit einem mobilen Endgerät.

2Der Stand der Technik ist als niedergelegt zu vermuten in den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik. 3Die Übersicht über die Technischen Richtlinien wird im Bundesanzeiger veröffentlicht; die jeweils geltende Fassung der Technischen Richtlinien wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik bekannt gemacht.




§ 3 Zertifizierung von Systemkomponenten



(1) 1Die Systemkomponenten der Personalausweisbehörden, des Ausweisherstellers, der Diensteanbieter und ihrer Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes, deren Zertifizierung verpflichtend oder optional ist, ergeben sich aus dem Anhang 5. 2Die Art und die Einzelheiten der Zertifizierung sind den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik zu entnehmen.

(2) Für die Zertifizierung gelten § 9 des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist, sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231), die durch Artikel 40 des Gesetzes vom 29. März 2017 (BGBl. I S. 626) geändert worden ist, in der jeweils geltenden Fassung.

(3) 1Die Kosten der Zertifizierung trägt der Antragsteller. 2Die BSI-Kostenverordnung vom 3. März 2005 (BGBl. I S. 519) in der jeweils geltenden Fassung findet Anwendung.




§ 4 Dokumentationspflichten



(1) Die Personalausweisbehörde dokumentiert für die Zwecke des elektronischen Identitätsnachweises mit dem Personalausweis:

1.
Erklärungen des Ausweisinhabers, die im Rahmen der Antragstellung und Ausweisverwaltung erfolgt sind;

2.
das Datum und die Uhrzeit der Ausgabe des Personalausweises;

3.
das Datum und die Uhrzeit der Übergabe des Briefes mit der Geheimnummer, der Entsperrnummer und dem Sperrkennwort, falls die Personalausweisbehörde den Brief übergibt;

4.
die Einschaltung des elektronischen Identitätsnachweises mit Datum und Uhrzeit der Einschaltung sowie die Personalausweisbehörde, die den elektronischen Identitätsnachweis eingeschaltet hat;

5.
den Sperrantrag durch den Ausweisinhaber, die Übermittlung der Sperrsumme an den Sperrlistenbetreiber sowie das Datum und die Uhrzeit von Antrag und Übermittlung;

6.
den Entsperrantrag des Ausweisinhabers, die Übermittlung der Sperrsumme an den Sperrlistenbetreiber sowie das Datum und die Uhrzeit von Antrag und Übermittlung.

(2) Der Sperrnotruf dokumentiert für die Zwecke des elektronischen Identitätsnachweises den Sperrantrag durch den Ausweisinhaber, die Übermittlung der Sperrsumme an den Sperrlistenbetreiber sowie das Datum und die Uhrzeit von Antrag und Übermittlung.

(3) Der Sperrlistenbetreiber dokumentiert

1.
im Zusammenhang mit der Sperrung des elektronischen Identitätsnachweises

a)
den Eingang des Sperrantrages mit der Sperrsumme sowie das Datum und die Uhrzeit des Eingangs,

b)
die Aufnahme des allgemeinen Sperrmerkmals in die Sperrliste sowie das Datum und die Uhrzeit der Sperrung,

c)
die Anfrage zur Erzeugung der Sperrliste sowie das Datum und die Uhrzeit der Erzeugung und

d)
den tatsächlichen Abruf sowie das Datum und die Uhrzeit des tatsächlichen Abrufs;

2.
im Zusammenhang mit der Entsperrung des elektronischen Identitätsnachweises eines Personalausweises

a)
den Eingang des Entsperrantrages mit der Sperrsumme sowie das Datum und die Uhrzeit des Eingangs,

b)
die Entfernung des allgemeinen Sperrmerkmals aus der Sperrliste sowie das Datum und die Uhrzeit der Entfernung,

c)
die Bereitstellung der Sperrliste zum Abruf sowie das Datum und die Uhrzeit der Bereitstellung sowie

d)
den tatsächlichen Abruf sowie das Datum und die Uhrzeit des tatsächlichen Abrufs sowie

3.
im Zusammenhang mit der Löschung des Sperreintrags des elektronischen Identitätsnachweises nach § 10 Absatz 8 Satz 1 des Personalausweisgesetzes

a)
die Sperrsumme sowie das Datum und die Uhrzeit der Löschung,

b)
die Entfernung des allgemeinen Sperrmerkmals aus der Sperrliste sowie das Datum und die Uhrzeit der Entfernung,

c)
die Bereitstellung der Sperrliste zum Abruf sowie das Datum und die Uhrzeit der Bereitstellung sowie

d)
den tatsächlichen Abruf sowie das Datum und die Uhrzeit des tatsächlichen Abrufs.




§ 5 Speicherung und Löschung



(1) Für die Speicherung personenbezogener Daten nach dieser Verordnung bei den Personalausweisbehörden gilt § 23 Absatz 4 des Personalausweisgesetzes entsprechend.

(2) Personenbezogene Daten beim Sperrnotruf sind ein Jahr nach ihrer Erhebung zu löschen.

(3) Für die Speicherung beim Sperrlistenbetreiber gelten folgende Fristen:

1.
Sperrschlüssel und Sperrsumme sowie der letzte Tag der Gültigkeitsdauer eines elektronischen Identitätsnachweises mit einem Personalausweis sind spätestens einen Monat nach Ablauf der Gültigkeitsdauer aus der Referenzliste zu löschen;

2.
Sperrschlüssel und Sperrsumme sowie der letzte Tag der Gültigkeitsdauer eines elektronischen Identitätsnachweises mit einem mobilen Endgerät sind spätestens einen Monat nach Ablauf der Gültigkeitsdauer aus der Referenzliste zu löschen;

3.
Aktualisierungen der Sperrliste werden gespeichert, damit eine Sperrung oder Entsperrung von elektronischen Identitätsnachweisen nachgewiesen werden kann; solche Aktualisierungen der Sperrliste werden spätestens einen Monat nach Ablauf der Gültigkeitsdauer eines elektronischen Identitätsnachweises gelöscht;

4.
ein allgemeines Sperrmerkmal wird aus der Sperrliste spätestens einen Monat nach Ablauf der Gültigkeitsdauer eines elektronischen Identitätsnachweises entfernt oder wenn die Personalausweisbehörde eine Entsperrung vorgenommen hat;

5.
die nach § 4 Absatz 3 erzeugten Protokolldaten werden 20 Wochen nach ihrer Erzeugung gelöscht.

(4) 1Der Ausweishersteller speichert die Daten, die im Rahmen des Produktionsverfahrens erlangt oder erzeugt worden sind und der antragstellenden Person zugeordnet werden können, höchstens aber so lange, bis der Sperrlistenbetreiber den Empfang der Sperrsumme und des Sperrschlüssels und die Personalausweisbehörde den Eingang des Sperrkennworts bestätigt haben. 2Im Übrigen sind die Daten sicher zu löschen. 3Der Ausweishersteller führt zur Vermeidung von Doppelungen eine Liste mit Sperrsummen sowie den jeweiligen letzten Tag der Gültigkeitsdauer von hergestellten Personalausweisen sowie von eingerichteten elektronischen Identitätsnachweisen mit einem mobilen Endgerät. 4Die Sperrsummen sowie der jeweilige letzte Tag der Gültigkeitsdauer von hergestellten Personalausweisen in dieser Liste sind spätestens einen Monat nach Ablauf der Gültigkeitsdauer eines elektronischen Identitätsnachweises zu löschen. 5Der Sperrlistenbetreiber informiert hierzu den Ausweishersteller über Löschvorgänge nach Absatz 3 Nummer 1 und 2. 6§ 26 Absatz 3 Satz 1 des Personalausweisgesetzes bleibt unberührt. 7Die Sperrsummen sowie der letzte Tag der Gültigkeitsdauer eines elektronischen Identitätsnachweises mit einem mobilen Endgerät in dieser Liste sind spätestens einen Monat nach Ablauf der Gültigkeitsdauer zu löschen.

(5) 1Der Ausweishersteller löscht die zur Bearbeitung von elektronischen Anträgen nach § 20 Absatz 2 und § 21 Absatz 2 zu erhebenden personenbezogenen Daten, sobald er die Benachrichtigung bekommen hat, dass der Antragsteller die zufällig neu generierte Geheimnummer erhalten hat, spätestens aber nach 30 Tagen. 2Satz 1 gilt nicht für das dienste- und kartenspezifische Kennzeichen, welches spätestens nach 90 Tagen zu löschen ist.

(6) Abgesehen von der im Personalausweisregister zu speichernden Anschrift löscht die Personalausweisbehörde alle personenbezogenen Daten, die zur Änderung der Anschrift nach einer elektronischen Anmeldung nach § 23a des Bundesmeldegesetzes erhoben werden, nach Vollzug der Änderung der Anschrift auf dem Chip sowie Erstellung und Versand des Aufklebers, spätestens aber 30 Tage nach Erhalt der personenbezogenen Daten durch die Personalausweisbehörde.