210-6-1210-6-1
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 66, ausgegeben zu Bonn am 6. Oktober 2017
3521
Zweite Verordnung zur Änderung der Personalausweisverordnung1
Vom 28. September 2017
Auf Grund des § 34 Nummer 2 bis 6 Buchstabe a und b und Nummer 7 des Personalausweisgesetzes, dessen Nummer 7 durch Artikel 1 Nummer 19 Buchstabe b des Gesetzes vom 7. Juli 2017 (BGBl. I S. 2310) geändert worden ist, verordnet das Bundesministerium des Innern im Benehmen mit dem Auswärtigen Amt:
Artikel 1 Änderung der Personalausweisverordnung
b) Absatz 2 wird wie folgt gefasst: ,,(2) Für die Zertifizierung gelten § 9 des BSIGesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist, sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231), die durch Artikel 40 des Gesetzes vom 29. März 2017 (BGBl. I S. 626) geändert worden ist, in der jeweils geltenden Fassung." 4. § 4 Absatz 1 wird wie folgt geändert: a) Nummer 4 wird aufgehoben. b) Die bisherigen Nummern 5 bis 7 werden die Nummern 4 bis 6. 5. § 8 Absatz 1 wird wie folgt geändert: a) Satz 2 wird wie folgt gefasst: ,,Die Datenübermittlung umfasst auch 1. die technischen Eigenschaften der gespeicherten Daten, 2. die Behördenkennzahl sowie 3. anonymisierte Protokolldaten zur Erfassung und Qualitätssicherung des Lichtbildes und der Fingerabdrücke." b) In Satz 5 wird das Wort ,,fortgeschritten" gestrichen. 6. § 14 wird wie folgt geändert: a) In Absatz 1 Satz 2 Nummer 1 wird das Wort ,,eingegeben" durch die Wörter ,,an das elektronische Speicher- und Verarbeitungsmedium übermittelt" ersetzt. b) Absatz 2 wird wie folgt gefasst: ,,(2) Der Personalausweis ist so herzustellen, dass personenbezogene Daten ausschließlich ausgelesen werden können durch 1. Behörden, die ein hoheitliches Berechtigungszertifikat nutzen, 2. berechtigte Diensteanbieter, die ein Berechtigungszertifikat nutzen, nach Eingabe der Geheimnummer durch den Ausweisinhaber, oder 3. berechtigte Vor-Ort-Diensteanbieter, die ein Vor-Ort-Zertifikat nutzen, nach Übermittlung der Zugangsnummer an das elektronische Speicher- und Verarbeitungsmedium."
Die Personalausweisverordnung vom 1. November 2010 (BGBl. I S. 1460), die zuletzt durch Artikel 5 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745) geändert worden ist, wird wie folgt geändert: 1. In der Inhaltsübersicht werden die Angaben zu Anhang 4 und 5 durch die folgende Angabe ersetzt:
Übersicht über die zu zertifizierenden Systemkomponenten". 2. § 2 wird wie folgt geändert: ,,Anhang 4
a) Satz 1 Nummer 2 wird wie folgt geändert: aa) In Buchstabe a werden nach dem Wort ,,Erfassung" ein Komma und das Wort ,,Echtheitsbewertung" eingefügt. bb) In Buchstabe b werden nach den Wörtern ,,sämtlicher Ausweisantragsdaten" die Wörter ,,und die in § 8 Absatz 1 Satz 2 genannten Daten" eingefügt. cc) In Buchstabe c werden nach den Wörtern ,,den elektronischen Identitätsnachweis" die Wörter ,,und das Vor-Ort-Auslesen" eingefügt. b) Satz 3 wird wie folgt gefasst: ,,Die Übersicht über die Technischen Richtlinien wird im Bundesanzeiger veröffentlicht; die jeweils geltende Fassung der Technischen Richtlinien wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik bekannt gemacht." 3. § 3 wird wie folgt geändert: a) In der Überschrift werden nach dem Wort ,,Zertifizierung" die Wörter ,,von Systemkomponenten" eingefügt.
1
Notifiziert gemäß der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 9. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 vom 17.9.2015, S. 1).
3522
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 66, ausgegeben zu Bonn am 6. Oktober 2017
7. § 18 wird wie folgt geändert: a) Absatz 1 wird aufgehoben. b) Absatz 2 wird wie folgt gefasst: ,,(2) Bestätigt die antragstellende Person den Empfang des Briefes nach § 17 Absatz 7 nicht, darf die Personalausweisbehörde den ausgestellten Ausweis nur übergeben, wenn sie zuvor die Neusetzung der Geheimnummer nach § 20 Absatz 1 bewirkt hat." 8. § 21 wird aufgehoben. 9. § 22 wird wie folgt geändert: a) In der Überschrift werden die Wörter ,,Aus- und" gestrichen. b) Absatz 1 wird aufgehoben. c) Absatz 2 Satz 3 wird wie folgt gefasst: ,,Handelt die zuständige Personalausweisbehörde, informiert sie die ausstellende Personalausweisbehörde über die Einschaltung; in diesem Fall löscht die ausstellende Personalausweisbehörde die Tatsache der Ausschaltung im Personalausweisregister." d) In Absatz 3 werden die Wörter ,,Ein- und Ausschalten" durch das Wort ,,Einschalten" und die Wörter ,,den Absätzen 1 und" durch das Wort ,,Absatz" ersetzt. 10. § 23 wird aufgehoben. 11. Die §§ 28 und 29 werden wie folgt gefasst: ,,§ 28 Antrag auf Erteilung einer Berechtigung für Vor-Ort-Diensteanbieter und sonstige Diensteanbieter (1) Der Antrag auf Erteilung einer Berechtigung nach § 21 Absatz 2 des Personalausweisgesetzes oder der Antrag auf Erteilung einer Vor-Ort-Berechtigung nach § 21a des Personalausweisgesetzes muss folgende Angaben enthalten: 1. Angaben, die zur Feststellung der Identität von juristischen und natürlichen Personen notwendig sind, a) bei natürlichen Personen insbesondere der Familienname, die Vornamen, der Tag und der Ort der Geburt sowie die Anschrift der Hauptwohnung, b) bei juristischen Personen insbesondere der Name, die Anschrift des Sitzes, die Rechtsform und die Bevollmächtigten; außerdem ist in diesem Fall eine Kopie des Handelsregisterauszugs oder der Errichtungsurkunde beizufügen; 2. Kontaktdaten, insbesondere die telefonische oder elektronische Erreichbarkeit; 3. Angaben zu antragstellenden Personen mit Wohnung oder Sitz außerhalb Deutschlands, soweit zur eindeutigen länderspezifischen Identifizierung erforderlich, einschließlich einer ladungsfähigen Anschrift; soweit eine Niederlassung in Deutschland besteht, sind auch deren Angaben nach den Nummern 1 und 2 aufzunehmen;
4. eine kurze Beschreibung des Diensteanbieters und seiner Tätigkeitsfelder sowie die Angabe der Unternehmenswebsite, soweit vorhanden; 5. eine kurze Beschreibung des dem Antrag zu Grunde liegenden Interesses an einer Berechtigung; darzulegen ist, welche Funktion a) im Falle eines Antrages auf Erteilung einer Berechtigung nach § 21 Absatz 2 des Personalausweisgesetzes der elektronische Identitätsnachweis oder b) im Falle eines Antrages auf Erteilung einer Vor-Ort-Berechtigung nach § 21a des Personalausweisgesetzes das Vor-Ort-Auslesen im Rahmen der behördlichen Aufgabenwahrnehmung oder der vorgesehenen Geschäftszwecke der antragstellenden Person erfüllen soll; 6. die Angabe der Datenkategorien nach § 18 Absatz 3 des Personalausweisgesetzes, auf die die antragstellende Person zugreifen möchte; 7. die Erklärung, dass der Diensteanbieter den betrieblichen Datenschutz einhält; 8. die Angabe, ob die antragstellende Person sich eines Auftragnehmers nach § 11 des Bundesdatenschutzgesetzes zur Durchführung des elektronischen Identitätsnachweises oder des VorOrt-Auslesens bedienen wird und in diesem Fall die Angaben nach Nummer 1 für diesen Auftragnehmer; ist diese Angabe zum Zeitpunkt des Antrages noch nicht bekannt, so ist sie, sobald bekannt, unverzüglich nachzuliefern. (2) Der Antrag bedarf der Schriftform. § 29 Antrag auf Erteilung einer Berechtigung für Identifizierungsdiensteanbieter; Vorgaben zu Datenschutz und Datensicherheit bei Identifizierungsdiensteanbietern (1) Für den Antrag auf Erteilung einer Berechtigung für Identifizierungsdiensteanbieter nach § 21b des Personalausweisgesetzes gilt § 28 entsprechend. (2) Die nach § 21b Absatz 2 Satz 1 Nummer 1 des Personalausweisgesetzes einzuhaltenden technisch-organisatorischen Maßnahmen und die weiteren Anforderungen an die Datensicherheit nach § 21 Absatz 2 Satz 1 Nummer 2 des Personalausweisgesetzes legt das Bundesamt für Sicherheit in der Informationstechnik im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in einer Technischen Richtlinie fest. Dies umfasst insbesondere Anforderungen an die Datenspeicherung und -löschung, das einzusetzende Verschlüsselungsverfahren sowie an das Informationssicherheitsmanagement. (3) Die Einhaltung der in Absatz 2 genannten Voraussetzungen hat der Antragsteller durch Vorlage eines Zertifikats des Bundesamtes für Sicherheit in der Informationstechnik nachzuweisen. Das Bundesamt für Sicherheit in der Informationstechnik darf sich bei seiner Überprüfung externer Dienst-
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 66, ausgegeben zu Bonn am 6. Oktober 2017
3523
leister bedienen. Die hierbei anfallenden Kosten trägt der Antragsteller. (4) Die weiteren Anforderungen an den Datenschutz nach § 21b Absatz 2 Satz 1 Nummer 2 des Personalausweisgesetzes liegen nicht vor, wenn 1. der Staat des Wohnsitzes oder des Sitzes der antragstellenden Person kein angemessenes Datenschutzniveau gewährleistet entsprechend der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31), 2. der elektronische Identitätsnachweis für den Identifizierungsdiensteanbieter durch einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes durchgeführt wird und hierbei kein wirksames Auftragsverhältnis nach § 11 des Bundesdatenschutzgesetzes zwischen dem Diensteanbieter und dem Auftragnehmer besteht, 3. der Identifizierungsdiensteanbieter einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes gewählt hat, der die technischen und organisatorischen Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik für die sichere Bereitstellung des elektronischen Identitätsnachweises nicht erfüllt oder 4. der Identifizierungsdiensteanbieter nicht die Voraussetzungen des § 21 Absatz 2 des Personalausweisgesetzes erfüllt." 12. Nach § 29 wird folgender § 29a eingefügt: ,,§ 29a Einholung von Stellungnahmen der Datenschutzaufsichtsbehörden Die Vergabestelle für Berechtigungszertifikate kann jederzeit eine Stellungnahme der zuständigen Datenschutzaufsichtsbehörde einholen, ob dort Umstände bekannt sind, aus denen sich Anhaltspunkte für eine missbräuchliche Verwendung der Berechtigung ergeben. Vor Erteilung der Berechtigung soll die Vergabestelle die Stellungnahme der Datenschutzaufsichtsbehörde nur in Zweifelsfällen abwarten." 13. In § 31 Nummer 2 wird die Angabe ,,8 und 9" durch die Angabe ,,7 und 8" ersetzt. 14. § 32 Satz 3 wird wie folgt gefasst: ,,Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik bekannt gemacht." 15. § 36 Absatz 1 wird wie folgt gefasst: ,,(1) Hoheitliche Berechtigungszertifikate nach § 2 Absatz 4 Satz 3 des Personalausweisgesetzes dürfen vorbehaltlich von Satz 2 ausschließlich an die zur Identitätsfeststellung berechtigten Behörden ausgegeben werden. Zum Zwecke der Qualitätssicherung anhand von Testausweisen dürfen hoheitliche Berechtigungszertifikate auch an das Bundesamt für Sicherheit in der Informationstechnik ausgegeben werden."
16. Nach § 36 wird folgender § 36a eingefügt: ,,§ 36a Ausgabe von Berechtigungszertifikaten für öffentliche Stellen anderer Mitgliedstaaten Der Bund stellt Berechtigungszertifikate für öffentliche Stellen anderer Mitgliedstaaten zur Verfügung. Die Kommunikation und die Identifizierung der öffentlichen Stellen erfolgt über die einheitlichen Ansprechpartner nach dem Durchführungsbeschluss (EU) 2015/296 der Kommission vom 24. Februar 2015 zur Festlegung von Verfahrensmodalitäten für die Zusammenarbeit zwischen den Mitgliedstaaten auf dem Gebiet der elektronischen Identifizierung gemäß Artikel 12 Absatz 7 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (ABl. L 53 vom 25.2.2015, S. 14)." 17. Anhang 4 wird aufgehoben. 18. Der bisherige Anhang 5 wird Anhang 4 und wie folgt geändert: a) In Nummer 2 Spalte 2 wird das Wort ,,Fingerabdruckleser" durch die Wörter ,,Hardware zur Erfassung und Echtheitsbewertung von Fingerabdrücken" ersetzt. b) In Nummer 3 Spalte 2 wird nach dem Wort ,,Erfassung" ein Komma und das Wort ,,Echtheitsbewertung" eingefügt. c) In Nummer 9 Spalte 3 werden die Wörter ,,Empfehlung des Einsatzes zertifizierter Geräte an den Ausweisinhaber" gestrichen. d) In Nummer 10 Spalte 2 wird das Wort ,,Bürgerclient" durch das Wort ,,eID-Client" ersetzt. e) In Nummer 11 Spalte 2 werden nach den Wörtern ,,elektronischer Identitätsnachweis" die Wörter ,,oder des Vor-Ort-Auslesens" eingefügt.
Artikel 2 Weitere Änderung der Personalausweisverordnung zum 25. Mai 2018
Die Personalausweisverordnung vom 1. November 2010 (BGBl. I S. 1460), die zuletzt durch Artikel 1 dieser Verordnung geändert worden ist, wird wie folgt geändert: 1. § 28 Absatz 1 Nummer 8 wird wie folgt gefasst: ,,8. die Angabe, ob die antragstellende Person sich zur Durchführung des elektronischen Identitätsnachweises eines Auftragnehmers nach den Artikeln 28 bis 31 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) bedienen wird und in diesem Fall die Angaben nach Nummer 1 für diesen Auftragnehmer; ist diese Angabe zum Zeitpunkt des Antrages noch nicht bekannt, so ist sie, sobald bekannt, unverzüglich nachzuliefern."
3524
Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 66, ausgegeben zu Bonn am 6. Oktober 2017
2. In § 29 Absatz 4 werden die Nummern 1 bis 3 wie folgt gefasst: ,,1. der Staat des Wohnsitzes oder des Sitzes der antragstellenden Person kein angemessenes Datenschutzniveau gewährleistet entsprechend der Verordnung (EU) 2016/679, 2. der elektronische Identitätsnachweis für den Identifizierungsdiensteanbieter durch einen Auftragnehmer nach den Artikeln 28 bis 31 der Verordnung (EU) 2016/679 durchgeführt wird und hierbei kein wirksames Auftragsverhältnis nach den Artikeln 28 bis 31 der Verordnung (EU) 2016/679 zwischen dem Diensteanbieter und dem Auftragnehmer besteht,
3. der Identifizierungsdiensteanbieter einen Auftragnehmer nach den Artikeln 28 bis 31 der Verordnung (EU) 2016/679 gewählt hat, der die technischen und organisatorischen Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik für die sichere Bereitstellung des elektronischen Identitätsnachweises nicht erfüllt,".
Artikel 3
Inkrafttreten (1) Artikel 1 tritt am Tag nach der Verkündung in Kraft. (2) Artikel 2 tritt am 25. Mai 2018 in Kraft.
Der Bundesrat hat zugestimmt.
Berlin, den 28. September 2017 Der Bundesminister des Innern Thomas de Maizière