{"id":"bgbl1-2017-66-6","kind":"bgbl1","year":2017,"number":66,"date":"2017-10-06T00:00:00Z","url":"https://offenegesetze.de/veroeffentlichung/bgbl1/2017/66#page=9","api_url":"https://api.offenegesetze.de/v1/veroeffentlichung/bgbl1-2017-66-6/","document_url":"https://media.offenegesetze.de/bgbl1/2017/bgbl1_2017_66.pdf#page=9","order":6,"title":"Zweite Verordnung zur Änderung der Personalausweisverordnung","law_date":"2017-09-28T00:00:00Z","page":3521,"pdf_page":9,"num_pages":4,"content":["Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 66, ausgegeben zu Bonn am 6. Oktober 2017 3521\nZweite Verordnung\nzur Änderung der Personalausweisverordnung1\nVom 28. September 2017\nAuf Grund des § 34 Nummer 2 bis 6 Buchstabe a b) Absatz 2 wird wie folgt gefasst:\nund b und Nummer 7 des Personalausweisgesetzes, „(2) Für die Zertifizierung gelten § 9 des BSI-\ndessen Nummer 7 durch Artikel 1 Nummer 19 Buch- Gesetzes vom 14. August 2009 (BGBl. I S. 2821),\nstabe b des Gesetzes vom 7. Juli 2017 (BGBl. I S. 2310) das zuletzt durch Artikel 1 des Gesetzes vom\ngeändert worden ist, verordnet das Bundesministerium 23. Juni 2017 (BGBl. I S. 1885) geändert worden\ndes Innern im Benehmen mit dem Auswärtigen Amt: ist, sowie die BSI-Zertifizierungs- und Anerken-\nnungsverordnung vom 17. Dezember 2014\nArtikel 1 (BGBl. I S. 2231), die durch Artikel 40 des Ge-\nÄnderung der setzes vom 29. März 2017 (BGBl. I S. 626)\nPersonalausweisverordnung geändert worden ist, in der jeweils geltenden\nDie Personalausweisverordnung vom 1. November Fassung.“\n2010 (BGBl. I S. 1460), die zuletzt durch Artikel 5 des 4. § 4 Absatz 1 wird wie folgt geändert:\nGesetzes vom 18. Juli 2017 (BGBl. I S. 2745) geändert a) Nummer 4 wird aufgehoben.\nworden ist, wird wie folgt geändert:\nb) Die bisherigen Nummern 5 bis 7 werden die\n1. In der Inhaltsübersicht werden die Angaben zu An-\nNummern 4 bis 6.\nhang 4 und 5 durch die folgende Angabe ersetzt:\n5. § 8 Absatz 1 wird wie folgt geändert:\n„Anhang 4 Übersicht über die zu zertifizierenden\nSystemkomponenten“. a) Satz 2 wird wie folgt gefasst:\n2. § 2 wird wie folgt geändert: „Die Datenübermittlung umfasst auch\na) Satz 1 Nummer 2 wird wie folgt geändert: 1. die technischen Eigenschaften der gespei-\ncherten Daten,\naa) In Buchstabe a werden nach dem Wort „Er-\nfassung“ ein Komma und das Wort „Echt- 2. die Behördenkennzahl sowie\nheitsbewertung“ eingefügt. 3. anonymisierte Protokolldaten zur Erfassung\nbb) In Buchstabe b werden nach den Wörtern und Qualitätssicherung des Lichtbildes und\n„sämtlicher Ausweisantragsdaten“ die Wör- der Fingerabdrücke.“\nter „und die in § 8 Absatz 1 Satz 2 genann- b) In Satz 5 wird das Wort „fortgeschritten“ ge-\nten Daten“ eingefügt. strichen.\ncc) In Buchstabe c werden nach den Wörtern 6. § 14 wird wie folgt geändert:\n„den elektronischen Identitätsnachweis“ die\na) In Absatz 1 Satz 2 Nummer 1 wird das Wort\nWörter „und das Vor-Ort-Auslesen“ einge-\n„eingegeben“ durch die Wörter „an das elektro-\nfügt.\nnische Speicher- und Verarbeitungsmedium\nb) Satz 3 wird wie folgt gefasst: übermittelt“ ersetzt.\n„Die Übersicht über die Technischen Richtlinien b) Absatz 2 wird wie folgt gefasst:\nwird im Bundesanzeiger veröffentlicht; die je-\nweils geltende Fassung der Technischen Richt- „(2) Der Personalausweis ist so herzustellen,\nlinien wird im Bundesanzeiger durch Verweis auf dass personenbezogene Daten ausschließlich\ndie Internetseite des Bundesamtes für Sicherheit ausgelesen werden können durch\nin der Informationstechnik bekannt gemacht.“ 1. Behörden, die ein hoheitliches Berechti-\n3. § 3 wird wie folgt geändert: gungszertifikat nutzen,\na) In der Überschrift werden nach dem Wort „Zer- 2. berechtigte Diensteanbieter, die ein Berech-\ntifizierung“ die Wörter „von Systemkomponen- tigungszertifikat nutzen, nach Eingabe der\nten“ eingefügt. Geheimnummer durch den Ausweisinhaber,\noder\n1\nNotifiziert gemäß der Richtlinie (EU) 2015/1535 des Europäischen 3. berechtigte Vor-Ort-Diensteanbieter, die ein\nParlaments und des Rates vom 9. September 2015 über ein Informa- Vor-Ort-Zertifikat nutzen, nach Übermittlung\ntionsverfahren auf dem Gebiet der technischen Vorschriften und der\nVorschriften für die Dienste der Informationsgesellschaft (ABl. L 241 der Zugangsnummer an das elektronische\nvom 17.9.2015, S. 1). Speicher- und Verarbeitungsmedium.“","3522 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 66, ausgegeben zu Bonn am 6. Oktober 2017\n7. § 18 wird wie folgt geändert: 4. eine kurze Beschreibung des Diensteanbieters\na) Absatz 1 wird aufgehoben. und seiner Tätigkeitsfelder sowie die Angabe\nder Unternehmenswebsite, soweit vorhanden;\nb) Absatz 2 wird wie folgt gefasst:\n5. eine kurze Beschreibung des dem Antrag zu\n„(2) Bestätigt die antragstellende Person den Grunde liegenden Interesses an einer Berech-\nEmpfang des Briefes nach § 17 Absatz 7 nicht, tigung; darzulegen ist, welche Funktion\ndarf die Personalausweisbehörde den ausge-\nstellten Ausweis nur übergeben, wenn sie zuvor a) im Falle eines Antrages auf Erteilung einer\ndie Neusetzung der Geheimnummer nach § 20 Berechtigung nach § 21 Absatz 2 des Perso-\nAbsatz 1 bewirkt hat.“ nalausweisgesetzes der elektronische Identi-\ntätsnachweis oder\n8. § 21 wird aufgehoben.\nb) im Falle eines Antrages auf Erteilung einer\n9. § 22 wird wie folgt geändert:\nVor-Ort-Berechtigung nach § 21a des Perso-\na) In der Überschrift werden die Wörter „Aus- und“ nalausweisgesetzes das Vor-Ort-Auslesen\ngestrichen.\nim Rahmen der behördlichen Aufgabenwahrneh-\nb) Absatz 1 wird aufgehoben. mung oder der vorgesehenen Geschäftszwecke\nc) Absatz 2 Satz 3 wird wie folgt gefasst: der antragstellenden Person erfüllen soll;\n„Handelt die zuständige Personalausweisbehör- 6. die Angabe der Datenkategorien nach § 18 Ab-\nde, informiert sie die ausstellende Personalaus- satz 3 des Personalausweisgesetzes, auf die die\nweisbehörde über die Einschaltung; in diesem antragstellende Person zugreifen möchte;\nFall löscht die ausstellende Personalausweis- 7. die Erklärung, dass der Diensteanbieter den be-\nbehörde die Tatsache der Ausschaltung im Per- trieblichen Datenschutz einhält;\nsonalausweisregister.“\n8. die Angabe, ob die antragstellende Person sich\nd) In Absatz 3 werden die Wörter „Ein- und Aus- eines Auftragnehmers nach § 11 des Bundesda-\nschalten“ durch das Wort „Einschalten“ und die tenschutzgesetzes zur Durchführung des elek-\nWörter „den Absätzen 1 und“ durch das Wort tronischen Identitätsnachweises oder des Vor-\n„Absatz“ ersetzt. Ort-Auslesens bedienen wird und in diesem Fall\n10. § 23 wird aufgehoben. die Angaben nach Nummer 1 für diesen Auftrag-\n11. Die §§ 28 und 29 werden wie folgt gefasst: nehmer; ist diese Angabe zum Zeitpunkt des\nAntrages noch nicht bekannt, so ist sie, sobald\n„§ 28 bekannt, unverzüglich nachzuliefern.\nAntrag auf Erteilung (2) Der Antrag bedarf der Schriftform.\neiner Berechtigung für\nVor-Ort-Diensteanbieter\n§ 29\nund sonstige Diensteanbieter\nAntrag auf Erteilung\n(1) Der Antrag auf Erteilung einer Berechtigung\neiner Berechtigung für\nnach § 21 Absatz 2 des Personalausweisgesetzes\nIdentifizierungsdiensteanbieter;\noder der Antrag auf Erteilung einer Vor-Ort-Berech-\nVorgaben zu Datenschutz und Datensicherheit\ntigung nach § 21a des Personalausweisgesetzes\nbei Identifizierungsdiensteanbietern\nmuss folgende Angaben enthalten:\n1. Angaben, die zur Feststellung der Identität von (1) Für den Antrag auf Erteilung einer Berechti-\njuristischen und natürlichen Personen notwendig gung für Identifizierungsdiensteanbieter nach § 21b\nsind, des Personalausweisgesetzes gilt § 28 entspre-\nchend.\na) bei natürlichen Personen insbesondere der\nFamilienname, die Vornamen, der Tag und (2) Die nach § 21b Absatz 2 Satz 1 Nummer 1\nder Ort der Geburt sowie die Anschrift der des Personalausweisgesetzes einzuhaltenden\nHauptwohnung, technisch-organisatorischen Maßnahmen und die\nweiteren Anforderungen an die Datensicherheit\nb) bei juristischen Personen insbesondere der nach § 21 Absatz 2 Satz 1 Nummer 2 des Personal-\nName, die Anschrift des Sitzes, die Rechts- ausweisgesetzes legt das Bundesamt für Sicherheit\nform und die Bevollmächtigten; außerdem ist in der Informationstechnik im Benehmen mit der\nin diesem Fall eine Kopie des Handelsregis- oder dem Bundesbeauftragten für den Datenschutz\nterauszugs oder der Errichtungsurkunde bei- und die Informationsfreiheit in einer Technischen\nzufügen; Richtlinie fest. Dies umfasst insbesondere Anforde-\n2. Kontaktdaten, insbesondere die telefonische rungen an die Datenspeicherung und -löschung,\noder elektronische Erreichbarkeit; das einzusetzende Verschlüsselungsverfahren so-\nwie an das Informationssicherheitsmanagement.\n3. Angaben zu antragstellenden Personen mit Woh-\nnung oder Sitz außerhalb Deutschlands, soweit (3) Die Einhaltung der in Absatz 2 genannten Vo-\nzur eindeutigen länderspezifischen Identifizie- raussetzungen hat der Antragsteller durch Vorlage\nrung erforderlich, einschließlich einer ladungs- eines Zertifikats des Bundesamtes für Sicherheit in\nfähigen Anschrift; soweit eine Niederlassung in der Informationstechnik nachzuweisen. Das Bun-\nDeutschland besteht, sind auch deren Angaben desamt für Sicherheit in der Informationstechnik\nnach den Nummern 1 und 2 aufzunehmen; darf sich bei seiner Überprüfung externer Dienst-","Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 66, ausgegeben zu Bonn am 6. Oktober 2017 3523\nleister bedienen. Die hierbei anfallenden Kosten 16. Nach § 36 wird folgender § 36a eingefügt:\nträgt der Antragsteller. „§ 36a\n(4) Die weiteren Anforderungen an den Daten- Ausgabe von Berechtigungszertifikaten\nschutz nach § 21b Absatz 2 Satz 1 Nummer 2 des für öffentliche Stellen anderer Mitgliedstaaten\nPersonalausweisgesetzes liegen nicht vor, wenn\nDer Bund stellt Berechtigungszertifikate für öf-\n1. der Staat des Wohnsitzes oder des Sitzes der fentliche Stellen anderer Mitgliedstaaten zur Verfü-\nantragstellenden Person kein angemessenes gung. Die Kommunikation und die Identifizierung\nDatenschutzniveau gewährleistet entsprechend der öffentlichen Stellen erfolgt über die einheit-\nder Richtlinie 95/46/EG des Europäischen Parla- lichen Ansprechpartner nach dem Durchführungs-\nments und des Rates vom 24. Oktober 1995 beschluss (EU) 2015/296 der Kommission vom\nzum Schutz natürlicher Personen bei der Verar- 24. Februar 2015 zur Festlegung von Verfahrens-\nbeitung personenbezogener Daten und zum modalitäten für die Zusammenarbeit zwischen den\nfreien Datenverkehr (ABl. L 281 vom 23.11.1995, Mitgliedstaaten auf dem Gebiet der elektronischen\nS. 31), Identifizierung gemäß Artikel 12 Absatz 7 der Ver-\n2. der elektronische Identitätsnachweis für den ordnung (EU) Nr. 910/2014 des Europäischen Par-\nIdentifizierungsdiensteanbieter durch einen Auf- laments und des Rates über elektronische Identifi-\ntragnehmer nach § 11 des Bundesdatenschutz- zierung und Vertrauensdienste für elektronische\ngesetzes durchgeführt wird und hierbei kein wirk- Transaktionen im Binnenmarkt (ABl. L 53 vom\nsames Auftragsverhältnis nach § 11 des Bundes- 25.2.2015, S. 14).“\ndatenschutzgesetzes zwischen dem Dienste- 17. Anhang 4 wird aufgehoben.\nanbieter und dem Auftragnehmer besteht,\n18. Der bisherige Anhang 5 wird Anhang 4 und wie folgt\n3. der Identifizierungsdiensteanbieter einen Auf- geändert:\ntragnehmer nach § 11 des Bundesdatenschutz-\ngesetzes gewählt hat, der die technischen und a) In Nummer 2 Spalte 2 wird das Wort „Fingerab-\norganisatorischen Anforderungen des Bundes- druckleser“ durch die Wörter „Hardware zur Er-\namtes für Sicherheit in der Informationstechnik fassung und Echtheitsbewertung von Fingerab-\nfür die sichere Bereitstellung des elektronischen drücken“ ersetzt.\nIdentitätsnachweises nicht erfüllt oder b) In Nummer 3 Spalte 2 wird nach dem Wort „Er-\n4. der Identifizierungsdiensteanbieter nicht die Vo- fassung“ ein Komma und das Wort „Echtheits-\nraussetzungen des § 21 Absatz 2 des Personal- bewertung“ eingefügt.\nausweisgesetzes erfüllt.“ c) In Nummer 9 Spalte 3 werden die Wörter „Emp-\n12. Nach § 29 wird folgender § 29a eingefügt: fehlung des Einsatzes zertifizierter Geräte an den\nAusweisinhaber“ gestrichen.\n„§ 29a\nd) In Nummer 10 Spalte 2 wird das Wort „Bürger-\nEinholung von Stellungnahmen client“ durch das Wort „eID-Client“ ersetzt.\nder Datenschutzaufsichtsbehörden\ne) In Nummer 11 Spalte 2 werden nach den Wör-\nDie Vergabestelle für Berechtigungszertifikate tern „elektronischer Identitätsnachweis“ die\nkann jederzeit eine Stellungnahme der zuständigen Wörter „oder des Vor-Ort-Auslesens“ eingefügt.\nDatenschutzaufsichtsbehörde einholen, ob dort\nUmstände bekannt sind, aus denen sich Anhalts- Artikel 2\npunkte für eine missbräuchliche Verwendung der\nBerechtigung ergeben. Vor Erteilung der Berech- Weitere Änderung der\ntigung soll die Vergabestelle die Stellungnahme Personalausweisverordnung zum 25. Mai 2018\nder Datenschutzaufsichtsbehörde nur in Zweifels- Die Personalausweisverordnung vom 1. November\nfällen abwarten.“ 2010 (BGBl. I S. 1460), die zuletzt durch Artikel 1 dieser\n13. In § 31 Nummer 2 wird die Angabe „8 und 9“ durch Verordnung geändert worden ist, wird wie folgt geän-\ndie Angabe „7 und 8“ ersetzt. dert:\n14. § 32 Satz 3 wird wie folgt gefasst: 1. § 28 Absatz 1 Nummer 8 wird wie folgt gefasst:\n„Die jeweils geltende Fassung wird im Bundes- „8. die Angabe, ob die antragstellende Person sich\nanzeiger durch Verweis auf die Internetseite des zur Durchführung des elektronischen Identitäts-\nBundesamtes für Sicherheit in der Informations- nachweises eines Auftragnehmers nach den Arti-\ntechnik bekannt gemacht.“ keln 28 bis 31 der Verordnung (EU) 2016/679 des\nEuropäischen Parlaments und des Rates vom\n15. § 36 Absatz 1 wird wie folgt gefasst: 27. April 2016 zum Schutz natürlicher Personen\n„(1) Hoheitliche Berechtigungszertifikate nach bei der Verarbeitung personenbezogener Daten,\n§ 2 Absatz 4 Satz 3 des Personalausweisgesetzes zum freien Datenverkehr und zur Aufhebung der\ndürfen vorbehaltlich von Satz 2 ausschließlich an Richtlinie 95/46/EG (Datenschutz-Grundverord-\ndie zur Identitätsfeststellung berechtigten Behör- nung) (ABl. L 119 vom 4.5.2016, S. 1; L 314\nden ausgegeben werden. Zum Zwecke der Quali- vom 22.11.2016, S. 72) bedienen wird und in die-\ntätssicherung anhand von Testausweisen dürfen sem Fall die Angaben nach Nummer 1 für diesen\nhoheitliche Berechtigungszertifikate auch an das Auftragnehmer; ist diese Angabe zum Zeitpunkt\nBundesamt für Sicherheit in der Informationstech- des Antrages noch nicht bekannt, so ist sie, so-\nnik ausgegeben werden.“ bald bekannt, unverzüglich nachzuliefern.“","3524 Bundesgesetzblatt Jahrgang 2017 Teil I Nr. 66, ausgegeben zu Bonn am 6. Oktober 2017\n2. In § 29 Absatz 4 werden die Nummern 1 bis 3 wie 3. der Identifizierungsdiensteanbieter einen Auf-\nfolgt gefasst: tragnehmer nach den Artikeln 28 bis 31 der Ver-\nordnung (EU) 2016/679 gewählt hat, der die\n„1. der Staat des Wohnsitzes oder des Sitzes der\ntechnischen und organisatorischen Anforderun-\nantragstellenden Person kein angemessenes\ngen des Bundesamtes für Sicherheit in der Infor-\nDatenschutzniveau gewährleistet entsprechend\nmationstechnik für die sichere Bereitstellung des\nder Verordnung (EU) 2016/679,\nelektronischen Identitätsnachweises nicht er-\n2. der elektronische Identitätsnachweis für den füllt,“.\nIdentifizierungsdiensteanbieter durch einen Auf-\ntragnehmer nach den Artikeln 28 bis 31 der Ver- Artikel 3\nordnung (EU) 2016/679 durchgeführt wird und Inkrafttreten\nhierbei kein wirksames Auftragsverhältnis nach\nden Artikeln 28 bis 31 der Verordnung (EU) (1) Artikel 1 tritt am Tag nach der Verkündung in\n2016/679 zwischen dem Diensteanbieter und Kraft.\ndem Auftragnehmer besteht, (2) Artikel 2 tritt am 25. Mai 2018 in Kraft.\nDer Bundesrat hat zugestimmt.\nBerlin, den 28. September 2017\nDer Bundesminister des Innern\nThomas de Maizière"]}