/ / pauswv / Allgemeine Vorschriften

Verordnung über Personalausweise, eID-Karten für Unionsbürger und Angehörige des Europäischen Wirtschaftsraums und den elektronischen Identitätsnachweis (PAuswV) : Allgemeine Vorschriften

Verordnung über Personalausweise, eID-Karten für Unionsbürger und Angehörige des Europäischen Wirtschaftsraums und den elektronischen Identitätsnachweis:

Kapitel 1
Allgemeine Vorschriften

§ 1 Begriffsbestimmungen

(1) Eine Sperrsumme ist ein eindeutiges Merkmal, das aus dem Sperrkennwort nach § 2 Absatz 6

PAuswG PAuswG | Gesetz über Personalausweise und den elektronischen Identitätsnachweis ,
§ 2 Begriffsbestimmungen, Abs. 6 § 2 Begriffsbestimmungen, Abs. 6 , Abs. 6

(1) Ausweise im Sinne dieses Gesetzes sind der Personalausweis, der vorläufige Personalausweis und der Ersatz-Personalausweis.

(2) Zur Identitätsfeststellung berechtigte Behörden im Sinne dieses Gesetzes sind öffentliche Stellen, die befugt sind, zur Erfüllung ihrer gesetzlichen Aufgaben als hoheitliche Maßnahme die Identität von Personen festzustellen.

(3) Diensteanbieter sind natürliche und juristische Personen, die zur Wahrnehmung von Aufgaben der öffentlichen Verwaltung oder zur Erfüllung eigener Geschäftszwecke den Nachweis der Identität oder einzelner Identitätsmerkmale des Ausweisinhabers benötigen und ihren Wohn-, Geschäfts- oder Dienstsitz innerhalb der Europäischen Union sowie in Staaten, in denen ein vergleichbarer Datenschutzstandard besteht, haben.

(3a) Identifizierungsdiensteanbieter sind Diensteanbieter, deren Dienst darin besteht, für einen Dritten eine einzelfallbezogene Identifizierungsdienstleistung mittels des elektronischen Identitätsnachweises nach § 18 zu erbringen.

(4) Ein Berechtigungszertifikat ist eine elektronische Bescheinigung, die es einem Diensteanbieter ermöglicht,

1.
seine Identität dem Personalausweisinhaber nachzuweisen und
2.
die Übermittlung personen- und ausweisbezogener Daten aus dem Personalausweis anzufragen.

(5) Ein dienste- und kartenspezifisches Kennzeichen ist eine Zeichenfolge, die im Speicher- und Verarbeitungsmedium des Personalausweises oder eines mobilen Endgeräts berechnet wird. Es dient der eindeutigen elektronischen Wiedererkennung eines elektronischen Identitätsnachweises mit dem Personalausweis oder mit einem mobilen Endgerät durch den Diensteanbieter, für den es errechnet wurde, ohne dass weitere personenbezogene Daten übermittelt werden müssen.

(6) Das Sperrkennwort ist eine Zeichenfolge, die ausschließlich der Sperrung eines elektronischen Identitätsnachweises dient.

(6a) Die Sperrsumme ist ein eindeutiges Merkmal, das aus dem Sperrkennwort, dem Familiennamen, den Vornamen und dem Tag der Geburt eines Ausweisinhabers errechnet wird. Es dient der Übermittlung einer Sperrung vom Sperrnotruf oder einer Personalausweisbehörde an den Sperrlistenbetreiber. Mithilfe der Sperrsumme ermittelt der Sperrlistenbetreiber anhand der Referenzliste den Sperrschlüssel eines zu sperrenden elektronischen Identitätsnachweises.

(7) Sperrmerkmale eines elektronischen Identitätsnachweises mit dem Personalausweis oder mit einem mobilen Endgerät sind dienste- und kartenspezifische Zeichenfolgen, die ausschließlich der Erkennung abhandengekommener Personalausweise oder mobiler Endgeräte durch den Diensteanbieter dienen, für den sie errechnet wurden.

(8) Jeder Ausweis erhält eine neue Seriennummer. Die Seriennummer eines Personalausweises setzt sich aus einer vierstelligen Behördenkennzahl und einer fünfstelligen, zufällig vergebenen Nummer zusammen und kann Ziffern und Buchstaben enthalten. Die Seriennummer des vorläufigen Personalausweises und des Ersatz-Personalausweises besteht aus einem Buchstaben und sieben Ziffern.

(9) Die Prüfziffern werden aus den Daten des maschinenlesbaren Bereichs errechnet und dienen zur Feststellung seiner Unversehrtheit.

(10) Die Geheimnummer besteht aus einer sechsstelligen Ziffernfolge und dient der Freigabe der Datenübermittlung aus dem Personalausweis oder aus einem mobilen Endgerät im Rahmen des elektronischen Identitätsnachweises.

(11) Die Zugangsnummer ist eine zufällig erzeugte, ausschließlich auf der Karte sichtbar aufgebrachte sechsstellige Ziffernfolge, die zur Absicherung gegen unberechtigten Zugriff auf die Kommunikation zwischen Personalausweis und Lesegeräten dient.

(12) Die Entsperrnummer ist eine zufällig erzeugte Ziffernfolge, die die Freischaltung der Geheimnummer ermöglicht, wenn diese nach dreimaliger Fehleingabe gesperrt worden ist.

(13) Im Sinne dieses Gesetzes ist ein mobiles Endgerät ein solches Gerät, das dem Stand der Technik entspricht, um einen elektronischen Identitätsnachweis nach § 18 Absatz 2 Satz 1 Nummer 2 durchführen zu können.

des Personalausweisgesetzes, dem Familiennamen, den Vornamen und dem Tag der Geburt eines Ausweisinhabers errechnet wird. Es dient der Übermittlung einer Sperrung vom Sperrnotruf oder einer Personalausweisbehörde an den Sperrlistenbetreiber. Mit Hilfe der Sperrsumme ermittelt der Sperrlistenbetreiber anhand der Referenzliste den Sperrschlüssel eines zu sperrenden elektronischen Identitätsnachweises.
(2) Ein Sperrschlüssel ist ein eindeutiges kartenspezifisches Merkmal, das der Errechnung eines allgemeinen Sperrmerkmals eines zu sperrenden elektronischen Identitätsnachweises dient. Er wird vom Ausweishersteller erzeugt, dem Sperrlistenbetreiber übermittelt und dauerhaft in der Referenzliste gespeichert.
(3) Berechtigungszertifikateanbieter im Sinne dieser Verordnung ist eine natürliche oder juristische Person, die Berechtigungszertifikate im Sinne des § 2 Absatz 4 Satz 1

PAuswG PAuswG | Gesetz über Personalausweise und den elektronischen Identitätsnachweis ,
§ 2 Begriffsbestimmungen, Abs. 4 § 2 Begriffsbestimmungen, Abs. 4 , Abs. 4, Satz. 1

(1) Ausweise im Sinne dieses Gesetzes sind der Personalausweis, der vorläufige Personalausweis und der Ersatz-Personalausweis.

(2) Zur Identitätsfeststellung berechtigte Behörden im Sinne dieses Gesetzes sind öffentliche Stellen, die befugt sind, zur Erfüllung ihrer gesetzlichen Aufgaben als hoheitliche Maßnahme die Identität von Personen festzustellen.

(3) Diensteanbieter sind natürliche und juristische Personen, die zur Wahrnehmung von Aufgaben der öffentlichen Verwaltung oder zur Erfüllung eigener Geschäftszwecke den Nachweis der Identität oder einzelner Identitätsmerkmale des Ausweisinhabers benötigen und ihren Wohn-, Geschäfts- oder Dienstsitz innerhalb der Europäischen Union sowie in Staaten, in denen ein vergleichbarer Datenschutzstandard besteht, haben.

(3a) Identifizierungsdiensteanbieter sind Diensteanbieter, deren Dienst darin besteht, für einen Dritten eine einzelfallbezogene Identifizierungsdienstleistung mittels des elektronischen Identitätsnachweises nach § 18 zu erbringen.

(4) Ein Berechtigungszertifikat ist eine elektronische Bescheinigung, die es einem Diensteanbieter ermöglicht,

1.
seine Identität dem Personalausweisinhaber nachzuweisen und
2.
die Übermittlung personen- und ausweisbezogener Daten aus dem Personalausweis anzufragen.

(5) Ein dienste- und kartenspezifisches Kennzeichen ist eine Zeichenfolge, die im Speicher- und Verarbeitungsmedium des Personalausweises oder eines mobilen Endgeräts berechnet wird. Es dient der eindeutigen elektronischen Wiedererkennung eines elektronischen Identitätsnachweises mit dem Personalausweis oder mit einem mobilen Endgerät durch den Diensteanbieter, für den es errechnet wurde, ohne dass weitere personenbezogene Daten übermittelt werden müssen.

(6) Das Sperrkennwort ist eine Zeichenfolge, die ausschließlich der Sperrung eines elektronischen Identitätsnachweises dient.

(6a) Die Sperrsumme ist ein eindeutiges Merkmal, das aus dem Sperrkennwort, dem Familiennamen, den Vornamen und dem Tag der Geburt eines Ausweisinhabers errechnet wird. Es dient der Übermittlung einer Sperrung vom Sperrnotruf oder einer Personalausweisbehörde an den Sperrlistenbetreiber. Mithilfe der Sperrsumme ermittelt der Sperrlistenbetreiber anhand der Referenzliste den Sperrschlüssel eines zu sperrenden elektronischen Identitätsnachweises.

(7) Sperrmerkmale eines elektronischen Identitätsnachweises mit dem Personalausweis oder mit einem mobilen Endgerät sind dienste- und kartenspezifische Zeichenfolgen, die ausschließlich der Erkennung abhandengekommener Personalausweise oder mobiler Endgeräte durch den Diensteanbieter dienen, für den sie errechnet wurden.

(8) Jeder Ausweis erhält eine neue Seriennummer. Die Seriennummer eines Personalausweises setzt sich aus einer vierstelligen Behördenkennzahl und einer fünfstelligen, zufällig vergebenen Nummer zusammen und kann Ziffern und Buchstaben enthalten. Die Seriennummer des vorläufigen Personalausweises und des Ersatz-Personalausweises besteht aus einem Buchstaben und sieben Ziffern.

(9) Die Prüfziffern werden aus den Daten des maschinenlesbaren Bereichs errechnet und dienen zur Feststellung seiner Unversehrtheit.

(10) Die Geheimnummer besteht aus einer sechsstelligen Ziffernfolge und dient der Freigabe der Datenübermittlung aus dem Personalausweis oder aus einem mobilen Endgerät im Rahmen des elektronischen Identitätsnachweises.

(11) Die Zugangsnummer ist eine zufällig erzeugte, ausschließlich auf der Karte sichtbar aufgebrachte sechsstellige Ziffernfolge, die zur Absicherung gegen unberechtigten Zugriff auf die Kommunikation zwischen Personalausweis und Lesegeräten dient.

(12) Die Entsperrnummer ist eine zufällig erzeugte Ziffernfolge, die die Freischaltung der Geheimnummer ermöglicht, wenn diese nach dreimaliger Fehleingabe gesperrt worden ist.

(13) Im Sinne dieses Gesetzes ist ein mobiles Endgerät ein solches Gerät, das dem Stand der Technik entspricht, um einen elektronischen Identitätsnachweis nach § 18 Absatz 2 Satz 1 Nummer 2 durchführen zu können.

des Personalausweisgesetzes ausstellt.
(4) Ein allgemeines Sperrmerkmal ist ein eindeutiges kartenspezifisches Merkmal, das einen gesperrten elektronischen Identitätsnachweis in der allgemeinen Sperrliste repräsentiert. Es wird Berechtigungszertifikateanbietern übermittelt, die es zu Sperrmerkmalen nach § 2 Absatz 7

PAuswG PAuswG | Gesetz über Personalausweise und den elektronischen Identitätsnachweis ,
§ 2 Begriffsbestimmungen, Abs. 7 § 2 Begriffsbestimmungen, Abs. 7 , Abs. 7

(1) Ausweise im Sinne dieses Gesetzes sind der Personalausweis, der vorläufige Personalausweis und der Ersatz-Personalausweis.

(2) Zur Identitätsfeststellung berechtigte Behörden im Sinne dieses Gesetzes sind öffentliche Stellen, die befugt sind, zur Erfüllung ihrer gesetzlichen Aufgaben als hoheitliche Maßnahme die Identität von Personen festzustellen.

(3) Diensteanbieter sind natürliche und juristische Personen, die zur Wahrnehmung von Aufgaben der öffentlichen Verwaltung oder zur Erfüllung eigener Geschäftszwecke den Nachweis der Identität oder einzelner Identitätsmerkmale des Ausweisinhabers benötigen und ihren Wohn-, Geschäfts- oder Dienstsitz innerhalb der Europäischen Union sowie in Staaten, in denen ein vergleichbarer Datenschutzstandard besteht, haben.

(3a) Identifizierungsdiensteanbieter sind Diensteanbieter, deren Dienst darin besteht, für einen Dritten eine einzelfallbezogene Identifizierungsdienstleistung mittels des elektronischen Identitätsnachweises nach § 18 zu erbringen.

(4) Ein Berechtigungszertifikat ist eine elektronische Bescheinigung, die es einem Diensteanbieter ermöglicht,

1.
seine Identität dem Personalausweisinhaber nachzuweisen und
2.
die Übermittlung personen- und ausweisbezogener Daten aus dem Personalausweis anzufragen.

(5) Ein dienste- und kartenspezifisches Kennzeichen ist eine Zeichenfolge, die im Speicher- und Verarbeitungsmedium des Personalausweises oder eines mobilen Endgeräts berechnet wird. Es dient der eindeutigen elektronischen Wiedererkennung eines elektronischen Identitätsnachweises mit dem Personalausweis oder mit einem mobilen Endgerät durch den Diensteanbieter, für den es errechnet wurde, ohne dass weitere personenbezogene Daten übermittelt werden müssen.

(6) Das Sperrkennwort ist eine Zeichenfolge, die ausschließlich der Sperrung eines elektronischen Identitätsnachweises dient.

(6a) Die Sperrsumme ist ein eindeutiges Merkmal, das aus dem Sperrkennwort, dem Familiennamen, den Vornamen und dem Tag der Geburt eines Ausweisinhabers errechnet wird. Es dient der Übermittlung einer Sperrung vom Sperrnotruf oder einer Personalausweisbehörde an den Sperrlistenbetreiber. Mithilfe der Sperrsumme ermittelt der Sperrlistenbetreiber anhand der Referenzliste den Sperrschlüssel eines zu sperrenden elektronischen Identitätsnachweises.

(7) Sperrmerkmale eines elektronischen Identitätsnachweises mit dem Personalausweis oder mit einem mobilen Endgerät sind dienste- und kartenspezifische Zeichenfolgen, die ausschließlich der Erkennung abhandengekommener Personalausweise oder mobiler Endgeräte durch den Diensteanbieter dienen, für den sie errechnet wurden.

(8) Jeder Ausweis erhält eine neue Seriennummer. Die Seriennummer eines Personalausweises setzt sich aus einer vierstelligen Behördenkennzahl und einer fünfstelligen, zufällig vergebenen Nummer zusammen und kann Ziffern und Buchstaben enthalten. Die Seriennummer des vorläufigen Personalausweises und des Ersatz-Personalausweises besteht aus einem Buchstaben und sieben Ziffern.

(9) Die Prüfziffern werden aus den Daten des maschinenlesbaren Bereichs errechnet und dienen zur Feststellung seiner Unversehrtheit.

(10) Die Geheimnummer besteht aus einer sechsstelligen Ziffernfolge und dient der Freigabe der Datenübermittlung aus dem Personalausweis oder aus einem mobilen Endgerät im Rahmen des elektronischen Identitätsnachweises.

(11) Die Zugangsnummer ist eine zufällig erzeugte, ausschließlich auf der Karte sichtbar aufgebrachte sechsstellige Ziffernfolge, die zur Absicherung gegen unberechtigten Zugriff auf die Kommunikation zwischen Personalausweis und Lesegeräten dient.

(12) Die Entsperrnummer ist eine zufällig erzeugte Ziffernfolge, die die Freischaltung der Geheimnummer ermöglicht, wenn diese nach dreimaliger Fehleingabe gesperrt worden ist.

(13) Im Sinne dieses Gesetzes ist ein mobiles Endgerät ein solches Gerät, das dem Stand der Technik entspricht, um einen elektronischen Identitätsnachweis nach § 18 Absatz 2 Satz 1 Nummer 2 durchführen zu können.

des Personalausweisgesetzes umrechnen.
(5) Der Sperrnotruf ist eine Einrichtung, über die der Ausweisinhaber seinen elektronischen Identitätsnachweis unter Angabe von Sperrkennwort, Familienname, Vornamen und Tag der Geburt in die allgemeine Sperrliste aufnehmen lassen kann.
(6) Extensible Markup Language für hoheitliche Dokumente (XhD) ist ein in erweiterbarer Seitenbeschreibungssprache (XML) verfasstes Datenaustauschformat für hoheitliche Dokumente.
(7) OSCI-Transport ist der vom Kooperationsausschuss Automatisierte Datenverarbeitung Bund/Länder/Kommunaler Bereich festgelegte jeweils geltende Standard für ein Datenübermittlungsprotokoll. Der Standard OSCI-Transport ist in der vom Bundesamt für Sicherheit in der Informationstechnik festgelegten Fassung, die im Bundesanzeiger bekannt gemacht ist, zu verwenden.

§ 2 Technische Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik

Nach dem Stand der Technik sind zu erfüllen
1.
die technischen Anforderungen an
a)
die Speicherung des Lichtbildes und der Fingerabdrücke,
b)
den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium des Personalausweises abgelegten Daten,
c)
den Zugriffsschutz auf die in dem elektronischen Speicher- und Verarbeitungsmedium eines mobilen Endgeräts abgelegten Daten sowie
2.
die technischen und organisatorischen Anforderungen an
a)
die Erfassung, Echtheitsbewertung und Qualitätssicherung des Lichtbildes und der Fingerabdrücke,
b)
die Übermittlung sämtlicher Ausweisantragsdaten und die in § 8 Absatz 1 Satz 2

§ 8 Übermittlung, Abs. 1 § 8 Übermittlung, Abs. 1 , Abs. 1, Satz. 2

(1) Nachdem die Personalausweisbehörde alle Antragsdaten erfasst hat, führt sie diese zu einem digitalen Datensatz zusammen und übermittelt sie dem Ausweishersteller. Die Datenübermittlung umfasst auch

1.
die technischen Eigenschaften der gespeicherten Daten,
2.
die Behördenkennzahl sowie
3.
anonymisierte Protokolldaten zur Erfassung und Qualitätssicherung des Lichtbildes und der Fingerabdrücke.
Die Datenübermittlung erfolgt entweder durch Datenübertragung über die informationstechnischen Netze von Bund und Ländern oder über allgemein zugängliche Netze. Soweit die Datenübermittlung zwischen informationstechnischen Netzen von Bund und Ländern stattfindet, ist dafür spätestens ab dem 1. Januar 2015 nach § 3 des Gesetzes über die Verbindung der informationstechnischen Netze des Bundes und der Länder vom 10. August 2009 (BGBl. I S. 2706) das Verbindungsnetz zu nutzen. Die zu übermittelnden Daten sind nach dem Stand der Technik elektronisch zu signieren und zu verschlüsseln.

(2) Zum Signieren und Verschlüsseln der nach Absatz 1 zu übermittelnden Daten sind geeignete gültige Zertifikate aus der untergeordneten Zertifizierungsinstanz „Hoheitliche Dokumente“ der DeutschlandOnline-Infrastruktur zu verwenden.

(3) Für die Übermittlung der Daten an den Ausweishersteller nach Absatz 1 Satz 3 wird das Datenformat XhD auf der Basis des Datenübermittlungsprotokolls OSCI-Transport verwendet. Die Datenübermittlung kann auch über Vermittlungsstellen erfolgen. Die beteiligten Stellen haben dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten sowie die Feststellbarkeit der übermittelnden Stelle gewährleisten; insofern sind dem jeweiligen Stand der Technik entsprechende Verschlüsselungsverfahren – auch im Fall der Nutzung allgemein zugänglicher Netze – anzuwenden. Das Auswärtige Amt kann für die Datenübermittlung an den Ausweishersteller ein abweichendes Übermittlungsprotokoll verwenden. Die Datenübermittlung zwischen dem Auswärtigen Amt und seinen Auslandsvertretungen muss hinsichtlich Datensicherheit und Datenschutz ein den Anforderungen dieser Verordnung entsprechendes Niveau aufweisen.

(4) Vor der Übermittlung der Ausweisdaten hinterlegen Personalausweisbehörden, Ausweishersteller und Vermittlungsstellen alle für eine elektronische und automatisierte Kommunikation benötigten technischen Verbindungsparameter im Deutschen Verwaltungsdiensteverzeichnis (DVDV), insbesondere die dafür erforderlichen Zertifikate. Der Ausweishersteller nutzt eine Funktionalität des DVDV, um die Personalausweisbehörde als eine solche zu verifizieren. Das Auswärtige Amt kann die benötigten technischen Verbindungsparameter und die damit verbundenen erforderlichen Zertifikate technisch unabhängig vom Deutschen Verwaltungsdiensteverzeichnis (DVDV) lösen. Die Lösung muss hinsichtlich Datensicherheit und Datenschutz ein den Anforderungen dieser Verordnung entsprechendes Niveau aufweisen.

genannten Daten von den Personalausweisbehörden an den Ausweishersteller,
c)
den elektronischen Identitätsnachweis und das Vor-Ort-Auslesen,
d)
die Geheimnummer, die Sperrung und Entsperrung des elektronischen Identitätsnachweises durch den Ausweisinhaber und die Speicherung und Löschung der Sperrmerkmale und des Sperrkennwortes, insbesondere an die dabei einzusetzenden technischen Systeme und Kommunikationswege,
e)
das Zurücksetzen und Neusetzen der Geheimnummer durch den Ausweishersteller nach elektronisch gestelltem Antrag und
f)
das Ändern der Anschrift auf dem Personalausweis unter Verwendung eines Aufklebers nach Anhang 1 sowie auf dem elektronischen Speicher- und Verarbeitungsmedium des Personalausweises nach einer elektronischen Anmeldung nach § 23a

BMG BMG | Bundesmeldegesetz ,
§ 23a Elektronische Anmeldung § 23a Elektronische Anmeldung

(1) Die meldepflichtige Person darf bei der Wegzugsmeldebehörde die nach § 3 Absatz 1 Nummer 1 bis 18 und Absatz 2 Nummer 4 gespeicherten Daten elektronisch anfordern. Hierzu hat sie die in § 18 Absatz 1 Satz 3 genannten Daten zu übermitteln. Die Wegzugsmeldebehörde ist verpflichtet, diese Daten in elektronischer und unveränderbarer Form zu übermitteln (vorausgefüllter Meldeschein). Daten zum gesetzlichen Vertreter, Ehegatten, Lebenspartner oder zu minderjährigen Kindern, für die eine Auskunftssperre nach § 51 oder ein bedingter Sperrvermerk nach § 52 gespeichert ist, dürfen nicht in dem vorausgefüllten Meldeschein enthalten sein.

(2) Die meldepflichtige Person hat die übermittelten Angaben auf ihre Richtigkeit zu prüfen, um die Angaben nach § 19 Absatz 3 Nummer 1 bis 3 zu ergänzen, elektronisch zu bestätigen und an die Zuzugsmeldebehörde zu übermitteln.

(3) Die Vorlage der Bestätigung des Wohnungsgebers oder des entsprechenden Zuordnungsmerkmals nach § 19 Absatz 4 Satz 1 kann bei einer elektronischen Anmeldung durch einen Code, der durch die Zuzugsmeldebehörde an die Zuzugsanschrift der meldepflichtigen Person versendet und von dieser bestätigt wird, ersetzt werden.

(4) § 10 Absatz 2 und 3 gilt entsprechend.

des Bundesmeldegesetzes,
g)
die Übermittlung der Daten nach § 10a Absatz 1 Satz 1

PAuswG PAuswG | Gesetz über Personalausweise und den elektronischen Identitätsnachweis ,
§ 10a Einrichtung des elektronischen Identitätsnachweises mit einem mobilen Endgerät, Abs. 1 § 10a Einrichtung des elektronischen Identitätsnachweises mit einem mobilen Endgerät, Abs. 1 , Abs. 1, Satz. 1

(1) Auf elektronische Veranlassung durch den Ausweisinhaber übermittelt der Ausweishersteller die Daten nach § 5 Absatz 5a aus dem elektronischen Speicher- und Verarbeitungsmedium des Personalausweises in einem sicheren Verfahren auf ein elektronisches Speicher- und Verarbeitungsmedium in einem mobilen Endgerät. Der Ausweisinhaber weist seine Identität gegenüber dem Ausweishersteller mit einem elektronischen Identitätsnachweis nach § 18 nach. Ferner hat der Ausweishersteller Maßnahmen gegen eine missbräuchliche Verwendung der Daten im Anschluss an die Übermittlung der Daten auf das elektronische Speicher- und Verarbeitungsmedium in dem mobilen Endgerät vorzusehen. Der Ausweisinhaber ist auf seine Pflichten nach § 27 Absatz 2 sowie darauf hinzuweisen, dass das mobile Endgerät hinsichtlich der in seinem elektronischen Speicher- und Verarbeitungsmedium nach Absatz 1 gespeicherten Daten mit besonderer Sorgfalt zu behandeln ist.

(2) Die Gültigkeitsdauer eines elektronischen Identitätsnachweises nach § 18 Absatz 2 Satz 1 Nummer 2 auf Grundlage einer Übermittlung der Daten nach Absatz 1 beträgt fünf Jahre. Eine Verlängerung der Gültigkeitsdauer ist nicht zulässig. Durch Rechtsverordnung nach § 34 Satz 1 Nummer 8a kann eine kürzere Gültigkeitsdauer festgelegt werden. Eine Übermittlung nach Absatz 1 Satz 1 kann mehrfach durchgeführt werden.

(3) Im Zuge der Übermittlung nach Absatz 1 Satz 1 erzeugt der Ausweishersteller einen neuen Sperrschlüssel sowie eine neue Sperrsumme und übermittelt diese Daten sowie den letzten Tag der Gültigkeit an den Sperrlistenbetreiber. § 10 Absatz 4 und Absatz 6 Satz 1 gilt entsprechend. Der Ausweisinhaber kann die Daten auf dem mobilen Endgerät selbst löschen.

(4) Werden die auf das elektronische Speicher- und Verarbeitungsmedium des mobilen Endgeräts übermittelten Daten nach Absatz 1 Satz 1 unrichtig, darf ein elektronischer Identitätsnachweis nach § 18 Absatz 2 Satz 1 Nummer 2 nicht durchgeführt werden. Vor einer weiteren Nutzung ist erneut eine Übermittlung nach Absatz 1 unter Verwendung des elektronischen Speicher- und Verarbeitungsmediums des Personalausweises mit den richtigen Daten durchzuführen.

(5) Auf elektronischen Antrag des Ausweisinhabers hat der Ausweishersteller diesem Auskunft zu erteilen darüber, jeweils zu welchem Datum und zu welcher Uhrzeit eine Übermittlung nach Absatz 1 Satz 1 der Daten des Personalausweises des Ausweisinhabers auf ein elektronisches Speicher- und Verarbeitungsmedium in einem mobilen Endgerät durchgeführt wurde, sowie über jeweils den letzten Tag der Gültigkeitsdauer, das Sperrkennwort und den Hersteller und die Modellbezeichnung des mobilen Endgeräts. Zur Identifizierung der antragstellenden Person hat der Ausweishersteller zur Person des Ausweisinhabers einen elektronischen Identitätsnachweis nach § 18 durchzuführen.

des Personalausweisgesetzes und
h)
den elektronischen Identitätsnachweis mit einem mobilen Endgerät.
Der Stand der Technik ist als niedergelegt zu vermuten in den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik. Die Übersicht über die Technischen Richtlinien wird im Bundesanzeiger veröffentlicht; die jeweils geltende Fassung der Technischen Richtlinien wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik bekannt gemacht.

§ 3 Zertifizierung von Systemkomponenten

(1) Die Systemkomponenten der Personalausweisbehörden, des Ausweisherstellers, der Diensteanbieter und ihrer Auftragnehmer nach § 11

BDSG 2018 BDSG 2018 | Bundesdatenschutzgesetz ,
§ 11 Ernennung und Amtszeit § 11 Ernennung und Amtszeit

(1) Der Deutsche Bundestag wählt ohne Aussprache auf Vorschlag der Bundesregierung die Bundesbeauftragte oder den Bundesbeauftragten mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Die oder der Gewählte ist von der Bundespräsidentin oder dem Bundespräsidenten zu ernennen. Die oder der Bundesbeauftragte muss bei ihrer oder seiner Wahl das 35. Lebensjahr vollendet haben. Sie oder er muss über die für die Erfüllung ihrer oder seiner Aufgaben und Ausübung ihrer oder seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen. Insbesondere muss die oder der Bundesbeauftragte über durch einschlägige Berufserfahrung erworbene Kenntnisse des Datenschutzrechts verfügen und die Befähigung zum Richteramt oder höheren Verwaltungsdienst haben.

(2) Die oder der Bundesbeauftragte leistet vor der Bundespräsidentin oder dem Bundespräsidenten folgenden Eid: „Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe. “ Der Eid kann auch ohne religiöse Beteuerung geleistet werden.

(3) Die Amtszeit der oder des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.

des Bundesdatenschutzgesetzes, deren Zertifizierung verpflichtend oder optional ist, ergeben sich aus dem Anhang 5. Die Art und die Einzelheiten der Zertifizierung sind den Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik zu entnehmen.
(2) Für die Zertifizierung gelten § 9

BSIG 2009 BSIG 2009 | Gesetz über das Bundesamt für Sicherheit in der Informationstechnik ,
§ 9 Zertifizierung § 9 Zertifizierung

(1) Das Bundesamt ist nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit.

(2) Für bestimmte Produkte oder Leistungen kann beim Bundesamt eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister beantragt werden. Die Anträge werden in der zeitlichen Reihenfolge ihres Eingangs bearbeitet; hiervon kann abgewichen werden, wenn das Bundesamt wegen der Zahl und des Umfangs anhängiger Prüfungsverfahren eine Prüfung in angemessener Zeit nicht durchführen kann und an der Erteilung eines Zertifikats ein öffentliches Interesse besteht. Der Antragsteller hat dem Bundesamt die Unterlagen vorzulegen und die Auskünfte zu erteilen, deren Kenntnis für die Prüfung und Bewertung des Systems oder der Komponente oder der Eignung der Person sowie für die Erteilung des Zertifikats erforderlich ist.

(3) Die Prüfung und Bewertung kann durch vom Bundesamt anerkannte sachverständige Stellen erfolgen.

(4) Das Sicherheitszertifikat wird erteilt, wenn

1.
informationstechnische Systeme, Komponenten, Produkte oder Schutzprofile den vom Bundesamt festgelegten Kriterien entsprechen und
2.
das Bundesministerium des Innern, für Bau und Heimat die Erteilung des Zertifikats nicht nach Absatz 4a untersagt hat.
Vor Erteilung des Sicherheitszertifikats legt das Bundesamt den Vorgang dem Bundesministerium des Innern, für Bau und Heimat zur Prüfung nach Absatz 4a vor.

(4a) Das Bundesministerium des Innern, für Bau und Heimat kann eine Zertifikatserteilung nach Absatz 4 im Einzelfall untersagen, wenn überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung entgegenstehen.

(5) Für die Zertifizierung von Personen und IT-Sicherheitsdienstleistern gilt Absatz 4 entsprechend.

(6) Eine Anerkennung nach Absatz 3 wird erteilt, wenn

1.
die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuverlässigkeit der Konformitätsbewertungsstelle den vom Bundesamt festgelegten Kriterien entspricht und
2.
das Bundesministerium des Innern, für Bau und Heimat festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
Das Bundesamt stellt durch die notwendigen Maßnahmen sicher, dass das Fortbestehen der Voraussetzungen nach Satz 1 regelmäßig überprüft wird.

(7) Sicherheitszertifikate anderer anerkannter Zertifizierungsstellen aus dem Bereich der Europäischen Union werden vom Bundesamt anerkannt, soweit sie eine den Sicherheitszertifikaten des Bundesamtes gleichwertige Sicherheit ausweisen und die Gleichwertigkeit vom Bundesamt festgestellt worden ist.

des BSI-Gesetzes vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist, sowie die BSI-Zertifizierungs- und Anerkennungsverordnung vom 17. Dezember 2014 (BGBl. I S. 2231), die durch Artikel 40 des Gesetzes vom 29. März 2017 (BGBl. I S. 626) geändert worden ist, in der jeweils geltenden Fassung.
(3) Die Kosten der Zertifizierung trägt der Antragsteller. Die BSI-Kostenverordnung vom 3. März 2005 (BGBl. I S. 519) in der jeweils geltenden Fassung findet Anwendung.

§ 4 Dokumentationspflichten

(1) Die Personalausweisbehörde dokumentiert für die Zwecke des elektronischen Identitätsnachweises mit dem Personalausweis:
1.
Erklärungen des Ausweisinhabers, die im Rahmen der Antragstellung und Ausweisverwaltung erfolgt sind;
2.
das Datum und die Uhrzeit der Ausgabe des Personalausweises;
3.
das Datum und die Uhrzeit der Übergabe des Briefes mit der Geheimnummer, der Entsperrnummer und dem Sperrkennwort, falls die Personalausweisbehörde den Brief übergibt;
4.
die Einschaltung des elektronischen Identitätsnachweises mit Datum und Uhrzeit der Einschaltung sowie die Personalausweisbehörde, die den elektronischen Identitätsnachweis eingeschaltet hat;
5.
den Sperrantrag durch den Ausweisinhaber, die Übermittlung der Sperrsumme an den Sperrlistenbetreiber sowie das Datum und die Uhrzeit von Antrag und Übermittlung;
6.
den Entsperrantrag des Ausweisinhabers, die Übermittlung der Sperrsumme an den Sperrlistenbetreiber sowie das Datum und die Uhrzeit von Antrag und Übermittlung.
(2) Der Sperrnotruf dokumentiert für die Zwecke des elektronischen Identitätsnachweises den Sperrantrag durch den Ausweisinhaber, die Übermittlung der Sperrsumme an den Sperrlistenbetreiber sowie das Datum und die Uhrzeit von Antrag und Übermittlung.
(3) Der Sperrlistenbetreiber dokumentiert
1.
im Zusammenhang mit der Sperrung des elektronischen Identitätsnachweises
a)
den Eingang des Sperrantrages mit der Sperrsumme sowie das Datum und die Uhrzeit des Eingangs,
b)
die Aufnahme des allgemeinen Sperrmerkmals in die Sperrliste sowie das Datum und die Uhrzeit der Sperrung,
c)
die Anfrage zur Erzeugung der Sperrliste sowie das Datum und die Uhrzeit der Erzeugung und
d)
den tatsächlichen Abruf sowie das Datum und die Uhrzeit des tatsächlichen Abrufs sowie
2.
im Zusammenhang mit der Entsperrung des elektronischen Identitätsnachweises eines Personalausweises
a)
den Eingang des Entsperrantrages mit der Sperrsumme sowie das Datum und die Uhrzeit des Eingangs,
b)
die Entfernung des allgemeinen Sperrmerkmals aus der Sperrliste sowie das Datum und die Uhrzeit der Entfernung,
c)
die Bereitstellung der Sperrliste zum Abruf sowie das Datum und die Uhrzeit der Bereitstellung sowie
d)
den tatsächlichen Abruf sowie das Datum und die Uhrzeit des tatsächlichen Abrufs.

§ 5 Speicherung und Löschung

(1) Für die Speicherung personenbezogener Daten nach dieser Verordnung bei den Personalausweisbehörden gilt § 23 Absatz 4

PAuswG PAuswG | Gesetz über Personalausweise und den elektronischen Identitätsnachweis ,
§ 23 Personalausweisregister, Abs. 4 § 23 Personalausweisregister, Abs. 4 , Abs. 4

(1) Die Personalausweisbehörden führen Personalausweisregister.

(2) Das Personalausweisregister dient der Durchführung dieses Gesetzes, insbesondere

1.
der Ausstellung der Ausweise und der Feststellung ihrer Echtheit und
2.
der Identitätsfeststellung der Person, die den Ausweis besitzt oder für die er ausgestellt ist.

(3) Das Personalausweisregister darf neben dem Lichtbild, der Unterschrift des Ausweisinhabers und verfahrensbedingten Bearbeitungsvermerken ausschließlich folgende Daten enthalten:

1.
Familienname und Geburtsname,
2.
Vornamen,
3.
Doktorgrad,
4.
Tag der Geburt,
5.
Ort der Geburt,
6.
Größe,
7.
Farbe der Augen,
8.
Anschrift,
9.
Staatsangehörigkeit,
10.
Familienname, Vornamen, Tag der Geburt und Unterschrift des gesetzlichen Vertreters,
11.
Seriennummer,
12.
Sperrkennwort und Sperrsumme,
13.
letzter Tag der Gültigkeitsdauer,
14.
ausstellende Behörde,
15.
Vermerke über Anordnungen nach § 6 Absatz 7 und Maßnahmen nach § 6a Absatz 1 bis 3,
16.
Angaben zur Erklärungspflicht des Ausweisinhabers nach § 29 des Staatsangehörigkeitsgesetzes,
17.
die Tatsache, dass die Funktion zum elektronischen Identitätsnachweis mit Personalausweis ausgeschaltet wurde oder in die Sperrliste eingetragen ist,
18.
Ordensname, Künstlername und
19.
den Nachweis über eine erteilte Ermächtigung nach § 8 Abs. 4 Satz 2.

(4) Personenbezogene Daten im Personalausweisregister sind mindestens bis zur Ausstellung eines neuen Ausweises, höchstens jedoch bis zu fünf Jahre nach dem Ablauf der Gültigkeit des Ausweises, auf den sie sich beziehen, zu speichern und dann zu löschen. Für die Personalausweisbehörde nach § 7 Abs. 2 bei der Wahrnehmung konsularischer Aufgaben beträgt die Frist 30 Jahre.

(5) Die zuständige Personalausweisbehörde führt den Nachweis über Personalausweise, für die sie eine Ermächtigung nach § 8 Abs. 4 Satz 2 erteilt hat.

des Personalausweisgesetzes entsprechend.
(2) Personenbezogene Daten beim Sperrnotruf sind ein Jahr nach ihrer Erhebung zu löschen.
(3) Für die Speicherung beim Sperrlistenbetreiber gelten folgende Fristen:
1.
Sperrschlüssel und Sperrsumme sowie der letzte Tag der Gültigkeitsdauer eines elektronischen Identitätsnachweises mit einem Personalausweis sind spätestens zehn Jahre und einen Monat nach deren Eintragung aus der Referenzliste zu löschen;
2.
Sperrschlüssel und Sperrsumme sowie der letzte Tag der Gültigkeitsdauer eines elektronischen Identitätsnachweises mit einem mobilen Endgerät sind spätestens einen Monat nach Ablauf der Gültigkeitsdauer aus der Referenzliste zu löschen;
3.
Aktualisierungen der Sperrliste werden gespeichert, damit eine Sperrung oder Entsperrung von elektronischen Identitätsnachweisen nachgewiesen werden kann; solche Aktualisierungen der Sperrliste werden spätestens zehn Jahre und einen Monat nach ihrer Speicherung gelöscht;
4.
ein allgemeines Sperrmerkmal wird aus der Sperrliste spätestens zehn Jahre und einen Monat entfernt, nachdem der Sperrschlüssel beim Sperrlistenbetreiber gespeichert worden ist, oder wenn die Personalausweisbehörde eine Entsperrung vorgenommen hat.
(4) Der Ausweishersteller speichert die Daten, die im Rahmen des Produktionsverfahrens erlangt oder erzeugt worden sind und der antragstellenden Person zugeordnet werden können, höchstens aber so lange, bis der Sperrlistenbetreiber den Empfang der Sperrsumme und des Sperrschlüssels und die Personalausweisbehörde den Eingang des Sperrkennworts bestätigt haben. Im Übrigen sind die Daten sicher zu löschen. Der Ausweishersteller führt zur Vermeidung von Doppelungen eine Liste mit Sperrsummen sowie den jeweiligen letzten Tag der Gültigkeitsdauer von hergestellten Personalausweisen sowie von eingerichteten elektronischen Identitätsnachweisen mit einem mobilen Endgerät. Die Sperrsummen sowie der jeweilige letzte Tag der Gültigkeitsdauer von hergestellten Personalausweisen in dieser Liste sind spätestens zehn Jahre und einen Monat nach ihrer Eintragung zu löschen. § 26 Absatz 3 Satz 1

PAuswG PAuswG | Gesetz über Personalausweise und den elektronischen Identitätsnachweis ,
§ 26 Sonstige Speicherung personenbezogener Daten, Abs. 3 § 26 Sonstige Speicherung personenbezogener Daten, Abs. 3 , Abs. 3, Satz. 1

(1) Beantragung, Ausstellung und Aushändigung von Ausweisen dürfen nicht zum Anlass genommen werden, die dafür erforderlichen Angaben und biometrischen Merkmale außer bei den ausstellenden Personalausweisbehörden nach § 7 Abs. 1 und 2 nach den Vorgaben der §§ 23 bis 25 zu speichern. Entsprechendes gilt für die zur Ausstellung des Ausweises erforderlichen Antragsunterlagen sowie für personenbezogene Datenträger.

(2) Die bei der Personalausweisbehörde gespeicherten Fingerabdrücke sind spätestens nach Aushändigung des Personalausweises an die antragstellende Person zu löschen.

(3) Eine zentrale, alle Seriennummern umfassende Speicherung darf nur bei dem Ausweishersteller und ausschließlich zum Nachweis des Verbleibs der Ausweise erfolgen. Abgesehen von der Sperrsumme und dem letzten Tag der Gültigkeit der jeweiligen elektronischen Identitätsnachweise sowie den weiteren in § 19 Absatz 2 genannten Daten ist die Speicherung sonstiger personenbezogener Daten der antragstellenden Person bei dem Ausweishersteller unzulässig, soweit sie nicht ausschließlich und vorübergehend der Herstellung des Ausweises dient; die Angaben sind anschließend zu löschen.

(4) Eine bundesweite Datenbank der biometrischen Merkmale wird nicht errichtet.

des Personalausweisgesetzes bleibt unberührt. Die Sperrsummen sowie der letzte Tag der Gültigkeitsdauer eines elektronischen Identitätsnachweises mit einem mobilen Endgerät in dieser Liste sind spätestens einen Monat nach Ablauf der Gültigkeitsdauer zu löschen.
(5) Der Ausweishersteller löscht die zur Bearbeitung von elektronischen Anträgen nach § 20 Absatz 2

§ 20 Neusetzung und Änderung der Geheimnummer für den elektronischen Identitätsnachweis mit dem Personalausweis, Abs. 2 § 20 Neusetzung und Änderung der Geheimnummer für den elektronischen Identitätsnachweis mit dem Personalausweis, Abs. 2 , Abs. 2

(1) Kennt der Ausweisinhaber die ursprüngliche Geheimnummer nicht, kann die Personalausweisbehörde die Neusetzung der Geheimnummer durch den Ausweisinhaber einleiten. Die Personalausweisbehörde hat zuvor die Identität des Ausweisinhabers zu überprüfen. Durch technische und organisatorische Maßnahmen hat die Personalausweisbehörde sicherzustellen, dass niemand außer dem Ausweisinhaber Kenntnis von der Geheimnummer erlangt.

(2) Ein Ausweisinhaber, der eine Meldeadresse im Inland hat, kann das Neusetzen der Geheimnummer auch durch Verwendung der Zugangsnummer und eines hierfür vom Ausweishersteller zur Verfügung gestellten elektronischen Formulars beantragen. Der Ausweishersteller schaltet die Funktion zum elektronischen Identitätsnachweis ab und versendet eine neue, zufällig generierte Geheimnummer in einem Brief an die im Speicher- und Verarbeitungsmedium gespeicherte Anschrift des Ausweisinhabers. Bei der Übergabe ist die Identität des Ausweisinhabers durch den Zusteller durch Vorlage des Personalausweises zu überprüfen. Nach Erhalt der neuen Geheimnummer meldet sich der Ausweisinhaber erneut beim Ausweishersteller unter Verwendung der Zugangsnummer an. Der Ausweishersteller schaltet die Funktion zum elektronischen Identitätsnachweis wieder ein und schreibt die neue, zufällig generierte Geheimnummer in das Speicher- und Verarbeitungsmedium. Der Ausweisinhaber ändert die neue, zufällig generierte Geheimnummer in eine selbst gewählte Geheimnummer.

(3) Der Ausweisinhaber kann die Geheimnummer durch Eingabe der bisherigen Geheimnummer und zweimalige Eingabe der neuen Geheimnummer ändern.

(4) Für die Änderung der Daten nach Absatz 1 Satz 1 sind zertifizierte Geräte mit hoheitlichem Berechtigungszertifikat zu verwenden. Für das Ändern der Daten nach Absatz 2 Satz 2 sowie für das Einschalten nach Absatz 2 Satz 5 verwendet der Ausweishersteller ein hoheitliches Berechtigungszertifikat.

und § 22 Absatz 2

§ 22 Einrichtung, Abs. 2 § 22 Einrichtung, Abs. 2 , Abs. 2

(1) Der Ausweisinhaber leitet die Einrichtung eines elektronischen Identitätsnachweises mit einem mobilen Endgerät durch Verwendung eines elektronischen Formulars ein.

(2) Der Ausweishersteller prüft, ob das mobile Endgerät über ein zugelassenes elektronisches Speicher- und Verarbeitungsmedium verfügt, welches dem Stand der Technik entspricht.

(3) Der Ausweisinhaber führt gegenüber dem Ausweishersteller einen elektronischen Identitätsnachweis nach § 18 Absatz 2 Satz 1 Nummer 1 des Personalausweisgesetzes durch.

(4) Der Ausweishersteller übermittelt in einem sicheren Verfahren, welches dem Stand der Technik entspricht, die Daten nach § 5 Absatz 5a des Personalausweisgesetzes auf das elektronische Speicher- und Verarbeitungsmedium des mobilen Endgeräts. Hierzu verwendet er ein hoheitliches Berechtigungszertifikat.

(5) Der Ausweisinhaber vergibt eine selbstgewählte, sechsstellige Geheimnummer durch zweimalige, übereinstimmende Eingabe.

(6) Der Ausweishersteller

1.
erzeugt das Sperrkennwort, welches dem Ausweisinhaber über die verwendete Software angezeigt wird,
2.
übermittelt den letzten Tag der Gültigkeitsdauer, die Sperrsumme und den Sperrschlüssel an den Sperrlistenbetreiber,
3.
speichert das dienste- und kartenspezifische Kennzeichen jeweils für das elektronische Speicher- und Verarbeitungsmedium des Personalausweises und des mobilen Endgeräts sowie das Datum und die Uhrzeit der Einrichtung des elektronischen Identitätsnachweises, den letzten Tag der Gültigkeitsdauer, den Hersteller und die Modellbezeichnung des mobilen Endgeräts, die Sperrsumme und das Sperrkennwort und
4.
versendet einen einfachen Brief an die im elektronischen Speicher- und Verarbeitungsmedium des Personalausweises gespeicherte Anschrift des Ausweisinhabers, in dem das Datum und die Uhrzeit der Einrichtung des elektronischen Identitätsnachweises, der letzte Tag der Gültigkeitsdauer, das Sperrkennwort und der Hersteller und die Modellbezeichnung des mobilen Endgeräts mitgeteilt wird; der Brief enthält ferner Angaben zur Erreichbarkeit des Sperrdienstes.

(7) Der Hersteller eines nach Absatz 1 zu verwendenden elektronischen Formulars hat den Ausweisinhaber darauf hinzuweisen, dass das mobile Endgerät hinsichtlich der auf seinem elektronischen Speicher- und Verarbeitungsmedium nach Absatz 1 gespeicherten Daten mit besonderer Sorgfalt zu behandeln ist. Der Inhalt des Hinweistextes ist von dem Hersteller einer nach Absatz 1 verwendeten Software mit dem Bundesministerium des Innern, für Bau und Heimat abzustimmen.

zu erhebenden personenbezogenen Daten, sobald er die Benachrichtigung bekommen hat, dass der Antragsteller die zufällig neu generierte Geheimnummer erhalten hat, spätestens aber nach 30 Tagen. Satz 1 gilt nicht für das dienste- und kartenspezifische Kennzeichen, welches spätestens nach 90 Tagen zu löschen ist.
(6) Abgesehen von der im Personalausweisregister zu speichernden Anschrift löscht die Personalausweisbehörde alle personenbezogenen Daten, die zur Änderung der Anschrift nach einer elektronischen Anmeldung nach § 23a

BMG BMG | Bundesmeldegesetz ,
§ 23a Elektronische Anmeldung § 23a Elektronische Anmeldung

(1) Die meldepflichtige Person darf bei der Wegzugsmeldebehörde die nach § 3 Absatz 1 Nummer 1 bis 18 und Absatz 2 Nummer 4 gespeicherten Daten elektronisch anfordern. Hierzu hat sie die in § 18 Absatz 1 Satz 3 genannten Daten zu übermitteln. Die Wegzugsmeldebehörde ist verpflichtet, diese Daten in elektronischer und unveränderbarer Form zu übermitteln (vorausgefüllter Meldeschein). Daten zum gesetzlichen Vertreter, Ehegatten, Lebenspartner oder zu minderjährigen Kindern, für die eine Auskunftssperre nach § 51 oder ein bedingter Sperrvermerk nach § 52 gespeichert ist, dürfen nicht in dem vorausgefüllten Meldeschein enthalten sein.

(2) Die meldepflichtige Person hat die übermittelten Angaben auf ihre Richtigkeit zu prüfen, um die Angaben nach § 19 Absatz 3 Nummer 1 bis 3 zu ergänzen, elektronisch zu bestätigen und an die Zuzugsmeldebehörde zu übermitteln.

(3) Die Vorlage der Bestätigung des Wohnungsgebers oder des entsprechenden Zuordnungsmerkmals nach § 19 Absatz 4 Satz 1 kann bei einer elektronischen Anmeldung durch einen Code, der durch die Zuzugsmeldebehörde an die Zuzugsanschrift der meldepflichtigen Person versendet und von dieser bestätigt wird, ersetzt werden.

(4) § 10 Absatz 2 und 3 gilt entsprechend.

des Bundesmeldegesetzes erhoben werden, nach Vollzug der Änderung der Anschrift auf dem elektronischen Speicher- und Verarbeitungsmedium sowie Erstellung und Versand des Aufklebers, spätestens aber 30 Tage nach Erhalt der personenbezogenen Daten durch die Personalausweisbehörde.

§ 1 Begriffsbestimmungen

PAuswGPAuswG | Gesetz über Personalausweise und den elektronischen Identitätsnachweis,
§ 2 Begriffsbestimmungen, Abs. 6§ 2 Begriffsbestimmungen, Abs. 6, 6

(1) Ausweise im Sinne dieses Gesetzes sind der Personalausweis, der vorläufige Personalausweis und der Ersatz-Personalausweis.

(2) Zur Identitätsfeststellung berechtigte Behörden im Sinne dieses Gesetzes sind öffentliche Stellen, die befugt sind, zur Erfüllung ihrer gesetzlichen Aufgaben als hoheitliche Maßnahme die Identität von Personen festzustellen.

(3) Diensteanbieter sind natürliche und juristische Personen, die zur Wahrnehmung von Aufgaben der öffentlichen Verwaltung oder zur Erfüllung eigener Geschäftszwecke den Nachweis der Identität oder einzelner Identitätsmerkmale des Ausweisinhabers benötigen und ihren Wohn-, Geschäfts- oder Dienstsitz innerhalb der Europäischen Union sowie in Staaten, in denen ein vergleichbarer Datenschutzstandard besteht, haben.

(3a) Identifizierungsdiensteanbieter sind Diensteanbieter, deren Dienst darin besteht, für einen Dritten eine einzelfallbezogene Identifizierungsdienstleistung mittels des elektronischen Identitätsnachweises nach § 18 zu erbringen.

(4) Ein Berechtigungszertifikat ist eine elektronische Bescheinigung, die es einem Diensteanbieter ermöglicht,

1.
seine Identität dem Personalausweisinhaber nachzuweisen und
2.
die Übermittlung personen- und ausweisbezogener Daten aus dem Personalausweis anzufragen.

(5) Ein dienste- und kartenspezifisches Kennzeichen ist eine Zeichenfolge, die im Speicher- und Verarbeitungsmedium des Personalausweises oder eines mobilen Endgeräts berechnet wird. Es dient der eindeutigen elektronischen Wiedererkennung eines elektronischen Identitätsnachweises mit dem Personalausweis oder mit einem mobilen Endgerät durch den Diensteanbieter, für den es errechnet wurde, ohne dass weitere personenbezogene Daten übermittelt werden müssen.

(6) Das Sperrkennwort ist eine Zeichenfolge, die ausschließlich der Sperrung eines elektronischen Identitätsnachweises dient.

(6a) Die Sperrsumme ist ein eindeutiges Merkmal, das aus dem Sperrkennwort, dem Familiennamen, den Vornamen und dem Tag der Geburt eines Ausweisinhabers errechnet wird. Es dient der Übermittlung einer Sperrung vom Sperrnotruf oder einer Personalausweisbehörde an den Sperrlistenbetreiber. Mithilfe der Sperrsumme ermittelt der Sperrlistenbetreiber anhand der Referenzliste den Sperrschlüssel eines zu sperrenden elektronischen Identitätsnachweises.

(7) Sperrmerkmale eines elektronischen Identitätsnachweises mit dem Personalausweis oder mit einem mobilen Endgerät sind dienste- und kartenspezifische Zeichenfolgen, die ausschließlich der Erkennung abhandengekommener Personalausweise oder mobiler Endgeräte durch den Diensteanbieter dienen, für den sie errechnet wurden.

(8) Jeder Ausweis erhält eine neue Seriennummer. Die Seriennummer eines Personalausweises setzt sich aus einer vierstelligen Behördenkennzahl und einer fünfstelligen, zufällig vergebenen Nummer zusammen und kann Ziffern und Buchstaben enthalten. Die Seriennummer des vorläufigen Personalausweises und des Ersatz-Personalausweises besteht aus einem Buchstaben und sieben Ziffern.

(9) Die Prüfziffern werden aus den Daten des maschinenlesbaren Bereichs errechnet und dienen zur Feststellung seiner Unversehrtheit.

(10) Die Geheimnummer besteht aus einer sechsstelligen Ziffernfolge und dient der Freigabe der Datenübermittlung aus dem Personalausweis oder aus einem mobilen Endgerät im Rahmen des elektronischen Identitätsnachweises.

(11) Die Zugangsnummer ist eine zufällig erzeugte, ausschließlich auf der Karte sichtbar aufgebrachte sechsstellige Ziffernfolge, die zur Absicherung gegen unberechtigten Zugriff auf die Kommunikation zwischen Personalausweis und Lesegeräten dient.

(12) Die Entsperrnummer ist eine zufällig erzeugte Ziffernfolge, die die Freischaltung der Geheimnummer ermöglicht, wenn diese nach dreimaliger Fehleingabe gesperrt worden ist.

(13) Im Sinne dieses Gesetzes ist ein mobiles Endgerät ein solches Gerät, das dem Stand der Technik entspricht, um einen elektronischen Identitätsnachweis nach § 18 Absatz 2 Satz 1 Nummer 2 durchführen zu können.

PAuswGPAuswG | Gesetz über Personalausweise und den elektronischen Identitätsnachweis,
§ 2 Begriffsbestimmungen, Abs. 4§ 2 Begriffsbestimmungen, Abs. 4, 4, 1

(1) Ausweise im Sinne dieses Gesetzes sind der Personalausweis, der vorläufige Personalausweis und der Ersatz-Personalausweis.

(2) Zur Identitätsfeststellung berechtigte Behörden im Sinne dieses Gesetzes sind öffentliche Stellen, die befugt sind, zur Erfüllung ihrer gesetzlichen Aufgaben als hoheitliche Maßnahme die Identität von Personen festzustellen.

(3) Diensteanbieter sind natürliche und juristische Personen, die zur Wahrnehmung von Aufgaben der öffentlichen Verwaltung oder zur Erfüllung eigener Geschäftszwecke den Nachweis der Identität oder einzelner Identitätsmerkmale des Ausweisinhabers benötigen und ihren Wohn-, Geschäfts- oder Dienstsitz innerhalb der Europäischen Union sowie in Staaten, in denen ein vergleichbarer Datenschutzstandard besteht, haben.

(3a) Identifizierungsdiensteanbieter sind Diensteanbieter, deren Dienst darin besteht, für einen Dritten eine einzelfallbezogene Identifizierungsdienstleistung mittels des elektronischen Identitätsnachweises nach § 18 zu erbringen.

(4) Ein Berechtigungszertifikat ist eine elektronische Bescheinigung, die es einem Diensteanbieter ermöglicht,

1.
seine Identität dem Personalausweisinhaber nachzuweisen und
2.
die Übermittlung personen- und ausweisbezogener Daten aus dem Personalausweis anzufragen.

(5) Ein dienste- und kartenspezifisches Kennzeichen ist eine Zeichenfolge, die im Speicher- und Verarbeitungsmedium des Personalausweises oder eines mobilen Endgeräts berechnet wird. Es dient der eindeutigen elektronischen Wiedererkennung eines elektronischen Identitätsnachweises mit dem Personalausweis oder mit einem mobilen Endgerät durch den Diensteanbieter, für den es errechnet wurde, ohne dass weitere personenbezogene Daten übermittelt werden müssen.

(6) Das Sperrkennwort ist eine Zeichenfolge, die ausschließlich der Sperrung eines elektronischen Identitätsnachweises dient.

(6a) Die Sperrsumme ist ein eindeutiges Merkmal, das aus dem Sperrkennwort, dem Familiennamen, den Vornamen und dem Tag der Geburt eines Ausweisinhabers errechnet wird. Es dient der Übermittlung einer Sperrung vom Sperrnotruf oder einer Personalausweisbehörde an den Sperrlistenbetreiber. Mithilfe der Sperrsumme ermittelt der Sperrlistenbetreiber anhand der Referenzliste den Sperrschlüssel eines zu sperrenden elektronischen Identitätsnachweises.

(7) Sperrmerkmale eines elektronischen Identitätsnachweises mit dem Personalausweis oder mit einem mobilen Endgerät sind dienste- und kartenspezifische Zeichenfolgen, die ausschließlich der Erkennung abhandengekommener Personalausweise oder mobiler Endgeräte durch den Diensteanbieter dienen, für den sie errechnet wurden.

(8) Jeder Ausweis erhält eine neue Seriennummer. Die Seriennummer eines Personalausweises setzt sich aus einer vierstelligen Behördenkennzahl und einer fünfstelligen, zufällig vergebenen Nummer zusammen und kann Ziffern und Buchstaben enthalten. Die Seriennummer des vorläufigen Personalausweises und des Ersatz-Personalausweises besteht aus einem Buchstaben und sieben Ziffern.

(9) Die Prüfziffern werden aus den Daten des maschinenlesbaren Bereichs errechnet und dienen zur Feststellung seiner Unversehrtheit.

(10) Die Geheimnummer besteht aus einer sechsstelligen Ziffernfolge und dient der Freigabe der Datenübermittlung aus dem Personalausweis oder aus einem mobilen Endgerät im Rahmen des elektronischen Identitätsnachweises.

(11) Die Zugangsnummer ist eine zufällig erzeugte, ausschließlich auf der Karte sichtbar aufgebrachte sechsstellige Ziffernfolge, die zur Absicherung gegen unberechtigten Zugriff auf die Kommunikation zwischen Personalausweis und Lesegeräten dient.

(12) Die Entsperrnummer ist eine zufällig erzeugte Ziffernfolge, die die Freischaltung der Geheimnummer ermöglicht, wenn diese nach dreimaliger Fehleingabe gesperrt worden ist.

(13) Im Sinne dieses Gesetzes ist ein mobiles Endgerät ein solches Gerät, das dem Stand der Technik entspricht, um einen elektronischen Identitätsnachweis nach § 18 Absatz 2 Satz 1 Nummer 2 durchführen zu können.

PAuswGPAuswG | Gesetz über Personalausweise und den elektronischen Identitätsnachweis,
§ 2 Begriffsbestimmungen, Abs. 7§ 2 Begriffsbestimmungen, Abs. 7, 7

(1) Ausweise im Sinne dieses Gesetzes sind der Personalausweis, der vorläufige Personalausweis und der Ersatz-Personalausweis.

(2) Zur Identitätsfeststellung berechtigte Behörden im Sinne dieses Gesetzes sind öffentliche Stellen, die befugt sind, zur Erfüllung ihrer gesetzlichen Aufgaben als hoheitliche Maßnahme die Identität von Personen festzustellen.

(3) Diensteanbieter sind natürliche und juristische Personen, die zur Wahrnehmung von Aufgaben der öffentlichen Verwaltung oder zur Erfüllung eigener Geschäftszwecke den Nachweis der Identität oder einzelner Identitätsmerkmale des Ausweisinhabers benötigen und ihren Wohn-, Geschäfts- oder Dienstsitz innerhalb der Europäischen Union sowie in Staaten, in denen ein vergleichbarer Datenschutzstandard besteht, haben.

(3a) Identifizierungsdiensteanbieter sind Diensteanbieter, deren Dienst darin besteht, für einen Dritten eine einzelfallbezogene Identifizierungsdienstleistung mittels des elektronischen Identitätsnachweises nach § 18 zu erbringen.

(4) Ein Berechtigungszertifikat ist eine elektronische Bescheinigung, die es einem Diensteanbieter ermöglicht,

1.
seine Identität dem Personalausweisinhaber nachzuweisen und
2.
die Übermittlung personen- und ausweisbezogener Daten aus dem Personalausweis anzufragen.

(5) Ein dienste- und kartenspezifisches Kennzeichen ist eine Zeichenfolge, die im Speicher- und Verarbeitungsmedium des Personalausweises oder eines mobilen Endgeräts berechnet wird. Es dient der eindeutigen elektronischen Wiedererkennung eines elektronischen Identitätsnachweises mit dem Personalausweis oder mit einem mobilen Endgerät durch den Diensteanbieter, für den es errechnet wurde, ohne dass weitere personenbezogene Daten übermittelt werden müssen.

(6) Das Sperrkennwort ist eine Zeichenfolge, die ausschließlich der Sperrung eines elektronischen Identitätsnachweises dient.

(6a) Die Sperrsumme ist ein eindeutiges Merkmal, das aus dem Sperrkennwort, dem Familiennamen, den Vornamen und dem Tag der Geburt eines Ausweisinhabers errechnet wird. Es dient der Übermittlung einer Sperrung vom Sperrnotruf oder einer Personalausweisbehörde an den Sperrlistenbetreiber. Mithilfe der Sperrsumme ermittelt der Sperrlistenbetreiber anhand der Referenzliste den Sperrschlüssel eines zu sperrenden elektronischen Identitätsnachweises.

(7) Sperrmerkmale eines elektronischen Identitätsnachweises mit dem Personalausweis oder mit einem mobilen Endgerät sind dienste- und kartenspezifische Zeichenfolgen, die ausschließlich der Erkennung abhandengekommener Personalausweise oder mobiler Endgeräte durch den Diensteanbieter dienen, für den sie errechnet wurden.

(8) Jeder Ausweis erhält eine neue Seriennummer. Die Seriennummer eines Personalausweises setzt sich aus einer vierstelligen Behördenkennzahl und einer fünfstelligen, zufällig vergebenen Nummer zusammen und kann Ziffern und Buchstaben enthalten. Die Seriennummer des vorläufigen Personalausweises und des Ersatz-Personalausweises besteht aus einem Buchstaben und sieben Ziffern.

(9) Die Prüfziffern werden aus den Daten des maschinenlesbaren Bereichs errechnet und dienen zur Feststellung seiner Unversehrtheit.

(10) Die Geheimnummer besteht aus einer sechsstelligen Ziffernfolge und dient der Freigabe der Datenübermittlung aus dem Personalausweis oder aus einem mobilen Endgerät im Rahmen des elektronischen Identitätsnachweises.

(11) Die Zugangsnummer ist eine zufällig erzeugte, ausschließlich auf der Karte sichtbar aufgebrachte sechsstellige Ziffernfolge, die zur Absicherung gegen unberechtigten Zugriff auf die Kommunikation zwischen Personalausweis und Lesegeräten dient.

(12) Die Entsperrnummer ist eine zufällig erzeugte Ziffernfolge, die die Freischaltung der Geheimnummer ermöglicht, wenn diese nach dreimaliger Fehleingabe gesperrt worden ist.

(13) Im Sinne dieses Gesetzes ist ein mobiles Endgerät ein solches Gerät, das dem Stand der Technik entspricht, um einen elektronischen Identitätsnachweis nach § 18 Absatz 2 Satz 1 Nummer 2 durchführen zu können.

§ 2 Technische Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik

§ 8 Übermittlung, Abs. 1§ 8 Übermittlung, Abs. 1, 1, 2

(1) Nachdem die Personalausweisbehörde alle Antragsdaten erfasst hat, führt sie diese zu einem digitalen Datensatz zusammen und übermittelt sie dem Ausweishersteller. Die Datenübermittlung umfasst auch

1.
die technischen Eigenschaften der gespeicherten Daten,
2.
die Behördenkennzahl sowie
3.
anonymisierte Protokolldaten zur Erfassung und Qualitätssicherung des Lichtbildes und der Fingerabdrücke.
Die Datenübermittlung erfolgt entweder durch Datenübertragung über die informationstechnischen Netze von Bund und Ländern oder über allgemein zugängliche Netze. Soweit die Datenübermittlung zwischen informationstechnischen Netzen von Bund und Ländern stattfindet, ist dafür spätestens ab dem 1. Januar 2015 nach § 3 des Gesetzes über die Verbindung der informationstechnischen Netze des Bundes und der Länder vom 10. August 2009 (BGBl. I S. 2706) das Verbindungsnetz zu nutzen. Die zu übermittelnden Daten sind nach dem Stand der Technik elektronisch zu signieren und zu verschlüsseln.

(2) Zum Signieren und Verschlüsseln der nach Absatz 1 zu übermittelnden Daten sind geeignete gültige Zertifikate aus der untergeordneten Zertifizierungsinstanz „Hoheitliche Dokumente“ der DeutschlandOnline-Infrastruktur zu verwenden.

(3) Für die Übermittlung der Daten an den Ausweishersteller nach Absatz 1 Satz 3 wird das Datenformat XhD auf der Basis des Datenübermittlungsprotokolls OSCI-Transport verwendet. Die Datenübermittlung kann auch über Vermittlungsstellen erfolgen. Die beteiligten Stellen haben dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten sowie die Feststellbarkeit der übermittelnden Stelle gewährleisten; insofern sind dem jeweiligen Stand der Technik entsprechende Verschlüsselungsverfahren – auch im Fall der Nutzung allgemein zugänglicher Netze – anzuwenden. Das Auswärtige Amt kann für die Datenübermittlung an den Ausweishersteller ein abweichendes Übermittlungsprotokoll verwenden. Die Datenübermittlung zwischen dem Auswärtigen Amt und seinen Auslandsvertretungen muss hinsichtlich Datensicherheit und Datenschutz ein den Anforderungen dieser Verordnung entsprechendes Niveau aufweisen.

(4) Vor der Übermittlung der Ausweisdaten hinterlegen Personalausweisbehörden, Ausweishersteller und Vermittlungsstellen alle für eine elektronische und automatisierte Kommunikation benötigten technischen Verbindungsparameter im Deutschen Verwaltungsdiensteverzeichnis (DVDV), insbesondere die dafür erforderlichen Zertifikate. Der Ausweishersteller nutzt eine Funktionalität des DVDV, um die Personalausweisbehörde als eine solche zu verifizieren. Das Auswärtige Amt kann die benötigten technischen Verbindungsparameter und die damit verbundenen erforderlichen Zertifikate technisch unabhängig vom Deutschen Verwaltungsdiensteverzeichnis (DVDV) lösen. Die Lösung muss hinsichtlich Datensicherheit und Datenschutz ein den Anforderungen dieser Verordnung entsprechendes Niveau aufweisen.

BMGBMG | Bundesmeldegesetz,
§ 23a Elektronische Anmeldung§ 23a Elektronische Anmeldung

(1) Die meldepflichtige Person darf bei der Wegzugsmeldebehörde die nach § 3 Absatz 1 Nummer 1 bis 18 und Absatz 2 Nummer 4 gespeicherten Daten elektronisch anfordern. Hierzu hat sie die in § 18 Absatz 1 Satz 3 genannten Daten zu übermitteln. Die Wegzugsmeldebehörde ist verpflichtet, diese Daten in elektronischer und unveränderbarer Form zu übermitteln (vorausgefüllter Meldeschein). Daten zum gesetzlichen Vertreter, Ehegatten, Lebenspartner oder zu minderjährigen Kindern, für die eine Auskunftssperre nach § 51 oder ein bedingter Sperrvermerk nach § 52 gespeichert ist, dürfen nicht in dem vorausgefüllten Meldeschein enthalten sein.

(2) Die meldepflichtige Person hat die übermittelten Angaben auf ihre Richtigkeit zu prüfen, um die Angaben nach § 19 Absatz 3 Nummer 1 bis 3 zu ergänzen, elektronisch zu bestätigen und an die Zuzugsmeldebehörde zu übermitteln.

(3) Die Vorlage der Bestätigung des Wohnungsgebers oder des entsprechenden Zuordnungsmerkmals nach § 19 Absatz 4 Satz 1 kann bei einer elektronischen Anmeldung durch einen Code, der durch die Zuzugsmeldebehörde an die Zuzugsanschrift der meldepflichtigen Person versendet und von dieser bestätigt wird, ersetzt werden.

(4) § 10 Absatz 2 und 3 gilt entsprechend.

PAuswGPAuswG | Gesetz über Personalausweise und den elektronischen Identitätsnachweis,
§ 10a Einrichtung des elektronischen Identitätsnachweises mit einem mobilen Endgerät, Abs. 1§ 10a Einrichtung des elektronischen Identitätsnachweises mit einem mobilen Endgerät, Abs. 1, 1, 1

(1) Auf elektronische Veranlassung durch den Ausweisinhaber übermittelt der Ausweishersteller die Daten nach § 5 Absatz 5a aus dem elektronischen Speicher- und Verarbeitungsmedium des Personalausweises in einem sicheren Verfahren auf ein elektronisches Speicher- und Verarbeitungsmedium in einem mobilen Endgerät. Der Ausweisinhaber weist seine Identität gegenüber dem Ausweishersteller mit einem elektronischen Identitätsnachweis nach § 18 nach. Ferner hat der Ausweishersteller Maßnahmen gegen eine missbräuchliche Verwendung der Daten im Anschluss an die Übermittlung der Daten auf das elektronische Speicher- und Verarbeitungsmedium in dem mobilen Endgerät vorzusehen. Der Ausweisinhaber ist auf seine Pflichten nach § 27 Absatz 2 sowie darauf hinzuweisen, dass das mobile Endgerät hinsichtlich der in seinem elektronischen Speicher- und Verarbeitungsmedium nach Absatz 1 gespeicherten Daten mit besonderer Sorgfalt zu behandeln ist.

(2) Die Gültigkeitsdauer eines elektronischen Identitätsnachweises nach § 18 Absatz 2 Satz 1 Nummer 2 auf Grundlage einer Übermittlung der Daten nach Absatz 1 beträgt fünf Jahre. Eine Verlängerung der Gültigkeitsdauer ist nicht zulässig. Durch Rechtsverordnung nach § 34 Satz 1 Nummer 8a kann eine kürzere Gültigkeitsdauer festgelegt werden. Eine Übermittlung nach Absatz 1 Satz 1 kann mehrfach durchgeführt werden.

(3) Im Zuge der Übermittlung nach Absatz 1 Satz 1 erzeugt der Ausweishersteller einen neuen Sperrschlüssel sowie eine neue Sperrsumme und übermittelt diese Daten sowie den letzten Tag der Gültigkeit an den Sperrlistenbetreiber. § 10 Absatz 4 und Absatz 6 Satz 1 gilt entsprechend. Der Ausweisinhaber kann die Daten auf dem mobilen Endgerät selbst löschen.

(4) Werden die auf das elektronische Speicher- und Verarbeitungsmedium des mobilen Endgeräts übermittelten Daten nach Absatz 1 Satz 1 unrichtig, darf ein elektronischer Identitätsnachweis nach § 18 Absatz 2 Satz 1 Nummer 2 nicht durchgeführt werden. Vor einer weiteren Nutzung ist erneut eine Übermittlung nach Absatz 1 unter Verwendung des elektronischen Speicher- und Verarbeitungsmediums des Personalausweises mit den richtigen Daten durchzuführen.

(5) Auf elektronischen Antrag des Ausweisinhabers hat der Ausweishersteller diesem Auskunft zu erteilen darüber, jeweils zu welchem Datum und zu welcher Uhrzeit eine Übermittlung nach Absatz 1 Satz 1 der Daten des Personalausweises des Ausweisinhabers auf ein elektronisches Speicher- und Verarbeitungsmedium in einem mobilen Endgerät durchgeführt wurde, sowie über jeweils den letzten Tag der Gültigkeitsdauer, das Sperrkennwort und den Hersteller und die Modellbezeichnung des mobilen Endgeräts. Zur Identifizierung der antragstellenden Person hat der Ausweishersteller zur Person des Ausweisinhabers einen elektronischen Identitätsnachweis nach § 18 durchzuführen.

§ 3 Zertifizierung von Systemkomponenten

BDSG 2018BDSG 2018 | Bundesdatenschutzgesetz,
§ 11 Ernennung und Amtszeit§ 11 Ernennung und Amtszeit

(1) Der Deutsche Bundestag wählt ohne Aussprache auf Vorschlag der Bundesregierung die Bundesbeauftragte oder den Bundesbeauftragten mit mehr als der Hälfte der gesetzlichen Zahl seiner Mitglieder. Die oder der Gewählte ist von der Bundespräsidentin oder dem Bundespräsidenten zu ernennen. Die oder der Bundesbeauftragte muss bei ihrer oder seiner Wahl das 35. Lebensjahr vollendet haben. Sie oder er muss über die für die Erfüllung ihrer oder seiner Aufgaben und Ausübung ihrer oder seiner Befugnisse erforderliche Qualifikation, Erfahrung und Sachkunde insbesondere im Bereich des Schutzes personenbezogener Daten verfügen. Insbesondere muss die oder der Bundesbeauftragte über durch einschlägige Berufserfahrung erworbene Kenntnisse des Datenschutzrechts verfügen und die Befähigung zum Richteramt oder höheren Verwaltungsdienst haben.

(2) Die oder der Bundesbeauftragte leistet vor der Bundespräsidentin oder dem Bundespräsidenten folgenden Eid: „Ich schwöre, dass ich meine Kraft dem Wohle des deutschen Volkes widmen, seinen Nutzen mehren, Schaden von ihm wenden, das Grundgesetz und die Gesetze des Bundes wahren und verteidigen, meine Pflichten gewissenhaft erfüllen und Gerechtigkeit gegen jedermann üben werde. So wahr mir Gott helfe. “ Der Eid kann auch ohne religiöse Beteuerung geleistet werden.

(3) Die Amtszeit der oder des Bundesbeauftragten beträgt fünf Jahre. Einmalige Wiederwahl ist zulässig.

BSIG 2009BSIG 2009 | Gesetz über das Bundesamt für Sicherheit in der Informationstechnik,
§ 9 Zertifizierung§ 9 Zertifizierung

(1) Das Bundesamt ist nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit.

(2) Für bestimmte Produkte oder Leistungen kann beim Bundesamt eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister beantragt werden. Die Anträge werden in der zeitlichen Reihenfolge ihres Eingangs bearbeitet; hiervon kann abgewichen werden, wenn das Bundesamt wegen der Zahl und des Umfangs anhängiger Prüfungsverfahren eine Prüfung in angemessener Zeit nicht durchführen kann und an der Erteilung eines Zertifikats ein öffentliches Interesse besteht. Der Antragsteller hat dem Bundesamt die Unterlagen vorzulegen und die Auskünfte zu erteilen, deren Kenntnis für die Prüfung und Bewertung des Systems oder der Komponente oder der Eignung der Person sowie für die Erteilung des Zertifikats erforderlich ist.

(3) Die Prüfung und Bewertung kann durch vom Bundesamt anerkannte sachverständige Stellen erfolgen.

(4) Das Sicherheitszertifikat wird erteilt, wenn

1.
informationstechnische Systeme, Komponenten, Produkte oder Schutzprofile den vom Bundesamt festgelegten Kriterien entsprechen und
2.
das Bundesministerium des Innern, für Bau und Heimat die Erteilung des Zertifikats nicht nach Absatz 4a untersagt hat.
Vor Erteilung des Sicherheitszertifikats legt das Bundesamt den Vorgang dem Bundesministerium des Innern, für Bau und Heimat zur Prüfung nach Absatz 4a vor.

(4a) Das Bundesministerium des Innern, für Bau und Heimat kann eine Zertifikatserteilung nach Absatz 4 im Einzelfall untersagen, wenn überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung entgegenstehen.

(5) Für die Zertifizierung von Personen und IT-Sicherheitsdienstleistern gilt Absatz 4 entsprechend.

(6) Eine Anerkennung nach Absatz 3 wird erteilt, wenn

1.
die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuverlässigkeit der Konformitätsbewertungsstelle den vom Bundesamt festgelegten Kriterien entspricht und
2.
das Bundesministerium des Innern, für Bau und Heimat festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
Das Bundesamt stellt durch die notwendigen Maßnahmen sicher, dass das Fortbestehen der Voraussetzungen nach Satz 1 regelmäßig überprüft wird.

(7) Sicherheitszertifikate anderer anerkannter Zertifizierungsstellen aus dem Bereich der Europäischen Union werden vom Bundesamt anerkannt, soweit sie eine den Sicherheitszertifikaten des Bundesamtes gleichwertige Sicherheit ausweisen und die Gleichwertigkeit vom Bundesamt festgestellt worden ist.

§ 5 Speicherung und Löschung

PAuswGPAuswG | Gesetz über Personalausweise und den elektronischen Identitätsnachweis,
§ 23 Personalausweisregister, Abs. 4§ 23 Personalausweisregister, Abs. 4, 4

(1) Die Personalausweisbehörden führen Personalausweisregister.

(2) Das Personalausweisregister dient der Durchführung dieses Gesetzes, insbesondere

1.
der Ausstellung der Ausweise und der Feststellung ihrer Echtheit und
2.
der Identitätsfeststellung der Person, die den Ausweis besitzt oder für die er ausgestellt ist.

(3) Das Personalausweisregister darf neben dem Lichtbild, der Unterschrift des Ausweisinhabers und verfahrensbedingten Bearbeitungsvermerken ausschließlich folgende Daten enthalten:

1.
Familienname und Geburtsname,
2.
Vornamen,
3.
Doktorgrad,
4.
Tag der Geburt,
5.
Ort der Geburt,
6.
Größe,
7.
Farbe der Augen,
8.
Anschrift,
9.
Staatsangehörigkeit,
10.
Familienname, Vornamen, Tag der Geburt und Unterschrift des gesetzlichen Vertreters,
11.
Seriennummer,
12.
Sperrkennwort und Sperrsumme,
13.
letzter Tag der Gültigkeitsdauer,
14.
ausstellende Behörde,
15.
Vermerke über Anordnungen nach § 6 Absatz 7 und Maßnahmen nach § 6a Absatz 1 bis 3,
16.
Angaben zur Erklärungspflicht des Ausweisinhabers nach § 29 des Staatsangehörigkeitsgesetzes,
17.
die Tatsache, dass die Funktion zum elektronischen Identitätsnachweis mit Personalausweis ausgeschaltet wurde oder in die Sperrliste eingetragen ist,
18.
Ordensname, Künstlername und
19.
den Nachweis über eine erteilte Ermächtigung nach § 8 Abs. 4 Satz 2.

(4) Personenbezogene Daten im Personalausweisregister sind mindestens bis zur Ausstellung eines neuen Ausweises, höchstens jedoch bis zu fünf Jahre nach dem Ablauf der Gültigkeit des Ausweises, auf den sie sich beziehen, zu speichern und dann zu löschen. Für die Personalausweisbehörde nach § 7 Abs. 2 bei der Wahrnehmung konsularischer Aufgaben beträgt die Frist 30 Jahre.

(5) Die zuständige Personalausweisbehörde führt den Nachweis über Personalausweise, für die sie eine Ermächtigung nach § 8 Abs. 4 Satz 2 erteilt hat.

PAuswGPAuswG | Gesetz über Personalausweise und den elektronischen Identitätsnachweis,
§ 26 Sonstige Speicherung personenbezogener Daten, Abs. 3§ 26 Sonstige Speicherung personenbezogener Daten, Abs. 3, 3, 1

(1) Beantragung, Ausstellung und Aushändigung von Ausweisen dürfen nicht zum Anlass genommen werden, die dafür erforderlichen Angaben und biometrischen Merkmale außer bei den ausstellenden Personalausweisbehörden nach § 7 Abs. 1 und 2 nach den Vorgaben der §§ 23 bis 25 zu speichern. Entsprechendes gilt für die zur Ausstellung des Ausweises erforderlichen Antragsunterlagen sowie für personenbezogene Datenträger.

(2) Die bei der Personalausweisbehörde gespeicherten Fingerabdrücke sind spätestens nach Aushändigung des Personalausweises an die antragstellende Person zu löschen.

(3) Eine zentrale, alle Seriennummern umfassende Speicherung darf nur bei dem Ausweishersteller und ausschließlich zum Nachweis des Verbleibs der Ausweise erfolgen. Abgesehen von der Sperrsumme und dem letzten Tag der Gültigkeit der jeweiligen elektronischen Identitätsnachweise sowie den weiteren in § 19 Absatz 2 genannten Daten ist die Speicherung sonstiger personenbezogener Daten der antragstellenden Person bei dem Ausweishersteller unzulässig, soweit sie nicht ausschließlich und vorübergehend der Herstellung des Ausweises dient; die Angaben sind anschließend zu löschen.

(4) Eine bundesweite Datenbank der biometrischen Merkmale wird nicht errichtet.

§ 20 Neusetzung und Änderung der Geheimnummer für den elektronischen Identitätsnachweis mit dem Personalausweis, Abs. 2§ 20 Neusetzung und Änderung der Geheimnummer für den elektronischen Identitätsnachweis mit dem Personalausweis, Abs. 2, 2

(1) Kennt der Ausweisinhaber die ursprüngliche Geheimnummer nicht, kann die Personalausweisbehörde die Neusetzung der Geheimnummer durch den Ausweisinhaber einleiten. Die Personalausweisbehörde hat zuvor die Identität des Ausweisinhabers zu überprüfen. Durch technische und organisatorische Maßnahmen hat die Personalausweisbehörde sicherzustellen, dass niemand außer dem Ausweisinhaber Kenntnis von der Geheimnummer erlangt.

(2) Ein Ausweisinhaber, der eine Meldeadresse im Inland hat, kann das Neusetzen der Geheimnummer auch durch Verwendung der Zugangsnummer und eines hierfür vom Ausweishersteller zur Verfügung gestellten elektronischen Formulars beantragen. Der Ausweishersteller schaltet die Funktion zum elektronischen Identitätsnachweis ab und versendet eine neue, zufällig generierte Geheimnummer in einem Brief an die im Speicher- und Verarbeitungsmedium gespeicherte Anschrift des Ausweisinhabers. Bei der Übergabe ist die Identität des Ausweisinhabers durch den Zusteller durch Vorlage des Personalausweises zu überprüfen. Nach Erhalt der neuen Geheimnummer meldet sich der Ausweisinhaber erneut beim Ausweishersteller unter Verwendung der Zugangsnummer an. Der Ausweishersteller schaltet die Funktion zum elektronischen Identitätsnachweis wieder ein und schreibt die neue, zufällig generierte Geheimnummer in das Speicher- und Verarbeitungsmedium. Der Ausweisinhaber ändert die neue, zufällig generierte Geheimnummer in eine selbst gewählte Geheimnummer.

(3) Der Ausweisinhaber kann die Geheimnummer durch Eingabe der bisherigen Geheimnummer und zweimalige Eingabe der neuen Geheimnummer ändern.

(4) Für die Änderung der Daten nach Absatz 1 Satz 1 sind zertifizierte Geräte mit hoheitlichem Berechtigungszertifikat zu verwenden. Für das Ändern der Daten nach Absatz 2 Satz 2 sowie für das Einschalten nach Absatz 2 Satz 5 verwendet der Ausweishersteller ein hoheitliches Berechtigungszertifikat.

§ 22 Einrichtung, Abs. 2§ 22 Einrichtung, Abs. 2, 2

(1) Der Ausweisinhaber leitet die Einrichtung eines elektronischen Identitätsnachweises mit einem mobilen Endgerät durch Verwendung eines elektronischen Formulars ein.

(2) Der Ausweishersteller prüft, ob das mobile Endgerät über ein zugelassenes elektronisches Speicher- und Verarbeitungsmedium verfügt, welches dem Stand der Technik entspricht.

(3) Der Ausweisinhaber führt gegenüber dem Ausweishersteller einen elektronischen Identitätsnachweis nach § 18 Absatz 2 Satz 1 Nummer 1 des Personalausweisgesetzes durch.

(4) Der Ausweishersteller übermittelt in einem sicheren Verfahren, welches dem Stand der Technik entspricht, die Daten nach § 5 Absatz 5a des Personalausweisgesetzes auf das elektronische Speicher- und Verarbeitungsmedium des mobilen Endgeräts. Hierzu verwendet er ein hoheitliches Berechtigungszertifikat.

(5) Der Ausweisinhaber vergibt eine selbstgewählte, sechsstellige Geheimnummer durch zweimalige, übereinstimmende Eingabe.

(6) Der Ausweishersteller

1.
erzeugt das Sperrkennwort, welches dem Ausweisinhaber über die verwendete Software angezeigt wird,
2.
übermittelt den letzten Tag der Gültigkeitsdauer, die Sperrsumme und den Sperrschlüssel an den Sperrlistenbetreiber,
3.
speichert das dienste- und kartenspezifische Kennzeichen jeweils für das elektronische Speicher- und Verarbeitungsmedium des Personalausweises und des mobilen Endgeräts sowie das Datum und die Uhrzeit der Einrichtung des elektronischen Identitätsnachweises, den letzten Tag der Gültigkeitsdauer, den Hersteller und die Modellbezeichnung des mobilen Endgeräts, die Sperrsumme und das Sperrkennwort und
4.
versendet einen einfachen Brief an die im elektronischen Speicher- und Verarbeitungsmedium des Personalausweises gespeicherte Anschrift des Ausweisinhabers, in dem das Datum und die Uhrzeit der Einrichtung des elektronischen Identitätsnachweises, der letzte Tag der Gültigkeitsdauer, das Sperrkennwort und der Hersteller und die Modellbezeichnung des mobilen Endgeräts mitgeteilt wird; der Brief enthält ferner Angaben zur Erreichbarkeit des Sperrdienstes.

(7) Der Hersteller eines nach Absatz 1 zu verwendenden elektronischen Formulars hat den Ausweisinhaber darauf hinzuweisen, dass das mobile Endgerät hinsichtlich der auf seinem elektronischen Speicher- und Verarbeitungsmedium nach Absatz 1 gespeicherten Daten mit besonderer Sorgfalt zu behandeln ist. Der Inhalt des Hinweistextes ist von dem Hersteller einer nach Absatz 1 verwendeten Software mit dem Bundesministerium des Innern, für Bau und Heimat abzustimmen.

BMGBMG | Bundesmeldegesetz,
§ 23a Elektronische Anmeldung§ 23a Elektronische Anmeldung

(1) Die meldepflichtige Person darf bei der Wegzugsmeldebehörde die nach § 3 Absatz 1 Nummer 1 bis 18 und Absatz 2 Nummer 4 gespeicherten Daten elektronisch anfordern. Hierzu hat sie die in § 18 Absatz 1 Satz 3 genannten Daten zu übermitteln. Die Wegzugsmeldebehörde ist verpflichtet, diese Daten in elektronischer und unveränderbarer Form zu übermitteln (vorausgefüllter Meldeschein). Daten zum gesetzlichen Vertreter, Ehegatten, Lebenspartner oder zu minderjährigen Kindern, für die eine Auskunftssperre nach § 51 oder ein bedingter Sperrvermerk nach § 52 gespeichert ist, dürfen nicht in dem vorausgefüllten Meldeschein enthalten sein.

(2) Die meldepflichtige Person hat die übermittelten Angaben auf ihre Richtigkeit zu prüfen, um die Angaben nach § 19 Absatz 3 Nummer 1 bis 3 zu ergänzen, elektronisch zu bestätigen und an die Zuzugsmeldebehörde zu übermitteln.

(3) Die Vorlage der Bestätigung des Wohnungsgebers oder des entsprechenden Zuordnungsmerkmals nach § 19 Absatz 4 Satz 1 kann bei einer elektronischen Anmeldung durch einen Code, der durch die Zuzugsmeldebehörde an die Zuzugsanschrift der meldepflichtigen Person versendet und von dieser bestätigt wird, ersetzt werden.

(4) § 10 Absatz 2 und 3 gilt entsprechend.