Verordnung des Bundesministeriums des Innern
Zweite Verordnung zur Änderung der Personalausweisverordnung

A. Problem und Ziel

Der im Jahr 2010 eingeführte Personalausweis und der elektronische Aufenthaltstitel (eAT) besitzen eine Funktion zum elektronischen Identitätsnachweis (sogenannte eID-Funktion). Die Funktion ermöglicht dem Inhaber des Dokuments, sich gegenüber Behörden und Unternehmen auch online sicher auszuweisen. Dadurch wird Identitätsdiebstahl und Betrug im Netz sicher vorgebeugt, bei gleichzeitig höchstem Niveau von Datensicherheit und Datenschutz. Praktische Beispiele bilden etwa die Beantragung eines Führungszeugnisses oder die Anbahnung eines Versicherungsvertrags über das Internet.

Die Nutzung und die Verbreitung der eID-Funktion blieben jedoch bislang hinter den Erwartungen zurück. Deshalb hat der Deutsche Bundestag im Mai 2017 das Gesetz zur Förderung des elektronischen Identitätsnachweises beschlossen. Das mit Zustimmung des Bundesrates erlassene Gesetz baut eine Reihe von rechtlichen Hürden ab, die der weiteren Verbreitung der eID-Funktion bislang im Wege standen. Hierzu gehört beispielsweise, dass die Voraussetzungen für die Erteilung einer Berechtigung zur Nutzung der eID-Funktion deutlich vereinfacht wurden. Ferner schafft das Gesetz neue Anwendungsmöglichkeiten für den elektronischen Personalausweis, nämlich das so genannte Vor-Ort-Auslesen unter Anwesenden (§§ 18a, 21a PAuswG) und die Möglichkeit, die Online-Ausweisfunktion als Identifizierungsdienstleistung für andere Unternehmen oder Behörden anzubieten (§§ 2 Absatz 3a, 19a, 21b PAuswG). Die neuen gesetzlichen Vorgaben machen nunmehr eine Anpassung der Personalausweisverordnung erforderlich.

B. Lösung

Der Verordnungsentwurf verfolgt zwei Ziele: Erstens wurden durch das Gesetz zur Förderung des elektronischen Identitätsnachweises vom 7. Juli 2017 (BGBl. I S. 2310) eine Reihe von Vorschriften des Personalausweisgesetzes novelliert. Dies erfordert eine entsprechende Überarbeitung der Personalausweisverordnung. Zweitens soll durch den Verordnungsentwurf - wie schon durch die Gesetzesnovelle - eine Vereinfachung der die eID-Funktion betreffenden Regeln erreicht werden.

C. Alternativen

Keine.

D. Haushaltsausgaben ohne Erfüllungsaufwand

Zusätzliche Haushaltsausgaben sind infolge der Durchführung des Gesetzes für Bund, Länder und Gemeinden nicht zu erwarten.

Ein Mehrbedarf an Sach- und Personalmitteln soll finanziell und stellenmäßig im jeweiligen Einzelplan ausgeglichen werden.

E. Erfüllungsaufwand

E.1 Erfüllungsaufwand für Bürgerinnen und Bürger

Es fällt kein zusätzlicher Erfüllungsaufwand für Bürgerinnen und Bürger an.

E.2 Erfüllungsaufwand für die Wirtschaft

Es fällt kein zusätzlicher Erfüllungsaufwand für die Wirtschaft an. Für die Wirtschaft werden keine Informationspflichten eingeführt, geändert oder abgeschafft.

E.3 Erfüllungsaufwand der Verwaltung

Für das Bundesamt für Sicherheit in der Informationstechnik (BSI) entstehen neue Aufgaben, welche einen jährlichen Erfüllungsaufwand in Form von Personalkosten in Höhe von rund 420 000,00 Euro auslösen. Dies entspricht vier Stellen des höheren Dienstes.

F. Weitere Kosten

Auswirkungen auf Einzelpreise, das Preisniveau, insbesondere auf das Verbraucherpreisniveau, sind nicht zu erwarten.

Verordnung des Bundesministeriums des Innern
Zweite Verordnung zur Änderung der Personalausweisverordnung

Bundeskanzleramt Berlin, 8. August 2017
Staatsminister bei der Bundeskanzlerin

An die Präsidentin des Bundesrates
Frau Ministerpräsidentin
Malu Dreyer

Sehr geehrte Frau Präsidentin,
hiermit übersende ich die vom Bundesministerium des Innern zu erlassende Zweite Verordnung zur Änderung der Personalausweisverordnung mit Begründung und Vorblatt.

Ich bitte, die Zustimmung des Bundesrates aufgrund des Artikels 80 Absatz 2 des Grundgesetzes herbeizuführen.

Mit freundlichen Grüßen
Prof. Dr. Helge Braun

Zweite Verordnung zur Änderung der Personalausweisverordnung1

Vom ...

Auf Grund des § 34 Nummer 2 bis 6 Buchstabe a und b und Nummer 7 des Personalausweisgesetzes, dessen Nummer 7 durch Artikel 1 Nummer 19 Buchstabe b des Gesetzes vom 14. Juli 2017 (BGBl. I S. 2310) geändert worden ist, verordnet das Bundesministerium des Innern im Benehmen mit dem Auswärtigen Amt:

Artikel 1
Änderung der Personalausweisverordnung

Die Personalausweisverordnung vom 1. November 2010 (BGBl. I S. 1460), die zuletzt durch Artikel 5 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745) geändert worden ist, wird wie folgt geändert:

1. In der Inhaltsübersicht werden die Angaben zu Anhang 4 und 5 durch die folgende Angabe ersetzt:

"Anhang 4 Übersicht über die zu zertifizierenden Systemkomponenten".

2. § 2 wird wie folgt geändert:

3. § 3 wird wie folgt geändert:

4. § 4 Absatz 1 wird wie folgt geändert:

5. § 8 Absatz 1 wird wie folgt geändert:

6. § 14 wird wie folgt geändert:

7. § 18 wird wie folgt geändert:

8. § 21 wird aufgehoben.

9. § 22 wird wie folgt geändert:

10. § 23 wird aufgehoben.

11. Die §§ 28 und 29 werden wie folgt gefasst:

" § 28 Antrag auf Erteilung einer Berechtigung für Vor-Ort-Diensteanbieter und sonstige Diensteanbieter

§ 29 Antrag auf Erteilung einer Berechtigung für Identifizierungsdiensteanbieter; Vorgaben zu Datenschutz und Datensicherheit bei Identifizierungsdiensteanbietern

12. Nach § 29 wird folgender § 29a eingefügt:

" § 29a Einholung von Stellungnahmen der Datenschutzaufsichtsbehörden

Die Vergabestelle für Berechtigungszertifikate kann jederzeit eine Stellungnahme der zuständigen Datenschutzaufsichtsbehörde einholen, ob dort Umstände bekannt sind, aus denen sich Anhaltspunkte für eine missbräuchliche Verwendung der Berechtigung ergeben. Vor Erteilung der Berechtigung soll die Vergabestelle die Stellungnahme der Datenschutzaufsichtsbehörde nur in Zweifelsfällen abwarten."

13. In § 31 Nummer 2 wird die Angabe "8 und 9" durch die Angabe "7 und 8" ersetzt.

14. § 32 Satz 3 wird wie folgt gefasst:

"Die jeweils geltende Fassung wird im Bundesanzeiger durch Verweis auf die Internetseite des Bundesamtes für Sicherheit in der Informationstechnik bekannt gemacht."

15. § 36 Absatz 1 wird wie folgt gefasst:

(1) Hoheitliche Berechtigungszertifikate nach § 2 Absatz 4 Satz 3 des Personalausweisgesetzes dürfen vorbehaltlich von Satz 2 ausschließlich an die zur Identitätsfeststellung berechtigten Behörden ausgegeben werden. Zum Zwecke der Qualitätssicherung anhand von Testausweisen dürfen hoheitliche Berechtigungszertifikate auch an das Bundesamt für Sicherheit in der Informationstechnik ausgegeben werden."

16. Nach § 36 wird folgender § 36a eingefügt:

" § 36a Ausgabe von Berechtigungszertifikaten für öffentliche Stellen anderer Mitgliedstaaten

Der Bund stellt Berechtigungszertifikate für öffentliche Stellen anderer Mitgliedstaaten zur Verfügung. Die Kommunikation und die Identifizierung der öffentlichen Stellen erfolgt über die einheitlichen Ansprechpartner nach dem Durchführungsbeschluss (EU) Nr. 2015/296 der Kommission vom 24. Februar 2015 zur Festlegung von Verfahrensmodalitäten für die Zusammenarbeit zwischen den Mitgliedstaaten auf dem Gebiet der elektronischen Identifizierung gemäß Artikel 12 Absatz 7 der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (ABl. L 53 vom 25. Februar 2015, S. 14)."

17. Anhang 4 wird aufgehoben.

18. Der bisherige Anhang 5 wird Anhang 4 und wie folgt geändert:

Artikel 2
Weitere Änderung der Personalausweisverordnung zum 25. Mai 2018

Die Personalausweisverordnung vom 1. November 2010 (BGBl. I S. 1460), die zuletzt durch Artikel 1 dieser Verordnung geändert worden ist, wird wie folgt geändert:

1. § 28 Absatz 1 Nummer 8 wird wie folgt gefasst:

"8. die Angabe, ob die antragstellende Person sich zur Durchführung des elektronischen Identitätsnachweises eines Auftragnehmers nach den Artikeln 28 bis 31 der Verordnung (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 095/46 (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S.72) bedienen wird und in diesem Fall die Angaben nach Nummer 1 für diesen Auftragnehmer; ist diese Angabe zum Zeitpunkt des Antrages noch nicht bekannt, so ist sie sobald bekannt unverzüglich nachzuliefern."

2. In § 29 Absatz 4 werden die Nummern 1 bis 3 wie folgt gefasst:

Artikel 3
Inkrafttreten

Der Bundesrat hat zugestimmt.

Begründung

A. Allgemeiner Teil

I. Zielsetzung und Gegenstand des Verordnungsentwurfs

Der im Jahr 2010 eingeführte Personalausweis und der elektronische Aufenthaltstitel (eAT) besitzen eine Funktion zum elektronischen Identitätsnachweis (sogenannte eID-Funktion"). Die Funktion ermöglicht dem Inhaber des Dokuments, sich gegenüber Behörden und Unternehmen auch online sicher auszuweisen. Dadurch wird Identitätsdiebstahl und Betrug im Netz sicher vorgebeugt, bei gleichzeitig höchstem Niveau von Datensicherheit und Datenschutz. Praktische Beispiele bilden etwa die Beantragung eines Führungszeugnisses oder die Anbahnung eines Versicherungsvertrags via Internet.

Die Nutzung und die Verbreitung der eID-Funktion blieben jedoch bislang hinter den Erwartungen zurück. Deshalb hat der Deutsche Bundestag im Mai 2017 das Gesetz zur Förderung des elektronischen Identitätsnachweises beschlossen. Das Gesetz baut eine Reihe von rechtlichen Hürden ab, die der weiteren Verbreitung der eID-Funktion bislang im Wege standen. Hierzu gehört beispielsweise, dass die Voraussetzungen für die Erteilung einer Berechtigung zur Nutzung der Online-Ausweisfunktion deutlich vereinfacht wurden. Ferner schafft das Gesetz neue Anwendungsmöglichkeiten für den elektronischen Personalausweis, nämlich das so genannte Vor-Ort-Auslesen unter Anwesenden (§§ 18a, 21a PAuswG) und die Möglichkeit, die Online-Ausweisfunktion als Identifizierungsdienstleistungen für andere Unternehmen oder Behörden anzubieten (§§ 2 Absatz 3a, 19a, 21b PAuswG). Die neuen gesetzlichen Vorgaben machen nunmehr eine Anpassung der Personalausweisverordnung (PAuswV) erforderlich.

Der Verordnungsentwurf verfolgt zwei Ziele. Erstens wurde durch das Gesetz zur Förderung des elektronischen Identitätsnachweises eine Reihe von Vorschriften des Personalausweisgesetzes novelliert. Dies erfordert eine entsprechende Überarbeitung der Personalausweisverordnung. Zweitens soll durch den Verordnungsentwurf - wie schon durch die Gesetzesnovelle - eine Vereinfachung der die eID-Funktion betreffenden Regeln erreicht werden.

II. Wesentlicher Inhalt des Entwurfs

1. Änderungen im Antragsverfahren

Das Gesetz zur Förderung des elektronischen Identitätsnachweises vom 7. Juli 2017 (BGBl. I S. 2310) hat die Voraussetzungen, unter denen Unternehmen und Behörden die Berechtigung zur Nutzung des elektronischen Identitätsnachweises erteilt bekommen, stark vereinfacht (siehe § 21 Absatz 2 des (PAuswG)). Diese Vereinfachung setzt der Verordnungsentwurf in den §§ 28 bis 30 der PAuswV fort. Dies betrifft zum einen die Antragsvoraussetzungen für reguläre Diensteanbieter (§ 28 der Personalausweisverordnung in der Entwurfsfassung [PAuswV-E], vgl. § 21 PAuswG). Zum anderen betrifft es auch die so genannten Vor-Ort-Diensteanbieter und die Identifizierungsdiensteanbieter. Für diese beiden Anbietergruppen eröffnet das Gesetz zur Förderung des elektronischen Identitätsnachweises erstmalig die Möglichkeit, den elektronischen Personalausweis einzusetzen, wenn sie eine entsprechende Berechtigung bei der Vergabestelle für Berechtigungszertifikate einholen (für Vor-Ort-Diensteanbieter siehe §§ 18a und 21a PAuswG, für Identifizierungsdiensteanbieter siehe §§ 2 Absatz 3a, 19a und 21b PAuswG). Der Verordnungsentwurf regelt das Antragsverfahren für alle drei Anbietertypen neu in dem Bestreben, das Antragsverfahren so einfach wie möglich zu gestalten.

2. Weitere Vereinfachungen und Aktualisierungen

Daneben vereinfacht und aktualisiert der Entwurf die Regelungen der Personalausweisverordnung. Dies geschieht mit der Tendenz, hinsichtlich technischer Fragen die Regelungstiefe auf Verordnungsebene zurückzunehmen und diese Materien stattdessen dem Bundesamt für Sicherheit in der Informationstechnik zur Regelung in Technischen Richtlinien zuzuweisen.

III. Alternativen

Alternativen zu den vorgenannten Neuregelungen, die dieselben Zwecke mit gleicher Wirksamkeit erreichen würden, bestehen nicht.

IV. Vereinbarkeit mit dem Recht der Europäischen Union und völkerrechtlichen Verträgen

Das Vorhaben ist mit dem Recht der Europäischen Union und mit bestehenden völkerrechtlichen Verträgen vereinbar.

V. Gesetzesfolgen

1. Rechts- und Verwaltungsvereinfachung

Der Entwurf trägt zur Verwaltungsvereinfachung bei, indem er das Antragsverfahren bei der Vergabestelle für Berechtigungszertifikate deutlich vereinfacht (§§ 28 bis 30 PAuswV-E).

2. Nachhaltigkeitsaspekte

Nachhaltigkeitsaspekte sind nicht betroffen.

3. Haushaltsausgaben ohne Erfüllungsaufwand

Zusätzliche Haushaltsausgaben sind in Folge der Durchführung des Gesetzes für Bund, Länder und Gemeinden nicht zu erwarten. Ein Mehrbedarf an Sach- und Personalmitteln soll finanziell und stellenmäßig im jeweiligen Einzelplan ausgeglichen werden.

4. Erfüllungsaufwand

a) Erfüllungsaufwand für Bürgerinnen und Bürger

Für Bürgerinnen und Bürger entsteht kein zusätzlicher Erfüllungsaufwand.

b) Erfüllungsaufwand für die Wirtschaft

Für die Wirtschaft entsteht kein zusätzlicher Erfüllungsaufwand. Es werden keine Informationspflichten eingeführt, geändert oder abgeschafft.

c) Erfüllungsaufwand für die Verwaltung

Für das Bundesamt für Sicherheit in der Informationstechnik (BSI) entstehen neue Aufgaben, welche einen jährlichen Erfüllungsaufwand in Form von Personalkosten in Höhe von rund 420 000 Euro auslösen. Dies entspricht vier Stellen des höheren Dienstes.

So legt § 2 Satz 1 PAuswV-E die Echtheitsbewertung von biometrischen Merkmalen als neue Aufgabe des BSI fest. Dies geschieht durch die Formulierung und fortlaufende Aktualisierung des Standes der Technik in Technischen Richtlinien des BSI. Für die Aufgabenerledigung ergibt sich dafür ein geschätzter Bedarf von zwei Planstellen schwerpunktmäßig in folgenden Aufgabenbereichen:

Ferner erweitert § 29 Absatz 2 und 3 PAuswV-E das Aufgabenspektrum des BSI um die Erstellung und Überprüfung von Vorgaben für Identifizierungsdiensteanbieter. Das BSI soll die Einzelanforderungen an Identifizierungsdiensteanbieter formulieren und diese mit dem/der Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) abstimmen. Darüber hinaus soll das BSI die Einhaltung der Vorgaben durch ein Zertifikat bestätigen. Neben der Erstellung der Vorgaben ergibt sich als Aufgabe auch die dauerhafte Pflege und Weiterentwicklung sowie die kontinuierliche Abstimmung mit dem/der BfDI. Für die Zertifizierung ist neben dem formalen Prozess der Zertifizierung eine fachliche Bewertung der Prüfreports notwendig. Insgesamt entsteht durch die Regelung des § 29 Absatz 2 und 3 PAuswV-E ein Erfüllungsaufwand, der zwei weiteren Planstellen im höheren Dienst entspricht.

Im Einzelnen:

VorgabeZeitaufwand pro
Jahr
Lohnansatz
pro Stunde
(Bund, hD)
Jährlicher Erfüllungsaufwand
Echtheitsbewertung von biometrischen Merkmalen (§ 2 Satz 1 PAuswV-E):
Konzeption der Methodologie der IT-Sicherheitszertifizierung
biometrischer Systeme im
Antragsprozess hoheitlicher
Dokumente
6 Personenmonate (6x134 Std. = 804 Std.)57,80 Euro=804x57,80 46 471,20 Euro
Konzeption und Entwicklung
von IT-Sicherheitsvorgaben
nach Common Criteria für die
Überwindungssicherheit biometrischer Systeme im Antragsprozess hoheitlicher Dokumente
4 Personenmonate (4x134 Std. = 536 Std.)57,80 Euro=536x57,80 30 980,80 Euro
Konzeption und Entwicklung
von Technischen Richtlinien
für die biometrischen Systeme
im Antragsprozess hoheitlicher Dokumente
6 Personenmonate (6x134 Std. = 804 Std.)57,80 Euro804x57,80
= 46 471,20 Euro
Leitung und Steuerung von
Projekten zur Bewertung der
IT-Sicherheit biometrischer
Systeme im Antragsprozess
hoheitlicher Dokumente
4 Personenmonate (4x134 Std. = 536 Std.)57,80 Euro536x57,80
= 30 980,80 Euro
Wiederkehrende Tests und
Analysen der Leistungsfähigkeit von Sicherheitsmechanismen im Feld.
4 Personenmonate (4x134 Std. = 536 Std.)57,80 Euro536x57,80
= 30 980,80 Euro
Erstellung und Überprüfung von Vorgaben für Identifizierungsdiensteanbieter (§ 29 Absatz 2 und 3 PAuswV-E):
Formulierung der Einzelanforderungen an Identifizierungsdiensteanbieter und Abstimmung mit BfDI; dauerhafte
Pflege und Weiterentwicklung sowie kontinuierliche Abstimmung mit BfDI
12 Personenmonate (12x134 Std. =
1608 Std.)
57,80 Euro1608x57,80 = 92 942,20 Euro
Bestätigung der Einhaltung
der Vorgaben durch ein Zertifikat; fachliche Bewertung der Prüfreports
12 Personenmonate (12x134 Std. =
1608 Std.)
57,80 Euro1608x57,80 = 92 942,20 Euro
Zwischensumme:48 Personenmonate = 4 Stellen371 769,60 Euro
Sachkostenpauschale Standardarbeitsplatz48 868,00 Euro
12 217,00 Euro x4
Gesamtsumme:420 637,60 Euro

Für den/die BfDI entsteht durch die vorgenannten Abstimmungen ein Erfüllungsaufwand in zu vernachlässigender Höhe.

Beim Bundesverwaltungsamt (BVA) ist die Vergabestelle für Berechtigungszertifikate angesiedelt. Sie ist durch die Änderungen der §§ 28 bis 30 PAuswV-E ebenfalls betroffen.

§ 28 PAuswV sieht hier Vereinfachungen im Antragsverfahren vor. Deren wichtigste ist der Umstand, dass die Vergabestelle künftig nicht länger eine ausführliche datenschutzrechtliche Präventivprüfung anhand des vom Antragsteller angegebenen Zwecks der Datenerhebung vornimmt (Wegfall von § 29 Absatz 1 Nummer 6 und Nummer 7 Halbsatz 2 PAuswV). Dem BVA entsteht hierdurch bei der Prüfung einer einzelnen Berechtigung weniger Aufwand als früher. Allerdings ist davon auszugehen, dass dieser Zeitersparnis künftig ein erhöhtes Antragsaufkommen gegenübersteht. Denn das vereinfachte Antragsverfahren macht die Beantragung einer Berechtigung attraktiver für potentielle Diensteanbieter. Zudem wird die Vergabestelle für Berechtigungszertifikate künftig auch Anträge für Vor-Ort-Berechtigungen nach § 28 PAuswV und für Identifizierungsdiensteanbieter nach den § 29 PAuswV zu bescheiden haben. Insgesamt wird dadurch die Zeitersparnis bei der Prüfung eines einzelnen Antrags durch das zu erwartende erhöhte Antragsaufkommen kompensiert. Der Erfüllungsaufwand für das BVA bleibt demgemäß gegenüber der früheren Rechtslage insgesamt gleich.

5. Weitere Kosten

Der Wirtschaft, einschließlich mittelständischer Unternehmen, entstehen Kosten nur auf freiwilliger Basis, wenn sie von den neuen Einsatzmöglichkeiten des Personalausweises Gebrauch machen möchten.

Auswirkungen auf Einzelpreise und das Preisniveau, insbesondere auf das Verbraucherpreisniveau, sind nicht zu erwarten.

6. Weitere Gesetzesfolgen

Keine.

VI. Befristung, Evaluierung

Eine Befristung oder Evaluierung der Verordnung ist nicht vorgesehen.

B. Besonderer Teil

Zu Artikel 1 (Änderung der Personalausweisverordnung)

Zu Nummer 1 (Inhaltsübersicht)

Mit der Änderung der Inhaltsübersicht wird die Aufhebung des bisherigen Anhangs 4 sowie die Verschiebung des bisherigen Anhangs 5 zum neuen Anhang 4 berücksichtigt.

Zu Nummer 2 (§ 2 PAuswV)

Zu Buchstabe a
Zu Buchstabe aa

Das BSI soll künftig auch einen Stand der Technik für die Echtheitsbewertung von Lichtbildern formulieren. Dies dient der Manipulationssicherheit von Lichtbildern.

Zu Buchstabe bb

Auch die in § 8 Absatz 1 Satz 2 PAuswV-E genannten Daten sollen künftig den Stand der Technik gemäß der Technischen Richtlinien des Bundesamts für Sicherheit in der Informationstechnik erfüllen.

Zu Buchstabe cc

Das Gesetz zur Förderung des elektronischen Identitätsnachweises erweitert die Anwendungsmöglichkeiten des elektronischen Personalausweises in zwei Richtungen: Erstens ist nunmehr ein Vor-Ort-Auslesen nach § 18a PAuswG möglich, zweitens werden erstmalig Identitifzierungsdienstleistungen für so genannte Identifizierungsdiensteanbieter (vgl. etwa §§ 19a, 21b PAuswG) reguliert. In beiden Einsatzgebieten haben die Beteiligten die Anforderungen des Standes der Technik zu erfüllen. Da sich Identifizierungsdiensteanbieter des elektronischen Identitätsnachweises bedienen, genügt insoweit der bisherige Hinweis in Satz 1 Nummer 2 Buchstabe c. Was hingegen das Vor-Ort-Auslesen angeht, weist die Verordnung künftig ausdrücklich darauf hin, dass dieses nach dem Stand der Technik zu erfolgen hat.

Zu Buchstabe b

Um im Rahmen des technischen Fortschritts und möglicher neuartiger Sicherheitsanforderungen die entsprechenden Weiterentwicklungen zu ermöglichen und mehr Flexibilität bei der Aktualisierung der Technischen Richtlinien zu schaffen, wird zum einen die frühere Aufzählung von technischen Richtlinien in Anhang 4 der Personalausweisverordnung abgeschafft. Künftig ist die Aufzählung vom BSI im Bundesanzeiger zu veröffentlichen. Zum anderen werden die Technischen Richtlinien künftig auf der Internetseite des BSI veröffentlicht. Die jeweils geltende Fassung ist vom BSI unter Verweis auf die Veröffentlichung auf seine Internetseite im Bundesanzeiger bekannt zu machen.

Zu Nummer 3 (§ 3 PAuswV)

Zu Buchstabe a

Die bisherige Überschrift von § 3 ist angesichts der Neufassung von § 29 zu präzisieren.

§ 3 bezieht sich ausschließlich auf die Zertifizierung der in Anhang 4 aufgeführten Systemkomponenten, nicht aber auf die Festlegungen und Prüfungen nach § 29 Absatz 2 und 3 PAuswV-E.

Zu Buchstabe b

§ 3 Absatz 2 wird aktualisiert und redaktionell bereinigt.

Zu Nummer 4 (§ 4 PAuswV)

Das Gesetz zur Förderung des elektronischen Identitätsnachweises hat die früher vorgesehene Möglichkeit, dass die Personalausweisbehörde den elektronischen Identitätsnachweis ausschaltet (§ 10 Absatz 3 Satz 2 PAuswG a. F.) gestrichen. Infolgedessen ist die Dokumentationspflicht in Absatz 1 Nummer 4 aufzuheben.

Zu Nummer 5 (§ 8 PAuswV)

Die Neufassung von § 8 Absatz 1 Satz 2 berücksichtigt, dass die bisherige Aufzählung mit Blick auf den Stand der Technik nicht mehr vollständig ist.

Die Streichung des Wortes "fortgeschritten" in § 8 Absatz 1 Satz 5 beruht darauf, dass durch das Erfordernis einer fortgeschrittenen Signatur kein bestimmtes Sicherheitsniveau erreicht werden kann. Das erforderliche Sicherheitsniveau ergibt sich vielmehr bereits aus dem normierten Stand der Technik.

Zu Nummer 6 (§ 14 PAuswV)

Zu Buchstabe a

Durch das Gesetz zur Förderung des elektronischen Identitätsnachweises wird in den §§ 18a, 21a PAuswG das so genannte Vor-Ort-Auslesen als neue Anwendungsmöglichkeit des elektronischen Personalausweises eingeführt. Vor diesem Hintergrund stellt die Anpassung des § 14 Absatz 1 Nummer 1 PAuswV klar, dass die Zugangsnummer nicht per Hand eingegeben werden muss, sondern auch durch ein Lesegerät ausgelesen und dann automatisch an den Chip des Personalausweises übermittelt werden kann. Auf diese Weise kann das Vor-Ort-Auslesen durch ein einfaches Auflegen des Personalausweises auf ein Lesegerät bewirkt werden.

Zu Buchstabe b

Durch die Neufassung des § 14 Absatz 2 werden mehrere Ziele verfolgt.

Die in Nummer 1 erfolgte Streichung der Wörter "zur Identitätsfeststellung berechtigt sind und" ist eine redaktionelle Folgeänderung zur Ergänzung des § 36 Absatz 1 um die Möglichkeit, dass auch das BSI zum Zwecke der Qualitätssicherung hoheitliche Berechtigungszertifikate erhält.

Die weiteren Änderungen beinhalten Anpassungen an die neu geschaffenen §§ 2 Absatz 3a, 19a, 21b PAuswG (Identifizierungsdiensteanbieter, Nummer 2) sowie die §§ 18a und 21a PAuswG (Vor-Ort-Diensteanbieter, Nummer 3).

Zu Nummer 7 (§ 18 PAuswV)

Der Gesetzgeber hat mit dem Gesetz zur Förderung des elektronischen Identitätsnachweises die früher vorgesehene Möglichkeit, dass die Behörde den Personalausweis mit ausgeschalteter eID-Funktion ausgibt (§ 10 Absatz 3 Satz 2 PAuswG alter Fassung), gestrichen. Infolgedessen ist Absatz 1 aufzuheben.

Vor demselben Hintergrund ist Absatz 2 anzupassen. Die Vorschrift soll sicherstellen, dass die Geheimnummer ausschließlich dem Ausweisinhaber bekannt ist, damit nur dieser sich mit seinem Personalausweis online identifizieren kann.

§ 18 Absatz 2 PAuswV bestimmte deshalb, dass der Personalausweis nur mit ausgeschaltetem elektronischen Identitätsnachweis ausgegeben werden darf, wenn der Antragsteller nicht bestätigt, dass er den PIN-Brief erhalten hat. Da die Möglichkeit einer Ausgabe mit ausgeschalteter eID-Funktion durch das Gesetz zur Förderung des elektronischen Identitätsnachweises entfällt, muss das genannte Ziel anderweitig erreicht werden. Künftig geschieht dies dadurch, dass der Ausweisinhaber, wenn er den Empfang des PIN-Briefes nicht bestätigen kann oder will, seine Geheimnummer neu setzen muss, bevor ihm der neue Personalausweis ausgehändigt wird. Auf diese Weise ist sichergestellt, dass nur der Ausweisinhaber seine Geheimnummer kennt und den elektronischen Identitätsnachweis führen kann.

Zu Nummer 8 (§ 21 PAuswV)

Durch die Aufhebung dieser Vorschrift wird dem BSI die erforderliche Flexibilität bei der Weiterentwicklung des PIN-Management-Systems eingeräumt. Dadurch wird sichergestellt, dass beispielsweise zeitnah auf mögliche Sicherheitsrisiken reagiert werden und das PIN-Management-System entsprechend angepasst werden kann.

Zu Nummer 9 (§ 22 PAuswV)

Der Gesetzgeber hat mit dem Gesetz zur Förderung des elektronischen Identitätsnachweises die früher vorgesehene Möglichkeit, dass die Behörde den elektronischen Identitätsnachweis mit ausgeschalteter eID-Funktion ausgibt (§ 10 Absatz 3 Satz 2 PAuswG alter Fassung), gestrichen. Infolgedessen werden die Überschrift angepasst, Absatz 1 gestrichen und die Formulierungen in Absatz 2 und 3 ebenfalls angepasst.

Zu Nummer 10 (§ 23 PAuswV)

Der bisherige § 23 ist überflüssig und daher aufzuheben. Die Sorgfaltspflichten des Ausweisinhabers sind bereits in § 27 PAuswG hinreichend normiert. Im Einzelnen:

Absatz 1 ist unnötig, weil die Neusetzung der Geheimnummer bereits auf technischem Wege erzwungen wird. Auf dem Personalausweis ist bei der Ausgabe nur eine sog. Transport-PIN gesetzt. Diese Transport-PIN ermöglich lediglich die initiale Neusetzung der Geheimnummer durch den Ausweisinhaber, jedoch noch keine Nutzung der eID-Funktion. Bevor die eID-Funktion genutzt werden kann, muss der Ausweisinhaber also zunächst die Geheimnummer neu setzen. Erst dann ist - unter Eingabe der neuen Geheimnummer - die Nutzung der eID-Funktion möglich.

Absatz 2 Nummer 1 beschreibt eine Anforderung an informationstechnische Systeme, die überdies auch in § 27 Absatz 3 PAuswG normiert ist.

Auch Absatz 2 Nummer 2 ist aufzuheben. In Zukunft ist damit zu rechnen, dass immer mehr Bürgerinnen und Bürger sich der NFC-Schnittstelle ihres Mobiltelefons bedienen werden, um sich mittels ihres Personalausweises online auszuweisen. Diese technische Entwicklung ist zu begrüßen, da sie die Verbreitung des sicheren elektronischen Identitätsnachweises fördert. Andererseits erscheint es nicht realistisch, dass alle Hersteller von mobilen Endgeräten ihre NFC-Schnittstellen vom Bundesamt für Sicherheit in der Informationstechnik zertifizieren lassen. Die frühere Vorgabe für Bürgerinnen und Bürger, ausschließlich zertifizierte Lesegeräte zu verwenden, entfällt daher. Unbeschadet bleibt die Vorschrift des § 27 PAuswG.

Ähnliches gilt für Absatz 2 Nummer 3. Auch hier genügen die Vorgaben des § 27 Absatz 2 und 3 PAuswG.

Zu Nummer 11 (§§ 28 und 29 PAuswV)

§ 28 PAuswV regelt den Antrag auf Erteilung einer Berechtigung für Diensteanbieter. Die Vorschrift ist insgesamt neu zu fassen.

Die neue Paragraphenüberschrift ist dadurch veranlasst, dass es nach dem Gesetz zur Förderung des elektronischen Identitätsnachweises nicht mehr nur eine allgemeine Berechtigung für Diensteanbieter (§ 21 PAuswG), gibt. Vielmehr hat das Personalausweisgesetz zusätzlich spezifische Diensteanbieter-Berechtigungen geschaffen: die Berechtigung für Vor-Ort-Diensteanbieter (§ 21a PAuswG) und die Berechtigung für Identifizierungsdiensteanbieter (§ 21b PAuswG). Die Neufassung der §§ 28 und 29 PAuswV spiegelt diese Systematik wider.

Das Gesetz zur Förderung des elektronischen Identitätsnachweises nimmt einen Systemwechsel bei der Vergabe von Berechtigungen vor. Die Berechtigung zur Nutzung des elektronischen Identitätsnachweises wird nach § 21 Absatz 2 PAuswG unter stark vereinfachten Voraussetzungen erteilt. Insbesondere wird die Berechtigung nicht mehr zweckbezogen, sondern organisationsbezogen erteilt. Nach alter Rechtslage musste der antragstellende Diensteanbieter für jeden seiner Geschäftsprozesse darstellen, zu welchem Zweck die Ausweisdaten erhoben werden und warum die Übermittlung einzelner Datenfelder für die Erfüllung des Geschäftszwecks erforderlich ist. Nunmehr muss der Diensteanbieter nicht mehr für jedes einzelne Datum gesondert darstellen, für welchen Zweck er dieses benötigt. Stattdessen muss er sich nur noch rechtssicher identifizieren und einige grundlegende Angaben zum geplanten Einsatz des elektronischen Identitätsnachweises innerhalb seiner Organisation machen (siehe § 21 Absatz 2 Nummer 1 bis 4 PAuswG). Wenn der Vergabestelle für Berechtigungszertifikate keine Anhaltspunkte für eine missbräuchliche Verwendung der Daten (zum Beispiel aus Mitteilungen der zuständigen Datenschutzbehörden) vorliegen, hat sie die Berechtigung zu erteilen. Diese grundlegenden Änderungen werden durch die Neufassung des § 28 PAuswV nachvollzogen. Sie sollen das Antragsverfahren so weit wie möglich vereinfachen.

Bei der Änderung von Absatz 1 Satz 1 handelt es sich um eine redaktionelle Anpassung (Streichung von Selbstverständlichem).

Das Wort "beilegen" in Absatz 1 Nummer 1 wurde durch das Wort "beifügen" ersetzt, um zu verdeutlichen, dass der Antrag unter den Voraussetzungen des Absatzes 2 auch elektronisch gestellt werden kann.

Die Neufassung des Absatzes 1 Nummer 5 konkretisiert die Vorgabe des § 21 Absatz 2 Nummer 2 PAuswG, wonach der Diensteanbieter künftig das dem Antrag zu Grunde liegende Interesse an der Berechtigung, insbesondere zur geplanten organisationsbezogenen Nutzung, darzulegen hat. Den Begriff der "organisationsbezogene Nutzung" konkretisiert Absatz 1 Nummer 5 dahingehend, dass kurz darzulegen ist, welche Funktion der elektronische Identitätsnachweis im Rahmen der behördlichen Aufgabenwahrnehmung oder der vorgesehenen Geschäftszwecke des Antragstellers erfüllen soll.

Da die Vergabestelle für Berechtigungszertifikate künftig keine zweckbezogene Prüfung einzelner Datenkategorien mehr vornimmt, wurde Absatz 1 Nummer 6 und 7 zweiter Halbsatz gestrichen.

Künftig muss der Diensteanbieter versichern, dass er den betrieblichen Datenschutz einhält (§ 21 Absatz 2 Nummer 3 PAuswG). Diese gesetzgeberische Vorgabe wird in Absatz 1 Nummer 8 übernommen.

Absatz 2 fordert zwecks Vereinheitlichung mit dem übrigen Verwaltungsverfahrensrecht künftig nur noch, dass der Antrag der Schriftform bedarf. Damit wird auf § 3a des Verwaltungsverfahrensgesetzes Bezug genommen.

Der neu gefasste § 29 PAuswV konkretisiert die Anforderungen, die ein Antragsteller erfüllen muss, um eine Berechtigung als Identifizierungsdiensteanbieter nach § 21b PAuswG zu erlangen.

Absatz 1 stellt klar, dass für den Antragsteller einer Berechtigung für Identifizierungsdiensteanbieter zusätzlich zu den Voraussetzungen des § 28 die zusätzlichen spezifischen Voraussetzungen erfüllen muss, die für Identifizierungsdiensteanbieter gelten.

Absatz 2 ermächtigt das BSI, die in § 21 Absatz 2 Satz 1 Nummer 1 PAuswG genannten technisch-organisatorischen Maßnahmen weiter zu konkretisieren (Satz 1). Dabei hat es insbesondere Festlegungen zu treffen bezüglich der Anforderungen an die Datenspeicherung und -löschung, das einzusetzende Verschlüsselungsverfahren sowie an das Informationssicherheitsmanagement (Satz 2). Das BSI hat sich mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ins Benehmen zu setzen, weil die zu formulierenden technisch-organisatorischen Maßnahmen auch dem Datenschutz dienen.

Nach Absatz 3 stellt das BSI ein Zertifikat über die Einhaltung der in Absatz 2 genannten Voraussetzungen aus (Satz 1). Die Vergabestelle für Berechtigungszertifikate braucht die Einhaltung dieser Voraussetzungen somit nicht selbst zu prüfen. Bei seiner Prüfung darf sich das BSI externer Dienstleister bedienen (Satz 2). Für deren Kosten hat der Antragsteller aufzukommen (Satz 3).

Absatz 4 formuliert die in § 21b Absatz 2 Satz 1 Nummer 2 PAuswG genannten weiteren Anforderungen an den Datenschutz. Die Vorschrift entspricht teilweise der gegenwärtigen Fassung des § 29 Absatz 1 PAuswV. Zusätzlich stellt Nummer 4 klar, dass Identifizierungsdiensteanbieter zur Erlangung einer entsprechenden Berechtigung auch all diejenigen Voraussetzungen erfüllen müssen, die herkömmlichen Diensteanbietern nach § 21 Absatz 2 PAuswG obliegen. Dies folgt aus dem Grundgedanken, dass Identifizierungsdiensteanbieter nach § 2 Absatz 3a PAuswG nichts anderes als spezielle Diensteanbieter sind.

Zu Nummer 12 (§ 29a PAuswV)

Nach § 21 Absatz 2 Satz 2 Nummer 4 PAuswG hat der antragstellende Diensteanbieter nur dann Anspruch auf eine Berechtigung zur Nutzung des elektronischen Identitätsnachweises, wenn der Vergabestelle für Berechtigungszertifikate keine Anhaltspunkte für eine missbräuchliche Verwendung der Daten vorliegen.

§ 29a ergänzt diese Vorschrift. Sie räumt der Vergabestelle für Berechtigungszertifikate die Möglichkeit ein, für nicht öffentlichrechtlich tätige Diensteanbieter eine Stellungnahme bei der zuständigen Datenschutzbehörde einzuholen (Satz 1). Ergeben sich hieraus Anhaltspunkte für eine missbräuchliche Verwendung der Daten, hat die Vergabestelle die Berechtigung zu widerrufen oder zurückzunehmen (§ 21 Absatz 4 PAuswG). Während § 29 Absatz 3 bisheriger Fassung die Einholung einer Stellungnahme vor Erteilung der Berechtigung vorsah, ist dies nach der Neufassung der Vorschrift in § 29a jederzeit möglich. Allerdings soll die Vergabestelle, wenn sie Datenschutzbehörde bereits vor Erteilung der Berechtigung einschaltet, deren Stellungnahme nur in Zweifelsfällen abwarten (Satz 2). Ziel dieser Änderung ist, dass der Antragsprozess nicht durch die Wartezeit auf eine Stellungnahme der zuständigen Datenschutzbehörde verzögert wird. Im Regelfall wird die Vergabestelle also, wenn ihr selbst keine Anhaltspunkte für eine missbräuchliche Verwendung der Daten vorliegen (§ 21 Absatz 2 Satz 2 Nummer 4 PAuswG), die Berechtigung erteilen, ohne die Stellungnahme der Datenaufsichtsbehörde abzuwarten. Ergibt die später eingehende Stellungnahme Anhaltspunkte für einen Datenmissbrauch, so hat die Vergabestelle die Berechtigung zu widerrufen oder zurückzunehmen (§ 21 Absatz 2 Satz 2 und 3 PAuswG).

Zu Nummer 13 (§ 31 PAuswV)

Hier handelt es sich um eine Folgeänderung aufgrund der Änderung der Nummerierung im neu gefassten § 28 Absatz 1 PAuswV.

Zu Nummer 14 (§ 32 Satz 3 PAuswV)

Die in Satz 2 und 3 genannten Richtlinien sind nach der Neufassung des Satz 3 im Bundesanzeiger nicht mehr komplett bekannt zu machen. Es genügt die Bekanntmachung, welche Fassung dieser Dokumente gilt und wo auf den Webseiten des Bundesamtes diese abrufbar sind. Dadurch ist eine oftmals aufwendige Umformatierung der Dokumente in die spezifischen Satzformate des Bundesanzeigers entbehrlich, ohne Rechtssicherheit einzubüßen.

Zu Nummer 15 (§ 36 Absatz 1 PAuswV)

Die Ergänzung des Absatz 1 durch den neu angefügten Satz 2 dient der Qualitätssicherung durch das BSI. Unter "Qualitätssicherung" sind dabei auch die Nachprüfungen zu verstehen, die das BSI an sog. Rückstellmustern (Testmuster der internen Generationen der im Personalausweis verbauten Hardware) durchführt, während die Ausweise im Feld sind.

Zu Nummer 16 (§ 36a PAuswV)

Das Gesetz zur Förderung des elektronischen Identitätsnachweises bestimmt in § 21 Absatz 7 PAuswG, dass öffentliche Stellen anderer Mitgliedstaaten berechtigt sind, Daten im Wege des elektronischen Identitätsnachweises anzufragen. Der neu zu schaffende § 36a PAuswV konkretisiert diese Regelung dahingehend, dass der Bund den anderen Mitgliedstaaten die für die Nutzung des elektronischen Identitätsnachweises erforderlichen Berechtigungszertifikate bereitstellt. Dies erfolgt über die einheitlichen Ansprechpartner innerhalb des unionsweiten eIDAS-Kooperationsnetzwerks nach dem Durchführungsbeschluss (EU) Nr. 2015/296 der Kommission vom 24. Februar 2015.

Zu Nummer 17 (Anhang 4)

Die frühere Aufzählung von technischen Richtlinien in Anhang 4 der Personalausweisverordnung entfällt, um mehr Flexibilität zur schnellen Aktualisierung für das BSI zu schaffen. Sie wird künftig vom BSI im Bundesanzeiger veröffentlicht.

Zu Nummer 18 (früherer Anhang 5)

Die Änderungen zu den Buchstaben a und b sehen eine verpflichtende Zertifizierung auch mit Blick auf die Echtheitsbewertung von biometrischen Daten vor. Dies dient der zuverlässigen Aufnahme von Identitätsdaten.

Zu Buchstabe c

Siehe die Begründung zur Änderung des § 23 Absatz 2 Nummer 2 PAusV.

Zu Buchstabe d:

"eID-client" ist die neue Bezeichnung des früheren Bürgerclient.

Zu Buchstabe e

Ergänzt eine Zertifizierungspflicht für Soft- und Hardware zum Zwecke des Vor-Ort-Auslesens nach den neuen §§ 18a, 21a PAuswG. Identifizierungsdiensteanbieter bieten die Durchführung eines elektronischen Identitätsnachweises nach § 18 PAuswG an, weshalb ihre Komponenten bereits von der bisherigen Formulierung umfasst sind.

Zu Artikel 2 (Weitere Änderung der Personalausweisverordnung zum 25. Mai 2018)

Die Änderungen sind durch die Tatsache bedingt, dass am 25. Mai 2018 die Verordnung (EU) Nr. 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) in Kraft tritt.

Zu Artikel 3 (Inkrafttreten)

Artikel 3 regelt das Inkrafttreten. Nach Absatz 1 tritt Artikel 1 der Verordnung am Tag nach ihrer Verkündung in Kraft. Absatz 2 bestimmt, dass Artikel 2 am 25. Mai 2018 in Kraft tritt.