AZRG-DV - Verordnung zur Durchführung des Gesetzes über das Ausländerzentralregister
AZRG-DV - Verordnung zur Durchführung des Gesetzes über das Ausländerzentralregister |
| Sektor | Staat und Verwaltung |
|---|---|
| Branche | Regierung u. Verwaltung |
| Ebene | Bundesrecht |
| Rechtsakt | Untergesetzlich |
Verordnung zur Durchführung des Gesetzes über das Ausländerzentralregister
§ 4 Allgemeine Regelungen
(1) Die öffentlichen Stellen, die nach dem AZR-Gesetz verpflichtet oder berechtigt sind, an die Registerbehörde Daten zu übermitteln, die im Register zu speichern sind, ergeben sich aus Spalte C der Abschnitte I und II der Anlage zu dieser Verordnung.
(2) Maßgeblich für die Datenübermittlung ist der Zeitpunkt, in dem einer der Anlässe nach § 2 oder § 28 des AZR-Gesetzes oder eine Entscheidung zu einem der Anlässe nach § 3 Absatz 1 Nummer 7 oder Absatz 4 Nummer 7 oder § 29 Absatz 1 Nummer 6 des AZR-Gesetzes vorliegt. Einzelheiten zum Zeitpunkt ergeben sich aus Spalte B der Abschnitte I bis III der Anlage zu dieser Verordnung. Die zur Datenübermittlung verpflichteten Stellen haben die Daten unverzüglich zu übermitteln. Bei mehreren Anlässen oder Entscheidungen können die Daten in einer Übermittlung zusammengefaßt werden, wenn dadurch keine wesentliche Verzögerung eintritt.
(3) Die Datenübermittlung an die Registerbehörde darf im Wege der Direkteingabe erfolgen. Sofern eine Zulassung der übermittelnden Stelle nach § 22 nicht möglich ist, darf die Übermittlung auch elektronisch oder schriftlich erfolgen. Die Übermittlung muss nach dem Stand der Technik abgesichert werden. Die Einhaltung des Stands der Technik wird vermutet, wenn die Übermittlung den in den Technischen Richtlinien (TR) des Bundesamtes für Sicherheit in der Informationstechnik niedergelegten Anforderungen entspricht.
(4) Die Registerbehörde legt das Verfahren und die zu treffenden Sicherungsmaßnahmen im Benehmen mit den beteiligten Stellen fest. Sie hat durch technische und organisatorische Maßnahmen sicherzustellen, daß nur die Daten gespeichert werden, zu deren Übermittlung die jeweilige Stelle verpflichtet oder berechtigt ist.
(5) Die Stellen, die zur Datenübermittlung im Wege der Direkteingabe berechtigt sind, haben die zur Datensicherung erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um die unbefugte Eingabe von Daten zu verhindern. Die Registerbehörde führt ein Verzeichnis der berechtigten Stellen und der getroffenen Maßnahmen.
(6) Erfolgt die Datenübermittlung elektronisch oder schriftlich, hat die Registerbehörde die Unterlagen bis zur Speicherung der Daten im Register durch geeignete Maßnahmen gegen unberechtigten Zugriff zu sichern. Nach der Speicherung der Daten sind die Unterlagen zu vernichten.
(7) Für die Datenübermittlung durch die Ausländerbehörden an die Registerbehörde wird das Übermittlungsprotokoll OSCI-Transport in der im Bundesanzeiger bekannt gemachten gültigen Fassung verwendet. Für die Datenübermittlung durch Ausländerbehörden und andere öffentliche Stellen an die Registerbehörde wird das Datenaustauschformat „XAusländer“ in der im Bundesanzeiger bekannt gemachten gültigen Fassung verwendet. Die Bekanntmachung erfolgt für das Datenaustauschformat „XAusländer“ durch das Bundesministerium des Innern, für Bau und Heimat und für das Übermittlungsprotokoll OSCI-Transport durch die Koordinierungsstelle für IT-Standards (KoSIT). Ein vom OSCI-Transport abweichendes Übermittlungsprotokoll kann eingesetzt werden, soweit dies hinsichtlich der Datensicherheit und des Datenschutzes ein entsprechendes Niveau aufweist. Die Gleichwertigkeit ist durch die verantwortliche Stelle zu dokumentieren. Die Möglichkeiten zur sicheren Verschlüsselung und Signatur sind bei der Übertragung zu nutzen.
§ 9 Allgemeine Regelungen der Datenübermittlung durch die Registerbehörde
(1) Der Umfang der Daten, die die Registerbehörde nach dem AZR-Gesetz an die jeweils ersuchende Stelle übermitteln und weitergeben darf, ergibt sich aus den Spalten A und D der Abschnitte I und II der Anlage zu dieser Verordnung.
(2) Die Registerbehörde hat vor der Übermittlung festzustellen, ob die ersuchende Stelle generell berechtigt ist, Daten aus dem Register zu erhalten, ob der im Ersuchen angegebene Zweck in die sachliche Zuständigkeit der ersuchenden Stelle fällt, in welchem Umfang dieser Stelle Daten übermittelt werden dürfen und ob die Nutzung maschinell verwertbarer Datenträger ordnungsgemäß angemeldet worden ist.
(3) Die Registerbehörde übermittelt die Daten grundsätzlich auf dem gleichen Weg, auf dem das Übermittlungsersuchen gestellt worden ist. Bei einer fernmündlichen Datenübermittlung hat sich die Registerbehörde zuvor über die Identität der ersuchenden Person und über deren Zugehörigkeit zur ersuchenden öffentlichen Stelle zu vergewissern.
(4) Die Registerbehörde hat durch technische Maßnahmen sicherzustellen, daß im automatisierten Verfahren andere Daten als die Grunddaten nur abgerufen werden können, wenn die abrufende Stelle einen Verarbeitungszweck nach § 8 Absatz 3 angibt, zu dem die Daten übermittelt werden dürfen.
(5) § 4 Absatz 7 gilt für die Datenübermittlung durch die Registerbehörde an öffentliche Stellen entsprechend.
§ 10 Zulassung zum Abruf im automatisierten Verfahren
(1) Die Zulassung zum Abruf von Daten im automatisierten Verfahren nach § 22 Abs. 1 des AZR-Gesetzes ist schriftlich bei der Registerbehörde zu beantragen. Im Fall des § 22 Abs. 1 Nr. 9 des AZR-Gesetzes ist die Zustimmung der für den Antragsteller zuständigen obersten Bundes- oder Landesbehörde einzuholen. In der Antragsbegründung ist darzulegen, daß die Einrichtung des automatisierten Abrufverfahrens wegen der Häufigkeit der Übermittlungsersuchen oder der Eilbedürftigkeit angemessen ist, und in welchem Umfang und an welchen Standorten Einrichtungen zum Datenabruf im automatisierten Verfahren geschaffen werden sollen. Die Registerbehörde ist berechtigt, entsprechende Nachweise zu verlangen. Im Fall des § 22 Abs. 1 Nr. 9 des AZR-Gesetzes holt sie die Zustimmung des Bundesministeriums des Innern, für Bau und Heimat ein, wenn sie dem Antrag stattgeben will.
(2) Die Registerbehörde teilt dem Antragsteller die beabsichtigte Entscheidung mit und fordert ihn zugleich auf, die zur Datensicherung erforderlichen technischen und organisatorischen Maßnahmen zu treffen. Die Entscheidung ergeht, sobald der Antragsteller der Registerbehörde schriftlich mitgeteilt hat, daß er diese Maßnahmen getroffen hat. Die Registerbehörde kann die Zulassung mit Beschränkungen erteilen.
(3) Die Registerbehörde führt ein Verzeichnis der zum Abruf im automatisierten Verfahren zugelassenen öffentlichen Stellen und der getroffenen Maßnahmen. Die Registerbehörde hat die Zulassungsunterlagen zusammen mit dem Verzeichnis aufzubewahren sowie die Unterlagen gegen den Zugriff durch Unbefugte zu sichern.
§ 16 Aufzeichnungen bei Datenübermittlungen
(1) Die Registerbehörde hat sicherzustellen, daß die Aufzeichnungen nach den §§ 9, 13 und 31 Abs. 3 des AZR-Gesetzes bei der Eingabe und beim Abruf von Daten, die von ihr selbst oder von anderen Stellen vorgenommen werden, durch ein selbsttätiges Verfahren erfolgen. Sie hat sich unabhängig von Prüfungen durch den Bundesbeauftragten für den Datenschutz durch regelmäßige Kontrollen von der ordnungsgemäßen Funktion dieses Verfahrens zu überzeugen.
(2) Aufzeichnungen nach Absatz 1 sind sechs Monate nach ihrer Entstehung zu löschen, wenn sie nicht für ein bereits eingeleitetes Kontrollverfahren benötigt werden. Aufzeichnungen nach § 4 Abs. 4 des AZR-Gesetzes sind unverzüglich nach Löschung der Übermittlungssperre, Aufzeichnungen nach § 27 Abs. 2 des AZR-Gesetzes ein Jahr nach ihrer Entstehung zu löschen.
(3) Mitteilungen nach § 11 Abs. 1 Satz 3 und Abs. 2 Satz 3 des AZR-Gesetzes sind sechs Monate nach Eingang bei der Registerbehörde zu vernichten, wenn sie nicht für ein bereits eingeleitetes Kontrollverfahren benötigt werden.
§ 17 Sperrung von Daten
(1) Das Bestreiten der Richtigkeit gespeicherter Daten nach § 37 Abs. 1 des AZR-Gesetzes hat schriftlich gegenüber der Registerbehörde zu erfolgen. Der Betroffene soll bei der Ermittlung des Sachverhalts mitwirken. Insbesondere soll er ihm bekannte Tatsachen und Beweismittel angeben.
(2) Läßt sich weder die Richtigkeit noch die Unrichtigkeit der bestrittenen Daten zur Überzeugung der Registerbehörde feststellen, wird der Datensatz des Betroffenen mit Ausnahme der Grundpersonalien und der weiteren Personalien gesperrt. Die Angaben des Betroffenen zu seinen Grundpersonalien und seinen weiteren Personalien gelten als richtig, soweit sich nicht nachweisen läßt, daß die davon abweichenden gespeicherten Daten richtig sind. Geht ein Übermittlungsersuchen über die Grundpersonalien und die weiteren Personalien hinaus, wird der ersuchenden Stelle außer in den Fällen des § 37 Abs. 2 Satz 3 des AZR-Gesetzes nur der Hinweis auf den Sperrvermerk übermittelt.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- Albrecht/Schmid, K&R 2013, 529 (E-Government)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Clauß/Köpsell, IT-Sicherheit 1/2012, 44 (Datenschutztechnologien Verwaltung)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eikel/Kohlhause, IT-Sicherheit 3/2012, 64 (United Communications)
- Fischer/Lemm, IT-Sicherheit 1/2012, 48 (Kommunales Cloud Computing)
- Frische/Ramsauer, NVwZ 2013, 1505 (Das E-Government-Gesetz)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Geis, K&R 2002, 59 (Singnaturverordnung)
- Glombik, VR 2016, 306 (Europäischer elektr. Datenaustausch)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Hoffmann/Schulz/Brackmann, ZD 2013, 122 (öffentliche Verwaltung und soziale Medien)
- Johannes, MMR 2013, 694 (Elektronische Formulare, Verwaltungsverfahren)
- Kahler, CR 2015, 153 (Outsourcing im öffentl. Sektor, Amtsgeheimnis)
- Karg, DuD 2013, 702 (E-Akte, datenschutzrechtliche Anforderungen)
- Klimburg, IT-Sicherheit 2/2012, 45 (Datenschutz, Sicherheitskonzept, Verwaltung in NRW)
- Kramer, DSB 2015, Nr 04, 79 (Vorgaben für den behördlichen DSB)
- König, LKV 2010, 293 (Verwaltungsreform in Thüringen, E-Government)
- Laue, DSB 2011, Nr 9, 12 (§ 3a, Datenvermeidung und Datensparsamkeit)
- Leisterer/Schneider, K&R 2015, 681 (staatliches Informationshandeln im Bereich der IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Mayer, IT-Sicherheit, 5/2012, 68 (Mobility, ByoD)
- Oberthür/Hundt/Kroeger, RVaktuell 2017, 18 (E-Government-Gesetz)
- Prell, NVwZ 2013, 1514 (E-Government)
- Probst/Winters, CR 2015, 557 (eVergabe, elektr. Durchführung der Vergabe öffentl. Aufträge)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, MMR 2015, 359 (eIDAS-VO, elektr. Signaturen für Vertrauensdienste)
- Roßnagel, NJW 2013, 2710 ( E-Government-Gesetz)
- Roßnagel, NJW 2014, 3686 (Sichere elektronische Transaktionen)
- Schrotz/Zdanowiecki, CR 2015, 485 (Cloud Computing im öffentl. Sektor, Datenschutz u. IT-Sicherheit)
- Schulte/ Schröder, Handbuch des Technikrechts, 2011
- Schulz, CR 2009, 267-272 (Der neue „E-Personalausweis”)
- Schulz, DuD 2015, 446 (Leitlinie für IT-Sicherheit in Kommunen)
- Schulz, MMR 2010, 75 (Chancen und Risiken von Cloud Computing in der öffentlichen Verwaltung)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- VGH Bayern, B. v. 01.12.2014 16a DZ 11.2411 (E-Mail-Kontrolle bei Beamten, Datensicherheit);
- Weidemann, DVP 2013, 232-234 (DE-Mail, Verwaltungszustellungsgesetz)
- Zaudig, IT-Sicherheit 4/2012, 64 (IT-Sicherheitsmanagement in der Kommunalbehörde)
-
Ergebnis 1
NIST FIPS 199:2004-02
Deutsch: —
Englisch: Standards for Security Categorization of Federal Information and Information Systems
Ergebnis 2
NIST FIPS 200:2006-03
Deutsch: —
Englisch: Minimum Security Requirements for Federal Information and Information Systems
Ergebnis 3
BSI TR 03105 Teil 1.1
Deutsch: —
Englisch: A framework for official electronic ID document conformity tests; Version 1.04.1
Ergebnis 4
BSI TR 03105 Teil 1.2
Deutsch: —
Englisch: Component specification RFID; Version 1.02.1
Ergebnis 5
BSI TR 03105 Teil 2
Deutsch: —
Englisch: Test plan for official electronic ID documents with secure contactless integrated circuit; Version 3.0
Ergebnis 6
BSI TR 03105 Teil 3.1
Deutsch: —
Englisch: Test plan for eMRTD Application Protocol and Logical Data Structure; Version 1.2.1
Ergebnis 7
BSI TR 03105 Teil 3.2
Deutsch: —
Englisch: Conformity Tests for Official Electronic ID Documents - Part 3.2: Test plan for eMRTDs with Advanced Security Mechanisms - EAC 1 Version 1.5
Ergebnis 8
BSI TR 03105 Teil 3.3
Deutsch: —
Englisch: Conformity Tests for Official Electronic ID Documents - Part 3.3: Test Plan for eID-Cards withAdvanced Security Mechanisms - EAC 2; Version 1.1
Ergebnis 9
BSI TR 03105 Teil 3.4
Deutsch: —
Englisch: Test plan for eID-cards with eSign-application acc. to BSI TR-03117; Version 1.0
Ergebnis 10
BSI TR 03105 Teil 4
Deutsch: —
Englisch: Test plan for ICAO-compliant proximity coupling devices (PCD) on layers 1-4; Version 3.0