(1) Alle im elektronischen Speicher- und Verarbeitungsmedium des Personalausweises gespeicherten personenbezogenen Daten sind gegen unbefugten Zugriff zu schützen. Es ist insbesondere sicherzustellen, dass

    1. vor der Übermittlung personenbezogener Daten die Geheimnummer, die Zugangsnummer oder die Daten der maschinenlesbaren Zone (MRZ) an das elektronische Speicher- und Verarbeitungsmedium übermittelt werden müssen,

    2. Zugriffsrechte über Berechtigungszertifikate nachgewiesen werden müssen und

    3. alle personenbezogenen Daten zwischen dem elektronischen Speicher- und Verarbeitungsmedium und Inhabern von Berechtigungszertifikaten verschlüsselt übermittelt werden.

(2) Der Personalausweis ist so herzustellen, dass personenbezogene Daten ausschließlich ausgelesen werden können durch

    1. Behörden, die ein hoheitliches Berechtigungszertifikat nutzen,

    2. berechtigte Diensteanbieter, die ein Berechtigungszertifikat nutzen, nach Eingabe der Geheimnummer durch den Ausweisinhaber, oder

    3. berechtigte Vor-Ort-Diensteanbieter, die ein Vor-Ort-Zertifikat nutzen, nach Übermittlung der Zugangsnummer an das elektronische Speicher- und Verarbeitungsmedium.