Gesetz über Personalausweise und den elektronischen Identitätsnachweis (PAuswG) : Berechtigungen; elektronische Signatur

Gesetz über Personalausweise und den elektronischen Identitätsnachweis: Inhaltsverzeichnis

Abschnitt 4
Berechtigungen; elektronische Signatur

§ 21 Berechtigungen für Diensteanbieter

(1) Um Daten im Wege des elektronischen Identitätsnachweises anzufragen, benötigen Diensteanbieter eine Berechtigung. Die Berechtigung lässt datenschutzrechtliche Vorschriften unberührt. Das Vorliegen einer Berechtigung ist durch die Vergabe von Berechtigungszertifikaten technisch abzusichern.

(2) Die Berechtigung wird auf Antrag erteilt. Die antragstellende Person muss die Daten nach § 18 Absatz 4 Satz 2 Nummer 1, 2 und 4

(1) Der Personalausweisinhaber, der mindestens 16 Jahre alt ist, kann seinen Personalausweis dazu verwenden, seine Identität gegenüber öffentlichen und nichtöffentlichen Stellen elektronisch nachzuweisen. Dies gilt auch dann, wenn er für eine andere Person, ein Unternehmen oder eine Behörde handelt. Abweichend von Satz 1 ist der elektronische Identitätsnachweis ausgeschlossen, wenn die Voraussetzungen des § 3a Abs. 1 des Verwaltungsverfahrensgesetzes, des § 87a Abs. 1 Satz 1 der Abgabenordnung oder des § 36a Abs. 1 des Ersten Buches Sozialgesetzbuch nicht vorliegen.

(2) Der elektronische Identitätsnachweis erfolgt durch Übermittlung von Daten aus dem elektronischen Speicher- und Verarbeitungsmedium des Personalausweises. Dabei sind dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten gewährleisten. Im Falle der Nutzung allgemein zugänglicher Netze sind Verschlüsselungsverfahren anzuwenden. Die Nutzung des elektronischen Identitätsnachweises durch eine andere Person als den Personalausweisinhaber ist unzulässig.

(3) Das Sperrmerkmal und die Angabe, ob der Personalausweis gültig ist, sind zur Überprüfung, ob ein gesperrter oder abgelaufener Personalausweis vorliegt, immer zu übermitteln. Folgende weitere Daten können übermittelt werden:

1.
Familienname,
1a.
Geburtsname,
2.
Vornamen,
3.
Doktorgrad,
4.
Tag der Geburt,
5.
Ort der Geburt,
6.
Anschrift,
6a.
Staatsangehörigkeit,
7.
Dokumentenart,
7a.
letzter Tag der Gültigkeitsdauer,
8.
dienste- und kartenspezifisches Kennzeichen,
9.
Abkürzung „D“ für Bundesrepublik Deutschland,
10.
Angabe, ob ein bestimmtes Alter über- oder unterschritten wird,
11.
Angabe, ob ein Wohnort dem abgefragten Wohnort entspricht, und
12.
Ordensname, Künstlername.

(4) Die Daten werden nur übermittelt, wenn der Diensteanbieter ein gültiges Berechtigungszertifikat an den Personalausweisinhaber übermittelt und dieser in der Folge seine Geheimnummer eingibt. Vor Eingabe der Geheimnummer durch den Personalausweisinhaber muss der Diensteanbieter dem Ausweisinhaber die Gelegenheit bieten, die folgenden Daten einzusehen:

1.
Name, Anschrift und E-Mail-Adresse des Diensteanbieters,
2.
Kategorien der zu übermittelnden Daten nach Absatz 3 Satz 2,
3.
(weggefallen)
4.
Hinweis auf die für den Diensteanbieter zuständigen Stellen, die die Einhaltung der Vorschriften zum Datenschutz kontrollieren,
5.
letzter Tag der Gültigkeitsdauer des Berechtigungszertifikats.

(5) Die Übermittlung ist auf die im Berechtigungszertifikat genannten Datenkategorien beschränkt.

angeben. Die Berechtigung ist zu erteilen, wenn

1.
der Diensteanbieter seine Identität gegenüber der Vergabestelle für Berechtigungszertifikate nachweist,
2.
der Diensteanbieter das dem Antrag zu Grunde liegende Interesse an einer Berechtigung, insbesondere zur geplanten organisationsbezogenen Nutzung, darlegt,
3.
der Diensteanbieter die Einhaltung des betrieblichen Datenschutzes versichert und
4.
der Vergabestelle für Berechtigungszertifikate keine Anhaltspunkte für eine missbräuchliche Verwendung der Daten vorliegen.

(3) Die Berechtigung ist zu befristen. Die Gültigkeitsdauer darf einen Zeitraum von drei Jahren nicht überschreiten. Die Berechtigung darf nur von dem im Berechtigungszertifikat angegebenen Diensteanbieter verwendet werden. Sie wird auf Antrag wiederholt erteilt.

(4) Die Berechtigung ist zurückzunehmen, wenn der Diensteanbieter diese durch Angaben erwirkt hat, die in wesentlicher Beziehung unrichtig oder unvollständig waren. Sie ist zu widerrufen, wenn sie nicht oder nicht im gleichen Umfang hätte erteilt werden dürfen. Die Berechtigung soll zurückgenommen oder widerrufen werden, wenn die für den Diensteanbieter zuständige Datenschutzaufsichtsbehörde die Rücknahme oder den Widerruf verlangt, weil Tatsachen die Annahme rechtfertigen, dass der Diensteanbieter die auf Grund der Nutzung des Berechtigungszertifikates erhaltenen personenbezogenen Daten in unzulässiger Weise verarbeitet oder nutzt.

(5) Mit Bekanntgabe der Rücknahme oder des Widerrufs der Berechtigung darf der Diensteanbieter vorhandene Berechtigungszertifikate nicht mehr verwenden. Dies gilt nicht, solange und soweit die sofortige Vollziehung (§ 30

Widerspruch und Anfechtungsklage gegen die Anordnung, dass der Ausweis nicht zum Verlassen Deutschlands berechtigt (§ 6 Abs. 7), gegen die Entziehung des Ausweises und die Ausstellung eines Ersatz-Personalausweises (§ 6a), gegen die Aufhebung der Berechtigung (§ 21 Abs. 5), gegen die Einziehung (§ 29 Abs. 1) und gegen die Sicherstellung des Ausweises (§ 29 Abs. 2) haben keine aufschiebende Wirkung.

) ausgesetzt worden ist.

(6) Der Diensteanbieter hat Änderungen der Angaben nach § 18 Absatz 4 Satz 2 Nummer 1 und 4

(1) Der Personalausweisinhaber, der mindestens 16 Jahre alt ist, kann seinen Personalausweis dazu verwenden, seine Identität gegenüber öffentlichen und nichtöffentlichen Stellen elektronisch nachzuweisen. Dies gilt auch dann, wenn er für eine andere Person, ein Unternehmen oder eine Behörde handelt. Abweichend von Satz 1 ist der elektronische Identitätsnachweis ausgeschlossen, wenn die Voraussetzungen des § 3a Abs. 1 des Verwaltungsverfahrensgesetzes, des § 87a Abs. 1 Satz 1 der Abgabenordnung oder des § 36a Abs. 1 des Ersten Buches Sozialgesetzbuch nicht vorliegen.

(2) Der elektronische Identitätsnachweis erfolgt durch Übermittlung von Daten aus dem elektronischen Speicher- und Verarbeitungsmedium des Personalausweises. Dabei sind dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten gewährleisten. Im Falle der Nutzung allgemein zugänglicher Netze sind Verschlüsselungsverfahren anzuwenden. Die Nutzung des elektronischen Identitätsnachweises durch eine andere Person als den Personalausweisinhaber ist unzulässig.

(3) Das Sperrmerkmal und die Angabe, ob der Personalausweis gültig ist, sind zur Überprüfung, ob ein gesperrter oder abgelaufener Personalausweis vorliegt, immer zu übermitteln. Folgende weitere Daten können übermittelt werden:

1.
Familienname,
1a.
Geburtsname,
2.
Vornamen,
3.
Doktorgrad,
4.
Tag der Geburt,
5.
Ort der Geburt,
6.
Anschrift,
6a.
Staatsangehörigkeit,
7.
Dokumentenart,
7a.
letzter Tag der Gültigkeitsdauer,
8.
dienste- und kartenspezifisches Kennzeichen,
9.
Abkürzung „D“ für Bundesrepublik Deutschland,
10.
Angabe, ob ein bestimmtes Alter über- oder unterschritten wird,
11.
Angabe, ob ein Wohnort dem abgefragten Wohnort entspricht, und
12.
Ordensname, Künstlername.

(4) Die Daten werden nur übermittelt, wenn der Diensteanbieter ein gültiges Berechtigungszertifikat an den Personalausweisinhaber übermittelt und dieser in der Folge seine Geheimnummer eingibt. Vor Eingabe der Geheimnummer durch den Personalausweisinhaber muss der Diensteanbieter dem Ausweisinhaber die Gelegenheit bieten, die folgenden Daten einzusehen:

1.
Name, Anschrift und E-Mail-Adresse des Diensteanbieters,
2.
Kategorien der zu übermittelnden Daten nach Absatz 3 Satz 2,
3.
(weggefallen)
4.
Hinweis auf die für den Diensteanbieter zuständigen Stellen, die die Einhaltung der Vorschriften zum Datenschutz kontrollieren,
5.
letzter Tag der Gültigkeitsdauer des Berechtigungszertifikats.

(5) Die Übermittlung ist auf die im Berechtigungszertifikat genannten Datenkategorien beschränkt.

der Vergabestelle für Berechtigungszertifikate unverzüglich mitzuteilen.

(7) Öffentliche Stellen anderer Mitgliedstaaten der Europäischen Union sind berechtigt, Daten im Wege des elektronischen Identitätsnachweises anzufragen.

(8) Die Vergabestelle für Berechtigungszertifikate führt ein Register über die erteilten Berechtigungen.

§ 21a Vor-Ort-Berechtigung für Vor-Ort-Diensteanbieter

Um Ausweisdaten nach § 18a

(1) Der Ausweisinhaber kann seinen Personalausweis ferner dazu verwenden, die in § 18 Absatz 3 Satz 2 genannten Daten zum Zwecke der medienbruchfreien Übernahme von Formulardaten unter Anwesenden zu übermitteln.

(2) Vor dem Vor-Ort-Auslesen der Daten ist der Vor-Ort-Diensteanbieter verpflichtet, anhand des Personalausweises per Lichtbildabgleich zu prüfen, ob die den Personalausweis vorlegende Person der Ausweisinhaber ist. Die Daten werden nur übermittelt, wenn der Vor-Ort-Anbieter mit Einverständnis des Ausweisinhabers die Zugangsnummer ausliest und diese zusammen mit einem gültigen Vor-Ort-Zertifikat an das Speicher- und Verarbeitungsmedium des Personalausweises übermittelt.

unter Anwesenden vor Ort auslesen zu dürfen, benötigen Vor-Ort-Diensteanbieter eine Vor-Ort-Berechtigung einschließlich eines Vor-Ort-Zertifikats. § 21

(1) Um Daten im Wege des elektronischen Identitätsnachweises anzufragen, benötigen Diensteanbieter eine Berechtigung. Die Berechtigung lässt datenschutzrechtliche Vorschriften unberührt. Das Vorliegen einer Berechtigung ist durch die Vergabe von Berechtigungszertifikaten technisch abzusichern.

(2) Die Berechtigung wird auf Antrag erteilt. Die antragstellende Person muss die Daten nach § 18 Absatz 4 Satz 2 Nummer 1, 2 und 4 angeben. Die Berechtigung ist zu erteilen, wenn

1.
der Diensteanbieter seine Identität gegenüber der Vergabestelle für Berechtigungszertifikate nachweist,
2.
der Diensteanbieter das dem Antrag zu Grunde liegende Interesse an einer Berechtigung, insbesondere zur geplanten organisationsbezogenen Nutzung, darlegt,
3.
der Diensteanbieter die Einhaltung des betrieblichen Datenschutzes versichert und
4.
der Vergabestelle für Berechtigungszertifikate keine Anhaltspunkte für eine missbräuchliche Verwendung der Daten vorliegen.

(3) Die Berechtigung ist zu befristen. Die Gültigkeitsdauer darf einen Zeitraum von drei Jahren nicht überschreiten. Die Berechtigung darf nur von dem im Berechtigungszertifikat angegebenen Diensteanbieter verwendet werden. Sie wird auf Antrag wiederholt erteilt.

(4) Die Berechtigung ist zurückzunehmen, wenn der Diensteanbieter diese durch Angaben erwirkt hat, die in wesentlicher Beziehung unrichtig oder unvollständig waren. Sie ist zu widerrufen, wenn sie nicht oder nicht im gleichen Umfang hätte erteilt werden dürfen. Die Berechtigung soll zurückgenommen oder widerrufen werden, wenn die für den Diensteanbieter zuständige Datenschutzaufsichtsbehörde die Rücknahme oder den Widerruf verlangt, weil Tatsachen die Annahme rechtfertigen, dass der Diensteanbieter die auf Grund der Nutzung des Berechtigungszertifikates erhaltenen personenbezogenen Daten in unzulässiger Weise verarbeitet oder nutzt.

(5) Mit Bekanntgabe der Rücknahme oder des Widerrufs der Berechtigung darf der Diensteanbieter vorhandene Berechtigungszertifikate nicht mehr verwenden. Dies gilt nicht, solange und soweit die sofortige Vollziehung (§ 30) ausgesetzt worden ist.

(6) Der Diensteanbieter hat Änderungen der Angaben nach § 18 Absatz 4 Satz 2 Nummer 1 und 4 der Vergabestelle für Berechtigungszertifikate unverzüglich mitzuteilen.

(7) Öffentliche Stellen anderer Mitgliedstaaten der Europäischen Union sind berechtigt, Daten im Wege des elektronischen Identitätsnachweises anzufragen.

(8) Die Vergabestelle für Berechtigungszertifikate führt ein Register über die erteilten Berechtigungen.

gilt hierfür entsprechend.

§ 21b Berechtigung für Identifizierungsdiensteanbieter

(1) Wer als Identifizierungsdiensteanbieter die Funktion des elektronischen Identitätsnachweises nach § 18 Absatz 2 Satz 1

(1) Der Personalausweisinhaber, der mindestens 16 Jahre alt ist, kann seinen Personalausweis dazu verwenden, seine Identität gegenüber öffentlichen und nichtöffentlichen Stellen elektronisch nachzuweisen. Dies gilt auch dann, wenn er für eine andere Person, ein Unternehmen oder eine Behörde handelt. Abweichend von Satz 1 ist der elektronische Identitätsnachweis ausgeschlossen, wenn die Voraussetzungen des § 3a Abs. 1 des Verwaltungsverfahrensgesetzes, des § 87a Abs. 1 Satz 1 der Abgabenordnung oder des § 36a Abs. 1 des Ersten Buches Sozialgesetzbuch nicht vorliegen.

(2) Der elektronische Identitätsnachweis erfolgt durch Übermittlung von Daten aus dem elektronischen Speicher- und Verarbeitungsmedium des Personalausweises. Dabei sind dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten gewährleisten. Im Falle der Nutzung allgemein zugänglicher Netze sind Verschlüsselungsverfahren anzuwenden. Die Nutzung des elektronischen Identitätsnachweises durch eine andere Person als den Personalausweisinhaber ist unzulässig.

(3) Das Sperrmerkmal und die Angabe, ob der Personalausweis gültig ist, sind zur Überprüfung, ob ein gesperrter oder abgelaufener Personalausweis vorliegt, immer zu übermitteln. Folgende weitere Daten können übermittelt werden:

1.
Familienname,
1a.
Geburtsname,
2.
Vornamen,
3.
Doktorgrad,
4.
Tag der Geburt,
5.
Ort der Geburt,
6.
Anschrift,
6a.
Staatsangehörigkeit,
7.
Dokumentenart,
7a.
letzter Tag der Gültigkeitsdauer,
8.
dienste- und kartenspezifisches Kennzeichen,
9.
Abkürzung „D“ für Bundesrepublik Deutschland,
10.
Angabe, ob ein bestimmtes Alter über- oder unterschritten wird,
11.
Angabe, ob ein Wohnort dem abgefragten Wohnort entspricht, und
12.
Ordensname, Künstlername.

(4) Die Daten werden nur übermittelt, wenn der Diensteanbieter ein gültiges Berechtigungszertifikat an den Personalausweisinhaber übermittelt und dieser in der Folge seine Geheimnummer eingibt. Vor Eingabe der Geheimnummer durch den Personalausweisinhaber muss der Diensteanbieter dem Ausweisinhaber die Gelegenheit bieten, die folgenden Daten einzusehen:

1.
Name, Anschrift und E-Mail-Adresse des Diensteanbieters,
2.
Kategorien der zu übermittelnden Daten nach Absatz 3 Satz 2,
3.
(weggefallen)
4.
Hinweis auf die für den Diensteanbieter zuständigen Stellen, die die Einhaltung der Vorschriften zum Datenschutz kontrollieren,
5.
letzter Tag der Gültigkeitsdauer des Berechtigungszertifikats.

(5) Die Übermittlung ist auf die im Berechtigungszertifikat genannten Datenkategorien beschränkt.

in Verbindung mit § 19 Absatz 6

(1) Die Speicherung eines Sperrmerkmals ist ausschließlich zulässig

1.
in der Sperrliste nach § 10 Abs. 4 Satz 1 oder
2.
vorübergehend beim Diensteanbieter zur Prüfung, ob der Personalausweis in den Sperrlisten nach § 10 Abs. 4 Satz 1 aufgeführt ist; die Daten sind nach der Prüfung unverzüglich zu löschen. Zur Ermöglichung auch wiederholter Prüfungen, ob der Personalausweis in den Sperrlisten nach § 10 Absatz 4 Satz 1 aufgeführt ist, erfolgt bei einem Diensteanbieter, der eine Identifizierung nach dem Geldwäschegesetz, der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73), dem Vertrauensdienstegesetz oder dem Telekommunikationsgesetz durchführt, abweichend hiervon die Löschung eines gespeicherten Sperrmerkmals erst nach Ablauf einer Frist von einer Woche ab dem Speicherbeginn.

(2) Eine Speicherung des Sperrkennworts und der Sperrsumme ist ausschließlich im Personalausweisregister nach § 23 Abs. 3 Nr. 12 und im Melderegister zulässig.

(3) Eine zentrale, alle Sperrkennwörter oder alle Sperrmerkmale umfassende Speicherung ist unzulässig.

(4) Daten, die im Rahmen der Durchführung des elektronischen Identitätsnachweises aus technischen Gründen oder zum Abgleich mit der Sperrliste an den Diensteanbieter übermittelt werden, dürfen nur für den Zeitraum der Übermittlung gespeichert werden. Die Verarbeitung der Daten nach § 18 Abs. 3 Satz 2 bleibt hiervon unberührt.

(5) Die Speicherung der nach § 18 Absatz 3 Satz 2 oder nach § 18a übermittelten Daten ist zulässig zum Zwecke der Anlegung oder Änderung eines elektronischen Benutzerkontos.

(6) Die Übernahme der nach § 18 Absatz 3 Satz 2 oder nach § 18a übermittelten Daten in ein elektronisches Formular und deren Speicherung sind zulässig, soweit und solange die Speicherung zur Wahrnehmung der Geschäftszwecke des Diensteanbieters erforderlich ist. Zulässig ist auch, das Formular mit einem dauerhaften elektronischen Vermerk des Inhalts zu versehen, dass sich der Ausweisinhaber beim Ausfüllen des Formulars nach § 18 oder nach § 18a identifiziert hat.

nutzen möchte, um Identifizierungsdienstleistungen für Dritte zu erbringen, bedarf einer Berechtigung.

(2) Die Berechtigung ist zu erteilen, wenn der Identifizierungsdiensteanbieter

1.
durch technisch-organisatorische Maßnahmen die Einhaltung der in § 19a

(1) Ein Identifizierungsdiensteanbieter darf die personenbezogenen Daten des Ausweisinhabers ausschließlich zum Zwecke der bei ihm in Auftrag gegebenen Identifizierung sowie nach § 19 Absatz 6 zum Ausfüllen eines elektronischen Formulars verwenden, das ihm hierfür von seinem Auftraggeber zur Verfügung gestellt wurde. Das Anbringen eines elektronischen Vermerks nach § 19 Absatz 6 Satz 2 ist zulässig. Gesetzliche Aufzeichnungspflichten bleiben unberührt.

(2) Der Identifizierungsdiensteanbieter hat die personenbezogenen Daten des Ausweisinhabers zu löschen, sobald die Identifizierung abgeschlossen und gegebenenfalls das elektronische Formular sowie die auf Grund gesetzlicher Aufzeichnungspflichten aufgezeichneten Daten an den Auftraggeber übermittelt wurden.

enthaltenen Vorgaben gewährleistet und
2.
die weiteren Anforderungen an Datenschutz und Datensicherheit nach der Rechtsverordnung nach § 34 Nummer 7

Das Bundesministerium des Innern, für Bau und Heimat wird ermächtigt, im Benehmen mit dem Auswärtigen Amt und mit Zustimmung des Bundesrates durch Rechtsverordnung

1.
die Muster der Ausweise zu bestimmen,
2.
die Einzelheiten der technischen Anforderungen an die Speicherung des Lichtbildes und der Fingerabdrücke sowie den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Daten zu regeln,
3.
die Einzelheiten zu regeln über das Verfahren und die technischen Anforderungen für die Erfassung, Echtheitsbewertung und Qualitätssicherung des Lichtbildes und der Fingerabdrücke, die Reihenfolge der zu speichernden Fingerabdrücke bei Fehlen eines Zeigefingers, ungenügender Qualität des Fingerabdrucks oder Verletzungen der Fingerkuppe sowie die Form und die Einzelheiten über das Verfahren der Übermittlung sämtlicher Ausweisantragsdaten von den Personalausweisbehörden an den Ausweishersteller,
4.
die Einzelheiten des Prüfverfahrens nach § 12 Absatz 2 Satz 2 zu regeln,
5.
die Herstellung des Personalausweises und die Übermittlung von Geheimnummer, Entsperrnummer und Sperrkennwort zu regeln,
6.
die Einzelheiten der Aushändigung und den Versand des Personalausweises zu regeln,
7.
die Änderung von Daten des Personalausweises wie den Namen oder die Anschrift zu regeln,
8.
die Einzelheiten zur Nutzung des elektronischen Identitätsnachweises und des Vor-Ort-Auslesens zu regeln,
9.
die Einzelheiten
a)
der Geheimnummer,
b)
der Sperrung und Entsperrung des elektronischen Identitätsnachweises durch den Ausweisinhaber sowie
c)
der Speicherung und Löschung der Sperrmerkmale und des Sperrkennworts
festzulegen,
10.
die sicherheitstechnischen Rahmenbedingungen festzulegen, die vorliegen müssen, damit öffentliche und private Stellen ein Benutzerkonto nach § 19 Absatz 5 anlegen und betreiben dürfen, und
11.
die Einzelheiten der Vergabe der Berechtigungen und Berechtigungszertifikate festzulegen.

erfüllt.
Im Übrigen gilt § 21

(1) Um Daten im Wege des elektronischen Identitätsnachweises anzufragen, benötigen Diensteanbieter eine Berechtigung. Die Berechtigung lässt datenschutzrechtliche Vorschriften unberührt. Das Vorliegen einer Berechtigung ist durch die Vergabe von Berechtigungszertifikaten technisch abzusichern.

(2) Die Berechtigung wird auf Antrag erteilt. Die antragstellende Person muss die Daten nach § 18 Absatz 4 Satz 2 Nummer 1, 2 und 4 angeben. Die Berechtigung ist zu erteilen, wenn

1.
der Diensteanbieter seine Identität gegenüber der Vergabestelle für Berechtigungszertifikate nachweist,
2.
der Diensteanbieter das dem Antrag zu Grunde liegende Interesse an einer Berechtigung, insbesondere zur geplanten organisationsbezogenen Nutzung, darlegt,
3.
der Diensteanbieter die Einhaltung des betrieblichen Datenschutzes versichert und
4.
der Vergabestelle für Berechtigungszertifikate keine Anhaltspunkte für eine missbräuchliche Verwendung der Daten vorliegen.

(3) Die Berechtigung ist zu befristen. Die Gültigkeitsdauer darf einen Zeitraum von drei Jahren nicht überschreiten. Die Berechtigung darf nur von dem im Berechtigungszertifikat angegebenen Diensteanbieter verwendet werden. Sie wird auf Antrag wiederholt erteilt.

(4) Die Berechtigung ist zurückzunehmen, wenn der Diensteanbieter diese durch Angaben erwirkt hat, die in wesentlicher Beziehung unrichtig oder unvollständig waren. Sie ist zu widerrufen, wenn sie nicht oder nicht im gleichen Umfang hätte erteilt werden dürfen. Die Berechtigung soll zurückgenommen oder widerrufen werden, wenn die für den Diensteanbieter zuständige Datenschutzaufsichtsbehörde die Rücknahme oder den Widerruf verlangt, weil Tatsachen die Annahme rechtfertigen, dass der Diensteanbieter die auf Grund der Nutzung des Berechtigungszertifikates erhaltenen personenbezogenen Daten in unzulässiger Weise verarbeitet oder nutzt.

(5) Mit Bekanntgabe der Rücknahme oder des Widerrufs der Berechtigung darf der Diensteanbieter vorhandene Berechtigungszertifikate nicht mehr verwenden. Dies gilt nicht, solange und soweit die sofortige Vollziehung (§ 30) ausgesetzt worden ist.

(6) Der Diensteanbieter hat Änderungen der Angaben nach § 18 Absatz 4 Satz 2 Nummer 1 und 4 der Vergabestelle für Berechtigungszertifikate unverzüglich mitzuteilen.

(7) Öffentliche Stellen anderer Mitgliedstaaten der Europäischen Union sind berechtigt, Daten im Wege des elektronischen Identitätsnachweises anzufragen.

(8) Die Vergabestelle für Berechtigungszertifikate führt ein Register über die erteilten Berechtigungen.

entsprechend.

§ 22 Elektronische Signatur

Der Personalausweis kann als qualifizierte elektronische Signaturerstellungseinheit im Sinne des Artikels 3 Nummer 23 der Verordnung (EU) Nr. 910/2014 ausgestaltet werden. Die Zertifizierung nach Artikel 30 der Verordnung (EU) Nr. 910/2014 erfolgt durch das Bundesamt für Sicherheit in der Informationstechnik. Die Vorschriften des Vertrauensdienstegesetzes bleiben unberührt.

Referenzen

§ 21 Berechtigungen für Diensteanbieter

(1) Der Personalausweisinhaber, der mindestens 16 Jahre alt ist, kann seinen Personalausweis dazu verwenden, seine Identität gegenüber öffentlichen und nichtöffentlichen Stellen elektronisch nachzuweisen. Dies gilt auch dann, wenn er für eine andere Person, ein Unternehmen oder eine Behörde handelt. Abweichend von Satz 1 ist der elektronische Identitätsnachweis ausgeschlossen, wenn die Voraussetzungen des § 3a Abs. 1 des Verwaltungsverfahrensgesetzes, des § 87a Abs. 1 Satz 1 der Abgabenordnung oder des § 36a Abs. 1 des Ersten Buches Sozialgesetzbuch nicht vorliegen.

(2) Der elektronische Identitätsnachweis erfolgt durch Übermittlung von Daten aus dem elektronischen Speicher- und Verarbeitungsmedium des Personalausweises. Dabei sind dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten gewährleisten. Im Falle der Nutzung allgemein zugänglicher Netze sind Verschlüsselungsverfahren anzuwenden. Die Nutzung des elektronischen Identitätsnachweises durch eine andere Person als den Personalausweisinhaber ist unzulässig.

(3) Das Sperrmerkmal und die Angabe, ob der Personalausweis gültig ist, sind zur Überprüfung, ob ein gesperrter oder abgelaufener Personalausweis vorliegt, immer zu übermitteln. Folgende weitere Daten können übermittelt werden:

1.
Familienname,
1a.
Geburtsname,
2.
Vornamen,
3.
Doktorgrad,
4.
Tag der Geburt,
5.
Ort der Geburt,
6.
Anschrift,
6a.
Staatsangehörigkeit,
7.
Dokumentenart,
7a.
letzter Tag der Gültigkeitsdauer,
8.
dienste- und kartenspezifisches Kennzeichen,
9.
Abkürzung „D“ für Bundesrepublik Deutschland,
10.
Angabe, ob ein bestimmtes Alter über- oder unterschritten wird,
11.
Angabe, ob ein Wohnort dem abgefragten Wohnort entspricht, und
12.
Ordensname, Künstlername.

(4) Die Daten werden nur übermittelt, wenn der Diensteanbieter ein gültiges Berechtigungszertifikat an den Personalausweisinhaber übermittelt und dieser in der Folge seine Geheimnummer eingibt. Vor Eingabe der Geheimnummer durch den Personalausweisinhaber muss der Diensteanbieter dem Ausweisinhaber die Gelegenheit bieten, die folgenden Daten einzusehen:

1.
Name, Anschrift und E-Mail-Adresse des Diensteanbieters,
2.
Kategorien der zu übermittelnden Daten nach Absatz 3 Satz 2,
3.
(weggefallen)
4.
Hinweis auf die für den Diensteanbieter zuständigen Stellen, die die Einhaltung der Vorschriften zum Datenschutz kontrollieren,
5.
letzter Tag der Gültigkeitsdauer des Berechtigungszertifikats.

(5) Die Übermittlung ist auf die im Berechtigungszertifikat genannten Datenkategorien beschränkt.

Widerspruch und Anfechtungsklage gegen die Anordnung, dass der Ausweis nicht zum Verlassen Deutschlands berechtigt (§ 6 Abs. 7), gegen die Entziehung des Ausweises und die Ausstellung eines Ersatz-Personalausweises (§ 6a), gegen die Aufhebung der Berechtigung (§ 21 Abs. 5), gegen die Einziehung (§ 29 Abs. 1) und gegen die Sicherstellung des Ausweises (§ 29 Abs. 2) haben keine aufschiebende Wirkung.

(1) Der Personalausweisinhaber, der mindestens 16 Jahre alt ist, kann seinen Personalausweis dazu verwenden, seine Identität gegenüber öffentlichen und nichtöffentlichen Stellen elektronisch nachzuweisen. Dies gilt auch dann, wenn er für eine andere Person, ein Unternehmen oder eine Behörde handelt. Abweichend von Satz 1 ist der elektronische Identitätsnachweis ausgeschlossen, wenn die Voraussetzungen des § 3a Abs. 1 des Verwaltungsverfahrensgesetzes, des § 87a Abs. 1 Satz 1 der Abgabenordnung oder des § 36a Abs. 1 des Ersten Buches Sozialgesetzbuch nicht vorliegen.

(2) Der elektronische Identitätsnachweis erfolgt durch Übermittlung von Daten aus dem elektronischen Speicher- und Verarbeitungsmedium des Personalausweises. Dabei sind dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten gewährleisten. Im Falle der Nutzung allgemein zugänglicher Netze sind Verschlüsselungsverfahren anzuwenden. Die Nutzung des elektronischen Identitätsnachweises durch eine andere Person als den Personalausweisinhaber ist unzulässig.

(3) Das Sperrmerkmal und die Angabe, ob der Personalausweis gültig ist, sind zur Überprüfung, ob ein gesperrter oder abgelaufener Personalausweis vorliegt, immer zu übermitteln. Folgende weitere Daten können übermittelt werden:

1.
Familienname,
1a.
Geburtsname,
2.
Vornamen,
3.
Doktorgrad,
4.
Tag der Geburt,
5.
Ort der Geburt,
6.
Anschrift,
6a.
Staatsangehörigkeit,
7.
Dokumentenart,
7a.
letzter Tag der Gültigkeitsdauer,
8.
dienste- und kartenspezifisches Kennzeichen,
9.
Abkürzung „D“ für Bundesrepublik Deutschland,
10.
Angabe, ob ein bestimmtes Alter über- oder unterschritten wird,
11.
Angabe, ob ein Wohnort dem abgefragten Wohnort entspricht, und
12.
Ordensname, Künstlername.

(4) Die Daten werden nur übermittelt, wenn der Diensteanbieter ein gültiges Berechtigungszertifikat an den Personalausweisinhaber übermittelt und dieser in der Folge seine Geheimnummer eingibt. Vor Eingabe der Geheimnummer durch den Personalausweisinhaber muss der Diensteanbieter dem Ausweisinhaber die Gelegenheit bieten, die folgenden Daten einzusehen:

1.
Name, Anschrift und E-Mail-Adresse des Diensteanbieters,
2.
Kategorien der zu übermittelnden Daten nach Absatz 3 Satz 2,
3.
(weggefallen)
4.
Hinweis auf die für den Diensteanbieter zuständigen Stellen, die die Einhaltung der Vorschriften zum Datenschutz kontrollieren,
5.
letzter Tag der Gültigkeitsdauer des Berechtigungszertifikats.

(5) Die Übermittlung ist auf die im Berechtigungszertifikat genannten Datenkategorien beschränkt.

§ 21a Vor-Ort-Berechtigung für Vor-Ort-Diensteanbieter

(1) Der Ausweisinhaber kann seinen Personalausweis ferner dazu verwenden, die in § 18 Absatz 3 Satz 2 genannten Daten zum Zwecke der medienbruchfreien Übernahme von Formulardaten unter Anwesenden zu übermitteln.

(2) Vor dem Vor-Ort-Auslesen der Daten ist der Vor-Ort-Diensteanbieter verpflichtet, anhand des Personalausweises per Lichtbildabgleich zu prüfen, ob die den Personalausweis vorlegende Person der Ausweisinhaber ist. Die Daten werden nur übermittelt, wenn der Vor-Ort-Anbieter mit Einverständnis des Ausweisinhabers die Zugangsnummer ausliest und diese zusammen mit einem gültigen Vor-Ort-Zertifikat an das Speicher- und Verarbeitungsmedium des Personalausweises übermittelt.

(1) Um Daten im Wege des elektronischen Identitätsnachweises anzufragen, benötigen Diensteanbieter eine Berechtigung. Die Berechtigung lässt datenschutzrechtliche Vorschriften unberührt. Das Vorliegen einer Berechtigung ist durch die Vergabe von Berechtigungszertifikaten technisch abzusichern.

(2) Die Berechtigung wird auf Antrag erteilt. Die antragstellende Person muss die Daten nach § 18 Absatz 4 Satz 2 Nummer 1, 2 und 4 angeben. Die Berechtigung ist zu erteilen, wenn

1.
der Diensteanbieter seine Identität gegenüber der Vergabestelle für Berechtigungszertifikate nachweist,
2.
der Diensteanbieter das dem Antrag zu Grunde liegende Interesse an einer Berechtigung, insbesondere zur geplanten organisationsbezogenen Nutzung, darlegt,
3.
der Diensteanbieter die Einhaltung des betrieblichen Datenschutzes versichert und
4.
der Vergabestelle für Berechtigungszertifikate keine Anhaltspunkte für eine missbräuchliche Verwendung der Daten vorliegen.

(3) Die Berechtigung ist zu befristen. Die Gültigkeitsdauer darf einen Zeitraum von drei Jahren nicht überschreiten. Die Berechtigung darf nur von dem im Berechtigungszertifikat angegebenen Diensteanbieter verwendet werden. Sie wird auf Antrag wiederholt erteilt.

(4) Die Berechtigung ist zurückzunehmen, wenn der Diensteanbieter diese durch Angaben erwirkt hat, die in wesentlicher Beziehung unrichtig oder unvollständig waren. Sie ist zu widerrufen, wenn sie nicht oder nicht im gleichen Umfang hätte erteilt werden dürfen. Die Berechtigung soll zurückgenommen oder widerrufen werden, wenn die für den Diensteanbieter zuständige Datenschutzaufsichtsbehörde die Rücknahme oder den Widerruf verlangt, weil Tatsachen die Annahme rechtfertigen, dass der Diensteanbieter die auf Grund der Nutzung des Berechtigungszertifikates erhaltenen personenbezogenen Daten in unzulässiger Weise verarbeitet oder nutzt.

(5) Mit Bekanntgabe der Rücknahme oder des Widerrufs der Berechtigung darf der Diensteanbieter vorhandene Berechtigungszertifikate nicht mehr verwenden. Dies gilt nicht, solange und soweit die sofortige Vollziehung (§ 30) ausgesetzt worden ist.

(6) Der Diensteanbieter hat Änderungen der Angaben nach § 18 Absatz 4 Satz 2 Nummer 1 und 4 der Vergabestelle für Berechtigungszertifikate unverzüglich mitzuteilen.

(7) Öffentliche Stellen anderer Mitgliedstaaten der Europäischen Union sind berechtigt, Daten im Wege des elektronischen Identitätsnachweises anzufragen.

(8) Die Vergabestelle für Berechtigungszertifikate führt ein Register über die erteilten Berechtigungen.

§ 21b Berechtigung für Identifizierungsdiensteanbieter

(1) Der Personalausweisinhaber, der mindestens 16 Jahre alt ist, kann seinen Personalausweis dazu verwenden, seine Identität gegenüber öffentlichen und nichtöffentlichen Stellen elektronisch nachzuweisen. Dies gilt auch dann, wenn er für eine andere Person, ein Unternehmen oder eine Behörde handelt. Abweichend von Satz 1 ist der elektronische Identitätsnachweis ausgeschlossen, wenn die Voraussetzungen des § 3a Abs. 1 des Verwaltungsverfahrensgesetzes, des § 87a Abs. 1 Satz 1 der Abgabenordnung oder des § 36a Abs. 1 des Ersten Buches Sozialgesetzbuch nicht vorliegen.

(2) Der elektronische Identitätsnachweis erfolgt durch Übermittlung von Daten aus dem elektronischen Speicher- und Verarbeitungsmedium des Personalausweises. Dabei sind dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der Daten gewährleisten. Im Falle der Nutzung allgemein zugänglicher Netze sind Verschlüsselungsverfahren anzuwenden. Die Nutzung des elektronischen Identitätsnachweises durch eine andere Person als den Personalausweisinhaber ist unzulässig.

(3) Das Sperrmerkmal und die Angabe, ob der Personalausweis gültig ist, sind zur Überprüfung, ob ein gesperrter oder abgelaufener Personalausweis vorliegt, immer zu übermitteln. Folgende weitere Daten können übermittelt werden:

1.
Familienname,
1a.
Geburtsname,
2.
Vornamen,
3.
Doktorgrad,
4.
Tag der Geburt,
5.
Ort der Geburt,
6.
Anschrift,
6a.
Staatsangehörigkeit,
7.
Dokumentenart,
7a.
letzter Tag der Gültigkeitsdauer,
8.
dienste- und kartenspezifisches Kennzeichen,
9.
Abkürzung „D“ für Bundesrepublik Deutschland,
10.
Angabe, ob ein bestimmtes Alter über- oder unterschritten wird,
11.
Angabe, ob ein Wohnort dem abgefragten Wohnort entspricht, und
12.
Ordensname, Künstlername.

(4) Die Daten werden nur übermittelt, wenn der Diensteanbieter ein gültiges Berechtigungszertifikat an den Personalausweisinhaber übermittelt und dieser in der Folge seine Geheimnummer eingibt. Vor Eingabe der Geheimnummer durch den Personalausweisinhaber muss der Diensteanbieter dem Ausweisinhaber die Gelegenheit bieten, die folgenden Daten einzusehen:

1.
Name, Anschrift und E-Mail-Adresse des Diensteanbieters,
2.
Kategorien der zu übermittelnden Daten nach Absatz 3 Satz 2,
3.
(weggefallen)
4.
Hinweis auf die für den Diensteanbieter zuständigen Stellen, die die Einhaltung der Vorschriften zum Datenschutz kontrollieren,
5.
letzter Tag der Gültigkeitsdauer des Berechtigungszertifikats.

(5) Die Übermittlung ist auf die im Berechtigungszertifikat genannten Datenkategorien beschränkt.

(1) Die Speicherung eines Sperrmerkmals ist ausschließlich zulässig

1.
in der Sperrliste nach § 10 Abs. 4 Satz 1 oder
2.
vorübergehend beim Diensteanbieter zur Prüfung, ob der Personalausweis in den Sperrlisten nach § 10 Abs. 4 Satz 1 aufgeführt ist; die Daten sind nach der Prüfung unverzüglich zu löschen. Zur Ermöglichung auch wiederholter Prüfungen, ob der Personalausweis in den Sperrlisten nach § 10 Absatz 4 Satz 1 aufgeführt ist, erfolgt bei einem Diensteanbieter, der eine Identifizierung nach dem Geldwäschegesetz, der Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG (ABl. L 257 vom 28.8.2014, S. 73), dem Vertrauensdienstegesetz oder dem Telekommunikationsgesetz durchführt, abweichend hiervon die Löschung eines gespeicherten Sperrmerkmals erst nach Ablauf einer Frist von einer Woche ab dem Speicherbeginn.

(2) Eine Speicherung des Sperrkennworts und der Sperrsumme ist ausschließlich im Personalausweisregister nach § 23 Abs. 3 Nr. 12 und im Melderegister zulässig.

(3) Eine zentrale, alle Sperrkennwörter oder alle Sperrmerkmale umfassende Speicherung ist unzulässig.

(4) Daten, die im Rahmen der Durchführung des elektronischen Identitätsnachweises aus technischen Gründen oder zum Abgleich mit der Sperrliste an den Diensteanbieter übermittelt werden, dürfen nur für den Zeitraum der Übermittlung gespeichert werden. Die Verarbeitung der Daten nach § 18 Abs. 3 Satz 2 bleibt hiervon unberührt.

(5) Die Speicherung der nach § 18 Absatz 3 Satz 2 oder nach § 18a übermittelten Daten ist zulässig zum Zwecke der Anlegung oder Änderung eines elektronischen Benutzerkontos.

(6) Die Übernahme der nach § 18 Absatz 3 Satz 2 oder nach § 18a übermittelten Daten in ein elektronisches Formular und deren Speicherung sind zulässig, soweit und solange die Speicherung zur Wahrnehmung der Geschäftszwecke des Diensteanbieters erforderlich ist. Zulässig ist auch, das Formular mit einem dauerhaften elektronischen Vermerk des Inhalts zu versehen, dass sich der Ausweisinhaber beim Ausfüllen des Formulars nach § 18 oder nach § 18a identifiziert hat.

(1) Ein Identifizierungsdiensteanbieter darf die personenbezogenen Daten des Ausweisinhabers ausschließlich zum Zwecke der bei ihm in Auftrag gegebenen Identifizierung sowie nach § 19 Absatz 6 zum Ausfüllen eines elektronischen Formulars verwenden, das ihm hierfür von seinem Auftraggeber zur Verfügung gestellt wurde. Das Anbringen eines elektronischen Vermerks nach § 19 Absatz 6 Satz 2 ist zulässig. Gesetzliche Aufzeichnungspflichten bleiben unberührt.

(2) Der Identifizierungsdiensteanbieter hat die personenbezogenen Daten des Ausweisinhabers zu löschen, sobald die Identifizierung abgeschlossen und gegebenenfalls das elektronische Formular sowie die auf Grund gesetzlicher Aufzeichnungspflichten aufgezeichneten Daten an den Auftraggeber übermittelt wurden.

Das Bundesministerium des Innern, für Bau und Heimat wird ermächtigt, im Benehmen mit dem Auswärtigen Amt und mit Zustimmung des Bundesrates durch Rechtsverordnung

1.
die Muster der Ausweise zu bestimmen,
2.
die Einzelheiten der technischen Anforderungen an die Speicherung des Lichtbildes und der Fingerabdrücke sowie den Zugriffsschutz auf die im elektronischen Speicher- und Verarbeitungsmedium abgelegten Daten zu regeln,
3.
die Einzelheiten zu regeln über das Verfahren und die technischen Anforderungen für die Erfassung, Echtheitsbewertung und Qualitätssicherung des Lichtbildes und der Fingerabdrücke, die Reihenfolge der zu speichernden Fingerabdrücke bei Fehlen eines Zeigefingers, ungenügender Qualität des Fingerabdrucks oder Verletzungen der Fingerkuppe sowie die Form und die Einzelheiten über das Verfahren der Übermittlung sämtlicher Ausweisantragsdaten von den Personalausweisbehörden an den Ausweishersteller,
4.
die Einzelheiten des Prüfverfahrens nach § 12 Absatz 2 Satz 2 zu regeln,
5.
die Herstellung des Personalausweises und die Übermittlung von Geheimnummer, Entsperrnummer und Sperrkennwort zu regeln,
6.
die Einzelheiten der Aushändigung und den Versand des Personalausweises zu regeln,
7.
die Änderung von Daten des Personalausweises wie den Namen oder die Anschrift zu regeln,
8.
die Einzelheiten zur Nutzung des elektronischen Identitätsnachweises und des Vor-Ort-Auslesens zu regeln,
9.
die Einzelheiten
a)
der Geheimnummer,
b)
der Sperrung und Entsperrung des elektronischen Identitätsnachweises durch den Ausweisinhaber sowie
c)
der Speicherung und Löschung der Sperrmerkmale und des Sperrkennworts
festzulegen,
10.
die sicherheitstechnischen Rahmenbedingungen festzulegen, die vorliegen müssen, damit öffentliche und private Stellen ein Benutzerkonto nach § 19 Absatz 5 anlegen und betreiben dürfen, und
11.
die Einzelheiten der Vergabe der Berechtigungen und Berechtigungszertifikate festzulegen.

(1) Um Daten im Wege des elektronischen Identitätsnachweises anzufragen, benötigen Diensteanbieter eine Berechtigung. Die Berechtigung lässt datenschutzrechtliche Vorschriften unberührt. Das Vorliegen einer Berechtigung ist durch die Vergabe von Berechtigungszertifikaten technisch abzusichern.

(2) Die Berechtigung wird auf Antrag erteilt. Die antragstellende Person muss die Daten nach § 18 Absatz 4 Satz 2 Nummer 1, 2 und 4 angeben. Die Berechtigung ist zu erteilen, wenn

1.
der Diensteanbieter seine Identität gegenüber der Vergabestelle für Berechtigungszertifikate nachweist,
2.
der Diensteanbieter das dem Antrag zu Grunde liegende Interesse an einer Berechtigung, insbesondere zur geplanten organisationsbezogenen Nutzung, darlegt,
3.
der Diensteanbieter die Einhaltung des betrieblichen Datenschutzes versichert und
4.
der Vergabestelle für Berechtigungszertifikate keine Anhaltspunkte für eine missbräuchliche Verwendung der Daten vorliegen.

(3) Die Berechtigung ist zu befristen. Die Gültigkeitsdauer darf einen Zeitraum von drei Jahren nicht überschreiten. Die Berechtigung darf nur von dem im Berechtigungszertifikat angegebenen Diensteanbieter verwendet werden. Sie wird auf Antrag wiederholt erteilt.

(4) Die Berechtigung ist zurückzunehmen, wenn der Diensteanbieter diese durch Angaben erwirkt hat, die in wesentlicher Beziehung unrichtig oder unvollständig waren. Sie ist zu widerrufen, wenn sie nicht oder nicht im gleichen Umfang hätte erteilt werden dürfen. Die Berechtigung soll zurückgenommen oder widerrufen werden, wenn die für den Diensteanbieter zuständige Datenschutzaufsichtsbehörde die Rücknahme oder den Widerruf verlangt, weil Tatsachen die Annahme rechtfertigen, dass der Diensteanbieter die auf Grund der Nutzung des Berechtigungszertifikates erhaltenen personenbezogenen Daten in unzulässiger Weise verarbeitet oder nutzt.

(5) Mit Bekanntgabe der Rücknahme oder des Widerrufs der Berechtigung darf der Diensteanbieter vorhandene Berechtigungszertifikate nicht mehr verwenden. Dies gilt nicht, solange und soweit die sofortige Vollziehung (§ 30) ausgesetzt worden ist.

(6) Der Diensteanbieter hat Änderungen der Angaben nach § 18 Absatz 4 Satz 2 Nummer 1 und 4 der Vergabestelle für Berechtigungszertifikate unverzüglich mitzuteilen.

(7) Öffentliche Stellen anderer Mitgliedstaaten der Europäischen Union sind berechtigt, Daten im Wege des elektronischen Identitätsnachweises anzufragen.

(8) Die Vergabestelle für Berechtigungszertifikate führt ein Register über die erteilten Berechtigungen.