Logo jurisLogo Bundesministerium der Justiz und für Verbraucherschutz
Nichtamtliches Inhaltsverzeichnis

Gesetz über Personalausweise und den elektronischen Identitätsnachweis (Personalausweisgesetz - PAuswG)
§ 21 Erteilung und Aufhebung von Berechtigungen für Diensteanbieter

(1) Diensteanbieter erhalten unter den Voraussetzungen des Absatzes 2 auf schriftlichen Antrag die Berechtigung, die für die Wahrnehmung ihrer Aufgaben oder Geschäftszwecke erforderlichen Daten im Wege des elektronischen Identitätsnachweises beim Inhaber des Personalausweises mittels eines Berechtigungszertifikats anzufragen. Die zuständige Stelle nach § 7 Abs. 4 Satz 1 stellt hierzu den Diensteanbietern Berechtigungen nach den nachstehenden Bestimmungen aus und stellt den Diensteanbietern entsprechende Berechtigungszertifikate über jederzeit öffentlich erreichbare Kommunikationsverbindungen zur Verfügung. In dem Antrag sind die Daten nach § 18 Abs. 4 Satz 2 Nr. 1 bis 4 anzugeben.
(2) Die Berechtigung nach Absatz 1 ist zu erteilen, wenn
1.
der angegebene Zweck nicht rechtswidrig ist,
2.
der Zweck nicht in der geschäftsmäßigen Übermittlung der Daten besteht und keine Anhaltspunkte für die geschäftsmäßige oder unberechtigte Übermittlung der Daten vorliegen,
2a.
eine Übermittlung an bestimmte Dritte zur Erfüllung eines Geschäftszwecks erforderlich ist, der nicht in der geschäftsmäßigen Übermittlung der Daten besteht und keine Anhaltspunkte für eine geschäftsmäßige oder unberechtigte Übermittlung der Daten vorliegen,
3.
der antragstellende Diensteanbieter die Erforderlichkeit der zu übermittelnden Angaben für den beschriebenen Zweck nachgewiesen hat,
4.
die Anforderungen, insbesondere an Datenschutz und Datensicherheit, gemäß der Rechtsverordnung nach § 34 Nr. 7 erfüllt sind und
5.
keine Anhaltspunkte für eine missbräuchliche Verwendung der Berechtigung vorliegen.
Der Diensteanbieter hat durch Selbstverpflichtung die Anforderungen nach Nummer 4 schriftlich zu bestätigen und auf Anforderung nachzuweisen.
(3) Die Berechtigung ist zu befristen. Die Gültigkeitsdauer darf einen Zeitraum von drei Jahren nicht überschreiten. Die Berechtigung darf nur von dem im Berechtigungszertifikat angegebenen Diensteanbieter und nur zu dem darin vorgesehenen Zweck verwendet werden. Die Berechtigung kann mit Nebenbestimmungen versehen und auf entsprechenden Antrag wiederholt erteilt werden.
(4) Änderungen der Daten und Angaben nach Absatz 1 Satz 3 sind der zuständigen Stelle gemäß § 7 Abs. 4 Satz 1 unverzüglich mitzuteilen.
(5) Die Berechtigung ist zurückzunehmen, wenn der Diensteanbieter diese durch Angaben erwirkt hat, die in wesentlicher Beziehung unrichtig oder unvollständig waren. Sie ist zu widerrufen, wenn sie nicht oder nicht im gleichen Umfang hätte erteilt werden dürfen. Die Berechtigung soll zurückgenommen oder widerrufen werden, wenn die für den Diensteanbieter zuständige Datenschutzaufsichtsbehörde die Rücknahme oder den Widerruf verlangt, weil Tatsachen die Annahme rechtfertigen, dass der Diensteanbieter die auf Grund der Nutzung des Berechtigungszertifikates erhaltenen personenbezogenen Daten in unzulässiger Weise verarbeitet oder nutzt.
(6) Mit Bekanntgabe der Rücknahme oder des Widerrufs der Berechtigung darf der Diensteanbieter vorhandene Berechtigungszertifikate nicht mehr verwenden. Dies gilt nicht, solange und soweit die sofortige Vollziehung (§ 30) ausgesetzt worden ist.