(1) Für den Antrag auf Erteilung einer Berechtigung für Identifizierungsdiensteanbieter nach § 21b des Personalausweisgesetzes gilt § 28 entsprechend.
(2) Die nach § 21b Absatz 2 Satz 1 Nummer 1 des Personalausweisgesetzes einzuhaltenden technisch-organisatorischen Maßnahmen und die weiteren Anforderungen an die Datensicherheit nach § 21 Absatz 2 Satz 1 Nummer 2 des Personalausweisgesetzes legt das Bundesamt für Sicherheit in der Informationstechnik im Benehmen mit der oder dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in einer Technischen Richtlinie fest. Dies umfasst insbesondere Anforderungen an die Datenspeicherung und -löschung, das einzusetzende Verschlüsselungsverfahren sowie an das Informationssicherheitsmanagement.
(3) Die Einhaltung der in Absatz 2 genannten Voraussetzungen hat der Antragsteller durch Vorlage eines Zertifikats des Bundesamtes für Sicherheit in der Informationstechnik nachzuweisen. Das Bundesamt für Sicherheit in der Informationstechnik darf sich bei seiner Überprüfung externer Dienstleister bedienen. Die hierbei anfallenden Kosten trägt der Antragsteller.
(4) Die weiteren Anforderungen an den Datenschutz nach § 21b Absatz 2 Satz 1 Nummer 2 des Personalausweisgesetzes liegen nicht vor, wenn 1. der Staat des Wohnsitzes oder des Sitzes der antragstellenden Person kein angemessenes Datenschutzniveau gewährleistet entsprechend der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. L 281 vom 23.11.1995, S. 31), 2. der elektronische Identitätsnachweis für den Identifizierungsdiensteanbieter durch einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes durchgeführt wird und hierbei kein wirksames Auftragsverhältnis nach § 11 des Bundesdatenschutzgesetzes zwischen dem Diensteanbieter und dem Auftragnehmer besteht, 3. der Identifizierungsdiensteanbieter einen Auftragnehmer nach § 11 des Bundesdatenschutzgesetzes gewählt hat, der die technischen und organisatorischen Anforderungen des Bundesamtes für Sicherheit in der Informationstechnik für die sichere Bereitstellung des elektronischen Identitätsnachweises nicht erfüllt oder 4. der Identifizierungsdiensteanbieter nicht die Voraussetzungen des § 21 Absatz 2 des Personalausweisgesetzes erfüllt.