Bundesrecht - tagaktuell konsolidiert - alle Fassungen seit 2006
Vorschriftensuche
 

De-Mail-Gesetz (DMailG k.a.Abk.)

Artikel 1 G. v. 28.04.2011 BGBl. I S. 666 (Nr. 19); zuletzt geändert durch Artikel 3 G. v. 18.07.2017 BGBl. I S. 2745
Geltung ab 03.05.2011; FNA: 206-4 Öffentliche Informationstechnik
7 frühere Fassungen | Drucksachen / Entwurf / Begründung | wird in 56 Vorschriften zitiert

Abschnitt 4 Akkreditierung

§ 17 Akkreditierung von Diensteanbietern



(1) 1Diensteanbieter, die De-Mail-Dienste anbieten wollen, müssen sich auf schriftlichen Antrag von der zuständigen Behörde akkreditieren lassen. 2Die Akkreditierung ist zu erteilen, wenn der Diensteanbieter nachweist, dass er die Voraussetzungen nach § 18 erfüllt und wenn die Ausübung der Aufsicht über den Diensteanbieter durch die zuständige Behörde gewährleistet ist. 3Akkreditierte Diensteanbieter erhalten ein Gütezeichen der zuständigen Behörde. 4Das Gütezeichen dient als Nachweis für die umfassend geprüfte technische und administrative Sicherheit der De-Mail-Dienste. 5Sie dürfen sich als akkreditierte Diensteanbieter bezeichnen. 6Nur akkreditierte Diensteanbieter dürfen sich im Geschäftsverkehr auf die nachgewiesene Sicherheit berufen und das Gütezeichen führen. 7Weitere Kennzeichnungen können akkreditierten Diensteanbietern vorbehalten sein.

(2) Über den Antrag nach § 17 Absatz 1 Satz 1 ist innerhalb einer Frist von drei Monaten zu entscheiden; § 42a Absatz 2 Satz 2 bis 4 des Verwaltungsverfahrensgesetzes findet Anwendung.

(3) Die Akkreditierung ist nach wesentlichen Veränderungen, spätestens jedoch nach drei Jahren zu erneuern.


§ 18 Voraussetzungen der Akkreditierung; Nachweis



(1) Als Diensteanbieter kann nur akkreditiert werden, wer

1.
die für den Betrieb von De-Mail-Diensten erforderliche Zuverlässigkeit und Fachkunde besitzt,

2.
eine geeignete Deckungsvorsorge trifft, um seinen gesetzlichen Verpflichtungen zum Ersatz von Schäden nachzukommen,

3.
die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 sowie nach § 16 in der Weise erfüllt, dass er die Dienste zuverlässig und sicher erbringt, er mit den anderen akkreditierten Diensteanbietern zusammenwirkt und für die Erbringung der Dienste ausschließlich technische Geräte verwendet, die sich im Gebiet der Mitgliedstaaten der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum befinden,

4.
bei der Gestaltung und dem Betrieb der De-Mail-Dienste die datenschutzrechtlichen Anforderungen erfüllt.

(2) 1Die Diensteanbieter haben die technischen und organisatorischen Anforderungen nach den §§ 3 bis 13 sowie nach § 16 nach dem Stand der Technik zu erfüllen. 2Die Einhaltung des Standes der Technik wird vermutet, wenn die Technische Richtlinie 01201 De-Mail des Bundesamtes für Sicherheit in der Informationstechnik vom 23. März 2011 (eBAnz AT40 2011 B1) in der jeweils im Bundesanzeiger veröffentlichten Fassung eingehalten wird. 3Bevor das Bundesamt für Sicherheit in der Informationstechnik wesentliche Änderungen an der Technischen Richtlinie vornimmt, hört es den Ausschuss De-Mail-Standardisierung im Sinne des § 22 an, und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wird hierbei Gelegenheit zur Stellungnahme gegeben, sofern Fragen des Datenschutzes berührt sind.

(3) Die Voraussetzungen nach Absatz 1 werden wie folgt nachgewiesen:

1.
die erforderliche Zuverlässigkeit und Fachkunde durch Nachweise über die persönlichen Eigenschaften, das Verhalten und die entsprechenden Fähigkeiten seiner oder der in seinem Betrieb tätigen Personen; als Nachweis der erforderlichen Fachkunde ist es in der Regel ausreichend, wenn für die jeweilige Aufgabe im Betrieb entsprechende Zeugnisse oder Nachweise über die dafür notwendigen Kenntnisse, Erfahrungen und Fertigkeiten vorgelegt werden;

2.
1eine ausreichende Deckungsvorsorge durch den Abschluss einer Versicherung oder die Freistellungs- oder Gewährleistungsverpflichtung eines Kreditunternehmens mit einer Mindestdeckungssumme von jeweils 250.000 Euro für einen verursachten Schaden. 2Die Deckungsvorsorge kann erbracht werden durch

a)
eine Haftpflichtversicherung bei einem innerhalb der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Versicherungsunternehmen oder

b)
eine Freistellungs- oder Gewährleistungsverpflichtung eines in einem der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Kreditinstituts, wenn gewährleistet ist, dass sie einer Haftpflichtversicherung vergleichbare Sicherheit bietet.

3Soweit die Deckungsvorsorge durch eine Versicherung erbracht wird, gilt Folgendes:

a)
Auf diese Versicherung finden § 113 Absatz 2 und 3 und die §§ 114 bis 124 des Versicherungsvertragsgesetzes Anwendung.

b)
1Die Mindestversicherungssumme muss 2,5 Millionen Euro für den einzelnen Versicherungsfall betragen. 2Versicherungsfall ist jede Pflichtverletzung des Diensteanbieters, unabhängig von der Anzahl der dadurch ausgelösten Schadensfälle. 3Wird eine Jahreshöchstleistung für alle in einem Versicherungsjahr verursachten Schäden vereinbart, muss sie mindestens das Vierfache der Mindestversicherungssumme betragen.

c)
Von der Versicherung kann die Leistung nur ausgeschlossen werden für Ersatzansprüche aus vorsätzlich begangener Pflichtverletzung des akkreditierten Diensteanbieters oder der Personen, für die er einzustehen hat.

d)
Die Vereinbarung eines Selbstbehaltes bis zu 1 Prozent der Mindestversicherungssumme ist zulässig;

3.
die Erfüllung der technischen und organisatorischen Anforderungen an die Pflichten im Sinne des Absatzes 1 Nummer 3 durch vom Bundesamt für Sicherheit in der Informationstechnik nach § 9 Absatz 2 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik zertifizierten IT-Sicherheitsdienstleistern erteilte Testate; das Zusammenwirken mit den anderen akkreditierten Diensteanbietern kann nur nach ausreichenden Prüfungen bestätigt werden; die Sicherheit der Dienste kann nur nach einer umfassenden im Rahmen der Vergabe der Testate stattfindenden Prüfung des Sicherheitskonzepts und der eingesetzten IT-Infrastrukturen bestätigt werden; zum Zeitpunkt des Inkrafttretens des Gesetzes erteilte Zertifikate können berücksichtigt werden;

4.
die Erfüllung der datenschutzrechtlichen Anforderungen an das Datenschutzkonzept für die eingesetzten Verfahren und die eingesetzten informationstechnischen Einrichtungen durch Vorlage geeigneter Nachweise; der Nachweis wird dadurch geführt, dass der antragstellende Diensteanbieter ein Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorlegt; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erteilt auf schriftlichen Antrag des Diensteanbieters ein Zertifikat, wenn die datenschutzrechtlichen Kriterien erfüllt sind; die Erfüllung der datenschutzrechtlichen Kriterien wird nachgewiesen durch ein Gutachten, welches von einer vom Bund oder einem Land anerkannten oder öffentlich bestellten oder beliehenen sachverständigen Stelle für Datenschutz erstellt wurde; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kann ergänzende Angaben anfordern; die datenschutzrechtlichen Kriterien sind in einem Kriterienkatalog definiert, der in der Verantwortung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit liegt und durch ihn im Bundesanzeiger und zusätzlich im Internet oder in sonstiger geeigneter Weise veröffentlicht wird; dem Bundesamt für Sicherheit in der Informationstechnik wird Gelegenheit zur Stellungnahme gegeben, sofern Fragen der IT-Sicherheit berührt sind.

(4) Der Diensteanbieter kann, unter Einbeziehung in seine Konzepte zur Umsetzung der Anforderungen des Absatzes 1, zur Erfüllung von Pflichten nach diesem Gesetz Dritte beauftragen.




§ 19 Gleichstellung ausländischer Dienste



(1) Vergleichbare Dienste aus einem anderen Mitgliedstaat der Europäischen Union oder aus einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum sind den Diensten eines akkreditierten Diensteanbieters, mit Ausnahme solcher Dienste, die mit der Ausübung hoheitlicher Tätigkeit verbunden sind, gleichgestellt, wenn ihre Anbieter dem § 18 gleichwertige Voraussetzungen erfüllen, diese gegenüber einer zuständige Stelle nachgewiesen sind und das Fortbestehen der Erfüllung dieser Voraussetzungen durch eine in diesem Mitglied- oder Vertragsstaat bestehende Kontrolle gewährleistet wird.

(2) 1Die Prüfung der Gleichwertigkeit des ausländischen Diensteanbieters nach Absatz 1 obliegt der zuständigen Behörde. 2Die Gleichwertigkeit ausländischer Diensteanbieter ist gegeben, wenn die zuständige Behörde festgestellt hat, dass im Herkunftsland des jeweiligen Diensteanbieters

1.
die Sicherheitsanforderungen an Diensteanbieter,

2.
die Prüfungsmodalitäten für Diensteanbieter sowie die Anforderungen an die für die Prüfung der Dienste zuständigen Stellen und

3.
das Kontrollsystem

eine gleichwertige Sicherheit bieten.