freiRecht

De-Mail-Gesetz

De-Mail-Gesetz

Abschnitt 1: Allgemeine Vorschriften

§ 1 De-Mail-Dienste

(1) De-Mail-Dienste sind Dienste auf einer elektronischen Kommunikationsplattform, die einen sicheren, vertraulichen und nachweisbaren GeschĂ€ftsverkehr fĂŒr jedermann im Internet sicherstellen sollen.

(2) Ein De-Mail-Dienst muss eine sichere Anmeldung, die Nutzung eines Postfach- und Versanddienstes fĂŒr sichere elektronische Post sowie die Nutzung eines Verzeichnisdienstes und kann zusĂ€tzlich auch IdentitĂ€tsbestĂ€tigungs- und Dokumentenablagedienste ermöglichen. ²Ein De-Mail-Dienst wird von einem nach diesem Gesetz akkreditierten Diensteanbieter betrieben.

(3) Elektronische Kommunikationsinfrastrukturen und sonstige Anwendungen, die der sicheren Übermittlung von Nachrichten und Daten dienen, bleiben unberĂŒhrt.

§ 2 ZustÀndige Behörde

ZustĂ€ndige Behörde nach diesem Gesetz ist das Bundesamt fĂŒr Sicherheit in der Informationstechnik.

Abschnitt 2: Pflichtangebote und optionale Angebote des Diensteanbieters

§ 3 Eröffnung eines De-Mail-Kontos

(1) Durch einen De-Mail-Konto-Vertrag verpflichtet sich ein akkreditierter Diensteanbieter, einem Nutzer ein De-Mail-Konto zur VerfĂŒgung zu stellen. ²Ein De-Mail-Konto ist ein Bereich in einem De-Mail-Dienst, der einem Nutzer so zugeordnet ist, dass er nur von ihm genutzt werden kann. ³Der akkreditierte Diensteanbieter hat durch technische Mittel sicherzustellen, dass nur der diesem De-Mail-Konto zugeordnete Nutzer Zugang zu dem ihm zugeordneten De-Mail-Konto erlangen kann.

(2) Der akkreditierte Diensteanbieter hat die IdentitĂ€t des Nutzers und bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen zusĂ€tzlich die IdentitĂ€t ihrer gesetzlichen Vertreter oder Organmitglieder zuverlĂ€ssig festzustellen. ²Dazu erhebt und speichert er folgende Angaben:

1.
bei einer natĂŒrlichen Person Name, Geburtsort, Geburtsdatum und Anschrift;
2.
bei einer juristischen Person oder Personengesellschaft oder öffentlichen Stelle Firma, Name oder Bezeichnung, Rechtsform, Registernummer, soweit vorhanden, Anschrift des Sitzes oder der Hauptniederlassung und Namen der Mitglieder des Vertretungsorgans oder der gesetzlichen Vertreter; ist ein Mitglied des Vertretungsorgans oder der gesetzliche Vertreter eine juristische Person, so wird deren Firma, Name oder Bezeichnung, Rechtsform, Registernummer, soweit vorhanden, und Anschrift des Sitzes oder der Hauptniederlassung erhoben.

(3) Der akkreditierte Diensteanbieter hat die Angaben nach Absatz 2 vor Freischaltung des De-Mail-Kontos des Nutzers zu ĂŒberprĂŒfen:

1.
bei natĂŒrlichen Personen
a)
anhand eines gĂŒltigen amtlichen Ausweises, der ein Lichtbild des Inhabers enthĂ€lt und mit dem die Pass- und Ausweispflicht im Inland erfĂŒllt wird, insbesondere anhand eines inlĂ€ndischen oder nach auslĂ€nderrechtlichen Bestimmungen anerkannten oder zugelassenen Passes, Personalausweises oder Pass- oder Ausweisersatzes,
b)
anhand von Dokumenten, die bezĂŒglich ihrer Sicherheit einem Dokument nach Buchstabe a gleichwertig sind,
c)
anhand eines elektronischen IdentitĂ€tsnachweises nach § 18 des Personalausweisgesetzes, nach § 12 des eID-Karte-Gesetzes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes,
d)
anhand einer qualifizierten elektronischen Signatur oder
e)
anhand sonstiger geeigneter technischer Verfahren mit gleichwertiger Sicherheit zu einer Identifizierung anhand der Dokumente nach Buchstabe a;

2.
bei juristischen Personen oder Personengesellschaften oder bei öffentlichen Stellen
a)
anhand eines Auszugs aus dem Handels- oder Genossenschaftsregister oder aus einem vergleichbaren amtlichen Register oder Verzeichnis,
b)
anhand der GrĂŒndungsdokumente,
c)
anhand von Dokumenten, die bezĂŒglich ihrer Beweiskraft den Dokumenten nach den Buchstaben a oder b gleichwertig sind, oder
d)
durch Einsichtnahme in die Register- oder Verzeichnisdaten.

²Soweit die Anschrift von natĂŒrlichen Personen nicht durch Verfahren nach Satz 1 Nummer 1 Buchstabe a bis e ĂŒberprĂŒft werden kann, ist sie anhand behördlicher Dokumente zu ĂŒberprĂŒfen, die zum Zweck der Anschriftsbescheinigung ausgestellt worden sind; sofern keine behördlichen Dokumente beigebracht werden können, ist die Anschrift anhand sonstiger geeigneter Verfahren zur ÜberprĂŒfung der postalischen Erreichbarkeit zu ĂŒberprĂŒfen. ³Der akkreditierte Diensteanbieter kann von dem amtlichen Ausweis eine Kopie erstellen. ⁎Er hat die Kopie unverzĂŒglich nach Feststellung der fĂŒr die IdentitĂ€t erforderlichen Angaben des Teilnehmers zu vernichten. ⁔Der akkreditierte Diensteanbieter darf zur IdentitĂ€tsfeststellung und -ĂŒberprĂŒfung mit Einwilligung des Nutzers auch personenbezogene Daten verarbeiten, die er zu einem frĂŒheren Zeitpunkt erhoben hat, sofern diese Daten die zuverlĂ€ssige IdentitĂ€tsfeststellung des Nutzers gewĂ€hrleisten.

(4) Eine Nutzung der De-Mail-Dienste ist erst möglich, nachdem der akkreditierte Diensteanbieter das De-Mail-Konto des Nutzers freigeschaltet hat. Die Freischaltung erfolgt, sobald

1.
der akkreditierte Diensteanbieter den Nutzer eindeutig identifiziert hat und die IdentitĂ€tsdaten des Nutzers und bei Absatz 2 Nummer 2 auch dessen gesetzlichen Vertreters oder der Organmitglieder erhoben und erfolgreich ĂŒberprĂŒft worden sind,
2.
der akkreditierte Diensteanbieter dem Nutzer dessen fĂŒr die Erstanmeldung notwendigen Anmeldedaten auf geeignetem Wege ĂŒbermittelt hat,
3.
der Nutzer die BestĂ€tigung nach § 9 Absatz 2 vorgenommen hat,
4.
der Nutzer in die PrĂŒfung seiner Nachrichten auf Schadsoftware durch den akkreditierten Diensteanbieter eingewilligt hat und
5.
der Nutzer im Rahmen einer Erstanmeldung nachgewiesen hat, dass er die Anmeldedaten erfolgreich nutzen konnte.

(5) Der akkreditierte Diensteanbieter hat nach der Freischaltung des De-Mail-Kontos eines Nutzers die Richtigkeit der zu dem Nutzer gespeicherten IdentitĂ€tsdaten sicherzustellen. ²Er hat die gespeicherten IdentitĂ€tsdaten in angemessenen zeitlichen AbstĂ€nden auf ihre Richtigkeit zu prĂŒfen und soweit erforderlich zu berichtigen.

§ 4 Anmeldung zu einem De-Mail-Konto

(1) Der akkreditierte Diensteanbieter muss dem Nutzer den Zugang zu seinem De-Mail-Konto und den einzelnen Diensten mit einer sicheren Anmeldung oder auf Verlangen des Nutzers auch ohne eine solche sichere Anmeldung ermöglichen. ²FĂŒr die sichere Anmeldung hat der akkreditierte Diensteanbieter sicherzustellen, dass zum Schutz gegen eine unberechtigte Nutzung der Zugang zum De-Mail-Konto nur möglich ist, wenn zwei geeignete und voneinander unabhĂ€ngige Sicherungsmittel eingesetzt werden; soweit bei den Sicherungsmitteln Geheimnisse verwendet werden, ist deren Einmaligkeit und Geheimhaltung sicherzustellen. ³Der Zugang zum De-Mail-Konto erfolgt ohne eine sichere Anmeldung, wenn nur ein Sicherungsmittel, in der Regel Benutzername und Passwort, verwendet wird. ⁎Der Nutzer kann verlangen, dass der Zugang zu seinem De-Mail-Konto ausschließlich mit einer sicheren Anmeldung möglich sein soll.

(2) Der akkreditierte Diensteanbieter hat zu gewĂ€hrleisten, dass der Nutzer zwischen mindestens zwei Verfahren zur sicheren Anmeldung nach Absatz 1 Satz 2 wĂ€hlen kann. ²Als ein Verfahren zur sicheren Anmeldung muss durch den Nutzer, soweit er eine natĂŒrliche Person ist, der elektronische IdentitĂ€tsnachweis nach § 18 des Personalausweisgesetzes, nach § 12 des eID-Karte-Gesetzes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes genutzt werden können.

(3) Der akkreditierte Diensteanbieter hat sicherzustellen, dass die Kommunikationsverbindung zwischen dem Nutzer und seinem De-Mail-Konto verschlĂŒsselt erfolgt.

§ 5 Postfach- und Versanddienst

(1) Die Bereitstellung eines De-Mail-Kontos umfasst die Nutzung eines sicheren elektronischen Postfach- und Versanddienstes fĂŒr elektronische Nachrichten. ²Hierzu wird dem Nutzer eine De-Mail-Adresse fĂŒr elektronische Post zugewiesen, welche folgende Angaben enthalten muss:

1.
im DomĂ€nenteil der De-Mail-Adresse eine Kennzeichnung, die ausschließlich fĂŒr De-Mail-Dienste genutzt werden darf;
2.
bei natĂŒrlichen Personen im lokalen Teil deren Nachnamen und einen oder mehrere Vornamen oder einen Teil des oder der Vornamen (Hauptadresse);
3.
bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen im DomÀnenteil eine Bezeichnung, welche in direktem Bezug zu ihrer Firma, Namen oder sonstiger Bezeichnung steht.

(2) Der akkreditierte Diensteanbieter kann Nutzern auf Verlangen auch pseudonyme De-Mail-Adressen zur VerfĂŒgung stellen, soweit es sich bei dem Nutzer um eine natĂŒrliche Person handelt. ²Die Inanspruchnahme eines Dienstes durch den Nutzer unter Pseudonym ist fĂŒr Dritte erkennbar zu kennzeichnen.

(3) Der Postfach- und Versanddienst hat die Vertraulichkeit, die IntegritĂ€t und die AuthentizitĂ€t der Nachrichten zu gewĂ€hrleisten. ²Hierzu gewĂ€hrleistet der akkreditierte Diensteanbieter, dass

1.
die Kommunikation von einem akkreditierten Diensteanbieter zu jedem anderen akkreditierten Diensteanbieter ĂŒber einen verschlĂŒsselten gegenseitig authentisierten Kanal erfolgt (TransportverschlĂŒsselung) und
2.
der Inhalt einer De-Mail-Nachricht vom akkreditierten Diensteanbieter des Senders zum akkreditierten Diensteanbieter des EmpfĂ€ngers verschlĂŒsselt ĂŒbertragen wird.
³Der Einsatz einer durchgĂ€ngigen VerschlĂŒsselung zwischen Sender und EmpfĂ€nger (Ende-zu-Ende-VerschlĂŒsselung) bleibt hiervon unberĂŒhrt.

(4) Der Sender kann eine sichere Anmeldung nach § 4 fĂŒr den Abruf der Nachricht durch den EmpfĂ€nger bestimmen.

(5) Der akkreditierte Diensteanbieter muss dem Nutzer ermöglichen, seine sichere Anmeldung im Sinne von § 4 in der Nachricht so bestĂ€tigen zu lassen, dass die UnverfĂ€lschtheit der BestĂ€tigung jederzeit nachprĂŒfbar ist. ²Um dieses dem EmpfĂ€nger der Nachricht kenntlich zu machen, bestĂ€tigt der akkreditierte Diensteanbieter des Senders die Verwendung der sicheren Anmeldung nach § 4. Hierzu versieht er im Auftrag des Senders die Nachricht mit einer dauerhaft ĂŒberprĂŒfbaren qualifizierten elektronischen Signatur; sind der Nachricht eine oder mehrere Dateien beigefĂŒgt, bezieht sich die qualifizierte elektronische Signatur auch auf diese. ³Die BestĂ€tigung enthĂ€lt bei natĂŒrlichen Personen den Namen und die Vornamen, bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen die Firma, den Namen oder die Bezeichnung des Senders in der Form, in der diese nach § 3 Absatz 2 hinterlegt sind. ⁎Die Tatsache, dass der Absender diese Versandart genutzt hat, muss sich aus der Nachricht in der Form, wie sie beim EmpfĂ€nger ankommt, ergeben. Die BestĂ€tigung nach Satz 1 ist nicht zulĂ€ssig bei Verwendung einer pseudonymen De-Mail-Adresse nach Absatz 2.

(6) Der akkreditierte Diensteanbieter mit Ausnahme der Diensteanbieter nach § 19 ist verpflichtet, elektronische Nachrichten nach den Vorschriften der Prozessordnungen und der Gesetze, die die Verwaltungszustellung regeln, förmlich zuzustellen. ²Im Umfang dieser Verpflichtung ist der akkreditierte Diensteanbieter mit Hoheitsbefugnissen ausgestattet (beliehener Unternehmer).

(7) Der akkreditierte Diensteanbieter bestĂ€tigt auf Antrag des Senders den Versand einer Nachricht. Die VersandbestĂ€tigung muss folgende Angaben enthalten:

1.
die De-Mail-Adresse des Absenders und des EmpfÀngers;
2.
das Datum und die Uhrzeit des Versands der Nachricht vom De-Mail-Postfach des Senders;
3.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die VersandbestÀtigung erzeugt und
4.
die PrĂŒfsumme der zu bestĂ€tigenden Nachricht.
²Der akkreditierte Diensteanbieter des Senders hat die VersandbestĂ€tigung mit einer qualifizierten elektronischen Signatur zu versehen.

(8) Auf Antrag des Senders wird der Eingang einer Nachricht im De-Mail-Postfach des EmpfĂ€ngers bestĂ€tigt. ²Hierbei wirken der akkreditierte Diensteanbieter des Senders und der akkreditierte Diensteanbieter des EmpfĂ€ngers zusammen. ³Der akkreditierte Diensteanbieter des EmpfĂ€ngers erstellt eine EingangsbestĂ€tigung. Die EingangsbestĂ€tigung enthĂ€lt folgende Angaben:

1.
die De-Mail-Adresse des Absenders und des EmpfÀngers;
2.
das Datum und die Uhrzeit des Eingangs der Nachricht im De-Mail-Postfach des EmpfÀngers;
3.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die EingangsbestÀtigung erzeugt und
4.
die PrĂŒfsumme der zu bestĂ€tigenden Nachricht.
⁎Der akkreditierte Diensteanbieter des EmpfÀngers hat die EingangsbestÀtigung mit einer qualifizierten elektronischen Signatur zu versehen. ⁔Der akkreditierte Diensteanbieter des EmpfÀngers sendet diesem ebenfalls die EingangsbestÀtigung zu.

(9) Eine öffentliche Stelle, welche zur förmlichen Zustellung nach den Vorschriften der Prozessordnungen und der Gesetze, die die Verwaltungszustellung regeln, berechtigt ist, kann eine AbholbestĂ€tigung verlangen. ²Aus der AbholbestĂ€tigung ergibt sich, dass sich der EmpfĂ€nger nach dem Eingang der Nachricht im Postfach an seinem De-Mail-Konto sicher im Sinne des § 4 angemeldet hat. ³Hierbei wirken der akkreditierte Diensteanbieter der öffentlichen Stelle als Senderin und der akkreditierte Diensteanbieter des EmpfĂ€ngers zusammen. ⁎Der akkreditierte Diensteanbieter des EmpfĂ€ngers erzeugt die AbholbestĂ€tigung. Die AbholbestĂ€tigung muss folgende Angaben enthalten:

1.
die De-Mail-Adresse des Absenders und des EmpfÀngers;
2.
das Datum und die Uhrzeit des Eingangs der Nachricht im De-Mail-Postfach des EmpfÀngers;
3.
das Datum und die Uhrzeit der sicheren Anmeldung des EmpfĂ€ngers an seinem De-Mail-Konto im Sinne des § 4;
4.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die AbholbestÀtigung erzeugt und
5.
die PrĂŒfsumme der zu bestĂ€tigenden Nachricht.
⁔Der akkreditierte Diensteanbieter des EmpfĂ€ngers hat die AbholbestĂ€tigung mit einer qualifizierten elektronischen Signatur zu versehen. ⁶Der akkreditierte Diensteanbieter des EmpfĂ€ngers sendet diesem ebenfalls die AbholbestĂ€tigung zu. ⁷Die in Satz 5 genannten Daten dĂŒrfen ausschließlich zum Nachweis der förmlichen Zustellung im Sinne von § 5 Absatz 6 verarbeitet und genutzt werden.

(10) Der akkreditierte Diensteanbieter stellt sicher, dass Nachrichten, fĂŒr die eine EingangsbestĂ€tigung nach Absatz 8 oder eine AbholbestĂ€tigung nach Absatz 9 erteilt worden ist, durch den EmpfĂ€nger ohne eine sichere Anmeldung an seinem De-Mail-Konto erst 90 Tage nach ihrem Eingang gelöscht werden können.

(11) Nutzern, die natĂŒrliche Personen sind, bietet der akkreditierte Diensteanbieter an, von allen an ihre De-Mail-Adresse adressierten Nachrichten eine Kopie an eine zuvor vom Nutzer angegebene De-Mail-Adresse (Weiterleitungsadresse) weiterzuleiten, ohne dass der Nutzer an seinem De-Mail-Konto angemeldet sein muss (automatische Weiterleitung). ²Der Nutzer kann ausschließen, dass im Sinne des Absatzes 4 an ihn gesendete Nachrichten weitergeleitet werden. ³Der Nutzer kann den Dienst der automatischen Weiterleitung jederzeit zurĂŒcknehmen. ⁎Um den Dienst der automatischen Weiterleitung nutzen zu können, muss der Nutzer sicher an seinem De-Mail-Konto angemeldet sein.

§ 6 IdentitÀtsbestÀtigungsdienst

(1) Der akkreditierte Diensteanbieter kann einen IdentitĂ€tsbestĂ€tigungsdienst anbieten. ²Ein solcher liegt vor, wenn sich der Nutzer der nach § 3 hinterlegten IdentitĂ€tsdaten bedienen kann, um seine IdentitĂ€t gegenĂŒber einem Dritten, der ebenfalls Nutzer eines De-Mail-Kontos ist, sicher elektronisch bestĂ€tigen zu lassen. ³Die Übermittlung der IdentitĂ€tsdaten erfolgt mittels einer De-Mail-Nachricht, die der akkreditierte Diensteanbieter im Auftrag des Nutzers an den Dritten, welchem gegenĂŒber er seine IdentitĂ€tsdaten mitteilen möchte, sendet. ⁎Die De-Mail-Nachricht wird durch den akkreditierten Diensteanbieter mit einer qualifizierten elektronischen Signatur versehen.

(2) Der akkreditierte Diensteanbieter hat Vorkehrungen dafĂŒr zu treffen, dass IdentitĂ€tsdaten nicht unbemerkt gefĂ€lscht oder verfĂ€lscht werden können.

(3) Die zustĂ€ndige Behörde kann die EinschrĂ€nkung der Verarbeitung eines IdentitĂ€tsdatums anordnen, wenn Tatsachen die Annahme rechtfertigen, dass das IdentitĂ€tsdatum auf Grund falscher Angaben ausgestellt wurde oder nicht ausreichend fĂ€lschungssicher ist.

§ 7 Verzeichnisdienst

(1) Der akkreditierte Diensteanbieter hat auf ausdrĂŒckliches Verlangen des Nutzers die De-Mail-Adressen, die nach § 3 hinterlegten IdentitĂ€tsdaten Name und Anschrift, die fĂŒr die VerschlĂŒsselung von Nachrichten an den Nutzer notwendigen Informationen und die Information ĂŒber die Möglichkeit der sicheren Anmeldung nach § 4 des Nutzers in einem Verzeichnisdienst zu veröffentlichen. ²Der akkreditierte Diensteanbieter darf die Eröffnung eines De-Mail-Kontos fĂŒr den Nutzer nicht von dem Verlangen des Nutzers nach Satz 1 abhĂ€ngig machen.

(2) Der akkreditierte Diensteanbieter hat eine De-Mail-Adresse, ein IdentitĂ€tsdatum oder die fĂŒr die VerschlĂŒsselung von Nachrichten an den Nutzer notwendigen Informationen unverzĂŒglich aus dem Verzeichnisdienst zu löschen, wenn

1.
der Nutzer dies verlangt,
2.
die Daten aufgrund falscher Angaben ausgestellt wurden,
3.
der Diensteanbieter seine TĂ€tigkeit beendet und diese nicht von einem anderen akkreditierten Diensteanbieter fortgefĂŒhrt wird oder
4.
die zustÀndige Behörde die Löschung aus dem Verzeichnisdienst anordnet.
²Weitere GrĂŒnde fĂŒr eine Löschung können vertraglich vereinbart werden.

(3) Die Veröffentlichung der De-Mail-Adresse im Verzeichnisdienst auf ein Verlangen des Nutzers als Verbraucher nach Absatz 1 allein gilt nicht als Eröffnung des Zugangs im Sinne von § 3a Absatz 1 des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch oder des § 87a Absatz 1 Satz 1 der Abgabenordnung. ²Auf Verlangen des Nutzers muss der akkreditierte Diensteanbieter durch einen geeigneten Zusatz die ErklĂ€rung des Nutzers im Verzeichnisdienst veröffentlichen, den Zugang im Sinne von § 3a des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch und des § 87a Absatz 1 Satz 1 der Abgabenordnung eröffnen zu wollen. ³Die Veröffentlichung der De-Mail-Adresse des Nutzers als Verbraucher mit diesem Zusatz im Verzeichnisdienst gilt als Zugangseröffnung. ⁎Satz 2 gilt entsprechend fĂŒr die Entscheidung des Nutzers, die Zugangseröffnung zurĂŒckzunehmen.

(4) Â§ 47 des Telekommunikationsgesetzes gilt entsprechend.

§ 8 Dokumentenablage

Der akkreditierte Diensteanbieter kann dem Nutzer eine Dokumentenablage zur sicheren Ablage von Dokumenten anbieten. ²Bietet er die Dokumentenablage an, so hat er dafĂŒr Sorge zu tragen, dass die Dokumente sicher abgelegt werden; Vertraulichkeit, IntegritĂ€t und stĂ€ndige VerfĂŒgbarkeit der abgelegten Dokumente sind zu gewĂ€hrleisten. ³Der akkreditierte Diensteanbieter ist verpflichtet, alle Dokumente verschlĂŒsselt abzulegen. ⁎Der Nutzer kann fĂŒr jede einzelne Datei eine fĂŒr den Zugriff erforderliche sichere Anmeldung nach § 4 festlegen. ⁔Auf Verlangen des Nutzers hat der akkreditierte Diensteanbieter ein Protokoll ĂŒber die Einstellung und Herausnahme von Dokumenten bereitzustellen, das mit einer qualifizierten elektronischen Signatur gesichert ist.

Abschnitt 3: De-Mail-Dienste-Nutzung

§ 9 AufklÀrungs- und Informationspflichten

(1) Der akkreditierte Diensteanbieter hat den Nutzer vor der erstmaligen Nutzung des De-Mail-Kontos ĂŒber die Rechtsfolgen und Kosten der Nutzung von De-Mail-Diensten, insbesondere der Nutzung des Postfach- und Versanddienstes nach § 5, des Verzeichnisdienstes nach § 7 und der Dokumentenablage nach § 8, ĂŒber die Rechtsfolgen und Kosten der Sperrung und Auflösung des De-Mail-Kontos nach § 10, der Einstellung der TĂ€tigkeit nach § 11 und der Vertragsbeendigung nach § 12 sowie ĂŒber die Maßnahmen zu informieren, die notwendig sind, um einen unbefugten Zugang zum De-Mail-Konto zu verhindern. Dies umfasst insbesondere auch Informationen

1.
ĂŒber die Möglichkeit und Bedeutung einer sicheren Anmeldung nach § 4 Absatz 1 Satz 2 sowie einen Hinweis dazu, dass ein Zugang zum De-Mail-Konto ohne sichere Anmeldung nicht den gleichen Schutz bietet wie mit einer sicheren Anmeldung und
2.
ĂŒber den Inhalt und die Bedeutung der TransportverschlĂŒsselung nach § 5 Absatz 3 Satz 2 sowie der VerschlĂŒsselung nach § 4 Absatz 3 sowie ĂŒber die Unterschiede dieser VerschlĂŒsselungen zu einer Ende-zu-Ende-VerschlĂŒsselung nach § 5 Absatz 3 Satz 3.
Der akkreditierte Diensteanbieter muss den Nutzer außerdem darĂŒber informieren, wie mit schadsoftwarebehafteten De-Mail-Nachrichten umgegangen wird.

(2) Der akkreditierte Diensteanbieter darf die erstmalige Nutzung des De-Mail-Kontos nur zulassen, wenn der Nutzer die erforderlichen Informationen in Textform erhalten und in Textform bestĂ€tigt hat, dass er die Informationen nach Absatz 1 erhalten und zur Kenntnis genommen hat.

(3) Informationspflichten nach anderen Gesetzen bleiben unberĂŒhrt.

§ 10 Sperrung und Auflösung des De-Mail-Kontos

(1) Der akkreditierte Diensteanbieter hat den Zugang zu einem De-Mail-Konto unverzĂŒglich zu sperren, wenn

1.
der Nutzer es verlangt,
2.
Tatsachen die Annahme rechtfertigen, dass die zur eindeutigen Identifizierung des Nutzers beim akkreditierten Diensteanbieter gespeicherten Daten nicht ausreichend fĂ€lschungssicher sind oder dass die sichere Anmeldung gemĂ€ĂŸ § 4 MĂ€ngel aufweist, die eine unbemerkte FĂ€lschung oder Kompromittierung des Anmeldevorgangs zulassen,
3.
die zustĂ€ndige Behörde die Sperrung gemĂ€ĂŸ Absatz 2 anordnet oder
4.
die Voraussetzungen eines vertraglich zwischen dem akkreditierten Diensteanbieter und dem Nutzer vereinbarten Sperrgrundes vorliegen.
²Im Fall des Satzes 1 Nummer 4 hat der akkreditierte Diensteanbieter die Sperrung so vorzunehmen, dass der Abruf von Nachrichten möglich bleibt; dies gilt nicht, soweit der vertraglich vereinbarte Sperrgrund den Abruf von Nachrichten ausschließt. ³Der akkreditierte Diensteanbieter hat den zur Sperrung berechtigten Nutzern eine Rufnummer bekannt zu geben, unter der diese unverzĂŒglich eine Sperrung des Zugangs veranlassen können.

(2) Die zustĂ€ndige Behörde kann die Sperrung eines De-Mail-Kontos anordnen, wenn Tatsachen die Annahme rechtfertigen, dass das De-Mail-Konto auf Grund falscher Angaben eröffnet wurde oder die zur eindeutigen Identifizierung des Nutzers beim akkreditierten Diensteanbieter vorgehaltenen Daten nicht ausreichend fĂ€lschungssicher sind oder die sichere Anmeldung gemĂ€ĂŸ § 4 Absatz 1 MĂ€ngel aufweist, die eine unbemerkte FĂ€lschung oder Kompromittierung des Anmeldevorgangs zulassen.

(3) Der akkreditierte Diensteanbieter hat dem Nutzer nach Wegfall des Sperrgrundes den Zugang zum De-Mail-Konto erneut zu gewĂ€hren.

(4) Der akkreditierte Diensteanbieter hat ein De-Mail-Konto unverzĂŒglich aufzulösen, wenn

1.
der Nutzer dies verlangt oder
2.
die zustÀndige Behörde die Auflösung anordnet.
²Die zustĂ€ndige Behörde kann die Auflösung anordnen, wenn die Voraussetzungen des Absatzes 2 vorliegen und eine Sperrung nicht ausreichend ist. ³Eine Vereinbarung ĂŒber weitere AuflösungsgrĂŒnde ist unwirksam.

(5) Der akkreditierte Diensteanbieter hat sich vor einer Sperrung nach Absatz 1 oder einer Auflösung nach Absatz 4 auf geeignete Weise von der IdentitĂ€t des zur Sperrung oder Auflösung berechtigten Nutzers zu ĂŒberzeugen.

(6) Im Fall einer Sperrung nach Absatz 1 Satz 1 Nummer 1 bis 3 oder Absatz 1 Satz 1 Nummer 4 in Verbindung mit Absatz 1 Satz 2 zweiter Halbsatz sowie einer Auflösung nach Absatz 4 hat der akkreditierte Diensteanbieter den Eingang von Nachrichten in das Postfach eines gesperrten oder aufgelösten De-Mail-Kontos zu unterbinden und den Absender unverzĂŒglich davon zu informieren.

(7) Sofern die Sperrung oder Auflösung des De-Mail-Kontos auf Veranlassung des akkreditierten Diensteanbieters oder der zustĂ€ndigen Behörde erfolgt, ist der Nutzer ĂŒber die Sperrung oder Auflösung zu informieren. ²In den FĂ€llen des Absatzes 1 Satz 2 erster Halbsatz ist der akkreditierte Diensteanbieter verpflichtet, den Nutzer darĂŒber zu informieren, dass er trotz Sperrung Nachrichten empfangen und abrufen kann.

§ 11 Einstellung der TÀtigkeit

(1) Der akkreditierte Diensteanbieter hat die Einstellung seiner TĂ€tigkeit unverzĂŒglich der zustĂ€ndigen Behörde anzuzeigen. ²Er hat dafĂŒr zu sorgen, dass das De-Mail-Konto von einem anderen akkreditierten Diensteanbieter ĂŒbernommen werden kann. ³Er hat die betroffenen Nutzer unverzĂŒglich ĂŒber die Einstellung seiner TĂ€tigkeit zu benachrichtigen und deren Zustimmung zur Übernahme des De-Mail-Kontos durch einen anderen akkreditierten Diensteanbieter einzuholen.

(2) Ăœbernimmt kein anderer akkreditierter Diensteanbieter das De-Mail-Konto, muss der akkreditierte Diensteanbieter sicherstellen, dass die im Postfach und in der Dokumentenablage gespeicherten Daten fĂŒr wenigstens drei Monate ab dem Zeitpunkt der Benachrichtigung des Nutzers abrufbar bleiben.

(3) Der akkreditierte Diensteanbieter hat die Dokumentation nach § 13 an den akkreditierten Diensteanbieter, der das De-Mail-Konto nach Absatz 1 ĂŒbernimmt, zu ĂŒbergeben. ²Ăœbernimmt kein anderer akkreditierter Diensteanbieter das De-Mail-Konto, ĂŒbernimmt die zustĂ€ndige Behörde die Dokumentation. ³In diesem Fall erteilt die zustĂ€ndige Behörde bei Vorliegen eines berechtigten Interesses Auskunft daraus, soweit dies ohne unverhĂ€ltnismĂ€ĂŸigen Aufwand möglich ist.

(4) Der akkreditierte Diensteanbieter hat einen Antrag auf Eröffnung eines Insolvenzverfahrens der zustĂ€ndigen Behörde unverzĂŒglich anzuzeigen.

§ 12 Vertragsbeendigung

Der akkreditierte Diensteanbieter ist verpflichtet, dem Nutzer fĂŒr einen Zeitraum von drei Monaten nach Vertragsende den Zugriff auf die im Postfach und in der Dokumentenablage abgelegten Daten zu ermöglichen und ihn auf ihre Löschung mindestens einen Monat vor dieser in Textform hinzuweisen.

§ 13 Dokumentation

(1) Der akkreditierte Diensteanbieter hat alle Maßnahmen zur Sicherstellung der Voraussetzungen der Akkreditierung und zur ErfĂŒllung der in §§ 3 bis 12 genannten Pflichten so zu dokumentieren, dass die Daten und ihre UnverfĂ€lschtheit jederzeit nachprĂŒfbar sind. ²Die Dokumentationspflicht umfasst den Vorgang der Eröffnung eines De-Mail-Kontos, jede Änderung von Daten, die hinsichtlich der FĂŒhrung eines De-Mail-Kontos relevant sind, sowie jede Änderung hinsichtlich des Status eines De-Mail-Kontos. FĂŒr angefertigte Kopien von amtlichen Ausweisen gilt § 3 Absatz 3 Satz 3.

(2) Der akkreditierte Diensteanbieter hat die Dokumentation nach Absatz 1 wĂ€hrend der Dauer des zwischen ihm und dem Nutzer bestehenden VertragsverhĂ€ltnisses sowie zehn weitere Jahre ab dem Schluss des Jahres aufzubewahren, in dem das VertragsverhĂ€ltnis endet.

(3) (weggefallen)

§ 14 Jugend- und Verbraucherschutz

Der akkreditierte Diensteanbieter hat bei Gestaltung und Betrieb der De-Mail-Dienste die Belange des Jugendschutzes und des Verbraucherschutzes zu beachten.

§ 15 Datenschutz

Der akkreditierte Diensteanbieter darf personenbezogene Daten des Nutzers eines De-Mail-Kontos nur verarbeiten, soweit dies zur Bereitstellung der De-Mail-Dienste und deren DurchfĂŒhrung erforderlich ist; im Übrigen gelten die Regelungen des Telemediengesetzes, des Telekommunikationsgesetzes und des Bundesdatenschutzgesetzes. ²Die datenschutzrechtlichen Regelungen dieser Gesetze gelten ergĂ€nzend zu der Verordnung (EU) 2016/679 des EuropĂ€ischen Parlaments und des Rates vom 27. April 2016 zum Schutz natĂŒrlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung.

§ 16 Auskunftsanspruch

(1) Ein akkreditierter Diensteanbieter erteilt Dritten Auskunft ĂŒber Namen und Anschrift eines Nutzers, wenn

1.
der Dritte glaubhaft macht, die Auskunft zur Verfolgung eines Rechtsanspruches gegen den Nutzer zu benötigen,
2.
sich die Auskunft auf ein RechtsverhÀltnis zwischen dem Dritten und dem Nutzer bezieht, das unter Nutzung von De-Mail zustande gekommen ist,
3.
der Dritte die zur Feststellung seiner IdentitĂ€t notwendigen Angaben im Sinne von § 3 Absatz 2 macht,
4.
der akkreditierte Diensteanbieter die Richtigkeit der Angaben nach § 3 Absatz 3 ĂŒberprĂŒft hat,
5.
das Verlangen nicht rechtsmissbrÀuchlich ist, insbesondere nicht allein dem Zweck dient, ein Pseudonym aufzudecken, und
6.
die schutzwĂŒrdigen Interessen des Nutzers im Einzelfall nicht ĂŒberwiegen.

(2) Der Dritte hat dem akkreditierten Diensteanbieter zur Glaubhaftmachung nach Absatz 1 Nummer 1 elektronische Nachrichten oder SchriftstĂŒcke zu ĂŒbermitteln, aus denen sich das RechtsverhĂ€ltnis zum Nutzer ergibt, sofern diese angefallen sind. ²Der akkreditierte Diensteanbieter hat den Nutzer von dem Auskunftsersuchen unverzĂŒglich und unter Benennung des Dritten zu informieren und ihm Gelegenheit zur Stellungnahme zum Auskunftsersuchen zu gewĂ€hren, soweit dies die Verfolgung des Rechtsanspruchs des Dritten nicht im Einzelfall gefĂ€hrdet.

(3) Der akkreditierte Diensteanbieter kann den Ersatz der fĂŒr die Auskunftserteilung erforderlichen Aufwendungen verlangen.

(4) Die durch die Auskunftserteilung erlangten Daten dĂŒrfen nur zu dem bei dem Ersuchen angegebenen Zweck verwendet werden.

(5) Der akkreditierte Diensteanbieter hat die Auskunftserteilung nach Absatz 1 zu dokumentieren und den Nutzer von der Erteilung der Auskunft zu informieren. ²Die Dokumentationspflicht nach Satz 1 umfasst den Antrag zur Auskunftserteilung samt Angabe des Dritten nach Absatz 1, die Entscheidung des akkreditierten Diensteanbieters, die Identifizierungsdaten des bearbeitenden Mitarbeiters des akkreditierten Diensteanbieters, die Mitteilung des Ergebnisses an den auskunftsersuchenden Dritten, die Mitteilung ĂŒber die Auskunftserteilung an den Nutzer und die jeweilige gesetzliche Zeit bei einzelnen Prozessen innerhalb der Auskunftserteilung. ³Die Dokumentation ist drei Jahre aufzubewahren.

(6) Die §§ 13 und 13a des Gesetzes ĂŒber Unterlassungsklagen bei Verbraucherrechts- und anderen VerstĂ¶ĂŸen bleiben unberĂŒhrt.

(7) Die nach anderen Rechtsvorschriften bestehenden Regelungen zu AuskĂŒnften gegenĂŒber öffentlichen Stellen bleiben unberĂŒhrt.

Abschnitt 4: Akkreditierung

§ 17 Akkreditierung von Diensteanbietern

(1) Diensteanbieter, die De-Mail-Dienste anbieten wollen, mĂŒssen sich auf schriftlichen Antrag von der zustĂ€ndigen Behörde akkreditieren lassen. ²Die Akkreditierung ist zu erteilen, wenn der Diensteanbieter nachweist, dass er die Voraussetzungen nach § 18 erfĂŒllt und wenn die AusĂŒbung der Aufsicht ĂŒber den Diensteanbieter durch die zustĂ€ndige Behörde gewĂ€hrleistet ist. ³Akkreditierte Diensteanbieter erhalten ein GĂŒtezeichen der zustĂ€ndigen Behörde. ⁎Das GĂŒtezeichen dient als Nachweis fĂŒr die umfassend geprĂŒfte technische und administrative Sicherheit der De-Mail-Dienste. ⁔Sie dĂŒrfen sich als akkreditierte Diensteanbieter bezeichnen. ⁶Nur akkreditierte Diensteanbieter dĂŒrfen sich im GeschĂ€ftsverkehr auf die nachgewiesene Sicherheit berufen und das GĂŒtezeichen fĂŒhren. ⁷Weitere Kennzeichnungen können akkreditierten Diensteanbietern vorbehalten sein.

(2) Ăœber den Antrag nach § 17 Absatz 1 Satz 1 ist innerhalb einer Frist von drei Monaten zu entscheiden; § 42a Absatz 2 Satz 2 bis 4 des Verwaltungsverfahrensgesetzes findet Anwendung.

(3) Die Akkreditierung ist nach wesentlichen VerĂ€nderungen, spĂ€testens jedoch nach drei Jahren zu erneuern.

§ 18 Voraussetzungen der Akkreditierung; Nachweis

(1) Als Diensteanbieter kann nur akkreditiert werden, wer

1.
die fĂŒr den Betrieb von De-Mail-Diensten erforderliche ZuverlĂ€ssigkeit und Fachkunde besitzt,
2.
eine geeignete Deckungsvorsorge trifft, um seinen gesetzlichen Verpflichtungen zum Ersatz von SchÀden nachzukommen,
3.
die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 sowie nach § 16 in der Weise erfĂŒllt, dass er die Dienste zuverlĂ€ssig und sicher erbringt, er mit den anderen akkreditierten Diensteanbietern zusammenwirkt und fĂŒr die Erbringung der Dienste ausschließlich technische GerĂ€te verwendet, die sich im Gebiet der Mitgliedstaaten der EuropĂ€ischen Union oder eines anderen Vertragsstaates des Abkommens ĂŒber den EuropĂ€ischen Wirtschaftsraum befinden,
4.
bei der Gestaltung und dem Betrieb der De-Mail-Dienste die datenschutzrechtlichen Anforderungen erfĂŒllt.

(2) Die Diensteanbieter haben die technischen und organisatorischen Anforderungen nach den §§ 3 bis 13 sowie nach § 16 nach dem Stand der Technik zu erfĂŒllen. ²Die Einhaltung des Standes der Technik wird vermutet, wenn die Technische Richtlinie 01201 De-Mail des Bundesamtes fĂŒr Sicherheit in der Informationstechnik vom 23. MĂ€rz 2011 (eBAnz AT40 2011 B1) in der jeweils im Bundesanzeiger veröffentlichten Fassung eingehalten wird. ³Bevor das Bundesamt fĂŒr Sicherheit in der Informationstechnik wesentliche Änderungen an der Technischen Richtlinie vornimmt, hört es den Ausschuss De-Mail-Standardisierung im Sinne des § 22 an, und dem oder der Bundesbeauftragten fĂŒr den Datenschutz und die Informationsfreiheit wird hierbei Gelegenheit zur Stellungnahme gegeben, sofern Fragen des Datenschutzes berĂŒhrt sind.

(3) Die Voraussetzungen nach Absatz 1 werden wie folgt nachgewiesen:

1.
die erforderliche ZuverlĂ€ssigkeit und Fachkunde durch Nachweise ĂŒber die persönlichen Eigenschaften, das Verhalten und die entsprechenden FĂ€higkeiten seiner oder der in seinem Betrieb tĂ€tigen Personen; als Nachweis der erforderlichen Fachkunde ist es in der Regel ausreichend, wenn fĂŒr die jeweilige Aufgabe im Betrieb entsprechende Zeugnisse oder Nachweise ĂŒber die dafĂŒr notwendigen Kenntnisse, Erfahrungen und Fertigkeiten vorgelegt werden;
2.
eine ausreichende Deckungsvorsorge durch den Abschluss einer Versicherung oder die Freistellungs- oder GewĂ€hrleistungsverpflichtung eines Kreditunternehmens mit einer Mindestdeckungssumme von jeweils 250 000 Euro fĂŒr einen verursachten Schaden. ²Die Deckungsvorsorge kann erbracht werden durch
a)
eine Haftpflichtversicherung bei einem innerhalb der Mitgliedstaaten der EuropĂ€ischen Union oder in einem anderen Vertragsstaat des Abkommens ĂŒber den EuropĂ€ischen Wirtschaftsraum zum GeschĂ€ftsbetrieb befugten Versicherungsunternehmen oder
b)
eine Freistellungs- oder GewĂ€hrleistungsverpflichtung eines in einem der Mitgliedstaaten der EuropĂ€ischen Union oder in einem anderen Vertragsstaat des Abkommens ĂŒber den EuropĂ€ischen Wirtschaftsraum zum GeschĂ€ftsbetrieb befugten Kreditinstituts, wenn gewĂ€hrleistet ist, dass sie einer Haftpflichtversicherung vergleichbare Sicherheit bietet.
³Soweit die Deckungsvorsorge durch eine Versicherung erbracht wird, gilt Folgendes:
a)
Auf diese Versicherung finden § 113 Absatz 2 und 3 und die §§ 114 bis 124 des Versicherungsvertragsgesetzes Anwendung.
b)
⁎Die Mindestversicherungssumme muss 2,5 Millionen Euro fĂŒr den einzelnen Versicherungsfall betragen. ⁔Versicherungsfall ist jede Pflichtverletzung des Diensteanbieters, unabhĂ€ngig von der Anzahl der dadurch ausgelösten SchadensfĂ€lle. ⁶Wird eine Jahreshöchstleistung fĂŒr alle in einem Versicherungsjahr verursachten SchĂ€den vereinbart, muss sie mindestens das Vierfache der Mindestversicherungssumme betragen.
c)
Von der Versicherung kann die Leistung nur ausgeschlossen werden fĂŒr ErsatzansprĂŒche aus vorsĂ€tzlich begangener Pflichtverletzung des akkreditierten Diensteanbieters oder der Personen, fĂŒr die er einzustehen hat.
d)
Die Vereinbarung eines Selbstbehaltes bis zu 1 Prozent der Mindestversicherungssumme ist zulÀssig;

3.
die ErfĂŒllung der technischen und organisatorischen Anforderungen an die Pflichten im Sinne des Absatzes 1 Nummer 3 durch vom Bundesamt fĂŒr Sicherheit in der Informationstechnik nach § 9 Absatz 2 Satz 1 des Gesetzes ĂŒber das Bundesamt fĂŒr Sicherheit in der Informationstechnik zertifizierten IT-Sicherheitsdienstleistern erteilte Testate; das Zusammenwirken mit den anderen akkreditierten Diensteanbietern kann nur nach ausreichenden PrĂŒfungen bestĂ€tigt werden; die Sicherheit der Dienste kann nur nach einer umfassenden im Rahmen der Vergabe der Testate stattfindenden PrĂŒfung des Sicherheitskonzepts und der eingesetzten IT-Infrastrukturen bestĂ€tigt werden; zum Zeitpunkt des Inkrafttretens des Gesetzes erteilte Zertifikate können berĂŒcksichtigt werden;
4.
die ErfĂŒllung der datenschutzrechtlichen Anforderungen an das Datenschutzkonzept fĂŒr die eingesetzten Verfahren und die eingesetzten informationstechnischen Einrichtungen durch Vorlage geeigneter Nachweise; der Nachweis wird dadurch gefĂŒhrt, dass der antragstellende Diensteanbieter ein Zertifikat des oder der Bundesbeauftragten fĂŒr den Datenschutz und die Informationsfreiheit vorlegt; der oder die Bundesbeauftragte fĂŒr den Datenschutz und die Informationsfreiheit erteilt auf schriftlichen Antrag des Diensteanbieters ein Zertifikat, wenn die datenschutzrechtlichen Kriterien erfĂŒllt sind; die ErfĂŒllung der datenschutzrechtlichen Kriterien wird nachgewiesen durch ein Gutachten, welches von einer vom Bund oder einem Land anerkannten oder öffentlich bestellten oder beliehenen sachverstĂ€ndigen Stelle fĂŒr Datenschutz erstellt wurde; der oder die Bundesbeauftragte fĂŒr den Datenschutz und die Informationsfreiheit kann ergĂ€nzende Angaben anfordern; die datenschutzrechtlichen Kriterien sind in einem Kriterienkatalog definiert, der in der Verantwortung des oder der Bundesbeauftragten fĂŒr den Datenschutz und die Informationsfreiheit liegt und durch ihn oder sie im Bundesanzeiger und zusĂ€tzlich im Internet oder in sonstiger geeigneter Weise veröffentlicht wird; dem Bundesamt fĂŒr Sicherheit in der Informationstechnik wird Gelegenheit zur Stellungnahme gegeben, sofern Fragen der IT-Sicherheit berĂŒhrt sind.

(4) Der Diensteanbieter kann, unter Einbeziehung in seine Konzepte zur Umsetzung der Anforderungen des Absatzes 1, zur ErfĂŒllung von Pflichten nach diesem Gesetz Dritte beauftragen.

§ 19 Gleichstellung auslÀndischer Dienste

(1) Vergleichbare Dienste aus einem anderen Mitgliedstaat der EuropĂ€ischen Union oder aus einem anderen Vertragsstaat des Abkommens ĂŒber den EuropĂ€ischen Wirtschaftsraum sind den Diensten eines akkreditierten Diensteanbieters, mit Ausnahme solcher Dienste, die mit der AusĂŒbung hoheitlicher TĂ€tigkeit verbunden sind, gleichgestellt, wenn ihre Anbieter dem § 18 gleichwertige Voraussetzungen erfĂŒllen, diese gegenĂŒber einer zustĂ€ndige Stelle nachgewiesen sind und das Fortbestehen der ErfĂŒllung dieser Voraussetzungen durch eine in diesem Mitglied- oder Vertragsstaat bestehende Kontrolle gewĂ€hrleistet wird.

(2) Die PrĂŒfung der Gleichwertigkeit des auslĂ€ndischen Diensteanbieters nach Absatz 1 obliegt der zustĂ€ndigen Behörde. Die Gleichwertigkeit auslĂ€ndischer Diensteanbieter ist gegeben, wenn die zustĂ€ndige Behörde festgestellt hat, dass im Herkunftsland des jeweiligen Diensteanbieters

1.
die Sicherheitsanforderungen an Diensteanbieter,
2.
die PrĂŒfungsmodalitĂ€ten fĂŒr Diensteanbieter sowie die Anforderungen an die fĂŒr die PrĂŒfung der Dienste zustĂ€ndigen Stellen und
3.
das Kontrollsystem
eine gleichwertige Sicherheit bieten.

Abschnitt 5: Aufsicht

§ 20 Aufsichtsmaßnahmen

(1) Die Aufsicht ĂŒber die Einhaltung dieses Gesetzes obliegt der zustĂ€ndigen Behörde. ²Mit der Akkreditierung unterliegen Diensteanbieter der Aufsicht der zustĂ€ndigen Behörde.

(2) Die zustĂ€ndige Behörde kann gegenĂŒber Diensteanbietern Maßnahmen treffen, um die Einhaltung dieses Gesetzes sicherzustellen.

(3) Ungeachtet des Vorliegens von Testaten im Sinne des § 18 Absatz 3 Nummer 3 kann die zustĂ€ndige Behörde einem akkreditierten Diensteanbieter den Betrieb vorĂŒbergehend ganz oder teilweise untersagen, wenn Tatsachen die Annahme rechtfertigen, dass

1.
eine Voraussetzung fĂŒr die Akkreditierung nach § 17 Absatz 1 weggefallen ist,
2.
ungĂŒltige Einzelnachweise fĂŒr das Angebot von De-Mail-Diensten verwendet oder bestĂ€tigt werden,
3.
nachhaltig, erheblich oder dauerhaft gegen Pflichten verstoßen wird oder
4.
sonstige Voraussetzungen fĂŒr die Akkreditierung oder fĂŒr die Anerkennung nach diesem Gesetz nicht erfĂŒllt werden.

(4) Die GĂŒltigkeit der von einem akkreditierten Diensteanbieter im Rahmen des Postfach- und Versanddienstes ausgestellten EingangsbestĂ€tigungen und AbholbestĂ€tigungen bleibt von der Untersagung des Betriebs, der Einstellung der TĂ€tigkeit, der RĂŒcknahme oder dem Widerruf einer Akkreditierung unberĂŒhrt.

(5) Soweit es zur ErfĂŒllung der der zustĂ€ndigen Behörde als Aufsichtsbehörde ĂŒbertragenen Aufgaben erforderlich ist, haben die akkreditierten Diensteanbieter und die fĂŒr diese nach § 18 Absatz 4 tĂ€tigen Dritten der zustĂ€ndigen Behörde und den in ihrem Auftrag handelnden Personen das Betreten der GeschĂ€ftsrĂ€ume wĂ€hrend der ĂŒblichen Betriebszeiten zu gestatten, auf Verlangen die in Betracht kommenden BĂŒcher, Aufzeichnungen, Belege, SchriftstĂŒcke und sonstigen Unterlagen in geeigneter Weise zur Einsicht vorzulegen, auch soweit sie elektronisch gefĂŒhrt werden, Auskunft zu erteilen und die erforderliche UnterstĂŒtzung zu gewĂ€hren. ²Ein Zugriff auf De-Mail-Nachrichten von Nutzern durch die zustĂ€ndige Behörde als Aufsichtsbehörde findet nicht statt. ³Der zur Erteilung einer Auskunft Verpflichtete kann die Auskunft verweigern, wenn er sich damit selbst oder einen der in § 383 Absatz 1 Nummer 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr der Verfolgung wegen einer Straftat oder eines Verfahrens nach dem Gesetz ĂŒber Ordnungswidrigkeiten aussetzen wĂŒrde. ⁎Er ist auf dieses Recht hinzuweisen.

§ 21 Informationspflicht

Die zustĂ€ndige Behörde hat die Namen der akkreditierten Diensteanbieter sowie der auslĂ€ndischen Diensteanbieter nach § 19 jeweils unter Angabe der ausschließlich fĂŒr die De-Mail-Dienste verwendeten Kennzeichnungen gemĂ€ĂŸ § 5 Absatz 1 Satz 2 Nummer 1 fĂŒr jeden ĂŒber öffentlich erreichbare Kommunikationsverbindungen abrufbar zu halten.

Abschnitt 6: Schlussbestimmungen

§ 22 Ausschuss De-Mail-Standardisierung

Die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 sowie nach § 16 werden unter Beteiligung der akkreditierten Diensteanbieter weiterentwickelt; dies gilt nicht fĂŒr Anforderungen, die das Zusammenwirken zwischen den akkreditierten Diensteanbietern als solches oder die Sicherheit betreffen. ²Zu diesem Zweck wird ein Ausschuss De-Mail-Standardisierung gegrĂŒndet, dem mindestens alle akkreditierten Diensteanbieter, je ein Vertreter von zwei auf Bundesebene bestehenden GesamtverbĂ€nden, deren Belange berĂŒhrt sind, das Bundesamt fĂŒr Sicherheit in der Informationstechnik, der oder die Bundesbeauftragte fĂŒr den Datenschutz und die Informationsfreiheit, ein vom IT-Planungsrat beauftragter Vertreter der LĂ€nder sowie ein Vertreter des Rates der IT-Beauftragten der Bundesregierung angehören. ³Die Entscheidung, welche beiden VerbĂ€nde dem Ausschuss angehören sollen, liegt im Ermessen der zustĂ€ndigen Behörde. ⁎Wird der Rat der IT-Beauftragten der Bundesregierung aufgelöst, tritt an dessen Stelle die von der Bundesregierung bestimmte Nachfolgeorganisation. ⁔Der Ausschuss tagt mindestens einmal im Jahr.

§ 23 Bußgeldvorschriften

(1) Ordnungswidrig handelt, wer vorsĂ€tzlich oder fahrlĂ€ssig

1.
entgegen § 3 Absatz 1 Satz 3 nicht sicherstellt, dass nur der Nutzer Zugang erlangen kann,
2.
entgegen § 3 Absatz 3 Satz 1 Nummer 1 erster Halbsatz oder Nummer 2 eine dort genannte Angabe nicht oder nicht rechtzeitig ĂŒberprĂŒft,
3.
entgegen § 4 Absatz 1 Satz 2 nicht sicherstellt, dass eine sichere Anmeldung nur in den dort genannten FĂ€llen erfolgt,
4.
entgegen § 4 Absatz 3 nicht sicherstellt, dass eine Kommunikationsverbindung verschlĂŒsselt erfolgt,
5.
entgegen § 7 Absatz 2 Satz 1 Nummer 2 oder 4 dort genannte Daten nicht oder nicht rechtzeitig löscht,
6.
entgegen § 10 Absatz 1 Satz 1 oder Absatz 4 Satz 1 Nummer 2 den Zugang zu einem De-Mail-Konto nicht oder nicht rechtzeitig sperrt oder das De-Mail-Konto nicht oder nicht rechtzeitig auflöst,
7.
entgegen § 11 Absatz 1 Satz 1 eine Anzeige nicht, nicht richtig oder nicht rechtzeitig erstattet,
8.
entgegen § 11 Absatz 1 Satz 3 einen Nutzer nicht, nicht richtig oder nicht rechtzeitig benachrichtigt,
9.
entgegen § 11 Absatz 2 nicht sicherstellt, dass die dort genannten Daten abrufbar bleiben,
10.
entgegen § 12 den Zugriff auf dort genannte Daten nicht ermöglicht oder einen Hinweis nicht, nicht richtig oder nicht rechtzeitig gibt,
11.
entgegen § 13 Absatz 1 eine Dokumentation nicht oder nicht richtig erstellt,
12.
entgegen § 13 Absatz 2 eine Dokumentation nicht oder nicht mindestens zehn Jahre aufbewahrt oder
13.
entgegen § 17 Absatz 1 Satz 6 sich auf die nachgewiesene Sicherheit beruft oder das GĂŒtezeichen fĂŒhrt.

(2) Die Ordnungswidrigkeit kann in den FĂ€llen des Absatzes 1 Nummer 5 und 6 mit einer Geldbuße bis zu dreihunderttausend Euro und in den ĂŒbrigen FĂ€llen mit einer Geldbuße bis zu fĂŒnfzigtausend Euro geahndet werden.

(3) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes ĂŒber Ordnungswidrigkeiten ist das Bundesamt fĂŒr Sicherheit in der Informationstechnik.

§ 25 Verfahren ĂŒber eine einheitliche Stelle

Verwaltungsverfahren nach diesem Gesetz können ĂŒber eine einheitliche Stelle abgewickelt werden.

© freiRecht.deQuelle: gesetze-im-internet.de