De-Mail-Gesetz (De-Mail-G) : Aufsicht

Abschnitt 5
Aufsicht

§ 20 Aufsichtsmaßnahmen

(1) Die Aufsicht über die Einhaltung dieses Gesetzes obliegt der zuständigen Behörde. Mit der Akkreditierung unterliegen Diensteanbieter der Aufsicht der zuständigen Behörde.

(2) Die zuständige Behörde kann gegenüber Diensteanbietern Maßnahmen treffen, um die Einhaltung dieses Gesetzes sicherzustellen.

(3) Ungeachtet des Vorliegens von Testaten im Sinne des § 18 Absatz 3 Nummer 3

(1) Als Diensteanbieter kann nur akkreditiert werden, wer

1.
die für den Betrieb von De-Mail-Diensten erforderliche Zuverlässigkeit und Fachkunde besitzt,
2.
eine geeignete Deckungsvorsorge trifft, um seinen gesetzlichen Verpflichtungen zum Ersatz von Schäden nachzukommen,
3.
die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 sowie nach § 16 in der Weise erfüllt, dass er die Dienste zuverlässig und sicher erbringt, er mit den anderen akkreditierten Diensteanbietern zusammenwirkt und für die Erbringung der Dienste ausschließlich technische Geräte verwendet, die sich im Gebiet der Mitgliedstaaten der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum befinden,
4.
bei der Gestaltung und dem Betrieb der De-Mail-Dienste die datenschutzrechtlichen Anforderungen erfüllt.

(2) Die Diensteanbieter haben die technischen und organisatorischen Anforderungen nach den §§ 3 bis 13 sowie nach § 16 nach dem Stand der Technik zu erfüllen. Die Einhaltung des Standes der Technik wird vermutet, wenn die Technische Richtlinie 01201 De-Mail des Bundesamtes für Sicherheit in der Informationstechnik vom 23. März 2011 (eBAnz AT40 2011 B1) in der jeweils im Bundesanzeiger veröffentlichten Fassung eingehalten wird. Bevor das Bundesamt für Sicherheit in der Informationstechnik wesentliche Änderungen an der Technischen Richtlinie vornimmt, hört es den Ausschuss De-Mail-Standardisierung im Sinne des § 22 an, und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wird hierbei Gelegenheit zur Stellungnahme gegeben, sofern Fragen des Datenschutzes berührt sind.

(3) Die Voraussetzungen nach Absatz 1 werden wie folgt nachgewiesen:

1.
die erforderliche Zuverlässigkeit und Fachkunde durch Nachweise über die persönlichen Eigenschaften, das Verhalten und die entsprechenden Fähigkeiten seiner oder der in seinem Betrieb tätigen Personen; als Nachweis der erforderlichen Fachkunde ist es in der Regel ausreichend, wenn für die jeweilige Aufgabe im Betrieb entsprechende Zeugnisse oder Nachweise über die dafür notwendigen Kenntnisse, Erfahrungen und Fertigkeiten vorgelegt werden;
2.
eine ausreichende Deckungsvorsorge durch den Abschluss einer Versicherung oder die Freistellungs- oder Gewährleistungsverpflichtung eines Kreditunternehmens mit einer Mindestdeckungssumme von jeweils 250 000 Euro für einen verursachten Schaden. Die Deckungsvorsorge kann erbracht werden durch
a)
eine Haftpflichtversicherung bei einem innerhalb der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Versicherungsunternehmen oder
b)
eine Freistellungs- oder Gewährleistungsverpflichtung eines in einem der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Kreditinstituts, wenn gewährleistet ist, dass sie einer Haftpflichtversicherung vergleichbare Sicherheit bietet.
Soweit die Deckungsvorsorge durch eine Versicherung erbracht wird, gilt Folgendes:
a)
Auf diese Versicherung finden § 113 Absatz 2 und 3 und die §§ 114 bis 124 des Versicherungsvertragsgesetzes Anwendung.
b)
Die Mindestversicherungssumme muss 2,5 Millionen Euro für den einzelnen Versicherungsfall betragen. Versicherungsfall ist jede Pflichtverletzung des Diensteanbieters, unabhängig von der Anzahl der dadurch ausgelösten Schadensfälle. Wird eine Jahreshöchstleistung für alle in einem Versicherungsjahr verursachten Schäden vereinbart, muss sie mindestens das Vierfache der Mindestversicherungssumme betragen.
c)
Von der Versicherung kann die Leistung nur ausgeschlossen werden für Ersatzansprüche aus vorsätzlich begangener Pflichtverletzung des akkreditierten Diensteanbieters oder der Personen, für die er einzustehen hat.
d)
Die Vereinbarung eines Selbstbehaltes bis zu 1 Prozent der Mindestversicherungssumme ist zulässig;
3.
die Erfüllung der technischen und organisatorischen Anforderungen an die Pflichten im Sinne des Absatzes 1 Nummer 3 durch vom Bundesamt für Sicherheit in der Informationstechnik nach § 9 Absatz 2 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik zertifizierten IT-Sicherheitsdienstleistern erteilte Testate; das Zusammenwirken mit den anderen akkreditierten Diensteanbietern kann nur nach ausreichenden Prüfungen bestätigt werden; die Sicherheit der Dienste kann nur nach einer umfassenden im Rahmen der Vergabe der Testate stattfindenden Prüfung des Sicherheitskonzepts und der eingesetzten IT-Infrastrukturen bestätigt werden; zum Zeitpunkt des Inkrafttretens des Gesetzes erteilte Zertifikate können berücksichtigt werden;
4.
die Erfüllung der datenschutzrechtlichen Anforderungen an das Datenschutzkonzept für die eingesetzten Verfahren und die eingesetzten informationstechnischen Einrichtungen durch Vorlage geeigneter Nachweise; der Nachweis wird dadurch geführt, dass der antragstellende Diensteanbieter ein Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorlegt; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erteilt auf schriftlichen Antrag des Diensteanbieters ein Zertifikat, wenn die datenschutzrechtlichen Kriterien erfüllt sind; die Erfüllung der datenschutzrechtlichen Kriterien wird nachgewiesen durch ein Gutachten, welches von einer vom Bund oder einem Land anerkannten oder öffentlich bestellten oder beliehenen sachverständigen Stelle für Datenschutz erstellt wurde; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kann ergänzende Angaben anfordern; die datenschutzrechtlichen Kriterien sind in einem Kriterienkatalog definiert, der in der Verantwortung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit liegt und durch ihn im Bundesanzeiger und zusätzlich im Internet oder in sonstiger geeigneter Weise veröffentlicht wird; dem Bundesamt für Sicherheit in der Informationstechnik wird Gelegenheit zur Stellungnahme gegeben, sofern Fragen der IT-Sicherheit berührt sind.

(4) Der Diensteanbieter kann, unter Einbeziehung in seine Konzepte zur Umsetzung der Anforderungen des Absatzes 1, zur Erfüllung von Pflichten nach diesem Gesetz Dritte beauftragen.

kann die zuständige Behörde einem akkreditierten Diensteanbieter den Betrieb vorübergehend ganz oder teilweise untersagen, wenn Tatsachen die Annahme rechtfertigen, dass

1.
eine Voraussetzung für die Akkreditierung nach § 17 Absatz 1

(1) Diensteanbieter, die De-Mail-Dienste anbieten wollen, müssen sich auf schriftlichen Antrag von der zuständigen Behörde akkreditieren lassen. Die Akkreditierung ist zu erteilen, wenn der Diensteanbieter nachweist, dass er die Voraussetzungen nach § 18 erfüllt und wenn die Ausübung der Aufsicht über den Diensteanbieter durch die zuständige Behörde gewährleistet ist. Akkreditierte Diensteanbieter erhalten ein Gütezeichen der zuständigen Behörde. Das Gütezeichen dient als Nachweis für die umfassend geprüfte technische und administrative Sicherheit der De-Mail-Dienste. Sie dürfen sich als akkreditierte Diensteanbieter bezeichnen. Nur akkreditierte Diensteanbieter dürfen sich im Geschäftsverkehr auf die nachgewiesene Sicherheit berufen und das Gütezeichen führen. Weitere Kennzeichnungen können akkreditierten Diensteanbietern vorbehalten sein.

(2) Über den Antrag nach § 17 Absatz 1 Satz 1 ist innerhalb einer Frist von drei Monaten zu entscheiden; § 42a Absatz 2 Satz 2 bis 4 des Verwaltungsverfahrensgesetzes findet Anwendung.

(3) Die Akkreditierung ist nach wesentlichen Veränderungen, spätestens jedoch nach drei Jahren zu erneuern.

weggefallen ist,
2.
ungültige Einzelnachweise für das Angebot von De-Mail-Diensten verwendet oder bestätigt werden,
3.
nachhaltig, erheblich oder dauerhaft gegen Pflichten verstoßen wird oder
4.
sonstige Voraussetzungen für die Akkreditierung oder für die Anerkennung nach diesem Gesetz nicht erfüllt werden.

(4) Die Gültigkeit der von einem akkreditierten Diensteanbieter im Rahmen des Postfach- und Versanddienstes ausgestellten Eingangsbestätigungen und Abholbestätigungen bleibt von der Untersagung des Betriebs, der Einstellung der Tätigkeit, der Rücknahme oder dem Widerruf einer Akkreditierung unberührt.

(5) Soweit es zur Erfüllung der der zuständigen Behörde als Aufsichtsbehörde übertragenen Aufgaben erforderlich ist, haben die akkreditierten Diensteanbieter und die für diese nach § 18 Absatz 4

(1) Als Diensteanbieter kann nur akkreditiert werden, wer

1.
die für den Betrieb von De-Mail-Diensten erforderliche Zuverlässigkeit und Fachkunde besitzt,
2.
eine geeignete Deckungsvorsorge trifft, um seinen gesetzlichen Verpflichtungen zum Ersatz von Schäden nachzukommen,
3.
die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 sowie nach § 16 in der Weise erfüllt, dass er die Dienste zuverlässig und sicher erbringt, er mit den anderen akkreditierten Diensteanbietern zusammenwirkt und für die Erbringung der Dienste ausschließlich technische Geräte verwendet, die sich im Gebiet der Mitgliedstaaten der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum befinden,
4.
bei der Gestaltung und dem Betrieb der De-Mail-Dienste die datenschutzrechtlichen Anforderungen erfüllt.

(2) Die Diensteanbieter haben die technischen und organisatorischen Anforderungen nach den §§ 3 bis 13 sowie nach § 16 nach dem Stand der Technik zu erfüllen. Die Einhaltung des Standes der Technik wird vermutet, wenn die Technische Richtlinie 01201 De-Mail des Bundesamtes für Sicherheit in der Informationstechnik vom 23. März 2011 (eBAnz AT40 2011 B1) in der jeweils im Bundesanzeiger veröffentlichten Fassung eingehalten wird. Bevor das Bundesamt für Sicherheit in der Informationstechnik wesentliche Änderungen an der Technischen Richtlinie vornimmt, hört es den Ausschuss De-Mail-Standardisierung im Sinne des § 22 an, und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wird hierbei Gelegenheit zur Stellungnahme gegeben, sofern Fragen des Datenschutzes berührt sind.

(3) Die Voraussetzungen nach Absatz 1 werden wie folgt nachgewiesen:

1.
die erforderliche Zuverlässigkeit und Fachkunde durch Nachweise über die persönlichen Eigenschaften, das Verhalten und die entsprechenden Fähigkeiten seiner oder der in seinem Betrieb tätigen Personen; als Nachweis der erforderlichen Fachkunde ist es in der Regel ausreichend, wenn für die jeweilige Aufgabe im Betrieb entsprechende Zeugnisse oder Nachweise über die dafür notwendigen Kenntnisse, Erfahrungen und Fertigkeiten vorgelegt werden;
2.
eine ausreichende Deckungsvorsorge durch den Abschluss einer Versicherung oder die Freistellungs- oder Gewährleistungsverpflichtung eines Kreditunternehmens mit einer Mindestdeckungssumme von jeweils 250 000 Euro für einen verursachten Schaden. Die Deckungsvorsorge kann erbracht werden durch
a)
eine Haftpflichtversicherung bei einem innerhalb der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Versicherungsunternehmen oder
b)
eine Freistellungs- oder Gewährleistungsverpflichtung eines in einem der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Kreditinstituts, wenn gewährleistet ist, dass sie einer Haftpflichtversicherung vergleichbare Sicherheit bietet.
Soweit die Deckungsvorsorge durch eine Versicherung erbracht wird, gilt Folgendes:
a)
Auf diese Versicherung finden § 113 Absatz 2 und 3 und die §§ 114 bis 124 des Versicherungsvertragsgesetzes Anwendung.
b)
Die Mindestversicherungssumme muss 2,5 Millionen Euro für den einzelnen Versicherungsfall betragen. Versicherungsfall ist jede Pflichtverletzung des Diensteanbieters, unabhängig von der Anzahl der dadurch ausgelösten Schadensfälle. Wird eine Jahreshöchstleistung für alle in einem Versicherungsjahr verursachten Schäden vereinbart, muss sie mindestens das Vierfache der Mindestversicherungssumme betragen.
c)
Von der Versicherung kann die Leistung nur ausgeschlossen werden für Ersatzansprüche aus vorsätzlich begangener Pflichtverletzung des akkreditierten Diensteanbieters oder der Personen, für die er einzustehen hat.
d)
Die Vereinbarung eines Selbstbehaltes bis zu 1 Prozent der Mindestversicherungssumme ist zulässig;
3.
die Erfüllung der technischen und organisatorischen Anforderungen an die Pflichten im Sinne des Absatzes 1 Nummer 3 durch vom Bundesamt für Sicherheit in der Informationstechnik nach § 9 Absatz 2 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik zertifizierten IT-Sicherheitsdienstleistern erteilte Testate; das Zusammenwirken mit den anderen akkreditierten Diensteanbietern kann nur nach ausreichenden Prüfungen bestätigt werden; die Sicherheit der Dienste kann nur nach einer umfassenden im Rahmen der Vergabe der Testate stattfindenden Prüfung des Sicherheitskonzepts und der eingesetzten IT-Infrastrukturen bestätigt werden; zum Zeitpunkt des Inkrafttretens des Gesetzes erteilte Zertifikate können berücksichtigt werden;
4.
die Erfüllung der datenschutzrechtlichen Anforderungen an das Datenschutzkonzept für die eingesetzten Verfahren und die eingesetzten informationstechnischen Einrichtungen durch Vorlage geeigneter Nachweise; der Nachweis wird dadurch geführt, dass der antragstellende Diensteanbieter ein Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorlegt; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erteilt auf schriftlichen Antrag des Diensteanbieters ein Zertifikat, wenn die datenschutzrechtlichen Kriterien erfüllt sind; die Erfüllung der datenschutzrechtlichen Kriterien wird nachgewiesen durch ein Gutachten, welches von einer vom Bund oder einem Land anerkannten oder öffentlich bestellten oder beliehenen sachverständigen Stelle für Datenschutz erstellt wurde; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kann ergänzende Angaben anfordern; die datenschutzrechtlichen Kriterien sind in einem Kriterienkatalog definiert, der in der Verantwortung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit liegt und durch ihn im Bundesanzeiger und zusätzlich im Internet oder in sonstiger geeigneter Weise veröffentlicht wird; dem Bundesamt für Sicherheit in der Informationstechnik wird Gelegenheit zur Stellungnahme gegeben, sofern Fragen der IT-Sicherheit berührt sind.

(4) Der Diensteanbieter kann, unter Einbeziehung in seine Konzepte zur Umsetzung der Anforderungen des Absatzes 1, zur Erfüllung von Pflichten nach diesem Gesetz Dritte beauftragen.

tätigen Dritten der zuständigen Behörde und den in ihrem Auftrag handelnden Personen das Betreten der Geschäftsräume während der üblichen Betriebszeiten zu gestatten, auf Verlangen die in Betracht kommenden Bücher, Aufzeichnungen, Belege, Schriftstücke und sonstigen Unterlagen in geeigneter Weise zur Einsicht vorzulegen, auch soweit sie elektronisch geführt werden, Auskunft zu erteilen und die erforderliche Unterstützung zu gewähren. Ein Zugriff auf De-Mail-Nachrichten von Nutzern durch die zuständige Behörde als Aufsichtsbehörde findet nicht statt. Der zur Erteilung einer Auskunft Verpflichtete kann die Auskunft verweigern, wenn er sich damit selbst oder einen der in § 383 Absatz 1 Nummer 1 bis 3

(1) Zur Verweigerung des Zeugnisses sind berechtigt:

1.
der Verlobte einer Partei;
2.
der Ehegatte einer Partei, auch wenn die Ehe nicht mehr besteht;
2a.
der Lebenspartner einer Partei, auch wenn die Lebenspartnerschaft nicht mehr besteht;
3.
diejenigen, die mit einer Partei in gerader Linie verwandt oder verschwägert, in der Seitenlinie bis zum dritten Grad verwandt oder bis zum zweiten Grad verschwägert sind oder waren;
4.
Geistliche in Ansehung desjenigen, was ihnen bei der Ausübung der Seelsorge anvertraut ist;
5.
Personen, die bei der Vorbereitung, Herstellung oder Verbreitung von periodischen Druckwerken oder Rundfunksendungen berufsmäßig mitwirken oder mitgewirkt haben, über die Person des Verfassers, Einsenders oder Gewährsmanns von Beiträgen und Unterlagen sowie über die ihnen im Hinblick auf ihre Tätigkeit gemachten Mitteilungen, soweit es sich um Beiträge, Unterlagen und Mitteilungen für den redaktionellen Teil handelt;
6.
Personen, denen kraft ihres Amtes, Standes oder Gewerbes Tatsachen anvertraut sind, deren Geheimhaltung durch ihre Natur oder durch gesetzliche Vorschrift geboten ist, in Betreff der Tatsachen, auf welche die Verpflichtung zur Verschwiegenheit sich bezieht.

(2) Die unter Nummern 1 bis 3 bezeichneten Personen sind vor der Vernehmung über ihr Recht zur Verweigerung des Zeugnisses zu belehren.

(3) Die Vernehmung der unter Nummern 4 bis 6 bezeichneten Personen ist, auch wenn das Zeugnis nicht verweigert wird, auf Tatsachen nicht zu richten, in Ansehung welcher erhellt, dass ohne Verletzung der Verpflichtung zur Verschwiegenheit ein Zeugnis nicht abgelegt werden kann.

der Zivilprozessordnung bezeichneten Angehörigen der Gefahr der Verfolgung wegen einer Straftat oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Er ist auf dieses Recht hinzuweisen.

§ 21 Informationspflicht

Die zuständige Behörde hat die Namen der akkreditierten Diensteanbieter sowie der ausländischen Diensteanbieter nach § 19

(1) Vergleichbare Dienste aus einem anderen Mitgliedstaat der Europäischen Union oder aus einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum sind den Diensten eines akkreditierten Diensteanbieters, mit Ausnahme solcher Dienste, die mit der Ausübung hoheitlicher Tätigkeit verbunden sind, gleichgestellt, wenn ihre Anbieter dem § 18 gleichwertige Voraussetzungen erfüllen, diese gegenüber einer zuständige Stelle nachgewiesen sind und das Fortbestehen der Erfüllung dieser Voraussetzungen durch eine in diesem Mitglied- oder Vertragsstaat bestehende Kontrolle gewährleistet wird.

(2) Die Prüfung der Gleichwertigkeit des ausländischen Diensteanbieters nach Absatz 1 obliegt der zuständigen Behörde. Die Gleichwertigkeit ausländischer Diensteanbieter ist gegeben, wenn die zuständige Behörde festgestellt hat, dass im Herkunftsland des jeweiligen Diensteanbieters

1.
die Sicherheitsanforderungen an Diensteanbieter,
2.
die Prüfungsmodalitäten für Diensteanbieter sowie die Anforderungen an die für die Prüfung der Dienste zuständigen Stellen und
3.
das Kontrollsystem
eine gleichwertige Sicherheit bieten.

jeweils unter Angabe der ausschließlich für die De-Mail-Dienste verwendeten Kennzeichnungen gemäß § 5 Absatz 1 Satz 2 Nummer 1

(1) Die Bereitstellung eines De-Mail-Kontos umfasst die Nutzung eines sicheren elektronischen Postfach- und Versanddienstes für elektronische Nachrichten. Hierzu wird dem Nutzer eine De-Mail-Adresse für elektronische Post zugewiesen, welche folgende Angaben enthalten muss:

1.
im Domänenteil der De-Mail-Adresse eine Kennzeichnung, die ausschließlich für De-Mail-Dienste genutzt werden darf;
2.
bei natürlichen Personen im lokalen Teil deren Nachnamen und einen oder mehrere Vornamen oder einen Teil des oder der Vornamen (Hauptadresse);
3.
bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen im Domänenteil eine Bezeichnung, welche in direktem Bezug zu ihrer Firma, Namen oder sonstiger Bezeichnung steht.

(2) Der akkreditierte Diensteanbieter kann Nutzern auf Verlangen auch pseudonyme De-Mail-Adressen zur Verfügung stellen, soweit es sich bei dem Nutzer um eine natürliche Person handelt. Die Inanspruchnahme eines Dienstes durch den Nutzer unter Pseudonym ist für Dritte erkennbar zu kennzeichnen.

(3) Der Postfach- und Versanddienst hat die Vertraulichkeit, die Integrität und die Authentizität der Nachrichten zu gewährleisten. Hierzu gewährleistet der akkreditierte Diensteanbieter, dass

1.
die Kommunikation von einem akkreditierten Diensteanbieter zu jedem anderen akkreditierten Diensteanbieter über einen verschlüsselten gegenseitig authentisierten Kanal erfolgt (Transportverschlüsselung) und
2.
der Inhalt einer De-Mail-Nachricht vom akkreditierten Diensteanbieter des Senders zum akkreditierten Diensteanbieter des Empfängers verschlüsselt übertragen wird.
Der Einsatz einer durchgängigen Verschlüsselung zwischen Sender und Empfänger (Ende-zu-Ende-Verschlüsselung) bleibt hiervon unberührt.

(4) Der Sender kann eine sichere Anmeldung nach § 4 für den Abruf der Nachricht durch den Empfänger bestimmen.

(5) Der akkreditierte Diensteanbieter muss dem Nutzer ermöglichen, seine sichere Anmeldung im Sinne von § 4 in der Nachricht so bestätigen zu lassen, dass die Unverfälschtheit der Bestätigung jederzeit nachprüfbar ist. Um dieses dem Empfänger der Nachricht kenntlich zu machen, bestätigt der akkreditierte Diensteanbieter des Senders die Verwendung der sicheren Anmeldung nach § 4. Hierzu versieht er im Auftrag des Senders die Nachricht mit einer dauerhaft überprüfbaren qualifizierten elektronischen Signatur; sind der Nachricht eine oder mehrere Dateien beigefügt, bezieht sich die qualifizierte elektronische Signatur auch auf diese. Die Bestätigung enthält bei natürlichen Personen den Namen und die Vornamen, bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen die Firma, den Namen oder die Bezeichnung des Senders in der Form, in der diese nach § 3 Absatz 2 hinterlegt sind. Die Tatsache, dass der Absender diese Versandart genutzt hat, muss sich aus der Nachricht in der Form, wie sie beim Empfänger ankommt, ergeben. Die Bestätigung nach Satz 1 ist nicht zulässig bei Verwendung einer pseudonymen De-Mail-Adresse nach Absatz 2.

(6) Der akkreditierte Diensteanbieter mit Ausnahme der Diensteanbieter nach § 19 ist verpflichtet, elektronische Nachrichten nach den Vorschriften der Prozessordnungen und der Gesetze, die die Verwaltungszustellung regeln, förmlich zuzustellen. Im Umfang dieser Verpflichtung ist der akkreditierte Diensteanbieter mit Hoheitsbefugnissen ausgestattet (beliehener Unternehmer).

(7) Der akkreditierte Diensteanbieter bestätigt auf Antrag des Senders den Versand einer Nachricht. Die Versandbestätigung muss folgende Angaben enthalten:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Versands der Nachricht vom De-Mail-Postfach des Senders;
3.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Versandbestätigung erzeugt und
4.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Senders hat die Versandbestätigung mit einer qualifizierten elektronischen Signatur zu versehen.

(8) Auf Antrag des Senders wird der Eingang einer Nachricht im De-Mail-Postfach des Empfängers bestätigt. Hierbei wirken der akkreditierte Diensteanbieter des Senders und der akkreditierte Diensteanbieter des Empfängers zusammen. Der akkreditierte Diensteanbieter des Empfängers erstellt eine Eingangsbestätigung. Die Eingangsbestätigung enthält folgende Angaben:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Eingangs der Nachricht im De-Mail-Postfach des Empfängers;
3.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Eingangsbestätigung erzeugt und
4.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Empfängers hat die Eingangsbestätigung mit einer qualifizierten elektronischen Signatur zu versehen. Der akkreditierte Diensteanbieter des Empfängers sendet diesem ebenfalls die Eingangsbestätigung zu.

(9) Eine öffentliche Stelle, welche zur förmlichen Zustellung nach den Vorschriften der Prozessordnungen und der Gesetze, die die Verwaltungszustellung regeln, berechtigt ist, kann eine Abholbestätigung verlangen. Aus der Abholbestätigung ergibt sich, dass sich der Empfänger nach dem Eingang der Nachricht im Postfach an seinem De-Mail-Konto sicher im Sinne des § 4 angemeldet hat. Hierbei wirken der akkreditierte Diensteanbieter der öffentlichen Stelle als Senderin und der akkreditierte Diensteanbieter des Empfängers zusammen. Der akkreditierte Diensteanbieter des Empfängers erzeugt die Abholbestätigung. Die Abholbestätigung muss folgende Angaben enthalten:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Eingangs der Nachricht im De-Mail-Postfach des Empfängers;
3.
das Datum und die Uhrzeit der sicheren Anmeldung des Empfängers an seinem De-Mail-Konto im Sinne des § 4;
4.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Abholbestätigung erzeugt und
5.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Empfängers hat die Abholbestätigung mit einer qualifizierten elektronischen Signatur zu versehen. Der akkreditierte Diensteanbieter des Empfängers sendet diesem ebenfalls die Abholbestätigung zu. Die in Satz 5 genannten Daten dürfen ausschließlich zum Nachweis der förmlichen Zustellung im Sinne von § 5 Absatz 6 verarbeitet und genutzt werden.

(10) Der akkreditierte Diensteanbieter stellt sicher, dass Nachrichten, für die eine Eingangsbestätigung nach Absatz 8 oder eine Abholbestätigung nach Absatz 9 erteilt worden ist, durch den Empfänger ohne eine sichere Anmeldung an seinem De-Mail-Konto erst 90 Tage nach ihrem Eingang gelöscht werden können.

(11) Nutzern, die natürliche Personen sind, bietet der akkreditierte Diensteanbieter an, von allen an ihre De-Mail-Adresse adressierten Nachrichten eine Kopie an eine zuvor vom Nutzer angegebene De-Mail-Adresse (Weiterleitungsadresse) weiterzuleiten, ohne dass der Nutzer an seinem De-Mail-Konto angemeldet sein muss (automatische Weiterleitung). Der Nutzer kann ausschließen, dass im Sinne des Absatzes 4 an ihn gesendete Nachrichten weitergeleitet werden. Der Nutzer kann den Dienst der automatischen Weiterleitung jederzeit zurücknehmen. Um den Dienst der automatischen Weiterleitung nutzen zu können, muss der Nutzer sicher an seinem De-Mail-Konto angemeldet sein.

für jeden über öffentlich erreichbare Kommunikationsverbindungen abrufbar zu halten.

Annotations

§ 20 Aufsichtsmaßnahmen

(1) Als Diensteanbieter kann nur akkreditiert werden, wer

1.
die für den Betrieb von De-Mail-Diensten erforderliche Zuverlässigkeit und Fachkunde besitzt,
2.
eine geeignete Deckungsvorsorge trifft, um seinen gesetzlichen Verpflichtungen zum Ersatz von Schäden nachzukommen,
3.
die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 sowie nach § 16 in der Weise erfüllt, dass er die Dienste zuverlässig und sicher erbringt, er mit den anderen akkreditierten Diensteanbietern zusammenwirkt und für die Erbringung der Dienste ausschließlich technische Geräte verwendet, die sich im Gebiet der Mitgliedstaaten der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum befinden,
4.
bei der Gestaltung und dem Betrieb der De-Mail-Dienste die datenschutzrechtlichen Anforderungen erfüllt.

(2) Die Diensteanbieter haben die technischen und organisatorischen Anforderungen nach den §§ 3 bis 13 sowie nach § 16 nach dem Stand der Technik zu erfüllen. Die Einhaltung des Standes der Technik wird vermutet, wenn die Technische Richtlinie 01201 De-Mail des Bundesamtes für Sicherheit in der Informationstechnik vom 23. März 2011 (eBAnz AT40 2011 B1) in der jeweils im Bundesanzeiger veröffentlichten Fassung eingehalten wird. Bevor das Bundesamt für Sicherheit in der Informationstechnik wesentliche Änderungen an der Technischen Richtlinie vornimmt, hört es den Ausschuss De-Mail-Standardisierung im Sinne des § 22 an, und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wird hierbei Gelegenheit zur Stellungnahme gegeben, sofern Fragen des Datenschutzes berührt sind.

(3) Die Voraussetzungen nach Absatz 1 werden wie folgt nachgewiesen:

1.
die erforderliche Zuverlässigkeit und Fachkunde durch Nachweise über die persönlichen Eigenschaften, das Verhalten und die entsprechenden Fähigkeiten seiner oder der in seinem Betrieb tätigen Personen; als Nachweis der erforderlichen Fachkunde ist es in der Regel ausreichend, wenn für die jeweilige Aufgabe im Betrieb entsprechende Zeugnisse oder Nachweise über die dafür notwendigen Kenntnisse, Erfahrungen und Fertigkeiten vorgelegt werden;
2.
eine ausreichende Deckungsvorsorge durch den Abschluss einer Versicherung oder die Freistellungs- oder Gewährleistungsverpflichtung eines Kreditunternehmens mit einer Mindestdeckungssumme von jeweils 250 000 Euro für einen verursachten Schaden. Die Deckungsvorsorge kann erbracht werden durch
a)
eine Haftpflichtversicherung bei einem innerhalb der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Versicherungsunternehmen oder
b)
eine Freistellungs- oder Gewährleistungsverpflichtung eines in einem der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Kreditinstituts, wenn gewährleistet ist, dass sie einer Haftpflichtversicherung vergleichbare Sicherheit bietet.
Soweit die Deckungsvorsorge durch eine Versicherung erbracht wird, gilt Folgendes:
a)
Auf diese Versicherung finden § 113 Absatz 2 und 3 und die §§ 114 bis 124 des Versicherungsvertragsgesetzes Anwendung.
b)
Die Mindestversicherungssumme muss 2,5 Millionen Euro für den einzelnen Versicherungsfall betragen. Versicherungsfall ist jede Pflichtverletzung des Diensteanbieters, unabhängig von der Anzahl der dadurch ausgelösten Schadensfälle. Wird eine Jahreshöchstleistung für alle in einem Versicherungsjahr verursachten Schäden vereinbart, muss sie mindestens das Vierfache der Mindestversicherungssumme betragen.
c)
Von der Versicherung kann die Leistung nur ausgeschlossen werden für Ersatzansprüche aus vorsätzlich begangener Pflichtverletzung des akkreditierten Diensteanbieters oder der Personen, für die er einzustehen hat.
d)
Die Vereinbarung eines Selbstbehaltes bis zu 1 Prozent der Mindestversicherungssumme ist zulässig;
3.
die Erfüllung der technischen und organisatorischen Anforderungen an die Pflichten im Sinne des Absatzes 1 Nummer 3 durch vom Bundesamt für Sicherheit in der Informationstechnik nach § 9 Absatz 2 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik zertifizierten IT-Sicherheitsdienstleistern erteilte Testate; das Zusammenwirken mit den anderen akkreditierten Diensteanbietern kann nur nach ausreichenden Prüfungen bestätigt werden; die Sicherheit der Dienste kann nur nach einer umfassenden im Rahmen der Vergabe der Testate stattfindenden Prüfung des Sicherheitskonzepts und der eingesetzten IT-Infrastrukturen bestätigt werden; zum Zeitpunkt des Inkrafttretens des Gesetzes erteilte Zertifikate können berücksichtigt werden;
4.
die Erfüllung der datenschutzrechtlichen Anforderungen an das Datenschutzkonzept für die eingesetzten Verfahren und die eingesetzten informationstechnischen Einrichtungen durch Vorlage geeigneter Nachweise; der Nachweis wird dadurch geführt, dass der antragstellende Diensteanbieter ein Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorlegt; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erteilt auf schriftlichen Antrag des Diensteanbieters ein Zertifikat, wenn die datenschutzrechtlichen Kriterien erfüllt sind; die Erfüllung der datenschutzrechtlichen Kriterien wird nachgewiesen durch ein Gutachten, welches von einer vom Bund oder einem Land anerkannten oder öffentlich bestellten oder beliehenen sachverständigen Stelle für Datenschutz erstellt wurde; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kann ergänzende Angaben anfordern; die datenschutzrechtlichen Kriterien sind in einem Kriterienkatalog definiert, der in der Verantwortung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit liegt und durch ihn im Bundesanzeiger und zusätzlich im Internet oder in sonstiger geeigneter Weise veröffentlicht wird; dem Bundesamt für Sicherheit in der Informationstechnik wird Gelegenheit zur Stellungnahme gegeben, sofern Fragen der IT-Sicherheit berührt sind.

(4) Der Diensteanbieter kann, unter Einbeziehung in seine Konzepte zur Umsetzung der Anforderungen des Absatzes 1, zur Erfüllung von Pflichten nach diesem Gesetz Dritte beauftragen.

(1) Diensteanbieter, die De-Mail-Dienste anbieten wollen, müssen sich auf schriftlichen Antrag von der zuständigen Behörde akkreditieren lassen. Die Akkreditierung ist zu erteilen, wenn der Diensteanbieter nachweist, dass er die Voraussetzungen nach § 18 erfüllt und wenn die Ausübung der Aufsicht über den Diensteanbieter durch die zuständige Behörde gewährleistet ist. Akkreditierte Diensteanbieter erhalten ein Gütezeichen der zuständigen Behörde. Das Gütezeichen dient als Nachweis für die umfassend geprüfte technische und administrative Sicherheit der De-Mail-Dienste. Sie dürfen sich als akkreditierte Diensteanbieter bezeichnen. Nur akkreditierte Diensteanbieter dürfen sich im Geschäftsverkehr auf die nachgewiesene Sicherheit berufen und das Gütezeichen führen. Weitere Kennzeichnungen können akkreditierten Diensteanbietern vorbehalten sein.

(2) Über den Antrag nach § 17 Absatz 1 Satz 1 ist innerhalb einer Frist von drei Monaten zu entscheiden; § 42a Absatz 2 Satz 2 bis 4 des Verwaltungsverfahrensgesetzes findet Anwendung.

(3) Die Akkreditierung ist nach wesentlichen Veränderungen, spätestens jedoch nach drei Jahren zu erneuern.

(1) Als Diensteanbieter kann nur akkreditiert werden, wer

1.
die für den Betrieb von De-Mail-Diensten erforderliche Zuverlässigkeit und Fachkunde besitzt,
2.
eine geeignete Deckungsvorsorge trifft, um seinen gesetzlichen Verpflichtungen zum Ersatz von Schäden nachzukommen,
3.
die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 sowie nach § 16 in der Weise erfüllt, dass er die Dienste zuverlässig und sicher erbringt, er mit den anderen akkreditierten Diensteanbietern zusammenwirkt und für die Erbringung der Dienste ausschließlich technische Geräte verwendet, die sich im Gebiet der Mitgliedstaaten der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum befinden,
4.
bei der Gestaltung und dem Betrieb der De-Mail-Dienste die datenschutzrechtlichen Anforderungen erfüllt.

(2) Die Diensteanbieter haben die technischen und organisatorischen Anforderungen nach den §§ 3 bis 13 sowie nach § 16 nach dem Stand der Technik zu erfüllen. Die Einhaltung des Standes der Technik wird vermutet, wenn die Technische Richtlinie 01201 De-Mail des Bundesamtes für Sicherheit in der Informationstechnik vom 23. März 2011 (eBAnz AT40 2011 B1) in der jeweils im Bundesanzeiger veröffentlichten Fassung eingehalten wird. Bevor das Bundesamt für Sicherheit in der Informationstechnik wesentliche Änderungen an der Technischen Richtlinie vornimmt, hört es den Ausschuss De-Mail-Standardisierung im Sinne des § 22 an, und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wird hierbei Gelegenheit zur Stellungnahme gegeben, sofern Fragen des Datenschutzes berührt sind.

(3) Die Voraussetzungen nach Absatz 1 werden wie folgt nachgewiesen:

1.
die erforderliche Zuverlässigkeit und Fachkunde durch Nachweise über die persönlichen Eigenschaften, das Verhalten und die entsprechenden Fähigkeiten seiner oder der in seinem Betrieb tätigen Personen; als Nachweis der erforderlichen Fachkunde ist es in der Regel ausreichend, wenn für die jeweilige Aufgabe im Betrieb entsprechende Zeugnisse oder Nachweise über die dafür notwendigen Kenntnisse, Erfahrungen und Fertigkeiten vorgelegt werden;
2.
eine ausreichende Deckungsvorsorge durch den Abschluss einer Versicherung oder die Freistellungs- oder Gewährleistungsverpflichtung eines Kreditunternehmens mit einer Mindestdeckungssumme von jeweils 250 000 Euro für einen verursachten Schaden. Die Deckungsvorsorge kann erbracht werden durch
a)
eine Haftpflichtversicherung bei einem innerhalb der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Versicherungsunternehmen oder
b)
eine Freistellungs- oder Gewährleistungsverpflichtung eines in einem der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Kreditinstituts, wenn gewährleistet ist, dass sie einer Haftpflichtversicherung vergleichbare Sicherheit bietet.
Soweit die Deckungsvorsorge durch eine Versicherung erbracht wird, gilt Folgendes:
a)
Auf diese Versicherung finden § 113 Absatz 2 und 3 und die §§ 114 bis 124 des Versicherungsvertragsgesetzes Anwendung.
b)
Die Mindestversicherungssumme muss 2,5 Millionen Euro für den einzelnen Versicherungsfall betragen. Versicherungsfall ist jede Pflichtverletzung des Diensteanbieters, unabhängig von der Anzahl der dadurch ausgelösten Schadensfälle. Wird eine Jahreshöchstleistung für alle in einem Versicherungsjahr verursachten Schäden vereinbart, muss sie mindestens das Vierfache der Mindestversicherungssumme betragen.
c)
Von der Versicherung kann die Leistung nur ausgeschlossen werden für Ersatzansprüche aus vorsätzlich begangener Pflichtverletzung des akkreditierten Diensteanbieters oder der Personen, für die er einzustehen hat.
d)
Die Vereinbarung eines Selbstbehaltes bis zu 1 Prozent der Mindestversicherungssumme ist zulässig;
3.
die Erfüllung der technischen und organisatorischen Anforderungen an die Pflichten im Sinne des Absatzes 1 Nummer 3 durch vom Bundesamt für Sicherheit in der Informationstechnik nach § 9 Absatz 2 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik zertifizierten IT-Sicherheitsdienstleistern erteilte Testate; das Zusammenwirken mit den anderen akkreditierten Diensteanbietern kann nur nach ausreichenden Prüfungen bestätigt werden; die Sicherheit der Dienste kann nur nach einer umfassenden im Rahmen der Vergabe der Testate stattfindenden Prüfung des Sicherheitskonzepts und der eingesetzten IT-Infrastrukturen bestätigt werden; zum Zeitpunkt des Inkrafttretens des Gesetzes erteilte Zertifikate können berücksichtigt werden;
4.
die Erfüllung der datenschutzrechtlichen Anforderungen an das Datenschutzkonzept für die eingesetzten Verfahren und die eingesetzten informationstechnischen Einrichtungen durch Vorlage geeigneter Nachweise; der Nachweis wird dadurch geführt, dass der antragstellende Diensteanbieter ein Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorlegt; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erteilt auf schriftlichen Antrag des Diensteanbieters ein Zertifikat, wenn die datenschutzrechtlichen Kriterien erfüllt sind; die Erfüllung der datenschutzrechtlichen Kriterien wird nachgewiesen durch ein Gutachten, welches von einer vom Bund oder einem Land anerkannten oder öffentlich bestellten oder beliehenen sachverständigen Stelle für Datenschutz erstellt wurde; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kann ergänzende Angaben anfordern; die datenschutzrechtlichen Kriterien sind in einem Kriterienkatalog definiert, der in der Verantwortung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit liegt und durch ihn im Bundesanzeiger und zusätzlich im Internet oder in sonstiger geeigneter Weise veröffentlicht wird; dem Bundesamt für Sicherheit in der Informationstechnik wird Gelegenheit zur Stellungnahme gegeben, sofern Fragen der IT-Sicherheit berührt sind.

(4) Der Diensteanbieter kann, unter Einbeziehung in seine Konzepte zur Umsetzung der Anforderungen des Absatzes 1, zur Erfüllung von Pflichten nach diesem Gesetz Dritte beauftragen.

(1) Zur Verweigerung des Zeugnisses sind berechtigt:

1.
der Verlobte einer Partei;
2.
der Ehegatte einer Partei, auch wenn die Ehe nicht mehr besteht;
2a.
der Lebenspartner einer Partei, auch wenn die Lebenspartnerschaft nicht mehr besteht;
3.
diejenigen, die mit einer Partei in gerader Linie verwandt oder verschwägert, in der Seitenlinie bis zum dritten Grad verwandt oder bis zum zweiten Grad verschwägert sind oder waren;
4.
Geistliche in Ansehung desjenigen, was ihnen bei der Ausübung der Seelsorge anvertraut ist;
5.
Personen, die bei der Vorbereitung, Herstellung oder Verbreitung von periodischen Druckwerken oder Rundfunksendungen berufsmäßig mitwirken oder mitgewirkt haben, über die Person des Verfassers, Einsenders oder Gewährsmanns von Beiträgen und Unterlagen sowie über die ihnen im Hinblick auf ihre Tätigkeit gemachten Mitteilungen, soweit es sich um Beiträge, Unterlagen und Mitteilungen für den redaktionellen Teil handelt;
6.
Personen, denen kraft ihres Amtes, Standes oder Gewerbes Tatsachen anvertraut sind, deren Geheimhaltung durch ihre Natur oder durch gesetzliche Vorschrift geboten ist, in Betreff der Tatsachen, auf welche die Verpflichtung zur Verschwiegenheit sich bezieht.

(2) Die unter Nummern 1 bis 3 bezeichneten Personen sind vor der Vernehmung über ihr Recht zur Verweigerung des Zeugnisses zu belehren.

(3) Die Vernehmung der unter Nummern 4 bis 6 bezeichneten Personen ist, auch wenn das Zeugnis nicht verweigert wird, auf Tatsachen nicht zu richten, in Ansehung welcher erhellt, dass ohne Verletzung der Verpflichtung zur Verschwiegenheit ein Zeugnis nicht abgelegt werden kann.

§ 21 Informationspflicht

(1) Vergleichbare Dienste aus einem anderen Mitgliedstaat der Europäischen Union oder aus einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum sind den Diensten eines akkreditierten Diensteanbieters, mit Ausnahme solcher Dienste, die mit der Ausübung hoheitlicher Tätigkeit verbunden sind, gleichgestellt, wenn ihre Anbieter dem § 18 gleichwertige Voraussetzungen erfüllen, diese gegenüber einer zuständige Stelle nachgewiesen sind und das Fortbestehen der Erfüllung dieser Voraussetzungen durch eine in diesem Mitglied- oder Vertragsstaat bestehende Kontrolle gewährleistet wird.

(2) Die Prüfung der Gleichwertigkeit des ausländischen Diensteanbieters nach Absatz 1 obliegt der zuständigen Behörde. Die Gleichwertigkeit ausländischer Diensteanbieter ist gegeben, wenn die zuständige Behörde festgestellt hat, dass im Herkunftsland des jeweiligen Diensteanbieters

1.
die Sicherheitsanforderungen an Diensteanbieter,
2.
die Prüfungsmodalitäten für Diensteanbieter sowie die Anforderungen an die für die Prüfung der Dienste zuständigen Stellen und
3.
das Kontrollsystem
eine gleichwertige Sicherheit bieten.

(1) Die Bereitstellung eines De-Mail-Kontos umfasst die Nutzung eines sicheren elektronischen Postfach- und Versanddienstes für elektronische Nachrichten. Hierzu wird dem Nutzer eine De-Mail-Adresse für elektronische Post zugewiesen, welche folgende Angaben enthalten muss:

1.
im Domänenteil der De-Mail-Adresse eine Kennzeichnung, die ausschließlich für De-Mail-Dienste genutzt werden darf;
2.
bei natürlichen Personen im lokalen Teil deren Nachnamen und einen oder mehrere Vornamen oder einen Teil des oder der Vornamen (Hauptadresse);
3.
bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen im Domänenteil eine Bezeichnung, welche in direktem Bezug zu ihrer Firma, Namen oder sonstiger Bezeichnung steht.

(2) Der akkreditierte Diensteanbieter kann Nutzern auf Verlangen auch pseudonyme De-Mail-Adressen zur Verfügung stellen, soweit es sich bei dem Nutzer um eine natürliche Person handelt. Die Inanspruchnahme eines Dienstes durch den Nutzer unter Pseudonym ist für Dritte erkennbar zu kennzeichnen.

(3) Der Postfach- und Versanddienst hat die Vertraulichkeit, die Integrität und die Authentizität der Nachrichten zu gewährleisten. Hierzu gewährleistet der akkreditierte Diensteanbieter, dass

1.
die Kommunikation von einem akkreditierten Diensteanbieter zu jedem anderen akkreditierten Diensteanbieter über einen verschlüsselten gegenseitig authentisierten Kanal erfolgt (Transportverschlüsselung) und
2.
der Inhalt einer De-Mail-Nachricht vom akkreditierten Diensteanbieter des Senders zum akkreditierten Diensteanbieter des Empfängers verschlüsselt übertragen wird.
Der Einsatz einer durchgängigen Verschlüsselung zwischen Sender und Empfänger (Ende-zu-Ende-Verschlüsselung) bleibt hiervon unberührt.

(4) Der Sender kann eine sichere Anmeldung nach § 4 für den Abruf der Nachricht durch den Empfänger bestimmen.

(5) Der akkreditierte Diensteanbieter muss dem Nutzer ermöglichen, seine sichere Anmeldung im Sinne von § 4 in der Nachricht so bestätigen zu lassen, dass die Unverfälschtheit der Bestätigung jederzeit nachprüfbar ist. Um dieses dem Empfänger der Nachricht kenntlich zu machen, bestätigt der akkreditierte Diensteanbieter des Senders die Verwendung der sicheren Anmeldung nach § 4. Hierzu versieht er im Auftrag des Senders die Nachricht mit einer dauerhaft überprüfbaren qualifizierten elektronischen Signatur; sind der Nachricht eine oder mehrere Dateien beigefügt, bezieht sich die qualifizierte elektronische Signatur auch auf diese. Die Bestätigung enthält bei natürlichen Personen den Namen und die Vornamen, bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen die Firma, den Namen oder die Bezeichnung des Senders in der Form, in der diese nach § 3 Absatz 2 hinterlegt sind. Die Tatsache, dass der Absender diese Versandart genutzt hat, muss sich aus der Nachricht in der Form, wie sie beim Empfänger ankommt, ergeben. Die Bestätigung nach Satz 1 ist nicht zulässig bei Verwendung einer pseudonymen De-Mail-Adresse nach Absatz 2.

(6) Der akkreditierte Diensteanbieter mit Ausnahme der Diensteanbieter nach § 19 ist verpflichtet, elektronische Nachrichten nach den Vorschriften der Prozessordnungen und der Gesetze, die die Verwaltungszustellung regeln, förmlich zuzustellen. Im Umfang dieser Verpflichtung ist der akkreditierte Diensteanbieter mit Hoheitsbefugnissen ausgestattet (beliehener Unternehmer).

(7) Der akkreditierte Diensteanbieter bestätigt auf Antrag des Senders den Versand einer Nachricht. Die Versandbestätigung muss folgende Angaben enthalten:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Versands der Nachricht vom De-Mail-Postfach des Senders;
3.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Versandbestätigung erzeugt und
4.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Senders hat die Versandbestätigung mit einer qualifizierten elektronischen Signatur zu versehen.

(8) Auf Antrag des Senders wird der Eingang einer Nachricht im De-Mail-Postfach des Empfängers bestätigt. Hierbei wirken der akkreditierte Diensteanbieter des Senders und der akkreditierte Diensteanbieter des Empfängers zusammen. Der akkreditierte Diensteanbieter des Empfängers erstellt eine Eingangsbestätigung. Die Eingangsbestätigung enthält folgende Angaben:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Eingangs der Nachricht im De-Mail-Postfach des Empfängers;
3.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Eingangsbestätigung erzeugt und
4.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Empfängers hat die Eingangsbestätigung mit einer qualifizierten elektronischen Signatur zu versehen. Der akkreditierte Diensteanbieter des Empfängers sendet diesem ebenfalls die Eingangsbestätigung zu.

(9) Eine öffentliche Stelle, welche zur förmlichen Zustellung nach den Vorschriften der Prozessordnungen und der Gesetze, die die Verwaltungszustellung regeln, berechtigt ist, kann eine Abholbestätigung verlangen. Aus der Abholbestätigung ergibt sich, dass sich der Empfänger nach dem Eingang der Nachricht im Postfach an seinem De-Mail-Konto sicher im Sinne des § 4 angemeldet hat. Hierbei wirken der akkreditierte Diensteanbieter der öffentlichen Stelle als Senderin und der akkreditierte Diensteanbieter des Empfängers zusammen. Der akkreditierte Diensteanbieter des Empfängers erzeugt die Abholbestätigung. Die Abholbestätigung muss folgende Angaben enthalten:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Eingangs der Nachricht im De-Mail-Postfach des Empfängers;
3.
das Datum und die Uhrzeit der sicheren Anmeldung des Empfängers an seinem De-Mail-Konto im Sinne des § 4;
4.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Abholbestätigung erzeugt und
5.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Empfängers hat die Abholbestätigung mit einer qualifizierten elektronischen Signatur zu versehen. Der akkreditierte Diensteanbieter des Empfängers sendet diesem ebenfalls die Abholbestätigung zu. Die in Satz 5 genannten Daten dürfen ausschließlich zum Nachweis der förmlichen Zustellung im Sinne von § 5 Absatz 6 verarbeitet und genutzt werden.

(10) Der akkreditierte Diensteanbieter stellt sicher, dass Nachrichten, für die eine Eingangsbestätigung nach Absatz 8 oder eine Abholbestätigung nach Absatz 9 erteilt worden ist, durch den Empfänger ohne eine sichere Anmeldung an seinem De-Mail-Konto erst 90 Tage nach ihrem Eingang gelöscht werden können.

(11) Nutzern, die natürliche Personen sind, bietet der akkreditierte Diensteanbieter an, von allen an ihre De-Mail-Adresse adressierten Nachrichten eine Kopie an eine zuvor vom Nutzer angegebene De-Mail-Adresse (Weiterleitungsadresse) weiterzuleiten, ohne dass der Nutzer an seinem De-Mail-Konto angemeldet sein muss (automatische Weiterleitung). Der Nutzer kann ausschließen, dass im Sinne des Absatzes 4 an ihn gesendete Nachrichten weitergeleitet werden. Der Nutzer kann den Dienst der automatischen Weiterleitung jederzeit zurücknehmen. Um den Dienst der automatischen Weiterleitung nutzen zu können, muss der Nutzer sicher an seinem De-Mail-Konto angemeldet sein.