Tools:
Update via:
Synopse aller Änderungen des De-Mail-Gesetz am 26.11.2019
Diese Gegenüberstellung vergleicht die jeweils alte Fassung (linke Spalte) mit der neuen Fassung (rechte Spalte) aller am 26. November 2019 durch Artikel 14 des 2. DSAnpUG-EU geänderten Einzelnormen. Synopsen für andere Änderungstermine finden Sie in der Änderungshistorie des DeMailG.Hervorhebungen: alter Text, neuer Text
Verpasst?
a.F. (alte Fassung) in der vor dem 26.11.2019 geltenden Fassung | n.F. (neue Fassung) in der am 26.11.2019 geltenden Fassung durch Artikel 14 G. v. 20.11.2019 BGBl. I S. 1626 |
---|---|
(Textabschnitt unverändert) § 3 Eröffnung eines De-Mail-Kontos | |
(1) 1 Durch einen De-Mail-Konto-Vertrag verpflichtet sich ein akkreditierter Diensteanbieter, einem Nutzer ein De-Mail-Konto zur Verfügung zu stellen. 2 Ein De-Mail-Konto ist ein Bereich in einem De-Mail-Dienst, der einem Nutzer so zugeordnet ist, dass er nur von ihm genutzt werden kann. 3 Der akkreditierte Diensteanbieter hat durch technische Mittel sicherzustellen, dass nur der diesem De-Mail-Konto zugeordnete Nutzer Zugang zu dem ihm zugeordneten De-Mail-Konto erlangen kann. (2) 1 Der akkreditierte Diensteanbieter hat die Identität des Nutzers und bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen zusätzlich die Identität ihrer gesetzlichen Vertreter oder Organmitglieder zuverlässig festzustellen. 2 Dazu erhebt und speichert er folgende Angaben: 1. bei einer natürlichen Person Name, Geburtsort, Geburtsdatum und Anschrift; 2. bei einer juristischen Person oder Personengesellschaft oder öffentlichen Stelle Firma, Name oder Bezeichnung, Rechtsform, Registernummer, soweit vorhanden, Anschrift des Sitzes oder der Hauptniederlassung und Namen der Mitglieder des Vertretungsorgans oder der gesetzlichen Vertreter; ist ein Mitglied des Vertretungsorgans oder der gesetzliche Vertreter eine juristische Person, so wird deren Firma, Name oder Bezeichnung, Rechtsform, Registernummer, soweit vorhanden, und Anschrift des Sitzes oder der Hauptniederlassung erhoben. (3) 1 Der akkreditierte Diensteanbieter hat die Angaben nach Absatz 2 vor Freischaltung des De-Mail-Kontos des Nutzers zu überprüfen: 1. bei natürlichen Personen a) anhand eines gültigen amtlichen Ausweises, der ein Lichtbild des Inhabers enthält und mit dem die Pass- und Ausweispflicht im Inland erfüllt wird, insbesondere anhand eines inländischen oder nach ausländerrechtlichen Bestimmungen anerkannten oder zugelassenen Passes, Personalausweises oder Pass- oder Ausweisersatzes, b) anhand von Dokumenten, die bezüglich ihrer Sicherheit einem Dokument nach Buchstabe a gleichwertig sind, c) anhand eines elektronischen Identitätsnachweises nach § 18 des Personalausweisgesetzes, nach § 12 des eID-Karte-Gesetzes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes, d) anhand einer qualifizierten elektronischen Signatur oder e) anhand sonstiger geeigneter technischer Verfahren mit gleichwertiger Sicherheit zu einer Identifizierung anhand der Dokumente nach Buchstabe a; 2. bei juristischen Personen oder Personengesellschaften oder bei öffentlichen Stellen a) anhand eines Auszugs aus dem Handels- oder Genossenschaftsregister oder aus einem vergleichbaren amtlichen Register oder Verzeichnis, b) anhand der Gründungsdokumente, c) anhand von Dokumenten, die bezüglich ihrer Beweiskraft den Dokumenten nach den Buchstaben a oder b gleichwertig sind, oder d) durch Einsichtnahme in die Register- oder Verzeichnisdaten. | |
(Text alte Fassung) 2 Der akkreditierte Diensteanbieter kann von dem amtlichen Ausweis eine Kopie erstellen. 3 Er hat die Kopie unverzüglich nach Feststellung der für die Identität erforderlichen Angaben des Teilnehmers zu vernichten. 4 Der akkreditierte Diensteanbieter darf zur Identitätsfeststellung und -überprüfung mit Einwilligung des Nutzers auch personenbezogene Daten verarbeiten oder nutzen, die er zu einem früheren Zeitpunkt erhoben hat, sofern diese Daten die zuverlässige Identitätsfeststellung des Nutzers gewährleisten. | (Text neue Fassung) 2 Soweit die Anschrift von natürlichen Personen nicht durch Verfahren nach Satz 1 Nummer 1 Buchstabe a bis e überprüft werden kann, ist sie anhand behördlicher Dokumente zu überprüfen, die zum Zweck der Anschriftsbescheinigung ausgestellt worden sind; sofern keine behördlichen Dokumente beigebracht werden können, ist die Anschrift anhand sonstiger geeigneter Verfahren zur Überprüfung der postalischen Erreichbarkeit zu überprüfen. 3 Der akkreditierte Diensteanbieter kann von dem amtlichen Ausweis eine Kopie erstellen. 4 Er hat die Kopie unverzüglich nach Feststellung der für die Identität erforderlichen Angaben des Teilnehmers zu vernichten. 5 Der akkreditierte Diensteanbieter darf zur Identitätsfeststellung und -überprüfung mit Einwilligung des Nutzers auch personenbezogene Daten verarbeiten, die er zu einem früheren Zeitpunkt erhoben hat, sofern diese Daten die zuverlässige Identitätsfeststellung des Nutzers gewährleisten. |
(4) 1 Eine Nutzung der De-Mail-Dienste ist erst möglich, nachdem der akkreditierte Diensteanbieter das De-Mail-Konto des Nutzers freigeschaltet hat. 2 Die Freischaltung erfolgt, sobald 1. der akkreditierte Diensteanbieter den Nutzer eindeutig identifiziert hat und die Identitätsdaten des Nutzers und bei Absatz 2 Nummer 2 auch dessen gesetzlichen Vertreters oder der Organmitglieder erhoben und erfolgreich überprüft worden sind, 2. der akkreditierte Diensteanbieter dem Nutzer dessen für die Erstanmeldung notwendigen Anmeldedaten auf geeignetem Wege übermittelt hat, 3. der Nutzer die Bestätigung nach § 9 Absatz 2 vorgenommen hat, 4. der Nutzer in die Prüfung seiner Nachrichten auf Schadsoftware durch den akkreditierten Diensteanbieter eingewilligt hat und 5. der Nutzer im Rahmen einer Erstanmeldung nachgewiesen hat, dass er die Anmeldedaten erfolgreich nutzen konnte. (5) 1 Der akkreditierte Diensteanbieter hat nach der Freischaltung des De-Mail-Kontos eines Nutzers die Richtigkeit der zu dem Nutzer gespeicherten Identitätsdaten sicherzustellen. 2 Er hat die gespeicherten Identitätsdaten in angemessenen zeitlichen Abständen auf ihre Richtigkeit zu prüfen und soweit erforderlich zu berichtigen. | |
§ 6 Identitätsbestätigungsdienst | |
(1) 1 Der akkreditierte Diensteanbieter kann einen Identitätsbestätigungsdienst anbieten. 2 Ein solcher liegt vor, wenn sich der Nutzer der nach § 3 hinterlegten Identitätsdaten bedienen kann, um seine Identität gegenüber einem Dritten, der ebenfalls Nutzer eines De-Mail-Kontos ist, sicher elektronisch bestätigen zu lassen. 3 Die Übermittlung der Identitätsdaten erfolgt mittels einer De-Mail-Nachricht, die der akkreditierte Diensteanbieter im Auftrag des Nutzers an den Dritten, welchem gegenüber er seine Identitätsdaten mitteilen möchte, sendet. 4 Die De-Mail-Nachricht wird durch den akkreditierten Diensteanbieter mit einer qualifizierten elektronischen Signatur versehen. (2) Der akkreditierte Diensteanbieter hat Vorkehrungen dafür zu treffen, dass Identitätsdaten nicht unbemerkt gefälscht oder verfälscht werden können. | |
(3) Die zuständige Behörde kann die Sperrung eines Identitätsdatums anordnen, wenn Tatsachen die Annahme rechtfertigen, dass das Identitätsdatum auf Grund falscher Angaben ausgestellt wurde oder nicht ausreichend fälschungssicher ist. | (3) Die zuständige Behörde kann die Einschränkung der Verarbeitung eines Identitätsdatums anordnen, wenn Tatsachen die Annahme rechtfertigen, dass das Identitätsdatum auf Grund falscher Angaben ausgestellt wurde oder nicht ausreichend fälschungssicher ist. |
§ 7 Verzeichnisdienst | |
(1) 1 Der akkreditierte Diensteanbieter hat auf ausdrückliches Verlangen des Nutzers die De-Mail-Adressen, die nach § 3 hinterlegten Identitätsdaten Name und Anschrift, die für die Verschlüsselung von Nachrichten an den Nutzer notwendigen Informationen und die Information über die Möglichkeit der sicheren Anmeldung nach § 4 des Nutzers in einem Verzeichnisdienst zu veröffentlichen. 2 Der akkreditierte Diensteanbieter darf die Eröffnung eines De-Mail-Kontos für den Nutzer nicht von dem Verlangen des Nutzers nach Satz 1 abhängig machen. | |
(2) 1 Der akkreditierte Diensteanbieter hat eine De-Mail-Adresse, ein Identitätsdatum oder die für die Verschlüsselung von Nachrichten an den Nutzer notwendigen Informationen aus dem Verzeichnisdienst unverzüglich zu löschen, wenn der Nutzer dies verlangt, die Daten auf Grund falscher Angaben ausgestellt wurden, der Diensteanbieter seine Tätigkeit beendet und diese nicht von einem anderen akkreditierten Diensteanbieter fortgeführt wird oder die zuständige Behörde die Löschung aus dem Verzeichnisdienst anordnet. 2 Weitere Gründe für eine Löschung können vertraglich vereinbart werden. | (2) 1 Der akkreditierte Diensteanbieter hat eine De-Mail-Adresse, ein Identitätsdatum oder die für die Verschlüsselung von Nachrichten an den Nutzer notwendigen Informationen unverzüglich aus dem Verzeichnisdienst zu löschen, wenn 1. der Nutzer dies verlangt, 2. die Daten aufgrund falscher Angaben ausgestellt wurden, 3. der Diensteanbieter seine Tätigkeit beendet und diese nicht von einem anderen akkreditierten Diensteanbieter fortgeführt wird oder 4. die zuständige Behörde die Löschung aus dem Verzeichnisdienst anordnet. 2 Weitere Gründe für eine Löschung können vertraglich vereinbart werden. |
(3) 1 Die Veröffentlichung der De-Mail-Adresse im Verzeichnisdienst auf ein Verlangen des Nutzers als Verbraucher nach Absatz 1 allein gilt nicht als Eröffnung des Zugangs im Sinne von § 3a Absatz 1 des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch oder des § 87a Absatz 1 Satz 1 der Abgabenordnung. 2 Auf Verlangen des Nutzers muss der akkreditierte Diensteanbieter durch einen geeigneten Zusatz die Erklärung des Nutzers im Verzeichnisdienst veröffentlichen, den Zugang im Sinne von § 3a des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch und des § 87a Absatz 1 Satz 1 der Abgabenordnung eröffnen zu wollen. 3 Die Veröffentlichung der De-Mail-Adresse des Nutzers als Verbraucher mit diesem Zusatz im Verzeichnisdienst gilt als Zugangseröffnung. 4 Satz 2 gilt entsprechend für die Entscheidung des Nutzers, die Zugangseröffnung zurückzunehmen. (4) § 47 des Telekommunikationsgesetzes gilt entsprechend. | |
§ 9 Aufklärungs- und Informationspflichten | |
(1) 1 Der akkreditierte Diensteanbieter hat den Nutzer vor der erstmaligen Nutzung des De-Mail-Kontos über die Rechtsfolgen und Kosten der Nutzung von De-Mail-Diensten, insbesondere des Postfach- und Versanddienstes nach § 5, des Verzeichnisdienstes nach § 7, der Nutzung der Dokumentenablage nach § 8, der Sperrung und Auflösung des De-Mail-Kontos nach § 10, der Einstellung der Tätigkeit nach § 11, der Vertragsbeendigung nach § 12 und der Einsichtnahme nach § 13 Absatz 3 sowie über die Maßnahmen zu informieren, die notwendig sind, um einen unbefugten Zugang zum De-Mail-Konto zu verhindern. 2 Dies umfasst insbesondere auch Informationen | (1) 1 Der akkreditierte Diensteanbieter hat den Nutzer vor der erstmaligen Nutzung des De-Mail-Kontos über die Rechtsfolgen und Kosten der Nutzung von De-Mail-Diensten, insbesondere der Nutzung des Postfach- und Versanddienstes nach § 5, des Verzeichnisdienstes nach § 7 und der Dokumentenablage nach § 8, über die Rechtsfolgen und Kosten der Sperrung und Auflösung des De-Mail-Kontos nach § 10, der Einstellung der Tätigkeit nach § 11 und der Vertragsbeendigung nach § 12 sowie über die Maßnahmen zu informieren, die notwendig sind, um einen unbefugten Zugang zum De-Mail-Konto zu verhindern. 2 Dies umfasst insbesondere auch Informationen |
1. über die Möglichkeit und Bedeutung einer sicheren Anmeldung nach § 4 Absatz 1 Satz 2 sowie einen Hinweis dazu, dass ein Zugang zum De-Mail-Konto ohne sichere Anmeldung nicht den gleichen Schutz bietet wie mit einer sicheren Anmeldung und 2. über den Inhalt und die Bedeutung der Transportverschlüsselung nach § 5 Absatz 3 Satz 2 sowie der Verschlüsselung nach § 4 Absatz 3 sowie über die Unterschiede dieser Verschlüsselungen zu einer Ende-zu-Ende-Verschlüsselung nach § 5 Absatz 3 Satz 3. 3 Der akkreditierte Diensteanbieter muss den Nutzer außerdem darüber informieren, wie mit schadsoftwarebehafteten De-Mail-Nachrichten umgegangen wird. (2) Der akkreditierte Diensteanbieter darf die erstmalige Nutzung des De-Mail-Kontos nur zulassen, wenn der Nutzer die erforderlichen Informationen in Textform erhalten und in Textform bestätigt hat, dass er die Informationen nach Absatz 1 erhalten und zur Kenntnis genommen hat. (3) Informationspflichten nach anderen Gesetzen bleiben unberührt. | |
§ 10 Sperrung und Auflösung des De-Mail-Kontos | |
(1) 1 Der akkreditierte Diensteanbieter hat den Zugang zu einem De-Mail-Konto unverzüglich zu sperren, wenn 1. der Nutzer es verlangt, 2. Tatsachen die Annahme rechtfertigen, dass die zur eindeutigen Identifizierung des Nutzers beim akkreditierten Diensteanbieter gespeicherten Daten nicht ausreichend fälschungssicher sind oder dass die sichere Anmeldung gemäß § 4 Mängel aufweist, die eine unbemerkte Fälschung oder Kompromittierung des Anmeldevorgangs zulassen, 3. die zuständige Behörde die Sperrung gemäß Absatz 2 anordnet oder 4. die Voraussetzungen eines vertraglich zwischen dem akkreditierten Diensteanbieter und dem Nutzer vereinbarten Sperrgrundes vorliegen. 2 Im Fall des Satzes 1 Nummer 4 hat der akkreditierte Diensteanbieter die Sperrung so vorzunehmen, dass der Abruf von Nachrichten möglich bleibt; dies gilt nicht, soweit der vertraglich vereinbarte Sperrgrund den Abruf von Nachrichten ausschließt. 3 Der akkreditierte Diensteanbieter hat den zur Sperrung berechtigten Nutzern eine Rufnummer bekannt zu geben, unter der diese unverzüglich eine Sperrung des Zugangs veranlassen können. (2) Die zuständige Behörde kann die Sperrung eines De-Mail-Kontos anordnen, wenn Tatsachen die Annahme rechtfertigen, dass das De-Mail-Konto auf Grund falscher Angaben eröffnet wurde oder die zur eindeutigen Identifizierung des Nutzers beim akkreditierten Diensteanbieter vorgehaltenen Daten nicht ausreichend fälschungssicher sind oder die sichere Anmeldung gemäß § 4 Absatz 1 Mängel aufweist, die eine unbemerkte Fälschung oder Kompromittierung des Anmeldevorgangs zulassen. (3) Der akkreditierte Diensteanbieter hat dem Nutzer nach Wegfall des Sperrgrundes den Zugang zum De-Mail-Konto erneut zu gewähren. | |
(4) 1 Der akkreditierte Diensteanbieter hat ein De-Mail-Konto unverzüglich aufzulösen, wenn der Nutzer es verlangt oder die zuständige Behörde die Auflösung anordnet. 2 Die zuständige Behörde kann die Auflösung anordnen, wenn die Voraussetzungen des Absatzes 2 vorliegen und eine Sperrung nicht ausreichend ist. 3 Eine Vereinbarung über weitere Auflösungsgründe ist unwirksam. | (4) 1 Der akkreditierte Diensteanbieter hat ein De-Mail-Konto unverzüglich aufzulösen, wenn 1. der Nutzer dies verlangt oder 2. die zuständige Behörde die Auflösung anordnet. 2 Die zuständige Behörde kann die Auflösung anordnen, wenn die Voraussetzungen des Absatzes 2 vorliegen und eine Sperrung nicht ausreichend ist. 3 Eine Vereinbarung über weitere Auflösungsgründe ist unwirksam. |
(5) Der akkreditierte Diensteanbieter hat sich vor einer Sperrung nach Absatz 1 oder einer Auflösung nach Absatz 4 auf geeignete Weise von der Identität des zur Sperrung oder Auflösung berechtigten Nutzers zu überzeugen. (6) Im Fall einer Sperrung nach Absatz 1 Satz 1 Nummer 1 bis 3 oder Absatz 1 Satz 1 Nummer 4 in Verbindung mit Absatz 1 Satz 2 zweiter Halbsatz sowie einer Auflösung nach Absatz 4 hat der akkreditierte Diensteanbieter den Eingang von Nachrichten in das Postfach eines gesperrten oder aufgelösten De-Mail-Kontos zu unterbinden und den Absender unverzüglich davon zu informieren. (7) 1 Sofern die Sperrung oder Auflösung des De-Mail-Kontos auf Veranlassung des akkreditierten Diensteanbieters oder der zuständigen Behörde erfolgt, ist der Nutzer über die Sperrung oder Auflösung zu informieren. 2 In den Fällen des Absatzes 1 Satz 2 erster Halbsatz ist der akkreditierte Diensteanbieter verpflichtet, den Nutzer darüber zu informieren, dass er trotz Sperrung Nachrichten empfangen und abrufen kann. | |
§ 13 Dokumentation | |
(1) 1 Der akkreditierte Diensteanbieter hat alle Maßnahmen zur Sicherstellung der Voraussetzungen der Akkreditierung und zur Erfüllung der in §§ 3 bis 12 genannten Pflichten so zu dokumentieren, dass die Daten und ihre Unverfälschtheit jederzeit nachprüfbar sind. 2 Die Dokumentationspflicht umfasst den Vorgang der Eröffnung eines De-Mail-Kontos, jede Änderung von Daten, die hinsichtlich der Führung eines De-Mail-Kontos relevant sind, sowie jede Änderung hinsichtlich des Status eines De-Mail-Kontos. 3 Für angefertigte Kopien von amtlichen Ausweisen gilt § 3 Absatz 3 Satz 3. (2) Der akkreditierte Diensteanbieter hat die Dokumentation nach Absatz 1 während der Dauer des zwischen ihm und dem Nutzer bestehenden Vertragsverhältnisses sowie zehn weitere Jahre ab dem Schluss des Jahres aufzubewahren, in dem das Vertragsverhältnis endet. | |
(3) Dem Nutzer ist auf Verlangen Einsicht in die ihn betreffenden Daten zu gewähren. | |
§ 15 Datenschutz | |
Der akkreditierte Diensteanbieter darf personenbezogene Daten beim Nutzer eines De-Mail-Kontos nur erheben, verarbeiten und nutzen, soweit dies zur Bereitstellung der De-Mail-Dienste und deren Durchführung erforderlich ist; im Übrigen gelten die Regelungen des Telemediengesetzes, des Telekommunikationsgesetzes und des Bundesdatenschutzgesetzes. | 1 Der akkreditierte Diensteanbieter darf personenbezogene Daten des Nutzers eines De-Mail-Kontos nur verarbeiten, soweit dies zur Bereitstellung der De-Mail-Dienste und deren Durchführung erforderlich ist; im Übrigen gelten die Regelungen des Telemediengesetzes, des Telekommunikationsgesetzes und des Bundesdatenschutzgesetzes. 2 Die datenschutzrechtlichen Regelungen dieser Gesetze gelten ergänzend zu der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72; L 127 vom 23.5.2018, S. 2) in der jeweils geltenden Fassung. |
§ 16 Auskunftsanspruch | |
(1) Ein akkreditierter Diensteanbieter erteilt Dritten Auskunft über Namen und Anschrift eines Nutzers, wenn 1. der Dritte glaubhaft macht, die Auskunft zur Verfolgung eines Rechtsanspruches gegen den Nutzer zu benötigen, 2. sich die Auskunft auf ein Rechtsverhältnis zwischen dem Dritten und dem Nutzer bezieht, das unter Nutzung von De-Mail zustande gekommen ist, 3. der Dritte die zur Feststellung seiner Identität notwendigen Angaben im Sinne von § 3 Absatz 2 macht, 4. der akkreditierte Diensteanbieter die Richtigkeit der Angaben nach § 3 Absatz 3 überprüft hat, 5. das Verlangen nicht rechtsmissbräuchlich ist, insbesondere nicht allein dem Zweck dient, ein Pseudonym aufzudecken, und 6. die schutzwürdigen Interessen des Nutzers im Einzelfall nicht überwiegen. (2) 1 Der Dritte hat dem akkreditierten Diensteanbieter zur Glaubhaftmachung nach Absatz 1 Nummer 1 elektronische Nachrichten oder Schriftstücke zu übermitteln, aus denen sich das Rechtsverhältnis zum Nutzer ergibt, sofern diese angefallen sind. 2 Der akkreditierte Diensteanbieter hat den Nutzer von dem Auskunftsersuchen unverzüglich und unter Benennung des Dritten zu informieren und ihm Gelegenheit zur Stellungnahme zum Auskunftsersuchen zu gewähren, soweit dies die Verfolgung des Rechtsanspruchs des Dritten nicht im Einzelfall gefährdet. (3) Der akkreditierte Diensteanbieter kann den Ersatz der für die Auskunftserteilung erforderlichen Aufwendungen verlangen. | |
(4) § 7 des Bundesdatenschutzgesetzes gilt entsprechend. (5) Die durch die Auskunftserteilung erlangten Daten dürfen nur zu dem bei dem Ersuchen angegebenen Zweck verwendet werden. (6) 1 Der akkreditierte Diensteanbieter hat die Auskunftserteilung nach Absatz 1 zu dokumentieren und den Nutzer von der Erteilung der Auskunft zu informieren. 2 Die Dokumentationspflicht nach Satz 1 umfasst den Antrag zur Auskunftserteilung samt Angabe des Dritten nach Absatz 1, die Entscheidung des akkreditierten Diensteanbieters, die Identifizierungsdaten des bearbeitenden Mitarbeiters des akkreditierten Diensteanbieters, die Mitteilung des Ergebnisses an den auskunftsersuchenden Dritten, die Mitteilung über die Auskunftserteilung an den Nutzer und die jeweilige gesetzliche Zeit bei einzelnen Prozessen innerhalb der Auskunftserteilung. 3 Die Dokumentation ist drei Jahre aufzubewahren. (7) Die §§ 13 und 13a des Gesetzes über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen bleiben unberührt. (8) Die nach anderen Rechtsvorschriften bestehenden Regelungen zu Auskünften gegenüber öffentlichen Stellen bleiben unberührt. | (4) Die durch die Auskunftserteilung erlangten Daten dürfen nur zu dem bei dem Ersuchen angegebenen Zweck verwendet werden. (5) 1 Der akkreditierte Diensteanbieter hat die Auskunftserteilung nach Absatz 1 zu dokumentieren und den Nutzer von der Erteilung der Auskunft zu informieren. 2 Die Dokumentationspflicht nach Satz 1 umfasst den Antrag zur Auskunftserteilung samt Angabe des Dritten nach Absatz 1, die Entscheidung des akkreditierten Diensteanbieters, die Identifizierungsdaten des bearbeitenden Mitarbeiters des akkreditierten Diensteanbieters, die Mitteilung des Ergebnisses an den auskunftsersuchenden Dritten, die Mitteilung über die Auskunftserteilung an den Nutzer und die jeweilige gesetzliche Zeit bei einzelnen Prozessen innerhalb der Auskunftserteilung. 3 Die Dokumentation ist drei Jahre aufzubewahren. (6) Die §§ 13 und 13a des Gesetzes über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen bleiben unberührt. (7) Die nach anderen Rechtsvorschriften bestehenden Regelungen zu Auskünften gegenüber öffentlichen Stellen bleiben unberührt. |
§ 18 Voraussetzungen der Akkreditierung; Nachweis | |
(1) Als Diensteanbieter kann nur akkreditiert werden, wer 1. die für den Betrieb von De-Mail-Diensten erforderliche Zuverlässigkeit und Fachkunde besitzt, 2. eine geeignete Deckungsvorsorge trifft, um seinen gesetzlichen Verpflichtungen zum Ersatz von Schäden nachzukommen, 3. die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 sowie nach § 16 in der Weise erfüllt, dass er die Dienste zuverlässig und sicher erbringt, er mit den anderen akkreditierten Diensteanbietern zusammenwirkt und für die Erbringung der Dienste ausschließlich technische Geräte verwendet, die sich im Gebiet der Mitgliedstaaten der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum befinden, 4. bei der Gestaltung und dem Betrieb der De-Mail-Dienste die datenschutzrechtlichen Anforderungen erfüllt. | |
(2) 1 Die Diensteanbieter haben die technischen und organisatorischen Anforderungen nach den §§ 3 bis 13 sowie nach § 16 nach dem Stand der Technik zu erfüllen. 2 Die Einhaltung des Standes der Technik wird vermutet, wenn die Technische Richtlinie 01201 De-Mail des Bundesamtes für Sicherheit in der Informationstechnik vom 23. März 2011 (eBAnz AT40 2011 B1) in der jeweils im Bundesanzeiger veröffentlichten Fassung eingehalten wird. 3 Bevor das Bundesamt für Sicherheit in der Informationstechnik wesentliche Änderungen an der Technischen Richtlinie vornimmt, hört es den Ausschuss De-Mail-Standardisierung im Sinne des § 22 an, und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wird hierbei Gelegenheit zur Stellungnahme gegeben, sofern Fragen des Datenschutzes berührt sind. | (2) 1 Die Diensteanbieter haben die technischen und organisatorischen Anforderungen nach den §§ 3 bis 13 sowie nach § 16 nach dem Stand der Technik zu erfüllen. 2 Die Einhaltung des Standes der Technik wird vermutet, wenn die Technische Richtlinie 01201 De-Mail des Bundesamtes für Sicherheit in der Informationstechnik vom 23. März 2011 (eBAnz AT40 2011 B1) in der jeweils im Bundesanzeiger veröffentlichten Fassung eingehalten wird. 3 Bevor das Bundesamt für Sicherheit in der Informationstechnik wesentliche Änderungen an der Technischen Richtlinie vornimmt, hört es den Ausschuss De-Mail-Standardisierung im Sinne des § 22 an, und dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wird hierbei Gelegenheit zur Stellungnahme gegeben, sofern Fragen des Datenschutzes berührt sind. |
(3) Die Voraussetzungen nach Absatz 1 werden wie folgt nachgewiesen: 1. die erforderliche Zuverlässigkeit und Fachkunde durch Nachweise über die persönlichen Eigenschaften, das Verhalten und die entsprechenden Fähigkeiten seiner oder der in seinem Betrieb tätigen Personen; als Nachweis der erforderlichen Fachkunde ist es in der Regel ausreichend, wenn für die jeweilige Aufgabe im Betrieb entsprechende Zeugnisse oder Nachweise über die dafür notwendigen Kenntnisse, Erfahrungen und Fertigkeiten vorgelegt werden; 2. 1 eine ausreichende Deckungsvorsorge durch den Abschluss einer Versicherung oder die Freistellungs- oder Gewährleistungsverpflichtung eines Kreditunternehmens mit einer Mindestdeckungssumme von jeweils 250.000 Euro für einen verursachten Schaden. 2 Die Deckungsvorsorge kann erbracht werden durch a) eine Haftpflichtversicherung bei einem innerhalb der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Versicherungsunternehmen oder b) eine Freistellungs- oder Gewährleistungsverpflichtung eines in einem der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Kreditinstituts, wenn gewährleistet ist, dass sie einer Haftpflichtversicherung vergleichbare Sicherheit bietet. 3 Soweit die Deckungsvorsorge durch eine Versicherung erbracht wird, gilt Folgendes: a) Auf diese Versicherung finden § 113 Absatz 2 und 3 und die §§ 114 bis 124 des Versicherungsvertragsgesetzes Anwendung. b) 1 Die Mindestversicherungssumme muss 2,5 Millionen Euro für den einzelnen Versicherungsfall betragen. 2 Versicherungsfall ist jede Pflichtverletzung des Diensteanbieters, unabhängig von der Anzahl der dadurch ausgelösten Schadensfälle. 3 Wird eine Jahreshöchstleistung für alle in einem Versicherungsjahr verursachten Schäden vereinbart, muss sie mindestens das Vierfache der Mindestversicherungssumme betragen. c) Von der Versicherung kann die Leistung nur ausgeschlossen werden für Ersatzansprüche aus vorsätzlich begangener Pflichtverletzung des akkreditierten Diensteanbieters oder der Personen, für die er einzustehen hat. d) Die Vereinbarung eines Selbstbehaltes bis zu 1 Prozent der Mindestversicherungssumme ist zulässig; 3. die Erfüllung der technischen und organisatorischen Anforderungen an die Pflichten im Sinne des Absatzes 1 Nummer 3 durch vom Bundesamt für Sicherheit in der Informationstechnik nach § 9 Absatz 2 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik zertifizierten IT-Sicherheitsdienstleistern erteilte Testate; das Zusammenwirken mit den anderen akkreditierten Diensteanbietern kann nur nach ausreichenden Prüfungen bestätigt werden; die Sicherheit der Dienste kann nur nach einer umfassenden im Rahmen der Vergabe der Testate stattfindenden Prüfung des Sicherheitskonzepts und der eingesetzten IT-Infrastrukturen bestätigt werden; zum Zeitpunkt des Inkrafttretens des Gesetzes erteilte Zertifikate können berücksichtigt werden; | |
4. die Erfüllung der datenschutzrechtlichen Anforderungen an das Datenschutzkonzept für die eingesetzten Verfahren und die eingesetzten informationstechnischen Einrichtungen durch Vorlage geeigneter Nachweise; der Nachweis wird dadurch geführt, dass der antragstellende Diensteanbieter ein Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorlegt; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erteilt auf schriftlichen Antrag des Diensteanbieters ein Zertifikat, wenn die datenschutzrechtlichen Kriterien erfüllt sind; die Erfüllung der datenschutzrechtlichen Kriterien wird nachgewiesen durch ein Gutachten, welches von einer vom Bund oder einem Land anerkannten oder öffentlich bestellten oder beliehenen sachverständigen Stelle für Datenschutz erstellt wurde; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kann ergänzende Angaben anfordern; die datenschutzrechtlichen Kriterien sind in einem Kriterienkatalog definiert, der in der Verantwortung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit liegt und durch ihn im Bundesanzeiger und zusätzlich im Internet oder in sonstiger geeigneter Weise veröffentlicht wird; dem Bundesamt für Sicherheit in der Informationstechnik wird Gelegenheit zur Stellungnahme gegeben, sofern Fragen der IT-Sicherheit berührt sind. | 4. die Erfüllung der datenschutzrechtlichen Anforderungen an das Datenschutzkonzept für die eingesetzten Verfahren und die eingesetzten informationstechnischen Einrichtungen durch Vorlage geeigneter Nachweise; der Nachweis wird dadurch geführt, dass der antragstellende Diensteanbieter ein Zertifikat des oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorlegt; der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erteilt auf schriftlichen Antrag des Diensteanbieters ein Zertifikat, wenn die datenschutzrechtlichen Kriterien erfüllt sind; die Erfüllung der datenschutzrechtlichen Kriterien wird nachgewiesen durch ein Gutachten, welches von einer vom Bund oder einem Land anerkannten oder öffentlich bestellten oder beliehenen sachverständigen Stelle für Datenschutz erstellt wurde; der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kann ergänzende Angaben anfordern; die datenschutzrechtlichen Kriterien sind in einem Kriterienkatalog definiert, der in der Verantwortung des oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit liegt und durch ihn oder sie im Bundesanzeiger und zusätzlich im Internet oder in sonstiger geeigneter Weise veröffentlicht wird; dem Bundesamt für Sicherheit in der Informationstechnik wird Gelegenheit zur Stellungnahme gegeben, sofern Fragen der IT-Sicherheit berührt sind. |
(4) Der Diensteanbieter kann, unter Einbeziehung in seine Konzepte zur Umsetzung der Anforderungen des Absatzes 1, zur Erfüllung von Pflichten nach diesem Gesetz Dritte beauftragen. | |
§ 22 Ausschuss De-Mail-Standardisierung | |
1 Die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 sowie nach § 16 werden unter Beteiligung der akkreditierten Diensteanbieter weiterentwickelt; dies gilt nicht für Anforderungen, die das Zusammenwirken zwischen den akkreditierten Diensteanbietern als solches oder die Sicherheit betreffen. 2 Zu diesem Zweck wird ein Ausschuss De-Mail-Standardisierung gegründet, dem mindestens alle akkreditierten Diensteanbieter, je ein Vertreter von zwei auf Bundesebene bestehenden Gesamtverbänden, deren Belange berührt sind, das Bundesamt für Sicherheit in der Informationstechnik, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, ein vom IT-Planungsrat beauftragter Vertreter der Länder sowie ein Vertreter des Rates der IT-Beauftragten der Bundesregierung angehören. 3 Die Entscheidung, welche beiden Verbände dem Ausschuss angehören sollen, liegt im Ermessen der zuständigen Behörde. 4 Wird der Rat der IT-Beauftragten der Bundesregierung aufgelöst, tritt an dessen Stelle die von der Bundesregierung bestimmte Nachfolgeorganisation. 5 Der Ausschuss tagt mindestens einmal im Jahr. | 1 Die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 sowie nach § 16 werden unter Beteiligung der akkreditierten Diensteanbieter weiterentwickelt; dies gilt nicht für Anforderungen, die das Zusammenwirken zwischen den akkreditierten Diensteanbietern als solches oder die Sicherheit betreffen. 2 Zu diesem Zweck wird ein Ausschuss De-Mail-Standardisierung gegründet, dem mindestens alle akkreditierten Diensteanbieter, je ein Vertreter von zwei auf Bundesebene bestehenden Gesamtverbänden, deren Belange berührt sind, das Bundesamt für Sicherheit in der Informationstechnik, der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, ein vom IT-Planungsrat beauftragter Vertreter der Länder sowie ein Vertreter des Rates der IT-Beauftragten der Bundesregierung angehören. 3 Die Entscheidung, welche beiden Verbände dem Ausschuss angehören sollen, liegt im Ermessen der zuständigen Behörde. 4 Wird der Rat der IT-Beauftragten der Bundesregierung aufgelöst, tritt an dessen Stelle die von der Bundesregierung bestimmte Nachfolgeorganisation. 5 Der Ausschuss tagt mindestens einmal im Jahr. |
§ 23 Bußgeldvorschriften | |
(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 1. entgegen § 3 Absatz 1 Satz 3 nicht sicherstellt, dass nur der Nutzer Zugang erlangen kann, 2. entgegen § 3 Absatz 3 Satz 1 Nummer 1 erster Halbsatz oder Nummer 2 eine dort genannte Angabe nicht oder nicht rechtzeitig überprüft, 3. entgegen § 4 Absatz 1 Satz 2 nicht sicherstellt, dass eine sichere Anmeldung nur in den dort genannten Fällen erfolgt, 4. entgegen § 4 Absatz 3 nicht sicherstellt, dass eine Kommunikationsverbindung verschlüsselt erfolgt, | |
5. entgegen § 7 Absatz 2 Satz 1 dort genannte Daten nicht oder nicht rechtzeitig löscht, 6. entgegen § 10 Absatz 1 Satz 1 oder Absatz 4 Satz 1 den Zugang zu einem De-Mail-Konto nicht oder nicht rechtzeitig sperrt oder das De-Mail-Konto nicht oder nicht rechtzeitig auflöst, | 5. entgegen § 7 Absatz 2 Satz 1 Nummer 2 oder 4 dort genannte Daten nicht oder nicht rechtzeitig löscht, 6. entgegen § 10 Absatz 1 Satz 1 oder Absatz 4 Satz 1 Nummer 2 den Zugang zu einem De-Mail-Konto nicht oder nicht rechtzeitig sperrt oder das De-Mail-Konto nicht oder nicht rechtzeitig auflöst, |
7. entgegen § 11 Absatz 1 Satz 1 eine Anzeige nicht, nicht richtig oder nicht rechtzeitig erstattet, 8. entgegen § 11 Absatz 1 Satz 3 einen Nutzer nicht, nicht richtig oder nicht rechtzeitig benachrichtigt, 9. entgegen § 11 Absatz 2 nicht sicherstellt, dass die dort genannten Daten abrufbar bleiben, 10. entgegen § 12 den Zugriff auf dort genannte Daten nicht ermöglicht oder einen Hinweis nicht, nicht richtig oder nicht rechtzeitig gibt, 11. entgegen § 13 Absatz 1 eine Dokumentation nicht oder nicht richtig erstellt, | |
12. entgegen § 13 Absatz 2 eine Dokumentation nicht oder nicht mindestens zehn Jahre aufbewahrt, 13. entgegen § 15 die dort genannten Daten zu einem anderen Zweck erhebt oder verarbeitet, 14. entgegen § 16 Absatz 5 dort genannte Daten zu einem anderen Zweck verwendet oder 15. entgegen § 17 Absatz 1 Satz 6 sich auf die nachgewiesene Sicherheit beruft oder das Gütezeichen führt. (2) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 1 Nummer 5, 6, 13 und 14 mit einer Geldbuße bis zu dreihunderttausend Euro und in den übrigen Fällen mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden. | 12. entgegen § 13 Absatz 2 eine Dokumentation nicht oder nicht mindestens zehn Jahre aufbewahrt oder 13. entgegen § 17 Absatz 1 Satz 6 sich auf die nachgewiesene Sicherheit beruft oder das Gütezeichen führt. (2) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 1 Nummer 5 und 6 mit einer Geldbuße bis zu dreihunderttausend Euro und in den übrigen Fällen mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden. |
(3) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist das Bundesamt für Sicherheit in der Informationstechnik. |
Link zu dieser Seite: https://www.buzer.de/gesetz/9703/v229417-2019-11-26.htm