De-Mail-Gesetz (De-Mail-G) : Akkreditierung

Abschnitt 4
Akkreditierung

§ 17 Akkreditierung von Diensteanbietern

(1) Diensteanbieter, die De-Mail-Dienste anbieten wollen, müssen sich auf schriftlichen Antrag von der zuständigen Behörde akkreditieren lassen. Die Akkreditierung ist zu erteilen, wenn der Diensteanbieter nachweist, dass er die Voraussetzungen nach § 18

(1) Als Diensteanbieter kann nur akkreditiert werden, wer

1.
die für den Betrieb von De-Mail-Diensten erforderliche Zuverlässigkeit und Fachkunde besitzt,
2.
eine geeignete Deckungsvorsorge trifft, um seinen gesetzlichen Verpflichtungen zum Ersatz von Schäden nachzukommen,
3.
die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 sowie nach § 16 in der Weise erfüllt, dass er die Dienste zuverlässig und sicher erbringt, er mit den anderen akkreditierten Diensteanbietern zusammenwirkt und für die Erbringung der Dienste ausschließlich technische Geräte verwendet, die sich im Gebiet der Mitgliedstaaten der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum befinden,
4.
bei der Gestaltung und dem Betrieb der De-Mail-Dienste die datenschutzrechtlichen Anforderungen erfüllt.

(2) Die Diensteanbieter haben die technischen und organisatorischen Anforderungen nach den §§ 3 bis 13 sowie nach § 16 nach dem Stand der Technik zu erfüllen. Die Einhaltung des Standes der Technik wird vermutet, wenn die Technische Richtlinie 01201 De-Mail des Bundesamtes für Sicherheit in der Informationstechnik vom 23. März 2011 (eBAnz AT40 2011 B1) in der jeweils im Bundesanzeiger veröffentlichten Fassung eingehalten wird. Bevor das Bundesamt für Sicherheit in der Informationstechnik wesentliche Änderungen an der Technischen Richtlinie vornimmt, hört es den Ausschuss De-Mail-Standardisierung im Sinne des § 22 an, und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wird hierbei Gelegenheit zur Stellungnahme gegeben, sofern Fragen des Datenschutzes berührt sind.

(3) Die Voraussetzungen nach Absatz 1 werden wie folgt nachgewiesen:

1.
die erforderliche Zuverlässigkeit und Fachkunde durch Nachweise über die persönlichen Eigenschaften, das Verhalten und die entsprechenden Fähigkeiten seiner oder der in seinem Betrieb tätigen Personen; als Nachweis der erforderlichen Fachkunde ist es in der Regel ausreichend, wenn für die jeweilige Aufgabe im Betrieb entsprechende Zeugnisse oder Nachweise über die dafür notwendigen Kenntnisse, Erfahrungen und Fertigkeiten vorgelegt werden;
2.
eine ausreichende Deckungsvorsorge durch den Abschluss einer Versicherung oder die Freistellungs- oder Gewährleistungsverpflichtung eines Kreditunternehmens mit einer Mindestdeckungssumme von jeweils 250 000 Euro für einen verursachten Schaden. Die Deckungsvorsorge kann erbracht werden durch
a)
eine Haftpflichtversicherung bei einem innerhalb der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Versicherungsunternehmen oder
b)
eine Freistellungs- oder Gewährleistungsverpflichtung eines in einem der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Kreditinstituts, wenn gewährleistet ist, dass sie einer Haftpflichtversicherung vergleichbare Sicherheit bietet.
Soweit die Deckungsvorsorge durch eine Versicherung erbracht wird, gilt Folgendes:
a)
Auf diese Versicherung finden § 113 Absatz 2 und 3 und die §§ 114 bis 124 des Versicherungsvertragsgesetzes Anwendung.
b)
Die Mindestversicherungssumme muss 2,5 Millionen Euro für den einzelnen Versicherungsfall betragen. Versicherungsfall ist jede Pflichtverletzung des Diensteanbieters, unabhängig von der Anzahl der dadurch ausgelösten Schadensfälle. Wird eine Jahreshöchstleistung für alle in einem Versicherungsjahr verursachten Schäden vereinbart, muss sie mindestens das Vierfache der Mindestversicherungssumme betragen.
c)
Von der Versicherung kann die Leistung nur ausgeschlossen werden für Ersatzansprüche aus vorsätzlich begangener Pflichtverletzung des akkreditierten Diensteanbieters oder der Personen, für die er einzustehen hat.
d)
Die Vereinbarung eines Selbstbehaltes bis zu 1 Prozent der Mindestversicherungssumme ist zulässig;
3.
die Erfüllung der technischen und organisatorischen Anforderungen an die Pflichten im Sinne des Absatzes 1 Nummer 3 durch vom Bundesamt für Sicherheit in der Informationstechnik nach § 9 Absatz 2 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik zertifizierten IT-Sicherheitsdienstleistern erteilte Testate; das Zusammenwirken mit den anderen akkreditierten Diensteanbietern kann nur nach ausreichenden Prüfungen bestätigt werden; die Sicherheit der Dienste kann nur nach einer umfassenden im Rahmen der Vergabe der Testate stattfindenden Prüfung des Sicherheitskonzepts und der eingesetzten IT-Infrastrukturen bestätigt werden; zum Zeitpunkt des Inkrafttretens des Gesetzes erteilte Zertifikate können berücksichtigt werden;
4.
die Erfüllung der datenschutzrechtlichen Anforderungen an das Datenschutzkonzept für die eingesetzten Verfahren und die eingesetzten informationstechnischen Einrichtungen durch Vorlage geeigneter Nachweise; der Nachweis wird dadurch geführt, dass der antragstellende Diensteanbieter ein Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorlegt; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erteilt auf schriftlichen Antrag des Diensteanbieters ein Zertifikat, wenn die datenschutzrechtlichen Kriterien erfüllt sind; die Erfüllung der datenschutzrechtlichen Kriterien wird nachgewiesen durch ein Gutachten, welches von einer vom Bund oder einem Land anerkannten oder öffentlich bestellten oder beliehenen sachverständigen Stelle für Datenschutz erstellt wurde; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kann ergänzende Angaben anfordern; die datenschutzrechtlichen Kriterien sind in einem Kriterienkatalog definiert, der in der Verantwortung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit liegt und durch ihn im Bundesanzeiger und zusätzlich im Internet oder in sonstiger geeigneter Weise veröffentlicht wird; dem Bundesamt für Sicherheit in der Informationstechnik wird Gelegenheit zur Stellungnahme gegeben, sofern Fragen der IT-Sicherheit berührt sind.

(4) Der Diensteanbieter kann, unter Einbeziehung in seine Konzepte zur Umsetzung der Anforderungen des Absatzes 1, zur Erfüllung von Pflichten nach diesem Gesetz Dritte beauftragen.

erfüllt und wenn die Ausübung der Aufsicht über den Diensteanbieter durch die zuständige Behörde gewährleistet ist. Akkreditierte Diensteanbieter erhalten ein Gütezeichen der zuständigen Behörde. Das Gütezeichen dient als Nachweis für die umfassend geprüfte technische und administrative Sicherheit der De-Mail-Dienste. Sie dürfen sich als akkreditierte Diensteanbieter bezeichnen. Nur akkreditierte Diensteanbieter dürfen sich im Geschäftsverkehr auf die nachgewiesene Sicherheit berufen und das Gütezeichen führen. Weitere Kennzeichnungen können akkreditierten Diensteanbietern vorbehalten sein.

(2) Über den Antrag nach § 17 Absatz 1 Satz 1

(1) Diensteanbieter, die De-Mail-Dienste anbieten wollen, müssen sich auf schriftlichen Antrag von der zuständigen Behörde akkreditieren lassen. Die Akkreditierung ist zu erteilen, wenn der Diensteanbieter nachweist, dass er die Voraussetzungen nach § 18 erfüllt und wenn die Ausübung der Aufsicht über den Diensteanbieter durch die zuständige Behörde gewährleistet ist. Akkreditierte Diensteanbieter erhalten ein Gütezeichen der zuständigen Behörde. Das Gütezeichen dient als Nachweis für die umfassend geprüfte technische und administrative Sicherheit der De-Mail-Dienste. Sie dürfen sich als akkreditierte Diensteanbieter bezeichnen. Nur akkreditierte Diensteanbieter dürfen sich im Geschäftsverkehr auf die nachgewiesene Sicherheit berufen und das Gütezeichen führen. Weitere Kennzeichnungen können akkreditierten Diensteanbietern vorbehalten sein.

(2) Über den Antrag nach § 17 Absatz 1 Satz 1 ist innerhalb einer Frist von drei Monaten zu entscheiden; § 42a Absatz 2 Satz 2 bis 4 des Verwaltungsverfahrensgesetzes findet Anwendung.

(3) Die Akkreditierung ist nach wesentlichen Veränderungen, spätestens jedoch nach drei Jahren zu erneuern.

ist innerhalb einer Frist von drei Monaten zu entscheiden; § 42a Absatz 2 Satz 2 bis 4

(1) Eine beantragte Genehmigung gilt nach Ablauf einer für die Entscheidung festgelegten Frist als erteilt (Genehmigungsfiktion), wenn dies durch Rechtsvorschrift angeordnet und der Antrag hinreichend bestimmt ist. Die Vorschriften über die Bestandskraft von Verwaltungsakten und über das Rechtsbehelfsverfahren gelten entsprechend.

(2) Die Frist nach Absatz 1 Satz 1 beträgt drei Monate, soweit durch Rechtsvorschrift nichts Abweichendes bestimmt ist. Die Frist beginnt mit Eingang der vollständigen Unterlagen. Sie kann einmal angemessen verlängert werden, wenn dies wegen der Schwierigkeit der Angelegenheit gerechtfertigt ist. Die Fristverlängerung ist zu begründen und rechtzeitig mitzuteilen.

(3) Auf Verlangen ist demjenigen, dem der Verwaltungsakt nach § 41 Abs. 1 hätte bekannt gegeben werden müssen, der Eintritt der Genehmigungsfiktion schriftlich zu bescheinigen.

des Verwaltungsverfahrensgesetzes findet Anwendung.

(3) Die Akkreditierung ist nach wesentlichen Veränderungen, spätestens jedoch nach drei Jahren zu erneuern.

§ 18 Voraussetzungen der Akkreditierung; Nachweis

(1) Als Diensteanbieter kann nur akkreditiert werden, wer

1.
die für den Betrieb von De-Mail-Diensten erforderliche Zuverlässigkeit und Fachkunde besitzt,
2.
eine geeignete Deckungsvorsorge trifft, um seinen gesetzlichen Verpflichtungen zum Ersatz von Schäden nachzukommen,
3.
die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13
§ 3 Eröffnung eines De-Mail-Kontos

(1) Durch einen De-Mail-Konto-Vertrag verpflichtet sich ein akkreditierter Diensteanbieter, einem Nutzer ein De-Mail-Konto zur Verfügung zu stellen. Ein De-Mail-Konto ist ein Bereich in einem De-Mail-Dienst, der einem Nutzer so zugeordnet ist, dass er nur von ihm genutzt werden kann. Der akkreditierte Diensteanbieter hat durch technische Mittel sicherzustellen, dass nur der diesem De-Mail-Konto zugeordnete Nutzer Zugang zu dem ihm zugeordneten De-Mail-Konto erlangen kann.

(2) Der akkreditierte Diensteanbieter hat die Identität des Nutzers und bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen zusätzlich die Identität ihrer gesetzlichen Vertreter oder Organmitglieder zuverlässig festzustellen. Dazu erhebt und speichert er folgende Angaben:

1.
bei einer natürlichen Person Name, Geburtsort, Geburtsdatum und Anschrift;
2.
bei einer juristischen Person oder Personengesellschaft oder öffentlichen Stelle Firma, Name oder Bezeichnung, Rechtsform, Registernummer, soweit vorhanden, Anschrift des Sitzes oder der Hauptniederlassung und Namen der Mitglieder des Vertretungsorgans oder der gesetzlichen Vertreter; ist ein Mitglied des Vertretungsorgans oder der gesetzliche Vertreter eine juristische Person, so wird deren Firma, Name oder Bezeichnung, Rechtsform, Registernummer, soweit vorhanden, und Anschrift des Sitzes oder der Hauptniederlassung erhoben.

(3) Der akkreditierte Diensteanbieter hat die Angaben nach Absatz 2 vor Freischaltung des De-Mail-Kontos des Nutzers zu überprüfen:

1.
bei natürlichen Personen
a)
anhand eines gültigen amtlichen Ausweises, der ein Lichtbild des Inhabers enthält und mit dem die Pass- und Ausweispflicht im Inland erfüllt wird, insbesondere anhand eines inländischen oder nach ausländerrechtlichen Bestimmungen anerkannten oder zugelassenen Passes, Personalausweises oder Pass- oder Ausweisersatzes,
b)
anhand von Dokumenten, die bezüglich ihrer Sicherheit einem Dokument nach Buchstabe a gleichwertig sind,
c)
anhand eines elektronischen Identitätsnachweises nach § 18 des Personalausweisgesetzes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes,
d)
anhand einer qualifizierten elektronischen Signatur oder
e)
anhand sonstiger geeigneter technischer Verfahren mit gleichwertiger Sicherheit zu einer Identifizierung anhand der Dokumente nach Buchstabe a;
2.
bei juristischen Personen oder Personengesellschaften oder bei öffentlichen Stellen
a)
anhand eines Auszugs aus dem Handels- oder Genossenschaftsregister oder aus einem vergleichbaren amtlichen Register oder Verzeichnis,
b)
anhand der Gründungsdokumente,
c)
anhand von Dokumenten, die bezüglich ihrer Beweiskraft den Dokumenten nach den Buchstaben a oder b gleichwertig sind, oder
d)
durch Einsichtnahme in die Register- oder Verzeichnisdaten.
Der akkreditierte Diensteanbieter kann von dem amtlichen Ausweis eine Kopie erstellen. Er hat die Kopie unverzüglich nach Feststellung der für die Identität erforderlichen Angaben des Teilnehmers zu vernichten. Der akkreditierte Diensteanbieter darf zur Identitätsfeststellung und -überprüfung mit Einwilligung des Nutzers auch personenbezogene Daten verarbeiten oder nutzen, die er zu einem früheren Zeitpunkt erhoben hat, sofern diese Daten die zuverlässige Identitätsfeststellung des Nutzers gewährleisten.

(4) Eine Nutzung der De-Mail-Dienste ist erst möglich, nachdem der akkreditierte Diensteanbieter das De-Mail-Konto des Nutzers freigeschaltet hat. Die Freischaltung erfolgt, sobald

1.
der akkreditierte Diensteanbieter den Nutzer eindeutig identifiziert hat und die Identitätsdaten des Nutzers und bei Absatz 2 Nummer 2 auch dessen gesetzlichen Vertreters oder der Organmitglieder erhoben und erfolgreich überprüft worden sind,
2.
der akkreditierte Diensteanbieter dem Nutzer dessen für die Erstanmeldung notwendigen Anmeldedaten auf geeignetem Wege übermittelt hat,
3.
der Nutzer die Bestätigung nach § 9 Absatz 2 vorgenommen hat,
4.
der Nutzer in die Prüfung seiner Nachrichten auf Schadsoftware durch den akkreditierten Diensteanbieter eingewilligt hat und
5.
der Nutzer im Rahmen einer Erstanmeldung nachgewiesen hat, dass er die Anmeldedaten erfolgreich nutzen konnte.

(5) Der akkreditierte Diensteanbieter hat nach der Freischaltung des De-Mail-Kontos eines Nutzers die Richtigkeit der zu dem Nutzer gespeicherten Identitätsdaten sicherzustellen. Er hat die gespeicherten Identitätsdaten in angemessenen zeitlichen Abständen auf ihre Richtigkeit zu prüfen und soweit erforderlich zu berichtigen.

§ 4 Anmeldung zu einem De-Mail-Konto

(1) Der akkreditierte Diensteanbieter muss dem Nutzer den Zugang zu seinem De-Mail-Konto und den einzelnen Diensten mit einer sicheren Anmeldung oder auf Verlangen des Nutzers auch ohne eine solche sichere Anmeldung ermöglichen. Für die sichere Anmeldung hat der akkreditierte Diensteanbieter sicherzustellen, dass zum Schutz gegen eine unberechtigte Nutzung der Zugang zum De-Mail-Konto nur möglich ist, wenn zwei geeignete und voneinander unabhängige Sicherungsmittel eingesetzt werden; soweit bei den Sicherungsmitteln Geheimnisse verwendet werden, ist deren Einmaligkeit und Geheimhaltung sicherzustellen. Der Zugang zum De-Mail-Konto erfolgt ohne eine sichere Anmeldung, wenn nur ein Sicherungsmittel, in der Regel Benutzername und Passwort, verwendet wird. Der Nutzer kann verlangen, dass der Zugang zu seinem De-Mail-Konto ausschließlich mit einer sicheren Anmeldung möglich sein soll.

(2) Der akkreditierte Diensteanbieter hat zu gewährleisten, dass der Nutzer zwischen mindestens zwei Verfahren zur sicheren Anmeldung nach Absatz 1 Satz 2 wählen kann. Als ein Verfahren zur sicheren Anmeldung muss durch den Nutzer, soweit er eine natürliche Person ist, der elektronische Identitätsnachweis nach § 18 des Personalausweisgesetzes genutzt werden können.

(3) Der akkreditierte Diensteanbieter hat sicherzustellen, dass die Kommunikationsverbindung zwischen dem Nutzer und seinem De-Mail-Konto verschlüsselt erfolgt.

§ 5 Postfach- und Versanddienst

(1) Die Bereitstellung eines De-Mail-Kontos umfasst die Nutzung eines sicheren elektronischen Postfach- und Versanddienstes für elektronische Nachrichten. Hierzu wird dem Nutzer eine De-Mail-Adresse für elektronische Post zugewiesen, welche folgende Angaben enthalten muss:

1.
im Domänenteil der De-Mail-Adresse eine Kennzeichnung, die ausschließlich für De-Mail-Dienste genutzt werden darf;
2.
bei natürlichen Personen im lokalen Teil deren Nachnamen und einen oder mehrere Vornamen oder einen Teil des oder der Vornamen (Hauptadresse);
3.
bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen im Domänenteil eine Bezeichnung, welche in direktem Bezug zu ihrer Firma, Namen oder sonstiger Bezeichnung steht.

(2) Der akkreditierte Diensteanbieter kann Nutzern auf Verlangen auch pseudonyme De-Mail-Adressen zur Verfügung stellen, soweit es sich bei dem Nutzer um eine natürliche Person handelt. Die Inanspruchnahme eines Dienstes durch den Nutzer unter Pseudonym ist für Dritte erkennbar zu kennzeichnen.

(3) Der Postfach- und Versanddienst hat die Vertraulichkeit, die Integrität und die Authentizität der Nachrichten zu gewährleisten. Hierzu gewährleistet der akkreditierte Diensteanbieter, dass

1.
die Kommunikation von einem akkreditierten Diensteanbieter zu jedem anderen akkreditierten Diensteanbieter über einen verschlüsselten gegenseitig authentisierten Kanal erfolgt (Transportverschlüsselung) und
2.
der Inhalt einer De-Mail-Nachricht vom akkreditierten Diensteanbieter des Senders zum akkreditierten Diensteanbieter des Empfängers verschlüsselt übertragen wird.
Der Einsatz einer durchgängigen Verschlüsselung zwischen Sender und Empfänger (Ende-zu-Ende-Verschlüsselung) bleibt hiervon unberührt.

(4) Der Sender kann eine sichere Anmeldung nach § 4 für den Abruf der Nachricht durch den Empfänger bestimmen.

(5) Der akkreditierte Diensteanbieter muss dem Nutzer ermöglichen, seine sichere Anmeldung im Sinne von § 4 in der Nachricht so bestätigen zu lassen, dass die Unverfälschtheit der Bestätigung jederzeit nachprüfbar ist. Um dieses dem Empfänger der Nachricht kenntlich zu machen, bestätigt der akkreditierte Diensteanbieter des Senders die Verwendung der sicheren Anmeldung nach § 4. Hierzu versieht er im Auftrag des Senders die Nachricht mit einer dauerhaft überprüfbaren qualifizierten elektronischen Signatur; sind der Nachricht eine oder mehrere Dateien beigefügt, bezieht sich die qualifizierte elektronische Signatur auch auf diese. Die Bestätigung enthält bei natürlichen Personen den Namen und die Vornamen, bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen die Firma, den Namen oder die Bezeichnung des Senders in der Form, in der diese nach § 3 Absatz 2 hinterlegt sind. Die Tatsache, dass der Absender diese Versandart genutzt hat, muss sich aus der Nachricht in der Form, wie sie beim Empfänger ankommt, ergeben. Die Bestätigung nach Satz 1 ist nicht zulässig bei Verwendung einer pseudonymen De-Mail-Adresse nach Absatz 2.

(6) Der akkreditierte Diensteanbieter mit Ausnahme der Diensteanbieter nach § 19 ist verpflichtet, elektronische Nachrichten nach den Vorschriften der Prozessordnungen und der Gesetze, die die Verwaltungszustellung regeln, förmlich zuzustellen. Im Umfang dieser Verpflichtung ist der akkreditierte Diensteanbieter mit Hoheitsbefugnissen ausgestattet (beliehener Unternehmer).

(7) Der akkreditierte Diensteanbieter bestätigt auf Antrag des Senders den Versand einer Nachricht. Die Versandbestätigung muss folgende Angaben enthalten:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Versands der Nachricht vom De-Mail-Postfach des Senders;
3.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Versandbestätigung erzeugt und
4.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Senders hat die Versandbestätigung mit einer qualifizierten elektronischen Signatur zu versehen.

(8) Auf Antrag des Senders wird der Eingang einer Nachricht im De-Mail-Postfach des Empfängers bestätigt. Hierbei wirken der akkreditierte Diensteanbieter des Senders und der akkreditierte Diensteanbieter des Empfängers zusammen. Der akkreditierte Diensteanbieter des Empfängers erstellt eine Eingangsbestätigung. Die Eingangsbestätigung enthält folgende Angaben:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Eingangs der Nachricht im De-Mail-Postfach des Empfängers;
3.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Eingangsbestätigung erzeugt und
4.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Empfängers hat die Eingangsbestätigung mit einer qualifizierten elektronischen Signatur zu versehen. Der akkreditierte Diensteanbieter des Empfängers sendet diesem ebenfalls die Eingangsbestätigung zu.

(9) Eine öffentliche Stelle, welche zur förmlichen Zustellung nach den Vorschriften der Prozessordnungen und der Gesetze, die die Verwaltungszustellung regeln, berechtigt ist, kann eine Abholbestätigung verlangen. Aus der Abholbestätigung ergibt sich, dass sich der Empfänger nach dem Eingang der Nachricht im Postfach an seinem De-Mail-Konto sicher im Sinne des § 4 angemeldet hat. Hierbei wirken der akkreditierte Diensteanbieter der öffentlichen Stelle als Senderin und der akkreditierte Diensteanbieter des Empfängers zusammen. Der akkreditierte Diensteanbieter des Empfängers erzeugt die Abholbestätigung. Die Abholbestätigung muss folgende Angaben enthalten:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Eingangs der Nachricht im De-Mail-Postfach des Empfängers;
3.
das Datum und die Uhrzeit der sicheren Anmeldung des Empfängers an seinem De-Mail-Konto im Sinne des § 4;
4.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Abholbestätigung erzeugt und
5.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Empfängers hat die Abholbestätigung mit einer qualifizierten elektronischen Signatur zu versehen. Der akkreditierte Diensteanbieter des Empfängers sendet diesem ebenfalls die Abholbestätigung zu. Die in Satz 5 genannten Daten dürfen ausschließlich zum Nachweis der förmlichen Zustellung im Sinne von § 5 Absatz 6 verarbeitet und genutzt werden.

(10) Der akkreditierte Diensteanbieter stellt sicher, dass Nachrichten, für die eine Eingangsbestätigung nach Absatz 8 oder eine Abholbestätigung nach Absatz 9 erteilt worden ist, durch den Empfänger ohne eine sichere Anmeldung an seinem De-Mail-Konto erst 90 Tage nach ihrem Eingang gelöscht werden können.

(11) Nutzern, die natürliche Personen sind, bietet der akkreditierte Diensteanbieter an, von allen an ihre De-Mail-Adresse adressierten Nachrichten eine Kopie an eine zuvor vom Nutzer angegebene De-Mail-Adresse (Weiterleitungsadresse) weiterzuleiten, ohne dass der Nutzer an seinem De-Mail-Konto angemeldet sein muss (automatische Weiterleitung). Der Nutzer kann ausschließen, dass im Sinne des Absatzes 4 an ihn gesendete Nachrichten weitergeleitet werden. Der Nutzer kann den Dienst der automatischen Weiterleitung jederzeit zurücknehmen. Um den Dienst der automatischen Weiterleitung nutzen zu können, muss der Nutzer sicher an seinem De-Mail-Konto angemeldet sein.

§ 6 Identitätsbestätigungsdienst

(1) Der akkreditierte Diensteanbieter kann einen Identitätsbestätigungsdienst anbieten. Ein solcher liegt vor, wenn sich der Nutzer der nach § 3 hinterlegten Identitätsdaten bedienen kann, um seine Identität gegenüber einem Dritten, der ebenfalls Nutzer eines De-Mail-Kontos ist, sicher elektronisch bestätigen zu lassen. Die Übermittlung der Identitätsdaten erfolgt mittels einer De-Mail-Nachricht, die der akkreditierte Diensteanbieter im Auftrag des Nutzers an den Dritten, welchem gegenüber er seine Identitätsdaten mitteilen möchte, sendet. Die De-Mail-Nachricht wird durch den akkreditierten Diensteanbieter mit einer qualifizierten elektronischen Signatur versehen.

(2) Der akkreditierte Diensteanbieter hat Vorkehrungen dafür zu treffen, dass Identitätsdaten nicht unbemerkt gefälscht oder verfälscht werden können.

(3) Die zuständige Behörde kann die Sperrung eines Identitätsdatums anordnen, wenn Tatsachen die Annahme rechtfertigen, dass das Identitätsdatum auf Grund falscher Angaben ausgestellt wurde oder nicht ausreichend fälschungssicher ist.

§ 7 Verzeichnisdienst

(1) Der akkreditierte Diensteanbieter hat auf ausdrückliches Verlangen des Nutzers die De-Mail-Adressen, die nach § 3 hinterlegten Identitätsdaten Name und Anschrift, die für die Verschlüsselung von Nachrichten an den Nutzer notwendigen Informationen und die Information über die Möglichkeit der sicheren Anmeldung nach § 4 des Nutzers in einem Verzeichnisdienst zu veröffentlichen. Der akkreditierte Diensteanbieter darf die Eröffnung eines De-Mail-Kontos für den Nutzer nicht von dem Verlangen des Nutzers nach Satz 1 abhängig machen.

(2) Der akkreditierte Diensteanbieter hat eine De-Mail-Adresse, ein Identitätsdatum oder die für die Verschlüsselung von Nachrichten an den Nutzer notwendigen Informationen aus dem Verzeichnisdienst unverzüglich zu löschen, wenn der Nutzer dies verlangt, die Daten auf Grund falscher Angaben ausgestellt wurden, der Diensteanbieter seine Tätigkeit beendet und diese nicht von einem anderen akkreditierten Diensteanbieter fortgeführt wird oder die zuständige Behörde die Löschung aus dem Verzeichnisdienst anordnet. Weitere Gründe für eine Löschung können vertraglich vereinbart werden.

(3) Die Veröffentlichung der De-Mail-Adresse im Verzeichnisdienst auf ein Verlangen des Nutzers als Verbraucher nach Absatz 1 allein gilt nicht als Eröffnung des Zugangs im Sinne von § 3a Absatz 1 des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch oder des § 87a Absatz 1 Satz 1 der Abgabenordnung. Auf Verlangen des Nutzers muss der akkreditierte Diensteanbieter durch einen geeigneten Zusatz die Erklärung des Nutzers im Verzeichnisdienst veröffentlichen, den Zugang im Sinne von § 3a des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch und des § 87a Absatz 1 Satz 1 der Abgabenordnung eröffnen zu wollen. Die Veröffentlichung der De-Mail-Adresse des Nutzers als Verbraucher mit diesem Zusatz im Verzeichnisdienst gilt als Zugangseröffnung. Satz 2 gilt entsprechend für die Entscheidung des Nutzers, die Zugangseröffnung zurückzunehmen.

(4) § 47 des Telekommunikationsgesetzes gilt entsprechend.

§ 8 Dokumentenablage

Der akkreditierte Diensteanbieter kann dem Nutzer eine Dokumentenablage zur sicheren Ablage von Dokumenten anbieten. Bietet er die Dokumentenablage an, so hat er dafür Sorge zu tragen, dass die Dokumente sicher abgelegt werden; Vertraulichkeit, Integrität und ständige Verfügbarkeit der abgelegten Dokumente sind zu gewährleisten. Der akkreditierte Diensteanbieter ist verpflichtet, alle Dokumente verschlüsselt abzulegen. Der Nutzer kann für jede einzelne Datei eine für den Zugriff erforderliche sichere Anmeldung nach § 4 festlegen. Auf Verlangen des Nutzers hat der akkreditierte Diensteanbieter ein Protokoll über die Einstellung und Herausnahme von Dokumenten bereitzustellen, das mit einer qualifizierten elektronischen Signatur gesichert ist.

sowie nach § 16

(1) Ein akkreditierter Diensteanbieter erteilt Dritten Auskunft über Namen und Anschrift eines Nutzers, wenn

1.
der Dritte glaubhaft macht, die Auskunft zur Verfolgung eines Rechtsanspruches gegen den Nutzer zu benötigen,
2.
sich die Auskunft auf ein Rechtsverhältnis zwischen dem Dritten und dem Nutzer bezieht, das unter Nutzung von De-Mail zustande gekommen ist,
3.
der Dritte die zur Feststellung seiner Identität notwendigen Angaben im Sinne von § 3 Absatz 2 macht,
4.
der akkreditierte Diensteanbieter die Richtigkeit der Angaben nach § 3 Absatz 3 überprüft hat,
5.
das Verlangen nicht rechtsmissbräuchlich ist, insbesondere nicht allein dem Zweck dient, ein Pseudonym aufzudecken, und
6.
die schutzwürdigen Interessen des Nutzers im Einzelfall nicht überwiegen.

(2) Der Dritte hat dem akkreditierten Diensteanbieter zur Glaubhaftmachung nach Absatz 1 Nummer 1 elektronische Nachrichten oder Schriftstücke zu übermitteln, aus denen sich das Rechtsverhältnis zum Nutzer ergibt, sofern diese angefallen sind. Der akkreditierte Diensteanbieter hat den Nutzer von dem Auskunftsersuchen unverzüglich und unter Benennung des Dritten zu informieren und ihm Gelegenheit zur Stellungnahme zum Auskunftsersuchen zu gewähren, soweit dies die Verfolgung des Rechtsanspruchs des Dritten nicht im Einzelfall gefährdet.

(3) Der akkreditierte Diensteanbieter kann den Ersatz der für die Auskunftserteilung erforderlichen Aufwendungen verlangen.

(4) § 7 des Bundesdatenschutzgesetzes gilt entsprechend.

(5) Die durch die Auskunftserteilung erlangten Daten dürfen nur zu dem bei dem Ersuchen angegebenen Zweck verwendet werden.

(6) Der akkreditierte Diensteanbieter hat die Auskunftserteilung nach Absatz 1 zu dokumentieren und den Nutzer von der Erteilung der Auskunft zu informieren. Die Dokumentationspflicht nach Satz 1 umfasst den Antrag zur Auskunftserteilung samt Angabe des Dritten nach Absatz 1, die Entscheidung des akkreditierten Diensteanbieters, die Identifizierungsdaten des bearbeitenden Mitarbeiters des akkreditierten Diensteanbieters, die Mitteilung des Ergebnisses an den auskunftsersuchenden Dritten, die Mitteilung über die Auskunftserteilung an den Nutzer und die jeweilige gesetzliche Zeit bei einzelnen Prozessen innerhalb der Auskunftserteilung. Die Dokumentation ist drei Jahre aufzubewahren.

(7) Die §§ 13 und 13a des Gesetzes über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen bleiben unberührt.

(8) Die nach anderen Rechtsvorschriften bestehenden Regelungen zu Auskünften gegenüber öffentlichen Stellen bleiben unberührt.

in der Weise erfüllt, dass er die Dienste zuverlässig und sicher erbringt, er mit den anderen akkreditierten Diensteanbietern zusammenwirkt und für die Erbringung der Dienste ausschließlich technische Geräte verwendet, die sich im Gebiet der Mitgliedstaaten der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum befinden,
4.
bei der Gestaltung und dem Betrieb der De-Mail-Dienste die datenschutzrechtlichen Anforderungen erfüllt.

(2) Die Diensteanbieter haben die technischen und organisatorischen Anforderungen nach den §§ 3 bis 13

§ 3 Eröffnung eines De-Mail-Kontos

(1) Durch einen De-Mail-Konto-Vertrag verpflichtet sich ein akkreditierter Diensteanbieter, einem Nutzer ein De-Mail-Konto zur Verfügung zu stellen. Ein De-Mail-Konto ist ein Bereich in einem De-Mail-Dienst, der einem Nutzer so zugeordnet ist, dass er nur von ihm genutzt werden kann. Der akkreditierte Diensteanbieter hat durch technische Mittel sicherzustellen, dass nur der diesem De-Mail-Konto zugeordnete Nutzer Zugang zu dem ihm zugeordneten De-Mail-Konto erlangen kann.

(2) Der akkreditierte Diensteanbieter hat die Identität des Nutzers und bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen zusätzlich die Identität ihrer gesetzlichen Vertreter oder Organmitglieder zuverlässig festzustellen. Dazu erhebt und speichert er folgende Angaben:

1.
bei einer natürlichen Person Name, Geburtsort, Geburtsdatum und Anschrift;
2.
bei einer juristischen Person oder Personengesellschaft oder öffentlichen Stelle Firma, Name oder Bezeichnung, Rechtsform, Registernummer, soweit vorhanden, Anschrift des Sitzes oder der Hauptniederlassung und Namen der Mitglieder des Vertretungsorgans oder der gesetzlichen Vertreter; ist ein Mitglied des Vertretungsorgans oder der gesetzliche Vertreter eine juristische Person, so wird deren Firma, Name oder Bezeichnung, Rechtsform, Registernummer, soweit vorhanden, und Anschrift des Sitzes oder der Hauptniederlassung erhoben.

(3) Der akkreditierte Diensteanbieter hat die Angaben nach Absatz 2 vor Freischaltung des De-Mail-Kontos des Nutzers zu überprüfen:

1.
bei natürlichen Personen
a)
anhand eines gültigen amtlichen Ausweises, der ein Lichtbild des Inhabers enthält und mit dem die Pass- und Ausweispflicht im Inland erfüllt wird, insbesondere anhand eines inländischen oder nach ausländerrechtlichen Bestimmungen anerkannten oder zugelassenen Passes, Personalausweises oder Pass- oder Ausweisersatzes,
b)
anhand von Dokumenten, die bezüglich ihrer Sicherheit einem Dokument nach Buchstabe a gleichwertig sind,
c)
anhand eines elektronischen Identitätsnachweises nach § 18 des Personalausweisgesetzes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes,
d)
anhand einer qualifizierten elektronischen Signatur oder
e)
anhand sonstiger geeigneter technischer Verfahren mit gleichwertiger Sicherheit zu einer Identifizierung anhand der Dokumente nach Buchstabe a;
2.
bei juristischen Personen oder Personengesellschaften oder bei öffentlichen Stellen
a)
anhand eines Auszugs aus dem Handels- oder Genossenschaftsregister oder aus einem vergleichbaren amtlichen Register oder Verzeichnis,
b)
anhand der Gründungsdokumente,
c)
anhand von Dokumenten, die bezüglich ihrer Beweiskraft den Dokumenten nach den Buchstaben a oder b gleichwertig sind, oder
d)
durch Einsichtnahme in die Register- oder Verzeichnisdaten.
Der akkreditierte Diensteanbieter kann von dem amtlichen Ausweis eine Kopie erstellen. Er hat die Kopie unverzüglich nach Feststellung der für die Identität erforderlichen Angaben des Teilnehmers zu vernichten. Der akkreditierte Diensteanbieter darf zur Identitätsfeststellung und -überprüfung mit Einwilligung des Nutzers auch personenbezogene Daten verarbeiten oder nutzen, die er zu einem früheren Zeitpunkt erhoben hat, sofern diese Daten die zuverlässige Identitätsfeststellung des Nutzers gewährleisten.

(4) Eine Nutzung der De-Mail-Dienste ist erst möglich, nachdem der akkreditierte Diensteanbieter das De-Mail-Konto des Nutzers freigeschaltet hat. Die Freischaltung erfolgt, sobald

1.
der akkreditierte Diensteanbieter den Nutzer eindeutig identifiziert hat und die Identitätsdaten des Nutzers und bei Absatz 2 Nummer 2 auch dessen gesetzlichen Vertreters oder der Organmitglieder erhoben und erfolgreich überprüft worden sind,
2.
der akkreditierte Diensteanbieter dem Nutzer dessen für die Erstanmeldung notwendigen Anmeldedaten auf geeignetem Wege übermittelt hat,
3.
der Nutzer die Bestätigung nach § 9 Absatz 2 vorgenommen hat,
4.
der Nutzer in die Prüfung seiner Nachrichten auf Schadsoftware durch den akkreditierten Diensteanbieter eingewilligt hat und
5.
der Nutzer im Rahmen einer Erstanmeldung nachgewiesen hat, dass er die Anmeldedaten erfolgreich nutzen konnte.

(5) Der akkreditierte Diensteanbieter hat nach der Freischaltung des De-Mail-Kontos eines Nutzers die Richtigkeit der zu dem Nutzer gespeicherten Identitätsdaten sicherzustellen. Er hat die gespeicherten Identitätsdaten in angemessenen zeitlichen Abständen auf ihre Richtigkeit zu prüfen und soweit erforderlich zu berichtigen.

§ 4 Anmeldung zu einem De-Mail-Konto

(1) Der akkreditierte Diensteanbieter muss dem Nutzer den Zugang zu seinem De-Mail-Konto und den einzelnen Diensten mit einer sicheren Anmeldung oder auf Verlangen des Nutzers auch ohne eine solche sichere Anmeldung ermöglichen. Für die sichere Anmeldung hat der akkreditierte Diensteanbieter sicherzustellen, dass zum Schutz gegen eine unberechtigte Nutzung der Zugang zum De-Mail-Konto nur möglich ist, wenn zwei geeignete und voneinander unabhängige Sicherungsmittel eingesetzt werden; soweit bei den Sicherungsmitteln Geheimnisse verwendet werden, ist deren Einmaligkeit und Geheimhaltung sicherzustellen. Der Zugang zum De-Mail-Konto erfolgt ohne eine sichere Anmeldung, wenn nur ein Sicherungsmittel, in der Regel Benutzername und Passwort, verwendet wird. Der Nutzer kann verlangen, dass der Zugang zu seinem De-Mail-Konto ausschließlich mit einer sicheren Anmeldung möglich sein soll.

(2) Der akkreditierte Diensteanbieter hat zu gewährleisten, dass der Nutzer zwischen mindestens zwei Verfahren zur sicheren Anmeldung nach Absatz 1 Satz 2 wählen kann. Als ein Verfahren zur sicheren Anmeldung muss durch den Nutzer, soweit er eine natürliche Person ist, der elektronische Identitätsnachweis nach § 18 des Personalausweisgesetzes genutzt werden können.

(3) Der akkreditierte Diensteanbieter hat sicherzustellen, dass die Kommunikationsverbindung zwischen dem Nutzer und seinem De-Mail-Konto verschlüsselt erfolgt.

§ 5 Postfach- und Versanddienst

(1) Die Bereitstellung eines De-Mail-Kontos umfasst die Nutzung eines sicheren elektronischen Postfach- und Versanddienstes für elektronische Nachrichten. Hierzu wird dem Nutzer eine De-Mail-Adresse für elektronische Post zugewiesen, welche folgende Angaben enthalten muss:

1.
im Domänenteil der De-Mail-Adresse eine Kennzeichnung, die ausschließlich für De-Mail-Dienste genutzt werden darf;
2.
bei natürlichen Personen im lokalen Teil deren Nachnamen und einen oder mehrere Vornamen oder einen Teil des oder der Vornamen (Hauptadresse);
3.
bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen im Domänenteil eine Bezeichnung, welche in direktem Bezug zu ihrer Firma, Namen oder sonstiger Bezeichnung steht.

(2) Der akkreditierte Diensteanbieter kann Nutzern auf Verlangen auch pseudonyme De-Mail-Adressen zur Verfügung stellen, soweit es sich bei dem Nutzer um eine natürliche Person handelt. Die Inanspruchnahme eines Dienstes durch den Nutzer unter Pseudonym ist für Dritte erkennbar zu kennzeichnen.

(3) Der Postfach- und Versanddienst hat die Vertraulichkeit, die Integrität und die Authentizität der Nachrichten zu gewährleisten. Hierzu gewährleistet der akkreditierte Diensteanbieter, dass

1.
die Kommunikation von einem akkreditierten Diensteanbieter zu jedem anderen akkreditierten Diensteanbieter über einen verschlüsselten gegenseitig authentisierten Kanal erfolgt (Transportverschlüsselung) und
2.
der Inhalt einer De-Mail-Nachricht vom akkreditierten Diensteanbieter des Senders zum akkreditierten Diensteanbieter des Empfängers verschlüsselt übertragen wird.
Der Einsatz einer durchgängigen Verschlüsselung zwischen Sender und Empfänger (Ende-zu-Ende-Verschlüsselung) bleibt hiervon unberührt.

(4) Der Sender kann eine sichere Anmeldung nach § 4 für den Abruf der Nachricht durch den Empfänger bestimmen.

(5) Der akkreditierte Diensteanbieter muss dem Nutzer ermöglichen, seine sichere Anmeldung im Sinne von § 4 in der Nachricht so bestätigen zu lassen, dass die Unverfälschtheit der Bestätigung jederzeit nachprüfbar ist. Um dieses dem Empfänger der Nachricht kenntlich zu machen, bestätigt der akkreditierte Diensteanbieter des Senders die Verwendung der sicheren Anmeldung nach § 4. Hierzu versieht er im Auftrag des Senders die Nachricht mit einer dauerhaft überprüfbaren qualifizierten elektronischen Signatur; sind der Nachricht eine oder mehrere Dateien beigefügt, bezieht sich die qualifizierte elektronische Signatur auch auf diese. Die Bestätigung enthält bei natürlichen Personen den Namen und die Vornamen, bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen die Firma, den Namen oder die Bezeichnung des Senders in der Form, in der diese nach § 3 Absatz 2 hinterlegt sind. Die Tatsache, dass der Absender diese Versandart genutzt hat, muss sich aus der Nachricht in der Form, wie sie beim Empfänger ankommt, ergeben. Die Bestätigung nach Satz 1 ist nicht zulässig bei Verwendung einer pseudonymen De-Mail-Adresse nach Absatz 2.

(6) Der akkreditierte Diensteanbieter mit Ausnahme der Diensteanbieter nach § 19 ist verpflichtet, elektronische Nachrichten nach den Vorschriften der Prozessordnungen und der Gesetze, die die Verwaltungszustellung regeln, förmlich zuzustellen. Im Umfang dieser Verpflichtung ist der akkreditierte Diensteanbieter mit Hoheitsbefugnissen ausgestattet (beliehener Unternehmer).

(7) Der akkreditierte Diensteanbieter bestätigt auf Antrag des Senders den Versand einer Nachricht. Die Versandbestätigung muss folgende Angaben enthalten:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Versands der Nachricht vom De-Mail-Postfach des Senders;
3.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Versandbestätigung erzeugt und
4.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Senders hat die Versandbestätigung mit einer qualifizierten elektronischen Signatur zu versehen.

(8) Auf Antrag des Senders wird der Eingang einer Nachricht im De-Mail-Postfach des Empfängers bestätigt. Hierbei wirken der akkreditierte Diensteanbieter des Senders und der akkreditierte Diensteanbieter des Empfängers zusammen. Der akkreditierte Diensteanbieter des Empfängers erstellt eine Eingangsbestätigung. Die Eingangsbestätigung enthält folgende Angaben:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Eingangs der Nachricht im De-Mail-Postfach des Empfängers;
3.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Eingangsbestätigung erzeugt und
4.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Empfängers hat die Eingangsbestätigung mit einer qualifizierten elektronischen Signatur zu versehen. Der akkreditierte Diensteanbieter des Empfängers sendet diesem ebenfalls die Eingangsbestätigung zu.

(9) Eine öffentliche Stelle, welche zur förmlichen Zustellung nach den Vorschriften der Prozessordnungen und der Gesetze, die die Verwaltungszustellung regeln, berechtigt ist, kann eine Abholbestätigung verlangen. Aus der Abholbestätigung ergibt sich, dass sich der Empfänger nach dem Eingang der Nachricht im Postfach an seinem De-Mail-Konto sicher im Sinne des § 4 angemeldet hat. Hierbei wirken der akkreditierte Diensteanbieter der öffentlichen Stelle als Senderin und der akkreditierte Diensteanbieter des Empfängers zusammen. Der akkreditierte Diensteanbieter des Empfängers erzeugt die Abholbestätigung. Die Abholbestätigung muss folgende Angaben enthalten:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Eingangs der Nachricht im De-Mail-Postfach des Empfängers;
3.
das Datum und die Uhrzeit der sicheren Anmeldung des Empfängers an seinem De-Mail-Konto im Sinne des § 4;
4.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Abholbestätigung erzeugt und
5.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Empfängers hat die Abholbestätigung mit einer qualifizierten elektronischen Signatur zu versehen. Der akkreditierte Diensteanbieter des Empfängers sendet diesem ebenfalls die Abholbestätigung zu. Die in Satz 5 genannten Daten dürfen ausschließlich zum Nachweis der förmlichen Zustellung im Sinne von § 5 Absatz 6 verarbeitet und genutzt werden.

(10) Der akkreditierte Diensteanbieter stellt sicher, dass Nachrichten, für die eine Eingangsbestätigung nach Absatz 8 oder eine Abholbestätigung nach Absatz 9 erteilt worden ist, durch den Empfänger ohne eine sichere Anmeldung an seinem De-Mail-Konto erst 90 Tage nach ihrem Eingang gelöscht werden können.

(11) Nutzern, die natürliche Personen sind, bietet der akkreditierte Diensteanbieter an, von allen an ihre De-Mail-Adresse adressierten Nachrichten eine Kopie an eine zuvor vom Nutzer angegebene De-Mail-Adresse (Weiterleitungsadresse) weiterzuleiten, ohne dass der Nutzer an seinem De-Mail-Konto angemeldet sein muss (automatische Weiterleitung). Der Nutzer kann ausschließen, dass im Sinne des Absatzes 4 an ihn gesendete Nachrichten weitergeleitet werden. Der Nutzer kann den Dienst der automatischen Weiterleitung jederzeit zurücknehmen. Um den Dienst der automatischen Weiterleitung nutzen zu können, muss der Nutzer sicher an seinem De-Mail-Konto angemeldet sein.

§ 6 Identitätsbestätigungsdienst

(1) Der akkreditierte Diensteanbieter kann einen Identitätsbestätigungsdienst anbieten. Ein solcher liegt vor, wenn sich der Nutzer der nach § 3 hinterlegten Identitätsdaten bedienen kann, um seine Identität gegenüber einem Dritten, der ebenfalls Nutzer eines De-Mail-Kontos ist, sicher elektronisch bestätigen zu lassen. Die Übermittlung der Identitätsdaten erfolgt mittels einer De-Mail-Nachricht, die der akkreditierte Diensteanbieter im Auftrag des Nutzers an den Dritten, welchem gegenüber er seine Identitätsdaten mitteilen möchte, sendet. Die De-Mail-Nachricht wird durch den akkreditierten Diensteanbieter mit einer qualifizierten elektronischen Signatur versehen.

(2) Der akkreditierte Diensteanbieter hat Vorkehrungen dafür zu treffen, dass Identitätsdaten nicht unbemerkt gefälscht oder verfälscht werden können.

(3) Die zuständige Behörde kann die Sperrung eines Identitätsdatums anordnen, wenn Tatsachen die Annahme rechtfertigen, dass das Identitätsdatum auf Grund falscher Angaben ausgestellt wurde oder nicht ausreichend fälschungssicher ist.

§ 7 Verzeichnisdienst

(1) Der akkreditierte Diensteanbieter hat auf ausdrückliches Verlangen des Nutzers die De-Mail-Adressen, die nach § 3 hinterlegten Identitätsdaten Name und Anschrift, die für die Verschlüsselung von Nachrichten an den Nutzer notwendigen Informationen und die Information über die Möglichkeit der sicheren Anmeldung nach § 4 des Nutzers in einem Verzeichnisdienst zu veröffentlichen. Der akkreditierte Diensteanbieter darf die Eröffnung eines De-Mail-Kontos für den Nutzer nicht von dem Verlangen des Nutzers nach Satz 1 abhängig machen.

(2) Der akkreditierte Diensteanbieter hat eine De-Mail-Adresse, ein Identitätsdatum oder die für die Verschlüsselung von Nachrichten an den Nutzer notwendigen Informationen aus dem Verzeichnisdienst unverzüglich zu löschen, wenn der Nutzer dies verlangt, die Daten auf Grund falscher Angaben ausgestellt wurden, der Diensteanbieter seine Tätigkeit beendet und diese nicht von einem anderen akkreditierten Diensteanbieter fortgeführt wird oder die zuständige Behörde die Löschung aus dem Verzeichnisdienst anordnet. Weitere Gründe für eine Löschung können vertraglich vereinbart werden.

(3) Die Veröffentlichung der De-Mail-Adresse im Verzeichnisdienst auf ein Verlangen des Nutzers als Verbraucher nach Absatz 1 allein gilt nicht als Eröffnung des Zugangs im Sinne von § 3a Absatz 1 des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch oder des § 87a Absatz 1 Satz 1 der Abgabenordnung. Auf Verlangen des Nutzers muss der akkreditierte Diensteanbieter durch einen geeigneten Zusatz die Erklärung des Nutzers im Verzeichnisdienst veröffentlichen, den Zugang im Sinne von § 3a des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch und des § 87a Absatz 1 Satz 1 der Abgabenordnung eröffnen zu wollen. Die Veröffentlichung der De-Mail-Adresse des Nutzers als Verbraucher mit diesem Zusatz im Verzeichnisdienst gilt als Zugangseröffnung. Satz 2 gilt entsprechend für die Entscheidung des Nutzers, die Zugangseröffnung zurückzunehmen.

(4) § 47 des Telekommunikationsgesetzes gilt entsprechend.

§ 8 Dokumentenablage

Der akkreditierte Diensteanbieter kann dem Nutzer eine Dokumentenablage zur sicheren Ablage von Dokumenten anbieten. Bietet er die Dokumentenablage an, so hat er dafür Sorge zu tragen, dass die Dokumente sicher abgelegt werden; Vertraulichkeit, Integrität und ständige Verfügbarkeit der abgelegten Dokumente sind zu gewährleisten. Der akkreditierte Diensteanbieter ist verpflichtet, alle Dokumente verschlüsselt abzulegen. Der Nutzer kann für jede einzelne Datei eine für den Zugriff erforderliche sichere Anmeldung nach § 4 festlegen. Auf Verlangen des Nutzers hat der akkreditierte Diensteanbieter ein Protokoll über die Einstellung und Herausnahme von Dokumenten bereitzustellen, das mit einer qualifizierten elektronischen Signatur gesichert ist.

sowie nach § 16

(1) Ein akkreditierter Diensteanbieter erteilt Dritten Auskunft über Namen und Anschrift eines Nutzers, wenn

1.
der Dritte glaubhaft macht, die Auskunft zur Verfolgung eines Rechtsanspruches gegen den Nutzer zu benötigen,
2.
sich die Auskunft auf ein Rechtsverhältnis zwischen dem Dritten und dem Nutzer bezieht, das unter Nutzung von De-Mail zustande gekommen ist,
3.
der Dritte die zur Feststellung seiner Identität notwendigen Angaben im Sinne von § 3 Absatz 2 macht,
4.
der akkreditierte Diensteanbieter die Richtigkeit der Angaben nach § 3 Absatz 3 überprüft hat,
5.
das Verlangen nicht rechtsmissbräuchlich ist, insbesondere nicht allein dem Zweck dient, ein Pseudonym aufzudecken, und
6.
die schutzwürdigen Interessen des Nutzers im Einzelfall nicht überwiegen.

(2) Der Dritte hat dem akkreditierten Diensteanbieter zur Glaubhaftmachung nach Absatz 1 Nummer 1 elektronische Nachrichten oder Schriftstücke zu übermitteln, aus denen sich das Rechtsverhältnis zum Nutzer ergibt, sofern diese angefallen sind. Der akkreditierte Diensteanbieter hat den Nutzer von dem Auskunftsersuchen unverzüglich und unter Benennung des Dritten zu informieren und ihm Gelegenheit zur Stellungnahme zum Auskunftsersuchen zu gewähren, soweit dies die Verfolgung des Rechtsanspruchs des Dritten nicht im Einzelfall gefährdet.

(3) Der akkreditierte Diensteanbieter kann den Ersatz der für die Auskunftserteilung erforderlichen Aufwendungen verlangen.

(4) § 7 des Bundesdatenschutzgesetzes gilt entsprechend.

(5) Die durch die Auskunftserteilung erlangten Daten dürfen nur zu dem bei dem Ersuchen angegebenen Zweck verwendet werden.

(6) Der akkreditierte Diensteanbieter hat die Auskunftserteilung nach Absatz 1 zu dokumentieren und den Nutzer von der Erteilung der Auskunft zu informieren. Die Dokumentationspflicht nach Satz 1 umfasst den Antrag zur Auskunftserteilung samt Angabe des Dritten nach Absatz 1, die Entscheidung des akkreditierten Diensteanbieters, die Identifizierungsdaten des bearbeitenden Mitarbeiters des akkreditierten Diensteanbieters, die Mitteilung des Ergebnisses an den auskunftsersuchenden Dritten, die Mitteilung über die Auskunftserteilung an den Nutzer und die jeweilige gesetzliche Zeit bei einzelnen Prozessen innerhalb der Auskunftserteilung. Die Dokumentation ist drei Jahre aufzubewahren.

(7) Die §§ 13 und 13a des Gesetzes über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen bleiben unberührt.

(8) Die nach anderen Rechtsvorschriften bestehenden Regelungen zu Auskünften gegenüber öffentlichen Stellen bleiben unberührt.

nach dem Stand der Technik zu erfüllen. Die Einhaltung des Standes der Technik wird vermutet, wenn die Technische Richtlinie 01201 De-Mail des Bundesamtes für Sicherheit in der Informationstechnik vom 23. März 2011 (eBAnz AT40 2011 B1) in der jeweils im Bundesanzeiger veröffentlichten Fassung eingehalten wird. Bevor das Bundesamt für Sicherheit in der Informationstechnik wesentliche Änderungen an der Technischen Richtlinie vornimmt, hört es den Ausschuss De-Mail-Standardisierung im Sinne des § 22

Die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 sowie nach § 16 werden unter Beteiligung der akkreditierten Diensteanbieter weiterentwickelt; dies gilt nicht für Anforderungen, die das Zusammenwirken zwischen den akkreditierten Diensteanbietern als solches oder die Sicherheit betreffen. Zu diesem Zweck wird ein Ausschuss De-Mail-Standardisierung gegründet, dem mindestens alle akkreditierten Diensteanbieter, je ein Vertreter von zwei auf Bundesebene bestehenden Gesamtverbänden, deren Belange berührt sind, das Bundesamt für Sicherheit in der Informationstechnik, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, ein vom IT-Planungsrat beauftragter Vertreter der Länder sowie ein Vertreter des Rates der IT-Beauftragten der Bundesregierung angehören. Die Entscheidung, welche beiden Verbände dem Ausschuss angehören sollen, liegt im Ermessen der zuständigen Behörde. Wird der Rat der IT-Beauftragten der Bundesregierung aufgelöst, tritt an dessen Stelle die von der Bundesregierung bestimmte Nachfolgeorganisation. Der Ausschuss tagt mindestens einmal im Jahr.

an, und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wird hierbei Gelegenheit zur Stellungnahme gegeben, sofern Fragen des Datenschutzes berührt sind.

(3) Die Voraussetzungen nach Absatz 1 werden wie folgt nachgewiesen:

1.
die erforderliche Zuverlässigkeit und Fachkunde durch Nachweise über die persönlichen Eigenschaften, das Verhalten und die entsprechenden Fähigkeiten seiner oder der in seinem Betrieb tätigen Personen; als Nachweis der erforderlichen Fachkunde ist es in der Regel ausreichend, wenn für die jeweilige Aufgabe im Betrieb entsprechende Zeugnisse oder Nachweise über die dafür notwendigen Kenntnisse, Erfahrungen und Fertigkeiten vorgelegt werden;
2.
eine ausreichende Deckungsvorsorge durch den Abschluss einer Versicherung oder die Freistellungs- oder Gewährleistungsverpflichtung eines Kreditunternehmens mit einer Mindestdeckungssumme von jeweils 250 000 Euro für einen verursachten Schaden. Die Deckungsvorsorge kann erbracht werden durch
a)
eine Haftpflichtversicherung bei einem innerhalb der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Versicherungsunternehmen oder
b)
eine Freistellungs- oder Gewährleistungsverpflichtung eines in einem der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Kreditinstituts, wenn gewährleistet ist, dass sie einer Haftpflichtversicherung vergleichbare Sicherheit bietet.
Soweit die Deckungsvorsorge durch eine Versicherung erbracht wird, gilt Folgendes:
a)
Auf diese Versicherung finden § 113 Absatz 2 und 3

(1) Eine Haftpflichtversicherung, zu deren Abschluss eine Verpflichtung durch Rechtsvorschrift besteht (Pflichtversicherung), ist mit einem im Inland zum Geschäftsbetrieb befugten Versicherungsunternehmen abzuschließen.

(2) Der Versicherer hat dem Versicherungsnehmer unter Angabe der Versicherungssumme zu bescheinigen, dass eine der zu bezeichnenden Rechtsvorschrift entsprechende Pflichtversicherung besteht.

(3) Die Vorschriften dieses Abschnittes sind auch insoweit anzuwenden, als der Versicherungsvertrag eine über die vorgeschriebenen Mindestanforderungen hinausgehende Deckung gewährt.

und die §§ 114 bis 124
§ 114 Umfang des Versicherungsschutzes

(1) Die Mindestversicherungssumme beträgt bei einer Pflichtversicherung, soweit durch Rechtsvorschrift nichts anderes bestimmt ist, 250.000 Euro je Versicherungsfall und eine Million Euro für alle Versicherungsfälle eines Versicherungsjahres.

(2) Der Versicherungsvertrag kann Inhalt und Umfang der Pflichtversicherung näher bestimmen, soweit dadurch die Erreichung des jeweiligen Zwecks der Pflichtversicherung nicht gefährdet wird und durch Rechtsvorschrift nicht ausdrücklich etwas anderes bestimmt ist. Ein Selbstbehalt des Versicherungsnehmers kann dem Dritten nicht entgegengehalten und gegenüber einer mitversicherten Person nicht geltend gemacht werden.

§ 115 Direktanspruch

(1) Der Dritte kann seinen Anspruch auf Schadensersatz auch gegen den Versicherer geltend machen,

1.
wenn es sich um eine Haftpflichtversicherung zur Erfüllung einer nach dem Pflichtversicherungsgesetz bestehenden Versicherungspflicht handelt oder
2.
wenn über das Vermögen des Versicherungsnehmers das Insolvenzverfahren eröffnet oder der Eröffnungsantrag mangels Masse abgewiesen worden ist oder ein vorläufiger Insolvenzverwalter bestellt worden ist oder
3.
wenn der Aufenthalt des Versicherungsnehmers unbekannt ist.
Der Anspruch besteht im Rahmen der Leistungspflicht des Versicherers aus dem Versicherungsverhältnis und, soweit eine Leistungspflicht nicht besteht, im Rahmen des § 117 Abs. 1 bis 4. Der Versicherer hat den Schadensersatz in Geld zu leisten. Der Versicherer und der ersatzpflichtige Versicherungsnehmer haften als Gesamtschuldner.

(2) Der Anspruch nach Absatz 1 unterliegt der gleichen Verjährung wie der Schadensersatzanspruch gegen den ersatzpflichtigen Versicherungsnehmer. Die Verjährung beginnt mit dem Zeitpunkt, zu dem die Verjährung des Schadensersatzanspruchs gegen den ersatzpflichtigen Versicherungsnehmer beginnt; sie endet jedoch spätestens nach zehn Jahren von dem Eintritt des Schadens an. Ist der Anspruch des Dritten bei dem Versicherer angemeldet worden, ist die Verjährung bis zu dem Zeitpunkt gehemmt, zu dem die Entscheidung des Versicherers dem Anspruchsteller in Textform zugeht. Die Hemmung, die Ablaufhemmung und der Neubeginn der Verjährung des Anspruchs gegen den Versicherer wirken auch gegenüber dem ersatzpflichtigen Versicherungsnehmer und umgekehrt.

§ 116 Gesamtschuldner

(1) Im Verhältnis der Gesamtschuldner nach § 115 Abs. 1 Satz 4 zueinander ist der Versicherer allein verpflichtet, soweit er dem Versicherungsnehmer aus dem Versicherungsverhältnis zur Leistung verpflichtet ist. Soweit eine solche Verpflichtung nicht besteht, ist in ihrem Verhältnis zueinander der Versicherungsnehmer allein verpflichtet. Der Versicherer kann Ersatz der Aufwendungen verlangen, die er den Umständen nach für erforderlich halten durfte.

(2) Die Verjährung der sich aus Absatz 1 ergebenden Ansprüche beginnt mit dem Schluss des Jahres, in dem der Anspruch des Dritten erfüllt wird.

§ 117 Leistungspflicht gegenüber Dritten

(1) Ist der Versicherer von der Verpflichtung zur Leistung dem Versicherungsnehmer gegenüber ganz oder teilweise frei, so bleibt gleichwohl seine Verpflichtung in Ansehung des Dritten bestehen.

(2) Ein Umstand, der das Nichtbestehen oder die Beendigung des Versicherungsverhältnisses zur Folge hat, wirkt in Ansehung des Dritten erst mit dem Ablauf eines Monats, nachdem der Versicherer diesen Umstand der hierfür zuständigen Stelle angezeigt hat. Dies gilt auch, wenn das Versicherungsverhältnis durch Zeitablauf endet. Der Lauf der Frist beginnt nicht vor Beendigung des Versicherungsverhältnisses. Ein in den Sätzen 1 und 2 bezeichneter Umstand kann dem Dritten auch dann entgegengehalten werden, wenn vor dem Zeitpunkt des Schadensereignisses der hierfür zuständigen Stelle die Bestätigung einer entsprechend den Rechtsvorschriften abgeschlossenen neuen Versicherung zugegangen ist. Die vorstehenden Vorschriften dieses Absatzes gelten nicht, wenn eine zur Entgegennahme der Anzeige nach Satz 1 zuständige Stelle nicht bestimmt ist.

(3) In den Fällen der Absätze 1 und 2 ist der Versicherer nur im Rahmen der vorgeschriebenen Mindestversicherungssumme und der von ihm übernommenen Gefahr zur Leistung verpflichtet. Er ist leistungsfrei, soweit der Dritte Ersatz seines Schadens von einem anderen Schadensversicherer oder von einem Sozialversicherungsträger erlangen kann.

(4) Trifft die Leistungspflicht des Versicherers nach Absatz 1 oder Absatz 2 mit einer Ersatzpflicht auf Grund fahrlässiger Amtspflichtverletzung zusammen, wird die Ersatzpflicht nach § 839 Abs. 1 des Bürgerlichen Gesetzbuchs im Verhältnis zum Versicherer nicht dadurch ausgeschlossen, dass die Voraussetzungen für die Leistungspflicht des Versicherers vorliegen. Satz 1 gilt nicht, wenn der Beamte nach § 839 des Bürgerlichen Gesetzbuchs persönlich haftet.

(5) Soweit der Versicherer den Dritten nach den Absätzen 1 bis 4 befriedigt und ein Fall des § 116 nicht vorliegt, geht die Forderung des Dritten gegen den Versicherungsnehmer auf ihn über. Der Übergang kann nicht zum Nachteil des Dritten geltend gemacht werden.

(6) Wird über das Vermögen des Versicherers das Insolvenzverfahren eröffnet, endet das Versicherungsverhältnis abweichend von § 16 erst mit dem Ablauf eines Monats, nachdem der Insolvenzverwalter diesen Umstand der hierfür zuständigen Stelle angezeigt hat; bis zu diesem Zeitpunkt bleibt es der Insolvenzmasse gegenüber wirksam. Ist eine zur Entgegennahme der Anzeige nach Satz 1 zuständige Stelle nicht bestimmt, endet das Versicherungsverhältnis einen Monat nach der Benachrichtigung des Versicherungsnehmers von der Eröffnung des Insolvenzverfahrens; die Benachrichtigung bedarf der Textform.

§ 118 Rangfolge mehrerer Ansprüche

(1) Übersteigen die Ansprüche auf Entschädigung, die auf Grund desselben Schadensereignisses zu leisten ist, die Versicherungssumme, wird die Versicherungssumme nach folgender Rangfolge, bei gleichem Rang nach dem Verhältnis ihrer Beträge, an die Ersatzberechtigten ausgezahlt:

1.
für Ansprüche wegen Personenschäden, soweit die Geschädigten nicht vom Schädiger, von einem anderen Versicherer als dessen Haftpflichtversicherer, einem Sozialversicherungsträger oder einem sonstigen Dritten Ersatz ihrer Schäden erlangen können;
2.
für Ansprüche wegen sonstiger Schäden natürlicher und juristischer Personen des Privatrechts, soweit die Geschädigten nicht vom Schädiger, einem anderen Versicherer als dessen Haftpflichtversicherer oder einem Dritten Ersatz ihrer Schäden erlangen können;
3.
für Ansprüche, die nach Privatrecht auf Versicherer oder sonstige Dritte wegen Personen- und sonstiger Schäden übergegangen sind;
4.
für Ansprüche, die auf Sozialversicherungsträger übergegangen sind;
5.
für alle sonstigen Ansprüche.

(2) Ist die Versicherungssumme unter Berücksichtigung nachrangiger Ansprüche erschöpft, kann sich ein vorrangig zu befriedigender Anspruchsberechtigter, der bei der Verteilung nicht berücksichtigt worden ist, nachträglich auf Absatz 1 nicht berufen, wenn der Versicherer mit der Geltendmachung dieses Anspruchs nicht gerechnet hat und auch nicht rechnen musste.

§ 119 Obliegenheiten des Dritten

(1) Der Dritte hat ein Schadensereignis, aus dem er einen Anspruch gegen den Versicherungsnehmer oder nach § 115 Abs. 1 gegen den Versicherer herleiten will, dem Versicherer innerhalb von zwei Wochen, nachdem er von dem Schadensereignis Kenntnis erlangt hat, in Textform anzuzeigen; zur Fristwahrung genügt die rechtzeitige Absendung.

(2) Macht der Dritte den Anspruch gegen den Versicherungsnehmer gerichtlich geltend, hat er dies dem Versicherer unverzüglich in Textform anzuzeigen.

(3) Der Versicherer kann von dem Dritten Auskunft verlangen, soweit sie zur Feststellung des Schadensereignisses und der Höhe des Schadens erforderlich ist. Belege kann der Versicherer insoweit verlangen, als deren Beschaffung dem Dritten billigerweise zugemutet werden kann.

§ 120 Obliegenheitsverletzung des Dritten

Verletzt der Dritte schuldhaft die Obliegenheit nach § 119 Abs. 2 oder 3, beschränkt sich die Haftung des Versicherers nach den §§ 115 und 117 auf den Betrag, den er auch bei gehöriger Erfüllung der Obliegenheit zu leisten gehabt hätte, sofern der Dritte vorher ausdrücklich und in Textform auf die Folgen der Verletzung hingewiesen worden ist.

§ 121 Aufrechnung gegenüber Dritten

§ 35 ist gegenüber Dritten nicht anzuwenden.

§ 122 Veräußerung der von der Versicherung erfassten Sache

Die §§ 95 bis 98 über die Veräußerung der versicherten Sache sind entsprechend anzuwenden.

§ 123 Rückgriff bei mehreren Versicherten

(1) Ist bei einer Versicherung für fremde Rechnung der Versicherer dem Versicherungsnehmer gegenüber nicht zur Leistung verpflichtet, kann er dies einem Versicherten, der zur selbständigen Geltendmachung seiner Rechte aus dem Versicherungsvertrag befugt ist, nur entgegenhalten, wenn die der Leistungsfreiheit zu Grunde liegenden Umstände in der Person dieses Versicherten vorliegen oder wenn diese Umstände dem Versicherten bekannt oder infolge grober Fahrlässigkeit nicht bekannt waren.

(2) Der Umfang der Leistungspflicht nach Absatz 1 bestimmt sich nach § 117 Abs. 3 Satz 1; § 117 Abs. 3 Satz 2 ist nicht anzuwenden. § 117 Abs. 4 ist entsprechend anzuwenden.

(3) Soweit der Versicherer nach Absatz 1 leistet, kann er beim Versicherungsnehmer Rückgriff nehmen.

(4) Die Absätze 1 bis 3 sind entsprechend anzuwenden, wenn die Frist nach § 117 Abs. 2 Satz 1 und 2 noch nicht abgelaufen ist oder der Versicherer die Beendigung des Versicherungsverhältnisses der hierfür zuständigen Stelle nicht angezeigt hat.

§ 124 Rechtskrafterstreckung

(1) Soweit durch rechtskräftiges Urteil festgestellt wird, dass dem Dritten ein Anspruch auf Ersatz des Schadens nicht zusteht, wirkt das Urteil, wenn es zwischen dem Dritten und dem Versicherer ergeht, auch zugunsten des Versicherungsnehmers, wenn es zwischen dem Dritten und dem Versicherungsnehmer ergeht, auch zugunsten des Versicherers.

(2) Ist der Anspruch des Dritten gegenüber dem Versicherer durch rechtskräftiges Urteil, Anerkenntnis oder Vergleich festgestellt worden, muss der Versicherungsnehmer, gegen den von dem Versicherer Ansprüche auf Grund des § 116 Abs. 1 Satz 2 geltend gemacht werden, diese Feststellung gegen sich gelten lassen, es sei denn, der Versicherer hat die Pflicht zur Abwehr unbegründeter Entschädigungsansprüche sowie zur Minderung oder zur sachgemäßen Feststellung des Schadens schuldhaft verletzt.

(3) Die Absätze 1 und 2 sind nicht anzuwenden, soweit der Dritte seinen Anspruch auf Schadensersatz nicht nach § 115 Abs. 1 gegen den Versicherer geltend machen kann.

des Versicherungsvertragsgesetzes Anwendung.
b)
Die Mindestversicherungssumme muss 2,5 Millionen Euro für den einzelnen Versicherungsfall betragen. Versicherungsfall ist jede Pflichtverletzung des Diensteanbieters, unabhängig von der Anzahl der dadurch ausgelösten Schadensfälle. Wird eine Jahreshöchstleistung für alle in einem Versicherungsjahr verursachten Schäden vereinbart, muss sie mindestens das Vierfache der Mindestversicherungssumme betragen.
c)
Von der Versicherung kann die Leistung nur ausgeschlossen werden für Ersatzansprüche aus vorsätzlich begangener Pflichtverletzung des akkreditierten Diensteanbieters oder der Personen, für die er einzustehen hat.
d)
Die Vereinbarung eines Selbstbehaltes bis zu 1 Prozent der Mindestversicherungssumme ist zulässig;
3.
die Erfüllung der technischen und organisatorischen Anforderungen an die Pflichten im Sinne des Absatzes 1 Nummer 3 durch vom Bundesamt für Sicherheit in der Informationstechnik nach § 9 Absatz 2 Satz 1

(1) Das Bundesamt ist nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit.

(2) Für bestimmte Produkte oder Leistungen kann beim Bundesamt eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister beantragt werden. Die Anträge werden in der zeitlichen Reihenfolge ihres Eingangs bearbeitet; hiervon kann abgewichen werden, wenn das Bundesamt wegen der Zahl und des Umfangs anhängiger Prüfungsverfahren eine Prüfung in angemessener Zeit nicht durchführen kann und an der Erteilung eines Zertifikats ein öffentliches Interesse besteht. Der Antragsteller hat dem Bundesamt die Unterlagen vorzulegen und die Auskünfte zu erteilen, deren Kenntnis für die Prüfung und Bewertung des Systems oder der Komponente oder der Eignung der Person sowie für die Erteilung des Zertifikats erforderlich ist.

(3) Die Prüfung und Bewertung kann durch vom Bundesamt anerkannte sachverständige Stellen erfolgen.

(4) Das Sicherheitszertifikat wird erteilt, wenn

1.
informationstechnische Systeme, Komponenten, Produkte oder Schutzprofile den vom Bundesamt festgelegten Kriterien entsprechen und
2.
das Bundesministerium des Innern festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.

(5) Für die Zertifizierung von Personen und IT-Sicherheitsdienstleistern gilt Absatz 4 entsprechend.

(6) Eine Anerkennung nach Absatz 3 wird erteilt, wenn

1.
die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuverlässigkeit der Konformitätsbewertungsstelle den vom Bundesamt festgelegten Kriterien entspricht und
2.
das Bundesministerium des Innern festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
Das Bundesamt stellt durch die notwendigen Maßnahmen sicher, dass das Fortbestehen der Voraussetzungen nach Satz 1 regelmäßig überprüft wird.

(7) Sicherheitszertifikate anderer anerkannter Zertifizierungsstellen aus dem Bereich der Europäischen Union werden vom Bundesamt anerkannt, soweit sie eine den Sicherheitszertifikaten des Bundesamtes gleichwertige Sicherheit ausweisen und die Gleichwertigkeit vom Bundesamt festgestellt worden ist.

des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik zertifizierten IT-Sicherheitsdienstleistern erteilte Testate; das Zusammenwirken mit den anderen akkreditierten Diensteanbietern kann nur nach ausreichenden Prüfungen bestätigt werden; die Sicherheit der Dienste kann nur nach einer umfassenden im Rahmen der Vergabe der Testate stattfindenden Prüfung des Sicherheitskonzepts und der eingesetzten IT-Infrastrukturen bestätigt werden; zum Zeitpunkt des Inkrafttretens des Gesetzes erteilte Zertifikate können berücksichtigt werden;
4.
die Erfüllung der datenschutzrechtlichen Anforderungen an das Datenschutzkonzept für die eingesetzten Verfahren und die eingesetzten informationstechnischen Einrichtungen durch Vorlage geeigneter Nachweise; der Nachweis wird dadurch geführt, dass der antragstellende Diensteanbieter ein Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorlegt; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erteilt auf schriftlichen Antrag des Diensteanbieters ein Zertifikat, wenn die datenschutzrechtlichen Kriterien erfüllt sind; die Erfüllung der datenschutzrechtlichen Kriterien wird nachgewiesen durch ein Gutachten, welches von einer vom Bund oder einem Land anerkannten oder öffentlich bestellten oder beliehenen sachverständigen Stelle für Datenschutz erstellt wurde; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kann ergänzende Angaben anfordern; die datenschutzrechtlichen Kriterien sind in einem Kriterienkatalog definiert, der in der Verantwortung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit liegt und durch ihn im Bundesanzeiger und zusätzlich im Internet oder in sonstiger geeigneter Weise veröffentlicht wird; dem Bundesamt für Sicherheit in der Informationstechnik wird Gelegenheit zur Stellungnahme gegeben, sofern Fragen der IT-Sicherheit berührt sind.

(4) Der Diensteanbieter kann, unter Einbeziehung in seine Konzepte zur Umsetzung der Anforderungen des Absatzes 1, zur Erfüllung von Pflichten nach diesem Gesetz Dritte beauftragen.

§ 19 Gleichstellung ausländischer Dienste

(1) Vergleichbare Dienste aus einem anderen Mitgliedstaat der Europäischen Union oder aus einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum sind den Diensten eines akkreditierten Diensteanbieters, mit Ausnahme solcher Dienste, die mit der Ausübung hoheitlicher Tätigkeit verbunden sind, gleichgestellt, wenn ihre Anbieter dem § 18

(1) Als Diensteanbieter kann nur akkreditiert werden, wer

1.
die für den Betrieb von De-Mail-Diensten erforderliche Zuverlässigkeit und Fachkunde besitzt,
2.
eine geeignete Deckungsvorsorge trifft, um seinen gesetzlichen Verpflichtungen zum Ersatz von Schäden nachzukommen,
3.
die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 sowie nach § 16 in der Weise erfüllt, dass er die Dienste zuverlässig und sicher erbringt, er mit den anderen akkreditierten Diensteanbietern zusammenwirkt und für die Erbringung der Dienste ausschließlich technische Geräte verwendet, die sich im Gebiet der Mitgliedstaaten der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum befinden,
4.
bei der Gestaltung und dem Betrieb der De-Mail-Dienste die datenschutzrechtlichen Anforderungen erfüllt.

(2) Die Diensteanbieter haben die technischen und organisatorischen Anforderungen nach den §§ 3 bis 13 sowie nach § 16 nach dem Stand der Technik zu erfüllen. Die Einhaltung des Standes der Technik wird vermutet, wenn die Technische Richtlinie 01201 De-Mail des Bundesamtes für Sicherheit in der Informationstechnik vom 23. März 2011 (eBAnz AT40 2011 B1) in der jeweils im Bundesanzeiger veröffentlichten Fassung eingehalten wird. Bevor das Bundesamt für Sicherheit in der Informationstechnik wesentliche Änderungen an der Technischen Richtlinie vornimmt, hört es den Ausschuss De-Mail-Standardisierung im Sinne des § 22 an, und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wird hierbei Gelegenheit zur Stellungnahme gegeben, sofern Fragen des Datenschutzes berührt sind.

(3) Die Voraussetzungen nach Absatz 1 werden wie folgt nachgewiesen:

1.
die erforderliche Zuverlässigkeit und Fachkunde durch Nachweise über die persönlichen Eigenschaften, das Verhalten und die entsprechenden Fähigkeiten seiner oder der in seinem Betrieb tätigen Personen; als Nachweis der erforderlichen Fachkunde ist es in der Regel ausreichend, wenn für die jeweilige Aufgabe im Betrieb entsprechende Zeugnisse oder Nachweise über die dafür notwendigen Kenntnisse, Erfahrungen und Fertigkeiten vorgelegt werden;
2.
eine ausreichende Deckungsvorsorge durch den Abschluss einer Versicherung oder die Freistellungs- oder Gewährleistungsverpflichtung eines Kreditunternehmens mit einer Mindestdeckungssumme von jeweils 250 000 Euro für einen verursachten Schaden. Die Deckungsvorsorge kann erbracht werden durch
a)
eine Haftpflichtversicherung bei einem innerhalb der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Versicherungsunternehmen oder
b)
eine Freistellungs- oder Gewährleistungsverpflichtung eines in einem der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Kreditinstituts, wenn gewährleistet ist, dass sie einer Haftpflichtversicherung vergleichbare Sicherheit bietet.
Soweit die Deckungsvorsorge durch eine Versicherung erbracht wird, gilt Folgendes:
a)
Auf diese Versicherung finden § 113 Absatz 2 und 3 und die §§ 114 bis 124 des Versicherungsvertragsgesetzes Anwendung.
b)
Die Mindestversicherungssumme muss 2,5 Millionen Euro für den einzelnen Versicherungsfall betragen. Versicherungsfall ist jede Pflichtverletzung des Diensteanbieters, unabhängig von der Anzahl der dadurch ausgelösten Schadensfälle. Wird eine Jahreshöchstleistung für alle in einem Versicherungsjahr verursachten Schäden vereinbart, muss sie mindestens das Vierfache der Mindestversicherungssumme betragen.
c)
Von der Versicherung kann die Leistung nur ausgeschlossen werden für Ersatzansprüche aus vorsätzlich begangener Pflichtverletzung des akkreditierten Diensteanbieters oder der Personen, für die er einzustehen hat.
d)
Die Vereinbarung eines Selbstbehaltes bis zu 1 Prozent der Mindestversicherungssumme ist zulässig;
3.
die Erfüllung der technischen und organisatorischen Anforderungen an die Pflichten im Sinne des Absatzes 1 Nummer 3 durch vom Bundesamt für Sicherheit in der Informationstechnik nach § 9 Absatz 2 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik zertifizierten IT-Sicherheitsdienstleistern erteilte Testate; das Zusammenwirken mit den anderen akkreditierten Diensteanbietern kann nur nach ausreichenden Prüfungen bestätigt werden; die Sicherheit der Dienste kann nur nach einer umfassenden im Rahmen der Vergabe der Testate stattfindenden Prüfung des Sicherheitskonzepts und der eingesetzten IT-Infrastrukturen bestätigt werden; zum Zeitpunkt des Inkrafttretens des Gesetzes erteilte Zertifikate können berücksichtigt werden;
4.
die Erfüllung der datenschutzrechtlichen Anforderungen an das Datenschutzkonzept für die eingesetzten Verfahren und die eingesetzten informationstechnischen Einrichtungen durch Vorlage geeigneter Nachweise; der Nachweis wird dadurch geführt, dass der antragstellende Diensteanbieter ein Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorlegt; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erteilt auf schriftlichen Antrag des Diensteanbieters ein Zertifikat, wenn die datenschutzrechtlichen Kriterien erfüllt sind; die Erfüllung der datenschutzrechtlichen Kriterien wird nachgewiesen durch ein Gutachten, welches von einer vom Bund oder einem Land anerkannten oder öffentlich bestellten oder beliehenen sachverständigen Stelle für Datenschutz erstellt wurde; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kann ergänzende Angaben anfordern; die datenschutzrechtlichen Kriterien sind in einem Kriterienkatalog definiert, der in der Verantwortung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit liegt und durch ihn im Bundesanzeiger und zusätzlich im Internet oder in sonstiger geeigneter Weise veröffentlicht wird; dem Bundesamt für Sicherheit in der Informationstechnik wird Gelegenheit zur Stellungnahme gegeben, sofern Fragen der IT-Sicherheit berührt sind.

(4) Der Diensteanbieter kann, unter Einbeziehung in seine Konzepte zur Umsetzung der Anforderungen des Absatzes 1, zur Erfüllung von Pflichten nach diesem Gesetz Dritte beauftragen.

gleichwertige Voraussetzungen erfüllen, diese gegenüber einer zuständige Stelle nachgewiesen sind und das Fortbestehen der Erfüllung dieser Voraussetzungen durch eine in diesem Mitglied- oder Vertragsstaat bestehende Kontrolle gewährleistet wird.

(2) Die Prüfung der Gleichwertigkeit des ausländischen Diensteanbieters nach Absatz 1 obliegt der zuständigen Behörde. Die Gleichwertigkeit ausländischer Diensteanbieter ist gegeben, wenn die zuständige Behörde festgestellt hat, dass im Herkunftsland des jeweiligen Diensteanbieters

1.
die Sicherheitsanforderungen an Diensteanbieter,
2.
die Prüfungsmodalitäten für Diensteanbieter sowie die Anforderungen an die für die Prüfung der Dienste zuständigen Stellen und
3.
das Kontrollsystem
eine gleichwertige Sicherheit bieten.

Annotations

§ 17 Akkreditierung von Diensteanbietern

(1) Als Diensteanbieter kann nur akkreditiert werden, wer

1.
die für den Betrieb von De-Mail-Diensten erforderliche Zuverlässigkeit und Fachkunde besitzt,
2.
eine geeignete Deckungsvorsorge trifft, um seinen gesetzlichen Verpflichtungen zum Ersatz von Schäden nachzukommen,
3.
die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 sowie nach § 16 in der Weise erfüllt, dass er die Dienste zuverlässig und sicher erbringt, er mit den anderen akkreditierten Diensteanbietern zusammenwirkt und für die Erbringung der Dienste ausschließlich technische Geräte verwendet, die sich im Gebiet der Mitgliedstaaten der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum befinden,
4.
bei der Gestaltung und dem Betrieb der De-Mail-Dienste die datenschutzrechtlichen Anforderungen erfüllt.

(2) Die Diensteanbieter haben die technischen und organisatorischen Anforderungen nach den §§ 3 bis 13 sowie nach § 16 nach dem Stand der Technik zu erfüllen. Die Einhaltung des Standes der Technik wird vermutet, wenn die Technische Richtlinie 01201 De-Mail des Bundesamtes für Sicherheit in der Informationstechnik vom 23. März 2011 (eBAnz AT40 2011 B1) in der jeweils im Bundesanzeiger veröffentlichten Fassung eingehalten wird. Bevor das Bundesamt für Sicherheit in der Informationstechnik wesentliche Änderungen an der Technischen Richtlinie vornimmt, hört es den Ausschuss De-Mail-Standardisierung im Sinne des § 22 an, und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wird hierbei Gelegenheit zur Stellungnahme gegeben, sofern Fragen des Datenschutzes berührt sind.

(3) Die Voraussetzungen nach Absatz 1 werden wie folgt nachgewiesen:

1.
die erforderliche Zuverlässigkeit und Fachkunde durch Nachweise über die persönlichen Eigenschaften, das Verhalten und die entsprechenden Fähigkeiten seiner oder der in seinem Betrieb tätigen Personen; als Nachweis der erforderlichen Fachkunde ist es in der Regel ausreichend, wenn für die jeweilige Aufgabe im Betrieb entsprechende Zeugnisse oder Nachweise über die dafür notwendigen Kenntnisse, Erfahrungen und Fertigkeiten vorgelegt werden;
2.
eine ausreichende Deckungsvorsorge durch den Abschluss einer Versicherung oder die Freistellungs- oder Gewährleistungsverpflichtung eines Kreditunternehmens mit einer Mindestdeckungssumme von jeweils 250 000 Euro für einen verursachten Schaden. Die Deckungsvorsorge kann erbracht werden durch
a)
eine Haftpflichtversicherung bei einem innerhalb der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Versicherungsunternehmen oder
b)
eine Freistellungs- oder Gewährleistungsverpflichtung eines in einem der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Kreditinstituts, wenn gewährleistet ist, dass sie einer Haftpflichtversicherung vergleichbare Sicherheit bietet.
Soweit die Deckungsvorsorge durch eine Versicherung erbracht wird, gilt Folgendes:
a)
Auf diese Versicherung finden § 113 Absatz 2 und 3 und die §§ 114 bis 124 des Versicherungsvertragsgesetzes Anwendung.
b)
Die Mindestversicherungssumme muss 2,5 Millionen Euro für den einzelnen Versicherungsfall betragen. Versicherungsfall ist jede Pflichtverletzung des Diensteanbieters, unabhängig von der Anzahl der dadurch ausgelösten Schadensfälle. Wird eine Jahreshöchstleistung für alle in einem Versicherungsjahr verursachten Schäden vereinbart, muss sie mindestens das Vierfache der Mindestversicherungssumme betragen.
c)
Von der Versicherung kann die Leistung nur ausgeschlossen werden für Ersatzansprüche aus vorsätzlich begangener Pflichtverletzung des akkreditierten Diensteanbieters oder der Personen, für die er einzustehen hat.
d)
Die Vereinbarung eines Selbstbehaltes bis zu 1 Prozent der Mindestversicherungssumme ist zulässig;
3.
die Erfüllung der technischen und organisatorischen Anforderungen an die Pflichten im Sinne des Absatzes 1 Nummer 3 durch vom Bundesamt für Sicherheit in der Informationstechnik nach § 9 Absatz 2 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik zertifizierten IT-Sicherheitsdienstleistern erteilte Testate; das Zusammenwirken mit den anderen akkreditierten Diensteanbietern kann nur nach ausreichenden Prüfungen bestätigt werden; die Sicherheit der Dienste kann nur nach einer umfassenden im Rahmen der Vergabe der Testate stattfindenden Prüfung des Sicherheitskonzepts und der eingesetzten IT-Infrastrukturen bestätigt werden; zum Zeitpunkt des Inkrafttretens des Gesetzes erteilte Zertifikate können berücksichtigt werden;
4.
die Erfüllung der datenschutzrechtlichen Anforderungen an das Datenschutzkonzept für die eingesetzten Verfahren und die eingesetzten informationstechnischen Einrichtungen durch Vorlage geeigneter Nachweise; der Nachweis wird dadurch geführt, dass der antragstellende Diensteanbieter ein Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorlegt; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erteilt auf schriftlichen Antrag des Diensteanbieters ein Zertifikat, wenn die datenschutzrechtlichen Kriterien erfüllt sind; die Erfüllung der datenschutzrechtlichen Kriterien wird nachgewiesen durch ein Gutachten, welches von einer vom Bund oder einem Land anerkannten oder öffentlich bestellten oder beliehenen sachverständigen Stelle für Datenschutz erstellt wurde; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kann ergänzende Angaben anfordern; die datenschutzrechtlichen Kriterien sind in einem Kriterienkatalog definiert, der in der Verantwortung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit liegt und durch ihn im Bundesanzeiger und zusätzlich im Internet oder in sonstiger geeigneter Weise veröffentlicht wird; dem Bundesamt für Sicherheit in der Informationstechnik wird Gelegenheit zur Stellungnahme gegeben, sofern Fragen der IT-Sicherheit berührt sind.

(4) Der Diensteanbieter kann, unter Einbeziehung in seine Konzepte zur Umsetzung der Anforderungen des Absatzes 1, zur Erfüllung von Pflichten nach diesem Gesetz Dritte beauftragen.

(1) Diensteanbieter, die De-Mail-Dienste anbieten wollen, müssen sich auf schriftlichen Antrag von der zuständigen Behörde akkreditieren lassen. Die Akkreditierung ist zu erteilen, wenn der Diensteanbieter nachweist, dass er die Voraussetzungen nach § 18 erfüllt und wenn die Ausübung der Aufsicht über den Diensteanbieter durch die zuständige Behörde gewährleistet ist. Akkreditierte Diensteanbieter erhalten ein Gütezeichen der zuständigen Behörde. Das Gütezeichen dient als Nachweis für die umfassend geprüfte technische und administrative Sicherheit der De-Mail-Dienste. Sie dürfen sich als akkreditierte Diensteanbieter bezeichnen. Nur akkreditierte Diensteanbieter dürfen sich im Geschäftsverkehr auf die nachgewiesene Sicherheit berufen und das Gütezeichen führen. Weitere Kennzeichnungen können akkreditierten Diensteanbietern vorbehalten sein.

(2) Über den Antrag nach § 17 Absatz 1 Satz 1 ist innerhalb einer Frist von drei Monaten zu entscheiden; § 42a Absatz 2 Satz 2 bis 4 des Verwaltungsverfahrensgesetzes findet Anwendung.

(3) Die Akkreditierung ist nach wesentlichen Veränderungen, spätestens jedoch nach drei Jahren zu erneuern.

(1) Eine beantragte Genehmigung gilt nach Ablauf einer für die Entscheidung festgelegten Frist als erteilt (Genehmigungsfiktion), wenn dies durch Rechtsvorschrift angeordnet und der Antrag hinreichend bestimmt ist. Die Vorschriften über die Bestandskraft von Verwaltungsakten und über das Rechtsbehelfsverfahren gelten entsprechend.

(2) Die Frist nach Absatz 1 Satz 1 beträgt drei Monate, soweit durch Rechtsvorschrift nichts Abweichendes bestimmt ist. Die Frist beginnt mit Eingang der vollständigen Unterlagen. Sie kann einmal angemessen verlängert werden, wenn dies wegen der Schwierigkeit der Angelegenheit gerechtfertigt ist. Die Fristverlängerung ist zu begründen und rechtzeitig mitzuteilen.

(3) Auf Verlangen ist demjenigen, dem der Verwaltungsakt nach § 41 Abs. 1 hätte bekannt gegeben werden müssen, der Eintritt der Genehmigungsfiktion schriftlich zu bescheinigen.

§ 18 Voraussetzungen der Akkreditierung; Nachweis
§ 3 Eröffnung eines De-Mail-Kontos

(1) Durch einen De-Mail-Konto-Vertrag verpflichtet sich ein akkreditierter Diensteanbieter, einem Nutzer ein De-Mail-Konto zur Verfügung zu stellen. Ein De-Mail-Konto ist ein Bereich in einem De-Mail-Dienst, der einem Nutzer so zugeordnet ist, dass er nur von ihm genutzt werden kann. Der akkreditierte Diensteanbieter hat durch technische Mittel sicherzustellen, dass nur der diesem De-Mail-Konto zugeordnete Nutzer Zugang zu dem ihm zugeordneten De-Mail-Konto erlangen kann.

(2) Der akkreditierte Diensteanbieter hat die Identität des Nutzers und bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen zusätzlich die Identität ihrer gesetzlichen Vertreter oder Organmitglieder zuverlässig festzustellen. Dazu erhebt und speichert er folgende Angaben:

1.
bei einer natürlichen Person Name, Geburtsort, Geburtsdatum und Anschrift;
2.
bei einer juristischen Person oder Personengesellschaft oder öffentlichen Stelle Firma, Name oder Bezeichnung, Rechtsform, Registernummer, soweit vorhanden, Anschrift des Sitzes oder der Hauptniederlassung und Namen der Mitglieder des Vertretungsorgans oder der gesetzlichen Vertreter; ist ein Mitglied des Vertretungsorgans oder der gesetzliche Vertreter eine juristische Person, so wird deren Firma, Name oder Bezeichnung, Rechtsform, Registernummer, soweit vorhanden, und Anschrift des Sitzes oder der Hauptniederlassung erhoben.

(3) Der akkreditierte Diensteanbieter hat die Angaben nach Absatz 2 vor Freischaltung des De-Mail-Kontos des Nutzers zu überprüfen:

1.
bei natürlichen Personen
a)
anhand eines gültigen amtlichen Ausweises, der ein Lichtbild des Inhabers enthält und mit dem die Pass- und Ausweispflicht im Inland erfüllt wird, insbesondere anhand eines inländischen oder nach ausländerrechtlichen Bestimmungen anerkannten oder zugelassenen Passes, Personalausweises oder Pass- oder Ausweisersatzes,
b)
anhand von Dokumenten, die bezüglich ihrer Sicherheit einem Dokument nach Buchstabe a gleichwertig sind,
c)
anhand eines elektronischen Identitätsnachweises nach § 18 des Personalausweisgesetzes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes,
d)
anhand einer qualifizierten elektronischen Signatur oder
e)
anhand sonstiger geeigneter technischer Verfahren mit gleichwertiger Sicherheit zu einer Identifizierung anhand der Dokumente nach Buchstabe a;
2.
bei juristischen Personen oder Personengesellschaften oder bei öffentlichen Stellen
a)
anhand eines Auszugs aus dem Handels- oder Genossenschaftsregister oder aus einem vergleichbaren amtlichen Register oder Verzeichnis,
b)
anhand der Gründungsdokumente,
c)
anhand von Dokumenten, die bezüglich ihrer Beweiskraft den Dokumenten nach den Buchstaben a oder b gleichwertig sind, oder
d)
durch Einsichtnahme in die Register- oder Verzeichnisdaten.
Der akkreditierte Diensteanbieter kann von dem amtlichen Ausweis eine Kopie erstellen. Er hat die Kopie unverzüglich nach Feststellung der für die Identität erforderlichen Angaben des Teilnehmers zu vernichten. Der akkreditierte Diensteanbieter darf zur Identitätsfeststellung und -überprüfung mit Einwilligung des Nutzers auch personenbezogene Daten verarbeiten oder nutzen, die er zu einem früheren Zeitpunkt erhoben hat, sofern diese Daten die zuverlässige Identitätsfeststellung des Nutzers gewährleisten.

(4) Eine Nutzung der De-Mail-Dienste ist erst möglich, nachdem der akkreditierte Diensteanbieter das De-Mail-Konto des Nutzers freigeschaltet hat. Die Freischaltung erfolgt, sobald

1.
der akkreditierte Diensteanbieter den Nutzer eindeutig identifiziert hat und die Identitätsdaten des Nutzers und bei Absatz 2 Nummer 2 auch dessen gesetzlichen Vertreters oder der Organmitglieder erhoben und erfolgreich überprüft worden sind,
2.
der akkreditierte Diensteanbieter dem Nutzer dessen für die Erstanmeldung notwendigen Anmeldedaten auf geeignetem Wege übermittelt hat,
3.
der Nutzer die Bestätigung nach § 9 Absatz 2 vorgenommen hat,
4.
der Nutzer in die Prüfung seiner Nachrichten auf Schadsoftware durch den akkreditierten Diensteanbieter eingewilligt hat und
5.
der Nutzer im Rahmen einer Erstanmeldung nachgewiesen hat, dass er die Anmeldedaten erfolgreich nutzen konnte.

(5) Der akkreditierte Diensteanbieter hat nach der Freischaltung des De-Mail-Kontos eines Nutzers die Richtigkeit der zu dem Nutzer gespeicherten Identitätsdaten sicherzustellen. Er hat die gespeicherten Identitätsdaten in angemessenen zeitlichen Abständen auf ihre Richtigkeit zu prüfen und soweit erforderlich zu berichtigen.

§ 4 Anmeldung zu einem De-Mail-Konto

(1) Der akkreditierte Diensteanbieter muss dem Nutzer den Zugang zu seinem De-Mail-Konto und den einzelnen Diensten mit einer sicheren Anmeldung oder auf Verlangen des Nutzers auch ohne eine solche sichere Anmeldung ermöglichen. Für die sichere Anmeldung hat der akkreditierte Diensteanbieter sicherzustellen, dass zum Schutz gegen eine unberechtigte Nutzung der Zugang zum De-Mail-Konto nur möglich ist, wenn zwei geeignete und voneinander unabhängige Sicherungsmittel eingesetzt werden; soweit bei den Sicherungsmitteln Geheimnisse verwendet werden, ist deren Einmaligkeit und Geheimhaltung sicherzustellen. Der Zugang zum De-Mail-Konto erfolgt ohne eine sichere Anmeldung, wenn nur ein Sicherungsmittel, in der Regel Benutzername und Passwort, verwendet wird. Der Nutzer kann verlangen, dass der Zugang zu seinem De-Mail-Konto ausschließlich mit einer sicheren Anmeldung möglich sein soll.

(2) Der akkreditierte Diensteanbieter hat zu gewährleisten, dass der Nutzer zwischen mindestens zwei Verfahren zur sicheren Anmeldung nach Absatz 1 Satz 2 wählen kann. Als ein Verfahren zur sicheren Anmeldung muss durch den Nutzer, soweit er eine natürliche Person ist, der elektronische Identitätsnachweis nach § 18 des Personalausweisgesetzes genutzt werden können.

(3) Der akkreditierte Diensteanbieter hat sicherzustellen, dass die Kommunikationsverbindung zwischen dem Nutzer und seinem De-Mail-Konto verschlüsselt erfolgt.

§ 5 Postfach- und Versanddienst

(1) Die Bereitstellung eines De-Mail-Kontos umfasst die Nutzung eines sicheren elektronischen Postfach- und Versanddienstes für elektronische Nachrichten. Hierzu wird dem Nutzer eine De-Mail-Adresse für elektronische Post zugewiesen, welche folgende Angaben enthalten muss:

1.
im Domänenteil der De-Mail-Adresse eine Kennzeichnung, die ausschließlich für De-Mail-Dienste genutzt werden darf;
2.
bei natürlichen Personen im lokalen Teil deren Nachnamen und einen oder mehrere Vornamen oder einen Teil des oder der Vornamen (Hauptadresse);
3.
bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen im Domänenteil eine Bezeichnung, welche in direktem Bezug zu ihrer Firma, Namen oder sonstiger Bezeichnung steht.

(2) Der akkreditierte Diensteanbieter kann Nutzern auf Verlangen auch pseudonyme De-Mail-Adressen zur Verfügung stellen, soweit es sich bei dem Nutzer um eine natürliche Person handelt. Die Inanspruchnahme eines Dienstes durch den Nutzer unter Pseudonym ist für Dritte erkennbar zu kennzeichnen.

(3) Der Postfach- und Versanddienst hat die Vertraulichkeit, die Integrität und die Authentizität der Nachrichten zu gewährleisten. Hierzu gewährleistet der akkreditierte Diensteanbieter, dass

1.
die Kommunikation von einem akkreditierten Diensteanbieter zu jedem anderen akkreditierten Diensteanbieter über einen verschlüsselten gegenseitig authentisierten Kanal erfolgt (Transportverschlüsselung) und
2.
der Inhalt einer De-Mail-Nachricht vom akkreditierten Diensteanbieter des Senders zum akkreditierten Diensteanbieter des Empfängers verschlüsselt übertragen wird.
Der Einsatz einer durchgängigen Verschlüsselung zwischen Sender und Empfänger (Ende-zu-Ende-Verschlüsselung) bleibt hiervon unberührt.

(4) Der Sender kann eine sichere Anmeldung nach § 4 für den Abruf der Nachricht durch den Empfänger bestimmen.

(5) Der akkreditierte Diensteanbieter muss dem Nutzer ermöglichen, seine sichere Anmeldung im Sinne von § 4 in der Nachricht so bestätigen zu lassen, dass die Unverfälschtheit der Bestätigung jederzeit nachprüfbar ist. Um dieses dem Empfänger der Nachricht kenntlich zu machen, bestätigt der akkreditierte Diensteanbieter des Senders die Verwendung der sicheren Anmeldung nach § 4. Hierzu versieht er im Auftrag des Senders die Nachricht mit einer dauerhaft überprüfbaren qualifizierten elektronischen Signatur; sind der Nachricht eine oder mehrere Dateien beigefügt, bezieht sich die qualifizierte elektronische Signatur auch auf diese. Die Bestätigung enthält bei natürlichen Personen den Namen und die Vornamen, bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen die Firma, den Namen oder die Bezeichnung des Senders in der Form, in der diese nach § 3 Absatz 2 hinterlegt sind. Die Tatsache, dass der Absender diese Versandart genutzt hat, muss sich aus der Nachricht in der Form, wie sie beim Empfänger ankommt, ergeben. Die Bestätigung nach Satz 1 ist nicht zulässig bei Verwendung einer pseudonymen De-Mail-Adresse nach Absatz 2.

(6) Der akkreditierte Diensteanbieter mit Ausnahme der Diensteanbieter nach § 19 ist verpflichtet, elektronische Nachrichten nach den Vorschriften der Prozessordnungen und der Gesetze, die die Verwaltungszustellung regeln, förmlich zuzustellen. Im Umfang dieser Verpflichtung ist der akkreditierte Diensteanbieter mit Hoheitsbefugnissen ausgestattet (beliehener Unternehmer).

(7) Der akkreditierte Diensteanbieter bestätigt auf Antrag des Senders den Versand einer Nachricht. Die Versandbestätigung muss folgende Angaben enthalten:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Versands der Nachricht vom De-Mail-Postfach des Senders;
3.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Versandbestätigung erzeugt und
4.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Senders hat die Versandbestätigung mit einer qualifizierten elektronischen Signatur zu versehen.

(8) Auf Antrag des Senders wird der Eingang einer Nachricht im De-Mail-Postfach des Empfängers bestätigt. Hierbei wirken der akkreditierte Diensteanbieter des Senders und der akkreditierte Diensteanbieter des Empfängers zusammen. Der akkreditierte Diensteanbieter des Empfängers erstellt eine Eingangsbestätigung. Die Eingangsbestätigung enthält folgende Angaben:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Eingangs der Nachricht im De-Mail-Postfach des Empfängers;
3.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Eingangsbestätigung erzeugt und
4.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Empfängers hat die Eingangsbestätigung mit einer qualifizierten elektronischen Signatur zu versehen. Der akkreditierte Diensteanbieter des Empfängers sendet diesem ebenfalls die Eingangsbestätigung zu.

(9) Eine öffentliche Stelle, welche zur förmlichen Zustellung nach den Vorschriften der Prozessordnungen und der Gesetze, die die Verwaltungszustellung regeln, berechtigt ist, kann eine Abholbestätigung verlangen. Aus der Abholbestätigung ergibt sich, dass sich der Empfänger nach dem Eingang der Nachricht im Postfach an seinem De-Mail-Konto sicher im Sinne des § 4 angemeldet hat. Hierbei wirken der akkreditierte Diensteanbieter der öffentlichen Stelle als Senderin und der akkreditierte Diensteanbieter des Empfängers zusammen. Der akkreditierte Diensteanbieter des Empfängers erzeugt die Abholbestätigung. Die Abholbestätigung muss folgende Angaben enthalten:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Eingangs der Nachricht im De-Mail-Postfach des Empfängers;
3.
das Datum und die Uhrzeit der sicheren Anmeldung des Empfängers an seinem De-Mail-Konto im Sinne des § 4;
4.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Abholbestätigung erzeugt und
5.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Empfängers hat die Abholbestätigung mit einer qualifizierten elektronischen Signatur zu versehen. Der akkreditierte Diensteanbieter des Empfängers sendet diesem ebenfalls die Abholbestätigung zu. Die in Satz 5 genannten Daten dürfen ausschließlich zum Nachweis der förmlichen Zustellung im Sinne von § 5 Absatz 6 verarbeitet und genutzt werden.

(10) Der akkreditierte Diensteanbieter stellt sicher, dass Nachrichten, für die eine Eingangsbestätigung nach Absatz 8 oder eine Abholbestätigung nach Absatz 9 erteilt worden ist, durch den Empfänger ohne eine sichere Anmeldung an seinem De-Mail-Konto erst 90 Tage nach ihrem Eingang gelöscht werden können.

(11) Nutzern, die natürliche Personen sind, bietet der akkreditierte Diensteanbieter an, von allen an ihre De-Mail-Adresse adressierten Nachrichten eine Kopie an eine zuvor vom Nutzer angegebene De-Mail-Adresse (Weiterleitungsadresse) weiterzuleiten, ohne dass der Nutzer an seinem De-Mail-Konto angemeldet sein muss (automatische Weiterleitung). Der Nutzer kann ausschließen, dass im Sinne des Absatzes 4 an ihn gesendete Nachrichten weitergeleitet werden. Der Nutzer kann den Dienst der automatischen Weiterleitung jederzeit zurücknehmen. Um den Dienst der automatischen Weiterleitung nutzen zu können, muss der Nutzer sicher an seinem De-Mail-Konto angemeldet sein.

§ 6 Identitätsbestätigungsdienst

(1) Der akkreditierte Diensteanbieter kann einen Identitätsbestätigungsdienst anbieten. Ein solcher liegt vor, wenn sich der Nutzer der nach § 3 hinterlegten Identitätsdaten bedienen kann, um seine Identität gegenüber einem Dritten, der ebenfalls Nutzer eines De-Mail-Kontos ist, sicher elektronisch bestätigen zu lassen. Die Übermittlung der Identitätsdaten erfolgt mittels einer De-Mail-Nachricht, die der akkreditierte Diensteanbieter im Auftrag des Nutzers an den Dritten, welchem gegenüber er seine Identitätsdaten mitteilen möchte, sendet. Die De-Mail-Nachricht wird durch den akkreditierten Diensteanbieter mit einer qualifizierten elektronischen Signatur versehen.

(2) Der akkreditierte Diensteanbieter hat Vorkehrungen dafür zu treffen, dass Identitätsdaten nicht unbemerkt gefälscht oder verfälscht werden können.

(3) Die zuständige Behörde kann die Sperrung eines Identitätsdatums anordnen, wenn Tatsachen die Annahme rechtfertigen, dass das Identitätsdatum auf Grund falscher Angaben ausgestellt wurde oder nicht ausreichend fälschungssicher ist.

§ 7 Verzeichnisdienst

(1) Der akkreditierte Diensteanbieter hat auf ausdrückliches Verlangen des Nutzers die De-Mail-Adressen, die nach § 3 hinterlegten Identitätsdaten Name und Anschrift, die für die Verschlüsselung von Nachrichten an den Nutzer notwendigen Informationen und die Information über die Möglichkeit der sicheren Anmeldung nach § 4 des Nutzers in einem Verzeichnisdienst zu veröffentlichen. Der akkreditierte Diensteanbieter darf die Eröffnung eines De-Mail-Kontos für den Nutzer nicht von dem Verlangen des Nutzers nach Satz 1 abhängig machen.

(2) Der akkreditierte Diensteanbieter hat eine De-Mail-Adresse, ein Identitätsdatum oder die für die Verschlüsselung von Nachrichten an den Nutzer notwendigen Informationen aus dem Verzeichnisdienst unverzüglich zu löschen, wenn der Nutzer dies verlangt, die Daten auf Grund falscher Angaben ausgestellt wurden, der Diensteanbieter seine Tätigkeit beendet und diese nicht von einem anderen akkreditierten Diensteanbieter fortgeführt wird oder die zuständige Behörde die Löschung aus dem Verzeichnisdienst anordnet. Weitere Gründe für eine Löschung können vertraglich vereinbart werden.

(3) Die Veröffentlichung der De-Mail-Adresse im Verzeichnisdienst auf ein Verlangen des Nutzers als Verbraucher nach Absatz 1 allein gilt nicht als Eröffnung des Zugangs im Sinne von § 3a Absatz 1 des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch oder des § 87a Absatz 1 Satz 1 der Abgabenordnung. Auf Verlangen des Nutzers muss der akkreditierte Diensteanbieter durch einen geeigneten Zusatz die Erklärung des Nutzers im Verzeichnisdienst veröffentlichen, den Zugang im Sinne von § 3a des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch und des § 87a Absatz 1 Satz 1 der Abgabenordnung eröffnen zu wollen. Die Veröffentlichung der De-Mail-Adresse des Nutzers als Verbraucher mit diesem Zusatz im Verzeichnisdienst gilt als Zugangseröffnung. Satz 2 gilt entsprechend für die Entscheidung des Nutzers, die Zugangseröffnung zurückzunehmen.

(4) § 47 des Telekommunikationsgesetzes gilt entsprechend.

§ 8 Dokumentenablage

Der akkreditierte Diensteanbieter kann dem Nutzer eine Dokumentenablage zur sicheren Ablage von Dokumenten anbieten. Bietet er die Dokumentenablage an, so hat er dafür Sorge zu tragen, dass die Dokumente sicher abgelegt werden; Vertraulichkeit, Integrität und ständige Verfügbarkeit der abgelegten Dokumente sind zu gewährleisten. Der akkreditierte Diensteanbieter ist verpflichtet, alle Dokumente verschlüsselt abzulegen. Der Nutzer kann für jede einzelne Datei eine für den Zugriff erforderliche sichere Anmeldung nach § 4 festlegen. Auf Verlangen des Nutzers hat der akkreditierte Diensteanbieter ein Protokoll über die Einstellung und Herausnahme von Dokumenten bereitzustellen, das mit einer qualifizierten elektronischen Signatur gesichert ist.

(1) Ein akkreditierter Diensteanbieter erteilt Dritten Auskunft über Namen und Anschrift eines Nutzers, wenn

1.
der Dritte glaubhaft macht, die Auskunft zur Verfolgung eines Rechtsanspruches gegen den Nutzer zu benötigen,
2.
sich die Auskunft auf ein Rechtsverhältnis zwischen dem Dritten und dem Nutzer bezieht, das unter Nutzung von De-Mail zustande gekommen ist,
3.
der Dritte die zur Feststellung seiner Identität notwendigen Angaben im Sinne von § 3 Absatz 2 macht,
4.
der akkreditierte Diensteanbieter die Richtigkeit der Angaben nach § 3 Absatz 3 überprüft hat,
5.
das Verlangen nicht rechtsmissbräuchlich ist, insbesondere nicht allein dem Zweck dient, ein Pseudonym aufzudecken, und
6.
die schutzwürdigen Interessen des Nutzers im Einzelfall nicht überwiegen.

(2) Der Dritte hat dem akkreditierten Diensteanbieter zur Glaubhaftmachung nach Absatz 1 Nummer 1 elektronische Nachrichten oder Schriftstücke zu übermitteln, aus denen sich das Rechtsverhältnis zum Nutzer ergibt, sofern diese angefallen sind. Der akkreditierte Diensteanbieter hat den Nutzer von dem Auskunftsersuchen unverzüglich und unter Benennung des Dritten zu informieren und ihm Gelegenheit zur Stellungnahme zum Auskunftsersuchen zu gewähren, soweit dies die Verfolgung des Rechtsanspruchs des Dritten nicht im Einzelfall gefährdet.

(3) Der akkreditierte Diensteanbieter kann den Ersatz der für die Auskunftserteilung erforderlichen Aufwendungen verlangen.

(4) § 7 des Bundesdatenschutzgesetzes gilt entsprechend.

(5) Die durch die Auskunftserteilung erlangten Daten dürfen nur zu dem bei dem Ersuchen angegebenen Zweck verwendet werden.

(6) Der akkreditierte Diensteanbieter hat die Auskunftserteilung nach Absatz 1 zu dokumentieren und den Nutzer von der Erteilung der Auskunft zu informieren. Die Dokumentationspflicht nach Satz 1 umfasst den Antrag zur Auskunftserteilung samt Angabe des Dritten nach Absatz 1, die Entscheidung des akkreditierten Diensteanbieters, die Identifizierungsdaten des bearbeitenden Mitarbeiters des akkreditierten Diensteanbieters, die Mitteilung des Ergebnisses an den auskunftsersuchenden Dritten, die Mitteilung über die Auskunftserteilung an den Nutzer und die jeweilige gesetzliche Zeit bei einzelnen Prozessen innerhalb der Auskunftserteilung. Die Dokumentation ist drei Jahre aufzubewahren.

(7) Die §§ 13 und 13a des Gesetzes über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen bleiben unberührt.

(8) Die nach anderen Rechtsvorschriften bestehenden Regelungen zu Auskünften gegenüber öffentlichen Stellen bleiben unberührt.

§ 3 Eröffnung eines De-Mail-Kontos

(1) Durch einen De-Mail-Konto-Vertrag verpflichtet sich ein akkreditierter Diensteanbieter, einem Nutzer ein De-Mail-Konto zur Verfügung zu stellen. Ein De-Mail-Konto ist ein Bereich in einem De-Mail-Dienst, der einem Nutzer so zugeordnet ist, dass er nur von ihm genutzt werden kann. Der akkreditierte Diensteanbieter hat durch technische Mittel sicherzustellen, dass nur der diesem De-Mail-Konto zugeordnete Nutzer Zugang zu dem ihm zugeordneten De-Mail-Konto erlangen kann.

(2) Der akkreditierte Diensteanbieter hat die Identität des Nutzers und bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen zusätzlich die Identität ihrer gesetzlichen Vertreter oder Organmitglieder zuverlässig festzustellen. Dazu erhebt und speichert er folgende Angaben:

1.
bei einer natürlichen Person Name, Geburtsort, Geburtsdatum und Anschrift;
2.
bei einer juristischen Person oder Personengesellschaft oder öffentlichen Stelle Firma, Name oder Bezeichnung, Rechtsform, Registernummer, soweit vorhanden, Anschrift des Sitzes oder der Hauptniederlassung und Namen der Mitglieder des Vertretungsorgans oder der gesetzlichen Vertreter; ist ein Mitglied des Vertretungsorgans oder der gesetzliche Vertreter eine juristische Person, so wird deren Firma, Name oder Bezeichnung, Rechtsform, Registernummer, soweit vorhanden, und Anschrift des Sitzes oder der Hauptniederlassung erhoben.

(3) Der akkreditierte Diensteanbieter hat die Angaben nach Absatz 2 vor Freischaltung des De-Mail-Kontos des Nutzers zu überprüfen:

1.
bei natürlichen Personen
a)
anhand eines gültigen amtlichen Ausweises, der ein Lichtbild des Inhabers enthält und mit dem die Pass- und Ausweispflicht im Inland erfüllt wird, insbesondere anhand eines inländischen oder nach ausländerrechtlichen Bestimmungen anerkannten oder zugelassenen Passes, Personalausweises oder Pass- oder Ausweisersatzes,
b)
anhand von Dokumenten, die bezüglich ihrer Sicherheit einem Dokument nach Buchstabe a gleichwertig sind,
c)
anhand eines elektronischen Identitätsnachweises nach § 18 des Personalausweisgesetzes oder nach § 78 Absatz 5 des Aufenthaltsgesetzes,
d)
anhand einer qualifizierten elektronischen Signatur oder
e)
anhand sonstiger geeigneter technischer Verfahren mit gleichwertiger Sicherheit zu einer Identifizierung anhand der Dokumente nach Buchstabe a;
2.
bei juristischen Personen oder Personengesellschaften oder bei öffentlichen Stellen
a)
anhand eines Auszugs aus dem Handels- oder Genossenschaftsregister oder aus einem vergleichbaren amtlichen Register oder Verzeichnis,
b)
anhand der Gründungsdokumente,
c)
anhand von Dokumenten, die bezüglich ihrer Beweiskraft den Dokumenten nach den Buchstaben a oder b gleichwertig sind, oder
d)
durch Einsichtnahme in die Register- oder Verzeichnisdaten.
Der akkreditierte Diensteanbieter kann von dem amtlichen Ausweis eine Kopie erstellen. Er hat die Kopie unverzüglich nach Feststellung der für die Identität erforderlichen Angaben des Teilnehmers zu vernichten. Der akkreditierte Diensteanbieter darf zur Identitätsfeststellung und -überprüfung mit Einwilligung des Nutzers auch personenbezogene Daten verarbeiten oder nutzen, die er zu einem früheren Zeitpunkt erhoben hat, sofern diese Daten die zuverlässige Identitätsfeststellung des Nutzers gewährleisten.

(4) Eine Nutzung der De-Mail-Dienste ist erst möglich, nachdem der akkreditierte Diensteanbieter das De-Mail-Konto des Nutzers freigeschaltet hat. Die Freischaltung erfolgt, sobald

1.
der akkreditierte Diensteanbieter den Nutzer eindeutig identifiziert hat und die Identitätsdaten des Nutzers und bei Absatz 2 Nummer 2 auch dessen gesetzlichen Vertreters oder der Organmitglieder erhoben und erfolgreich überprüft worden sind,
2.
der akkreditierte Diensteanbieter dem Nutzer dessen für die Erstanmeldung notwendigen Anmeldedaten auf geeignetem Wege übermittelt hat,
3.
der Nutzer die Bestätigung nach § 9 Absatz 2 vorgenommen hat,
4.
der Nutzer in die Prüfung seiner Nachrichten auf Schadsoftware durch den akkreditierten Diensteanbieter eingewilligt hat und
5.
der Nutzer im Rahmen einer Erstanmeldung nachgewiesen hat, dass er die Anmeldedaten erfolgreich nutzen konnte.

(5) Der akkreditierte Diensteanbieter hat nach der Freischaltung des De-Mail-Kontos eines Nutzers die Richtigkeit der zu dem Nutzer gespeicherten Identitätsdaten sicherzustellen. Er hat die gespeicherten Identitätsdaten in angemessenen zeitlichen Abständen auf ihre Richtigkeit zu prüfen und soweit erforderlich zu berichtigen.

§ 4 Anmeldung zu einem De-Mail-Konto

(1) Der akkreditierte Diensteanbieter muss dem Nutzer den Zugang zu seinem De-Mail-Konto und den einzelnen Diensten mit einer sicheren Anmeldung oder auf Verlangen des Nutzers auch ohne eine solche sichere Anmeldung ermöglichen. Für die sichere Anmeldung hat der akkreditierte Diensteanbieter sicherzustellen, dass zum Schutz gegen eine unberechtigte Nutzung der Zugang zum De-Mail-Konto nur möglich ist, wenn zwei geeignete und voneinander unabhängige Sicherungsmittel eingesetzt werden; soweit bei den Sicherungsmitteln Geheimnisse verwendet werden, ist deren Einmaligkeit und Geheimhaltung sicherzustellen. Der Zugang zum De-Mail-Konto erfolgt ohne eine sichere Anmeldung, wenn nur ein Sicherungsmittel, in der Regel Benutzername und Passwort, verwendet wird. Der Nutzer kann verlangen, dass der Zugang zu seinem De-Mail-Konto ausschließlich mit einer sicheren Anmeldung möglich sein soll.

(2) Der akkreditierte Diensteanbieter hat zu gewährleisten, dass der Nutzer zwischen mindestens zwei Verfahren zur sicheren Anmeldung nach Absatz 1 Satz 2 wählen kann. Als ein Verfahren zur sicheren Anmeldung muss durch den Nutzer, soweit er eine natürliche Person ist, der elektronische Identitätsnachweis nach § 18 des Personalausweisgesetzes genutzt werden können.

(3) Der akkreditierte Diensteanbieter hat sicherzustellen, dass die Kommunikationsverbindung zwischen dem Nutzer und seinem De-Mail-Konto verschlüsselt erfolgt.

§ 5 Postfach- und Versanddienst

(1) Die Bereitstellung eines De-Mail-Kontos umfasst die Nutzung eines sicheren elektronischen Postfach- und Versanddienstes für elektronische Nachrichten. Hierzu wird dem Nutzer eine De-Mail-Adresse für elektronische Post zugewiesen, welche folgende Angaben enthalten muss:

1.
im Domänenteil der De-Mail-Adresse eine Kennzeichnung, die ausschließlich für De-Mail-Dienste genutzt werden darf;
2.
bei natürlichen Personen im lokalen Teil deren Nachnamen und einen oder mehrere Vornamen oder einen Teil des oder der Vornamen (Hauptadresse);
3.
bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen im Domänenteil eine Bezeichnung, welche in direktem Bezug zu ihrer Firma, Namen oder sonstiger Bezeichnung steht.

(2) Der akkreditierte Diensteanbieter kann Nutzern auf Verlangen auch pseudonyme De-Mail-Adressen zur Verfügung stellen, soweit es sich bei dem Nutzer um eine natürliche Person handelt. Die Inanspruchnahme eines Dienstes durch den Nutzer unter Pseudonym ist für Dritte erkennbar zu kennzeichnen.

(3) Der Postfach- und Versanddienst hat die Vertraulichkeit, die Integrität und die Authentizität der Nachrichten zu gewährleisten. Hierzu gewährleistet der akkreditierte Diensteanbieter, dass

1.
die Kommunikation von einem akkreditierten Diensteanbieter zu jedem anderen akkreditierten Diensteanbieter über einen verschlüsselten gegenseitig authentisierten Kanal erfolgt (Transportverschlüsselung) und
2.
der Inhalt einer De-Mail-Nachricht vom akkreditierten Diensteanbieter des Senders zum akkreditierten Diensteanbieter des Empfängers verschlüsselt übertragen wird.
Der Einsatz einer durchgängigen Verschlüsselung zwischen Sender und Empfänger (Ende-zu-Ende-Verschlüsselung) bleibt hiervon unberührt.

(4) Der Sender kann eine sichere Anmeldung nach § 4 für den Abruf der Nachricht durch den Empfänger bestimmen.

(5) Der akkreditierte Diensteanbieter muss dem Nutzer ermöglichen, seine sichere Anmeldung im Sinne von § 4 in der Nachricht so bestätigen zu lassen, dass die Unverfälschtheit der Bestätigung jederzeit nachprüfbar ist. Um dieses dem Empfänger der Nachricht kenntlich zu machen, bestätigt der akkreditierte Diensteanbieter des Senders die Verwendung der sicheren Anmeldung nach § 4. Hierzu versieht er im Auftrag des Senders die Nachricht mit einer dauerhaft überprüfbaren qualifizierten elektronischen Signatur; sind der Nachricht eine oder mehrere Dateien beigefügt, bezieht sich die qualifizierte elektronische Signatur auch auf diese. Die Bestätigung enthält bei natürlichen Personen den Namen und die Vornamen, bei juristischen Personen, Personengesellschaften oder öffentlichen Stellen die Firma, den Namen oder die Bezeichnung des Senders in der Form, in der diese nach § 3 Absatz 2 hinterlegt sind. Die Tatsache, dass der Absender diese Versandart genutzt hat, muss sich aus der Nachricht in der Form, wie sie beim Empfänger ankommt, ergeben. Die Bestätigung nach Satz 1 ist nicht zulässig bei Verwendung einer pseudonymen De-Mail-Adresse nach Absatz 2.

(6) Der akkreditierte Diensteanbieter mit Ausnahme der Diensteanbieter nach § 19 ist verpflichtet, elektronische Nachrichten nach den Vorschriften der Prozessordnungen und der Gesetze, die die Verwaltungszustellung regeln, förmlich zuzustellen. Im Umfang dieser Verpflichtung ist der akkreditierte Diensteanbieter mit Hoheitsbefugnissen ausgestattet (beliehener Unternehmer).

(7) Der akkreditierte Diensteanbieter bestätigt auf Antrag des Senders den Versand einer Nachricht. Die Versandbestätigung muss folgende Angaben enthalten:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Versands der Nachricht vom De-Mail-Postfach des Senders;
3.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Versandbestätigung erzeugt und
4.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Senders hat die Versandbestätigung mit einer qualifizierten elektronischen Signatur zu versehen.

(8) Auf Antrag des Senders wird der Eingang einer Nachricht im De-Mail-Postfach des Empfängers bestätigt. Hierbei wirken der akkreditierte Diensteanbieter des Senders und der akkreditierte Diensteanbieter des Empfängers zusammen. Der akkreditierte Diensteanbieter des Empfängers erstellt eine Eingangsbestätigung. Die Eingangsbestätigung enthält folgende Angaben:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Eingangs der Nachricht im De-Mail-Postfach des Empfängers;
3.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Eingangsbestätigung erzeugt und
4.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Empfängers hat die Eingangsbestätigung mit einer qualifizierten elektronischen Signatur zu versehen. Der akkreditierte Diensteanbieter des Empfängers sendet diesem ebenfalls die Eingangsbestätigung zu.

(9) Eine öffentliche Stelle, welche zur förmlichen Zustellung nach den Vorschriften der Prozessordnungen und der Gesetze, die die Verwaltungszustellung regeln, berechtigt ist, kann eine Abholbestätigung verlangen. Aus der Abholbestätigung ergibt sich, dass sich der Empfänger nach dem Eingang der Nachricht im Postfach an seinem De-Mail-Konto sicher im Sinne des § 4 angemeldet hat. Hierbei wirken der akkreditierte Diensteanbieter der öffentlichen Stelle als Senderin und der akkreditierte Diensteanbieter des Empfängers zusammen. Der akkreditierte Diensteanbieter des Empfängers erzeugt die Abholbestätigung. Die Abholbestätigung muss folgende Angaben enthalten:

1.
die De-Mail-Adresse des Absenders und des Empfängers;
2.
das Datum und die Uhrzeit des Eingangs der Nachricht im De-Mail-Postfach des Empfängers;
3.
das Datum und die Uhrzeit der sicheren Anmeldung des Empfängers an seinem De-Mail-Konto im Sinne des § 4;
4.
den Namen und Vornamen oder die Firma des akkreditierten Diensteanbieters, der die Abholbestätigung erzeugt und
5.
die Prüfsumme der zu bestätigenden Nachricht.
Der akkreditierte Diensteanbieter des Empfängers hat die Abholbestätigung mit einer qualifizierten elektronischen Signatur zu versehen. Der akkreditierte Diensteanbieter des Empfängers sendet diesem ebenfalls die Abholbestätigung zu. Die in Satz 5 genannten Daten dürfen ausschließlich zum Nachweis der förmlichen Zustellung im Sinne von § 5 Absatz 6 verarbeitet und genutzt werden.

(10) Der akkreditierte Diensteanbieter stellt sicher, dass Nachrichten, für die eine Eingangsbestätigung nach Absatz 8 oder eine Abholbestätigung nach Absatz 9 erteilt worden ist, durch den Empfänger ohne eine sichere Anmeldung an seinem De-Mail-Konto erst 90 Tage nach ihrem Eingang gelöscht werden können.

(11) Nutzern, die natürliche Personen sind, bietet der akkreditierte Diensteanbieter an, von allen an ihre De-Mail-Adresse adressierten Nachrichten eine Kopie an eine zuvor vom Nutzer angegebene De-Mail-Adresse (Weiterleitungsadresse) weiterzuleiten, ohne dass der Nutzer an seinem De-Mail-Konto angemeldet sein muss (automatische Weiterleitung). Der Nutzer kann ausschließen, dass im Sinne des Absatzes 4 an ihn gesendete Nachrichten weitergeleitet werden. Der Nutzer kann den Dienst der automatischen Weiterleitung jederzeit zurücknehmen. Um den Dienst der automatischen Weiterleitung nutzen zu können, muss der Nutzer sicher an seinem De-Mail-Konto angemeldet sein.

§ 6 Identitätsbestätigungsdienst

(1) Der akkreditierte Diensteanbieter kann einen Identitätsbestätigungsdienst anbieten. Ein solcher liegt vor, wenn sich der Nutzer der nach § 3 hinterlegten Identitätsdaten bedienen kann, um seine Identität gegenüber einem Dritten, der ebenfalls Nutzer eines De-Mail-Kontos ist, sicher elektronisch bestätigen zu lassen. Die Übermittlung der Identitätsdaten erfolgt mittels einer De-Mail-Nachricht, die der akkreditierte Diensteanbieter im Auftrag des Nutzers an den Dritten, welchem gegenüber er seine Identitätsdaten mitteilen möchte, sendet. Die De-Mail-Nachricht wird durch den akkreditierten Diensteanbieter mit einer qualifizierten elektronischen Signatur versehen.

(2) Der akkreditierte Diensteanbieter hat Vorkehrungen dafür zu treffen, dass Identitätsdaten nicht unbemerkt gefälscht oder verfälscht werden können.

(3) Die zuständige Behörde kann die Sperrung eines Identitätsdatums anordnen, wenn Tatsachen die Annahme rechtfertigen, dass das Identitätsdatum auf Grund falscher Angaben ausgestellt wurde oder nicht ausreichend fälschungssicher ist.

§ 7 Verzeichnisdienst

(1) Der akkreditierte Diensteanbieter hat auf ausdrückliches Verlangen des Nutzers die De-Mail-Adressen, die nach § 3 hinterlegten Identitätsdaten Name und Anschrift, die für die Verschlüsselung von Nachrichten an den Nutzer notwendigen Informationen und die Information über die Möglichkeit der sicheren Anmeldung nach § 4 des Nutzers in einem Verzeichnisdienst zu veröffentlichen. Der akkreditierte Diensteanbieter darf die Eröffnung eines De-Mail-Kontos für den Nutzer nicht von dem Verlangen des Nutzers nach Satz 1 abhängig machen.

(2) Der akkreditierte Diensteanbieter hat eine De-Mail-Adresse, ein Identitätsdatum oder die für die Verschlüsselung von Nachrichten an den Nutzer notwendigen Informationen aus dem Verzeichnisdienst unverzüglich zu löschen, wenn der Nutzer dies verlangt, die Daten auf Grund falscher Angaben ausgestellt wurden, der Diensteanbieter seine Tätigkeit beendet und diese nicht von einem anderen akkreditierten Diensteanbieter fortgeführt wird oder die zuständige Behörde die Löschung aus dem Verzeichnisdienst anordnet. Weitere Gründe für eine Löschung können vertraglich vereinbart werden.

(3) Die Veröffentlichung der De-Mail-Adresse im Verzeichnisdienst auf ein Verlangen des Nutzers als Verbraucher nach Absatz 1 allein gilt nicht als Eröffnung des Zugangs im Sinne von § 3a Absatz 1 des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch oder des § 87a Absatz 1 Satz 1 der Abgabenordnung. Auf Verlangen des Nutzers muss der akkreditierte Diensteanbieter durch einen geeigneten Zusatz die Erklärung des Nutzers im Verzeichnisdienst veröffentlichen, den Zugang im Sinne von § 3a des Verwaltungsverfahrensgesetzes, § 36a Absatz 1 des Ersten Buches Sozialgesetzbuch und des § 87a Absatz 1 Satz 1 der Abgabenordnung eröffnen zu wollen. Die Veröffentlichung der De-Mail-Adresse des Nutzers als Verbraucher mit diesem Zusatz im Verzeichnisdienst gilt als Zugangseröffnung. Satz 2 gilt entsprechend für die Entscheidung des Nutzers, die Zugangseröffnung zurückzunehmen.

(4) § 47 des Telekommunikationsgesetzes gilt entsprechend.

§ 8 Dokumentenablage

Der akkreditierte Diensteanbieter kann dem Nutzer eine Dokumentenablage zur sicheren Ablage von Dokumenten anbieten. Bietet er die Dokumentenablage an, so hat er dafür Sorge zu tragen, dass die Dokumente sicher abgelegt werden; Vertraulichkeit, Integrität und ständige Verfügbarkeit der abgelegten Dokumente sind zu gewährleisten. Der akkreditierte Diensteanbieter ist verpflichtet, alle Dokumente verschlüsselt abzulegen. Der Nutzer kann für jede einzelne Datei eine für den Zugriff erforderliche sichere Anmeldung nach § 4 festlegen. Auf Verlangen des Nutzers hat der akkreditierte Diensteanbieter ein Protokoll über die Einstellung und Herausnahme von Dokumenten bereitzustellen, das mit einer qualifizierten elektronischen Signatur gesichert ist.

(1) Ein akkreditierter Diensteanbieter erteilt Dritten Auskunft über Namen und Anschrift eines Nutzers, wenn

1.
der Dritte glaubhaft macht, die Auskunft zur Verfolgung eines Rechtsanspruches gegen den Nutzer zu benötigen,
2.
sich die Auskunft auf ein Rechtsverhältnis zwischen dem Dritten und dem Nutzer bezieht, das unter Nutzung von De-Mail zustande gekommen ist,
3.
der Dritte die zur Feststellung seiner Identität notwendigen Angaben im Sinne von § 3 Absatz 2 macht,
4.
der akkreditierte Diensteanbieter die Richtigkeit der Angaben nach § 3 Absatz 3 überprüft hat,
5.
das Verlangen nicht rechtsmissbräuchlich ist, insbesondere nicht allein dem Zweck dient, ein Pseudonym aufzudecken, und
6.
die schutzwürdigen Interessen des Nutzers im Einzelfall nicht überwiegen.

(2) Der Dritte hat dem akkreditierten Diensteanbieter zur Glaubhaftmachung nach Absatz 1 Nummer 1 elektronische Nachrichten oder Schriftstücke zu übermitteln, aus denen sich das Rechtsverhältnis zum Nutzer ergibt, sofern diese angefallen sind. Der akkreditierte Diensteanbieter hat den Nutzer von dem Auskunftsersuchen unverzüglich und unter Benennung des Dritten zu informieren und ihm Gelegenheit zur Stellungnahme zum Auskunftsersuchen zu gewähren, soweit dies die Verfolgung des Rechtsanspruchs des Dritten nicht im Einzelfall gefährdet.

(3) Der akkreditierte Diensteanbieter kann den Ersatz der für die Auskunftserteilung erforderlichen Aufwendungen verlangen.

(4) § 7 des Bundesdatenschutzgesetzes gilt entsprechend.

(5) Die durch die Auskunftserteilung erlangten Daten dürfen nur zu dem bei dem Ersuchen angegebenen Zweck verwendet werden.

(6) Der akkreditierte Diensteanbieter hat die Auskunftserteilung nach Absatz 1 zu dokumentieren und den Nutzer von der Erteilung der Auskunft zu informieren. Die Dokumentationspflicht nach Satz 1 umfasst den Antrag zur Auskunftserteilung samt Angabe des Dritten nach Absatz 1, die Entscheidung des akkreditierten Diensteanbieters, die Identifizierungsdaten des bearbeitenden Mitarbeiters des akkreditierten Diensteanbieters, die Mitteilung des Ergebnisses an den auskunftsersuchenden Dritten, die Mitteilung über die Auskunftserteilung an den Nutzer und die jeweilige gesetzliche Zeit bei einzelnen Prozessen innerhalb der Auskunftserteilung. Die Dokumentation ist drei Jahre aufzubewahren.

(7) Die §§ 13 und 13a des Gesetzes über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen bleiben unberührt.

(8) Die nach anderen Rechtsvorschriften bestehenden Regelungen zu Auskünften gegenüber öffentlichen Stellen bleiben unberührt.

Die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 sowie nach § 16 werden unter Beteiligung der akkreditierten Diensteanbieter weiterentwickelt; dies gilt nicht für Anforderungen, die das Zusammenwirken zwischen den akkreditierten Diensteanbietern als solches oder die Sicherheit betreffen. Zu diesem Zweck wird ein Ausschuss De-Mail-Standardisierung gegründet, dem mindestens alle akkreditierten Diensteanbieter, je ein Vertreter von zwei auf Bundesebene bestehenden Gesamtverbänden, deren Belange berührt sind, das Bundesamt für Sicherheit in der Informationstechnik, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, ein vom IT-Planungsrat beauftragter Vertreter der Länder sowie ein Vertreter des Rates der IT-Beauftragten der Bundesregierung angehören. Die Entscheidung, welche beiden Verbände dem Ausschuss angehören sollen, liegt im Ermessen der zuständigen Behörde. Wird der Rat der IT-Beauftragten der Bundesregierung aufgelöst, tritt an dessen Stelle die von der Bundesregierung bestimmte Nachfolgeorganisation. Der Ausschuss tagt mindestens einmal im Jahr.

(1) Eine Haftpflichtversicherung, zu deren Abschluss eine Verpflichtung durch Rechtsvorschrift besteht (Pflichtversicherung), ist mit einem im Inland zum Geschäftsbetrieb befugten Versicherungsunternehmen abzuschließen.

(2) Der Versicherer hat dem Versicherungsnehmer unter Angabe der Versicherungssumme zu bescheinigen, dass eine der zu bezeichnenden Rechtsvorschrift entsprechende Pflichtversicherung besteht.

(3) Die Vorschriften dieses Abschnittes sind auch insoweit anzuwenden, als der Versicherungsvertrag eine über die vorgeschriebenen Mindestanforderungen hinausgehende Deckung gewährt.

§ 114 Umfang des Versicherungsschutzes

(1) Die Mindestversicherungssumme beträgt bei einer Pflichtversicherung, soweit durch Rechtsvorschrift nichts anderes bestimmt ist, 250.000 Euro je Versicherungsfall und eine Million Euro für alle Versicherungsfälle eines Versicherungsjahres.

(2) Der Versicherungsvertrag kann Inhalt und Umfang der Pflichtversicherung näher bestimmen, soweit dadurch die Erreichung des jeweiligen Zwecks der Pflichtversicherung nicht gefährdet wird und durch Rechtsvorschrift nicht ausdrücklich etwas anderes bestimmt ist. Ein Selbstbehalt des Versicherungsnehmers kann dem Dritten nicht entgegengehalten und gegenüber einer mitversicherten Person nicht geltend gemacht werden.

§ 115 Direktanspruch

(1) Der Dritte kann seinen Anspruch auf Schadensersatz auch gegen den Versicherer geltend machen,

1.
wenn es sich um eine Haftpflichtversicherung zur Erfüllung einer nach dem Pflichtversicherungsgesetz bestehenden Versicherungspflicht handelt oder
2.
wenn über das Vermögen des Versicherungsnehmers das Insolvenzverfahren eröffnet oder der Eröffnungsantrag mangels Masse abgewiesen worden ist oder ein vorläufiger Insolvenzverwalter bestellt worden ist oder
3.
wenn der Aufenthalt des Versicherungsnehmers unbekannt ist.
Der Anspruch besteht im Rahmen der Leistungspflicht des Versicherers aus dem Versicherungsverhältnis und, soweit eine Leistungspflicht nicht besteht, im Rahmen des § 117 Abs. 1 bis 4. Der Versicherer hat den Schadensersatz in Geld zu leisten. Der Versicherer und der ersatzpflichtige Versicherungsnehmer haften als Gesamtschuldner.

(2) Der Anspruch nach Absatz 1 unterliegt der gleichen Verjährung wie der Schadensersatzanspruch gegen den ersatzpflichtigen Versicherungsnehmer. Die Verjährung beginnt mit dem Zeitpunkt, zu dem die Verjährung des Schadensersatzanspruchs gegen den ersatzpflichtigen Versicherungsnehmer beginnt; sie endet jedoch spätestens nach zehn Jahren von dem Eintritt des Schadens an. Ist der Anspruch des Dritten bei dem Versicherer angemeldet worden, ist die Verjährung bis zu dem Zeitpunkt gehemmt, zu dem die Entscheidung des Versicherers dem Anspruchsteller in Textform zugeht. Die Hemmung, die Ablaufhemmung und der Neubeginn der Verjährung des Anspruchs gegen den Versicherer wirken auch gegenüber dem ersatzpflichtigen Versicherungsnehmer und umgekehrt.

§ 116 Gesamtschuldner

(1) Im Verhältnis der Gesamtschuldner nach § 115 Abs. 1 Satz 4 zueinander ist der Versicherer allein verpflichtet, soweit er dem Versicherungsnehmer aus dem Versicherungsverhältnis zur Leistung verpflichtet ist. Soweit eine solche Verpflichtung nicht besteht, ist in ihrem Verhältnis zueinander der Versicherungsnehmer allein verpflichtet. Der Versicherer kann Ersatz der Aufwendungen verlangen, die er den Umständen nach für erforderlich halten durfte.

(2) Die Verjährung der sich aus Absatz 1 ergebenden Ansprüche beginnt mit dem Schluss des Jahres, in dem der Anspruch des Dritten erfüllt wird.

§ 117 Leistungspflicht gegenüber Dritten

(1) Ist der Versicherer von der Verpflichtung zur Leistung dem Versicherungsnehmer gegenüber ganz oder teilweise frei, so bleibt gleichwohl seine Verpflichtung in Ansehung des Dritten bestehen.

(2) Ein Umstand, der das Nichtbestehen oder die Beendigung des Versicherungsverhältnisses zur Folge hat, wirkt in Ansehung des Dritten erst mit dem Ablauf eines Monats, nachdem der Versicherer diesen Umstand der hierfür zuständigen Stelle angezeigt hat. Dies gilt auch, wenn das Versicherungsverhältnis durch Zeitablauf endet. Der Lauf der Frist beginnt nicht vor Beendigung des Versicherungsverhältnisses. Ein in den Sätzen 1 und 2 bezeichneter Umstand kann dem Dritten auch dann entgegengehalten werden, wenn vor dem Zeitpunkt des Schadensereignisses der hierfür zuständigen Stelle die Bestätigung einer entsprechend den Rechtsvorschriften abgeschlossenen neuen Versicherung zugegangen ist. Die vorstehenden Vorschriften dieses Absatzes gelten nicht, wenn eine zur Entgegennahme der Anzeige nach Satz 1 zuständige Stelle nicht bestimmt ist.

(3) In den Fällen der Absätze 1 und 2 ist der Versicherer nur im Rahmen der vorgeschriebenen Mindestversicherungssumme und der von ihm übernommenen Gefahr zur Leistung verpflichtet. Er ist leistungsfrei, soweit der Dritte Ersatz seines Schadens von einem anderen Schadensversicherer oder von einem Sozialversicherungsträger erlangen kann.

(4) Trifft die Leistungspflicht des Versicherers nach Absatz 1 oder Absatz 2 mit einer Ersatzpflicht auf Grund fahrlässiger Amtspflichtverletzung zusammen, wird die Ersatzpflicht nach § 839 Abs. 1 des Bürgerlichen Gesetzbuchs im Verhältnis zum Versicherer nicht dadurch ausgeschlossen, dass die Voraussetzungen für die Leistungspflicht des Versicherers vorliegen. Satz 1 gilt nicht, wenn der Beamte nach § 839 des Bürgerlichen Gesetzbuchs persönlich haftet.

(5) Soweit der Versicherer den Dritten nach den Absätzen 1 bis 4 befriedigt und ein Fall des § 116 nicht vorliegt, geht die Forderung des Dritten gegen den Versicherungsnehmer auf ihn über. Der Übergang kann nicht zum Nachteil des Dritten geltend gemacht werden.

(6) Wird über das Vermögen des Versicherers das Insolvenzverfahren eröffnet, endet das Versicherungsverhältnis abweichend von § 16 erst mit dem Ablauf eines Monats, nachdem der Insolvenzverwalter diesen Umstand der hierfür zuständigen Stelle angezeigt hat; bis zu diesem Zeitpunkt bleibt es der Insolvenzmasse gegenüber wirksam. Ist eine zur Entgegennahme der Anzeige nach Satz 1 zuständige Stelle nicht bestimmt, endet das Versicherungsverhältnis einen Monat nach der Benachrichtigung des Versicherungsnehmers von der Eröffnung des Insolvenzverfahrens; die Benachrichtigung bedarf der Textform.

§ 118 Rangfolge mehrerer Ansprüche

(1) Übersteigen die Ansprüche auf Entschädigung, die auf Grund desselben Schadensereignisses zu leisten ist, die Versicherungssumme, wird die Versicherungssumme nach folgender Rangfolge, bei gleichem Rang nach dem Verhältnis ihrer Beträge, an die Ersatzberechtigten ausgezahlt:

1.
für Ansprüche wegen Personenschäden, soweit die Geschädigten nicht vom Schädiger, von einem anderen Versicherer als dessen Haftpflichtversicherer, einem Sozialversicherungsträger oder einem sonstigen Dritten Ersatz ihrer Schäden erlangen können;
2.
für Ansprüche wegen sonstiger Schäden natürlicher und juristischer Personen des Privatrechts, soweit die Geschädigten nicht vom Schädiger, einem anderen Versicherer als dessen Haftpflichtversicherer oder einem Dritten Ersatz ihrer Schäden erlangen können;
3.
für Ansprüche, die nach Privatrecht auf Versicherer oder sonstige Dritte wegen Personen- und sonstiger Schäden übergegangen sind;
4.
für Ansprüche, die auf Sozialversicherungsträger übergegangen sind;
5.
für alle sonstigen Ansprüche.

(2) Ist die Versicherungssumme unter Berücksichtigung nachrangiger Ansprüche erschöpft, kann sich ein vorrangig zu befriedigender Anspruchsberechtigter, der bei der Verteilung nicht berücksichtigt worden ist, nachträglich auf Absatz 1 nicht berufen, wenn der Versicherer mit der Geltendmachung dieses Anspruchs nicht gerechnet hat und auch nicht rechnen musste.

§ 119 Obliegenheiten des Dritten

(1) Der Dritte hat ein Schadensereignis, aus dem er einen Anspruch gegen den Versicherungsnehmer oder nach § 115 Abs. 1 gegen den Versicherer herleiten will, dem Versicherer innerhalb von zwei Wochen, nachdem er von dem Schadensereignis Kenntnis erlangt hat, in Textform anzuzeigen; zur Fristwahrung genügt die rechtzeitige Absendung.

(2) Macht der Dritte den Anspruch gegen den Versicherungsnehmer gerichtlich geltend, hat er dies dem Versicherer unverzüglich in Textform anzuzeigen.

(3) Der Versicherer kann von dem Dritten Auskunft verlangen, soweit sie zur Feststellung des Schadensereignisses und der Höhe des Schadens erforderlich ist. Belege kann der Versicherer insoweit verlangen, als deren Beschaffung dem Dritten billigerweise zugemutet werden kann.

§ 120 Obliegenheitsverletzung des Dritten

Verletzt der Dritte schuldhaft die Obliegenheit nach § 119 Abs. 2 oder 3, beschränkt sich die Haftung des Versicherers nach den §§ 115 und 117 auf den Betrag, den er auch bei gehöriger Erfüllung der Obliegenheit zu leisten gehabt hätte, sofern der Dritte vorher ausdrücklich und in Textform auf die Folgen der Verletzung hingewiesen worden ist.

§ 121 Aufrechnung gegenüber Dritten

§ 35 ist gegenüber Dritten nicht anzuwenden.

§ 122 Veräußerung der von der Versicherung erfassten Sache

Die §§ 95 bis 98 über die Veräußerung der versicherten Sache sind entsprechend anzuwenden.

§ 123 Rückgriff bei mehreren Versicherten

(1) Ist bei einer Versicherung für fremde Rechnung der Versicherer dem Versicherungsnehmer gegenüber nicht zur Leistung verpflichtet, kann er dies einem Versicherten, der zur selbständigen Geltendmachung seiner Rechte aus dem Versicherungsvertrag befugt ist, nur entgegenhalten, wenn die der Leistungsfreiheit zu Grunde liegenden Umstände in der Person dieses Versicherten vorliegen oder wenn diese Umstände dem Versicherten bekannt oder infolge grober Fahrlässigkeit nicht bekannt waren.

(2) Der Umfang der Leistungspflicht nach Absatz 1 bestimmt sich nach § 117 Abs. 3 Satz 1; § 117 Abs. 3 Satz 2 ist nicht anzuwenden. § 117 Abs. 4 ist entsprechend anzuwenden.

(3) Soweit der Versicherer nach Absatz 1 leistet, kann er beim Versicherungsnehmer Rückgriff nehmen.

(4) Die Absätze 1 bis 3 sind entsprechend anzuwenden, wenn die Frist nach § 117 Abs. 2 Satz 1 und 2 noch nicht abgelaufen ist oder der Versicherer die Beendigung des Versicherungsverhältnisses der hierfür zuständigen Stelle nicht angezeigt hat.

§ 124 Rechtskrafterstreckung

(1) Soweit durch rechtskräftiges Urteil festgestellt wird, dass dem Dritten ein Anspruch auf Ersatz des Schadens nicht zusteht, wirkt das Urteil, wenn es zwischen dem Dritten und dem Versicherer ergeht, auch zugunsten des Versicherungsnehmers, wenn es zwischen dem Dritten und dem Versicherungsnehmer ergeht, auch zugunsten des Versicherers.

(2) Ist der Anspruch des Dritten gegenüber dem Versicherer durch rechtskräftiges Urteil, Anerkenntnis oder Vergleich festgestellt worden, muss der Versicherungsnehmer, gegen den von dem Versicherer Ansprüche auf Grund des § 116 Abs. 1 Satz 2 geltend gemacht werden, diese Feststellung gegen sich gelten lassen, es sei denn, der Versicherer hat die Pflicht zur Abwehr unbegründeter Entschädigungsansprüche sowie zur Minderung oder zur sachgemäßen Feststellung des Schadens schuldhaft verletzt.

(3) Die Absätze 1 und 2 sind nicht anzuwenden, soweit der Dritte seinen Anspruch auf Schadensersatz nicht nach § 115 Abs. 1 gegen den Versicherer geltend machen kann.

(1) Das Bundesamt ist nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit.

(2) Für bestimmte Produkte oder Leistungen kann beim Bundesamt eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister beantragt werden. Die Anträge werden in der zeitlichen Reihenfolge ihres Eingangs bearbeitet; hiervon kann abgewichen werden, wenn das Bundesamt wegen der Zahl und des Umfangs anhängiger Prüfungsverfahren eine Prüfung in angemessener Zeit nicht durchführen kann und an der Erteilung eines Zertifikats ein öffentliches Interesse besteht. Der Antragsteller hat dem Bundesamt die Unterlagen vorzulegen und die Auskünfte zu erteilen, deren Kenntnis für die Prüfung und Bewertung des Systems oder der Komponente oder der Eignung der Person sowie für die Erteilung des Zertifikats erforderlich ist.

(3) Die Prüfung und Bewertung kann durch vom Bundesamt anerkannte sachverständige Stellen erfolgen.

(4) Das Sicherheitszertifikat wird erteilt, wenn

1.
informationstechnische Systeme, Komponenten, Produkte oder Schutzprofile den vom Bundesamt festgelegten Kriterien entsprechen und
2.
das Bundesministerium des Innern festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.

(5) Für die Zertifizierung von Personen und IT-Sicherheitsdienstleistern gilt Absatz 4 entsprechend.

(6) Eine Anerkennung nach Absatz 3 wird erteilt, wenn

1.
die sachliche und personelle Ausstattung sowie die fachliche Qualifikation und Zuverlässigkeit der Konformitätsbewertungsstelle den vom Bundesamt festgelegten Kriterien entspricht und
2.
das Bundesministerium des Innern festgestellt hat, dass überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, der Erteilung nicht entgegenstehen.
Das Bundesamt stellt durch die notwendigen Maßnahmen sicher, dass das Fortbestehen der Voraussetzungen nach Satz 1 regelmäßig überprüft wird.

(7) Sicherheitszertifikate anderer anerkannter Zertifizierungsstellen aus dem Bereich der Europäischen Union werden vom Bundesamt anerkannt, soweit sie eine den Sicherheitszertifikaten des Bundesamtes gleichwertige Sicherheit ausweisen und die Gleichwertigkeit vom Bundesamt festgestellt worden ist.

§ 19 Gleichstellung ausländischer Dienste

(1) Als Diensteanbieter kann nur akkreditiert werden, wer

1.
die für den Betrieb von De-Mail-Diensten erforderliche Zuverlässigkeit und Fachkunde besitzt,
2.
eine geeignete Deckungsvorsorge trifft, um seinen gesetzlichen Verpflichtungen zum Ersatz von Schäden nachzukommen,
3.
die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 sowie nach § 16 in der Weise erfüllt, dass er die Dienste zuverlässig und sicher erbringt, er mit den anderen akkreditierten Diensteanbietern zusammenwirkt und für die Erbringung der Dienste ausschließlich technische Geräte verwendet, die sich im Gebiet der Mitgliedstaaten der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum befinden,
4.
bei der Gestaltung und dem Betrieb der De-Mail-Dienste die datenschutzrechtlichen Anforderungen erfüllt.

(2) Die Diensteanbieter haben die technischen und organisatorischen Anforderungen nach den §§ 3 bis 13 sowie nach § 16 nach dem Stand der Technik zu erfüllen. Die Einhaltung des Standes der Technik wird vermutet, wenn die Technische Richtlinie 01201 De-Mail des Bundesamtes für Sicherheit in der Informationstechnik vom 23. März 2011 (eBAnz AT40 2011 B1) in der jeweils im Bundesanzeiger veröffentlichten Fassung eingehalten wird. Bevor das Bundesamt für Sicherheit in der Informationstechnik wesentliche Änderungen an der Technischen Richtlinie vornimmt, hört es den Ausschuss De-Mail-Standardisierung im Sinne des § 22 an, und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wird hierbei Gelegenheit zur Stellungnahme gegeben, sofern Fragen des Datenschutzes berührt sind.

(3) Die Voraussetzungen nach Absatz 1 werden wie folgt nachgewiesen:

1.
die erforderliche Zuverlässigkeit und Fachkunde durch Nachweise über die persönlichen Eigenschaften, das Verhalten und die entsprechenden Fähigkeiten seiner oder der in seinem Betrieb tätigen Personen; als Nachweis der erforderlichen Fachkunde ist es in der Regel ausreichend, wenn für die jeweilige Aufgabe im Betrieb entsprechende Zeugnisse oder Nachweise über die dafür notwendigen Kenntnisse, Erfahrungen und Fertigkeiten vorgelegt werden;
2.
eine ausreichende Deckungsvorsorge durch den Abschluss einer Versicherung oder die Freistellungs- oder Gewährleistungsverpflichtung eines Kreditunternehmens mit einer Mindestdeckungssumme von jeweils 250 000 Euro für einen verursachten Schaden. Die Deckungsvorsorge kann erbracht werden durch
a)
eine Haftpflichtversicherung bei einem innerhalb der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Versicherungsunternehmen oder
b)
eine Freistellungs- oder Gewährleistungsverpflichtung eines in einem der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Kreditinstituts, wenn gewährleistet ist, dass sie einer Haftpflichtversicherung vergleichbare Sicherheit bietet.
Soweit die Deckungsvorsorge durch eine Versicherung erbracht wird, gilt Folgendes:
a)
Auf diese Versicherung finden § 113 Absatz 2 und 3 und die §§ 114 bis 124 des Versicherungsvertragsgesetzes Anwendung.
b)
Die Mindestversicherungssumme muss 2,5 Millionen Euro für den einzelnen Versicherungsfall betragen. Versicherungsfall ist jede Pflichtverletzung des Diensteanbieters, unabhängig von der Anzahl der dadurch ausgelösten Schadensfälle. Wird eine Jahreshöchstleistung für alle in einem Versicherungsjahr verursachten Schäden vereinbart, muss sie mindestens das Vierfache der Mindestversicherungssumme betragen.
c)
Von der Versicherung kann die Leistung nur ausgeschlossen werden für Ersatzansprüche aus vorsätzlich begangener Pflichtverletzung des akkreditierten Diensteanbieters oder der Personen, für die er einzustehen hat.
d)
Die Vereinbarung eines Selbstbehaltes bis zu 1 Prozent der Mindestversicherungssumme ist zulässig;
3.
die Erfüllung der technischen und organisatorischen Anforderungen an die Pflichten im Sinne des Absatzes 1 Nummer 3 durch vom Bundesamt für Sicherheit in der Informationstechnik nach § 9 Absatz 2 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik zertifizierten IT-Sicherheitsdienstleistern erteilte Testate; das Zusammenwirken mit den anderen akkreditierten Diensteanbietern kann nur nach ausreichenden Prüfungen bestätigt werden; die Sicherheit der Dienste kann nur nach einer umfassenden im Rahmen der Vergabe der Testate stattfindenden Prüfung des Sicherheitskonzepts und der eingesetzten IT-Infrastrukturen bestätigt werden; zum Zeitpunkt des Inkrafttretens des Gesetzes erteilte Zertifikate können berücksichtigt werden;
4.
die Erfüllung der datenschutzrechtlichen Anforderungen an das Datenschutzkonzept für die eingesetzten Verfahren und die eingesetzten informationstechnischen Einrichtungen durch Vorlage geeigneter Nachweise; der Nachweis wird dadurch geführt, dass der antragstellende Diensteanbieter ein Zertifikat des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorlegt; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erteilt auf schriftlichen Antrag des Diensteanbieters ein Zertifikat, wenn die datenschutzrechtlichen Kriterien erfüllt sind; die Erfüllung der datenschutzrechtlichen Kriterien wird nachgewiesen durch ein Gutachten, welches von einer vom Bund oder einem Land anerkannten oder öffentlich bestellten oder beliehenen sachverständigen Stelle für Datenschutz erstellt wurde; der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kann ergänzende Angaben anfordern; die datenschutzrechtlichen Kriterien sind in einem Kriterienkatalog definiert, der in der Verantwortung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit liegt und durch ihn im Bundesanzeiger und zusätzlich im Internet oder in sonstiger geeigneter Weise veröffentlicht wird; dem Bundesamt für Sicherheit in der Informationstechnik wird Gelegenheit zur Stellungnahme gegeben, sofern Fragen der IT-Sicherheit berührt sind.

(4) Der Diensteanbieter kann, unter Einbeziehung in seine Konzepte zur Umsetzung der Anforderungen des Absatzes 1, zur Erfüllung von Pflichten nach diesem Gesetz Dritte beauftragen.