Die Beauftragte für den Datenschutz und die Informationsfreiheit

Zertifizierung und Akkreditierung von De-Mail-Diensteanbietern

Diensteanbieter, die De-Mail-Dienste anbieten wollen, müssen sich von der zuständigen Behörde akkreditieren lassen. Zuständige Behörde ist das Bundesamt für Sicherheit in der Informationstechnik. Für eine erfolgreiche Akkreditierung muss der De-Mail-Diensteanbieter die Umsetzung technischer und organisatorischer Maßnahmen im Rahmen eines Akkreditierungsverfahrens durch das Bundesamt für Sicherheit in der Informationstechnik nachweisen.

Die gemäß § 18 De-Mail-Gesetz zu erbringenden Nachweise fokussieren sich im Wesentlichen auf die Funktionalität, die Interoperabilität, die Sicherheit und den Datenschutz. Bei erfolgreichem Nachweis erteilt das Bundesamt für Sicherheit in der Informationstechnik die Akkreditierung. Die Akkreditierung ist gemäß § 17 Absatz 3 De-Mail-Gesetz nach wesentlichen Änderungen, spätestens jedoch nach drei Jahren, zu erneuern. Der De-Mail-Diensteanbieter erhält zudem ein Gütezeichen, mit dem er für die geprüfte technische und administrative Sicherheit seiner De-Mail-Dienste werben darf.

Die Akkreditierung ist zwingende Voraussetzung für das Anbieten von De-Mail-Diensten. Denkbar ist, dass ein Diensteanbieter auch ohne Akkreditierung die inhaltlich gleichen Dienste anbietet. Er darf diesen Dienst dann aber nicht De-Mail nennen. Es handelt sich dann um einen Telekommunikationsdienst, der nicht unter das De-Mail-Gesetz fällt. Das bedeutet, dass derartige elektronische Nachrichten nicht in den De-Mail-Informationsverbund gesendet oder aus diesem empfangen werden können. Eine staatliche Vorabprüfung insbesondere im Hinblick auf Informationssicherheit und Datenschutz findet in diesen Fällen nicht statt.

Eine wesentliche Voraussetzung der Akkreditierung ist gemäß § 18 Absatz 3 Nummer 4 De-Mail-Gesetz der Nachweis der Erfüllung der datenschutzrechtlichen Anforderungen an das Datenschutzkonzept der De-Mail-Kommunikationsinfrastruktur sowie der eingesetzten Verfahren. Die datenschutzrechtlichen Kriterien sind im De-Mail-Kriterienkatalog für den Datenschutznachweis zugrunde gelegt, der in der Verantwortung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit liegt und durch sie veröffentlicht wird. Der Nachweis wird durch Vorlage eines Gutachtens geführt, welches von einer unabhängigen sachverständigen Stelle für den Datenschutz zu erstellen ist. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit prüft das Gutachten auf die Erfüllung der datenschutzrechtlichen Anforderungen. Sind die datenschutzrechtlichen Anforderungen erfüllt, erteilt die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit dem De-Mail-Diensteanbieter das Zertifikat für den Datenschutz. Mit dem Zertifikat für Datenschutz der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit weist der De-Mail-Diensteanbieter im Rahmen des Akkreditierungsverfahrens dem Bundesamt für Sicherheit in der Informationstechnik gegenüber die Erfüllung der datenschutzrechtlichen Anforderungen nach.

Neben Erfüllung rechtlicher Anforderungen hat der De-Mail-Diensteanbieter die Erfüllung der technischen und organisatorischen Anforderungen durch entsprechende Nachweise zu belegen. Diese Anforderungen sind in den Technische Richtlinien De-Mail des Bundesamtes für Sicherheit in der Informationstechnik geregelt.

Der Antrag auf Akkreditierung kann gestellt werden, wenn dem De-Mail-Diensteanbieter alle notwendigen Nachweise vorliegen.

Eine grafische Übersicht, die dem vom De-Mail-Diensteanbieter zu durchlaufenden Prozess und die Beteiligten veranschaulicht, findet sich auf der Website des Bundesamtes für Sicherheit in der Informationstechnik.

De-Mail-Kriterienkatalog für den Datenschutznachweis:

Bundesamt für Sicherheit in der Informationstechnik:

Der Beauftragte der Bundesregierung für Informationstechnik: