Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Navigation und Service

Zertifizierung und Akkreditierung von De-Mail-Diensteanbietern

Diensteanbieter, die De-Mail-Dienste anbieten wollen, müssen sich von der zuständigen Behörde akkreditieren lassen. Zuständige Behörde ist das Bundesamt für Sicherheit in der Informationstechnik. Für eine erfolgreiche Akkreditierung muss der De-Mail-Diensteanbieter die Umsetzung technischer und organisatorischer Maßnahmen im Rahmen eines Akkreditierungsverfahrens durch das Bundesamt für Sicherheit in der Informationstechnik nachweisen.

Die Akkreditierung durch das Bundesamt für Sicherheit in der Informationstechnik

Die gemäß § 18 De-Mail-Gesetz zu erbringenden Nachweise fokussieren sich im Wesentlichen auf die Funktionalität, die Interoperabilität, die Sicherheit und den Datenschutz. Bei erfolgreichem Nachweis erteilt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Akkreditierung. Die Akkreditierung ist gemäß § 17 Absatz 3 De-Mail-Gesetz nach wesentlichen Änderungen, spätestens jedoch nach drei Jahren, zu erneuern. Der De-Mail-Diensteanbieter erhält zudem ein Gütezeichen, mit dem er für die geprüfte technische und administrative Sicherheit seiner De-Mail-Dienste werben darf.

Die Akkreditierung ist zwingende Voraussetzung für das Anbieten von De-Mail-Diensten. Denkbar ist, dass ein Diensteanbieter auch ohne Akkreditierung die inhaltlich gleichen Dienste anbietet. Er darf diesen Dienst dann aber nicht De-Mail nennen. Es handelt sich dann um einen Telekommunikationsdienst, der nicht unter das De-Mail-Gesetz fällt. Das bedeutet, dass derartige elektronische Nachrichten nicht in den De-Mail-Informationsverbund gesendet oder aus diesem empfangen werden können. Eine staatliche Vorabprüfung insbesondere im Hinblick auf Informationssicherheit und Datenschutz findet in diesen Fällen nicht statt.

Nachweis: Datenschutz-Zertifikat

Eine wesentliche Voraussetzung der Akkreditierung ist gemäß § 18 Absatz 3 Nummer 4 De-Mail-Gesetz der Nachweis der Erfüllung der datenschutzrechtlichen Anforderungen an das Datenschutzkonzept der De-Mail-Kommunikationsinfrastruktur sowie der eingesetzten Verfahren. Die datenschutzrechtlichen Kriterien sind im De-Mail-Kriterienkatalog für den Datenschutznachweis zugrunde gelegt, der in der Verantwortung des BfDI liegt und durch ihn veröffentlicht wird. Der Nachweis wird durch Vorlage eines Gutachtens geführt, welches von einer unabhängigen sachverständigen Stelle für den Datenschutz zu erstellen ist. Der BfDI prüft das Gutachten auf die Erfüllung der datenschutzrechtlichen Anforderungen. Sind die datenschutzrechtlichen Anforderungen erfüllt, erteilt der BfDI dem De-Mail-Diensteanbieter das Zertifikat für den Datenschutz. Mit dem Zertifikat für Datenschutz des BfDI weist der De-Mail-Diensteanbieter im Rahmen des Akkreditierungsverfahrens dem BSI gegenüber die Erfüllung der datenschutzrechtlichen Anforderungen nach.

Nachweis: Erfüllung technischer und organisatorischer Anforderungen

Neben Erfüllung rechtlicher Anforderungen hat der De-Mail-Diensteanbieter die Erfüllung der technischen und organisatorischen Anforderungen durch entsprechende Nachweise zu belegen. Diese Anforderungen sind in den Technischen Richtlinien des BSI geregelt.

Antrag und Prozess der Akkreditierung

Der Antrag auf Akkreditierung kann gestellt werden, wenn dem De-Mail-Diensteanbieter alle notwendigen Nachweise vorliegen.

Eine grafische Übersicht, die dem vom De-Mail-Diensteanbieter zu durchlaufenden Prozess und die Beteiligten veranschaulicht, findet sich auf der Website des Bundesamtes für Sicherheit in der Informationstechnik.

De-Mail-Kriterienkatalog für den Datenschutznachweis:

Der Beauftragte der Bundesregierung für Informationstechnik: