(1) Als Diensteanbieter kann nur akkreditiert werden, wer
1.
die für den Betrieb von De-Mail-Diensten erforderliche Zuverlässigkeit und Fachkunde besitzt,
2.
eine geeignete Deckungsvorsorge trifft, um seinen gesetzlichen Verpflichtungen zum Ersatz von Schäden nachzukommen,
3.
die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 sowie nach § 16 in der Weise erfüllt, dass er die Dienste zuverlässig und sicher erbringt, er mit den anderen akkreditierten Diensteanbietern zusammenwirkt und für die Erbringung der Dienste ausschließlich technische Geräte verwendet, die sich im Gebiet der Mitgliedstaaten der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum befinden,
4.
bei der Gestaltung und dem Betrieb der De-Mail-Dienste die datenschutzrechtlichen Anforderungen erfüllt.
(2) Die Diensteanbieter haben die technischen und organisatorischen Anforderungen nach den §§ 3 bis 13 sowie nach § 16 nach dem Stand der Technik zu erfüllen. Die Einhaltung des Standes der Technik wird vermutet, wenn die Technische Richtlinie 01201 De-Mail des Bundesamtes für Sicherheit in der Informationstechnik vom 23. März 2011 (eBAnz AT40 2011 B1) in der jeweils im Bundesanzeiger veröffentlichten Fassung eingehalten wird. Bevor das Bundesamt für Sicherheit in der Informationstechnik wesentliche Änderungen an der Technischen Richtlinie vornimmt, hört es den Ausschuss De-Mail-Standardisierung im Sinne des § 22 an, und dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit wird hierbei Gelegenheit zur Stellungnahme gegeben, sofern Fragen des Datenschutzes berührt sind.
(3) Die Voraussetzungen nach Absatz 1 werden wie folgt nachgewiesen:
1.
die erforderliche Zuverlässigkeit und Fachkunde durch Nachweise über die persönlichen Eigenschaften, das Verhalten und die entsprechenden Fähigkeiten seiner oder der in seinem Betrieb tätigen Personen; als Nachweis der erforderlichen Fachkunde ist es in der Regel ausreichend, wenn für die jeweilige Aufgabe im Betrieb entsprechende Zeugnisse oder Nachweise über die dafür notwendigen Kenntnisse, Erfahrungen und Fertigkeiten vorgelegt werden;
2.
eine ausreichende Deckungsvorsorge durch den Abschluss einer Versicherung oder die Freistellungs- oder Gewährleistungsverpflichtung eines Kreditunternehmens mit einer Mindestdeckungssumme von jeweils 250 000 Euro für einen verursachten Schaden. Die Deckungsvorsorge kann erbracht werden durch
a)
eine Haftpflichtversicherung bei einem innerhalb der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Versicherungsunternehmen oder
b)
eine Freistellungs- oder Gewährleistungsverpflichtung eines in einem der Mitgliedstaaten der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum zum Geschäftsbetrieb befugten Kreditinstituts, wenn gewährleistet ist, dass sie einer Haftpflichtversicherung vergleichbare Sicherheit bietet.Soweit die Deckungsvorsorge durch eine Versicherung erbracht wird, gilt Folgendes:
a)
Auf diese Versicherung finden § 113 Absatz 2 und 3 und die §§ 114 bis 124 des Versicherungsvertragsgesetzes Anwendung.
b)
Die Mindestversicherungssumme muss 2,5 Millionen Euro für den einzelnen Versicherungsfall betragen. Versicherungsfall ist jede Pflichtverletzung des Diensteanbieters, unabhängig von der Anzahl der dadurch ausgelösten Schadensfälle. Wird eine Jahreshöchstleistung für alle in einem Versicherungsjahr verursachten Schäden vereinbart, muss sie mindestens das Vierfache der Mindestversicherungssumme betragen.
c)
Von der Versicherung kann die Leistung nur ausgeschlossen werden für Ersatzansprüche aus vorsätzlich begangener Pflichtverletzung des akkreditierten Diensteanbieters oder der Personen, für die er einzustehen hat.
d)
Die Vereinbarung eines Selbstbehaltes bis zu 1 Prozent der Mindestversicherungssumme ist zulässig;
3.
die Erfüllung der technischen und organisatorischen Anforderungen an die Pflichten im Sinne des Absatzes 1 Nummer 3 durch vom Bundesamt für Sicherheit in der Informationstechnik nach § 9 Absatz 2 Satz 1 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik zertifizierten IT-Sicherheitsdienstleistern erteilte Testate; das Zusammenwirken mit den anderen akkreditierten Diensteanbietern kann nur nach ausreichenden Prüfungen bestätigt werden; die Sicherheit der Dienste kann nur nach einer umfassenden im Rahmen der Vergabe der Testate stattfindenden Prüfung des Sicherheitskonzepts und der eingesetzten IT-Infrastrukturen bestätigt werden; zum Zeitpunkt des Inkrafttretens des Gesetzes erteilte Zertifikate können berücksichtigt werden;
4.
die Erfüllung der datenschutzrechtlichen Anforderungen an das Datenschutzkonzept für die eingesetzten Verfahren und die eingesetzten informationstechnischen Einrichtungen durch Vorlage geeigneter Nachweise; der Nachweis wird dadurch geführt, dass der antragstellende Diensteanbieter ein Zertifikat des oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vorlegt; der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit erteilt auf schriftlichen Antrag des Diensteanbieters ein Zertifikat, wenn die datenschutzrechtlichen Kriterien erfüllt sind; die Erfüllung der datenschutzrechtlichen Kriterien wird nachgewiesen durch ein Gutachten, welches von einer vom Bund oder einem Land anerkannten oder öffentlich bestellten oder beliehenen sachverständigen Stelle für Datenschutz erstellt wurde; der oder die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit kann ergänzende Angaben anfordern; die datenschutzrechtlichen Kriterien sind in einem Kriterienkatalog definiert, der in der Verantwortung des oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit liegt und durch ihn oder sie im Bundesanzeiger und zusätzlich im Internet oder in sonstiger geeigneter Weise veröffentlicht wird; dem Bundesamt für Sicherheit in der Informationstechnik wird Gelegenheit zur Stellungnahme gegeben, sofern Fragen der IT-Sicherheit berührt sind.
(4) Der Diensteanbieter kann, unter Einbeziehung in seine Konzepte zur Umsetzung der Anforderungen des Absatzes 1, zur Erfüllung von Pflichten nach diesem Gesetz Dritte beauftragen.