(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1.
entgegen § 3 Absatz 1 Satz 3 nicht sicherstellt, dass nur der Nutzer Zugang erlangen kann,
2.
entgegen § 3 Absatz 3 Satz 1 Nummer 1 erster Halbsatz oder Nummer 2 eine dort genannte Angabe nicht oder nicht rechtzeitig überprüft,
3.
entgegen § 4 Absatz 1 Satz 2 nicht sicherstellt, dass eine sichere Anmeldung nur in den dort genannten Fällen erfolgt,
4.
entgegen § 4 Absatz 3 nicht sicherstellt, dass eine Kommunikationsverbindung verschlüsselt erfolgt,
5.
entgegen § 7 Absatz 2 Satz 1 Nummer 2 oder 4 dort genannte Daten nicht oder nicht rechtzeitig löscht,
6.
entgegen § 10 Absatz 1 Satz 1 oder Absatz 4 Satz 1 Nummer 2 den Zugang zu einem De-Mail-Konto nicht oder nicht rechtzeitig sperrt oder das De-Mail-Konto nicht oder nicht rechtzeitig auflöst,
7.
entgegen § 11 Absatz 1 Satz 1 eine Anzeige nicht, nicht richtig oder nicht rechtzeitig erstattet,
8.
entgegen § 11 Absatz 1 Satz 3 einen Nutzer nicht, nicht richtig oder nicht rechtzeitig benachrichtigt,
9.
entgegen § 11 Absatz 2 nicht sicherstellt, dass die dort genannten Daten abrufbar bleiben,
10.
entgegen § 12 den Zugriff auf dort genannte Daten nicht ermöglicht oder einen Hinweis nicht, nicht richtig oder nicht rechtzeitig gibt,
11.
entgegen § 13 Absatz 1 eine Dokumentation nicht oder nicht richtig erstellt,
12.
entgegen § 13 Absatz 2 eine Dokumentation nicht oder nicht mindestens zehn Jahre aufbewahrt oder
13.
entgegen § 17 Absatz 1 Satz 6 sich auf die nachgewiesene Sicherheit beruft oder das Gütezeichen führt.
(2) Die Ordnungswidrigkeit kann in den Fällen des Absatzes 1 Nummer 5 und 6 mit einer Geldbuße bis zu dreihunderttausend Euro und in den übrigen Fällen mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.
(3) Verwaltungsbehörde im Sinne des § 36 Absatz 1 Nummer 1 des Gesetzes über Ordnungswidrigkeiten ist das Bundesamt für Sicherheit in der Informationstechnik.