Akkreditierung als De-Mail-Diensteanbieter erhalten
De-Mail stellt eine sichere Infrastruktur für digitale Kommunikation bereit. De-Mails ähneln E-Mails, sind aber sicherer: Die Identität von Absender und Empfänger kann nicht gefälscht werden und die Nachrichten werden ausschließlich über verschlüsselte Kanäle übertragen. Bürger, Unternehmen und Verwaltung können über den Dienst sicher kommunizieren. Den Betrieb dieser Infrastruktur übernehmen akkreditierte De-Mail-Diensteanbieter (DMDA).
Wenn Sie ein DMDA werden möchten, brauchen Sie eine Akkreditierung. Diese Akkreditierung erhalten Sie auf Antrag vom BSI. Dafür müssen Sie technische, organisatorische und datenschutzrechtliche Voraussetzungen erfüllen. Zum Beispiel müssen Sie Versicherungen mit bestimmten Deckungssummen nachweisen und Zertifikate vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit einholen.
Wenn Sie akkreditiert werden, erhalten Sie ein Gütezeichen. Mit diesem Gütezeichen dürfen Sie für die technische und administrative Sicherheit Ihrer Dienste werben.
Die Akkreditierung ist für drei Jahre gültig, danach müssen Sie eine Re-Akkreditierung beantragen.
Bevor Sie den Antrag stellen, können Sie sich mit Mitarbeitern des BSI treffen. In einem Informationsgespräch können sie Ihnen das Akkreditierungsverfahren sowie die damit verbundenen organisatorischen Fragen und die Kosten erläutern.
Eine Akkreditierung als De-Mail-Diensteanbieter müssen Sie schriftlich beantragen. Das BSI empfiehlt Ihnen, Ihren Antrag formlos anzukündigen, bevor Sie die Nachweise einholen.
Antragsphase:
- Das BSI bietet Ihnen vor der Antragsstellung ein Informationsgespräch an. In dem Gespräch können Sie sich über die Aufwände des Verfahrens sowie über mögliche Kosten informieren.
- Füllen Sie anschließend das Antragsformular vollständig aus und senden Sie es mit allen erforderlichen Unterlagen an das BSI.
- Das BSI prüft Ihren Antrag auf formale Korrektheit und Vollständigkeit. Außerdem prüft es Ihre eingereichten Nachweise auf formale und sachliche Richtigkeit, Vollständigkeit und Gültigkeit.
- Das Ergebnis der Begutachtung Ihres Antrags wird vom BSI in einem Akkreditierungsreport zusammengefasst. Wenn Sie die eingereichten Unterlagen nachbessern müssen, teilt das BSI Ihnen das mit.
Begutachtungsphase:
- Auf Basis der Begutachtung Ihres Antrags und der Nachweise entscheidet das BSI über Ihre Akkreditierung. Die Entscheidung teilt es Ihnen schriftlich mit.
- Wenn Sie akkreditiert werden, gibt das BSI Ihnen eine Akkreditierungsurkunde, das Gütezeichen und einen Report zu Ihrer Akkreditierung. Die Akkreditierung müssen Sie spätestens nach drei Jahren erneuern.
- Bevor ein negativer Bescheid versendet wird, teilt Ihnen das BSI die Gründe für die Ablehnung mit. Sie können innerhalb von zwei Wochen hierzu Stellung beziehen. Wenn möglich, gibt Ihnen das BSI die Gelegenheit, die Mängel zu beheben.
Betriebsphase:
- Sobald Ihre Akkreditierung abgeschlossen ist, beginnt die Betriebsphase: Sie dürfen Ihre De-Mail-Dienste jetzt anbieten.
-
Ab Zeitpunkt der Akkreditierung und Aufnahme des Betriebs der De-Mail-Dienste unterliegen Sie der Aufsicht durch das BSI. Das verpflichtet Sie zu folgenden Dingen:
- Sie müssen Sicherheitsschwachstellen unverzüglich mitteilen.
- Sie müssen Mitarbeitern des BSI Zugang zu Geschäftsräumen und relevanten Unterlagen gewähren.
- Sie müssen das BSI unverzüglich über Änderungen bei Ihrem Unternehmen informieren, die die Akkreditierungsvoraussetzungen betreffen.
-
Eine kontinuierliche Zusammenarbeit stellt das BSI durch anlassbezogene Treffen und Workshops sicher. Unter bestimmten Voraussetzungen kann das BSI Ihnen den Betrieb vorübergehend untersagen.
Als De-Mail-Diensteanbieter müssen Sie:
- die für den Betrieb von De-Mail-Diensten erforderliche Zuverlässigkeit und Fachkunde besitzen,
- eine geeignete Deckungsvorsorge besitzen, um dem Ersatz möglicher Schäden nachzukommen,
- die technischen und organisatorischen Anforderungen erfüllen, damit Sie die Dienste zuverlässig und sicher erbringen können sowie
-
bei der Gestaltung und dem Betrieb der De-Mail-Dienste die datenschutzrechtlichen Anforderungen erfüllen.
Allgemeine Nachweise zum Unternehmen:
- Unternehmensdarstellung,
- Handels-, Genossenschafts-, Partnerschafts- oder Vereinsregisterauszug,
- Kopie der Gewerbeanmeldung und
- Insolvenzbescheinigung (Eigenversicherung), dass das Unternehmen sich nicht in Insolvenz oder Liquidation befindet.
Die allgemeinen Nachweise zum Unternehmen dürfen nicht älter als sechs Monate sein.
Weitere erforderliche Nachweise:
- Testate von zertifizierten IT-Sicherheitsdienstleistern De-Mail mit den zugehörigen Testierungsberichten (nicht älter als sechs Monate),
- ein Datenschutzzertifikat des Bundesbeauftragten für den Datenschutz und die Informationssicherheit sowie
-
Nachweise zur:
- Zuverlässigkeit,
- Fachkunde und
-
Deckungsvorsorge.
Die Gebühren für Ihre Akkreditierung richten sich nach dem Zeitaufwand des Verfahrens. Dabei gelten folgende Stundensätze:
- EUR 84,00 pro Stunde bei Mitarbeiterinnen und Mitarbeitern des höheren Dienstes,
- EUR 68,00 pro Stunde bei Mitarbeiterinnen und Mitarbeitern des gehobenen Dienstes und
- EUR 54,00 pro Stunde bei Mitarbeiterinnen und Mitarbeitern des mittleren Dienstes.
- Die Akkreditierung muss spätestens nach drei Jahren erneuert werden. Den Antrag dafür müssen Sie mindestens drei Monate vor Ablauf Ihrer Akkreditierung stellen.
maximal 3 Monate
Formulare: Antrag auf Akkreditierung als De-Mail-Diensteanbieter
Onlineverfahren möglich: nein
Schriftform erforderlich: ja
Persönliches Erscheinen nötig: nein
53175 Bonn