Home
Na­vi­ga­ti­on

Ak­kre­di­tie­rung als De-Mail-Diens­te­an­bie­ter Er­tei­lung

De-Mail stellt ei­ne si­che­re In­fra­struk­tur für di­gi­ta­le Kom­mu­ni­ka­ti­on be­reit. De-Mails äh­neln E-Mails, sind aber si­che­rer: Die Iden­ti­tät von Ab­sen­der und Emp­fän­ger kann nicht ge­fälscht wer­den und die Nach­rich­ten wer­den aus­schlie­ß­lich über ver­schlüs­sel­te Ka­nä­le über­tra­gen. Bür­ger, Un­ter­neh­men und Ver­wal­tung kön­nen über den Dienst si­cher kom­mu­ni­zie­ren. Den Be­trieb die­ser In­fra­struk­tur über­neh­men ak­kre­di­tier­te De-Mail-Diens­te­an­bie­ter (DM­DA).

Wenn Sie ein DM­DA wer­den möch­ten, brau­chen Sie ei­ne Ak­kre­di­tie­rung. Die­se Ak­kre­di­tie­rung er­hal­ten Sie auf An­trag vom BSI. Da­für müs­sen Sie tech­ni­sche, or­ga­ni­sa­to­ri­sche und da­ten­schutz­recht­li­che Vor­aus­set­zun­gen er­fül­len. Zum Bei­spiel müs­sen Sie Ver­si­che­run­gen mit be­stimm­ten De­ckungs­sum­men nach­wei­sen und Zer­ti­fi­ka­te vom Bun­des­be­auf­trag­ten für den Da­ten­schutz und die In­for­ma­ti­ons­frei­heit ein­ho­len.

Wenn Sie ak­kre­di­tiert wer­den, er­hal­ten Sie ein Gü­te­zei­chen. Mit die­sem Gü­te­zei­chen dür­fen Sie für die tech­ni­sche und ad­mi­nis­tra­ti­ve Si­cher­heit Ih­rer Diens­te wer­ben.

Die Ak­kre­di­tie­rung ist für drei Jah­re gül­tig, da­nach müs­sen Sie ei­ne Re-Ak­kre­di­tie­rung be­an­tra­gen.

Be­vor Sie den An­trag stel­len, kön­nen Sie sich mit Mit­ar­bei­tern des BSI tref­fen. In ei­nem In­for­ma­ti­ons­ge­spräch kön­nen sie Ih­nen das Ak­kre­di­tie­rungs­ver­fah­ren so­wie die da­mit ver­bun­de­nen or­ga­ni­sa­to­ri­schen Fra­gen und die Kos­ten er­läu­tern.
 

All­ge­mei­ne Nach­wei­se zum Un­ter­neh­men:

  • Un­ter­neh­mens­dar­stel­lung,
  • Han­dels-, Ge­nos­sen­schafts-, Part­ner­schafts- oder Ver­eins­re­gis­ter­aus­zug,
  • Ko­pie der Ge­wer­be­an­mel­dung und
  • In­sol­venz­be­schei­ni­gung (Ei­gen­ver­si­che­rung), dass das Un­ter­neh­men sich nicht in In­sol­venz oder Li­qui­da­ti­on be­fin­det.

Die all­ge­mei­nen Nach­wei­se zum Un­ter­neh­men dür­fen nicht äl­ter als sechs Mo­na­te sein.

Wei­te­re er­for­der­li­che Nach­wei­se:

  • Testa­te von zer­ti­fi­zier­ten IT-Si­cher­heits­dienst­leis­tern De-Mail mit den zu­ge­hö­ri­gen Tes­tie­rungs­be­rich­ten (nicht äl­ter als sechs Mo­na­te),
  • ein Da­ten­schutz­zer­ti­fi­kat des Bun­des­be­auf­trag­ten für den Da­ten­schutz und die In­for­ma­ti­ons­si­cher­heit so­wie
  • Nach­wei­se zur:
    • Zu­ver­läs­sig­keit,
    • Fach­kun­de und
    • De­ckungs­vor­sor­ge.
       

Als De-Mail-Diens­te­an­bie­ter müs­sen Sie:

  • die für den Be­trieb von De-Mail-Diens­ten er­for­der­li­che Zu­ver­läs­sig­keit und Fach­kun­de be­sit­zen,
  • ei­ne ge­eig­ne­te De­ckungs­vor­sor­ge be­sit­zen, um dem Er­satz mög­li­cher Schä­den nach­zu­kom­men,
  • die tech­ni­schen und or­ga­ni­sa­to­ri­schen An­for­de­run­gen er­fül­len, da­mit Sie die Diens­te zu­ver­läs­sig und si­cher er­brin­gen kön­nen so­wie
  • bei der Ge­stal­tung und dem Be­trieb der De-Mail-Diens­te die da­ten­schutz­recht­li­chen An­for­de­run­gen er­fül­len. 
     

Die Ge­büh­ren für Ih­re Ak­kre­di­tie­rung rich­ten sich nach dem Zeit­auf­wand des Ver­fah­rens. Da­bei gel­ten fol­gen­de Stun­den­sät­ze:

  • EUR 84,00 pro Stun­de bei Mit­ar­bei­te­rin­nen und Mit­ar­bei­tern des hö­he­ren Diens­tes,
  • EUR 68,00 pro Stun­de bei Mit­ar­bei­te­rin­nen und Mit­ar­bei­tern des ge­ho­be­nen Diens­tes und
  • EUR 54,00 pro Stun­de bei Mit­ar­bei­te­rin­nen und Mit­ar­bei­tern des mitt­le­ren Diens­tes.

Ei­ne Ak­kre­di­tie­rung als De-Mail-Diens­te­an­bie­ter müs­sen Sie schrift­lich be­an­tra­gen. Das BSI emp­fiehlt Ih­nen, Ih­ren An­trag form­los an­zu­kün­di­gen, be­vor Sie die Nach­wei­se ein­ho­len.

An­trags­pha­se:

  • Das BSI bie­tet Ih­nen vor der An­trags­stel­lung ein In­for­ma­ti­ons­ge­spräch an. In dem Ge­spräch kön­nen Sie sich über die Auf­wän­de des Ver­fah­rens so­wie über mög­li­che Kos­ten in­for­mie­ren.
  • Fül­len Sie an­schlie­ßend das An­trags­for­mu­lar voll­stän­dig aus und sen­den Sie es mit al­len er­for­der­li­chen Un­ter­la­gen an das BSI.
  • Das BSI prüft Ih­ren An­trag auf for­ma­le Kor­rekt­heit und Voll­stän­dig­keit. Au­ßer­dem prüft es Ih­re ein­ge­reich­ten Nach­wei­se auf for­ma­le und sach­li­che Rich­tig­keit, Voll­stän­dig­keit und Gül­tig­keit.
  • Das Er­geb­nis der Be­gut­ach­tung Ih­res An­trags wird vom BSI in ei­nem Ak­kre­di­tie­rungs­re­port zu­sam­men­ge­fasst. Wenn Sie die ein­ge­reich­ten Un­ter­la­gen nach­bes­sern müs­sen, teilt das BSI Ih­nen das mit.

Be­gut­ach­tungs­pha­se:

  • Auf Ba­sis der Be­gut­ach­tung Ih­res An­trags und der Nach­wei­se ent­schei­det das BSI über Ih­re Ak­kre­di­tie­rung. Die Ent­schei­dung teilt es Ih­nen schrift­lich mit.
  • Wenn Sie ak­kre­di­tiert wer­den, gibt das BSI Ih­nen ei­ne Ak­kre­di­tie­rungs­ur­kun­de, das Gü­te­zei­chen und ei­nen Re­port zu Ih­rer Ak­kre­di­tie­rung. Die Ak­kre­di­tie­rung müs­sen Sie spä­tes­tens nach drei Jah­ren er­neu­ern. 
  • Be­vor ein ne­ga­ti­ver Be­scheid ver­sen­det wird, teilt Ih­nen das BSI die Grün­de für die Ab­leh­nung mit. Sie kön­nen in­ner­halb von zwei Wo­chen hier­zu Stel­lung be­zie­hen. Wenn mög­lich, gibt Ih­nen das BSI die Ge­le­gen­heit, die Män­gel zu be­he­ben.

Be­triebs­pha­se:

  • So­bald Ih­re Ak­kre­di­tie­rung ab­ge­schlos­sen ist, be­ginnt die Be­triebs­pha­se: Sie dür­fen Ih­re De-Mail-Diens­te jetzt an­bie­ten.
  • Ab Zeit­punkt der Ak­kre­di­tie­rung und Auf­nah­me des Be­triebs der De-Mail-Diens­te un­ter­lie­gen Sie der Auf­sicht durch das BSI. Das ver­pflich­tet Sie zu fol­gen­den Din­gen:
    • Sie müs­sen Si­cher­heits­schwach­stel­len un­ver­züg­lich mit­tei­len.
    • Sie müs­sen Mit­ar­bei­tern des BSI Zu­gang zu Ge­schäfts­räu­men und re­le­van­ten Un­ter­la­gen ge­wäh­ren.
    • Sie müs­sen das BSI un­ver­züg­lich über Än­de­run­gen bei Ih­rem Un­ter­neh­men in­for­mie­ren, die die Ak­kre­di­tie­rungs­vor­aus­set­zun­gen be­tref­fen.
  • Ei­ne kon­ti­nu­ier­li­che Zu­sam­men­ar­beit stellt das BSI durch an­lass­be­zo­ge­ne Tref­fen und Work­shops si­cher. Un­ter be­stimm­ten Vor­aus­set­zun­gen kann das BSI Ih­nen den Be­trieb vor­über­ge­hend un­ter­sa­gen.
     

ma­xi­mal 3 Mo­na­te

  • Die Ak­kre­di­tie­rung muss spä­tes­tens nach drei Jah­ren er­neu­ert wer­den. Den An­trag da­für müs­sen Sie min­des­tens drei Mo­na­te vor Ab­lauf Ih­rer Ak­kre­di­tie­rung stel­len.