Im Anwendungsbereich der NIS-2-Richtlinie (NIS-2-RL) kann es zu Situationen kommen, in denen Anbieter bestimmter NIS-2-relevanter Dienste, wie etwa ein Managed Service Provider, seinen Sitz ausschließlich in einem Drittland hat, jedoch Dienste innerhalb der EU anbietet. Der territoriale Anwendungsbereich ist nach Art. 2 Abs. 1 NIS-2-RL eröffnet, sobald ein Unternehmen einen Dienst in der EU erbringt oder dort Tätigkeiten ausübt. Art. 26 NIS-2-RL konkretisiert diesen Anwendungsbereich dahingehend, dass grundsätzlich der Mitgliedstaat und damit dessen jeweiliges Umsetzungsgesetz für eine Einrichtung anwendbar ist, in dem die Einrichtung niedergelassen ist. Hierzu haben wir bereits einen Beitrag verfasst.

Hat die Einrichtung jedoch keine Niederlassung in der EU, gilt nach Art. 26 Abs. 3 NIS-2-RL eine Sonderregelung, die wir bereits aus der DSGVO kennen: bestimmte Einrichtungen müssen einen Vertreter benennen, wenn sie in der EU-Dienste anbieten. Dies betrifft die folgenden in Art. 26 Abs. 1 lit. b NIS-2-RL genannten Einrichtungen:

• DNS-Diensteanbieter;
• TLD-Namenregister;
• Einrichtungen, die Domänennamen-Registrierungsdienste erbringen;
• Anbieter von Cloud-Computing-Diensten;
• Anbieter von Rechenzentrumsdiensten;
• Betreiber von Inhaltszustellnetzen;
• Anbieter von verwalteten Diensten;
• Anbieter von verwalteten Sicherheitsdiensten;
• Anbieter von Online-Marktplätzen;
• Anbieter von Online-Suchmaschinen;
• Plattformen für Dienste sozialer Netzwerke.

Ein praktisches Beispiel wäre etwa ein Unternehmen welches z.B. den Betrieb der gesamten Arbeitsplatz IT anbietet (z.B. Softwareverteilung, Remote-Support und Fehlerbehebung) und damit als Managed Service Provider einzuordnen ist. Wenn dieses Unternehmen z.B. in Indien sitzt, seine Dienste für Unternehmen in der EU anbietet, dort jedoch keine Niederlassungen betreibt, greift die Vorgabe des Art. 26 Abs. 3 NIS-2-RL. Benennt eine der genannten und ausschließlich in einem Drittland niedergelassene Einrichtung keinen Vertreter, kann jeder Mitgliedstaat, in dem die Einrichtung Dienste erbringt, gegenüber die Einrichtung tätig werden. Dies ist für das betroffene Drittlandunternehmen vor allem deshalb nachteilig, da die NIS-2-RL nach Art. 5 NIS-2-RL nur eine Mindestharmonisierung vorschreibt und die einzelnen Mitgliedstaaten strengere Regelungen zur Gewährleistung eines höheren Cybersicherheitsniveaus festlegen können. Ohne die Benennung eines Vertreters müssten die oben genannten Einrichtungen dann sämtliche Umsetzungsrechtsakte der Mitgliedstaaten befolgen, in denen sie ihre Dienste erbringen. Insofern hat die Wahl des Vertreters den Vorteil, dass sich die Einrichtung das anwendbare mitgliedstaatliche Recht aussuchen kann, wenn sie ihre Dienste in mehreren Mitgliedstaaten erbringt. Eine bußgeldbewährte Pflicht zur Benennung eines Vertreters enthält indes weder die NIS-2-RL noch das BSIG. Letzteres sanktioniert in § 65 Abs. 2 Nr. 8 BSIG nur einen Verstoß gegen § 34 Abs. 2 BSIG, wenn das BSI nicht richtig, vollständig oder rechtzeitig über Änderungen im Zusammenhang mit einem benannten (!) Vertreter unterrichtet wird.

Nach Art. 6 Nr. 34 NIS-2-RL kann der Vertreter eine in der EU niedergelassene natürliche oder juristische Person sein. Weitere Anforderungen, wie z.B. besondere Kenntnisse, gibt es nicht. Der Vertreter muss durch die Einrichtung lediglich ausdrücklich benannt werden und ist der zuständigen Behörde, z.B. nach § 34 Abs. 1 Nr. 3 und 4 BSIG im Rahmen der Registrierungspflicht für bestimmte Einrichtungsarten mit seinen Kontaktdaten zu melden. Aufgabe des Vertreters ist hauptsächlich die Funktion als Ansprechpartner für Behörden oder CSIRTs. Zudem ergibt sich aus ErwGr. 116 Satz 6 der NIS-2-RL, dass der Vertreter auch Sicherheitsvorfälle zu melden hat.

Im Hinblick auf die Haftung folgt aus Art. 26 Abs. 4 NIS-2-RL, dass die Einrichtung sich durch die Benennung eines Vertreters nicht von ihrer Haftung befreien kann. Denn der Vertreter tritt zusätzlich zu ihr auf. Dementsprechend kann der Vertreter auch nicht für Pflichtverletzungen der Einrichtung haften.

Fazit und Empfehlung

Die Figur des Vertreters wird nur dann relevant, wenn eine der oben genannten Einrichtungen keine Niederlassungen in der EU betreibt, dort jedoch ihre Dienste anbietet. Aufgrund der genannten Vorteile ist den oben genannten Einrichtungen die Benennung eines Vertreters zu empfehlen. Da die Figur des Vertreters, wenn auch mit teilweise unterschiedlichen Vorgaben, auch in anderen europäischen Digitalgesetzen, wie z.B. der DSGVO, der KI-VO oder den DSA, genannt wird, ist es grds. möglich, auch einen Vertreter für mehrere Digitalrechtsakte zu benennen.