News

NIS-2: Pflicht zur Benennung eines Vertreters für Einrichtungen im Drittland

Im Anwendungsbereich der NIS-2-Richtlinie (NIS-2-RL) kann es zu Situationen kommen, in denen Anbieter bestimmter NIS-2-relevanter Dienste, wie etwa ein Managed Service Provider, seinen Sitz ausschließlich in einem Drittland hat, jedoch Dienste innerhalb der EU anbietet. Der territoriale Anwendungsbereich ist nach Art. 2 Abs. 1 NIS-2-RL eröffnet, sobald ein Unternehmen einen Dienst in der EU erbringt oder dort Tätigkeiten ausübt. Art. 26 NIS-2-RL konkretisiert diesen Anwendungsbereich dahingehend, dass grundsätzlich der Mitgliedstaat und damit dessen jeweiliges Umsetzungsgesetz für eine Einrichtung anwendbar ist, in dem die Einrichtung niedergelassen ist. Hierzu haben wir bereits einen Beitrag verfasst.

Hat die Einrichtung jedoch keine Niederlassung in der EU, gilt nach Art. 26 Abs. 3 NIS-2-RL eine Sonderregelung, die wir bereits aus der DSGVO kennen: bestimmte Einrichtungen müssen einen Vertreter benennen, wenn sie in der EU-Dienste anbieten. Dies betrifft die folgenden in Art. 26 Abs. 1 lit. b NIS-2-RL genannten Einrichtungen:

  • DNS-Diensteanbieter;
  • TLD-Namenregister;
  • Einrichtungen, die Domänennamen-Registrierungsdienste erbringen;
  • Anbieter von Cloud-Computing-Diensten;
  • Anbieter von Rechenzentrumsdiensten;
  • Betreiber von Inhaltszustellnetzen;
  • Anbieter von verwalteten Diensten;
  • Anbieter von verwalteten Sicherheitsdiensten;
  • Anbieter von Online-Marktplätzen;
  • Anbieter von Online-Suchmaschinen;
  • Plattformen für Dienste sozialer Netzwerke.

Ein praktisches Beispiel wäre etwa ein Unternehmen welches z.B. den Betrieb der gesamten Arbeitsplatz IT anbietet (z.B. Softwareverteilung, Remote-Support und Fehlerbehebung) und damit als Managed Service Provider einzuordnen ist. Wenn dieses Unternehmen z.B. in Indien sitzt, seine Dienste für Unternehmen in der EU anbietet, dort jedoch keine Niederlassungen betreibt, greift die Vorgabe des Art. 26 Abs. 3 NIS-2-RL. Benennt eine der genannten und ausschließlich in einem Drittland niedergelassene Einrichtung keinen Vertreter, kann jeder Mitgliedstaat, in dem die Einrichtung Dienste erbringt, gegenüber die Einrichtung tätig werden. Dies ist für das betroffene Drittlandunternehmen vor allem deshalb nachteilig, da die NIS-2-RL nach Art. 5 NIS-2-RL nur eine Mindestharmonisierung vorschreibt und die einzelnen Mitgliedstaaten strengere Regelungen zur Gewährleistung eines höheren Cybersicherheitsniveaus festlegen können. Ohne die Benennung eines Vertreters müssten die oben genannten Einrichtungen dann sämtliche Umsetzungsrechtsakte der Mitgliedstaaten befolgen, in denen sie ihre Dienste erbringen. Insofern hat die Wahl des Vertreters den Vorteil, dass sich die Einrichtung das anwendbare mitgliedstaatliche Recht aussuchen kann, wenn sie ihre Dienste in mehreren Mitgliedstaaten erbringt. Eine bußgeldbewährte Pflicht zur Benennung eines Vertreters enthält indes weder die NIS-2-RL noch das BSIG. Letzteres sanktioniert in § 65 Abs. 2 Nr. 8 BSIG nur einen Verstoß gegen § 34 Abs. 2 BSIG, wenn das BSI nicht richtig, vollständig oder rechtzeitig über Änderungen im Zusammenhang mit einem benannten (!) Vertreter unterrichtet wird.

Nach Art. 6 Nr. 34 NIS-2-RL kann der Vertreter eine in der EU niedergelassene natürliche oder juristische Person sein. Weitere Anforderungen, wie z.B. besondere Kenntnisse, gibt es nicht. Der Vertreter muss durch die Einrichtung lediglich ausdrücklich benannt werden und ist der zuständigen Behörde, z.B. nach § 34 Abs. 1 Nr. 3 und 4 BSIG im Rahmen der Registrierungspflicht für bestimmte Einrichtungsarten mit seinen Kontaktdaten zu melden. Aufgabe des Vertreters ist hauptsächlich die Funktion als Ansprechpartner für Behörden oder CSIRTs. Zudem ergibt sich aus ErwGr. 116 Satz 6 der NIS-2-RL, dass der Vertreter auch Sicherheitsvorfälle zu melden hat.

Im Hinblick auf die Haftung folgt aus Art. 26 Abs. 4 NIS-2-RL, dass die Einrichtung sich durch die Benennung eines Vertreters nicht von ihrer Haftung befreien kann. Denn der Vertreter tritt zusätzlich zu ihr auf. Dementsprechend kann der Vertreter auch nicht für Pflichtverletzungen der Einrichtung haften.

Fazit und Empfehlung

Die Figur des Vertreters wird nur dann relevant, wenn eine der oben genannten Einrichtungen keine Niederlassungen in der EU betreibt, dort jedoch ihre Dienste anbietet. Aufgrund der genannten Vorteile ist den oben genannten Einrichtungen die Benennung eines Vertreters zu empfehlen. Da die Figur des Vertreters, wenn auch mit teilweise unterschiedlichen Vorgaben, auch in anderen europäischen Digitalgesetzen, wie z.B. der DSGVO, der KI-VO oder den DSA, genannt wird, ist es grds. möglich, auch einen Vertreter für mehrere Digitalrechtsakte zu benennen.

 

Rechtsanwalt, Senior Associate
Alexander Weiss
Rechtsanwalt, Senior Associate
Alexander Weiss

Zurück

News

Künstliche Intelligenz-Verordnung der EU: Rat beschließt eigene Position zum Thema

Im April 2021 hat die Europäische Kommission ihren Entwurf für die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz („KI-Verordnung“, „KI-VO-E“) vorgestellt. Mit der Verordnung möchte die EU durch Förderung von Exzellenz im KI-Bereich das Wettbewerbspotenzial Europas stärken. Am 6. Dezember 2022 hat nun der Rat der Europäischen Union seinen gemeinsamen Standpunkt zu der KI-Verordnung beschlossen und zahlreiche Änderungen gegenüber dem Entwurf der Kommission vorgeschlagen.

 

Digital Markets Acts (DMA): Was geht uns das an?

Mit ihrer Verordnung über digitale Märkte (Digital Markets Act, kurz: DMA) hat die Europäische Union einen weiteren Baustein ihrer Digitalstrategie umgesetzt (finaler Gesetzestext vom 14. September 2022).

Die bereits im März 2022 verabschiedete Verordnung, wird ab Mai 2023 vor allem den Betreibern großer digitaler Plattformen zusätzliche wettbewerbs- und kartellrechtliche Verpflichtungen auferlegen.

Cyber Resilience Act – Überblick zu den neuen Cybersicherheitsanforderungen für Produkte mit digitalen Elementen

Die Europäische Kommission hat im September ihren Entwurf für den Cyber Resilience Act („CRA“, Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020) veröffentlicht. Dabei handelt es sich um eine EU-Verordnung, die nach Inkrafttreten unmittelbare Anwendung in allen Mitgliedstaaten findet und hierfür keines weiteren Umsetzungsaktes bedarf. Das Vorhaben zielt darauf ab, die europäische Datenstrategie weiter voranzutreiben und den legislativen Flickenteppich auf dem Gebiet der Cybersicherheit im europäischen Binnenmarkt zu beseitigen.

Piltz Legal Update am 17.03.2023 in Nürnberg

Gemeinsam mit Alexander Filip informiert Dr. Carlo Piltz am 17.03.2023 in Nürnberg zum Thema: "Aktuelles zu Drittstaatentransfers - Praktische Umsetzung von SCC, TIA & Co."

Aktuelles zu Datentransfers in die USA – Was ändert die Executive Order?

US-Präsident Joe Biden hat am 7. Oktober 2022 eine Executive Order „zur Verbesserung der Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten der Vereinigten Staaten“ (EO) unterzeichnet. Welchen Einfluss diese auf Datentransfers in die USA hat und ob die EO die durch den EuGH festgestellten Defizite heilt, ist bislang noch fraglich. In diesem Beitrag geben wir Ihnen einen kurzen Überblick, über die EO und den aktuellen Stand der Diskussion.

Piltz Legal Update am 25.11.2022 - "AVV-Prüfung und -Verhandlung in der Praxis" - online

Am 25.11.2022 findet unsere zweite Veranstaltung der "Piltz Legal Update" Seminarreihe online statt.

Dieses Mal sprechen Dr. Carlo Piltz und Philipp Quiel über das Thema: "AVV-Prüfung und -Verhandlung in der Praxis". Sie geben Einblicke, klären über typische Probleme auf und geben ausgewählte Lösungsvorschläge.

 

weitere News anzeigen