News

NIS-2: Pflicht zur Benennung eines Vertreters für Einrichtungen im Drittland

Im Anwendungsbereich der NIS-2-Richtlinie (NIS-2-RL) kann es zu Situationen kommen, in denen Anbieter bestimmter NIS-2-relevanter Dienste, wie etwa ein Managed Service Provider, seinen Sitz ausschließlich in einem Drittland hat, jedoch Dienste innerhalb der EU anbietet. Der territoriale Anwendungsbereich ist nach Art. 2 Abs. 1 NIS-2-RL eröffnet, sobald ein Unternehmen einen Dienst in der EU erbringt oder dort Tätigkeiten ausübt. Art. 26 NIS-2-RL konkretisiert diesen Anwendungsbereich dahingehend, dass grundsätzlich der Mitgliedstaat und damit dessen jeweiliges Umsetzungsgesetz für eine Einrichtung anwendbar ist, in dem die Einrichtung niedergelassen ist. Hierzu haben wir bereits einen Beitrag verfasst.

Hat die Einrichtung jedoch keine Niederlassung in der EU, gilt nach Art. 26 Abs. 3 NIS-2-RL eine Sonderregelung, die wir bereits aus der DSGVO kennen: bestimmte Einrichtungen müssen einen Vertreter benennen, wenn sie in der EU-Dienste anbieten. Dies betrifft die folgenden in Art. 26 Abs. 1 lit. b NIS-2-RL genannten Einrichtungen:

  • DNS-Diensteanbieter;
  • TLD-Namenregister;
  • Einrichtungen, die Domänennamen-Registrierungsdienste erbringen;
  • Anbieter von Cloud-Computing-Diensten;
  • Anbieter von Rechenzentrumsdiensten;
  • Betreiber von Inhaltszustellnetzen;
  • Anbieter von verwalteten Diensten;
  • Anbieter von verwalteten Sicherheitsdiensten;
  • Anbieter von Online-Marktplätzen;
  • Anbieter von Online-Suchmaschinen;
  • Plattformen für Dienste sozialer Netzwerke.

Ein praktisches Beispiel wäre etwa ein Unternehmen welches z.B. den Betrieb der gesamten Arbeitsplatz IT anbietet (z.B. Softwareverteilung, Remote-Support und Fehlerbehebung) und damit als Managed Service Provider einzuordnen ist. Wenn dieses Unternehmen z.B. in Indien sitzt, seine Dienste für Unternehmen in der EU anbietet, dort jedoch keine Niederlassungen betreibt, greift die Vorgabe des Art. 26 Abs. 3 NIS-2-RL. Benennt eine der genannten und ausschließlich in einem Drittland niedergelassene Einrichtung keinen Vertreter, kann jeder Mitgliedstaat, in dem die Einrichtung Dienste erbringt, gegenüber die Einrichtung tätig werden. Dies ist für das betroffene Drittlandunternehmen vor allem deshalb nachteilig, da die NIS-2-RL nach Art. 5 NIS-2-RL nur eine Mindestharmonisierung vorschreibt und die einzelnen Mitgliedstaaten strengere Regelungen zur Gewährleistung eines höheren Cybersicherheitsniveaus festlegen können. Ohne die Benennung eines Vertreters müssten die oben genannten Einrichtungen dann sämtliche Umsetzungsrechtsakte der Mitgliedstaaten befolgen, in denen sie ihre Dienste erbringen. Insofern hat die Wahl des Vertreters den Vorteil, dass sich die Einrichtung das anwendbare mitgliedstaatliche Recht aussuchen kann, wenn sie ihre Dienste in mehreren Mitgliedstaaten erbringt. Eine bußgeldbewährte Pflicht zur Benennung eines Vertreters enthält indes weder die NIS-2-RL noch das BSIG. Letzteres sanktioniert in § 65 Abs. 2 Nr. 8 BSIG nur einen Verstoß gegen § 34 Abs. 2 BSIG, wenn das BSI nicht richtig, vollständig oder rechtzeitig über Änderungen im Zusammenhang mit einem benannten (!) Vertreter unterrichtet wird.

Nach Art. 6 Nr. 34 NIS-2-RL kann der Vertreter eine in der EU niedergelassene natürliche oder juristische Person sein. Weitere Anforderungen, wie z.B. besondere Kenntnisse, gibt es nicht. Der Vertreter muss durch die Einrichtung lediglich ausdrücklich benannt werden und ist der zuständigen Behörde, z.B. nach § 34 Abs. 1 Nr. 3 und 4 BSIG im Rahmen der Registrierungspflicht für bestimmte Einrichtungsarten mit seinen Kontaktdaten zu melden. Aufgabe des Vertreters ist hauptsächlich die Funktion als Ansprechpartner für Behörden oder CSIRTs. Zudem ergibt sich aus ErwGr. 116 Satz 6 der NIS-2-RL, dass der Vertreter auch Sicherheitsvorfälle zu melden hat.

Im Hinblick auf die Haftung folgt aus Art. 26 Abs. 4 NIS-2-RL, dass die Einrichtung sich durch die Benennung eines Vertreters nicht von ihrer Haftung befreien kann. Denn der Vertreter tritt zusätzlich zu ihr auf. Dementsprechend kann der Vertreter auch nicht für Pflichtverletzungen der Einrichtung haften.

Fazit und Empfehlung

Die Figur des Vertreters wird nur dann relevant, wenn eine der oben genannten Einrichtungen keine Niederlassungen in der EU betreibt, dort jedoch ihre Dienste anbietet. Aufgrund der genannten Vorteile ist den oben genannten Einrichtungen die Benennung eines Vertreters zu empfehlen. Da die Figur des Vertreters, wenn auch mit teilweise unterschiedlichen Vorgaben, auch in anderen europäischen Digitalgesetzen, wie z.B. der DSGVO, der KI-VO oder den DSA, genannt wird, ist es grds. möglich, auch einen Vertreter für mehrere Digitalrechtsakte zu benennen.

 

Rechtsanwalt, Senior Associate
Alexander Weiss
Rechtsanwalt, Senior Associate
Alexander Weiss

Zurück

News

EDSA veröffentlicht Leitlinien zum Auskunftsrecht nach Art. 15 DSGVO

Der Europäische Datenschutzausschuss (EDSA), das Gremium der europäischen Datenschutzaufsichtsbehörden, hat in seiner Sitzung vom 18. Januar 2022 einen ersten Leitlinienentwurf zu einem der bedeutendsten Betroffenenrechte nach der DSGVO herausgegeben: dem Auskunftsrecht nach Art. 15.

Dieses Recht sorgt in der Praxis oft für Anwendungsunsicherheiten und lässt viel Raum für Interpretationen. Aus diesem Grund erschien es notwendig, dieses 60-seitige Dokument zu veröffentlichen, um für mehr Klarheit und Kohärenz zu sorgen. In dem Dokument widmet sich der EDSA einer Reihe von Themen, von denen einige in der Praxis äußerst umstritten sind.

Zusätzliche Schutzmaßnahmen für EU-Standardvertragsklauseln in der Praxis - Österreichische Datenschutzbehörde gibt eine erste Orientierung

Der Einsatz von Google Analytics steht nicht im Einklang mit der DSGVO. Zu diesem Schluss kam die österreichische Datenschutzbehörde (DSB) aufgrund einer Musterbeschwerde, die der Datenschutzverein "Noyb" (none of your business bzw. Europäisches Zentrum für digitale Rechte) eingereicht hatte. In ihrem Bescheid setzt sich die DSB (leider nicht vertieft) mit den zusätzlichen Schutzmaßnahmen von Google auseinander, die das Unternehmen für Datentransfers in die USA vorsieht. In diesem Beitrag finden Sie eine kurze Übersicht der technischen und organisatorischen Maßnahmen, die die österreichische DSB in ihrem Teilbescheid berücksichtigt, jedoch als ungenügend eingestuft hat.

Rechtswidrige Datenübermittlung zwischen EU und USA und weitere Verstöße: Der EDSB erlässt Unterlassungsanordnung gegen das Europäische Parlament

Anfang Januar veröffentlichte der Europäische Datenschutzbeauftragte (EDSB) eine Entscheidung, nachdem die Vereinigung noyb (none of your business bzw. European Centre for Digital Rights) bereits vor einem Jahr im Namen von sechs Mitgliedern des Europäischen Parlaments eine Beschwerde bzgl. einer Webseite des Europäischen Parlaments eingereicht hatte. In seiner Entscheidung geht der EDSB davon aus, dass die COVID-Testseite des Europäischen Parlaments gegen mehrere Datenschutzvorschriften verstößt. Kritisiert wurden in der Beschwerde von noyb insbesondere irreführende Cookie-Banner, vage und unklare Datenschutzinformationen und die illegale Übermittlung von personenbezogenen Daten in die USA. Der EDSB überprüfte den Fall und stellte einen Verstoß gegen die Verordnung (EU) 2018/1725 (nachfolgend „Verordnung)“, die zwar nur für EU-Institutionen gilt, der DSGVO jedoch sehr ähnelt, fest. Eine detaillierte Auflistung der einzelnen Verstöße sowie ihrer korrespondierenden Vorschriften in der Verordnung (EU) 2016/679 „EU-DSGVO“ finden Sie unter Nummer 4.

Musterverträge für internationale Geschäfte

Bei dem Münchner Verlag C.H.Beck ist die erste, von unserem Partner Prof. Dr. Burghard Piltz herausgegebene Edition zu Musterverträgen für das internationale Handels- und Vertriebsrecht erschienen.

Neue Orientierungshilfe der Datenschutzkonferenz zum Einsatz von Cookies und ähnlichen Technologien

Heute am 21. Dezember 2021 wurde von der Datenschutzkonferenz (DSK) die neue Orientierungshilfe für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 (OH Telemedien 2021) veröffentlicht. Durch die Orientierungshilfe versucht die Datenschutzkonferenz, zahlreiche Fragen zu klären, die sich vor allem im Bezug auf die Anwendung des § 25 TTDSG stellen, der den Umgang mit Cookies und ähnlichen Tracking-Technologien regelt. Auch wenn uns das Papier in den kommenden Wochen und Monaten noch vielseitig beschäftigen wird, möchten wir Ihnen im Folgenden einen kurzen Überblick zu den aus unserer Sicht wichtigsten Aussagen geben:

Österreichisches BVwG: Wechsel der Rechtsgrundlage der Datenverarbeitung ist zulässig

Kann sich ein Verantwortlicher auf eine andere Rechtsgrundlage als Rechtfertigung für die Datenverarbeitung berufen, nachdem die zugrundeliegende Einwilligungserklärung von einer Behörde für ungültig erklärt wurde?

weitere News anzeigen