News
NIS-2: Pflicht zur Benennung eines Vertreters für Einrichtungen im Drittland
Im Anwendungsbereich der NIS-2-Richtlinie (NIS-2-RL) kann es zu Situationen kommen, in denen Anbieter bestimmter NIS-2-relevanter Dienste, wie etwa ein Managed Service Provider, seinen Sitz ausschließlich in einem Drittland hat, jedoch Dienste innerhalb der EU anbietet. Der territoriale Anwendungsbereich ist nach Art. 2 Abs. 1 NIS-2-RL eröffnet, sobald ein Unternehmen einen Dienst in der EU erbringt oder dort Tätigkeiten ausübt. Art. 26 NIS-2-RL konkretisiert diesen Anwendungsbereich dahingehend, dass grundsätzlich der Mitgliedstaat und damit dessen jeweiliges Umsetzungsgesetz für eine Einrichtung anwendbar ist, in dem die Einrichtung niedergelassen ist. Hierzu haben wir bereits einen Beitrag verfasst.
Hat die Einrichtung jedoch keine Niederlassung in der EU, gilt nach Art. 26 Abs. 3 NIS-2-RL eine Sonderregelung, die wir bereits aus der DSGVO kennen: bestimmte Einrichtungen müssen einen Vertreter benennen, wenn sie in der EU-Dienste anbieten. Dies betrifft die folgenden in Art. 26 Abs. 1 lit. b NIS-2-RL genannten Einrichtungen:
- DNS-Diensteanbieter;
- TLD-Namenregister;
- Einrichtungen, die Domänennamen-Registrierungsdienste erbringen;
- Anbieter von Cloud-Computing-Diensten;
- Anbieter von Rechenzentrumsdiensten;
- Betreiber von Inhaltszustellnetzen;
- Anbieter von verwalteten Diensten;
- Anbieter von verwalteten Sicherheitsdiensten;
- Anbieter von Online-Marktplätzen;
- Anbieter von Online-Suchmaschinen;
- Plattformen für Dienste sozialer Netzwerke.
Ein praktisches Beispiel wäre etwa ein Unternehmen welches z.B. den Betrieb der gesamten Arbeitsplatz IT anbietet (z.B. Softwareverteilung, Remote-Support und Fehlerbehebung) und damit als Managed Service Provider einzuordnen ist. Wenn dieses Unternehmen z.B. in Indien sitzt, seine Dienste für Unternehmen in der EU anbietet, dort jedoch keine Niederlassungen betreibt, greift die Vorgabe des Art. 26 Abs. 3 NIS-2-RL. Benennt eine der genannten und ausschließlich in einem Drittland niedergelassene Einrichtung keinen Vertreter, kann jeder Mitgliedstaat, in dem die Einrichtung Dienste erbringt, gegenüber die Einrichtung tätig werden. Dies ist für das betroffene Drittlandunternehmen vor allem deshalb nachteilig, da die NIS-2-RL nach Art. 5 NIS-2-RL nur eine Mindestharmonisierung vorschreibt und die einzelnen Mitgliedstaaten strengere Regelungen zur Gewährleistung eines höheren Cybersicherheitsniveaus festlegen können. Ohne die Benennung eines Vertreters müssten die oben genannten Einrichtungen dann sämtliche Umsetzungsrechtsakte der Mitgliedstaaten befolgen, in denen sie ihre Dienste erbringen. Insofern hat die Wahl des Vertreters den Vorteil, dass sich die Einrichtung das anwendbare mitgliedstaatliche Recht aussuchen kann, wenn sie ihre Dienste in mehreren Mitgliedstaaten erbringt. Eine bußgeldbewährte Pflicht zur Benennung eines Vertreters enthält indes weder die NIS-2-RL noch das BSIG. Letzteres sanktioniert in § 65 Abs. 2 Nr. 8 BSIG nur einen Verstoß gegen § 34 Abs. 2 BSIG, wenn das BSI nicht richtig, vollständig oder rechtzeitig über Änderungen im Zusammenhang mit einem benannten (!) Vertreter unterrichtet wird.
Nach Art. 6 Nr. 34 NIS-2-RL kann der Vertreter eine in der EU niedergelassene natürliche oder juristische Person sein. Weitere Anforderungen, wie z.B. besondere Kenntnisse, gibt es nicht. Der Vertreter muss durch die Einrichtung lediglich ausdrücklich benannt werden und ist der zuständigen Behörde, z.B. nach § 34 Abs. 1 Nr. 3 und 4 BSIG im Rahmen der Registrierungspflicht für bestimmte Einrichtungsarten mit seinen Kontaktdaten zu melden. Aufgabe des Vertreters ist hauptsächlich die Funktion als Ansprechpartner für Behörden oder CSIRTs. Zudem ergibt sich aus ErwGr. 116 Satz 6 der NIS-2-RL, dass der Vertreter auch Sicherheitsvorfälle zu melden hat.
Im Hinblick auf die Haftung folgt aus Art. 26 Abs. 4 NIS-2-RL, dass die Einrichtung sich durch die Benennung eines Vertreters nicht von ihrer Haftung befreien kann. Denn der Vertreter tritt zusätzlich zu ihr auf. Dementsprechend kann der Vertreter auch nicht für Pflichtverletzungen der Einrichtung haften.
Fazit und Empfehlung
Die Figur des Vertreters wird nur dann relevant, wenn eine der oben genannten Einrichtungen keine Niederlassungen in der EU betreibt, dort jedoch ihre Dienste anbietet. Aufgrund der genannten Vorteile ist den oben genannten Einrichtungen die Benennung eines Vertreters zu empfehlen. Da die Figur des Vertreters, wenn auch mit teilweise unterschiedlichen Vorgaben, auch in anderen europäischen Digitalgesetzen, wie z.B. der DSGVO, der KI-VO oder den DSA, genannt wird, ist es grds. möglich, auch einen Vertreter für mehrere Digitalrechtsakte zu benennen.
News
Zuständigkeitswirrwarr: Übersicht zur Zuständigkeit für die Überwachung des Barrierefreiheitsstärkungsgesetzes (BFSG) bis zur Gründung der bundesweit zuständigen Marktüberwachungsbehörde
Seit dem 28. Juni 2025 gelten die Vorgaben des Barrierefreiheitsstärkungsgesetzes (BFSG). Ursprünglich war geplant, dass eine bundesweit zuständige Behörde die Überwachung des BFSG übernehmen soll. Die sogenannte Marktüberwachungsstelle der Länder für die Barrierefreiheit von Produkten und Dienstleistungen (MLBF) mit Sitz in Sachsen-Anhalt befindet sich aber noch „in Errichtung“. Auf dem Internetangebot des Landes Sachsen-Anhalt finden sich zur MLBF derzeit lediglich ein Postfach, eine E-Mail-Adresse und eine Telefonnummer (hier abrufbar). Vor diesem Hintergrund stellt sich die Frage, welche Behörden bis zur Errichtung der MLBF für die Überwachung des BFSG zuständig sind.
DSGVO-Bußgeldverfahren: Mehr Klarheit durch Musterrichtlinien der DSK
Am 16. Juni 2025 hat die Datenschutzkonferenz (DSK) ihre Musterrichtlinien für das Verfahren zur Verhängung von Geldbußen vorgestellt.
Die Landesdatenschutzbehörden planen nun, diese Richtlinien als Verwaltungsvorschriften zu erlassen. Damit werden sich die Aufsichtsbehörden selbst verpflichten, die Vorgaben in zukünftigen Bußgeldverfahren einzuhalten.
Erste Schritte zur Umsetzung der Barrierefreiheit auf Websites
In etwa einem Monat gelten die Anforderungen des Barrierefreiheitsstärkungsgesetz (BFSG) für viele Websites. Ab dem 29. Juni 2025 müssen die meisten Websites (und übrigens auch Apps) nicht nur barrierefrei sein, sondern auch eine Erklärung zur Barrierefreiheit enthalten.
In diesem Beitrag möchten wir Ihnen aufzeigen, welche Schritte Sie jetzt ergreifen können, um die Anforderungen des BFSG kurzfristig umzusetzen.
Datenschutzrechtliche Verantwortlichkeit von Behörden bei zentraler Bereitstellung von IT-Fachverfahren
Um Behörden die Bestimmung der datenschutzrechtlichen Verantwortlichkeit beim Einsatz von IT-Fachverfahren zu erleichtern, hat Philip Schweers in der aktuellen Ausgabe 05/2025 des Datenschutzberaters einen Beitrag veröffentlicht.
Den Beitrag können Sie hier kostenlos auf unserer Website als PDF abrufen.
Im Artikel beschreibt Herr Schweers ausführlich, wann aus Sicht des Europäischen Datenschutzausschusses und des Europäischen Gerichtshofs eine gemeinsame Verantwortlichkeit bei Beteiligung mehrerer öffentlicher Stellen in Betracht kommt. Auch für Datenschützer im Unternehmen kann der Beitrag interessant sein, da sich die Ausführungen im Grunde auch auf die Bereitstellung zentraler IT-Anwendungen im Konzern übertragen lassen.
Weiterer Fachaufsatz zum Training von KI-Modellen aus datenschutzrechtlicher Sicht
In der aktuellen Ausgabe 02/2025 (EuDIR 2025, 90) der Zeitschrift für Europäisches Daten- und Informationsrecht (EuDIR) wurde ein Beitrag von Dr. Carlo Piltz und Alexander Weiss mit dem Titel „Datenschutzrechtliche Rechtsgrundlagen für das Training von KI-Modellen“ veröffentlicht.
In dem Aufsatz wird aufgezeigt, welche datenschutzrechtlichen Erlaubnistatbestände aus der DSGVO in bestimmten Fallkonstellationen herangezogenen werden können, wenn KI-Modelle mit personenbezogenen Daten trainiert werden. Zudem werden auch Fragestellungen zur Zweckänderung (Art. 6 Abs. 4 DSGVO) und zur Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) erörtert.
Das Inhaltsverzeichnis der Zeitschrift können Sie hier als PDF aufrufen.
Zweitverwendung personenbezogener Daten in der Forschung: EDSB-Studie zeigt dringenden Handlungsbedarf
Ob Biobank, klinische Studie oder KI-gestützte Gesundheitsforschung: Die Wiederverwendung bereits erhobener personenbezogener Daten für neue wissenschaftliche Fragestellungen – die sogenannte Zweitverarbeitung, Zweitverwendung oder Zweitnutzung – ist aus der modernen Forschung nicht mehr wegzudenken. Sie verspricht Effizienz, Erkenntnisgewinn und gesellschaftlichen Mehrwert. Doch das datenschutzrechtliche Fundament für solche Projekte ist häufig eher unsicher.