News

NIS-2: Pflicht zur Benennung eines Vertreters für Einrichtungen im Drittland

Im Anwendungsbereich der NIS-2-Richtlinie (NIS-2-RL) kann es zu Situationen kommen, in denen Anbieter bestimmter NIS-2-relevanter Dienste, wie etwa ein Managed Service Provider, seinen Sitz ausschließlich in einem Drittland hat, jedoch Dienste innerhalb der EU anbietet. Der territoriale Anwendungsbereich ist nach Art. 2 Abs. 1 NIS-2-RL eröffnet, sobald ein Unternehmen einen Dienst in der EU erbringt oder dort Tätigkeiten ausübt. Art. 26 NIS-2-RL konkretisiert diesen Anwendungsbereich dahingehend, dass grundsätzlich der Mitgliedstaat und damit dessen jeweiliges Umsetzungsgesetz für eine Einrichtung anwendbar ist, in dem die Einrichtung niedergelassen ist. Hierzu haben wir bereits einen Beitrag verfasst.

Hat die Einrichtung jedoch keine Niederlassung in der EU, gilt nach Art. 26 Abs. 3 NIS-2-RL eine Sonderregelung, die wir bereits aus der DSGVO kennen: bestimmte Einrichtungen müssen einen Vertreter benennen, wenn sie in der EU-Dienste anbieten. Dies betrifft die folgenden in Art. 26 Abs. 1 lit. b NIS-2-RL genannten Einrichtungen:

  • DNS-Diensteanbieter;
  • TLD-Namenregister;
  • Einrichtungen, die Domänennamen-Registrierungsdienste erbringen;
  • Anbieter von Cloud-Computing-Diensten;
  • Anbieter von Rechenzentrumsdiensten;
  • Betreiber von Inhaltszustellnetzen;
  • Anbieter von verwalteten Diensten;
  • Anbieter von verwalteten Sicherheitsdiensten;
  • Anbieter von Online-Marktplätzen;
  • Anbieter von Online-Suchmaschinen;
  • Plattformen für Dienste sozialer Netzwerke.

Ein praktisches Beispiel wäre etwa ein Unternehmen welches z.B. den Betrieb der gesamten Arbeitsplatz IT anbietet (z.B. Softwareverteilung, Remote-Support und Fehlerbehebung) und damit als Managed Service Provider einzuordnen ist. Wenn dieses Unternehmen z.B. in Indien sitzt, seine Dienste für Unternehmen in der EU anbietet, dort jedoch keine Niederlassungen betreibt, greift die Vorgabe des Art. 26 Abs. 3 NIS-2-RL. Benennt eine der genannten und ausschließlich in einem Drittland niedergelassene Einrichtung keinen Vertreter, kann jeder Mitgliedstaat, in dem die Einrichtung Dienste erbringt, gegenüber die Einrichtung tätig werden. Dies ist für das betroffene Drittlandunternehmen vor allem deshalb nachteilig, da die NIS-2-RL nach Art. 5 NIS-2-RL nur eine Mindestharmonisierung vorschreibt und die einzelnen Mitgliedstaaten strengere Regelungen zur Gewährleistung eines höheren Cybersicherheitsniveaus festlegen können. Ohne die Benennung eines Vertreters müssten die oben genannten Einrichtungen dann sämtliche Umsetzungsrechtsakte der Mitgliedstaaten befolgen, in denen sie ihre Dienste erbringen. Insofern hat die Wahl des Vertreters den Vorteil, dass sich die Einrichtung das anwendbare mitgliedstaatliche Recht aussuchen kann, wenn sie ihre Dienste in mehreren Mitgliedstaaten erbringt. Eine bußgeldbewährte Pflicht zur Benennung eines Vertreters enthält indes weder die NIS-2-RL noch das BSIG. Letzteres sanktioniert in § 65 Abs. 2 Nr. 8 BSIG nur einen Verstoß gegen § 34 Abs. 2 BSIG, wenn das BSI nicht richtig, vollständig oder rechtzeitig über Änderungen im Zusammenhang mit einem benannten (!) Vertreter unterrichtet wird.

Nach Art. 6 Nr. 34 NIS-2-RL kann der Vertreter eine in der EU niedergelassene natürliche oder juristische Person sein. Weitere Anforderungen, wie z.B. besondere Kenntnisse, gibt es nicht. Der Vertreter muss durch die Einrichtung lediglich ausdrücklich benannt werden und ist der zuständigen Behörde, z.B. nach § 34 Abs. 1 Nr. 3 und 4 BSIG im Rahmen der Registrierungspflicht für bestimmte Einrichtungsarten mit seinen Kontaktdaten zu melden. Aufgabe des Vertreters ist hauptsächlich die Funktion als Ansprechpartner für Behörden oder CSIRTs. Zudem ergibt sich aus ErwGr. 116 Satz 6 der NIS-2-RL, dass der Vertreter auch Sicherheitsvorfälle zu melden hat.

Im Hinblick auf die Haftung folgt aus Art. 26 Abs. 4 NIS-2-RL, dass die Einrichtung sich durch die Benennung eines Vertreters nicht von ihrer Haftung befreien kann. Denn der Vertreter tritt zusätzlich zu ihr auf. Dementsprechend kann der Vertreter auch nicht für Pflichtverletzungen der Einrichtung haften.

Fazit und Empfehlung

Die Figur des Vertreters wird nur dann relevant, wenn eine der oben genannten Einrichtungen keine Niederlassungen in der EU betreibt, dort jedoch ihre Dienste anbietet. Aufgrund der genannten Vorteile ist den oben genannten Einrichtungen die Benennung eines Vertreters zu empfehlen. Da die Figur des Vertreters, wenn auch mit teilweise unterschiedlichen Vorgaben, auch in anderen europäischen Digitalgesetzen, wie z.B. der DSGVO, der KI-VO oder den DSA, genannt wird, ist es grds. möglich, auch einen Vertreter für mehrere Digitalrechtsakte zu benennen.

 

Rechtsanwalt, Senior Associate
Alexander Weiss
Rechtsanwalt, Senior Associate
Alexander Weiss

Zurück

News

Bundesverwaltungsgericht Österreich zum Cookie-Banner: Einfache Möglichkeit zum Ablehnen ist Pflicht

Das Österreichische Bundesverwaltungsgericht (BVwG) hat in einem Erkenntnis vom 31. Juli 2024 (Az. W108 2284491-1/15E) klargestellt, dass ein Cookie-Banner neben der Option Cookies und andere Technologien zu „akzeptieren“ auch eine optisch gleichwertige Option zum Ablehnen enthalten muss. Die Entscheidung ist aus mehreren Gründen bemerkenswert.

Neue Auszeichnungen für unsere Kanzlei!

Wir freuen uns sehr, dass Piltz Legal weitere Auszeichnungen u.a. im Bereich Datenschutzrecht erhalten hat.

Meldepflichten nach dem geplanten BSIG (Umsetzung NIS-2)

Als Umsetzung des Art. 23 Abs. 4 S. 1 NIS-2-Richtlinie finden sich in § 32 des Entwurfs zum Gesetz über das Bundesamt für Sicherheit in der Informationstechnik und über die Sicherheit in der Informationstechnik von Einrichtungen (BSIG-E) Ausführungen zu Meldepflichten für besonders wichtige Einrichtungen sowie wichtige Einrichtungen. Das BSIG-E ist Teil des Entwurfs zum Gesetz zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung.

Risikomanagementmaßnahmen besonders wichtiger und wichtiger Einrichtungen und Dokumentationsnachweis nach dem neuen BSIG

Das neue BSIG befindet sich auf der Zielgeraden des Gesetzgebungsverfahrens zur Umsetzung der NIS-2-Richtlinie. Im aktuellen Entwurf legt der dortige § 30 Abs. 1 Satz 1 BSIG fest, dass besonders wichtige und wichtige Einrichtungen verpflichtet sind, geeignete, verhältnismäßige und wirksame technische und organisatorische Maßnahmen (TOM) zu ergreifen, um u.a. Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der IT-Systeme und Auswirkungen von Sicherheitsvorfällen möglichst gering zu halten.

Barrierefreiheitsstärkungsgesetz (Teil 2) – Für welche Apps und Websites gilt das BFSG?

In Teil 1 unserer Beitragsreihe zum Barrierefreiheitsstärkungsgesetz (BFSG) haben wir uns bereits mit den allgemeinen Anforderungen des BFSG befasst. In Teil 2 geht es darum, für welche Apps und Websites das BFSG gilt.

Piltz Legal Whitepaper zur KI-Verordnung

Die KI-Verordnung, auch bekannt als Artificial Intelligence Act („AI Act“), ist kürzlich in Kraft getreten. Erstmalig wird damit ein harmonisierter Rechtsrahmen auf europäischer Ebene zum Einsatz von Künstlicher Intelligenz (KI) geschaffen. Die Verordnung gilt aufgrund ihrer Rechtsnatur bereits mit ihrem Inkrafttreten unmittelbar in allen Mitgliedstaaten, ohne dass ein weiterer Vollzugsakt notwendig wird.

weitere News anzeigen