NIS-Vertretung in der EU und im Vereinigten Königreich - Ist der 31. März ein Wendepunkt?
Alles begann mit der NIS-Richtlinie
Die Richtlinie über Netz- und Informationssysteme (EU 2016/1148 - NISD) zielt darauf ab, einen hohen Standard für die Sicherheit von Netzen und Informationssystemen in der Europäischen Union (einschließlich des Vereinigten Königreichs, wenn sie eingeführt wird) zu erreichen. Sie gilt für zwei Arten von Organisationen: Betreiber wesentlicher Dienste und Anbieter digitaler Dienste. Dieser Artikel konzentriert sich auf DSPs, da die jüngsten Änderungen für DSPs besonders relevant sind (um zu prüfen, ob Sie ein DSP sind, sehen Sie hier nach).
Aufgrund ihres rechtlichen Charakters unterscheidet sich die NIS-Richtlinie von der allgemeinen Datenschutzverordnung der EU, da sie in den EU-Mitgliedstaaten nicht direkt anwendbar ist. Sie musste in nationales Recht umgesetzt werden. Technisch gesehen sind 28 verschiedene NIS-Gesetze in Kraft. Wichtig ist, dass die NISD bzw. ihre Umsetzung in nationales Recht wie die DSGVO extraterritorial ist, was bedeutet, dass auch Unternehmen mit Sitz außerhalb der EU oder des Vereinigten Königreichs von diesen nationalen Gesetzen betroffen sein können. Die wichtigste Verpflichtung, die sich aus dem extraterritorialen Geltungsbereich ergibt, ist die Verpflichtung für Unternehmen mit Sitz außerhalb der EU/des Vereinigten Königreichs, einen NIS-Vertreter zu benennen.
Was ist ein Anbieter digitaler Dienste?
Ein Anbieter digitaler Dienste ist jede juristische Person, die einen digitalen Dienst anbietet. Allerdings unterliegen nicht alle digitalen Dienste der NIS, sondern nur bestimmte Dienste. Die folgenden Anbieter digitaler Dienstleistungen unterliegen der NIS.
Online-Marktplätze: Ein Online-Marktplatz ermöglicht es Verbrauchern und Händlern, online Kauf- oder Dienstleistungsverträge mit Händlern abzuschließen, und fungiert als Zielort für den Abschluss dieser Verträge. Anwendungsshops, die als Online-Shops den digitalen Vertrieb von Anwendungen oder Softwareprogrammen Dritter ermöglichen, werden als eine Art Online-Marktplatz verstanden. Nicht dazu gehören Online-Dienste, die nur als Vermittler zu Diensten Dritter dienen, über die letztlich ein Vertrag geschlossen werden kann.
Online-Suchmaschinen: Eine Online-Suchmaschine ermöglicht es dem Nutzer, auf der Grundlage einer Anfrage zu einem beliebigen Thema Websites zu durchsuchen. Suchfunktionen, die sich auf den Inhalt einer bestimmten Website beschränken, fallen nicht unter die NIS, auch wenn die Funktion von einer externen Suchmaschine bereitgestellt wird. Online-Dienste, die die Preise für bestimmte Produkte oder Dienstleistungen verschiedener Händler vergleichen und den Nutzer dann zum Kauf des Produkts an den bevorzugten Händler weiterleiten, fallen ebenfalls nicht unter die NIS.
Cloud-Computing-Dienste: Cloud-Computing-Dienste ermöglichen den Zugang zu einem skalierbaren und elastischen Pool gemeinsam genutzter Rechenressourcen, wie z. B. Netzwerke, Server oder andere Infrastrukturen, Speicher, Anwendungen und Dienste. Die NISD nennt drei Eigenschaften, die ein Cloud Computing-Dienst haben muss, um als Cloud-Dienst eingestuft zu werden:
- Skalierbare Ressourcen: Die Ressourcen können vom Anbieter von Cloud-Diensten unabhängig von ihrem geografischen Standort flexibel zugewiesen werden, um Nachfrageschwankungen auszugleichen.
- Elastischer Ressourcenpool: Computing-Ressourcen, die je nach Bedarf bereitgestellt und freigegeben werden, um die verfügbaren Ressourcen je nach Arbeitsbelastung zu erhöhen oder zu verringern.
- Gemeinsame Nutzung: Rechenressourcen werden mehreren Nutzern zur Verfügung gestellt, die gemeinsam auf den Dienst zugreifen, aber die Verarbeitung erfolgt für jeden Nutzer separat, obwohl sie von derselben elektronischen Ausrüstung aus erfolgt. Dazu gehören verschiedene Modelle wie IaaS (Infrastructure as a Service), PaaS (Platform as a Service) oder SaaS (Software as a Service).
Da die NISD darauf abzielt, das Sicherheitsniveau von Netzwerken und Informationssystemen zu verbessern, gilt sie für Unternehmen, die einen gewissen Einfluss auf diese Infrastruktur haben; kleine Unternehmen sind daher ausgenommen. Weder die EU-NISD und ihre nationalen Umsetzungen noch die NIS-Verordnung des Vereinigten Königreichs gelten für Unternehmen mit weniger als 50 Mitarbeitern und einem Jahresumsatz oder einer Jahresbilanz von weniger als 10 Millionen Euro.
Beurteilung, ob das Unternehmen Dienstleistungen innerhalb der EU oder des Vereinigten Königreichs anbietet
Wenn es darum geht, zu beurteilen, ob ein DSP seine Dienste auf einem bestimmten Markt anbietet, scheint die NISD einen ähnlichen Ansatz wie die GDPR zu verfolgen. Die Erwägungsgründe der NISD legen nahe, dass es offensichtlich sein muss, dass der DSP versucht, seine Dienste in einem oder mehreren Mitgliedstaaten in der EU anzubieten, oder mit anderen Worten, dass er nachweislich einen bestimmten Markt “aktiv anvisiert”. Was die NIS-Verordnung des Vereinigten Königreichs betrifft, wird man wahrscheinlich einen ähnlichen Ansatz verfolgen.
Wie beim Anwendungsbereich der Datenschutz-Grundverordnung reicht die bloße Zugänglichkeit einer Website oder die Verwendung einer in verschiedenen Ländern üblichen Sprache nicht aus, um die Absicht festzustellen, einen bestimmten Markt anzusprechen. Es gibt jedoch einige Kriterien, die auf solche Absichten hindeuten könnten:
- Verwendung einer Sprache oder einer Währung, die in einem oder mehreren Mitgliedstaaten oder im Vereinigten Königreich verwendet wird.
- Die Möglichkeit, Dienstleistungen in diesen Sprachen zu bestellen.
- Die Erwähnung von Kunden oder Nutzern, die sich in der EU oder im Vereinigten Königreich befinden.
Wir haben unsere SaaS-Lösung für die Vertretung im Vereinigten Königreich angepasst und können Ihnen unsere LegalTech-Dienstleistungen von unserem britischen Büro aus anbieten.
Auswirkungen des Brexit auf das Erfordernis eines Vertreters
Die NISD wurde durch die Network and Information System Regulations (NIS-Verordnung) in britisches Recht umgesetzt, als das Vereinigte Königreich noch Teil der Europäischen Union war. Der Brexit hat die Gültigkeit der NIS-Verordnung nicht beeinträchtigt; sie wurde jedoch geändert, um sie an eine Anwendung nur im Vereinigten Königreich anzupassen. Zunächst enthielt die NIS-Verordnung des Vereinigten Königreichs keine Verpflichtung zur Bestellung eines NIS-Vertreters. Mit den Brexit-Änderungen der NIS-Verordnung wurde diese Verpflichtung eingeführt. Nach den neuen Vorschriften müssen Unternehmen, die nicht im Vereinigten Königreich ansässig sind, einen Vertreter im Vereinigten Königreich bestellen, wenn:
- Sie sind ein Anbieter digitaler Dienstleistungen (Online-Marktplatz, Online-Suchmaschine oder Cloud-Computing-Dienst).
- Ihr Hauptsitz befindet sich nicht im Vereinigten Königreich.
- Sie bieten Dienstleistungen im Vereinigten Königreich an Die Verpflichtung zur Ernennung eines Vertreters im Vereinigten Königreich, auch wenn das Unternehmen eine Zweigstelle im Vereinigten Königreich hat, die nicht sein Hauptsitz ist, ist vielleicht der bedeutendste und einschneidendste Unterschied zwischen dem Ansatz der NIS-Verordnung und der Datenschutz-Grundverordnung bei der Ernennung eines Vertreters. Wenn all dies zutrifft, gilt ein Unternehmen nach britischem Recht als Anbieter digitaler Dienstleistungen und muss folglich die NIS-Verordnungen des Vereinigten Königreichs einhalten. Das bedeutet, dass sie vor dem Stichtag 31. März einen Vertreter bestellt haben sollten. Darüber hinaus sollten DSPs über angemessene und verhältnismäßige Sicherheitsmaßnahmen verfügen, um Risiken für das Netzwerk und die Informationssysteme, die ihre Dienste unterstützen, zu handhaben. Sie müssen das U.K. Information Commissioner’s Office über Vorfälle informieren, die sich wesentlich auf die Erbringung ihrer Dienste auswirken. Es muss hervorgehoben werden, dass die NIS-Verordnung des Vereinigten Königreichs nicht das kleine Geschwisterchen der GDPR ist, sondern ein gleichberechtigter Partner, wenn es um die Geldbußen geht, die bei Nichteinhaltung vorgesehen sind. Nach der NIS-Verordnung des Vereinigten Königreichs kann das ICO (als zuständige Behörde) in den schwerwiegendsten Fällen Geldbußen von bis zu 17 Millionen Pfund verhängen - ähnlich wie die in der GDPR vorgesehenen Geldbußen.
NIS-Vertretung in der EU
Art. 18 (2) NISD verpflichtet die Mitgliedstaaten, nationale Maßnahmen zu ergreifen, die außerhalb der Europäischen Union niedergelassene DSPs, die ihre Dienste in der EU anbieten, dazu verpflichten, einen europäischen Vertreter zu benennen, was der Verpflichtung nach Art. 27 GDPR. Allerdings wurde diese Verpflichtung in den einzelnen Mitgliedstaaten unterschiedlich umgesetzt. Einige - darunter auch das Vereinigte Königreich - haben diese Verpflichtung zunächst gar nicht umgesetzt.
Gilt aber die Frist des 31. März für die Bestellung eines britischen Vertreters auch für die Bestellung eines europäischen Vertreters? Die Antwort lautet nein, denn die Frist ist spezifisch für das Vereinigte Königreich, was darauf zurückzuführen ist, dass das Vereinigte Königreich seine Vertretungspflicht erst mit den Brexit-Änderungen übernommen hat, die vor kurzem eingeführt wurden. Die Änderungen der britischen NIS-Verordnung sehen einen dreimonatigen Zeitrahmen für die Bestellung eines Vertreters vor, der mit Inkrafttreten der Änderungen am 1. Januar 2021 begann.
Was Unternehmen jetzt tun sollten
Der Brexit hat bestimmte Auswirkungen auf DSPs, die vor dem Hintergrund der obigen Ausführungen sorgfältig geprüft werden sollten. Das Hauptproblem ist, dass es nun zwei rechtliche Rahmen gibt, die Unternehmen dazu verpflichten könnten, einen NIS-Vertreter zu ernennen. Diese Rahmen gelten für:
- DSPs, die ihren Hauptsitz nicht im Vereinigten Königreich haben, also Unternehmen innerhalb oder außerhalb der EU;
- DSPs im Vereinigten Königreich und einschlägige Anbieter digitaler Dienste ohne Niederlassung in der EU;
- DSPs ohne Hauptsitz im Vereinigten Königreich und ohne Niederlassung in der EU. Wir haben eine ausführliche FAQ zu den Anforderungen an NIS-Vertreter erstellt. Unternehmen, die einen NIS-Vertreter in der EU oder im Vereinigten Königreich oder beide benötigen, brauchen höchstwahrscheinlich einen Arti. 27 (U.K.) GDPR-Vertreter. Der NIS-Vertreter kann mit dem GDPR-Vertreter identisch sein, so dass es möglich ist, ein und dieselbe Person oder Einrichtung als GDPR- und NIS-Vertreter einzusetzen, was wahrscheinlich die einfachste und günstigste Option ist, insbesondere wenn es um Datenschutzverletzungen geht. Die Wahl des europäischen Vertreters hat Auswirkungen auf die Rechtsprechung, die auf den DSP anzuwenden ist, da sie der Rechtsprechung des Mitgliedstaates unterliegt, in dem der Vertreter niedergelassen ist. Der DSP muss das nationale NIS-Gesetz einhalten, das u. a. die Umsetzung technischer und organisatorischer Maßnahmen zur Bewältigung von Risiken für die Sicherheit von Netz- und Informationssystemen sowie Meldepflichten im Falle von Vorfällen mit erheblichen Auswirkungen auf die Erbringung seiner Dienstleistung vorsieht.