Rechtsanalyse · Vergleichende Übersicht

EU-Vertreterpflichten im Vergleich: DSGVO, DSA, KI-VO und NIS2

Vier Unionsrechtsakte verpflichten bestimmte Nicht-EU-Unternehmen, einen Vertreter in der Union zu benennen: Art. 27 DSGVO, Art. 13 DSA, Art. 22 und 54 KI-VO sowie Art. 26 Abs. 3 NIS2. Die Architektur ist gemeinsam. Tatbestände, Aufgabenkataloge, Haftungsprofile und Fristen unterscheiden sich. Dieser Beitrag vergleicht sie.

Veröffentlicht 15. Juli 2026
Lesezeit 11 Minuten
Autor Theo Funk, Rechtsanwalt
Gegenstand Art. 27 DSGVO · Art. 13 DSA · Art. 22/54 KI-VO · Art. 26 Abs. 3 NIS2

Ein außerhalb der Europäischen Union niedergelassenes Unternehmen, das den EU-Markt erreicht, kann bis zu vier parallelen Pflichten unterliegen, einen Vertreter in der Union zu benennen. Die Datenschutz-Grundverordnung, das Gesetz über digitale Dienste (DSA), die KI-Verordnung und die NIS2-Richtlinie enthalten jeweils eine solche Pflicht, und jede antwortet auf dasselbe strukturelle Problem: Ein Anbieter, der auf dem Unionsmarkt aktiv ist, ohne dort niedergelassen zu sein, steht formal außerhalb des unmittelbaren Zugriffs der mit der Durchsetzung betrauten Behörden. Die legislative Antwort wiederholt sich in allen vier Rechtsakten — ein benannter, adressierbarer Anlaufpunkt innerhalb der Union. Unterhalb dieser gemeinsamen Architektur unterscheiden sich die vier Pflichten jedoch darin, wer erfasst ist, was der Vertreter zu tun hat, wer welche Haftung trägt, wie die Benennung sichtbar wird und ab wann jede Pflicht gilt. Dieser Beitrag vergleicht sie entlang dieser Achsen.

Kernaussagen
  • Art. 27 DSGVO, Art. 13 DSA, Art. 22 und 54 KI-VO sowie Art. 26 Abs. 3 NIS2 begründen vier rechtlich getrennte Benennungspflichten — jede mit eigenem Tatbestand, eigenem schriftlichem Mandat und eigenem Aufgabenkatalog. Die Erfüllung der einen belegt nicht die Erfüllung der anderen.
  • Beim Haftungsprofil ist der DSA der Ausreißer: Art. 13 Abs. 3 DSA lässt es ausdrücklich zu, den Rechtsvertreter selbst für Verstöße des Anbieters in Anspruch zu nehmen. Eine vergleichbare Klausel kennen DSGVO, KI-VO und NIS2 nicht — wobei der DSGVO-Vertreter Gegenstand von Durchsetzungsverfahren sein kann und der KI-VO-Bevollmächtigte für Verstöße gegen seine eigenen Pflichten bußgeldbewehrt ist.
  • Die Sitzanforderungen divergieren und wirken zuständigkeitsprägend: Der DSGVO-Vertreter muss dort sitzen, wo die betroffenen Personen sind; DSA- und NIS2-Vertreter in einem Mitgliedstaat, in dem Dienste angeboten werden — ihr Sitz fixiert den zuständigen Aufsichts-Mitgliedstaat; der KI-VO-Bevollmächtigte kann überall in der Union sitzen.
  • Die zeitliche Geltung ist gestaffelt: DSGVO seit 25. Mai 2018, DSA vollständig seit 17. Februar 2024, NIS2 über nationale Umsetzung seit 18. Oktober 2024, KI-VO in Stufen — Art. 54 (GPAI-Modelle) seit 2. August 2025, Art. 22 (Hochrisiko-Systeme) ab 2. August 2026, die Einstufungsregel des Art. 6 Abs. 1 ab 2. August 2027.
  • Eine geeignet ausgestattete EU-Einheit kann grundsätzlich mehrere dieser Rollen zugleich halten; jede Rolle verlangt jedoch ein eigenes schriftliches Mandat. Ein undifferenziertes Sammel-Instrument „EU-Vertretung" würde die Rechtslage unter jedem der vier Regime verfehlen.

Vertiefung: Dieser Beitrag vergleicht alle vier Regime systematisch nebeneinander. Eine vertiefte Haftungsanalyse der drei parallelen Vertreterpflichten aus DSA, DSGVO und KI-VO — einschließlich der dogmatischen Diskussion um Art. 13 Abs. 3 DSA — bietet der Beitrag The EU Representative: Parallel Duties Under DSA, GDPR and AI Act (englisch).

§ IWer benennen muss: vier Tatbestände nebeneinander

Die vier Pflichten knüpfen an vier verschiedene Sachverhaltsmuster an; die Prüfung muss für jeden Anbieter alle vier gesondert durchlaufen.

Art. 27 DSGVO erfasst Verantwortliche und Auftragsverarbeiter ohne Niederlassung in der Union, deren Verarbeitung unter Art. 3 Abs. 2 DSGVO fällt — also Verarbeitungen im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an betroffene Personen in der Union, unabhängig von einer Zahlung, oder mit der Beobachtung ihres Verhaltens, soweit es in der Union erfolgt.1 Die Pflicht steht unter einer ausdrücklichen Ausnahme: Kein Vertreter ist erforderlich, wenn die Verarbeitung gelegentlich erfolgt, nicht in großem Umfang besondere Datenkategorien nach Art. 9 oder Daten über strafrechtliche Verurteilungen nach Art. 10 einschließt und voraussichtlich kein Risiko für die Rechte und Freiheiten natürlicher Personen birgt — drei kumulative Voraussetzungen — oder wenn es sich um eine Behörde oder öffentliche Stelle handelt.2

Art. 13 DSA erfasst Anbieter von Vermittlungsdiensten — reine Durchleitung, Caching und Hosting im Sinne des Art. 3 lit. g DSA —, die keine Niederlassung in der Union haben, aber Dienste in der Union anbieten. Das „Anbieten von Diensten in der Union" setzt eine wesentliche Verbindung zur Union voraus, die Art. 3 lit. e DSA über eine Niederlassung, eine erhebliche Zahl von Nutzern in einem oder mehreren Mitgliedstaaten oder die Ausrichtung von Tätigkeiten auf mindestens einen Mitgliedstaat definiert. Eine De-minimis-Ausnahme nach dem Vorbild des Art. 27 Abs. 2 DSGVO existiert nicht: kein Nutzer-Schwellenwert, keine Umsatzgrenze, keine Gelegenheits-Ausnahme.3

Art. 22 und 54 KI-VO verteilen die Pflicht auf zwei Anbieterklassen. Nach Art. 22 Abs. 1 muss ein in einem Drittland niedergelassener Anbieter vor der Bereitstellung eines Hochrisiko-KI-Systems auf dem Unionsmarkt schriftlich einen in der Union niedergelassenen Bevollmächtigten benennen. Nach Art. 54 Abs. 1 gilt dieselbe Pflicht für Drittland-Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) vor dem Inverkehrbringen eines solchen Modells. Art. 54 Abs. 6 nimmt Anbieter von GPAI-Modellen aus, die unter einer freien und quelloffenen Lizenz veröffentlicht werden — mit öffentlich zugänglichen Parametern, Gewichten, Architektur- und Nutzungsinformationen —, es sei denn, das Modell birgt systemische Risiken.4

Art. 26 Abs. 3 NIS2 knüpft an eine geschlossene Liste von Einrichtungsarten aus Art. 26 Abs. 1 lit. b der Richtlinie an: DNS-Diensteanbieter, TLD-Namenregister, Erbringer von Domänennamen-Registrierungsdiensten, Anbieter von Cloud-Computing-Diensten, Rechenzentrumsdiensten, Netzwerken zur Bereitstellung von Inhalten (CDN), verwalteten Diensten und verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen und Plattformen für Dienste sozialer Netzwerke. Ist eine solche Einrichtung nicht in der Union niedergelassen, bietet dort aber Dienste an, muss sie einen Vertreter in der Union benennen, der in einem der Mitgliedstaaten niedergelassen ist, in denen die Dienste angeboten werden.5 Aus dem Rechtsakt-Typ folgen zwei strukturelle Besonderheiten: NIS2 ist eine Richtlinie, die Pflicht erreicht die Einrichtung also über die nationale Umsetzung; und der Tatbestand ist kategorial — eine Einrichtung außerhalb der Liste des Art. 26 Abs. 1 lit. b ist nicht erfasst, wie groß ihre Unionspräsenz auch sein mag.

Art. 27
DSGVO: Nicht-EU-Verantwortliche und -Auftragsverarbeiter im Anwendungsbereich des Art. 3 Abs. 2, vorbehaltlich der Gelegenheits-Ausnahme
Art. 13
DSA: Nicht-EU-Anbieter von Vermittlungsdiensten mit Angebot in der Union — ohne De-minimis-Schwelle
Art. 22 · 54
KI-VO: Drittland-Anbieter von Hochrisiko-KI-Systemen und GPAI-Modellen, mit Open-Source-Ausnahme unterhalb des systemischen Risikos
Art. 26 Abs. 3
NIS2: geschlossene Liste von Digital-Infrastruktur- und Digital-Anbieter-Kategorien mit Diensteangebot in der Union

§ IIAufgabenprofile: wozu jeder Vertreter mandatiert ist

Der DSGVO-Vertreter ist beauftragt, zusätzlich zu dem Verantwortlichen oder Auftragsverarbeiter oder an dessen Stelle von Aufsichtsbehörden und von betroffenen Personen in allen Fragen im Zusammenhang mit der Verarbeitung angesprochen zu werden (Art. 27 Abs. 4 DSGVO). Diese privatgerichtete Dimension ist unter den vier Regimen einzigartig: Eine betroffene Person in der Union kann sich unmittelbar an den Vertreter wenden. Der Vertreter führt zudem, soweit einschlägig, das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 Abs. 1 DSGVO), und seine Identität gehört in die Transparenzinformationen nach Art. 13 Abs. 1 lit. a und Art. 14 Abs. 1 lit. a DSGVO.6

Der DSA-Rechtsvertreter trägt das breiteste Mandat: Er muss bevollmächtigt sein, von den zuständigen Behörden der Mitgliedstaaten, der Kommission und dem Europäischen Gremium für digitale Dienste in allen Fragen angesprochen zu werden, die für die Entgegennahme, Befolgung und Durchsetzung von Entscheidungen im Zusammenhang mit der Verordnung erforderlich sind (Art. 13 Abs. 2 DSA). Der Anbieter muss dem Vertreter die erforderlichen Befugnisse und ausreichende Ressourcen einräumen, um eine effiziente und rechtzeitige Zusammenarbeit zu gewährleisten — eine gesetzliche Ausstattungsanforderung, die die anderen Regime so nicht ausbuchstabieren.7

Der Bevollmächtigte nach der KI-VO trägt einen dokumentationszentrierten, produktsicherheitsrechtlich präzise gefassten Katalog. Für Hochrisiko-Systeme (Art. 22 Abs. 3): prüfen, dass EU-Konformitätserklärung und technische Dokumentation erstellt wurden und das Konformitätsbewertungsverfahren durchgeführt wurde; die Dokumentation zehn Jahre für die zuständigen Behörden bereithalten; auf begründetes Verlangen Informationen liefern; mit den Behörden zusammenarbeiten; und die Registrierungspflichten nach Art. 49 erfüllen. Für GPAI-Modelle (Art. 54 Abs. 3) kreist der Katalog um die technische Dokumentation nach Anhang XI und die Anbieterpflichten aus Art. 53 und — bei Modellen mit systemischem Risiko — Art. 55, mit dem Büro für Künstliche Intelligenz als zentralem Gegenüber. Beide Varianten enthalten eine Pflicht, die es sonst nirgends im Vergleich gibt: Der Bevollmächtigte muss das Mandat beenden und die zuständige Behörde — bei GPAI-Modellen das KI-Büro — informieren, wenn er der Auffassung ist oder Grund zu der Annahme hat, dass der Anbieter gegen seine Pflichten verstößt (Art. 22 Abs. 4, Art. 54 Abs. 5).8

Der NIS2-Vertreter hat das schmalste gesetzliche Profil der vier. Art. 26 Abs. 3 definiert die Rolle über ihre Zuständigkeitsfolge — die Einrichtung gilt als der gerichtlichen Zuständigkeit des Mitgliedstaats unterliegend, in dem der Vertreter niedergelassen ist — und nicht über einen Aufgabenkatalog. Der operative Gehalt der Rolle ergibt sich daher aus dem nationalen Umsetzungsrecht und den umliegenden Pflichten der Richtlinie: den nach Art. 27 zu übermittelnden Registrierungsdaten, der Zusammenarbeit mit den zuständigen Behörden und CSIRTs sowie den Melde­pflichten der Einrichtung bei Sicherheitsvorfällen nach Art. 23, für die der Vertreter als adressierbare Unionspräsenz fungiert.9

§ IIIHaftung und Durchsetzung: wo sich die Regime am deutlichsten trennen

Die DSA-Besonderheit: Eigenhaftung des Vertreters, Art. 13 Abs. 3

Art. 13 Abs. 3 DSA (Regelungsgehalt)

Der benannte Rechtsvertreter muss für die Nichteinhaltung der Verpflichtungen aus dieser Verordnung haftbar gemacht werden können — unbeschadet der Haftung des Anbieters von Vermittlungsdiensten und der rechtlichen Schritte, die gegen diesen eingeleitet werden könnten.

Art. 13 Abs. 3 DSA ist die Ausnahmevorschrift des Vergleichs: Sie lässt es ausdrücklich zu, den Rechtsvertreter aus eigenem Recht für Verstöße des Anbieters gegen die Verordnung in Anspruch zu nehmen — zusätzlich zur, nicht anstelle der Haftung des Anbieters. Keines der drei anderen Regime enthält eine vergleichbare Klausel.10 Der DSA fügt einen zuständigkeitsrechtlichen Hebel hinzu: Nach Art. 56 Abs. 6 DSA stellt der Mitgliedstaat, in dem der Rechtsvertreter wohnt oder niedergelassen ist, den zuständigen Koordinator für digitale Dienste; wurde kein Vertreter benannt, macht Art. 56 Abs. 7 alle Koordinatoren der Mitgliedstaaten zuständig, und die unterlassene Benennung ist selbst ein Verstoß, der den nach Art. 52 DSA erlassenen nationalen Sanktionsregeln unterliegt.

Die DSGVO-Position ist enger und teilweise umstritten. Erwägungsgrund 80 hält fest, dass der benannte Vertreter bei Verstößen des Verantwortlichen oder Auftragsverarbeiters Gegenstand von Durchsetzungsverfahren sein sollte; der Vertreter ist ein Zurechnungspunkt, kein Briefkasten. Ob Geldbußen nach Art. 83 DSGVO für Verstöße des Anbieters gegen den Vertreter gerichtet werden können, ist in der Literatur umstritten und in der nationalen Praxis unterschiedlich beantwortet worden; gesichert ist, dass die Benennung rechtliche Schritte gegen den Verantwortlichen oder Auftragsverarbeiter selbst unberührt lässt.11

Der KI-VO-Bevollmächtigte steht nicht für die materiellen Verstöße des Anbieters ein, doch sein eigener Aufgabenkatalog ist bußgeldbewehrt: Art. 99 Abs. 4 lit. b KI-VO knüpft Geldbußen an die Nichteinhaltung der eigenen Pflichten des Bevollmächtigten aus Art. 22. Zusammen mit der Beendigungs- und Meldepflicht macht die KI-VO ihren Bevollmächtigten zu einem aktiv beaufsichtigten Compliance-Knoten statt zu einer passiven Kontaktstelle.

Unter NIS2 trifft den Vertreter selbst keine ausdrückliche Haftungsvorschrift. Die Durchsetzungsinstrumente der Richtlinie — Aufsichtsmaßnahmen und Geldbußen nach Art. 32 bis 34, angewandt über nationales Recht — richten sich an die wesentliche oder wichtige Einrichtung. Art. 26 Abs. 4 stellt klar, dass die Benennung eines Vertreters rechtliche Schritte gegen die Einrichtung selbst unberührt lässt, und der letzte Satz des Art. 26 Abs. 3 liefert die Sanktion der Unterlassung: Ohne benannten Vertreter kann jeder Mitgliedstaat, in dem die Einrichtung Dienste erbringt, rechtliche Schritte wegen Verstößen gegen die Richtlinie einleiten — eine dezentrale Exposition, funktional dem Szenario des Art. 56 Abs. 7 DSA vergleichbar.12

„Drei der vier Regime disziplinieren den Anbieter über den Vertreter. Nur der DSA diszipliniert auch den Vertreter für den Anbieter."

§ IVRegistrierungs- und Notifikationswege

Wie die Benennung für Behörden und Öffentlichkeit sichtbar wird, unterscheidet sich deutlich.

  • DSGVO: kein Register, keine Meldung an eine Aufsichtsbehörde. Die Benennung muss schriftlich erfolgen und wird über die Dokumentation sichtbar: Identität und Kontaktdaten des Vertreters gehören in die Transparenzinformationen nach Art. 13/14 an die betroffenen Personen und in das Verzeichnis nach Art. 30.
  • DSA: Art. 13 Abs. 4 verpflichtet den Anbieter, Name, Postanschrift, E-Mail-Adresse und Telefonnummer des Rechtsvertreters dem Koordinator für digitale Dienste des Sitz-Mitgliedstaats des Vertreters mitzuteilen und diese Angaben öffentlich, leicht zugänglich, richtig und aktuell zu halten — praktisch auf der Website des Anbieters.
  • KI-VO: Für Hochrisiko-Systeme des Anhangs III führt die Registrierungspflicht des Art. 49 in die nach Art. 71 errichtete EU-Datenbank; die Einhaltung der Registrierungspflichten gehört zum geprüften Katalog des Bevollmächtigten nach Art. 22 Abs. 3. Für GPAI-Modelle gibt es keine Datenbank-Registrierung; der Bevollmächtigte fungiert als dokumentierte Kontaktstelle gegenüber dem KI-Büro.
  • NIS2: Art. 27 verpflichtet die dort — deckungsgleich mit Art. 26 Abs. 1 lit. b — gelisteten Einrichtungsarten, Name, Anschrift, Kontaktdaten, die Mitgliedstaaten der Diensterbringung und ihre IP-Bereiche an die zuständige Behörde zu übermitteln, die die Daten für ein unionsweites Register an die ENISA weiterleitet; die Erstmeldungen waren bis zum 17. Januar 2025 fällig, die Angaben sind aktuell zu halten.13

Hinter diesen Unterschieden steht ein gemeinsamer Befund: Unter keinem der vier Regime begründet die Benennung eines Vertreters eine Niederlassung des Anbieters in der Union. Der DSA sagt dies in Art. 13 Abs. 5 ausdrücklich; für DSGVO, KI-VO und NIS2 folgt dasselbe Ergebnis aus der Systematik des jeweiligen Rechtsakts — der Vertreter schafft Adressierbarkeit und, unter DSA und NIS2, Aufsichtszuständigkeit, aber keine Niederlassung.14

§ VZeitliche Geltung: vier Uhren, eine davon gestuft

Die vier Pflichten sind nicht gleichzeitig in Kraft getreten, und eine von ihnen befindet sich noch in der Einführungsphase.

  • DSGVO: Art. 27 gilt seit dem 25. Mai 2018 (Art. 99 Abs. 2 DSGVO).
  • DSA: Die Verordnung gilt vollständig seit dem 17. Februar 2024 (Art. 93 Abs. 2 DSA); für benannte sehr große Online-Plattformen und -Suchmaschinen begannen die Pflichten bereits vier Monate nach ihrer Benennung im Jahr 2023.
  • NIS2: Die Mitgliedstaaten mussten die Richtlinie bis zum 17. Oktober 2024 umsetzen und die Umsetzungsvorschriften ab dem 18. Oktober 2024 anwenden (Art. 41 NIS2); mehrere Mitgliedstaaten haben die Umsetzung erst nach diesem Termin abgeschlossen, sodass im Einzelfall das jeweils geltende nationale Recht zu prüfen ist.
  • KI-VO: Der Zeitplan ist durch Art. 113 gestuft. Die Verordnung ist am 1. August 2024 in Kraft getreten. Die Kapitel I und II (einschließlich der Verbote) gelten seit dem 2. Februar 2025. Die GPAI-Vorschriften des Kapitels V — einschließlich der Bevollmächtigten-Pflicht des Art. 54 — gelten seit dem 2. August 2025. Die Verordnung gilt allgemein, einschließlich Art. 22 für Hochrisiko-KI-Systeme, ab dem 2. August 2026. Die Einstufungsregel des Art. 6 Abs. 1 für Hochrisiko-Systeme, die in Produktvorschriften des Anhangs I eingebettet sind, folgt mit den korrespondierenden Pflichten ab dem 2. August 2027.15

Für die KI-VO-Planung ist die Reihenfolge praktisch bedeutsam: Ein Drittland-Anbieter von GPAI-Modellen unterliegt der Pflicht des Art. 54 bereits seit August 2025, während die Pflicht des Art. 22 für Hochrisiko-Systeme im August 2026 operativ wird — und Voraussetzung des rechtmäßigen Marktzugangs ist, da die Benennung der Bereitstellung des Systems vorausgehen muss. Auf Unionsebene wurden zum Zeitpunkt der Abfassung Gesetzgebungsvorschläge zur Anpassung von Teilen des KI-VO-Zeitplans diskutiert; bis zur Verabschiedung einer solchen Änderung gelten die Daten des Art. 113.

§ VIKumulation: ein Anbieter, mehrere Pflichten — eine Einheit, mehrere Rollen?

Die vier Tatbestände überlappen leicht. Ein Drittland-Anbieter, der einen Online-Marktplatz betreibt, verarbeitet in großem Umfang personenbezogene Daten von Unionsnutzern (Art. 27 DSGVO), erbringt einen Hosting-Vermittlungsdienst (Art. 13 DSA) und gehört zur Kategorie „Online-Marktplätze" des Art. 26 Abs. 1 lit. b NIS2 (Art. 26 Abs. 3 NIS2); bringt er zusätzlich ein GPAI-Modell in der Union in Verkehr oder stellt ein Hochrisiko-KI-System bereit, treten Art. 54 oder Art. 22 KI-VO hinzu. Jede Pflicht ist gesondert zu prüfen und zu erfüllen; keine absorbiert eine andere, und die Regime kennen keine gegenseitige Anerkennung.

Darf dieselbe Unionseinheit mehrere der Rollen halten? Keiner der vier Rechtsakte verbietet es, und die konsolidierte Wahrnehmung ist verbreitete Praxis. Drei Randbedingungen prägen die Ausgestaltung:

  • Sitz-Kompatibilität. Der DSGVO-Vertreter muss in einem Mitgliedstaat niedergelassen sein, in dem sich die betroffenen Personen befinden (Art. 27 Abs. 3); der DSA-Vertreter in einem Mitgliedstaat, in dem der Anbieter seine Dienste anbietet; der NIS2-Vertreter in einem Mitgliedstaat, in dem die Dienste angeboten werden. Der KI-VO-Bevollmächtigte kann überall in der Union niedergelassen sein. Für einen in Deutschland aktiven Anbieter kann eine deutsche Vertreter-Einheit alle vier Sitzregeln zugleich erfüllen — und weil DSA und NIS2 die Aufsichtszuständigkeit an den Sitz des Vertreters knüpfen, konzentriert die Wahl die Aufsicht in einem Mitgliedstaat.
  • Getrennte Mandate. Jede Rolle beruht auf einer eigenen schriftlichen Benennung mit eigenem gesetzlichem Aufgabenkatalog: Das DSGVO-Mandat schließt die Adressierbarkeit durch betroffene Personen ein; das DSA-Mandat umfasst Entgegennahme, Befolgung und Durchsetzung von Entscheidungen und verlangt Befugnisse und Ressourcen; das KI-VO-Mandat ist dokumentations- und prüfungszentriert und enthält die Beendigungspflicht; die NIS2-Rolle verankert Zuständigkeit und Registrierung. Ein einziges undifferenziertes Instrument über „EU-Vertretung" hinweg würde die Rechtslage unter jedem der Regime verfehlen.
  • Divergierende Risikopositionen. Wer die DSA-Rolle übernimmt, akzeptiert die mögliche Eigenhaftung nach Art. 13 Abs. 3; wer die KI-VO-Rolle übernimmt, akzeptiert bußgeldbewehrte eigene Pflichten samt der Obliegenheit, sich zu lösen und die Behörden zu informieren; die DSGVO-Rolle importiert mögliche Durchsetzungsverfahren. Sorgfältige Parteien bilden diese Asymmetrien in der Vertragsarchitektur ab — Mandatsumfang, Informationsflüsse, Freistellungen — statt die vier Rollen als eine zu behandeln.

§ VIIDie vier Regime im Überblick

Vergleich — EU-Vertreterpflichten unter DSGVO, DSA, KI-VO und NIS2
Kriterium DSGVO — Art. 27 DSA — Art. 13 KI-VO — Art. 22/54 NIS2 — Art. 26 Abs. 3
Rechtsakt Verordnung (EU) 2016/679 Verordnung (EU) 2022/2065 Verordnung (EU) 2024/1689 Richtlinie (EU) 2022/2555 (nationale Umsetzung)
Wer benennt Nicht-EU-Verantwortliche/-Auftragsverarbeiter im Bereich des Art. 3 Abs. 2; Ausnahme Art. 27 Abs. 2 Nicht-EU-Anbieter von Vermittlungsdiensten mit Angebot in der Union Drittland-Anbieter von Hochrisiko-KI-Systemen (Art. 22) und GPAI-Modellen (Art. 54); Open-Source-Ausnahme Art. 54 Abs. 6 Nicht-EU-Einrichtungen der Kategorien des Art. 26 Abs. 1 lit. b mit Diensteangebot in der Union
Adressaten Aufsichtsbehörden und betroffene Personen Behörden der Mitgliedstaaten, Kommission, Gremium Marktüberwachungsbehörden; KI-Büro (GPAI) Zuständige Behörden/CSIRTs des Zuständigkeits-Mitgliedstaats
Kernaufgaben Adressierbarkeit in allen Verarbeitungsfragen; Verzeichnis nach Art. 30 Entgegennahme, Befolgung und Durchsetzung von Entscheidungen; Befugnisse und Ressourcen erforderlich Prüfung der Konformitätsdokumentation; 10-jährige Bereithaltung; Kooperation; Registrierung; Beendigungspflicht Unionspräsenz mit Zuständigkeitsanker; Registrierung und vorfallbezogene Kooperation über nationales Recht
Eigenhaftung des Vertreters Durchsetzungsverfahren möglich (EG 80); Bußgeld-Reichweite umstritten Ausdrückliche Eigenhaftung, Art. 13 Abs. 3 Geldbußen für Verstöße gegen eigene Pflichten, Art. 99 Abs. 4 lit. b Keine ausdrückliche Regelung; Durchsetzung richtet sich an die Einrichtung
Folge der Unterlassung Verstoß; Durchsetzung gegen Verantwortlichen/Auftragsverarbeiter Verstoß (Art. 52); alle 27 Koordinatoren zuständig, Art. 56 Abs. 7 Marktzugang für System/Modell gesperrt; Geldbußen Jeder Mitgliedstaat der Diensterbringung kann rechtliche Schritte einleiten, Art. 26 Abs. 3
Sitz des Vertreters Mitgliedstaat, in dem sich die betroffenen Personen befinden (Art. 27 Abs. 3) Mitgliedstaat, in dem der Anbieter Dienste anbietet; Sitz fixiert den zuständigen Koordinator (Art. 56 Abs. 6) Überall in der Union Mitgliedstaat des Diensteangebots; Sitz fixiert die Zuständigkeit
Registrierung / Publizität Kein Register; Informationen nach Art. 13/14, Verzeichnis nach Art. 30 Meldung an den Koordinator; öffentliche Kontaktdaten (Art. 13 Abs. 4) EU-Datenbank für Anhang-III-Hochrisiko-Systeme (Art. 49, 71); Kontaktstelle zum KI-Büro bei GPAI ENISA-Register über die nationale Behörde (Art. 27)
Geltung seit 25. Mai 2018 17. Februar 2024 (vollständig) Art. 54: 2. August 2025 · Art. 22: 2. August 2026 · Art. 6 Abs. 1: 2. August 2027 18. Oktober 2024 über nationale Umsetzung

Die Tabelle verdichtet; sie entscheidet nicht. Ob ein konkreter Anbieter von einer, mehreren oder keiner der vier Pflichten erfasst ist, hängt von der Dienstekategorisierung unter dem DSA, der Verarbeitungsanalyse nach Art. 3 Abs. 2 DSGVO, der Risikoeinstufung etwaiger KI-Systeme oder -Modelle und dem Kategorientest der NIS2 ab — vier Prüfungen, die sinnvollerweise zusammen, auf einem Sachverhalt, durchgeführt werden.

Nachweise und Quellen

1. Art. 3 Abs. 2 lit. a–b DSGVO; Erwägungsgründe 23–24 DSGVO; Art. 27 Abs. 1 DSGVO.

2. Art. 27 Abs. 2 lit. a–b DSGVO (kumulative Voraussetzungen der Ausnahme; Behörden und öffentliche Stellen).

3. Art. 13 Abs. 1 DSA; Art. 3 lit. d, e und g DSA (Anbieten von Diensten in der Union; wesentliche Verbindung; Vermittlungsdienste); Hofmann/Raue, Digital Services Act (Kommentar), Art. 13.

4. Art. 22 Abs. 1 und Art. 54 Abs. 1 KI-VO, Verordnung (EU) 2024/1689; Art. 54 Abs. 6 KI-VO (Open-Source-Ausnahme, sofern kein systemisches Risiko).

5. Art. 26 Abs. 1 lit. b und Art. 26 Abs. 3 NIS2, Richtlinie (EU) 2022/2555 (Einrichtungskategorien; Niederlassung des Vertreters in einem Mitgliedstaat des Diensteangebots; Zuständigkeitsfiktion).

6. Art. 27 Abs. 4 DSGVO (Mandat gegenüber Aufsichtsbehörden und betroffenen Personen); Art. 30 Abs. 1 DSGVO; Art. 13 Abs. 1 lit. a, Art. 14 Abs. 1 lit. a DSGVO.

7. Art. 13 Abs. 2 DSA (Umfang des Mandats; erforderliche Befugnisse und ausreichende Ressourcen).

8. Art. 22 Abs. 3–4 KI-VO (Aufgabenkatalog und Beendigungspflicht bei Hochrisiko-Systemen); Art. 54 Abs. 3–5 KI-VO (Aufgabenkatalog, Kontaktstelle und Beendigungspflicht bei GPAI-Modellen); Art. 49 KI-VO (Registrierung).

9. Art. 26 Abs. 3 NIS2 (Zuständigkeitsfolge des Vertretersitzes); Art. 23 NIS2 (Meldung von Sicherheitsvorfällen); Art. 27 NIS2 (Register der Einrichtungen).

10. Art. 13 Abs. 3 DSA; Hofmann/Raue, Art. 13 (zum Ausnahmecharakter der Eigenhaftung des Vertreters).

11. Erwägungsgrund 80 DSGVO („Der benannte Vertreter sollte Durchsetzungsverfahren im Fall der Nichteinhaltung dieser Verordnung durch den Verantwortlichen oder den Auftragsverarbeiter unterworfen werden."); zur umstrittenen Reichweite von Geldbußen nach Art. 83 DSGVO gegen den Vertreter vgl. die in der Literatur diskutierte, divergierende nationale Praxis.

12. Art. 32–34 NIS2 (Aufsicht und Durchsetzung, angewandt über nationales Recht); Art. 26 Abs. 3 letzter Satz und Art. 26 Abs. 4 NIS2.

13. Art. 13 Abs. 4 DSA; Art. 49 und Art. 71 KI-VO (EU-Datenbank); Art. 27 Abs. 1–2 NIS2 (zu übermittelnde Angaben; Frist 17. Januar 2025; ENISA-Register).

14. Art. 13 Abs. 5 DSA („Die Benennung eines Rechtsvertreters [...] stellt keine Niederlassung in der Union dar.").

15. Art. 113 lit. a–c KI-VO (gestufte Geltung: 2. Februar 2025; 2. August 2025 u. a. für Kapitel V; allgemeine Geltung 2. August 2026; Art. 6 Abs. 1 samt korrespondierender Pflichten 2. August 2027); Art. 93 Abs. 2 DSA; Art. 99 Abs. 2 DSGVO; Art. 41 NIS2 (Umsetzung bis 17. Oktober 2024, Anwendung ab 18. Oktober 2024).

Kanzlei Theo Funk — Beratung zu EU-Vertreterpflichten

Rechtsanwalt Theo Funk berät internationale Technologieunternehmen zu den Vertreterpflichten nach Art. 27 DSGVO, Art. 13 DSA, Art. 22 und 54 KI-VO sowie Art. 26 Abs. 3 NIS2: Anwendbarkeitsanalyse über alle vier Regime, Mandatsstrukturierung sowie die zugehörigen Notifikations-, Registrierungs- und Transparenzanforderungen. Ob eine oder mehrere dieser Pflichten Ihr Unternehmen treffen, hängt von Ihrem Diensttyp, Ihrer Datenverarbeitung, etwaigen KI-System- oder Modellkategorien und Ihrer Einrichtungskategorie unter NIS2 ab.

Kontakt aufnehmen → info@kanzlei-theofunk.de

Dieser Beitrag dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Er gibt den Rechtsstand vom 15. Juli 2026 wieder. Unternehmen, die der DSGVO, dem DSA, der KI-VO oder der NIS2-Richtlinie unterliegen, sollten sich zu ihren konkreten Umständen individuell beraten lassen. © 2026 Kanzlei Theo Funk, Bamberg. Alle Rechte vorbehalten.