Territorialität

§ 28.

(1) Wesentliche und wichtige Einrichtungen sowie Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, unterliegen den Bestimmungen dieses Hauptstücks, wenn sie in Österreich niedergelassen sind.

(2) Abweichend von Abs. 1 gelten die Bestimmungen dieses Hauptstücks für folgende Einrichtungen nur unter den hier angeführten Bedingungen:

1. 1. für Anbieter öffentlicher Kommunikationsnetze oder Anbieter öffentlich zugänglicher elektronischer Kommunikationsdienste, sofern sie ihre Dienste in Österreich erbringen;
2. 2. für DNSDiensteanbieter, TLDNamenregister, Einrichtungen, die Domänennamen-Registrierungsdienste erbringen, Anbieter von Cloud-Computing-Diensten, Anbieter von Rechenzentrumsdiensten, Betreiber von Inhaltszustellnetzen, Anbieter von verwalteten Diensten, Anbieter von verwalteten Sicherheitsdiensten sowie Anbieter von Online-Marktplätzen, Online-Suchmaschinen oder Plattformen für Dienste sozialer Netzwerke, sofern sie

1. a. ihre Hauptniederlassung in Österreich haben oder
2. b. sie weder in Österreich, noch in einem anderen Mitgliedstaat der Europäischen Union einen Vertreter gemäß Abs. 4 bestellt haben;

1. 3. für Einrichtungen im Sektor der öffentlichen Verwaltung gemäß § 24 Abs. 3, unabhängig von ihrem Niederlassungsort innerhalb der Europäischen Union.

(3) Als Hauptniederlassung gemäß Abs. 2 Z 2 wird jeweils die Niederlassung in demjenigen Mitgliedstaat der Europäischen Union betrachtet, in dem die Entscheidungen im Zusammenhang mit den Risikomanagementmaßnahmen vorwiegend getroffen werden. Kann dies nicht eindeutig bestimmt werden oder werden solche Entscheidungen nicht in der Europäischen Union getroffen, so gilt als Hauptniederlassung der Mitgliedstaat, in dem die Risikomanagementmaßnahmen gesetzt werden. Kann dies nicht ermittelt werden, so gilt die Hauptniederlassung als in jenem Mitgliedstaat gelegen, in dem die betreffende Einrichtung die Niederlassung mit der höchsten Beschäftigtenzahl in der Europäischen Union hat.

(4) Hat eine wesentliche oder wichtige Einrichtung gemäß Abs. 2 Z 2 keine Niederlassung in der Europäischen Union, bietet aber Dienste innerhalb Österreichs an, hat sie, wenn sie keinen zur Empfangnahme von Dokumenten befugten Vertreter mit Hauptwohnsitz im Inland hat, der Cybersicherheitsbehörde einen Zustellungsbevollmächtigten gemäß § 9 des Zustellgesetzes (ZustG), BGBl. Nr. 200/1982, namhaft zu machen, sofern sie einen solchen Vertreter nicht bereits in einem anderen Mitgliedstaat der Europäischen Union benannt hat. Wurde kein Zustellungsbevollmächtigter benannt, gelten für die wesentliche oder wichtige Einrichtung die Bestimmungen nach diesem Hauptstück und die Cybersicherheitsbehörde kann nach dem 4. Abschnitt dieses Hauptstücks vorgehen.

(5) Die Benennung eines Vertreters durch eine in Abs. 2 Z 2 genannte Einrichtung lässt rechtliche Schritte, die gegen die Einrichtung selbst eingeleitet werden könnten, unberührt.

(6) Erhält die Cybersicherheitsbehörde von einem anderen Mitgliedstaat der Europäischen Union ein Rechtshilfeersuchen zu einer in den Abs. 1 und 2 genannten Einrichtung, die in Österreich Dienste anbietet oder ein Netz- und Informationssystem betreibt, kann sie innerhalb der Grenzen des Rechtshilfeersuchens geeignete Aufsichts- und Durchsetzungsmaßnahmen nach diesem Bundesgesetz in Bezug auf die betreffende Einrichtung ergreifen. § 22 gilt sinngemäß.

Schlagworte

Netzsystem, Aufsichtsmaßnahme

Zuletzt aktualisiert am

30.12.2025

Gesetzesnummer

20013065

Dokumentnummer

NOR40273889