Hallo in die Runde,
ich habe folgende Frage, worüber wir uns intern nicht ganz einig sind:
Eine deutsche Gesellschaft (Nennen wir sie DE1 - Tochtergesellschaft eines Konzerns) hat eine Niederlassung (rechtlich unselbstständig) in einem Drittland. Die MS O365 Umgebung wird von der Konzernmutter (ebenfalls eine andere deutsche Gesellschaft (DE2)) “betrieben/verwaltet”.
Nun wurde ein Mitarbeiter aus der Niederlassung im Drittland von DE1 Opfer eines Phishing-Angriffs, das E-Mailpostfach wurde übernommen und aus dem System wurden weitere E-Mails an ca. 1T E-Mailadressen geschickt.
Nun die Frage, an welche Aufsichtsbehörde der Sachverhalt gemeldet werden muss:
- Behörde im Drittland, da dort die Niederlassung ist, wo der Vorfall passiert ist?
- DE 1, weil rechtlich verantwortlich und Mitarbeiter zu der Gesellschaft gehört?
- DE2 als Betreiberin/Verantwortliche für die E-Mailaccounts?
Vielen Dank!