Meldung Datenschutzvorfall

GDPO · 28. März 2024 um 13:36

Hallo in die Runde,

ich habe folgende Frage, worüber wir uns intern nicht ganz einig sind:

Eine deutsche Gesellschaft (Nennen wir sie DE1 - Tochtergesellschaft eines Konzerns) hat eine Niederlassung (rechtlich unselbstständig) in einem Drittland. Die MS O365 Umgebung wird von der Konzernmutter (ebenfalls eine andere deutsche Gesellschaft (DE2)) “betrieben/verwaltet”.
Nun wurde ein Mitarbeiter aus der Niederlassung im Drittland von DE1 Opfer eines Phishing-Angriffs, das E-Mailpostfach wurde übernommen und aus dem System wurden weitere E-Mails an ca. 1T E-Mailadressen geschickt.

Nun die Frage, an welche Aufsichtsbehörde der Sachverhalt gemeldet werden muss:

Behörde im Drittland, da dort die Niederlassung ist, wo der Vorfall passiert ist?
DE 1, weil rechtlich verantwortlich und Mitarbeiter zu der Gesellschaft gehört?
DE2 als Betreiberin/Verantwortliche für die E-Mailaccounts?

Vielen Dank!

haderner · 28. März 2024 um 19:43

Es meldet der Verantwortliche, https://www.datenschutz-wiki.de/DSGVO:Art_33.
Nach der Darstellung ist das DE1

Horst · 29. März 2024 um 15:34

Stimme haderner zu, jedoch eine kleine Einschränkung:
Wie ist das Verhältnis DE1 und DE2 abgebildet? AV oder JC?
Da könnten sich evtl. eine abweichende Bewertung ergeben, aber dazu gibt der geschilderte Sachverhalt zu wenig her.

GDPO · 2. April 2024 um 10:30

Danke für das Feedback.

DE2 ist hier Auftragsverarbeiter für DE1.

haderner · 2. April 2024 um 20:56

Aufgrund der Formulierung und Wortwahl nehme ich an, dass es eine theoretische Frage ist, ja?