,regionOfInterest=(180,96)&hash=d84fcdd598dc026ecc728eecc544c057de943d6836efd23046dd1d1b56cc9d26#)
,regionOfInterest=(320,180)&hash=ac15bdb7b761f38ff33698a578698be285940b46ba4c98f5b56c056d645e8a7a#)
![SEO-Monatsrückblick März 2025: Google AIO in DE, AI Mode, LLMs + mehr [Search Camp 369]](https://blog.bloofusion.de/wp-content/uploads/2025/03/Search-Camp-Canva-369.png)
![Warum die Google Search Console eines der wichtigsten Relaunch-Werkzeuge ist [Search Camp 368]](https://blog.bloofusion.de/wp-content/uploads/2025/02/Search-Camp-Canva-368.png)
![Perplexity, ChatGPT Search & Co.: Kann Google jetzt einpacken? [Search Camp 367]](https://blog.bloofusion.de/wp-content/uploads/2025/02/Search-Camp-Canva-367.png)
![Deals: Ninja Foodi MAX Dual - Ich wollte nie einen Airfryer - sie hat mich vom Gegenteil überzeugt! [Anzeige]](https://images.cgames.de/images/gamestar/4/ninja-foodi-max-dual-zone-au400-beste-heißluftfritteuse-doppelkammer-zwei-kammern-airfyer-kitchen-haushalt_6346329.jpg?#)
:quality(80)/p7i.vogel.de/wcms/32/0e/320e04f5e11f6c78c4ee94b0269b18cc/0123808176v2.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/44/ef/44efd08c0d1cc71072d94eb6101d584c/0123881901v4.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/49/75/49750b8f8712e607e87f00d8fff3a29b/0123134183v1.jpeg?#)
:quality(80)/p7i.vogel.de/wcms/3e/ad/3ead6f13df5efc67c4725df650b95065/0123821485v1.jpeg?#)
Konzernweite Datenpanne: Teil 1 – Vorgehen bis zur Meldung
Unternehmensgruppen im Sinne von Art. 4 Nr. 19 DSGVO (nachfolgend kurz „Konzern“ genannt) organisieren ihre IT oftmals unternehmensübergreifend. Damit wirken sich Verletzungen des Schutzes personenbezogener Daten im Sinne der Art. 33 I und Art. 4 Nr. 12 DSGVO aufgrund gemeinsam genutzter oder voneinander abhängiger IT-Ressourcen potenziell auf alle oder mehrere Niederlassungen und Konzerngesellschaften aus. Der […]
Unternehmensgruppen im Sinne von Art. 4 Nr. 19 DSGVO (nachfolgend kurz „Konzern“ genannt) organisieren ihre IT oftmals unternehmensübergreifend. Damit wirken sich Verletzungen des Schutzes personenbezogener Daten im Sinne der Art. 33 I und Art. 4 Nr. 12 DSGVO aufgrund gemeinsam genutzter oder voneinander abhängiger IT-Ressourcen potenziell auf alle oder mehrere Niederlassungen und Konzerngesellschaften aus. Der Artikel behandelt das Vorgehen in entsprechenden Situationen anhand des fiktiven X-Konzerns in zwei Teilen. Hier folgt Teil 1.
Struktur unseres fiktiven X-Konzerns
Der X-Konzern ist wie folgt aufgestellt:
ES ist beherrschendes Unternehmen mit Sitz in Spanien und unterhält die rechtlich unselbstständigen Niederlassungen PL in Polen und RO in Rumänien.
Zum X-Konzern gehören weiter zwei rechtlich selbstständige Tochterunternehmen. DE in Deutschland und FR in Frankreich.
ES hat einen Konzerndatenschutzbeauftragten (nachfolgend: KDSB) iSv. Art. 37 II DSGVO wirksam bestellt.
Im Überblick:
- ES
- Unselbstständig: PL & RO
- Selbstständig: DE & FR
Bekanntwerden einer potenziell meldepflichtigen Datenpanne
Der KDSB erhält Mitteilung über eine potenziell meldepflichtige bzw. benachrichtigungspflichtige Datenpanne im Sinne der Art. 4 Nr. 12, 33, 34 DSGVO (die genaue Ursache ist für unser Szenario der weiteren Vorgehensweise dabei nicht relevant).
Er hatte dazu einen zentralen Meldeprozess an ihn etabliert, sodass (Konzern-)Beschäftigte, Auftragsverarbeiter, Betroffene und Dritte ein einheitliches – für den internen Meldeprozess, nicht für die Meldung an eine Datenschutzbehörde bestimmtes – Meldeformular nutzen können.
Nächste Schritte
Da die Verletzung einer bestehenden Meldepflicht an die zuständige Datenschutzbehörde innerhalb der Frist von 72 Stunden mit einer empfindlichen Geldbuße geahndet werden kann, siehe Art. 83 IV a DSGVO:
„Bei Verstößen gegen die folgenden Bestimmungen werden (…) Geldbußen von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist (…).“
Der KDSB notiert sich den Fristablauf vorsorglich im Fristenkalender und beginnt mit der fortlaufenden Dokumentation des Vorgangs und des weiteren Verlaufes nach Art. 5 II , 33 V DSGVO. Sodann folgen Sichtung und ggf. weitere Untersuchungen der Fakten zur Beurteilung der Meldepflichten und ggf. erforderlichen abhelfenden Maßnahmen. Darauf basiert die Beurteilung und ggf. die Umsetzung von Meldepflichten.
Soweit, so gut.
Die Konzernsituation bringt jedoch Besonderheiten mit sich, denen wir uns nachfolgend widmen werden.
Reichweite der Datenpanne
Ressourcen und Verarbeitungen können von allen, mehreren oder nur einzelnen konzernangehörigen Einheiten genutzt werden. Dieser Umstand muss berücksichtigt werden.
Dabei gibt es verschiedene mögliche Szenarien, z. B.:
-
- Die Datenpanne ist auf eine eigene interne Ressource oder Verarbeitung einer rechtlich selbstständigen Konzerngesellschaft beschränkt.
- Die Datenpanne betrifft eine konzernweite Anwendung/Verarbeitung.
- Die Datenpanne betrifft einen Auftragsverarbeiter (auch konzernangehörige Gesellschaften die Services im Konzern erbringen) den alle, mehrere oder lediglich eine Konzerngesellschaft nutzen.
Unser Szenario im X-Konzern: Szenario 3
Nehmen wir – anknüpfend an Szenario 3 – an, der KDSB hat die Information über die Datenpanne von einem Datenschutzkoordinator der rechtlich selbstständigen DE erhalten. Dieser Datenschutzkoordinator hat dem KDSB die Mitteilung eines Auftragsverarbeiters der DE über die Datenpanne übermittelt.
Der KDSB muss nun die Reichweite der Datenpanne feststellen. Dazu hat er zu prüfen, ob die betroffene Dienstleistung des Auftragsverarbeiters auch andere Konzerngesellschaften betrifft und ggf. ob von dort eingehende Datenpannenmeldungen den gleichen Vorfall betreffen.
Wie stellt er das nun sicher? Unser KDSB hat – wie bereits erwähnt – einen zentralen Datenpannen-Meldeprozess inklusive Verantwortlichkeiten und ein entsprechendes internes Meldeformular etabliert. Im internen Meldeformular hat er eine entsprechende Frage zur Reichweite der Datenpanne platziert. Zudem existiert ein aktuelles konzernweites Register der Verarbeitungen (Art. 30 I und II DSGVO). Bei diesem elektronischen Register hat der KDSB Wert darauf gelegt, dass eine Verknüpfung zwischen Verarbeitungen, genutzten Ressourcen („Assets“) und Auftragsverarbeitern besteht. Dies ermöglicht eine entsprechende Filterung.
Anhand dieser Instrumente kann der KDSB nun die Reichweite bestimmen und das weitere Vorgehen danach ausrichten. Besonders hilfreich ist dabei die Filterung, welche Gesellschaften von der Verarbeitung durch den Auftragsverarbeiter (mit der Datenpanne) betroffen sind.
Mit Hilfe der Kollegen von der Informationssicherheit kann der KDSB zudem klären, ob – z. B. im Falle eines Hackerangriffs – eine Beschränkung der Datenpanne auf die Verarbeitung durch den Auftragsverarbeiter gegeben ist oder weitere Ressourcen betroffen bzw. bedroht sind.
Im Zweifel bedient sich der KDSB der Hilfe eines externen Unternehmens, welches IT-Forensik-Dienste anbietet. Dieses Unternehmen könnte dann bspw. Maßnahmen zur Eindämmung weitergehender „Infektionen“ ergreifen.
Soweit strukturelle oder organisatorische Schwachstellen durch die Datenpanne erkennbar werden, müssen diese besonders berücksichtigt und beseitigt werden („lernen durch Schmerz“).
Rolle der Beteiligten
Aus den genannten Quellen sollte der KDSB auch die Rollen der Beteiligten erkennen können (Verantwortliche, gemeinsam Verantwortliche, Auftragsverarbeiter). Dies hat Konsequenzen für die Frage, wer bestehende Meldepflichten umsetzen muss (Meldepflichtiger). Auswirkungen können sich auch, soweit Auftragsverarbeiter betroffen sind, für die Planung und Umsetzung von Dienstleisterkontrollen (Art. 28 I, III h DSGVO) ergeben.
Der KDSB muss also insbesondere feststellen wer als Verantwortlicher (ggf. gemeinsam Verantwortliche) und wer als Auftragsverarbeiter von der Datenpanne betroffen ist. Dabei hat er auch Subunternehmenssituationen zu berücksichtigen. Das gilt insbesondere, wenn eine Konzerngesellschaft als Auftragsverarbeiter zentrale Dienste für andere Konzerngesellschaften erbringt und hierfür auch ein Subunternehmen einsetzt, bei dem ein Datenschutzvorfall mit Bezug zu der beauftragten Dienstleistung gemeldet wird.
Bewertung und Abstimmung
Der KDSV bewertet nun anhand der gesammelten Informationen gemeinsam mit dem entsprechenden internen Gremium die Situation, insbesondere ob Meldepflichten an Datenschutzaufsichtsbehörden (Art. 33 DSGVO ) und Betroffene (Art. 34 DSGVO) bestehen.
Auch wenn es im Konzern ein beherrschendes Unternehmen gibt, so ist doch zu berücksichtigen, dass Auswirkungen der Bewertung jeweils die Konzernunternehmen als Verantwortliche treffen. Das bedeutet z. B., dass eine fehlerhafte „Nichtmeldung“ dort zu einem Bußgeld führen kann.
Vor diesem Hintergrund ist – insbesondere in Zweifelsfällen – eine Abstimmung unter den betroffenen Konzerneinheiten ratsam. Eine unterschiedliche Bewertung desselben Vorfalls und ein unterschiedliches Meldeverhalten gilt es aber zu vermeiden und Vertrauen in die Bewertung des KDSB ist dabei hilfreich.
Themen in Teil 2:
Im zweiten Teil beschäftigen wir uns dann mit der Benachrichtigung an Betroffene und der Meldung durch den Verantwortlichen an die zuständige Aufsichtsbehörde.
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de
