Konzernweite Datenpanne: Teil 2 – Meldung und Benachrichtigung

Im Anschluss an Teil 1 unseres Beitrags „Konzernweite-Datenpanne“ beschäftigen wir uns in Teil 2 mit der Benachrichtigung Betroffener und der Meldung durch den Verantwortlichen an die zuständige Aufsichtsbehörde. Wir geben rechtliche und praktische Hinweise zu Best Practice.

Ausgangspunkt bleibt unser fiktiver X-Konzern

Wie in Teil 1 unseres Beitrags „Konzernweite Datenpanne“ bleibt der fiktive X-Konzern Grundlage der Erörterungen. Noch einmal zur Erinnerung zu dessen Aufstellung:

ES ist beherrschendes Unternehmen mit Sitz in Spanien und unterhält die rechtlich unselbstständigen Niederlassungen PL in Polen und RO in Rumänien. Zum X-Konzern gehören weiter zwei rechtlich selbstständige Tochterunternehmen. DE in Deutschland und FR in Frankreich. ES hat einen Konzerndatenschutzbeauftragten (nachfolgend: KDSB) iSv. Art. 37 Abs. 2 DSGVO wirksam bestellt.

Benachrichtigung von Betroffenen

Widmen wir uns zunächst der Benachrichtigung der Betroffenen. Im Falle einer Benachrichtigungspflicht (wenn also die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat) und auch vorsorglich, ist insbesondere folgendes von Bedeutung:

Die Reichweite der Datenpanne spielt ebenfalls eine wichtige Rolle. Jedoch in dem Sinne, ob ein überschaubarer Kreis von Betroffenen eingegrenzt werden kann und diese Betroffenen so bekannt sind, dass sie gezielt und einzeln benachrichtigt werden können. Sollte das nicht der Fall sein, so wäre eine Benachrichtigung ggf. durch öffentliche Bekanntgabe notwendig.
Ist das bereits anhand der Meldung absehbar, so bezieht unser KDSB schon frühzeitig im Datenpannenprozess die Abteilung Unternehmenskommunikation ein, um diese so auf potenzielle Anfragen vorzubereiten und vorsorglich mit entsprechenden Informationen zu versorgen sowie abzustimmen, welche davon tatsächlich schon veröffentlicht werden können und dürfen.

Es ist darüber hinaus sinnvoll, eine entsprechende Webseite zu entwerfen, welche im Fall der Fälle so strukturiert ist, dass alle erforderlichen Informationen entsprechend Art. 34 Abs. 2 DSGVO in das Muster eingefügt werden können und sodann eine schnelle Freischaltung für die Öffentlichkeit ermöglicht. Dies hat unser vorbildlicher KDSB gemeinsam mit der Abteilung Unternehmenskommunikation schon vorbereitet.

Der KDSB ist sich bewusst, dass eine Meldung an Betroffene in der Regel möglichst schnell zu erfolgen hat, beachtet jedoch auch Erwägungsgrund 86 Satz 3 der DSGVO. Dieser besagt, dass

„Solche Benachrichtigungen der betroffenen Person … stets …, in enger Absprache mit der Aufsichtsbehörde und nach Maßgabe der von dieser oder von anderen zuständigen Behörden wie beispielsweise Strafverfolgungsbehörden erteilten Weisungen erfolgen…“

sollten.
Das kann bei konzernweiter Betroffenheit und Beteiligung unterschiedlicher Ermittlungsbehörden herausfordernd sein.

Meldung durch Verantwortlichen

Gem. Art. 33 Abs. 1 DSGVO hat der Verantwortliche die Verletzung des Schutzes personenbezogener Daten der nach Art. 55 DSGVO zuständigen Aufsichtsbehörde zu melden.

Soweit Datenpannen bei Auftragsverarbeitern vorliegen – einschließlich Konzerngesellschaften die Leistungen als Auftragsverarbeiter für anderen Konzerngesellschaften erbringen –, hat der KDSB in den Musterverträgen zur Auftragsverarbeitung entsprechende Regelungen vorgesehen, welche eine unverzügliche Meldung an den Auftraggeber und Unterstützungsmaßnahmen festlegen. Solche Auftragsverarbeiter dürfen in dieser Funktion – auch im Konzern – nicht selbständig an die Aufsichtsbehörde melden, sondern lediglich den Auftraggeber informieren. Dieser ist dann in seiner Eigenschaft als Verantwortlicher Adressat der Meldepflicht nach Art. 33 Abs. 1 DSGVO.

Im unserem Ausgangsfall aus Teil 1 (Meldung eines Auftragsverarbeiters der DE an diese; „Reichweite der Datenpanne“ Szenario 3) hat sich der Auftragsverarbeiter also korrekt verhalten.

Meldung im Normalfall eines Verantwortlichen

Nehmen wir an, die Reichweite der Datenpanne beim Dienstleister der DE lässt sich auf diese begrenzen. Welcher Datenschutzaufsichtsbehörde muss die DE dann die Datenpanne melden?

Dem sogenannten Territorialitätsprinzip entsprechend sind zuständige Aufsichtsbehörden nach Art. 55 Abs. 1 und 2 DSGVO in der Regel die – nach dem Recht des jeweiligen Mitgliedsstaates bestimmten – nationalen Aufsichtsbehörden (vgl. Art. 4 Nr. 21 und 22 DSGVO). In unserem Fall also die zuständige deutsche Landesdatenschutzbehörde in deren Bundesland DE ihre Hauptniederlassung hat.

Einer für Alle – One-Stop-Shop Meldung

Wie wäre es nun aber, wenn die Datenpanne nur ES und die rechtlich unselbständigen Niederlassungen PL in Polen und RO in Rumänien beträfe? Kann der KDSB dann grundsätzlich bei der für ES zuständigen Datenschutzbehörde für ES, PL und RO gemeinsam melden, oder muss die Meldung auch in Polen und Rumänien getätigt werden?

Art. 33 DSGVO selbst enthält dazu keine spezielle Regelung. Allerdings sieht Art. 56 DSGVO für grenzüberschreitende Verarbeitungen (vgl. Art. 4 Nr. 23 DSGVO) eines Verantwortlichen innerhalb der EU – welche von der Verletzung nach Art. 33 DSGVO betroffen sind – grundsätzlich die Zuständigkeit einer federführenden Aufsichtsbehörde vor (Siehe Art. 55 Abs. 2 und 56 Abs. 2 DSGVO).

Das sogenannte One-Stop-Shop Verfahren (OSS) gemäß Art. 60 DSGVO findet damit u.a. Anwendung, soweit ein Verantwortlicher mit mehreren „Niederlassungen“ betroffen ist. Um den Rahmen hier nicht zu sprengen, sei hinsichtlich der Details zum OSS auf die Leitlinien 8/2022 für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters, Version 2.0 (inklusive Prüffragen) und hinsichtlich der Datenpannenmeldung auch auf die Guidelines 9/2022 on personal data breach notification under GDPR Version 2.0 (dort insbesondere Randnummern 66 ff und Anlage A mit Flussdiagramm) verwiesen.

PL und RO sind laut unserer Ausgangssituation als rechtlich unselbständige Niederlassungen von ES definiert und es soll um eine grenzüberschreitende Verarbeitung gehen, welche von der Datenpanne betroffen ist. Hier kann daher der KDSB eine einzige Meldung für ES, PL und RO bei der in Spanien für ES zuständigen Datenschutzaufsichtsbehörde vornehmen.

One-Stop-Shop Meldung für Unternehmensgruppe?

Wie verhält es sich für den Fall, dass die Datenpanne eine übergreifende Verarbeitung von ES, DE und FR als jeweils rechtlich selbständige eigene Verantwortliche betrifft? Reicht es in diesem Falle aus, wenn der KDSB die Datenpanne nur bei der für ES zuständigen Datenschutzbehörde meldet?

Es ist umstritten, ob das OSS auch Anwendung findet, soweit in einem Konzernverbund mehrere rechtlich selbständige und ggf. eigene Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO vom gleichen „Data Breach“ betroffen sind (OSS nach Art. 56, 60 ff. für Unternehmensgruppen im Sinne von Art. 4 Nr. 19 und Erwägungsgrund 37 DSGVO).

Die für das OSS nach Art. 56 Abs. 1 DSGVO vorausgesetzte „grenzüberschreitende Verarbeitung“ ist in Art. 4 Nr. 23 a) DSGVO u.a. wie folgt definiert:

„… eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen … in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche … in mehr als einem Mitgliedstaat niedergelassen ist, …“

Entscheidend ist somit in diesem Zusammenhang, ob mit dem Begriff der „Niederlassungen“ auch rechtlich selbständige Unternehmen gemeint sind oder lediglich rechtlich unselbständige Einheiten.

In Erwägungsgrund 36 Satz 8 DSGVO findet sich einerseits ein gewisser Anhaltspunkt dafür, dass hier mit Niederlassung auch rechtliche selbständige Gesellschaften gemein sind oder die Vorschrift für solche entsprechend anzuwenden ist. Erwägungsgrund 36 Satz 8 der DSGVO lautet:

„Wird die Verarbeitung durch eine Unternehmensgruppe vorgenommen, so sollte die Hauptniederlassung des herrschenden Unternehmens als Hauptniederlassung der Unternehmensgruppe gelten, es sei denn, die Zwecke und Mittel der Verarbeitung werden von einem anderen Unternehmen festgelegt.“

Zudem ist der Sinn des OSS unter anderem eine Vereinfachung für Verantwortliche und wird daher für die Anwendbarkeit des OSS auch für Unternehmensgruppen ins Feld geführt.

Andererseits sind rechtlich selbständige Konzernunternehmen eine separate Rechtspersönlichkeit und werden damit als eigene Verantwortliche gesehen, welche nach dem Wortlaut des Art. 33 Abs. 1 Satz 1 DSGVO auch explizit Adressat der Meldepflicht sind.

Unser KDSB betrachtet zumindest die direkte Anwendung des OSS in diesem Zusammenhang auf Unternehmensgruppen als kritisch. Er will sich nicht einfach darauf verlassen, dass die Meldung bei – nur – einer Datenschutzbehörde als Erfüllung der Meldepflicht insgesamt angesehen wird. Dies, zumal die Meldeformulare der europäischen Datenschutzbehörden nicht einheitlich sind und nicht unbedingt explizit danach fragen, für welche Gesellschaften (Mehrzahl) die Meldung erfolgen soll. Es wird z.B. allgemein – und vielleicht etwas schwammig – nach der verantwortlichen Organisation gefragt. Daher spricht unser KDSB vor der Meldung mit der – wahrscheinlich bei Anwendung des OSS zuständigen – Aufsichtsbehörde.

Erkenntnisse für konzernweite Datenpannen

Datenpannen im Konzern bergen Besonderheiten und Herausforderungen. Umso wichtiger sind profunde Prozesse mit klaren Verantwortlichkeiten und Mustern sowie vernünftige Verarbeitungsverzeichnisse. Bei der Meldung einer konzernweiten Datenpanne bestehen Unklarheiten hinsichtlich der Anwendbarkeit des OSS-Verfahrens. Es ist daher sinnvoll, ggf. den Rat der Aufsichtsbehörden im Zuge der Meldung einzuholen.