Denn die Dienste PlayStation Network und Qriocity betreiben Tochterfirmen des japanischen Konzerns, die in London angesiedelt sind. Angesichts der europäischen Harmonisierung steht die britische Aufsichtsbehörde in der Verantwortung.

Als Rechtsgrundlage dient das Bundesdatenschutzgesetz (BDSG). Dort heißt es in Paragraph 1, Absatz 5, der sich zum Anwendungsbereich äußert: „Dieses Gesetz findet keine Anwendung, sofern eine in einem anderen Mitgliedstaat der Europäischen Union (...) verantwortliche Stelle personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt.“ Ausnahme: Die verantwortliche Stelle - also etwa eine Firma - hat eine Niederlassung in Deutschland und verarbeitet dort Daten.

Die betroffenen Sony-Sparten haben in Deutschland jedoch keine Niederlassung. Die deutschsprachige Website des PlayStation Network nennt die Gesellschaft Sony Computer Entertainment Europe als Betreiber, Firmensitz: London. Auf der Qriocity-Präsenz ist PlayStation Network Europe genannt, die ebenfalls in der britischen Hauptstadt angesiedelt ist. Juristen gehen davon aus, dass innerhalb der EU die gleichen Schutzstandards gelten.

Sony hat die britischen Behörden nach eigenen Angaben über den Datendiebstahl informiert.