Die Uhr tickt! Fristberechnung bei Datenschutzvorfall & Betroffenenanfrage

Fachbeitrag

Die Datenschutz-Grundverordnung beinhaltet eine Vielzahl von Fristvorgaben, die der verantwortliche Datenverarbeiter einzuhalten hat. Vergegenwärtigt man sich die erheblichen Sanktionsmöglichkeiten welche die DSGVO bereit hält, muss jeder Verarbeiter ein großes Interesse an ihrer rechtskonformen Einhaltung haben. Doch wie und wonach berechnen sich die Fristen eigentlich?

Datenschutzvorfall nach der Weihnachtsfeier

Es ist Donnerstag der 21.12. in irgendeinem Unternehmen irgendwo in Europa. Die Mitarbeiter haben sich zum geselligen Stelldichein bei Glühwein und Bier zusammengefunden. Es ist ja schließlich bald Weihnachten! Sichtlich angeheitert begibt sich Mitarbeiter X zu fortgeschrittener Stunde an seinen Arbeitsplatz, um nochmal kurz die Mails zu checken. Unter dem Einfluss geistiger Getränke stehend verschickt der Mitarbeiter X unbemerkt Auftragsdaten des Kunden Y per Mailverteiler an potenzielle Mitbewerber des Y.

Der Vorfall wird erst am nächsten Tag kurz vor Feierabend erkannt. Mitarbeiter X, der erst neulich an der Schulung zu Datenpannen teilgenommen hat, meldet den Sachverhalt zügig an den Datenschutzbeauftragten. Dieser fragt sich nun wann er den Datenschutzvorfall spätestens melden muss? Außerdem hat unser Datenschutzbeauftragter noch eine Betroffenenanfrage vom 15.12 auf dem Tisch und fragt sich auch hier bis zu welchem Termin er darauf geantwortet haben muss.

Viele Frist- und Zeitvorgaben in der DSGVO

Ein Blick in die Verordnung selbst bringt unseren Datenschutzbeauftragten nicht weiter, denn ein eigenes System zur Fristberechnung oder einen Verweis in andere Rechtsvorschriften sucht man vergeblich.

Bemüht man die Kommentarliteratur werden zur Berechnung der DSGVO-Fristen regelmäßig die nationalen Regelungen des Zivilrechts (§§ 186 ff. BGB, § 222 ZPO) oder die des öffentlichen Rechts (§ 57 VwGO, § 31 VwVfG) herangezogen.

Fraglich ist jedoch, ob nationale Berechnungsmethoden auf einheitliches EU-Recht überhaupt Anwendung finden können oder nur behelfsmäßig dann herangezogen werden sollten, sofern keine europarechtliche Vorschrift existiert. Eine europäische Lösung bietet die EU-Verordnung Nr. 1182/71 zur Festlegung der Regeln für die Fristen, Daten und Termine (Fristen-VO). Bereits 1971 hielt der Rat es berechtigterweise für notwendig, für die Verwirklichung der Ziele der Gemeinschaft einheitliche Regelungen zur Berechnung von Fristen von Rechtsakten der Union zu schaffen. Die Verordnung ist bis dato nie außer Kraft gesetzt worden und ein Blick auf andere Gesetze verrät, dass sie sich durchaus im Bewusstsein des nationalen Gesetzgebers befindet (§ 36 KonzVgV, § 82 VgV).

Bitte handeln Sie unverzüglich!

Sowohl die Frist aus Art. 33 Abs. 1 S. 1 DSGVO, als auch die Frist zur Beantwortung von Betroffenenanfragen aus Art. 12 Abs. 3 S. 2 DSGVO verlangen von dem Verantwortlichen grundsätzlich ein „unverzügliches“ handeln. Was unverzüglich ist beantwortet aber auch die Fristen-VO nicht. Der europäische Gesetzgeber hat gleichwohl erkannt, dass die Auslegung des unbestimmten Rechtsbegriffs „unverzüglich“ auf mitgliedsstaatlicher Ebene zu unterschiedlichen Ergebnissen führen kann. Um ein rechtseinheitliches Begriffsverständnis herbeizuführen, hat er gemäß Art. 70 Abs. 1 lit. g DSGVO dem europäischen Datenschutzausschuss die Aufgabe zugewiesen, Leitlinien, Empfehlungen oder bewährte Verfahren für die Festlegung der Unverzüglichkeit i.S.d Art. 33 Abs. 1 und 2 DSGVO auszuarbeiten.

Solange dies nicht umgesetzt wurde ist mit „unverzüglich“ (in der englischen Fassung: without undue delay) ein Handeln gemeint, welches ohne unbillige bzw. schuldhafte Verzögerung erfolgt. Dem Rechtsgedanken des § 121 BGB nach ist ein Handeln auch dann noch unverzüglich, wenn es nach eine den Umständen des Einzelfalls zu bemessenden Prüfungs- und Überlegungsfrist ausgeübt wird.

Die Monatsfrist zur Beantwortung von Betroffenanfragen

Im Umkehrschluss kann ein Handeln des Verantwortlichen dann nicht mehr unverzüglich sein, sofern es die in Art. 12 Abs. 3 S. 1 DSGVO normierte Monatsfrist übersteigt. Die Monatsfrist des Art. 12 Abs. 3 DSGVO muss daher als Maximalfrist verstanden werden. Für deren Berechnung ergeben sich nach der Fristen-VO im Vergleich zu einer Berechnung nach den nationalen Regelungen jedoch keine Abweichungen:

In Art. 3 Abs. 1 2. Unterabs. Fristen-VO heißt es, ist für den Anfang einer nach Monaten zu bemessenen Frist der Zeitpunkt maßgebend, in welchem das Ereignis eintritt, so wird bei der Berechnung dieser Frist der Tag nicht mitgerechnet, in den das Ereignis fällt. Gemäß Art. 3 Abs. 2 lit c) Fristen-VO endet die Frist mit Ablauf der letzten Stunde des Tages, der dieselbe Bezeichnung trägt, wie der Tag des Fristbeginns.

Es ist daher auch in der Fristen-VO wie auch im BGB zu trennen: der Tag des Fristbeginns nach Art. 3 Abs. 2 lit c Fristen-VO ist der Tag, auf den das Ereignis (hier z.B. der Antragseingang) fällt, wohingegen erst an dem darauffolgenden Tag gem. Art. 3 Abs. 1 2. Unterabs. Fristen-VO die Frist zu laufen beginnt.

Die Lösung zur Betroffenenanfrage im Dezember

Bei unserem Datenschutzbeauftragten ist in unserem kleinen Fall am 15.12. ein Antrag auf Auskunft nach Art. 15 DSGVO eingegangen. Fristbeginn wäre hier somit der 16.12., 00:00 Uhr und das Fristende dementsprechend 15.01, 24 Uhr.

Nach Art. 3 Abs. 4 der Fristen-VO endet die Frist erst mit Ablauf der letzten Stunde des folgenden Arbeitstags sofern der letzte Tag einer „nicht nach Stunden“ bemessenden Frist auf einen Feiertag, einen Sonntag oder einen Sonnabend endet (vgl. § 193 BGB).

Die 72 Stunden Frist bei der Meldung eines Datenschutzvorfalls

Bei der Berechnung der Stundenfrist des Art. 33 Abs. 1 S. 1 DSGVO hingegen kann es entscheidend sein, nach welchen Vorschriften die Frist berechnet wird. Ein Datenschutzvorfall soll unverzüglich, möglichst jedoch binnen 72 Stunden bei den Aufsichtsbehörden gemeldet werden.

Gemäß Art. 3 Abs. 2 lit a Fristen-VO endet eine nach Stunden bemessene Frist unabhängig ihres Fristbeginns mit dem Ablauf der letzten Stunde der Frist. Dem Wortlaut des Art. 3 Abs. 4 1. Unterabs. Fristen-VO ist zu entnehmen, dass Stundenfristen daher grundsätzlich auch an einem Wochenende oder einem Feiertag enden können. Insofern ergibt sich ein Unterschied zu § 222 Abs. 3 ZPO (ggfls. i.V.m § 57 Abs. 2 VwGO) wonach bei der Berechnung einer Stundenfrist, Sonntage, allgemeine Feiertage und Sonnabende nicht mitgerechnet werden.

Gleichwohl ist auch dem nationalen Gesetzgeber die Einbeziehung dieser Tage bei der Berechnung einer Stundenfrist nicht gänzlich unbekannt (vgl § 31 Abs. 6 VwVfG). An dieser Stelle zeigt sich, dass die nationale Anknüpfung mitunter zu abweichenden Fristenberechnungen führen kann, je nachdem welcher Fristenregelung man folgt.

Um die 72 Stundenfrist nicht aufgrund eines Wochenendes oder ungünstiger Feiertagsregelungen wie in unserem Fall (oder denkbar auch am Pfingstwochenende) zu einem undurchführbaren Gebot werden zu lassen, sieht Art. 3 Abs. 5 Fristen-VO eine Sonderregelung für Stundenfristen vor. Demnach umfasst „jede Frist“ von zwei oder mehr Tagen mindestens zwei Arbeitstage. Daher müssen auch Fristen, die mit mehr als 48 Stunden (= 2 Tage) bemessen sind, mindestens zwei Arbeitstage umfassen.

Arbeitstage sind laut Art. 2 Abs. 2 Fristen-VO alle Tage, die nicht Feiertage, Sonntage oder Sonnabende sind und bei der Berechnung einer Stundenfrist wird gemäß Art. 3 Abs. 1 Fristen-VO die Stunde in der das Ereignis (hier der Datenschutzvorfall) fällt nicht mitgerechnet.

Die Lösung zur Datenpanne nach der Weihnachtsfeier

Für unseren Datenschutzbeauftragten ergebt sich aus dem dargelegten Fall folgende Berechnung:

  • Freitag 22.12, 16:45 Uhr: „bekanntwerden“ Datenschutzvorfall.
  • Freitag 22.12, 17:00 Uhr: Fristanfang: 17:00 Uhr (Art. 3 Abs. 1 Fristen-VO)
  • Samstag 23.12
  • Sonntag 24.12
  • Montag 25.12, 17:00 Uhr: hier eigentlich nach 72 Stunden Fristende! (Art. 3 Abs. 2 lit a, Abs. 3 Fristen-VO)
    Aber: Durch die Arbeitstagregelung des Art. 3 Abs. 5 Fristen-VO jedoch Fristablauf erst nach zwei vollen Arbeitstagen (gedankliche Hilfestellung: „48 Arbeitstagsstunden“)
  • Dienstag 26.12
  • Mittwoch 27.12
  • Donnerstag 28.12, 17:00 Uhr: tatsächliches Fristende
    -> Zwischen Freitag 17:00 Uhr und Donnerstag 17:00 Uhr liegen zwei volle Arbeitstage (Art. 3 Abs. 5 Fristen-VO).

Somit sind die Weihnachtsfeiertage unseres Datenschutzbeauftragten nicht komplett im Eimer. Er kann die Prüfung des Sachverhalts nach dem langen Wochenende am Mittwoch vornehmen und hat bis zum Donnerstag den 28.12 um 17:00 Uhr Zeit, den Datenschutzvorfall bei der zuständigen Aufsichtsbehörde zu melden.

Vollharmonisierung der DSGVO-Fristberechnung

Die Berechnung nach der Fristen-VO für Fristen eines EU-Rechtsaktes erscheint dogmatisch sauberer als der Rückgriff auf nationale Vorschriften. Um eine EU-weite einheitliche Anwendung von Gemeinschaftsrecht zu gewährleisten, sollte daher zur Berechnung der Fristen der DSGVO auf die Fristen-VO Nr. 1182/71 vom 3. Juni 1971 zurückgegriffen werden. Nur so kann verhindert werden, dass eine Data-Breach-Meldung in Spanien zu einem anderen Zeitpunkt erfolgen muss als etwa in Deutschland oder Polen.

Update:

Der BayLfD hält in seiner jüngsten Stellungnahme zur Meldepflicht (S. 38) die Regelung des Art. 3 Abs. 5 Fristen-VO für eine nach Stunden zu bemessende Frist für nicht anwendbar. Er ist der Ansicht, dass die Norm lediglich auf Fristen „von zwei oder mehr Tagen“ angewendet werden kann. Folgt man den bayerischen Vorgaben würde das Fristende beim oben genannten Beispiel tatsächlich auf den 25.12 9 Uhr fallen. In seiner Argumentation erklärt der BayLfD, Stundenfristen dienen als „eine Option um punktgenaue, von der Lage der Feiertage, Sonntage oder Samstage unabhängige Handlungsprogramme festlegen zu können.“

Ob eine Stundenfrist ablaufen sollte, die im Extremfall (Zeitpunkt der Kenntnis Datenschutzverstoß im Beispiel Freitag 23:50 Uhr) ausschließlich Sa-So-oder Feiertagsstunden umfasst darf zumindest stark bezweifelt werden!

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

DSGVO Beratung

10 Kommentare zu diesem Beitrag

  1. Interessante Ausführungen!

    Mir stellt sich vor Fristablauf aber noch eine Frage: Wann beginnt die Frist? Also ab wann gilt eine Datenpanne als durch das Unternehmen zur Kenntnis genommen? Gibt es „Kriterien“ für die Kenntnisnahme einer Datenpanne? Wann wäre der Zeitpunkt gewesen, wenn der Mitarbeiter nicht an der DS-Schulung teilgenommen, den Fehler also gemacht aber nach dem Fehlversand nicht als Datenpanne erkannt, dafür sein Vorgesetzter den Fehler erst zwischen den Jahren bemerkt und nach Silvester an die für Datenschutz Verantwortliche Stelle im Unternehmen weitergeleitet hätte?

    • Nach Ansicht der Datenschutzbehörden kann die gebotene „Kenntnis“ bereits dann vorliegen, sobald sich in den Ermittlungen zum Datenschutzvorfall ein „angemessener Grad an Sicherheit herauskristallisiert hat“ (s. hierzu: HmbBfDI, Informationspapier zu Data-Breach-Meldungen nach Art. 33 DS-GVO v. 15.11.2018, S. 6; ähnlich auch die Art-29-Datenschutzgruppe die von „hinreichender Gewissheit“ spricht). In der Literatur wird teilweise für den maßgeblichen Zeitpunkt für die Meldepflicht auf den objektiv bereits eingetretenen Verletzungserfolg abgestellt. Die Meldefrist beginnt demnach auch erst mit positiver Kenntnis der stattgefundenen Verletzung. Eine Verletzung ist dann eingetreten, sobald ein Sicherheitsdefizit zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung oder zum unbefugten Zugang von personenbezogenen Daten führt

  2. Wenn ich mich richtig erinnere hat sich der BayLfD das mit dem Ablauf der Stundenfrist in seiner OH vom 01.06.2019 anders, weil Art. 3 Abs. 5 Fristen-VO sich nicht auf eine nach Stunden bemessene sondern auf eine nach Tagen bemessene Frist bezieht.
    Die Meinung des BayLfD überzeugt vor dem Hintergrund der Systematik des Art. 3 Fristen-VO mehr, weshalb die 72 Stunden Frist im o.g. Bsp. am 25.12. um 17:00 Uhr tatsächlich enden dürfte.

    • Das BayLfD argumentiert, dass die Stundenfrist als eine Option gedacht ist, punktgenaue, von der Lage der Feiertage undabhängige Handlungsprogramme festlegen zu können. In § 222 Abs. 3 ZPO etwa werden bei der Berechnung einer Stundenfrist Feiertage sogar gänzlich raus genommen sodass eine Stundenfrist hier nichtmal auf einem solchen Tag enden kann. Ein „verschieben“ von Stundenfristen ist daher dem (zumindest nationalen) Gesetzgeber nicht unbekannt!
      Der Abs. 5 könnte daher auch so verstanden werden, dass „Jede Frist“ von zwei oder mehr Tagen (48 oder mehr Stunden) mindestens zwei Arbeitstage umfasst. Im Gegensatz zu den Tagesfristen ist eine Stundenfrist nun dennoch strenger, weil das Fristende sehr wohl auf einene Feiertag fallen kann, was bei den Tagesfristen gemäß Abs. 4 ausgeschlossen ist.

  3. Danke für die detaillierte Betrachtung!

    „Auftragsdaten des Kunden Y per Mailverteiler an potenzielle Mitbewerber des Y“
    Wird bei Ihrem Beispiel überhaupt eine Meldung nach Artikel 33 ausgelöst?
    (Verletzung des Schutzes personenbezogener Daten, die zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen)
    Vorraussetzung wäre dann, das es sich beim „Kunden“, der Mitbewerber hat, somit also gewerblich handelt, um eine natürliche Person (oder evtl. noch um eine Personengesellschaft) und keine Firma handelt.?

    • Zur Klarstellung: Selbstverständlich handelt es sich bei dem Kunden um einen Einzelhandelskaufmann und zu allem Überfluss beinhalten die Auftragsdaten ihrerseits wieder personenbezogene oder zumindest personenbeziehbare Daten! Um was für eine Tätigkeit es sich in diesem fiktiven Fall handelt bleibt ihrer Phantasie überlassen!

  4. Interpretation für Fristbeginn 72 Stunden ab Bekanntwerden beim Verantwortlichen möglich?

    Es obliegt doch dem Verantwortlichen des Unternehmens die Meldung des Datenverstoß zu verantworten. Der DSB muss dafür Sorge tragen, dass ein effizienter Prozess zur Meldung und Beurteilung der Pannen etabliert ist und hat dafür zu sorgen dass alles ordentlich dokumentiert ist inklusive seiner Prüfung mit abschließender Empfehlung. Im Anschluss muss er aber die Verantwortliche Stelle des Unternehmens informieren und in Kenntnis setzen. Der Verantwortliche hat dann die Pannen selbst zu prüfen und die Entscheidung zu treffen, wer was wie zu melden hat. Diese Entscheidung muss Ihm obliegen, da er auch dafür haftet. Der (interne) DSB kann hierfür doch nur Empfehlungen abgeben…
    Konkret sieht unser Prozess, wie folgt aus:
    Es besteht ein interner Meldungsweg und spätestens innerhalb von zwei Werktagen ist sicherstellt, dass gemeldete Pannen dokumentiert und vom DSB geprüft werden. Nach Prüfung erfolgt die abschließende Vorlage beim Verantwortlichen mit der Schlussentscheidung, wer welche Meldung zu machen hat.
    In meinem Prozess bin ich bisher davon ausgegangen, dass die 72 Stunden erst anlaufen lassen kann, ab der Vorlage der bereits geprüften Pannen beim Verantwortlichen/Chef. Da ich mir rechtlich unsicher bin, habe ich bisher dafür gesorgt, dass in dem Prozess intern die 72 Stunden(von Meldung intern bis Meldung an DS-Behörde) immer eingehalten wurden.
    Bei diesem Verhalten sehe ich bis zur Meldung an den Verantwortlichen kein schuldhaftes zögern im Unternehmen und würde für mich in Zukunft herausnehmen die 72 Stunden erst ab Vorlage beim Chef starten zu lassen. Ich bin ein interner DSB, evtl. würde dies bei einem externen DSB zwingend anders aussehen…

    Könnt Ihr meinen Ausführungen zustimmen oder seht Ihr hier größere Probleme bei der Diskussion mit den Behörden?

    Besten Dank im Voraus, Ihr macht einen Super-Job mit der Website!!!!!

    • Halte ich nicht für vertretbar. Verantwortlicher ist ja das Unternehmen, aber nicht der GF (der haftet allenfalls). Es kommt darauf an, ab wann der Vorfall intern bekannt ist und nicht, wann der GF als Person das weiß. Gibt es keinen ordentlichen Meldeweg, ist das halt ein Organisationsproblem des Unternehmens. Mit ihrer Handhabe könnten Sie sonst die 72 Std auch leicht auf eine Woche oä ausdehnen, wenn es erst in Abteilungen bearbeitet wird bis es zum Boss geht und dann nach ihrer Auffassung erst dann die 72 Std beginnen. Das ist nicht Sinn der Sache und die Kenntnis beim Verantwortlichen liegt bei Bekanntwerden “im Unternehmen” vor.

      • Hallo Klaas K.

        vielen Dank für die Stellungnahme! Dem entnehme ich, dass Sie „nur“ ein Problem mit der Fristberechnung haben, aber nicht mit dem grundsätzlichen Prozess, wie dieser bei uns gelebt wird. Ich werde die 72 Stunden dann ab Bekanntwerden im Unternehmen zukünftig berücksichtigen(wie bisher auch…)

        Besten Dank.

    • Das BayLfD lässt bei einer Datenschutzverletzung, die nicht auf den ersten Blick als solche erkennbar ist, eine Aufklärungsphase von höchstens 24 Stunden ab dem Auftreten hinreichender Anhaltspunkte zu. Wird mehr Zeit benötigt, ist dies in der Meldung selbst zu erläutern.
      Die Verpflichtung zur Meldung entfällt auch dann nicht, sofern noch nicht alle Mindestinhalte nach Art. 33 Abs. 3 DSGVO vorliegen. Art. 33 Abs. 4 DSGVO sieht in solchen Fällen eine schrittweise Information an die Behörde vor.
      Einer Literaturansicht nach wird die Meldepflicht ausgelöst, sobald dem Verantwortlichen (=Organisationseinheit) Informationen über Art, Umstände und Zeitpunkt der Schutzverletzung sowie über die Kategorien der betroffenen Daten vorliegen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.