Zum Inhalt springen Zur Navigation springen
Die Uhr tickt! Fristberechnung bei Datenschutzvorfall & Betroffenenanfrage

Die Uhr tickt! Fristberechnung bei Datenschutzvorfall & Betroffenenanfrage

Die Datenschutz-Grundverordnung beinhaltet eine Vielzahl von Fristvorgaben, die der verantwortliche Datenverarbeiter einzuhalten hat. Vergegenwärtigt man sich die erheblichen Sanktionsmöglichkeiten welche die DSGVO bereit hält, muss jeder Verarbeiter ein großes Interesse an ihrer rechtskonformen Einhaltung haben. Doch wie und wonach berechnen sich die Fristen eigentlich?

Datenschutzvorfall nach der Weihnachtsfeier

Es ist Donnerstag der 21.12. in irgendeinem Unternehmen irgendwo in Europa. Die Mitarbeiter haben sich zum geselligen Stelldichein bei Glühwein und Bier zusammengefunden. Es ist ja schließlich bald Weihnachten! Sichtlich angeheitert begibt sich Mitarbeiter X zu fortgeschrittener Stunde an seinen Arbeitsplatz, um nochmal kurz die Mails zu checken. Unter dem Einfluss geistiger Getränke stehend verschickt der Mitarbeiter X unbemerkt Auftragsdaten des Kunden Y per Mailverteiler an potenzielle Mitbewerber des Y.

Der Vorfall wird erst am nächsten Tag kurz vor Feierabend erkannt. Mitarbeiter X, der erst neulich an der Schulung zu Datenpannen teilgenommen hat, meldet den Sachverhalt zügig an den Datenschutzbeauftragten. Dieser fragt sich nun wann er den Datenschutzvorfall spätestens melden muss? Außerdem hat unser Datenschutzbeauftragter noch eine Betroffenenanfrage vom 15.12 auf dem Tisch und fragt sich auch hier bis zu welchem Termin er darauf geantwortet haben muss.

Viele Frist- und Zeitvorgaben in der DSGVO

Ein Blick in die Verordnung selbst bringt unseren Datenschutzbeauftragten nicht weiter, denn ein eigenes System zur Fristberechnung oder einen Verweis in andere Rechtsvorschriften sucht man vergeblich.

Bemüht man die Kommentarliteratur werden zur Berechnung der DSGVO-Fristen regelmäßig die nationalen Regelungen des Zivilrechts (§§ 186 ff. BGB, § 222 ZPO) oder die des öffentlichen Rechts (§ 57 VwGO, § 31 VwVfG) herangezogen.

Fraglich ist jedoch, ob nationale Berechnungsmethoden auf einheitliches EU-Recht überhaupt Anwendung finden können oder nur behelfsmäßig dann herangezogen werden sollten, sofern keine europarechtliche Vorschrift existiert. Eine europäische Lösung bietet die EU-Verordnung Nr. 1182/71 zur Festlegung der Regeln für die Fristen, Daten und Termine (Fristen-VO). Bereits 1971 hielt der Rat es berechtigterweise für notwendig, für die Verwirklichung der Ziele der Gemeinschaft einheitliche Regelungen zur Berechnung von Fristen von Rechtsakten der Union zu schaffen. Die Verordnung ist bis dato nie außer Kraft gesetzt worden und ein Blick auf andere Gesetze verrät, dass sie sich durchaus im Bewusstsein des nationalen Gesetzgebers befindet (§ 36 KonzVgV, § 82 VgV).

Bitte handeln Sie unverzüglich!

Sowohl die Frist aus Art. 33 Abs. 1 S. 1 DSGVO, als auch die Frist zur Beantwortung von Betroffenenanfragen aus Art. 12 Abs. 3 S. 2 DSGVO verlangen von dem Verantwortlichen grundsätzlich ein „unverzügliches“ handeln. Was unverzüglich ist beantwortet aber auch die Fristen-VO nicht. Der europäische Gesetzgeber hat gleichwohl erkannt, dass die Auslegung des unbestimmten Rechtsbegriffs „unverzüglich“ auf mitgliedsstaatlicher Ebene zu unterschiedlichen Ergebnissen führen kann. Um ein rechtseinheitliches Begriffsverständnis herbeizuführen, hat er gemäß Art. 70 Abs. 1 lit. g DSGVO dem europäischen Datenschutzausschuss die Aufgabe zugewiesen, Leitlinien, Empfehlungen oder bewährte Verfahren für die Festlegung der Unverzüglichkeit i.S.d Art. 33 Abs. 1 und 2 DSGVO auszuarbeiten.

Solange dies nicht umgesetzt wurde ist mit „unverzüglich“ (in der englischen Fassung: without undue delay) ein Handeln gemeint, welches ohne unbillige bzw. schuldhafte Verzögerung erfolgt. Dem Rechtsgedanken des § 121 BGB nach ist ein Handeln auch dann noch unverzüglich, wenn es nach eine den Umständen des Einzelfalls zu bemessenden Prüfungs- und Überlegungsfrist ausgeübt wird.

Die Monatsfrist zur Beantwortung von Betroffenanfragen

Im Umkehrschluss kann ein Handeln des Verantwortlichen dann nicht mehr unverzüglich sein, sofern es die in Art. 12 Abs. 3 S. 1 DSGVO normierte Monatsfrist übersteigt. Die Monatsfrist des Art. 12 Abs. 3 DSGVO muss daher als Maximalfrist verstanden werden. Für deren Berechnung ergeben sich nach der Fristen-VO im Vergleich zu einer Berechnung nach den nationalen Regelungen jedoch keine Abweichungen:

In Art. 3 Abs. 1 2. Unterabs. Fristen-VO heißt es, ist für den Anfang einer nach Monaten zu bemessenen Frist der Zeitpunkt maßgebend, in welchem das Ereignis eintritt, so wird bei der Berechnung dieser Frist der Tag nicht mitgerechnet, in den das Ereignis fällt. Gemäß Art. 3 Abs. 2 lit c) Fristen-VO endet die Frist mit Ablauf der letzten Stunde des Tages, der dieselbe Bezeichnung trägt, wie der Tag des Fristbeginns.

Es ist daher auch in der Fristen-VO wie auch im BGB zu trennen: der Tag des Fristbeginns nach Art. 3 Abs. 2 lit c Fristen-VO ist der Tag, auf den das Ereignis (hier z.B. der Antragseingang) fällt, wohingegen erst an dem darauffolgenden Tag gem. Art. 3 Abs. 1 2. Unterabs. Fristen-VO die Frist zu laufen beginnt.

Die Lösung zur Betroffenenanfrage im Dezember

Bei unserem Datenschutzbeauftragten ist in unserem kleinen Fall am 15.12. ein Antrag auf Auskunft nach Art. 15 DSGVO eingegangen. Fristbeginn wäre hier somit der 16.12., 00:00 Uhr und das Fristende dementsprechend 15.01, 24 Uhr.

Nach Art. 3 Abs. 4 der Fristen-VO endet die Frist erst mit Ablauf der letzten Stunde des folgenden Arbeitstags sofern der letzte Tag einer „nicht nach Stunden“ bemessenden Frist auf einen Feiertag, einen Sonntag oder einen Sonnabend endet (vgl. § 193 BGB).

Die 72 Stunden Frist bei der Meldung eines Datenschutzvorfalls

Bei der Berechnung der Stundenfrist des Art. 33 Abs. 1 S. 1 DSGVO hingegen kann es entscheidend sein, nach welchen Vorschriften die Frist berechnet wird. Ein Datenschutzvorfall soll unverzüglich, möglichst jedoch binnen 72 Stunden bei den Aufsichtsbehörden gemeldet werden.

Gemäß Art. 3 Abs. 2 lit a Fristen-VO endet eine nach Stunden bemessene Frist unabhängig ihres Fristbeginns mit dem Ablauf der letzten Stunde der Frist. Dem Wortlaut des Art. 3 Abs. 4 1. Unterabs. Fristen-VO ist zu entnehmen, dass Stundenfristen daher grundsätzlich auch an einem Wochenende oder einem Feiertag enden können. Insofern ergibt sich ein Unterschied zu § 222 Abs. 3 ZPO (ggfls. i.V.m § 57 Abs. 2 VwGO) wonach bei der Berechnung einer Stundenfrist, Sonntage, allgemeine Feiertage und Sonnabende nicht mitgerechnet werden.

Gleichwohl ist auch dem nationalen Gesetzgeber die Einbeziehung dieser Tage bei der Berechnung einer Stundenfrist nicht gänzlich unbekannt (vgl § 31 Abs. 6 VwVfG). An dieser Stelle zeigt sich, dass die nationale Anknüpfung mitunter zu abweichenden Fristenberechnungen führen kann, je nachdem welcher Fristenregelung man folgt.

Um die 72 Stundenfrist nicht aufgrund eines Wochenendes oder ungünstiger Feiertagsregelungen wie in unserem Fall (oder denkbar auch am Pfingstwochenende) zu einem undurchführbaren Gebot werden zu lassen, sieht Art. 3 Abs. 5 Fristen-VO eine Sonderregelung für Stundenfristen vor. Demnach umfasst „jede Frist“ von zwei oder mehr Tagen mindestens zwei Arbeitstage. Daher müssen auch Fristen, die mit mehr als 48 Stunden (= 2 Tage) bemessen sind, mindestens zwei Arbeitstage umfassen.

Arbeitstage sind laut Art. 2 Abs. 2 Fristen-VO alle Tage, die nicht Feiertage, Sonntage oder Sonnabende sind und bei der Berechnung einer Stundenfrist wird gemäß Art. 3 Abs. 1 Fristen-VO die Stunde in der das Ereignis (hier der Datenschutzvorfall) fällt nicht mitgerechnet.

Die Lösung zur Datenpanne nach der Weihnachtsfeier

Für unseren Datenschutzbeauftragten ergebt sich aus dem dargelegten Fall folgende Berechnung:

  • Freitag 22.12, 16:45 Uhr: „bekanntwerden“ Datenschutzvorfall.
  • Freitag 22.12, 17:00 Uhr: Fristanfang: 17:00 Uhr (Art. 3 Abs. 1 Fristen-VO)
  • Samstag 23.12
  • Sonntag 24.12
  • Montag 25.12, 17:00 Uhr: hier eigentlich nach 72 Stunden Fristende! (Art. 3 Abs. 2 lit a, Abs. 3 Fristen-VO)
    Aber: Durch die Arbeitstagregelung des Art. 3 Abs. 5 Fristen-VO jedoch Fristablauf erst nach zwei vollen Arbeitstagen (gedankliche Hilfestellung: „48 Arbeitstagsstunden“)
  • Dienstag 26.12
  • Mittwoch 27.12
  • Donnerstag 28.12, 17:00 Uhr: tatsächliches Fristende
    -> Zwischen Freitag 17:00 Uhr und Donnerstag 17:00 Uhr liegen zwei volle Arbeitstage (Art. 3 Abs. 5 Fristen-VO).

Somit sind die Weihnachtsfeiertage unseres Datenschutzbeauftragten nicht komplett im Eimer. Er kann die Prüfung des Sachverhalts nach dem langen Wochenende am Mittwoch vornehmen und hat bis zum Donnerstag den 28.12 um 17:00 Uhr Zeit, den Datenschutzvorfall bei der zuständigen Aufsichtsbehörde zu melden.

Vollharmonisierung der DSGVO-Fristberechnung

Die Berechnung nach der Fristen-VO für Fristen eines EU-Rechtsaktes erscheint dogmatisch sauberer als der Rückgriff auf nationale Vorschriften. Um eine EU-weite einheitliche Anwendung von Gemeinschaftsrecht zu gewährleisten, sollte daher zur Berechnung der Fristen der DSGVO auf die Fristen-VO Nr. 1182/71 vom 3. Juni 1971 zurückgegriffen werden. Nur so kann verhindert werden, dass eine Data-Breach-Meldung in Spanien zu einem anderen Zeitpunkt erfolgen muss als etwa in Deutschland oder Polen.

Update:

Der BayLfD hält in seiner jüngsten Stellungnahme zur Meldepflicht (S. 38) die Regelung des Art. 3 Abs. 5 Fristen-VO für eine nach Stunden zu bemessende Frist für nicht anwendbar. Er ist der Ansicht, dass die Norm lediglich auf Fristen „von zwei oder mehr Tagen“ angewendet werden kann. Folgt man den bayerischen Vorgaben würde das Fristende beim oben genannten Beispiel tatsächlich auf den 25.12 9 Uhr fallen. In seiner Argumentation erklärt der BayLfD, Stundenfristen dienen als „eine Option um punktgenaue, von der Lage der Feiertage, Sonntage oder Samstage unabhängige Handlungsprogramme festlegen zu können.“

Ob eine Stundenfrist ablaufen sollte, die im Extremfall (Zeitpunkt der Kenntnis Datenschutzverstoß im Beispiel Freitag 23:50 Uhr) ausschließlich Sa-So-oder Feiertagsstunden umfasst darf zumindest stark bezweifelt werden!

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Interessante Ausführungen!

    Mir stellt sich vor Fristablauf aber noch eine Frage: Wann beginnt die Frist? Also ab wann gilt eine Datenpanne als durch das Unternehmen zur Kenntnis genommen? Gibt es „Kriterien“ für die Kenntnisnahme einer Datenpanne? Wann wäre der Zeitpunkt gewesen, wenn der Mitarbeiter nicht an der DS-Schulung teilgenommen, den Fehler also gemacht aber nach dem Fehlversand nicht als Datenpanne erkannt, dafür sein Vorgesetzter den Fehler erst zwischen den Jahren bemerkt und nach Silvester an die für Datenschutz Verantwortliche Stelle im Unternehmen weitergeleitet hätte?

    • Nach Ansicht der Datenschutzbehörden kann die gebotene „Kenntnis“ bereits dann vorliegen, sobald sich in den Ermittlungen zum Datenschutzvorfall ein „angemessener Grad an Sicherheit herauskristallisiert hat“ (s. hierzu: HmbBfDI, Informationspapier zu Data-Breach-Meldungen nach Art. 33 DS-GVO v. 15.11.2018, S. 6; ähnlich auch die Art-29-Datenschutzgruppe die von „hinreichender Gewissheit“ spricht). In der Literatur wird teilweise für den maßgeblichen Zeitpunkt für die Meldepflicht auf den objektiv bereits eingetretenen Verletzungserfolg abgestellt. Die Meldefrist beginnt demnach auch erst mit positiver Kenntnis der stattgefundenen Verletzung. Eine Verletzung ist dann eingetreten, sobald ein Sicherheitsdefizit zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung oder zum unbefugten Zugang von personenbezogenen Daten führt

  • Wenn ich mich richtig erinnere hat sich der BayLfD das mit dem Ablauf der Stundenfrist in seiner OH vom 01.06.2019 anders, weil Art. 3 Abs. 5 Fristen-VO sich nicht auf eine nach Stunden bemessene sondern auf eine nach Tagen bemessene Frist bezieht.
    Die Meinung des BayLfD überzeugt vor dem Hintergrund der Systematik des Art. 3 Fristen-VO mehr, weshalb die 72 Stunden Frist im o.g. Bsp. am 25.12. um 17:00 Uhr tatsächlich enden dürfte.

    • Das BayLfD argumentiert, dass die Stundenfrist als eine Option gedacht ist, punktgenaue, von der Lage der Feiertage undabhängige Handlungsprogramme festlegen zu können. In § 222 Abs. 3 ZPO etwa werden bei der Berechnung einer Stundenfrist Feiertage sogar gänzlich raus genommen sodass eine Stundenfrist hier nichtmal auf einem solchen Tag enden kann. Ein „verschieben“ von Stundenfristen ist daher dem (zumindest nationalen) Gesetzgeber nicht unbekannt!
      Der Abs. 5 könnte daher auch so verstanden werden, dass „Jede Frist“ von zwei oder mehr Tagen (48 oder mehr Stunden) mindestens zwei Arbeitstage umfasst. Im Gegensatz zu den Tagesfristen ist eine Stundenfrist nun dennoch strenger, weil das Fristende sehr wohl auf einene Feiertag fallen kann, was bei den Tagesfristen gemäß Abs. 4 ausgeschlossen ist.

  • Danke für die detaillierte Betrachtung!

    „Auftragsdaten des Kunden Y per Mailverteiler an potenzielle Mitbewerber des Y“
    Wird bei Ihrem Beispiel überhaupt eine Meldung nach Artikel 33 ausgelöst?
    (Verletzung des Schutzes personenbezogener Daten, die zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen)
    Vorraussetzung wäre dann, das es sich beim „Kunden“, der Mitbewerber hat, somit also gewerblich handelt, um eine natürliche Person (oder evtl. noch um eine Personengesellschaft) und keine Firma handelt.?

    • Zur Klarstellung: Selbstverständlich handelt es sich bei dem Kunden um einen Einzelhandelskaufmann und zu allem Überfluss beinhalten die Auftragsdaten ihrerseits wieder personenbezogene oder zumindest personenbeziehbare Daten! Um was für eine Tätigkeit es sich in diesem fiktiven Fall handelt bleibt ihrer Phantasie überlassen!

  • Interpretation für Fristbeginn 72 Stunden ab Bekanntwerden beim Verantwortlichen möglich?

    Es obliegt doch dem Verantwortlichen des Unternehmens die Meldung des Datenverstoß zu verantworten. Der DSB muss dafür Sorge tragen, dass ein effizienter Prozess zur Meldung und Beurteilung der Pannen etabliert ist und hat dafür zu sorgen dass alles ordentlich dokumentiert ist inklusive seiner Prüfung mit abschließender Empfehlung. Im Anschluss muss er aber die Verantwortliche Stelle des Unternehmens informieren und in Kenntnis setzen. Der Verantwortliche hat dann die Pannen selbst zu prüfen und die Entscheidung zu treffen, wer was wie zu melden hat. Diese Entscheidung muss Ihm obliegen, da er auch dafür haftet. Der (interne) DSB kann hierfür doch nur Empfehlungen abgeben…
    Konkret sieht unser Prozess, wie folgt aus:
    Es besteht ein interner Meldungsweg und spätestens innerhalb von zwei Werktagen ist sicherstellt, dass gemeldete Pannen dokumentiert und vom DSB geprüft werden. Nach Prüfung erfolgt die abschließende Vorlage beim Verantwortlichen mit der Schlussentscheidung, wer welche Meldung zu machen hat.
    In meinem Prozess bin ich bisher davon ausgegangen, dass die 72 Stunden erst anlaufen lassen kann, ab der Vorlage der bereits geprüften Pannen beim Verantwortlichen/Chef. Da ich mir rechtlich unsicher bin, habe ich bisher dafür gesorgt, dass in dem Prozess intern die 72 Stunden(von Meldung intern bis Meldung an DS-Behörde) immer eingehalten wurden.
    Bei diesem Verhalten sehe ich bis zur Meldung an den Verantwortlichen kein schuldhaftes zögern im Unternehmen und würde für mich in Zukunft herausnehmen die 72 Stunden erst ab Vorlage beim Chef starten zu lassen. Ich bin ein interner DSB, evtl. würde dies bei einem externen DSB zwingend anders aussehen…

    Könnt Ihr meinen Ausführungen zustimmen oder seht Ihr hier größere Probleme bei der Diskussion mit den Behörden?

    Besten Dank im Voraus, Ihr macht einen Super-Job mit der Website!!!!!

    • Halte ich nicht für vertretbar. Verantwortlicher ist ja das Unternehmen, aber nicht der GF (der haftet allenfalls). Es kommt darauf an, ab wann der Vorfall intern bekannt ist und nicht, wann der GF als Person das weiß. Gibt es keinen ordentlichen Meldeweg, ist das halt ein Organisationsproblem des Unternehmens. Mit ihrer Handhabe könnten Sie sonst die 72 Std auch leicht auf eine Woche oä ausdehnen, wenn es erst in Abteilungen bearbeitet wird bis es zum Boss geht und dann nach ihrer Auffassung erst dann die 72 Std beginnen. Das ist nicht Sinn der Sache und die Kenntnis beim Verantwortlichen liegt bei Bekanntwerden “im Unternehmen” vor.

      • Hallo Klaas K.

        vielen Dank für die Stellungnahme! Dem entnehme ich, dass Sie „nur“ ein Problem mit der Fristberechnung haben, aber nicht mit dem grundsätzlichen Prozess, wie dieser bei uns gelebt wird. Ich werde die 72 Stunden dann ab Bekanntwerden im Unternehmen zukünftig berücksichtigen(wie bisher auch…)

        Besten Dank.

    • Das BayLfD lässt bei einer Datenschutzverletzung, die nicht auf den ersten Blick als solche erkennbar ist, eine Aufklärungsphase von höchstens 24 Stunden ab dem Auftreten hinreichender Anhaltspunkte zu. Wird mehr Zeit benötigt, ist dies in der Meldung selbst zu erläutern.
      Die Verpflichtung zur Meldung entfällt auch dann nicht, sofern noch nicht alle Mindestinhalte nach Art. 33 Abs. 3 DSGVO vorliegen. Art. 33 Abs. 4 DSGVO sieht in solchen Fällen eine schrittweise Information an die Behörde vor.
      Einer Literaturansicht nach wird die Meldepflicht ausgelöst, sobald dem Verantwortlichen (=Organisationseinheit) Informationen über Art, Umstände und Zeitpunkt der Schutzverletzung sowie über die Kategorien der betroffenen Daten vorliegen.

  • Erst einmal Danke für den interessanten Artikel, den ich eigentlich wegen der 72-Stunden-Frist gelesen hatte! Ich komme jedoch bei „Die Lösung zur Betroffenenanfrage im Dezember“ zu einem anderen Ergebnis:

    Ereignis: 15.12. (Antragseingang)
    Fristbeginn: 16.12., 0.00 Uhr
    Fristende: 16.01., 24.00 Uhr

    Nach meiner Lesart des Art. 3 Abs. 2 lit. c der VO beträgt eine hier relevante Monatsfrist „1 Monat plus ein Tag“, denn der letzte Tag muss dieselbe Zahl tragen wie der erste Tag der Frist (16.) und dort gilt dann der Ablauf der letzten Stunde. (vgl. dazu auch den anderslautenden Wortlaut in § 188 Abs.2 BGB)

    • Streng nach dem Wortlaut liegt es nahe, für die Berechnung des Fristendes den „Tag des Fristbeginns“ i.S.d. Art. Art. 3 Abs. 2 lit. c Fristen-VO als jenen Tag zu verstehen, der sich als Beginn des Fristlaufs gem. Art. 3 Abs. 1 2. Unterabs. Fristen-VO ergib. Dann müsste, wie sie sagen, der „Tag des Fristbeginns“ eigentlich der 16.12 sein.
      Der EuGH versteht den eindeutigen Wortlaut allerdings anders und unterscheidet zwischen „ Dem Tag des Fristbeginns“ und dem Tag, an dem die Frist tatsächlich zu laufen beginnt.
      Um die durch den Wortlaut ermöglichte Verlängerung etwa einer einwöchigen Frist auf acht Tage oder einer zweiwöchigen Frist auf 15 Tage usw. zu verhindern, muss man daher den „Tag des Fristbeginns“, entgegen dem Wortlaut, als den Tag, in den das Ereignis fällt, ansehen und den darauffolgenden Tag als denjenigen, ab dem die Frist tatsächlich zu laufen beginnt.
      Würde man den Tag des Fristbeginns nicht mitrechnen hätte dies zur Folge, dass die vorzeitige Vornahme der Handlung, die eigentlich in der laufenden Frist zu tätigen ist, noch an dem Tag des fristauslösenden Ereignisses selbst zu einer nicht fristgerechten Vornahme führen würde, da sie vor Lauf der Frist vorgenommen wurde. Es läuft im Zeitpunkt der Vornahme der Handlung also noch gar keine Frist und die dennoch vorgenommene Handlung wäre nicht beachtlich.
      In unserem Fall wäre daher ein Beantwortung des Antrags am 15.12 nicht innerhalb der Frist und dementsprechend nicht beachtlich. Das kann jedoch nicht gewollt sein. Daher ist der Tag des Fristbeginns in die Berechnung einzubeziehen, auch wenn der Lauf der Frist erst am darauf folgenden Tag um 00:00 Uhr beginnt.

  • Datenschutzverstöße sind mitunter nicht sofort als solche zu erkennen. Ich lege die Frist daher so aus, dass erst dann, wenn ein Datenschutzverstoß als solcher erkannt wird (personenbezogene Daten betroffen, Schutzziele verletzt) die 72 Stunden laufen. Die „hinreichende Gewissheit“ bedingt m.E. das Erkennen, die interne Meldung und/oder die Erstbewertung, aber eben nicht automatisch den Zeitpunkt des Eintretens.

    • Vollkommen zutreffend. Im Ausgangsbeispiel geschieht daher der Vorfall ja schon am 21.12. wird aber erst am nächsten Tag kurz vor Feierabend erkannt und unsere Berechnung der Frist beginnt dann am Freitag 22.12 um 16:45 Uhr mit „bekanntwerden“.

  • Geehrte Damen und Herren, liebes Dr. Datenschutzteam,
    Danke für Aufnahme und Ausführung des Fristen-Themas im Blog.
    Für den oben erwähnten Fall der Datenpanne mit Fristbeginn Freitag, 22.12., 17 Uhr komme ich meinem Verständnis nach zum Ablauf der Frist mit Freitag, 29.12., 17 Uhr (= 72 Std. an Arbeitstagen) .
    Die ersten 24 Stunden: Fr., 22.12., 17 Uhr – Mi., 27.12., 17 Uhr
    Die letzten 48 Stunden: Mi., 27.12., 17 Uhr – Fr., 29.12., 17 Uhr
    Begründung: der 26.12. ist ein gesetzlicher Feiertag und zählt nicht als Arbeitstag.
    Wie begründen Sie die Einrechnung des 26.12. in die Fristenberechnung? Worin liegt mein Missverständnis?
    Hochachtungsvoll!

    • Ihr Missverständnis liegt darin, dass sie für die Frist von 72 Stunden an Arbeitstagen ausgehen. Wie im Beitrag geschildert läuft eine nach Stunden bemessene Frist aber nicht nur an Arbeitstagen, sondern auch während des Wochenendes oder einem Feiertag und kann an diesen auch enden. Dementsprechend endet sie in unserem Beispiel eigentlich am Montag. Die Sonderregelung des Art. 3 Abs. 5 Fristen-VO besagt aber, dass die Frist zwei Arbeitstage (48 Std.) umfassen muss. Bis dahin wird die Frist verlängert. Da innerhalb der Frist schon ein Arbeitstag liegt, wird sie nur um weitere 24 Stunden verlängert, um auf die zwei Arbeitstage zu kommen, und nicht um 48 Stunden wie in Ihrem Beispiel.

      • D’accord, die DSGVO hat keine Arbeitstage definiert.
        Wenngleich dies für einen Datenschutzbeauftragten bedeutet, dass sich dadurch die für ihn zur Verfügung gestellte Zeit, zu sonst üblichen Arbeitstagen/-zeiten, tats. verkürzt. Im konkreten Fall von durchgängigen 3 Arbeitstagen und ihren 72 Stunden auf nunmehr zwei durchgehende Tage und damit 48 Stunden. Mit Verlaub, an einem Fr., den 22.12. nach 13 Uhr wird man die Arbeitsfähigkeit womöglich nicht mehr einwandfrei gewährleisten können.

        Wir verhält sich das iMn dann folgendem Beispiel:
        Do., 07.07.2022, 15 Uhr (Fristenbeginn)
        So., 10.07.2022, 15 Uhr (hier Ende der eigentlichen 72 Stunden Frist)

        Tatsächliches Fristende dann am:
        Mo., 11.07.2022, 15 Uhr
        oder Di. 12.07.2022, 15 Uhr?

        Ich würde gern von einem Dienstag, 12.07.2022, 15 Uhr ausgehen (Art. 3 Abs. 5 Fristen-VO) wollen können.

        • Arbeitstage sind in Art. 2 Abs. 2 Fristen-VO definiert, nämlich alle Tage, die nicht Feiertage, Sonntage oder Sonnabende sind. Aber nach Art. 3 Fristen-VO gilt, dass Fristen Feiertage, Sonntage und Sonnabende umfassen, soweit diese nicht ausdrücklich ausgenommen oder die Frist nach Arbeitstagen bemessen ist. Dahinter steckt der Gedanke, dass Fristen ohne diese ausdrückliche Einschränkung vom Gesetzgeber aufgrund der Dringlichkeit der vorzunehmenden Handlung bewusst so erlassen wurden. Beim Art 33 DSGVO fehlt eine Einschränkung (… binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, …). Dementsprechend schreiben Sie in Ihrem Beispiel richtigerweise, dass die Frist am Sonntag endet. Durch die Ausnahme des Art. 3 Abs. 5 Fristen-VO wird diese bis zum Montag um 15 Uhr verlängert, damit sie zwei Arbeitstage umfasst.

  • Vielleicht auch für Mitlesende interessant:
    Es heißt ja oft, dass bei Betroffenenanfrage eine erste Kenntnisnahme des Eingangs der Anfrage binnen 48 Stunden stattzufinden hat. Gibt es hierzu eigentlich einen gesetzliche Normierung bzw. Ableitung, Entscheidungen durch Gerichte oder zumindest Stellungnahmen durch Behörden/Gremien? Oder hat sich „binnen 48 Stunden Kenntnisnahme“ einfach eingebürgert, ist aber keine „offiziell“ verpflichtende Frist?

    Mal unabhängig davon, dass eine schnelle erste Antwort (persönlich oder automatisiert) mit Information der Kenntnisnahme natürlich an sich gut ist.

    • Exakt. Die Kenntnisnahme des Eingangs binnen 48 Stunden kann als „Serviceleistung“ betrachtet werden. Eine gesetzliche Pflicht findet sich hierzu nicht. Auch aus Art. 15 DSGVO ergibt sich direkt keine Erledigungsfrist. Allerdings bestimmt Art. 12 Abs. 3 DSGVO, dass die geschuldeten Informationen „unverzüglich“, jedenfalls aber innerhalb eines Monats nach Eingang des Antrages zu erteilen sind und nur in Ausnahmefällen eine Maximalfrist von drei Monaten gilt.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.