In Anbetracht der hohen Sanktionsmöglichkeiten der DSGVO kommt der Einhaltung von Fristen eine besondere Bedeutung zu. In der Praxis spielt insbesondere die korrekte Bemessung der 72-Stundenfrist zur Meldung von Datenpannen für Unternehmen eine wichtige Rolle.
Die Pflicht zur Meldung nach Art. 33 DSGVO setzt in dem Zeitpunkt ein, in dem die Verletzung dem Verantwortlichen bekannt wird. Hiernach hat die Meldung unverzüglich (ohne schuldhaftes Zögern) und möglichst binnen 72 Stunden zu erfolgen.
Zwar ist dabei zu beachten, dass es grundsätzlich Fälle geben kann, bei denen eine Meldung auch bereits vor Ablauf der 72 Stunden erfolgen muss, da diese ansonsten schuldhaft im Sinne der Vorschrift verzögert würde. Der Zeitrahmen von 72 Stunden sollte dennoch als festgelegte Höchstfrist bei einer Meldung nicht aus den Augen verloren werden. Wird die Frist überschritten, löst dies stets eine Begründungspflicht gegenüber der Aufsichtsbehörde aus.
Entsprechend hat eine rechtskonforme Fristenberechnung aus Unternehmenssicht eine hohe Relevanz. Entscheidend ist zunächst, nach welcher Regelung die Frist zu berechnen ist. Häufig findet man an dieser Stelle einen Verweis auf nationale Regelungen (für Deutschland etwa die §§ 186 ff. Bürgerliches Gesetzbuch). Dies birgt die Gefahr einer in jedem europäischen Mitgliedsstaat nach nationalem Recht unterschiedlichen Fristenberechnung.
In Ihrem Aufsatz „Wie lange dauern 72 Stunden? Umgang mit der EU-weiten Fristenverordnung am Beispiel der DSGVO“ (ZD 2019, 152ff) stellen Dr. Carlo Piltz und Melanie Pradel dar, wie durch die Heranziehung der Vorgaben der Verordnung „VO (EWG, EURATOM) Nr. 1182/71 des Rates v. 3.6.1971 zur Festlegung der Regeln für die Fristen, Daten und Termine“ (kurz: Fristen-VO) eine EU-weit einheitliche Fristenberechnung gewährleistet wird.
Rechtssicherheit besteht für Verantwortliche diesbezüglich aktuell leider dennoch nicht. Zwar liegt mit der Fristen-VO aufgrund des Anwendungsvorrangs des Unionsrechts eine einheitliche Rechtsgrundlage vor. Jedoch kursieren hinsichtlich der Auslegung bzw. Anwendung einzelner Vorgaben der Fristen-VO unterschiedliche Rechtsauffassungen:
Konsens besteht zunächst hinsichtlich des Fristbeginns. Art. 3 Abs. 1 1. Unterabs. Fristen-VO legt hierzu Folgendes fest: „Ist für den Anfang einer nach Stunden bemessenen Frist der Zeitpunkt maßgebend, in welchem ein Ereignis eintritt oder eine Handlung vorgenommen wird, so wird bei der Berechnung dieser Frist die Stunde nicht mitgerechnet, in die das Ereignis oder die Handlung fällt.“ Wird dem Verantwortlichen also eine Datenschutzverletzung um 10:15 Uhr bekannt, beginnt die Frist erst um 11:00 Uhr.
Unsicherheiten bestehen hingegen insbesondere bei der Festlegung des Fristendes, wenn innerhalb der laufenden 72-Stundenfrist Feiertage bzw. Wochenenden liegen.
Der Bayerische Landesbeauftragte für den Datenschutz geht in seiner Orientierungshilfe zur „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ aus Juni 2019 davon aus, dass die Frist an Feier- und Wochenendtagen weiterläuft. Hat der Verantwortliche hiernach an einem Freitag um 12 Uhr Kenntnis von einer Datenschutzverletzung erlangt, endet die Frist bereits am Montag um 12 Uhr.
Umstritten ist, ob Art. 3 Abs. 5 Fristen-VO in diesen Fällen zu einer Fristverlängerung führt. Die Vorschrift legt fest, dass jede Frist von zwei oder mehr Tagen mindestens zwei Arbeitstage umfassen muss.
Die bayerische Aufsichtsbehörde hält diese Regelung jedoch auf eine nach Stunden bemessene Frist, wie die 72-Stundenfrist eine ist, aufgrund der Formulierung „Frist von zwei oder mehr Tagen“ für nicht anwendbar.
Mit überzeugenden Argumenten vertreten Dr. Carlo Piltz und Melanie Pradel in ihrem Aufsatz eine andere Auffassung. Nach dem Wortlaut des Art. 3 Abs. 5 Fristen-VO wird „jede Frist“ von der Verlängerung erfasst. Eine Ausnahme wie sie sich beispielsweise in Art. 3 Abs. 4 1. Unterabs. Fristen-VO findet („Fällt der letzte Tag einer nicht nach Stunden bemessenen Frist auf einen Feiertag…“), findet sich zudem in Abs. 5 nicht. Entsprechend müssen (alle) Fristen, die 48 Stunden bzw. 2 Tage übersteigen, mindestens (auch) zwei Arbeitstage umfassen. Nach dieser Auslegung des Art. 3 Abs. 5 Fristen-VO würde das Fristende in dem genannten Fallbeispiel nicht mehr auf Montag, sondern Dienstag 12 Uhr fallen, da ansonsten noch nicht zwei Arbeitstage umfasst wären.
Dieser zusätzliche Tag kann aus Unternehmenssicht im Rahmen der Meldung einer Datenpannen einen entscheidenden (und nicht zuletzt bußgeldrelevanten) Unterschied machen. Umso bedauerlicher sind die dargestellten aktuell existierenden Rechtsunsicherheiten. Eine zeitnahe einheitliche Abstimmung zwischen den Aufsichtsbehörden wäre hier wünschenswert.
Die Argumente für eine Anwendbarkeit des Art. 3 Abs. 5 Fristen-VO sind nach hiesiger Ansicht zwar überzeugend. Aufgrund der im Raum stehenden gegenteiligen Rechtsauffassung der bayerischen Aufsichtsbehörde bietet aktuell jedoch nur eine starre Berechnung nach Stunden (ohne die dargestellte Fristverlängerungsmöglichkeit des Art. 3 Abs. 5 Fristen-VO) wirkliche Rechtssicherheit.
Über aktuelle Entwicklungen in diesem Bereich halten wir Sie selbstverständlich in unserem Blog auf dem Laufenden.
Nope
12. August 2019 @ 20:13
Gute Zusammenfassung! Endlich mal eine mit Beachtung der bayrischen Stellungnahme und gleichzeitiger Ablehnung.
Fritz von Allmen
12. August 2019 @ 11:41
Insbesondere sollte man sich auch die Frage stellen was der SINN ist der Meldung an Datenschutzbehörden; entsprechend lässt sich eine gehaltvollere Anwort auf das Fristenproblem geben.
Aus meinen Beobachtungen möchte ich ergänzen:
– Vorrang hat die Information an die BETROFFENEN – dieser muss zwingend Priorität eingeräumt werden (eine exakte und lückenlose Sachverhaltsklärung ist wichtiger als der Blick auf die Uhr) um Folgeschäden zu vermeiden.
– oftmals vergeht einige Zeit zwischen dem ersten Verdachtsmoment mit Indizien bis man ein genügendes Verständnis aufgebaut hat über Art, Umfang und Ursache der Panne. Auch hier halte ich es nicht für sinnvoll mit Halbwissen Aktionen loszutreten („Hauptsache die Frist ist eingehalten, auch wenn wir bisher nur Vermutungen haben“). Sinnvoller ist es hier frühzeitig den Dialog mit Aufsichtsbehörden zu suchen.