Art. 33 DSGVO sieht die Meldung einer Datenschutzverletzung (sog. Datenpanne) innerhalb einer 72-Stunden-Frist an die Datenschutzaufsichtsbehörde als Regelfall vor. Dies ist an und für sich bereits eine organisatorische Herausforderung für jeden Verantwortlichen. Die Situation verschärft sich zusätzlich, wenn die Datenpanne an einem Donnerstagnachmittag oder Freitag auftritt, weil dann das Fristende auf den Sonntag bzw. den Montag fällt, da das Wochenende bei der Fristberechnung (bislang) nicht ausgespart wird. Dies liegt an der einschlägigen EU-Verordnung zur Berechnung von Fristen bei EU-Rechtsakten (VO (EWG, EURATOM) Nr. 1182/71 vom 3. Juni 1971 „zur Festlegung der Regeln für die Fristen, Daten und Termine“; im Folgenden Fristen-VO). Das heißt, dass de facto nur ein Arbeitstag für Verantwortliche und Datenschutzbeauftragte bleibt, um den Vorfall aufzuarbeiten und ggf. an die Aufsichtsbehörde zu melden.

Aber hier zeichnet sich nunmehr eine Erleichterung für alle Verantwortlichen und Datenschutzbeauftragten ab. Denn geht es nach dem Verordnungsvorschlag der EU-Kommission COM (2023) 348 „zur Festlegung von zusätzlichen Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679“ (im Folgenden DSGVO Verfahrens-VO), wird das Wochenende zukünftig bei der Fristberechnung ausgespart. Dies hätte zur Folge, dass eine Datenpanne, die an einem Freitag bekannt wird, noch bis zum darauffolgenden Mittwoch um 23.59 Uhr fristgerecht gemeldet werden könnte. Der Vollständigkeit halber sei erwähnt, dass laut Art. 33 Abs. 1 DSGVO „unverzüglich“ gemeldet werden muss, aber soweit ersichtlich ist dies innerhalb der 72-Stunden-Frist noch nie in Frage gestellt worden.

Dieses begrüßenswerte Ergebnis liegt an Art. 29 Abs. 2 DSGVO Verfahrens-VO. Wurde bislang die 72-Stunden-Frist ab Kenntniserlangung über die Datenschutzverletzung berechnet, soll sie zukünftig erst am nächsten Arbeitstag beginnen. Dabei ist entscheidend, dass der Verordnungstext nicht einfach vom nächsten Tag spricht, sondern den Begriff „Arbeitstag“ verwendet. Dies deshalb, weil eigentlich Art. 3 Abs. 2 lit. a Fristen-VO die Wochenendtage und Feiertage bei der Fristberechnung einbezieht. Aber Art. 3 Abs. 3 Fristen-VO erlaubt hiervon eine Ausnahme, wenn ein Gesetzesakt von dieser Regelfristberechnung abweicht und ausdrücklich auf die Berechnung nach „Arbeitstagen“ abstellt. Dadurch, dass Art. 29 Abs. 2 DSGVO Verfahrens-VO genau dies tut, werden die Wochenendtage (und Feiertage) vom Fristablauf ausgenommen. Ein entscheidendes Detail ist dabei, dass Art. 2 Abs. 2 Fristen-VO – im Gegensatz zur deutschen Fristberechnung nach BGB – nicht nur die Sonn- und Feiertage, sondern auch die Samstage von den Arbeitstagen ausnimmt. Daher ist nach dem Freitag der nächste Arbeitstag nicht der Samstag, sondern eben erst der Montag.

Allerdings sollte man mit seiner Vorfreude noch vorsichtig sein, da noch zwei Lesungen im Parlament ausstehen. Der federführende LIBE-Ausschuss des EU-Parlaments hat unterdessen die Streichung von Art. 29 DSGVO Verfahrens-VO gefordert (siehe Stellungnahme des EU-Parlaments vom 09.11.2023, S. 119), allerdings ohne eine eingehendere Begründung. Vielleicht schreiben Sie dem zuständigen Berichterstatter im Ausschuss, Herrn Sergey Lagodinsky (Website: https://lagodinsky.de/), dass er sich für die Einführung dieser entlastenden Regelung einsetzen sollte statt für die Streichung. Schließlich finden im Juni 2024 die nächsten Europawahlen statt.