Art. 33 DSGVO sieht die Meldung einer Datenschutzverletzung (sog. Datenpanne) innerhalb einer 72-Stunden-Frist an die Datenschutzaufsichtsbehörde als Regelfall vor. Dies ist an und für sich bereits eine organisatorische Herausforderung für jeden Verantwortlichen. Die Situation verschärft sich zusätzlich, wenn die Datenpanne an einem Donnerstagnachmittag oder Freitag auftritt, weil dann das Fristende auf den Sonntag bzw. den Montag fällt, da das Wochenende bei der Fristberechnung (bislang) nicht ausgespart wird. Dies liegt an der einschlägigen EU-Verordnung zur Berechnung von Fristen bei EU-Rechtsakten (VO (EWG, EURATOM) Nr. 1182/71 vom 3. Juni 1971 „zur Festlegung der Regeln für die Fristen, Daten und Termine“; im Folgenden Fristen-VO). Das heißt, dass de facto nur ein Arbeitstag für Verantwortliche und Datenschutzbeauftragte bleibt, um den Vorfall aufzuarbeiten und ggf. an die Aufsichtsbehörde zu melden.
Aber hier zeichnet sich nunmehr eine Erleichterung für alle Verantwortlichen und Datenschutzbeauftragten ab. Denn geht es nach dem Verordnungsvorschlag der EU-Kommission COM (2023) 348 „zur Festlegung von zusätzlichen Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679“ (im Folgenden DSGVO Verfahrens-VO), wird das Wochenende zukünftig bei der Fristberechnung ausgespart. Dies hätte zur Folge, dass eine Datenpanne, die an einem Freitag bekannt wird, noch bis zum darauffolgenden Mittwoch um 23.59 Uhr fristgerecht gemeldet werden könnte. Der Vollständigkeit halber sei erwähnt, dass laut Art. 33 Abs. 1 DSGVO „unverzüglich“ gemeldet werden muss, aber soweit ersichtlich ist dies innerhalb der 72-Stunden-Frist noch nie in Frage gestellt worden.
Dieses begrüßenswerte Ergebnis liegt an Art. 29 Abs. 2 DSGVO Verfahrens-VO. Wurde bislang die 72-Stunden-Frist ab Kenntniserlangung über die Datenschutzverletzung berechnet, soll sie zukünftig erst am nächsten Arbeitstag beginnen. Dabei ist entscheidend, dass der Verordnungstext nicht einfach vom nächsten Tag spricht, sondern den Begriff „Arbeitstag“ verwendet. Dies deshalb, weil eigentlich Art. 3 Abs. 2 lit. a Fristen-VO die Wochenendtage und Feiertage bei der Fristberechnung einbezieht. Aber Art. 3 Abs. 3 Fristen-VO erlaubt hiervon eine Ausnahme, wenn ein Gesetzesakt von dieser Regelfristberechnung abweicht und ausdrücklich auf die Berechnung nach „Arbeitstagen“ abstellt. Dadurch, dass Art. 29 Abs. 2 DSGVO Verfahrens-VO genau dies tut, werden die Wochenendtage (und Feiertage) vom Fristablauf ausgenommen. Ein entscheidendes Detail ist dabei, dass Art. 2 Abs. 2 Fristen-VO – im Gegensatz zur deutschen Fristberechnung nach BGB – nicht nur die Sonn- und Feiertage, sondern auch die Samstage von den Arbeitstagen ausnimmt. Daher ist nach dem Freitag der nächste Arbeitstag nicht der Samstag, sondern eben erst der Montag.
Allerdings sollte man mit seiner Vorfreude noch vorsichtig sein, da noch zwei Lesungen im Parlament ausstehen. Der federführende LIBE-Ausschuss des EU-Parlaments hat unterdessen die Streichung von Art. 29 DSGVO Verfahrens-VO gefordert (siehe Stellungnahme des EU-Parlaments vom 09.11.2023, S. 119), allerdings ohne eine eingehendere Begründung. Vielleicht schreiben Sie dem zuständigen Berichterstatter im Ausschuss, Herrn Sergey Lagodinsky (Website: https://lagodinsky.de/), dass er sich für die Einführung dieser entlastenden Regelung einsetzen sollte statt für die Streichung. Schließlich finden im Juni 2024 die nächsten Europawahlen statt.
Imke Behnke
11. Januar 2024 @ 14:41
Da ich öfters mit DS-Verletzungen zu tun habe, würde ich diese neue Regelung begrüßen. Man kann nur hoffen, dass diese Regelung eingeführt wird.
Nicolaus Kern
11. Januar 2024 @ 16:28
Mit der Meinung stehen Sie nicht alleine da. Man kann nur hoffen, dass noch der eine oder andere Praktiker im EU-Parlament Gehör findet. Kontaktmöglichkeit ist im Artikel verlinkt.
Anonymous
11. Januar 2024 @ 12:18
Entgegen ihres Artikels bin ich bisher davon ausgegangen, dass ein Samstag (Sonnabend) ebenfalls von der Fristberechnung ausgenommen ist. Habe ich hier was übersehen?
Nicolaus Kern
11. Januar 2024 @ 16:26
Vielen Dank für die Nachfrage und die Gelegenheit, dies klarzustellen.
Da die Frist in Art. 33 Abs. 1 DSGVO in Stunden bemessen ist, richtet sich der Fristlauf nach Art. 3 Abs. 1 und Abs. 2 a) Fristen-VO. Dabei wird nicht nach Arbeitstagen differenziert. Die Frist beginnt mit der auf die Datenschutzverletzung folgenden Stunde und endet 72 Stunden später. Eine Hemmung durch das Wochenende tritt nicht ein. Daher kommt der Zeitdruck bei einer Datenschutzverletzung, wenn diese an einem Freitag auftritt.
Art. 3 Abs. 3 der Fristen-VO stellt dies noch einmal ausdrücklich fest:
„Die Fristen umfassen die Feiertage, die Sonntage und die Sonnabende, soweit diese nicht
ausdrücklich ausgenommen oder die Fristen nach
Arbeitstagen bemessen sind.“
Art. 33 DSGVO sieht aber keine Ausnahme vom Regelfall vor. Deswegen ist es entscheidend, dass im Entwurf zur DSGVO-Verfahrens-VO der Fristbeginn auf den nächsten Arbeitstag gelegt wird. Dies ist dann ggf. erst der Montag.
Markus Rotzinsky
5. Januar 2024 @ 12:27
Ich glaube, wir haben andere Probleme im Datenschutz. 🙂
Nicolaus Kern
8. Januar 2024 @ 10:23
Das stimmt natürlich.
Aber man ist ja für jede positive Nachricht dankbar. Und die, die die Meldepflicht in der Praxis umsetzen müssen, werden wahrscheinlich sehr dankbar für die Gesetzesänderung sein.
Die jetzige (undifferenzierte) strenge Fristsetzung führt in der Praxis sehr häufig zu unnötigem Stress bei den Beteiligten, ohne dass dies dem Datenschutz in irgendeiner Weise nützen würde. Viele Meldungen über Datenschutzverletzungen erfordern kein Handeln innerhalb von drei Tagen. Sie werden dementsprechend auch nicht kurzfristig von den Aufsichtsbehörden bearbeitet. Oft wochen- und monatelang nicht.
So verhilft man dem Datenschutz nicht zu der gewünschten Akzeptanz in Unternehmen oder Behörden. Unabhängig von der 72-Stunden-Frist bleibt ja die Verpflichtung zur unverzüglichen Meldung bestehen. Insofern ist es zu begrüßen, dass der Gesetzgeber etwas mehr Augenmaß walten lässt.