Nach Artikel 33 Abs. 1 der Datenschutzgrundverordnung (DSGVO) hat der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, bei der zuständigen Aufsichtsbehörde nach deren Bekanntwerden zu melden. Aber wie wird die Meldefrist bei Datenschutz-Verletzung berechnet?
1. Anwendbare Normen
Zunächst ist festzustellen, dass die aus dem deutschen Recht bekannten Normen zur Berechnung von Fristen (insbes. §§ 186 ff. BGB) für eine europäische Verordnung nicht anwendbar sind. Es existiert auch keine Regelung innerhalb der DSGVO, die nationale Regelungen zur Fristenberechnung für anwendbar erklärt.
Die Berechnung der in Artikel 33 Abs. 1 DSGVO benannten Meldefrist bei Datenschutz-Verletzung hat vielmehr nach überwiegender Ansicht unter Zugrundelegung der sogenannten EU-Fristenverordnung (Fristen-VO) zu erfolgen (anders Träger in RDV 2020, 3 ff., der die Fristen-VO für nicht anwendbar hält). Die Fristen-VO gilt für Rechtsakte, die der Rat und die Kommission auf Grund des Vertrages zur Gründung der Europäischen Wirtschaftsgemeinschaft erläßt (Art. 1 Fristen-VO). Der Vertrag zur Gründung der Europäischen Wirtschaftsgemeinschaft ist der Vorgängervertrag des Vertrags über die Arbeitsweise der Europäischen Union, auf den die Datenschutz-Grundverordnung – eine Verordnung des Europäischen Parlaments und des Rates – gestützt ist.
2. Berechnung der Frist
Wie die 72-Stunden Meldefrist bei Datenschutz-Verletzung konkret berechnet wird, richtet sich nach den Art. 2 ff. Fristen-VO. So regelt Art. 3 Abs. 1 Unterabs. 1 Fristen-VO für den Fristbeginn zunächst, dass für den Anfang einer wie hier nach Stunden bemessenen Frist der Zeitpunkt maßgebend ist, in welchem ein Ereignis eintritt oder eine Handlung vorgenommen wird.
Anknüpfungspunkt ist also das Bekanntwerden der Datenschutz-Verletzung beim Verantwortlichen. Bekannt ist eine Verletzung grundsätzlich dann, wenn der Verantwortliche eine hinreichende Gewissheit darüber hat, dass ein Sicherheitsvorfall aufgetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat. Der Verantwortlichen hat hierbei zunächst die Möglichkeit, den Sachverhalt aufzuklären und zu prüfen, ob aufgrund tatsächlicher Anhaltspunkte eine hohe Wahrscheinlichkeit einer Verletzung besteht (vgl. Laue/ Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, §7 Rdnr. 47). Erst nach dieser Feststellung beginnt die Frist zu laufen.
Bei der Bestimmung des Fristbeginns ist darauf zu achten, dass die Stunde nicht mitzurechnen ist, in die das Ereignis oder die Handlung -also das Bekanntwerden – fällt. D.h., wenn der Verantwortliche z.B. an einem Freitag um 15:45 Uhr Kenntnis von einer Datenschutzverletzung erhält, beginnt der Lauf der 72-Stunden-Frist erst um 16:00 Uhr desselben Tages.
Für die Berechnung des Endes der 72-Stunden-Frist bestimmt Art. 3 Abs. 2 Buchst. a Fristen-VO, dass diese „mit Ablauf der letzten Stunde der Frist“ endet. Die 72-Stunden-Frist kann im Gegensatz zu den deutschen Fristenregelungen (vgl. § 193 BGB), auch an einem Feiertag, Sonntag oder Samstag enden.
Weil Art. 3 Abs. 4 Unterabs. 1 Fristen-VO nicht auf Fristen anwendbar ist, die nach Stunden bemessen sind, verlängert sich diese nicht (!) bis zum nächsten Arbeitstag. Arbeitstag ist nach Art. 2 Abs. 2 Fristen-VO ein Tag, der nicht Feiertag, Sonntag oder Samstag ist.
Wenn demnach dem Verantwortlichen an einem Mittwoch um 16:45 Uhr ein Verstoß bekannt wird, endet die 72-Stunden-Frist zur Meldung an die Aufsichtsbehörde am Samstag um 17:00 Uhr.
3. Problem: Fristverlängerung des Art 3 Abs. 5 Fristen-VO
Uneinigkeit besteht zurzeit hinsichtlich der Frage, ob Art. 3 Abs. 5 Fristen-VO zu einer Verlängerung der 72-Stunden-Frist führen kann, wenn zwischen Fristbeginn und -ende keine vollen zwei Arbeitstage liegen. Ablehnend hat sich diesbezüglich der Bayerische Landesbeauftragte für den Datenschutz in seiner Orientierungshilfe vom 01.06.2019 geäußert. Arbeitstage sind laut Art. 2 Abs. 2 Fristen-VO alle Tage, die nicht Feiertage, Sonntage oder Sonnabende sind.
„Jede Frist von zwei oder mehr Tagen umfasst mindestens zwei Arbeitstage.“
Artikel 3 Abs. 5 Fristen-VO
Beginnt die Frist z.B. an einem Freitag um 17:00 Uhr, käme man bei Anwendung von Art. 3 Abs. 5 Fristen-VO zu einem Fristende am Dienstag um 17:00 Uhr. Bei Nicht-Anwendbarkeit von Art. 3 Abs. 5 Fristen-VO wäre Fristende bereits am Montag um 17:00 Uhr.
Die Nicht-Anwendbarkeit von Art. 3 Abs. 5 Fristen-VO wird vom Bayrischen Landesbeauftragten mit dem Wortlaut des Art. 3 Abs. 5 Fristen-VO begründet. Dieser setze eine „Frist von zwei oder mehr Tagen“ und somit ausschließlich eine nach Tagen und nicht nach Stunden bemessene Frist voraus.
Diese Ansicht vermag jedoch nicht zu überzeugen
Art. 3 Abs. 5 Fristen-VO differenziert im Gegensatz zu den vorherigen Absätzen des Art 3 gerade nicht nach der Art der Fristen. Es kommt demnach nicht darauf an, ob diese Fristen „nach Stunden“ (so Art 3 Abs. 2a), „nach Tagen“ (so Art 3 Abs. 2b), „nach Wochen, Monaten oder Jahren“ (so Art 3 Abs. 2c) oder nach „Monatsbruchteilen“ (Art 3 Abs. 2d) bemessen ist. Vielmehr wird nach dem Wortlaut des Art. 3 Abs. 5 Fristen-VO gerade „Jede Frist…“ von der Verlängerung erfasst, also auch die hier einschlägige 72-Stunden-Frist.
Im Ergebnis müssen daher alle Fristen, also auch die 72-Stunden Meldefrist bei Datenschutz-Verletzung, die zwei Tage (48 Stunden) übersteigen, mindestens (auch) zwei Arbeitstage umfassen (so auch Piltz/Pradel in ZD 2019, 152).
Im aufgeführten Beispiel, wo der Fristbeginn auf einen Freitag um 17:00 Uhr fällt, tritt das Fristende unter Anwendung des Art. 3 Abs. 5 Fristen-VO nach der hier vertretenen Ansicht also erst am Dienstag um 17:00 Uhr ein. Dies ist ein erheblicher Unterschied aus der Sicht eines betroffenen Unternehmens, da eine verspätete Meldung grundsätzlich ein bußgeldrelevantes Verhalten darstellt.
4. Fazit: den „sichersten Weg“ gehen
Unternehmen müssen sich zunächst darauf einstellen, dass im Gegensatz zu den bekannten deutschen Fristenregelungen, die Frist zur Meldung einer Datenschutz-Verletzung auch am Wochenende bzw. an einem Feiertag enden kann. Hier ist durch entsprechende organisatorische Maßnahmen sicherzustellen, dass eine fristwahrende Meldung grundsätzlich auch an diesen Tagen möglich ist. Darüber hinaus sind die beschriebenen Unsicherheiten zur Frage, ob innerhalb des Fristenlaufs mindestens 2 Arbeitstage liegen müssen (vgl. Art 3 Abs. 5 Fristen-VO), zu beachten. Angesichts der Handhabung der Fristenberechnung durch die Bayerische Datenschutzbehörde ist grundsätzlich zu empfehlen, den sichersten Weg zu beschreiten. So sollte eine Meldung vorsorglich so erfolgen, dass die Frist auch unter Berücksichtigung der Praxis der Bayerischen Datenschutzbehörde gewahrt bleibt.
Wir helfen Ihnen in Zukunft Meldefristverletzungen zu vermeiden, sprechen Sie gerne unsere Berater an.
Wenn Sie Hilfe benötigen, kontaktieren Sie uns.