Problematik der 72 Stunden Frist
Nach Artikel 33 Abs. 1 der Datenschutzgrundverordnung (DSGVO) hat der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, bei der zuständigen Aufsichtsbehörde nach deren Bekanntwerden zu melden.
Aber wie wird diese Frist berechnet?
1. Anwendbare Normen
Zunächst ist festzustellen, dass die aus dem deutschen Recht bekannten Normen zur Berechnung von Fristen hier nicht anwendbar sind (insbes. §§ 186 ff, BGB). Hier fehlt es bereits an einer Norm innerhalb der DSGVO, die auf die nationalen Regelungen verweisen würde.
Die Berechnung der in Artikel 33 Abs. 1 DSGVO benannten Frist hat vielmehr nach überwiegender Ansicht unter Zugrundelegung der sogenannten EU-Fristenverordnung (Fristen-VO) zu erfolgen (anders Träger in RDV 2020, 3 ff., der die Fristen-VO für nicht anwendbar hält). Die Fristen-VO gilt für Rechtsakte, die der Rat und die Kommission auf Grund des Vertrages zur Gründung der Europäischen Wirtschaftsgemeinschaft erlassen (Art. 1 Fristen-VO). Dieser Vertrag ist ein Vorgängernormbestand des Vertrags über die Arbeitsweise der Europäischen Union, auf den die Datenschutz-Grundverordnung – eine Verordnung des Europäischen Parlaments und des Rates – gestützt ist.
2. Berechnung der Frist
Wie die 72-Stunden-Frist sodann konkret berechnet wird, richtet sich nach den Art. 2 ff. Fristen-VO.
So regelt Art. 3 Abs. 1 UAbs. 1 Fristen-VO für den Fristbeginn zunächst, dass für den Anfang einer wie hier nach Stunden bemessenen Frist der Zeitpunkt maßgebend ist, in welchem ein Ereignis eintritt oder eine Handlung vorgenommen wird.
Anknüpfungspunkt ist also das Bekanntwerden der Datenschutz-Verletzung beim Verantwortlichen. Bekannt ist eine Verletzung grundsätzlich dann, wenn der Verantwortliche eine hinreichende Gewissheit darüber hat, dass ein Sicherheitsvorfall aufgetreten ist, der zu einer Beeinträchtigung des Schutzes personenbezogener Daten geführt hat. Der Verantwortlichen hat hierbei zunächst die Möglichkeit, den Sachverhalt aufzuklären und zu prüfen, ob aufgrund tatsächlicher Anhaltspunkte eine hohe Wahrscheinlichkeit einer Verletzung besteht (vgl. Laue/ Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, §7 Rdnr. 47). Erst nach dieser Feststellung beginnt die Frist zu laufen.
Bei der Bestimmung des Fristbeginns ist darauf zu achten, dass die Stunde nicht mitzurechnen ist, in die das Ereignis oder die Handlung -also das Bekanntwerden – fällt. D.h., wenn der Verantwortliche z.B. an einem Freitag um 15:45 Uhr Kenntnis von einer Datenschutzverletzung erhält, beginnt der Lauf der 72-Stunden-Frist erst um 16:00 Uhr desselben Tages.
Für die Berechnung des Endes der 72-Stunden-Frist bestimmt Art. 3 Abs. 2 Buchst. a Fristen-VO, dass diese „mit Ablauf der letzten Stunde der Frist“ endet. Die 72-Stunden-Frist kann im Gegensatz zu den deutschen Fristenregelungen (vgl. § 193 BGB), auch an einem Feiertag, Sonntag oder Samstag enden.
Weil Art. 3 Abs. 4 UAbs. 1 Fristen-VO nicht auf Fristen anwendbar ist, die nach Stunden bemessen sind, verlängert sich diese nicht (!) bis zum nächsten Arbeitstag. Arbeitstag ist nach Art. 2 Abs. 2 Fristen-VO ein
Tag, der nicht Feiertag, Sonntag oder Samstag ist.
Wenn demnach dem Verantwortlichen an einem Mittwoch um 16:45 Uhr ein Verstoß bekannt wird, endet die 72-Stunden-Frist zur Meldung an die Aufsichtsbehörde am Samstag um 17:00 Uhr.
3. Problem: Anwendbarkeit von Art. 3 Abs. 5 Fristen-VO
Uneinigkeit besteht zurzeit indes hinsichtlich der Frage, ob Art. 3 Abs. 5 Fristen-VO zu einer Verlängerung der 72-Stunden-Frist führen kann, wenn zwischen Fristbeginn und -ende keine vollen zwei Arbeitstage liegen (ablehnend hierzu der Bayerische Landesbeauftragte für den Datenschutz in seiner Orientierungshilfe vom 01.06.2019). Arbeitstage sind laut Art. 2 Abs. 2 Fristen-VO alle Tage, die nicht Feiertage, Sonntage oder Sonnabende sind. Nach Artikel 3 Abs. 5 Fristen-VO gilt:
„Jede Frist von zwei oder mehr Tagen umfasst mindestens zwei Arbeitstage.“
Beginnt die Frist z.B. an einem Freitag um 17:00 Uhr, käme man mit der Ansicht, dass Art. 3 Abs. 5 Fristen-VO nicht anwendbar sei, zu einem Fristende am Montag um 17:00 Uhr. Argumentiert wird hier mit dem Wortlaut des Art. 3 Abs. 5 Fristen-VO. Dieser setze eine „Frist von zwei oder mehr Tagen“ und somit ausschließlich eine nach Tagen und nicht nach Stunden bemessene Frist voraus.
Diese Ansicht vermag jedoch nicht zu überzeugen.
Art. 3 Abs. 5 Fristen-VO differenziert im Gegensatz zu den vorherigen Absätzen des Art 3 gerade nicht nach der Art der Fristen. Es kommt demnach nicht darauf an, ob diese Fristen „nach Stunden“ (so Art 3 Abs. 2a), „nach Tagen“ (so Art 3 Abs. 2b), „nach Wochen, Monaten oder Jahren“ (so Art 3 Abs. 2c) oder nach „Monatsbruchteilen“ (Art 3 Abs. 2d) bemessen ist. Vielmehr wird nach dem Wortlaut des Art. 3 Abs. 5 Fristen-VO gerade „Jede Frist…“ von der Verlängerung erfasst, also auch die hier einschlägige 72-Stunden-Frist.
Im Ergebnis müssen daher alle Fristen, also auch die 72-Stunden-Frist, die 2 Tage (48 Stunden) übersteigen, mindestens (auch) zwei Arbeitstage umfassen (so auch Piltz/Pradel in ZD 2019, 152).
Im aufgeführten Beispiel, wo der Fristbeginn auf einen Freitag um 17:00 Uhr fällt, tritt das Fristende unter Anwendung des Art. 3 Abs. 5 Fristen-VO nach der hier vertretenen Ansicht somit erst am Dienstag um 17:00 Uhr ein. Dies ist ein erheblicher Unterschied aus der Sicht eines betroffenen Unternehmens, gerade aufgrund der Tatsache, dass eine verspätete Meldung ein bußgeldrelevantes Verhalten darstellt. Gegebenenfalls besteht die Möglichkeit, eine Fristversäumung zu entschuldigen und dies entsprechend zu begründen. Hierbei wird dem Verantwortlichen zugestanden, dass er möglicherweise nicht immer in
der Lage ist, eine Datenschutzverletzung innerhalb dieses Zeitraums zu melden, und dass eine verzögerte Meldung zulässig sein kann.
Ein solcher Fall kann z.B. gegeben sein, wenn sich die 72-Stunden-Frist über die Weihnachtsfeiertage erstreckt.
4. Fazit: Den „sichersten Weg“ gehen
Unternehmen müssen sich zunächst darauf einstellen, dass im Gegensatz zu den bekannten deutschen Fristenregelungen, die Frist zur Meldung einer Datenschutz-Verletzung auch am Wochenende bzw. an einem Feiertag enden kann. Hier ist durch entsprechende organisatorische Maßnahmen sicherzustellen,
dass eine fristwahrende Meldung grundsätzlich auch an diesen Tagen möglich ist.
Darüber hinaus sind die beschriebenen Unsicherheiten zur Frage, ob innerhalb des Fristenlaufs mindestens 2 Arbeitstage liegen müssen (vgl. Art 3 Abs. 5 Fristen-VO), zu beachten. Angesichts der Handhabung der
Fristenberechnung durch die Bayerische Datenschutzbehörde ist grundsätzlich zu empfehlen, den sichersten Weg zu beschreiten. So sollte eine Meldung vorsorglich so erfolgen, dass die Frist auch unter Berücksichtigung der Praxis der Bayerischen Datenschutzbehörde gewahrt ist.