Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk

Fristberechnung bei Datenpanne nach der DSGVO

Eine Datenpanne ist nach Art. 33 Abs. 1 DSGVO innerhalb von 72 Stunden zu melden. Aber welche Frist gilt genau und wie berechnet sich diese?

Welche Frist ist zu beachten?

Eine Datenpanne muss  unverzüglich  gemeldet werden. Als Höchstfrist hierzu ist in Art. 33 Abs. 1 DSGVO eine Frist von 72 Stunden geregelt.

Wann beginnt die Frist zu laufen?

Die Frist beginnt mit Kenntnis der relevanten Umstände. Dabei kommt es nicht auf die Kenntnis in der Person des betrieblichen Datenschutzbeauftragten oder – wenn kein betrieblicher Datenschutzbeauftragter bestellt ist – des Ansprechpartners für den Datenschutz an. Vielmehr genügt es, wenn einzelne Mitarbeiter Kenntnis haben, z. B. eine Person in einer Fachabteilung.

Im Einzelnen besteht jedoch ein juristischer Streit, auf die Kenntnis welcher Person es hinsichtlich des Fristbeginns ankommt. Insbesondere wird teilweise die Auffassung vertrten, dass die Frist für den Verantwortlichen bereits mit Kenntnis seines Auftragnehmers zu laufen beginne.

Beispiel:

Am Freitagmorgen um 8:00 Uhr stellt die Marketingabteilung fest, das Dritte Zugriff auf eine Kundendatenbank haben oder hatten. So richtig sicher ist man sich in der Abteilung aber noch nicht, wie es dazu gekommen ist und was man nun genau tun soll. Am Freitagabend um 17:30 Uhr werden der Datenschutzbeauftragte und die Rechtsabteilung per E-Mail über den Vorgang informiert. Die Adressaten werden sich am Montagmorgen, wenn sie das E-Mail vorfinden, nicht freuen. Denn die Frist von 72 Stunden läuft seit Freitag, um 8:00 Uhr.

Berechnung der Frist

Die im nationalen, deutschen Gesetzesrecht eher unübliche Regelung nach Stunden wirft einige Fragen auf. Art. 33 Abs. 1 DSGVO regelt lediglich die Frist von 72 Stunden (rechnerisch 3 volle Tage). Man könnte die Frist ohne Beachtung der Wochenendtage berechnen und zu dem Ergebnis gelangen, dass die Frist am Montagmorgen, 8:00 Uhr, tatsächlich verstrichen ist. Dies würde auch dem Wortlaut von Art. 33 DSGVO entsprechen, der lediglich die 72 Stunden nennt. In der Tat gehen zumindest einzelne  Datenschutz-Aufsichtsbehörden , die sich hierzu positioniert haben, davon aus, dass die Frist an Wochenenden und Feiertagen weiterläuft. Das Unternehmen aus dem Beispiel hätte daher am Montagmorgen (nach 8:00 Uhr) gegen die Meldepflicht verstoßen.

Allerdings besteht auch die Überlegung, eine europäische Verordnung aus dem Jahr 1971 - Verordnung (EWG, EURATOM) Nr. 1182/71 - zur Fristberechnungen anzuwenden . Auf dieser Grundlage könnte überlegt werden, dass die Frist am Wochenende und an Feiertagen nicht weiterläuft, sondern nur während Arbeitstagen. Die Auslegung und Anwendbarkeit einzelner Normen dieser Fristen-Verordnung aus 1971 sind jedoch umstritten. Es besteht also vorerst Unklarheit über die genaue Berechnung des Fristlaufs

Nichtmeldung als Datenschutzverstoß

Wird eine Datenpanne nicht fristgerecht gemeldet, stellt dies eigenständig einen Verstoß gegen die DSGVO dar und es ist grundsätzlich derselbe Sanktionsrahmen eröffnet, wie bei anderen Verstößen gegen die DSGVO auch.

Umsetzung in der Praxis

Soweit in der Praxis also möglich, sollte vorsichtshalber davon ausgegangen werden, dass die Frist während Wochenenden und Feiertagen weiter läuft. Im Unternehmen sollte in jedem Fall dahin geschult werden, dass Datenpannen und mögliche Datenpannen sofort, jederzeit und „mit Nachdruck“ an die relevanten Stellen im Unternehmen gemeldet werden, sodass dort in Kenntnis der Gesamtsituation über das weitere Vorgehen entschieden werden kann.

Im Übrigen ist zu beachten, dass es sich bei der 72-Stunden-Frist um eine Höchstfrist handelt. Oftmals wird in der Praxis übersehen, dass Meldungen progressiv erfolgen können. Wenn etwa im obigen Beispielsfall am Freitagmorgen noch Unklarheit darüber besteht, was genau die Ursache war und daher einzelne Fragen im Zusammenhang mit der Datenpanne noch nicht beantwortet werden können, kann dennoch eine erst Meldung mit den bisherigen Erkenntnissen erfolgen. Das Fristenproblem entspannt sich somit erheblich. Voraussetzung hierfür ist allerdings, dass die relevanten Informationen innerhalb des Unternehmens sofort erfolgen.

Besteht überhaupt eine Meldepflicht

Die Frage, ob überhaupt an die Datenschutz-Aufsichtsbehörde gemeldet werden muss, ob als eine „Datenpanne“ vorliegt ist von den vorstehenden Fragen abzugrenzen und sollte innerhalb der Meldefrist geklärt werden. Im Zweifel wird es ratsam sein, einen Vorgang zu melden, selbst wenn sich später herausstellen sollte, dass es sich gar nicht um eine Datenpanne handelt.

Oftmals zeigt sich in der Praxis allerdings, dass bei Datenpannenmeldungen – vollkommen unnötig – reine Vermutungen als Tatsachen dargestellt werden und die Situation somit – unrichtig – drastischer dargestellt wird, als sie ist. So wird z. B. gemeldet: „Wir hatten einen Servereinbruch.“ Dies auch dann, wenn bislang lediglich (starke) Anhaltspunkte dafür bestehen, dass Dritten eine bestimmte Kundenliste vorliegt. Die Meldung ist dann entsprechend zu formulieren.

Ähnlich ist davor zu warnen, vorschnell eine bestimmte technische Ursache zu nennen, obwohl dies so noch gar nicht gesichert ist, oder Befunde mitzuteilen, die in dieser Form gar nicht im Rahmen der Datenpannenmeldung angegeben werden müssen, z. B.: „Wir verwenden einen veralteten Login-Mechanismus.” oder „Wir haben erst jetzt ein Patchmanagement eingeführt.“

Benachrichtigungspflicht

Von der Meldepflicht an die Datenschutz-Aufsichtsbehörde zu unterscheiden ist die Pflicht, die von der Datenpanne Betroffenen zu informieren (Benachrichtigungspflicht). Es müssen also z. B. diejenigen Personen informiert werden, deren Daten abhandengekommen sind. Hierbei gelten höhere Anforderungen. Nicht jede Datenpanne führt also dazu, dass die Betroffenen zu benachrichtigen sind.

Fazit

In der Praxis müssen somit vielfältige Entscheidung sehr rasch getroffen werden, ohne die Situation hierdurch (oder durch Untätigkeit) zu verschlechtern, z. B. indem eine Datenpannenmeldung verspätet erfolgt, oder indem eine Datenpanne drastischer dargestellt wird als notwendig. In jedem Fall sollte innerhalb des Unternehmens sichergestellt werden, dass mögliche Datenpannen so rasch wie möglich ohne Vorbehalte einer hierfür zuständigen, unternehmensinternen Stelle mitgeteilt werden, sodass nicht durch Fristablauf Handlungsmöglichkeiten genommen werden.

Alle Fachbeiträge zeigen