Fristberechnung bei Datenschutzvorfall & Betroffenenanfrage

Wenn über das Datenschutz-Postfach Betroffenenanfragen eingehen oder Datenpannen gemeldet werden, beginnt für die Datenschutzbeauftragten die Uhr zu ticken. Ein Datenschutzvorfall ist nach den Regelungen der DSGVO unverzüglich und möglichst binnen 72 Stunden zu melden. Betroffenenanfragen sind ebenfalls unverzüglich, in jedem Fall aber innerhalb eines Monats zu beantworten. Fest steht damit, dass ein schnelles Handeln geboten ist. Unsicherheit kann hingegen bei der Fristberechnung aufkommen – was ist hierbei zu beachten?

Datenschutzvorfall am Freitagnachmittag

Es ist Freitagnachmittag vor Pfingsten in irgendeinem Unternehmen irgendwo in Europa. Während sich die überwiegende Anzahl der Kollegen und Kolleginnen bereits ins lange Wochenende verabschiedet hat, hofft die Datenschutzbeauftragte noch auf den eigenen pünktlichen Feierabend. Nach langjähriger Berufserfahrung weiß sie, dass sich ein Datenschutzvorfall klassischerweise am Freitagnachmittag ereignet.
Und, wie kann es auch anders sein, pünktlich um 16:30 Uhr meldet sich ein Kollege aus dem Kundenservice: Versehentlich habe er den Wochen-Newsletter an 1500 Kunden verschickt und dabei CC und BCC verwechselt…. Ob das als „dringend“ zu verstehen sei oder die Klärung noch bis Montag warten könne?

Der Datenschutzbeauftragten ist klar, dass sie sich vom pünktlichen Feierabend verabschieden kann. Sie weiß, dass die DSGVO ein schnelles Handeln fordert: Nach Art. 33 Abs. 1 DSGVO ist ein Datenschutzvorfall unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden gegenüber der zuständigen Aufsichtsbehörde zu melden. Weniger deutlich ist hingegen, wie sich die 72 Stundenfrist berechnet.

Gesetzliche Regelungen zur Fristberechnung

Ein Blick in die DSGVO selbst bringt unsere Datenschutzbeauftragte nicht weiter, denn klare Regelungen zur Fristberechnung oder einen Verweis in andere Rechtsvorschriften sucht man vergeblich. Zur Fristenberechnung kann daher entweder auf nationale Regelungen (§§ 186 ff. BGB, § 222 ZPO, § 57 VwGO, § 31 VwVfG) zurückgegriffen werden, oder die Fristberechnung erfolgt nach der EU-Verordnung Nr. 1182/71 zur Festlegung der Regeln für die Fristen, Daten und Termine. Die Entscheidung ist von Bedeutung, da es gerade bei Wochenenden und Feiertagen zu abweichenden Ergebnissen kommen kann. Nach überwiegender Meinung in der Kommentarliteratur ist für die Fristenberechnung auf die EU-Vorschrift zurückzugreifen. Auch der Europäische Datenschutzausschuss verweist in den Leitlinie für die Meldung von Verletzungen des Schutzes personenbezogener Daten und zu Betroffenenanfragen auf die EU-Verordnung.

Berechnung nach der EU-Fristen-Verordnung

Maßgeblich für die Fristberechnung ist Art. 3 Fristen-VO. Das fristauslösende Ereignis ist das „Bekanntwerden der Datenschutzverletzung“. Die Stunde, in der das fristauslösende Ereignis fällt, wird dabei nicht mitberechnet (Art. 3 Abs. 1 UAbs. 1 Fristen-VO). Gemäß Art. 3 Abs. 2 lit a Fristen-VO endet eine nach Stunden bemessene Frist unabhängig ihres Fristbeginns mit dem Ablauf der letzten Stunde der Frist. Nach Art. 3 Abs. 3 und 4 Fristen-VO kann das Fristende auch auf ein Wochenende oder Feiertag fallen. Insofern ergibt sich ein Unterschied zu § 222 Abs. 3 ZPO (ggf. i. V. m § 57 Abs. 2 VwGO) wonach bei der Berechnung einer Stundenfrist Sonntage, allgemeine Feiertage und Sonnabende nicht mitgerechnet werden und das Fristende erst mit Ablauf der letzten Stunde des folgenden Arbeitstages eintreten würde. Eine vergleichbare Regelung sieht die EU-Fristen-VO in Art. 3 Abs. 4 ebenfalls vor, allerdings gilt diese ausdrücklich nicht für nach Stunden bemessene Fristen.

Besonderheiten an Wochenenden und Feiertagen

Hilfe könnte nun der Art. 3 Abs. 5 Fristen-VO bringen: Demnach umfasst jede Frist von zwei oder mehr Tagen mindestens zwei Arbeitstage. Daher müssten auch Fristen, die mit mehr als 48 Stunden (= 2 Tage) bemessen sind, mindestens zwei Arbeitstage umfassen. Arbeitstage sind laut Art. 2 Abs. 2 Fristen-VO alle Tage, die nicht Feiertage, Sonntage oder Sonnabende sind. Da unsere Frist erst Freitagabend startet und vor einem Feiertagswochenende liegt, dürfte dieses lange Pfingstwochenende bei Anwendbarkeit von Art. 3 Abs 5 Fristen-VO nicht mitgezählt werden.

Dabei ist aber Vorsicht geboten. Während die Literatur aufgrund des klaren Wortlauts in Art. 3 Abs. 5 Fristen-VO („jede Frist“) davon ausgeht, dass auch bei Stundenfristen Sonderregelungen für Sonn- und Feiertage gelten müssen, gehen die Aufsichtsbehörden von einer strengeren Deutungsweise aus. Nach anderer Auffassung ist der Gesetzgeber bei der Festlegung von Stundenfristen von einer besonderen Dringlichkeit ausgegangen. Art. 3 Abs. 5 Fristen-VO könne daher nicht für Stundenfristen gelten.

Aussagen der Aufsichtsbehörden zur Fristenberechnung

Unsere Datenschutzschutzbeauftragte ist daher verständlicherweise verunsichert und sucht bei den Aufsichtsbehörden nach weiteren Informationen zur Fristberechnung:

Fündig wird sie z. B. in der Orientierungshilfe des BayLfD:

• Der BayLfD hält die Regelung des Art. 3 Abs. 5 Fristen-VO für eine nach Stunden zu bemessende Frist für nicht anwendbar. Er ist der Ansicht, dass die Norm lediglich auf Fristen „von zwei oder mehr Tagen“ angewendet werden kann.
• Nach dem FAQ des BayLDA startet die Frist erst um 0 Uhr des Folgetages, allerdings werden Wochenende und Feiertage mitberechnet und nicht nur Arbeitstage beachtet.

Auch in Tätigkeitsberichten anderer Aufsichtsbehörden ist erwähnt, dass Feiertage und Wochenende mitberechnet werden.

Die Stellungnahmen der Behörden lassen demnach auf eine strenge Auslegung der EU-Fristen-VO unter Mitberechnung von Wochenende und Feiertagen schließen.

Fristberechnung zur Datenpanne

Für unsere Datenschutzbeauftragte ergibt sich aus dem dargelegten Fall folgende Berechnung:

Freitag 06.06.:

• 16:30 Uhr: „Bekanntwerden“ des Datenschutzvorfalls
• 17:00 Uhr: Fristanfang nach Art. 3 Abs. 1 Fristen-VO

Samstag 07.06.:

• 00:00 Uhr: Fristanfang nach Berechnung BayLDA

Sonntag 08.06.:

• Fällt nicht in die Berechnung

Montag 09.06.:

• 17:00 Uhr: Hier eigentlich Fristende nach 72 Stunden! (Art. 3 Abs. 2 lit a, Abs. 3 Fristen-VO)
  Aber: Durch die Arbeitstagregelung aus Art. 3 Abs. 5 Fristen-VO ist der Fristablauf erst nach zwei vollen Arbeitstagen erreicht (gedankliche Hilfestellung: „48 Arbeitstagsstunden“ – in unserem Beispiel ist heute Pfingstmontag)
• 23:59 Uhr: Fristende nach Berechnung BayLDA

Dienstag 10.06.:

• Erster voller Arbeitstag nach Art. 3 Fristen-VO

Mittwoch 11.06.:

• 17:00 Uhr: tatsächliches Fristende (zwischen Freitag 17 Uhr und Mittwoch 17 Uhr liegen zwei volle Arbeitstage nach Art. 3 Abs. 5 Fristen-VO)

Da sich je nach Berechnungsmethode unterschiedliche Fristen ergeben, möchte unsere Datenschutzbeauftragte kein unnötiges Risiko eingehen. Da der Sachverhalt und rechtliche Prüfung in diesem Fall einfach waren, meldet sie den Vorfall noch am Freitag. Sicher ist sicher.

Bitte handeln Sie unverzüglich!

Obwohl bei der Fristberechnung grundsätzlich die 72-Stundenfrist angelegt wird, verlangt der Gesetztext eigentlich ein „unverzügliches“ Handeln. Was genau unverzüglich ist, beantwortet aber auch die Fristen-VO nicht. Der europäische Gesetzgeber hat gleichwohl erkannt, dass die Auslegung des unbestimmten Rechtsbegriffs „unverzüglich“ auf mitgliedsstaatlicher Ebene zu unterschiedlichen Ergebnissen führen kann. Um ein rechtseinheitliches Begriffsverständnis herbeizuführen, hat er gemäß Art. 70 Abs. 1 lit. g DSGVO dem europäischen Datenschutzausschuss die Aufgabe zugewiesen, Leitlinien, Empfehlungen oder bewährte Verfahren für die Festlegung der Unverzüglichkeit i. S. d. Art. 33 Abs. 1 und 2 DSGVO auszuarbeiten.

Solange dies nicht umgesetzt wurde, ist mit „unverzüglich“ (in der englischen Fassung: without undue delay) ein Handeln gemeint, welches ohne unbillige bzw. schuldhafte Verzögerung erfolgt. Dem Rechtsgedanken des § 121 BGB nach ist ein Handeln auch dann noch unverzüglich, wenn es nach eine den Umständen des Einzelfalls zu bemessenden Prüfungs- und Überlegungsfrist ausgeübt wird.

Nach EG 87 ist bei der Feststellung, ob die Meldung unverzüglich erfolgt ist, die Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen für die betroffene Person zu berücksichtigen. Je schwerer der Datenschutzverstoß, desto schneller muss die Meldung erfolgen.

Überschreitung der 72-Stunden Frist

„Unverzüglich und möglichst binnen 72 Stunden“ bedeutet auch, dass die 72-Stundenfrist nicht starr ist. Eine Fristüberschreitung kann, muss aber nicht zwingend, zu einem Bußgeld führen. Der Gesetzgeber geht jedoch davon aus, dass 72 Stunden nach Bekanntwerden der Datenpanne zur Sachverhaltsermittlung und zur rechtlichen Bewertung der Meldepflicht ausreichen müssen. Daher muss eine Überschreitung der 72-Stundenfrist begründet werden (Art. 33 Abs. 1 S. 2 DSGVO).

Die DSGVO enthält keine Beispiele für Fälle, in denen eine Überschreitung zulässig sein kann. Eine Fristversäumnis wegen urlaubsbedingter Abwesenheit dürfte nicht ausreichen, da hierfür im Vorfeld geeignete Prozesse zu schaffen sind. Der Europäische Datenschutzausschuss nennt als Beispiel für eine mögliche Fristverlängerung den Fall, dass in einem kurzen Zeitraum mehrere ähnliche Datenpannen mit einer Vielzahl von Betroffenen gemeldet werden (Leitlinie 9/2022 zur Meldung von Datenschutzverletzungen, Rz. 63).

Die Monatsfrist zur Beantwortung von Betroffenanfragen

Zusätzlich zum Datenschutzvorfall hat unsere Datenschutzbeauftragte noch ein Auskunftsersuchen vom 09.05. offen, welches nahezu versandfertig auf dem Schreibtisch liegt. Welche Fristen sie hierbei einhalten muss, erörtern wir im Folgenden.

Regelung in der DSGVO

Art. 12 Abs. 3 DSGVO sieht vor, dass der oder die Verantwortliche die Auskunft nach Art. 15 DSGVO unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags, zur Verfügung stellt. Je nach Komplexität der Anfrage ist eine Fristverlängerung um zwei Monate möglich. Auch diese ist zu begründen und der Betroffene ist über die Gründe zu informieren.

Fristberechnung nach der EU-Fristen-VO

Nach der Leitlinie 01/2022 zu den Rechten der betroffenen Person (Auskunftsrecht) berechnet sich die Frist ebenfalls nach der EU-Fristen-VO. In Art. 3 Abs. 1, 2. Unterabs. Fristen-VO heißt es:

„Ist für den Anfang einer nach Monaten zu bemessenen Frist der Zeitpunkt maßgebend, in welchem das Ereignis eintritt, so wird bei der Berechnung dieser Frist der Tag nicht mitgerechnet, in den das Ereignis fällt.“

Gemäß Art. 3 Abs. 2 lit. c) Fristen-VO endet die Frist mit Ablauf der letzten Stunde des Tages, der dieselbe Bezeichnung trägt, wie der Tag des Fristbeginns. Im Vergleich zur Stundenfrist bei der Datenpanne gilt hier aber unstreitig der Art. 3 Abs. 4 Fristen-VO. Fällt der letzte Tag dieser Frist auf ein Wochenende oder einen Feiertag, so hat der Verantwortliche bis zum folgenden Arbeitstag Zeit, um zu antworten.

Die Lösung zur Betroffenenanfrage im Mai

Im Fall unserer Datenschutzbeauftragten ist am 09.05. ein Antrag auf Auskunft nach Art. 15 DSGVO eingegangen. Fristende wäre nach Art. 3 Abs. 2 der Fristen-VO eigentlich der 09.06. Da dieser Tag aber auf einen Feiertag fällt (Pfingstmontag), ist Fristende nach Art. 3 Abs. 4 Fristen-VO erst Dienstag, der 10.06. um 23:59 Uhr.

Fazit: Fristen kennen und schnell handeln

Die Fristen zur Meldung von Datenpannen und zur Beantwortung eines umfangreichen Auskunftsersuchens erfordern mitunter schnelles Handeln und damit geeignete Prozesse. Mitarbeiter:innen müssen richtig geschult sein, damit sie Datenpannen oder Betroffenenanfragen erkennen und sofort an die Datenschutzbeauftragten melden. Solange die Berechnung der Stundenfrist nach Art. 3 Abs. 2 bzw. Abs. 5 Fristen-VO streitig ist, ist es rechtssicherer, sich an der Berechnungsmethode der jeweils zuständigen Aufsichtsbehörde zu orientieren.