Gemäß Art. 33 Abs. 1 DS-GVO müssen Verletzungen des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, an die zuständige Datenschutz-Aufsichtsbehörde gemeldet werden. Nach aktueller Rechtslage werden Wochenenden und gesetzliche Feiertage bei der Fristenberechnung nicht ausgenommen. Ein Vorschlag der Europäischen Kommission aus Juli 2023, die zugrundeliegende Berechnungsweise abzuändern, scheint vorerst gescheitert. Ein kurzer Überblick.
Kenntnisnahme einer Datenschutzverletzung
Der maßgebliche Zeitpunkt für die Berechnung der 72-Stunden-Frist ist zunächst die Kenntnisnahme der Datenschutzverletzung seitens des Verantwortlichen. Dabei ist zu berücksichtigen, dass für die Kenntniszurechnung in der Regel niedrige Hürden anzunehmen sind. So kann die 72-Stunden-Frist durchaus bereits dann zu laufen beginnen, wenn eine einzelne beschäftigte Person das Vorliegen einer Datenschutzverletzung wahrnimmt oder das Vorliegen einer solchen zumindest vermutet. Insofern ist es essenziell, dass die Beschäftigten sensibilisiert sind, derartige Ereignisse unverzüglich an den direkten Vorgesetzten und den Datenschutzbeauftragten mitzuteilen – auch an einem Freitagnachmittag kurz vor dem Feierabend.
Aktuelle Berechnungsgrundlage der 72-Stunden-Frist
Nach Kenntnisnahme der Datenschutzverletzung in der Sphäre des Verantwortlichen bemisst sich der Startzeitpunkt der 72-Stunden-Frist aktuell nach Art. 3 Abs. 1 der Verordnung Nr. 1182/71 vom 3. Juni 1971 zur Festlegung der Regeln für die Fristen, Daten und Termine. Darin heißt es: „Ist für den Anfang einer nach Stunden bemessenen Frist der Zeitpunkt maßgebend, in welchem ein Ereignis eintritt oder eine Handlung vorgenommen wird, so wird bei der Berechnung dieser Frist die Stunde nicht mitgerechnet, in die das Ereignis oder die Handlung fällt.“ Das heißt, tritt die Kenntnisnahme der Datenschutzverletzung am Freitag um 15:23 Uhr ein, beginnt die 72-Stunden-Frist am Freitag um 16:00 Uhr.
Art. 3 Abs. 2 lit. a) ergänzt: „Eine nach Stunden bemessene Frist beginnt am Anfang der ersten Stunde und endet mit Ablauf der letzten Stunde der Frist.“ Die 72-Stunden-Frist endet demnach am Montag – auch wenn es sich hierbei um einen gesetzlichen Feiertag handelt – um 15:59 Uhr (und 59 Sekunden).
Vorschlag der Europäischen Kommission
Nach einem Verordnungsvorschlag der Europäischen Kommission zur Festlegung von zusätzlichen Verfahrensregeln für die Durchsetzung der Verordnung (EU) 2016/679 würde im oben benannten Beispielsfall die 72-Stunden-Frist erst am Montag um 0:00 Uhr beginnen, denn in Art. 29 Abs. 2 des ursprünglichen Vorschlages heißt es: „Die Fristen beginnen an dem Arbeitstag, der auf das Ereignis folgt, auf das sich die einschlägige Bestimmung der Verordnung (EU) 2016/679 oder der vorliegenden Verordnung bezieht.“ Darüber hinaus stellt Art. 29 Abs. 1 klar, dass (weiterhin) die Regelungen der zuvor benannten Verordnung Nr. 1182/71 gelten sollen, in der es in Art. 2 Abs. 2 heißt: „Für die Anwendung dieser Verordnung sind als Arbeitstage alle Tage außer Feiertagen, Sonntagen und Sonnabenden zu berücksichtigen.“
Ein ähnlicher Zeitgewinn würde im Übrigen auch dann entstehen, wenn die 72-Stunden-Frist einen Feiertag oder ein Wochenende umfasst oder das Ende der 72-Stunden-Frist auf einen Feiertag oder ein Wochenende fällt. Hierbei ist wiederrum die bereits bestehende Regelung des Art. 3 Abs. 3 der Verordnung Nr. 1182/71 ausschlaggebend: „Die Fristen umfassen die Feiertage, die Sonntage und die Sonnabende, soweit diese nicht ausdrücklich ausgenommen oder die Fristen nach Arbeitstagen bemessen sind.“
Würde obiger Vorschlag tatsächlich umgesetzt, würde dies für einen Verantwortlichen mit Sitz im Freistaat Sachsen bedeuten, dass mit Kenntnisnahme einer Datenschutzverletzung am Freitag, 15. November 2024, die 72-Stunden-Frist erst am Montag, 18. November 2024 um 0:00 Uhr beginnt und aufgrund des Buß- und Bettags am Mittwoch, 20. November 2024 erst am Donnerstag, 21. November 2024 um 23:59 Uhr endet. – Hinweise auf Rechenfehler nimmt der Autor dankend entgegen.
Für Verantwortliche würde die Umsetzung des Vorschlages der Europäischen Kommission erhebliche zeitliche Entlastungen mit sich bringen. Jedoch wurde der Verordnungsvorschlag im Rahmen der ersten Lesung am 10. April 2024 im Europäischen Parlament behandelt und zunächst mit einigen Abänderungen an den zuständigen LIBE-Ausschuss zurücküberwiesen. In dem entsprechenden Dokument heißt es nun unter Abänderung 202 zu Art. 29 lediglich: „entfällt“. Auch unter Berücksichtigung der Ergebnisse des weiteren Verfahrens scheint somit (vorerst) alles beim Alten zu bleiben.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
