Fristen beim Datenschutz - Wie berechne ich richtig?

25.05.2021: Bei Datenschutzvorfällen und Betroffenenanfragen sieht die DSGVO verbindliche Fristen vor, in denen der Verantwortliche im Unternehmen Handlungen vornehmen muss. Dies können beispielsweise einerseits die Meldung von Datenschutzpannen innerhalb von 72 Stunden sein als auch die Monatsfrist zur Reaktion des Verantwortlichen im Hinblick auf geltend gemachte Betroffenenrechte. Doch was bedeuten die Fristen nun ganz konkret, und wie werden diese berechnet?

 

Rechtliche Vorgaben nach der Fristen-VO

Da es sich bei der DSGVO um ein europäisches Regelwerk handelt, sind bezüglich der Fristen ebenfalls EU-Regelungen heranzuziehen. Ein solches europäisches Regelwerk zur Fristenberechnung findet sich in der „Verordnung (EWG, EURATOM) Nr. 1182/71 zur Festlegung der Regeln für die Fristen, Daten und Termine“ (nachfolgend Fristen-VO genannt), dort insbesondere Artikel 3 Fristen-VO.

Die Fristen-VO können Sie unter der folgenden URL einsehen: https://t1p.de/uiok

 

Wie gehe ich in der Praxis vor?

Für die Berechnung der Fristen sind insbesondere die Artikel 2 und 3 der Fristen-VO maßgeblich. Die Fristberechnung soll hier anhand von 2 praxisrelevanten Fallbeispielen veranschaulicht werden.

1. Der Betroffene macht Auskunftsansprüche geltend

Gemäß Art. 15 DSGVO stehen dem Betroffenen datenschutzrechtliche Auskunftsrechte gegenüber dem Verantwortlichen zu. Sofern diese vom Betroffenen geltend gemacht werden, muss der Verantwortliche dem Betroffenen zustehenden Informationen (hier die entsprechende Auskunft) nach Art. 12 Abs. 3 Satz 1 DSGVO unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrages zur Verfügung stellen. Sofern die Sache kompliziert ist, kann die Frist gemäß Art. 12 Abs. 3 Satz 2 DSGVO um zwei Monate verlängert werden.

Angenommen am 09.06.2021 um 15:05 Uhr meldet sich ein Kunde telefonisch bei Ihrem Unternehmen und begehrt Auskunft über die personenbezogenen Daten zu seiner Person nach Art. 15 DSGVO. In diesem Falle muss Ihr Unternehmen unverzüglich, spätestens jedoch innerhalb von 1 Monat, die Auskunft erteilen. Für die Fristberechnung kommen nun die Regelungen der Fristen-VO zur Anwendung.

Nach Art. 3 Abs. 1 Satz 2 Fristen-VO ist für den Anfang einer nach Tagen, Wochen, Monaten oder Jahren bestimmten Frist der Zeitpunkt maßgebend, in welchem ein Ereignis eintritt oder eine Handlung vorgenommen wird. Allerdings wird der der Fristberechnung der Tag selbst nicht mitgerechnet. Daher wäre hier der Fristbeginn der 10.06.2021.

Gemäß Art. 3 Abs. 2 c) Fristen-VO beginnt eine nach Wochen, Monaten oder Jahren bemessene Frist am Anfang der ersten Stunde des ersten Tages der Frist und endet mit Ablauf der letzten Stunde des Tages der letzten Woche, des letzten Monats oder des letzten Jahres, der dieselbe Bezeichnung oder dieselbe Zahl wie der Tag des Fristbeginns trägt. Damit würde die Frist so gesehen zunächst am 10.07.2021 enden.

An dieser Stelle ist allerdings nun Art. 3 Abs. 4 Fristen-VO zu beachten. Dieser besagt Folgendes: Fällt der letzte Tag einer nicht nach Stunden bemessenen Frist auf einen Feiertag, einen Sonntag oder einen Sonnabend (Samstag), dann endet die Frist mit Ablauf der letzten Stunde des folgenden Arbeitstages (Werktages). Da der 10.07.2021 auf einen Sonnabend fällt, bedeutet das, dass die Frist in unserem Beispiel hier erst mit Ablauf des 12.07.2021 (ein Montag) endet.

2. Die Meldung von Datenschutzverletzungen innerhalb von 72 Stunden

Nach Art. 33 Abs. 1 Satz 1 DSGVO müssen meldepflichtige Datenpannen von den Unternehmen unverzüglich und möglichst innerhalb von 72 Stunden an die zuständige Datenschutzaufsichtsbehörde gemeldet werden.

Angenommen Ihr Unternehmen bekommt am Donnerstag, den 08.07.2021, um 14:45 Uhr eine Email zugesandt. In der Email werden Sie vom Verfasser darüber informiert, dass in einem öffentlich zugänglichen Verzeichnis auf Ihrer Website massenweise Kundendaten abrufbar seien. Die Email empfängt Ihre IT-Abteilung und bestätigt um 15:10 Uhr, dass die betroffenen Daten nun aus dem Verzeichnis genommen und vor weiterem Zugriff geschützt seien.

Hier stellt sich nun die Frage, bis wann genau diese Datenpanne der Aufsichtsbehörde gemeldet werden muss. Nach Art. 3 Abs. 1 S. 1 Fristen-VO ist für den Anfang einer nach Stunden bemessenen Frist der Zeitpunkt maßgebend, in welchem ein Ereignis eintritt oder eine Handlung vorgenommen wird. So wird bei der Berechnung dieser Frist die Stunde nicht mitgerechnet, in die das Ereignis oder die Handlung fällt.

Somit bedeutet dies für den vorgenannten Beispielfall, dass die Frist um 17 Uhr beginnt und nach Art. 33 Abs. 1 DSGVO nach 72 Stunden endet. Demnach ist die Meldefrist am Sonntag, den 11.07.2021, um 17 Uhr abgelaufen. Um fristwahrend zu melden, muss vorliegend das Unternehmen die Meldung (z.B. elektronisch) über die Homepage der zuständigen Datenschutzaufsichtsbehörde spätestens am Sonntag, den 11.07.2021, bis 16:59 Uhr erfolgen. Danach ist die Meldung verfristet. Sollte die Frist nicht eingehalten werden können, muss daneben zumindest begründet werden, was der Grund für die Nichteinhaltung der 72 Stunden Frist ist (Art. 33 Abs. 1 Satz 2 DSGVO).

 

Reaktionen und Meldungen sollten fristgerecht erfolgen

Datenschutzbeauftragte sollten darauf achten, dass Fristen vom Unternehmen eingehalten werden. Dabei ist die Fristberechnung nicht immer einfach.

Gerade beim vorgenannten 2. Beispiel mit der Meldefrist von 72 Stunden kann man durchaus unterschiedlicher Auffassung sein, was das ausschlaggebende Ereignis für den Fristbeginn ist. Das kann die empfangene Email sein, aber auch erst die Bestätigung der IT-Abteilung. Vorsichtshalber sollten Sie hier als Datenschutzbeauftragter jedoch empfehlen, die empfangene Email als fristauslösendes Ereignis anzusehen und danach die Meldefrist zu berechnen.

 

Sie haben Fragen zur Fristberechnung in einem weiteren Fall?

Rufen Sie mich gerne an unter 0201 8579 6979 oder schreiben mir eine E-Mail an info@lutop-akademie.de