Datenschutzverletzungen verursachen besonderen Stress. Neben der Bewahrung der anvertrauten personenbezogenen Daten geht es dabei gerade auch darum, Sanktionen der Aufsichtsbehörden zu vermeiden. Außerdem steht man als Unternehmen gerade auch gegenüber dem Betroffenen in der Verantwortung, die Datenschutzverletzung wieder zu heilen.
Die Datenschutzgrundverordnung (DSGVO) schreibt vor, dass Datenschutzverletzungen möglichst innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden sind, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Neben der Frage, wann ein solches Risiko vorliegt, stellt sich die Frage, wann die gesetzliche Frist beginnt und wie die 72-Stundenfrist zu berechnen ist. Beginnt die Frist am selben Tag und zählen Wochenendtage mit? Welche Regeln gelten hier?
Es ist ratsam, sich mit diesen Fragen vor etwaigen Datenschutzverletzungen zu beschäftigen, sonst gilt eines mehr denn je: Datenschutzverletzungen verursachen besonderen Stress 🙂
Mangels Öffnungsklausel in der Datenschutzgrundverordnung können die Regelungen zu Fristberechnungen aus dem nationalen Recht nicht verwendet werden. Für eine direkt anwendbare europäische Verordnung gelten nach unserer Ansicht auch europäische Rechtsregeln zur Fristberechnung, konkret die Europäische Fristenverordnung. Diese stammt tatsächlich aus dem Jahre 1971 (!) und gilt heutzutage immer noch unverändert. Darin ist unter anderem die Regelung enthalten, dass eine Frist immer mindestens zwei Arbeitstage enthalten muss, zu denen nicht Samstage, Sonntage und Feiertage gehören.
Beginnt also eine Frist am Freitag um 16:00 Uhr, dann endet die Frist nicht am Montag um 16:00 Uhr (72 Stunden), sondern am Dienstag um 16:00 Uhr. Demnach sind 72 Stunden nicht immer 72 Stunden und man hat als Verantwortlicher oft mehr Zeit, über eine Meldeverpflichtung zu entscheiden, als man denkt. Das kann im wahrsten Sinne des Wortes Gold wert sein.
Eine ähnlich spezielle Frage ist diejenige nach dem Fristbeginn. Dieses Thema beleuchten wir in einem gesonderten Blogbeitrag.
Wenn Sie sich als Unternehmer nicht mit diesen oft komplizierten Themen beschäftigen wollen, dann sorgen Sie in jedem Fall für eine kompetente Beratung durch einen geeigneten Rechtsanwalt oder einen kompetenten Datenschutzbeauftragten.