Eine Verletzung des Schutzes personenbezogener Daten (meist schlicht „Datenpanne“ genannt) muss nach dem Wortlaut des Artikel 33 EU-Datenschutzgrundverordnung („DSGVO“) möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Datenschutz-Aufsichtsbehörde gemeldet werden, sofern die Datenpanne zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt. In unserem Kurzbeitrag zeigen wir auf wie sich diese „72-Stunden-Frist“ berechnet und warum 72 Stunden gegebenenfalls auch länger als drei Tage sein können.
1. Ausgangslage
Sofern eine Datenpanne als meldepflichtig eingestuft wird, ist diese nach dem Wortlaut des Art. 33 Abs. 1 DSGVO „unverzüglich und möglichst binnen 72 Stunden, nachdem […] die Verletzung bekannt wurde […] der zuständigen Aufsichtsbehörde“ zu melden. Die genannten 72 Stunden werden in der Praxis als „Höchstfrist“ verstanden, da das Überschreiten der 72 Stunden nach Art. 33 Abs. 1 Satz 2 DSGVO begründungspflichtig ist. Maßgeblich ist das Bekanntwerden der Datenpanne. Hier ist allgemein auf den Zeitpunkt abzustellen, ab dem tatsächliche Anhaltspunkte für eine solche Datenpanne positiv bekannt sind.
2. Ermittlung des Fristbeginns
Die Berechnung der 72-Stunden-Frist (sowie aller weiteren in der DSGVO) genannten Fristen erfolgt nicht etwa nach den deutschen Vorschriften aus dem Bürgerlichen Gesetzbuch, sondern nach der Europäischen Verordnung Nr. 1182/71 (meist „Fristen-Verordnung“ oder kurz „Fristen-VO“ genannt).
Maßgeblich für die Berechnung des Beginns der 72-Stunden-Frist ist Artikel 3 Abs. 1 der Fristen-VO. Da die Frist nach Stunden bemessen ist, beginnt die 72-Stunden-Frist zur nächsten vollen Stunde nach dem Bekanntwerden der Datenpanne. Diejenige Stunde in der die Datenpanne bekannt wird, wird selbst nicht mitgerechnet.
Beispiel: Wird eine Datenpanne am 22.12.2020 um 12:17 Uhr bekannt, beginnt die 72-Stunden-Frist am selben Tag um 13 Uhr. Die Frist beginnt auch dann um 13 Uhr, wenn die Datenpanne um 12:59 Uhr bekannt wird.
3. Ende der Frist
Auch das Ende der Frist ist nach der Fristen-VO zu ermitteln. Hier gilt Art. 3 Abs. 2 Buchstabe a Fristen-VO. Die 72-Stunden-Frist endet demnach mit Ablauf der letzten Stunde der Frist.
Beispiel: In unserem Beispiel (Bekanntwerden der Datenpanne am 22.12.2020 um 12:17 Uhr) endet die Frist 72 Stunden nach Fristbeginn und somit am 25.12.2020 um 13 Uhr.
Unerheblich ist dabei, ob das Fristende – wie in unserem Beispiel – auf einen Feiertag fällt. In der Fristen-VO ist geregelt, dass Fristen auch an Feiertagen ablaufen, da die Fristen-VO für nach Stunden bemessenen Fristen keine explizite Ausnahme kennt. Die Frist endet daher – unabhängig ob Feiertag oder Wochenende – grundsätzlich 72 Stunden nach Fristbeginn.
Die Fristen-VO kennt allerdings eine Ausnahme: Nach Art. 3 Abs. 5 Fristen-VO muss „jede Frist von zwei oder mehr Tagen mindestens zwei Arbeitstage [umfassen]“. Arbeitstage im Sinne der Norm sind alle Tage mit Ausnahme von Feiertagen sowie Samstagen und Sonntagen.
Allerdings ist umstritten, ob diese Ausnahme auf die 72-Stunden-Frist anwendbar ist. Laut der Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ des Bayerischen Landesbeauftragten für den Datenschutz vom 1. Juni 2019 soll die Ausnahme nicht gelten, da die Ausnahme nur für nach Tagen und nicht auch für nach Stunden bemessene Fristen gelten soll.
Diese Auffassung ist unseres Erachtens jedoch stark diskutabel. Zum einen knüpft der Wortlaut der Ausnahme an „jede Frist“ an, zum anderen differenziert die Verordnung in Artikel 3 Abs. 1 bis 4 jeweils nach Fristen die ‚nach Stunden‘, ‚nach Tagen‘ und ‚nach Wochen, Monaten oder Jahren‘ bemessen sind. Genau diese Differenzierung wird in Art. 3 Abs. 5 Fristen-VO nicht aufgegriffen. Weshalb die Ausnahme nur für nach Tagen bemessene Fristen und somit nicht für die 72-Stunden-Frist gelten soll, ist daher mehr als fraglich.
Wir gehen daher davon aus, dass die Ausnahme auch auf die 72-Stunden-Frist anwendbar ist. Damit ‚muss‘ auch die 72-Stunden-Frist zwei Arbeitstage umfassen.
Beispiel: In unserem Beispiel ändert die Ausnahme (leider) nichts. Denn sowohl der 23.12. als auch der 24.12.2020 sind „Arbeitstage“, da jeweils kein Feiertag bzw. Samstag oder Sonntag. Auswirkungen hat die Ausnahme allerdings bei Datenpannen, die an einem Freitag bekannt werden. Ohne die Ausnahme nach 3 Abs. 5 Fristen-VO würde die Frist immer Montag enden. Unter Anwendung der Ausnahme ist Fristende erst am Dienstag, da am Montag die erforderliche zwei Arbeitstage nicht umfasst wären.
4. Zusammenfassung
Wie bereits dargestellt, hat sich zumindest eine Datenschutz-Aufsichtsbehörde klar gegen die Anwendung der Ausnahme nach der Fristen-VO positioniert. Damit bestehen bei Berufung auf die Ausnahme natürlich gewisse Risiken, da eine verspätete Meldung einer Datenschutzverletzung bußgeldrelevant ist. Im Zweifel wäre dann unter gerichtlicher Zuhilfenahme zu klären, ob die Ausnahme nun anwendbar ist oder nicht. Bis diese Frage endgültig gerichtlich geklärt ist, besteht daher eine gewisse Rechtsunsicherheit. Aufgrund der dargelegten Argumente sehen wir jedoch gute Chancen, dass ein in der Sache erkennendes Gericht sich unserer Auffassung anschließt und die Ausnahme nach Art. 3 Abs. 5 Fristen-VO für anwendbar erklärt.