Zum Inhalt springen Zur Navigation springen
Fristberechnung bei Datenschutzvorfall & Betroffenenanfrage

Fristberechnung bei Datenschutzvorfall & Betroffenenanfrage

Artikel von Dr. Datenschutz·3. Juni 2025

Wenn über das Datenschutz-Postfach Betroffenenanfragen eingehen oder Datenpannen gemeldet werden, beginnt für die Datenschutzbeauftragten die Uhr zu ticken. Ein Datenschutzvorfall ist nach den Regelungen der DSGVO unverzüglich und möglichst binnen 72 Stunden zu melden. Betroffenenanfragen sind ebenfalls unverzüglich, in jedem Fall aber innerhalb eines Monats zu beantworten. Fest steht damit, dass ein schnelles Handeln geboten ist. Unsicherheit kann hingegen bei der Fristberechnung aufkommen – was ist hierbei zu beachten?

Datenschutzvorfall am Freitagnachmittag

Es ist Freitagnachmittag vor Pfingsten in irgendeinem Unternehmen irgendwo in Europa. Während sich die überwiegende Anzahl der Kollegen und Kolleginnen bereits ins lange Wochenende verabschiedet hat, hofft die Datenschutzbeauftragte noch auf den eigenen pünktlichen Feierabend. Nach langjähriger Berufserfahrung weiß sie, dass sich ein Datenschutzvorfall klassischerweise am Freitagnachmittag ereignet.
Und, wie kann es auch anders sein, pünktlich um 16:30 Uhr meldet sich ein Kollege aus dem Kundenservice: Versehentlich habe er den Wochen-Newsletter an 1500 Kunden verschickt und dabei CC und BCC verwechselt…. Ob das als „dringend“ zu verstehen sei oder die Klärung noch bis Montag warten könne?

Der Datenschutzbeauftragten ist klar, dass sie sich vom pünktlichen Feierabend verabschieden kann. Sie weiß, dass die DSGVO ein schnelles Handeln fordert: Nach Art. 33 Abs. 1 DSGVO ist ein Datenschutzvorfall unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden gegenüber der zuständigen Aufsichtsbehörde zu melden. Weniger deutlich ist hingegen, wie sich die 72 Stundenfrist berechnet.

Gesetzliche Regelungen zur Fristberechnung

Ein Blick in die DSGVO selbst bringt unsere Datenschutzbeauftragte nicht weiter, denn klare Regelungen zur Fristberechnung oder einen Verweis in andere Rechtsvorschriften sucht man vergeblich. Zur Fristenberechnung kann daher entweder auf nationale Regelungen (§§ 186 ff. BGB, § 222 ZPO, § 57 VwGO, § 31 VwVfG) zurückgegriffen werden, oder die Fristberechnung erfolgt nach der EU-Verordnung Nr. 1182/71 zur Festlegung der Regeln für die Fristen, Daten und Termine. Die Entscheidung ist von Bedeutung, da es gerade bei Wochenenden und Feiertagen zu abweichenden Ergebnissen kommen kann. Nach überwiegender Meinung in der Kommentarliteratur ist für die Fristenberechnung auf die EU-Vorschrift zurückzugreifen. Auch der Europäische Datenschutzausschuss verweist in den Leitlinie für die Meldung von Verletzungen des Schutzes personenbezogener Daten und zu Betroffenenanfragen auf die EU-Verordnung.

Berechnung nach der EU-Fristen-Verordnung

Maßgeblich für die Fristberechnung ist Art. 3 Fristen-VO. Das fristauslösende Ereignis ist das „Bekanntwerden der Datenschutzverletzung“. Die Stunde, in der das fristauslösende Ereignis fällt, wird dabei nicht mitberechnet (Art. 3 Abs. 1 UAbs. 1 Fristen-VO). Gemäß Art. 3 Abs. 2 lit a Fristen-VO endet eine nach Stunden bemessene Frist unabhängig ihres Fristbeginns mit dem Ablauf der letzten Stunde der Frist. Nach Art. 3 Abs. 3 und 4 Fristen-VO kann das Fristende auch auf ein Wochenende oder Feiertag fallen. Insofern ergibt sich ein Unterschied zu § 222 Abs. 3 ZPO (ggf. i. V. m § 57 Abs. 2 VwGO) wonach bei der Berechnung einer Stundenfrist Sonntage, allgemeine Feiertage und Sonnabende nicht mitgerechnet werden und das Fristende erst mit Ablauf der letzten Stunde des folgenden Arbeitstages eintreten würde. Eine vergleichbare Regelung sieht die EU-Fristen-VO in Art. 3 Abs. 4 ebenfalls vor, allerdings gilt diese ausdrücklich nicht für nach Stunden bemessene Fristen.

Besonderheiten an Wochenenden und Feiertagen

Hilfe könnte nun der Art. 3 Abs. 5 Fristen-VO bringen: Demnach umfasst jede Frist von zwei oder mehr Tagen mindestens zwei Arbeitstage. Daher müssten auch Fristen, die mit mehr als 48 Stunden (= 2 Tage) bemessen sind, mindestens zwei Arbeitstage umfassen. Arbeitstage sind laut Art. 2 Abs. 2 Fristen-VO alle Tage, die nicht Feiertage, Sonntage oder Sonnabende sind. Da unsere Frist erst Freitagabend startet und vor einem Feiertagswochenende liegt, dürfte dieses lange Pfingstwochenende bei Anwendbarkeit von Art. 3 Abs 5 Fristen-VO nicht mitgezählt werden.

Dabei ist aber Vorsicht geboten. Während die Literatur aufgrund des klaren Wortlauts in Art. 3 Abs. 5 Fristen-VO („jede Frist“) davon ausgeht, dass auch bei Stundenfristen Sonderregelungen für Sonn- und Feiertage gelten müssen, gehen die Aufsichtsbehörden von einer strengeren Deutungsweise aus. Nach anderer Auffassung ist der Gesetzgeber bei der Festlegung von Stundenfristen von einer besonderen Dringlichkeit ausgegangen. Art. 3 Abs. 5 Fristen-VO könne daher nicht für Stundenfristen gelten.

Aussagen der Aufsichtsbehörden zur Fristenberechnung

Unsere Datenschutzschutzbeauftragte ist daher verständlicherweise verunsichert und sucht bei den Aufsichtsbehörden nach weiteren Informationen zur Fristberechnung:

Fündig wird sie z. B. in der Orientierungshilfe des BayLfD:

  • Der BayLfD hält die Regelung des Art. 3 Abs. 5 Fristen-VO für eine nach Stunden zu bemessende Frist für nicht anwendbar. Er ist der Ansicht, dass die Norm lediglich auf Fristen „von zwei oder mehr Tagen“ angewendet werden kann.
  • Nach dem FAQ des BayLDA startet die Frist erst um 0 Uhr des Folgetages, allerdings werden Wochenende und Feiertage mitberechnet und nicht nur Arbeitstage beachtet.

Auch in Tätigkeitsberichten anderer Aufsichtsbehörden ist erwähnt, dass Feiertage und Wochenende mitberechnet werden.

Die Stellungnahmen der Behörden lassen demnach auf eine strenge Auslegung der EU-Fristen-VO unter Mitberechnung von Wochenende und Feiertagen schließen.

Fristberechnung zur Datenpanne

Für unsere Datenschutzbeauftragte ergibt sich aus dem dargelegten Fall folgende Berechnung:

Freitag 06.06.:

  • 16:30 Uhr: „Bekanntwerden“ des Datenschutzvorfalls
  • 17:00 Uhr: Fristanfang nach Art. 3 Abs. 1 Fristen-VO

Samstag 07.06.:

  • 00:00 Uhr: Fristanfang nach Berechnung BayLDA

Sonntag 08.06.:

  • Fällt nicht in die Berechnung

Montag 09.06.:

  • 17:00 Uhr: Hier eigentlich Fristende nach 72 Stunden! (Art. 3 Abs. 2 lit a, Abs. 3 Fristen-VO)
    Aber: Durch die Arbeitstagregelung aus Art. 3 Abs. 5 Fristen-VO ist der Fristablauf erst nach zwei vollen Arbeitstagen erreicht (gedankliche Hilfestellung: „48 Arbeitstagsstunden“ – in unserem Beispiel ist heute Pfingstmontag)
  • 23:59 Uhr: Fristende nach Berechnung BayLDA

Dienstag 10.06.:

  • Erster voller Arbeitstag nach Art. 3 Fristen-VO

Mittwoch 11.06.:

  • 17:00 Uhr: tatsächliches Fristende (zwischen Freitag 17 Uhr und Mittwoch 17 Uhr liegen zwei volle Arbeitstage nach Art. 3 Abs. 5 Fristen-VO)

Da sich je nach Berechnungsmethode unterschiedliche Fristen ergeben, möchte unsere Datenschutzbeauftragte kein unnötiges Risiko eingehen. Da der Sachverhalt und rechtliche Prüfung in diesem Fall einfach waren, meldet sie den Vorfall noch am Freitag. Sicher ist sicher.

Bitte handeln Sie unverzüglich!

Obwohl bei der Fristberechnung grundsätzlich die 72-Stundenfrist angelegt wird, verlangt der Gesetztext eigentlich ein „unverzügliches“ Handeln. Was genau unverzüglich ist, beantwortet aber auch die Fristen-VO nicht. Der europäische Gesetzgeber hat gleichwohl erkannt, dass die Auslegung des unbestimmten Rechtsbegriffs „unverzüglich“ auf mitgliedsstaatlicher Ebene zu unterschiedlichen Ergebnissen führen kann. Um ein rechtseinheitliches Begriffsverständnis herbeizuführen, hat er gemäß Art. 70 Abs. 1 lit. g DSGVO dem europäischen Datenschutzausschuss die Aufgabe zugewiesen, Leitlinien, Empfehlungen oder bewährte Verfahren für die Festlegung der Unverzüglichkeit i. S. d. Art. 33 Abs. 1 und 2 DSGVO auszuarbeiten.

Solange dies nicht umgesetzt wurde, ist mit „unverzüglich“ (in der englischen Fassung: without undue delay) ein Handeln gemeint, welches ohne unbillige bzw. schuldhafte Verzögerung erfolgt. Dem Rechtsgedanken des § 121 BGB nach ist ein Handeln auch dann noch unverzüglich, wenn es nach eine den Umständen des Einzelfalls zu bemessenden Prüfungs- und Überlegungsfrist ausgeübt wird.

Nach EG 87 ist bei der Feststellung, ob die Meldung unverzüglich erfolgt ist, die Art und Schwere der Verletzung des Schutzes personenbezogener Daten sowie deren Folgen und nachteilige Auswirkungen für die betroffene Person zu berücksichtigen. Je schwerer der Datenschutzverstoß, desto schneller muss die Meldung erfolgen.

Überschreitung der 72-Stunden Frist

„Unverzüglich und möglichst binnen 72 Stunden“ bedeutet auch, dass die 72-Stundenfrist nicht starr ist. Eine Fristüberschreitung kann, muss aber nicht zwingend, zu einem Bußgeld führen. Der Gesetzgeber geht jedoch davon aus, dass 72 Stunden nach Bekanntwerden der Datenpanne zur Sachverhaltsermittlung und zur rechtlichen Bewertung der Meldepflicht ausreichen müssen. Daher muss eine Überschreitung der 72-Stundenfrist begründet werden (Art. 33 Abs. 1 S. 2 DSGVO).

Die DSGVO enthält keine Beispiele für Fälle, in denen eine Überschreitung zulässig sein kann. Eine Fristversäumnis wegen urlaubsbedingter Abwesenheit dürfte nicht ausreichen, da hierfür im Vorfeld geeignete Prozesse zu schaffen sind. Der Europäische Datenschutzausschuss nennt als Beispiel für eine mögliche Fristverlängerung den Fall, dass in einem kurzen Zeitraum mehrere ähnliche Datenpannen mit einer Vielzahl von Betroffenen gemeldet werden (Leitlinie 9/2022 zur Meldung von Datenschutzverletzungen, Rz. 63).

Die Monatsfrist zur Beantwortung von Betroffenanfragen

Zusätzlich zum Datenschutzvorfall hat unsere Datenschutzbeauftragte noch ein Auskunftsersuchen vom 09.05. offen, welches nahezu versandfertig auf dem Schreibtisch liegt. Welche Fristen sie hierbei einhalten muss, erörtern wir im Folgenden.

Regelung in der DSGVO

Art. 12 Abs. 3 DSGVO sieht vor, dass der oder die Verantwortliche die Auskunft nach Art. 15 DSGVO unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags, zur Verfügung stellt. Je nach Komplexität der Anfrage ist eine Fristverlängerung um zwei Monate möglich. Auch diese ist zu begründen und der Betroffene ist über die Gründe zu informieren.

Fristberechnung nach der EU-Fristen-VO

Nach der Leitlinie 01/2022 zu den Rechten der betroffenen Person (Auskunftsrecht) berechnet sich die Frist ebenfalls nach der EU-Fristen-VO. In Art. 3 Abs. 1, 2. Unterabs. Fristen-VO heißt es:

„Ist für den Anfang einer nach Monaten zu bemessenen Frist der Zeitpunkt maßgebend, in welchem das Ereignis eintritt, so wird bei der Berechnung dieser Frist der Tag nicht mitgerechnet, in den das Ereignis fällt.“

Gemäß Art. 3 Abs. 2 lit. c) Fristen-VO endet die Frist mit Ablauf der letzten Stunde des Tages, der dieselbe Bezeichnung trägt, wie der Tag des Fristbeginns. Im Vergleich zur Stundenfrist bei der Datenpanne gilt hier aber unstreitig der Art. 3 Abs. 4 Fristen-VO. Fällt der letzte Tag dieser Frist auf ein Wochenende oder einen Feiertag, so hat der Verantwortliche bis zum folgenden Arbeitstag Zeit, um zu antworten.

Die Lösung zur Betroffenenanfrage im Mai

Im Fall unserer Datenschutzbeauftragten ist am 09.05. ein Antrag auf Auskunft nach Art. 15 DSGVO eingegangen. Fristende wäre nach Art. 3 Abs. 2 der Fristen-VO eigentlich der 09.06. Da dieser Tag aber auf einen Feiertag fällt (Pfingstmontag), ist Fristende nach Art. 3 Abs. 4 Fristen-VO erst Dienstag, der 10.06. um 23:59 Uhr.

Fazit: Fristen kennen und schnell handeln

Die Fristen zur Meldung von Datenpannen und zur Beantwortung eines umfangreichen Auskunftsersuchens erfordern mitunter schnelles Handeln und damit geeignete Prozesse. Mitarbeiter:innen müssen richtig geschult sein, damit sie Datenpannen oder Betroffenenanfragen erkennen und sofort an die Datenschutzbeauftragten melden. Solange die Berechnung der Stundenfrist nach Art. 3 Abs. 2 bzw. Abs. 5 Fristen-VO streitig ist, ist es rechtssicherer, sich an der Berechnungsmethode der jeweils zuständigen Aufsichtsbehörde zu orientieren.

Mehr zum Thema DSGVO
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Interessante Ausführungen!

    Mir stellt sich vor Fristablauf aber noch eine Frage: Wann beginnt die Frist? Also ab wann gilt eine Datenpanne als durch das Unternehmen zur Kenntnis genommen? Gibt es „Kriterien“ für die Kenntnisnahme einer Datenpanne? Wann wäre der Zeitpunkt gewesen, wenn der Mitarbeiter nicht an der DS-Schulung teilgenommen, den Fehler also gemacht aber nach dem Fehlversand nicht als Datenpanne erkannt, dafür sein Vorgesetzter den Fehler erst zwischen den Jahren bemerkt und nach Silvester an die für Datenschutz Verantwortliche Stelle im Unternehmen weitergeleitet hätte?

    • Nach Ansicht der Datenschutzbehörden kann die gebotene „Kenntnis“ bereits dann vorliegen, sobald sich in den Ermittlungen zum Datenschutzvorfall ein „angemessener Grad an Sicherheit herauskristallisiert hat“ (s. hierzu: HmbBfDI, Informationspapier zu Data-Breach-Meldungen nach Art. 33 DS-GVO v. 15.11.2018, S. 6; ähnlich auch die Art-29-Datenschutzgruppe die von „hinreichender Gewissheit“ spricht). In der Literatur wird teilweise für den maßgeblichen Zeitpunkt für die Meldepflicht auf den objektiv bereits eingetretenen Verletzungserfolg abgestellt. Die Meldefrist beginnt demnach auch erst mit positiver Kenntnis der stattgefundenen Verletzung. Eine Verletzung ist dann eingetreten, sobald ein Sicherheitsdefizit zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung oder zum unbefugten Zugang von personenbezogenen Daten führt

  • Wenn ich mich richtig erinnere hat sich der BayLfD das mit dem Ablauf der Stundenfrist in seiner OH vom 01.06.2019 anders, weil Art. 3 Abs. 5 Fristen-VO sich nicht auf eine nach Stunden bemessene sondern auf eine nach Tagen bemessene Frist bezieht.
    Die Meinung des BayLfD überzeugt vor dem Hintergrund der Systematik des Art. 3 Fristen-VO mehr, weshalb die 72 Stunden Frist im o.g. Bsp. am 25.12. um 17:00 Uhr tatsächlich enden dürfte.

    • Das BayLfD argumentiert, dass die Stundenfrist als eine Option gedacht ist, punktgenaue, von der Lage der Feiertage undabhängige Handlungsprogramme festlegen zu können. In § 222 Abs. 3 ZPO etwa werden bei der Berechnung einer Stundenfrist Feiertage sogar gänzlich raus genommen sodass eine Stundenfrist hier nichtmal auf einem solchen Tag enden kann. Ein „verschieben“ von Stundenfristen ist daher dem (zumindest nationalen) Gesetzgeber nicht unbekannt!
      Der Abs. 5 könnte daher auch so verstanden werden, dass „Jede Frist“ von zwei oder mehr Tagen (48 oder mehr Stunden) mindestens zwei Arbeitstage umfasst. Im Gegensatz zu den Tagesfristen ist eine Stundenfrist nun dennoch strenger, weil das Fristende sehr wohl auf einene Feiertag fallen kann, was bei den Tagesfristen gemäß Abs. 4 ausgeschlossen ist.

  • Danke für die detaillierte Betrachtung!

    „Auftragsdaten des Kunden Y per Mailverteiler an potenzielle Mitbewerber des Y“
    Wird bei Ihrem Beispiel überhaupt eine Meldung nach Artikel 33 ausgelöst?
    (Verletzung des Schutzes personenbezogener Daten, die zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen)
    Vorraussetzung wäre dann, das es sich beim „Kunden“, der Mitbewerber hat, somit also gewerblich handelt, um eine natürliche Person (oder evtl. noch um eine Personengesellschaft) und keine Firma handelt.?

    • Zur Klarstellung: Selbstverständlich handelt es sich bei dem Kunden um einen Einzelhandelskaufmann und zu allem Überfluss beinhalten die Auftragsdaten ihrerseits wieder personenbezogene oder zumindest personenbeziehbare Daten! Um was für eine Tätigkeit es sich in diesem fiktiven Fall handelt bleibt ihrer Phantasie überlassen!

  • Interpretation für Fristbeginn 72 Stunden ab Bekanntwerden beim Verantwortlichen möglich?

    Es obliegt doch dem Verantwortlichen des Unternehmens die Meldung des Datenverstoß zu verantworten. Der DSB muss dafür Sorge tragen, dass ein effizienter Prozess zur Meldung und Beurteilung der Pannen etabliert ist und hat dafür zu sorgen dass alles ordentlich dokumentiert ist inklusive seiner Prüfung mit abschließender Empfehlung. Im Anschluss muss er aber die Verantwortliche Stelle des Unternehmens informieren und in Kenntnis setzen. Der Verantwortliche hat dann die Pannen selbst zu prüfen und die Entscheidung zu treffen, wer was wie zu melden hat. Diese Entscheidung muss Ihm obliegen, da er auch dafür haftet. Der (interne) DSB kann hierfür doch nur Empfehlungen abgeben…
    Konkret sieht unser Prozess, wie folgt aus:
    Es besteht ein interner Meldungsweg und spätestens innerhalb von zwei Werktagen ist sicherstellt, dass gemeldete Pannen dokumentiert und vom DSB geprüft werden. Nach Prüfung erfolgt die abschließende Vorlage beim Verantwortlichen mit der Schlussentscheidung, wer welche Meldung zu machen hat.
    In meinem Prozess bin ich bisher davon ausgegangen, dass die 72 Stunden erst anlaufen lassen kann, ab der Vorlage der bereits geprüften Pannen beim Verantwortlichen/Chef. Da ich mir rechtlich unsicher bin, habe ich bisher dafür gesorgt, dass in dem Prozess intern die 72 Stunden(von Meldung intern bis Meldung an DS-Behörde) immer eingehalten wurden.
    Bei diesem Verhalten sehe ich bis zur Meldung an den Verantwortlichen kein schuldhaftes zögern im Unternehmen und würde für mich in Zukunft herausnehmen die 72 Stunden erst ab Vorlage beim Chef starten zu lassen. Ich bin ein interner DSB, evtl. würde dies bei einem externen DSB zwingend anders aussehen…

    Könnt Ihr meinen Ausführungen zustimmen oder seht Ihr hier größere Probleme bei der Diskussion mit den Behörden?

    Besten Dank im Voraus, Ihr macht einen Super-Job mit der Website!!!!!

    • Halte ich nicht für vertretbar. Verantwortlicher ist ja das Unternehmen, aber nicht der GF (der haftet allenfalls). Es kommt darauf an, ab wann der Vorfall intern bekannt ist und nicht, wann der GF als Person das weiß. Gibt es keinen ordentlichen Meldeweg, ist das halt ein Organisationsproblem des Unternehmens. Mit ihrer Handhabe könnten Sie sonst die 72 Std auch leicht auf eine Woche oä ausdehnen, wenn es erst in Abteilungen bearbeitet wird bis es zum Boss geht und dann nach ihrer Auffassung erst dann die 72 Std beginnen. Das ist nicht Sinn der Sache und die Kenntnis beim Verantwortlichen liegt bei Bekanntwerden “im Unternehmen” vor.

      • Hallo Klaas K.

        vielen Dank für die Stellungnahme! Dem entnehme ich, dass Sie „nur“ ein Problem mit der Fristberechnung haben, aber nicht mit dem grundsätzlichen Prozess, wie dieser bei uns gelebt wird. Ich werde die 72 Stunden dann ab Bekanntwerden im Unternehmen zukünftig berücksichtigen(wie bisher auch…)

        Besten Dank.

    • Das BayLfD lässt bei einer Datenschutzverletzung, die nicht auf den ersten Blick als solche erkennbar ist, eine Aufklärungsphase von höchstens 24 Stunden ab dem Auftreten hinreichender Anhaltspunkte zu. Wird mehr Zeit benötigt, ist dies in der Meldung selbst zu erläutern.
      Die Verpflichtung zur Meldung entfällt auch dann nicht, sofern noch nicht alle Mindestinhalte nach Art. 33 Abs. 3 DSGVO vorliegen. Art. 33 Abs. 4 DSGVO sieht in solchen Fällen eine schrittweise Information an die Behörde vor.
      Einer Literaturansicht nach wird die Meldepflicht ausgelöst, sobald dem Verantwortlichen (=Organisationseinheit) Informationen über Art, Umstände und Zeitpunkt der Schutzverletzung sowie über die Kategorien der betroffenen Daten vorliegen.

  • Erst einmal Danke für den interessanten Artikel, den ich eigentlich wegen der 72-Stunden-Frist gelesen hatte! Ich komme jedoch bei „Die Lösung zur Betroffenenanfrage im Dezember“ zu einem anderen Ergebnis:

    Ereignis: 15.12. (Antragseingang)
    Fristbeginn: 16.12., 0.00 Uhr
    Fristende: 16.01., 24.00 Uhr

    Nach meiner Lesart des Art. 3 Abs. 2 lit. c der VO beträgt eine hier relevante Monatsfrist „1 Monat plus ein Tag“, denn der letzte Tag muss dieselbe Zahl tragen wie der erste Tag der Frist (16.) und dort gilt dann der Ablauf der letzten Stunde. (vgl. dazu auch den anderslautenden Wortlaut in § 188 Abs.2 BGB)

    • Streng nach dem Wortlaut liegt es nahe, für die Berechnung des Fristendes den „Tag des Fristbeginns“ i.S.d. Art. Art. 3 Abs. 2 lit. c Fristen-VO als jenen Tag zu verstehen, der sich als Beginn des Fristlaufs gem. Art. 3 Abs. 1 2. Unterabs. Fristen-VO ergib. Dann müsste, wie sie sagen, der „Tag des Fristbeginns“ eigentlich der 16.12 sein.
      Der EuGH versteht den eindeutigen Wortlaut allerdings anders und unterscheidet zwischen „ Dem Tag des Fristbeginns“ und dem Tag, an dem die Frist tatsächlich zu laufen beginnt.
      Um die durch den Wortlaut ermöglichte Verlängerung etwa einer einwöchigen Frist auf acht Tage oder einer zweiwöchigen Frist auf 15 Tage usw. zu verhindern, muss man daher den „Tag des Fristbeginns“, entgegen dem Wortlaut, als den Tag, in den das Ereignis fällt, ansehen und den darauffolgenden Tag als denjenigen, ab dem die Frist tatsächlich zu laufen beginnt.
      Würde man den Tag des Fristbeginns nicht mitrechnen hätte dies zur Folge, dass die vorzeitige Vornahme der Handlung, die eigentlich in der laufenden Frist zu tätigen ist, noch an dem Tag des fristauslösenden Ereignisses selbst zu einer nicht fristgerechten Vornahme führen würde, da sie vor Lauf der Frist vorgenommen wurde. Es läuft im Zeitpunkt der Vornahme der Handlung also noch gar keine Frist und die dennoch vorgenommene Handlung wäre nicht beachtlich.
      In unserem Fall wäre daher ein Beantwortung des Antrags am 15.12 nicht innerhalb der Frist und dementsprechend nicht beachtlich. Das kann jedoch nicht gewollt sein. Daher ist der Tag des Fristbeginns in die Berechnung einzubeziehen, auch wenn der Lauf der Frist erst am darauf folgenden Tag um 00:00 Uhr beginnt.

  • Datenschutzverstöße sind mitunter nicht sofort als solche zu erkennen. Ich lege die Frist daher so aus, dass erst dann, wenn ein Datenschutzverstoß als solcher erkannt wird (personenbezogene Daten betroffen, Schutzziele verletzt) die 72 Stunden laufen. Die „hinreichende Gewissheit“ bedingt m.E. das Erkennen, die interne Meldung und/oder die Erstbewertung, aber eben nicht automatisch den Zeitpunkt des Eintretens.

    • Vollkommen zutreffend. Im Ausgangsbeispiel geschieht daher der Vorfall ja schon am 21.12. wird aber erst am nächsten Tag kurz vor Feierabend erkannt und unsere Berechnung der Frist beginnt dann am Freitag 22.12 um 16:45 Uhr mit „bekanntwerden“.

  • Geehrte Damen und Herren, liebes Dr. Datenschutzteam,
    Danke für Aufnahme und Ausführung des Fristen-Themas im Blog.
    Für den oben erwähnten Fall der Datenpanne mit Fristbeginn Freitag, 22.12., 17 Uhr komme ich meinem Verständnis nach zum Ablauf der Frist mit Freitag, 29.12., 17 Uhr (= 72 Std. an Arbeitstagen) .
    Die ersten 24 Stunden: Fr., 22.12., 17 Uhr – Mi., 27.12., 17 Uhr
    Die letzten 48 Stunden: Mi., 27.12., 17 Uhr – Fr., 29.12., 17 Uhr
    Begründung: der 26.12. ist ein gesetzlicher Feiertag und zählt nicht als Arbeitstag.
    Wie begründen Sie die Einrechnung des 26.12. in die Fristenberechnung? Worin liegt mein Missverständnis?
    Hochachtungsvoll!

    • Ihr Missverständnis liegt darin, dass sie für die Frist von 72 Stunden an Arbeitstagen ausgehen. Wie im Beitrag geschildert läuft eine nach Stunden bemessene Frist aber nicht nur an Arbeitstagen, sondern auch während des Wochenendes oder einem Feiertag und kann an diesen auch enden. Dementsprechend endet sie in unserem Beispiel eigentlich am Montag. Die Sonderregelung des Art. 3 Abs. 5 Fristen-VO besagt aber, dass die Frist zwei Arbeitstage (48 Std.) umfassen muss. Bis dahin wird die Frist verlängert. Da innerhalb der Frist schon ein Arbeitstag liegt, wird sie nur um weitere 24 Stunden verlängert, um auf die zwei Arbeitstage zu kommen, und nicht um 48 Stunden wie in Ihrem Beispiel.

      • D’accord, die DSGVO hat keine Arbeitstage definiert.
        Wenngleich dies für einen Datenschutzbeauftragten bedeutet, dass sich dadurch die für ihn zur Verfügung gestellte Zeit, zu sonst üblichen Arbeitstagen/-zeiten, tats. verkürzt. Im konkreten Fall von durchgängigen 3 Arbeitstagen und ihren 72 Stunden auf nunmehr zwei durchgehende Tage und damit 48 Stunden. Mit Verlaub, an einem Fr., den 22.12. nach 13 Uhr wird man die Arbeitsfähigkeit womöglich nicht mehr einwandfrei gewährleisten können.

        Wir verhält sich das iMn dann folgendem Beispiel:
        Do., 07.07.2022, 15 Uhr (Fristenbeginn)
        So., 10.07.2022, 15 Uhr (hier Ende der eigentlichen 72 Stunden Frist)

        Tatsächliches Fristende dann am:
        Mo., 11.07.2022, 15 Uhr
        oder Di. 12.07.2022, 15 Uhr?

        Ich würde gern von einem Dienstag, 12.07.2022, 15 Uhr ausgehen (Art. 3 Abs. 5 Fristen-VO) wollen können.

        • Arbeitstage sind in Art. 2 Abs. 2 Fristen-VO definiert, nämlich alle Tage, die nicht Feiertage, Sonntage oder Sonnabende sind. Aber nach Art. 3 Fristen-VO gilt, dass Fristen Feiertage, Sonntage und Sonnabende umfassen, soweit diese nicht ausdrücklich ausgenommen oder die Frist nach Arbeitstagen bemessen ist. Dahinter steckt der Gedanke, dass Fristen ohne diese ausdrückliche Einschränkung vom Gesetzgeber aufgrund der Dringlichkeit der vorzunehmenden Handlung bewusst so erlassen wurden. Beim Art 33 DSGVO fehlt eine Einschränkung (… binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, …). Dementsprechend schreiben Sie in Ihrem Beispiel richtigerweise, dass die Frist am Sonntag endet. Durch die Ausnahme des Art. 3 Abs. 5 Fristen-VO wird diese bis zum Montag um 15 Uhr verlängert, damit sie zwei Arbeitstage umfasst.

  • Vielleicht auch für Mitlesende interessant:
    Es heißt ja oft, dass bei Betroffenenanfrage eine erste Kenntnisnahme des Eingangs der Anfrage binnen 48 Stunden stattzufinden hat. Gibt es hierzu eigentlich einen gesetzliche Normierung bzw. Ableitung, Entscheidungen durch Gerichte oder zumindest Stellungnahmen durch Behörden/Gremien? Oder hat sich „binnen 48 Stunden Kenntnisnahme“ einfach eingebürgert, ist aber keine „offiziell“ verpflichtende Frist?

    Mal unabhängig davon, dass eine schnelle erste Antwort (persönlich oder automatisiert) mit Information der Kenntnisnahme natürlich an sich gut ist.

    • Exakt. Die Kenntnisnahme des Eingangs binnen 48 Stunden kann als „Serviceleistung“ betrachtet werden. Eine gesetzliche Pflicht findet sich hierzu nicht. Auch aus Art. 15 DSGVO ergibt sich direkt keine Erledigungsfrist. Allerdings bestimmt Art. 12 Abs. 3 DSGVO, dass die geschuldeten Informationen „unverzüglich“, jedenfalls aber innerhalb eines Monats nach Eingang des Antrages zu erteilen sind und nur in Ausnahmefällen eine Maximalfrist von drei Monaten gilt.

  • Vielen Dank für die ausführliche Info und die interessanten Kommentare.
    Als langjähriger DSB erlebe ich es als frustrierend, dass DSBen und Beschäftigte sich überschlagen müssen vor Eile, um die Frist einzuhalten, der BfDI sich jedoch für seine Reaktion, wenn den überhaupt eine kommt, sich Monate Zeit nimmt.
    Die Frist sollte sich auch danach richten, ob überhaupt noch Maßnahmen der Schadensbegrenzung möglich sind, auf die die Aufsicht Einfluss nehmen könnte.( 99,9% unserer Meldungen unter Schweiß und Tränen sind dort nur Aha-Erlebnisse.)
    Ist das nicht der Fall, sollte die Frist länger sein. Die Verantwortung für die richtige Auslegung trägt der Verantwortliche.
    Auch an anderen Stellen schafft die DSGVO leider Bürokratiemonster, die den Beschäftigten kaum vermittelbar sind. Das Klein-Klein, zu dem die DSGVO durch die rücksichtslose Gleichbehandlung kleinster und größter Risiken bei Unternehmen und Behörden führt, ist ein wichtiger Grund für die Abneigung seitens der Verantwortlichen und sorgt für den schlechten Ruf der Tätigkeit des DSB als „Bullshit-Job“. Behörden haben echte Probleme, die schlecht bezahlten Stellen zu besetzen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.