Murphy’s Law der Datenschützer schlägt zu: es ist Freitag und natürlich Zeit für einen Datenschutzvorfall. Laura und Cornelius schauen sich dieses Phänomen des Datenschutzes im Detail an. Wie geht man mit der 72-Stunden-Frist um, was ist mit dem Wochenende und wer hat eigentlich Kenntnis? Schwierig wird’s beim Risiko vor allem für die Betroffenen und vielleicht findet man dabei auch die Leichen im Keller.
00:00:00 Intro
00:01:21 Einleitung in das Szenario
00:04:12 Was ist ein Datenschutzvorfall?
00:08:51 Manchmal hilft auch die GDPR – Data Breach
00:11:52 Die 72-Stunden-Frist – Datenschutz kennt kein Wochenende
00:16:05 Ab wann gelten die 72 Stunden? Wer weiß wann was?
00:20:50 Sensibilisierung, Schulung, Meldewege und Prozesse
00:25:02 Schrittweise Meldung ist auch möglich
00:26:45 Aufsichtsbehörde: dein Freund und Helfer?
00:28:52 Bestimmung des Risikos – Wo fängt es an und wo hört es auf?
00:35:48 „Top it up a notch!“ – Artikel 34 das hohe Risiko
00:38:24 Die armen Betroffenen: Pro und Contra des hohen Risikos
00:42:56 Rattenschwanz der Meldung an Betroffene – Die Leichen im Keller
00:45:01 Dokumentation nicht vergessen!
00:48:06 Outro
Moin zusammen,
was mir fehlt ist die technische Berechnung der Frist.
Europäische Fristenverordnung
Verordnung (EWG, Euratom) Nr. 1182/71 des Rates vom 3. Juni 1971 zur Festlegung der Regeln für die Fristen, Daten und Termine
Kapitel I, Artikel 3
(1) Ist für den Anfang einer nach Stunden bemessenen Frist der Zeitpunkt maßgebend, in welchem ein Ereignis eintritt oder eine Handlung vorgenommen wird, so wird bei der Berechnung dieser Frist die Stunde nicht mitgerechnet, in die das Ereignis oder die Handlung fällt.
Beispiel:
Vorfall 18:12 Uhr, 22.11.2023
Beginn 72h-Frist 19:00 Uhr, 22.11.2023
Ende 72h-Frist 19:00 Uhr, 25.11.2023
und die angekündigten Verlinkungen.
Der Rest gefällt mir gut.
Gruß Ralf
Vielen Dank für den Hinweis und das nette Feedback. Da wir auf diesen Punkt nicht mehr im Detail eingehen konnten, haben wir einen einschlägigen Aufsatz zu diesen Fragestellungen in den Shownotes platziert. Wir hoffen, dass das hilft.
Bei ~14:00 stimme ich nicht komplett zu. Die Fristberechnung richtet sich m. E. nach der FristenVO der Europäischen Union.
Ausschlaggebend ist hier insbesondere Artikel 3:
Ist für den Anfang einer nach Stunden bemessenen Frist der Zeitpunkt maßgebend, in welchem ein Ereignis eintritt oder eine Handlung vorgenommen wird, so wird bei der Berechnung dieser Frist die Stunde nicht mitgerechnet, in die das Ereignis oder die Handlung fällt.
(…)
(2) Vorbehaltlich der Absätze 1 und 4 gilt Folgendes:
a) Eine nach Stunden bemessene Frist beginnt am Anfang der ersten Stunde und endet mit Ablauf der letzten Stunde der Frist.
(…)
(3) Die Fristen umfassen die Feiertage, die Sonntage und die Sonnabende, soweit diese nicht ausdrücklich ausgenommen oder die Fristen nach Arbeitstagen bemessen sind.
(…)
(5) Jede Frist von zwei oder mehr Tagen umfasst mindestens zwei Arbeitstage.
Das heißt in dem von Laura genannten Beispiel:
15:42 erlangt sie – als DSB – Kenntnis. Das heißt für den Fristbeginn muss zuerst erfragt werden, wann die Verantwortliche (der IT-ler, andere Mitarbeiter oder ähnliches) Kenntnis erlangt hat, da dies ja für die Fristberechnung ausschlaggebend ist, nicht wann die (externe) DSB Kenntnis erlangt hat. Anders wärs natürlich, wenn der IT-ler Dienstleister ist und die DSB in der Sphäre der Verantwortlichen sitzt.
Nehmen wir also an, die Verantwortliche/Mitarbeiter haben irgendwann zwischen 15:00 und dem Anruf, um 15:42 Kenntnis erlangt.
Das heißt Fristbeginn ist 16.00 (da die Stunde des Ereignis der Kenntnisnahme nicht mitgezählt wird, egal ob 15:00:01 oder 15:59:58).
Auslaufen würde die Frist somit nach 72h, also theoretisch am Montag um 16.00 Uhr, aber da JEDE Frist von zwei oder mehr Tagen mindestens 2 Arbeitstage umfassen muss, kann die Frist erst am Dienstag 16.00 Uhr ablaufen.
Das mit dem Freitag kann ich bestätigen. Bevorzugt kurz vor Schluss. Ist aber halb so wild, wenn viele davon bereits eine Zeitlang gereift sind. Also egal, ob die 72-h-Frist um 0 Uhr am Samstag oder um 0 Uhr im Februar beginnt.
D., der bei den meisten feststellt, dass die Meldekritierien nicht erfüllt sind.
Das können wir bestätigen und auch wir freuen uns, wenn wir ein ruhiges Wochenende haben und die Dokumentation nach der ersten Einschätzung bzw. Sachverhaltsanalyse bis zum Montag warten kann.
Könnt ihr die in der Folge erwähnten Dokumente bitte auch hier verlinken? Danke.
Natürlich! Im Player für die Folge gibt es je nach Browser einen Info-Button, dort können die Shownotes angezeigt werden.
Klasse Song 🎶 Und gefühlt stimmt das mit dem Freitag tatsächlich; oder Donnerstag wobei die Meldung vorm WE raus muss.
Hallo, vielen Dank für das nette Feedback! Das ist ein wichtiger Punkt. Art. 33 DSGVO spricht ja auch von einer unverzüglichen Meldung und das Ausschöpfen der 72 Stunden ist bei bestehenden, guten Prozessen vielleicht gar nicht nötig. Und wahrscheinlich für alle Beteiligten besser als eine Schicht am Wochenende. 😉