Fristverlängerung bei Data Breaches: Entspannung in der DSGVO?
Fristverlängerung bei Data Breaches? Bislang gilt für die Meldung von Datenschutzverstößen eine Frist von 72 Stunden ab Kenntnis einer entsprechenden Verletzung durch den Verantwortlichen. Maßgeblich ist dafür die Vorschrift in Art. 33 Abs. 1 S. 1 DSGVO. Hiernach hat der Verantwortliche „unverzüglich und möglichst binnen 72 Stunden“ eine Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde zu melden. Eine Vorgabe, die in der Praxis oft für Hektik, wenn nicht Panik, sorgt. Oft stellen sich hier diverse Fragen. Liegt überhaupt eine entsprechende meldepflichtige Verletzung vor? Wann ist diese im Sinne des Gesetzes bekannt geworden? Wer ist zuständig für die Meldung?
Besonders herausfordernd ist das Ganze, wenn ein solcher Vorfall im Unternehmen kurz vor dem Wochenende gemeldet wird. Denn bislang werden Samstage und Sonntage bei der Fristberechnung mitgezählt. Wird also ein Vorfall am Freitagnachmittag bekannt, so muss er im schlimmsten Fall bereits am Montag gemeldet werden. Und weil am Wochenende die wichtigen Stakeholder oft nicht erreichbar sind, um eine Bewertung vorzunehmen, bleiben so nur ein paar Stunden am Montagvormittag, um alles zu sichten, rechtlich zu bewerten, eine Meldung zu entwerfen und durch diverse Abstimmungs- und Freizeichnungsrunden zu schicken. Es gibt definitiv schönere Aspekte an der Tätigkeit als Datenschutzbeauftragter. Und ob irgendjemandem mit derart kurzfristig zusammengeschusterten Meldungen geholfen ist, bezweifeln wir auch.
EU plant Änderungen bei der Fristberechnung
Dies scheint auch die EU verstanden zu haben. So ist geplant, bei der Fristberechnung künftig das Wochenende nicht mehr mitzählen zu müssen. Umgesetzt werden soll diese Änderung an einem der grundlegenden Pfeiler der DSGVO mit einer DSGVO Verfahrens-VO (hier der Link zum derzeitigen Entwurf). Art. 29 Abs. 2 des Entwurfs dieser Verordnung sieht vor, dass die in der DSGVO bestimmten Fristen nunmehr mit dem Arbeitstag zu laufen beginnen, der auf das fristauslösende Ereignis folgt. Ausgenommen sind damit alle Samstage, Sonn- und Feiertage. Außerdem beginnt der Fristlauf nicht wie bisher unmittelbar nach Kenntnis des Vorfalls, sondern erst am darauffolgenden Arbeitstag. Wird ein potentieller Data Breach also am Freitag bekannt, beginnt die 72-Stunden-Frist des Art. 33 Abs. 1 S. 1 DSGVO erst am darauf folgenden Montag zu laufen. Im Ergebnis haben Unternehmen dann deutlich mehr Zeit, sich der Bewertung zu widmen und können diese in eine fundierte Risikoanalyse investieren.
Baldige Entlastung? Stand des Verfahrens
Dürfen Entscheidungsträger und Datenschutzbeauftragte nun also etwas durchatmen? Das steht leider noch nicht sicher fest. Das Gesetzgebungsverfahren ist noch nicht abgeschlossen und im EU-Parlament hat sich Widerstand gegen die geplante Regelung gezeigt. Aus unserer Sicht ist dies aber eine überaus begrüßenswerte Novelle, die Unternehmen und Datenschutzbeauftragte deutlich entlasten würde. Anstatt hektisch Meldungsentwürfe aus Basis vager Tatsachen zu entwerfen, könnte die kostbare Zeit zukünftig prioritär in Eindämmung eines Vorfalls investiert werden. Leider nimmt die Abstimmung zur Verfassung einer Meldung immer auch erhebliche zeitliche Ressourcen der IT Teams in Anspruch, die in diesem Stadium mit Sicherheit an anderer Stelle besser gebraucht werden können.
Wir halten Sie auf jeden Fall über die diesbezügliche Entwicklung auf dem neusten Stand.
Abonnieren Sie einfach unseren Newsletter, um keine relevanten Neuigkeiten zu verpassen! Hier geht es zur Anmeldung.
