01.06.2025 |
„Huh, wann beginnt denn die Frist?“
Kommt es im Unternehmen zu einer Panne bei der Verarbeitung personenbezogener Daten, herrscht vielfach große Unsicherheit. Ein Punkt: Wann beginnt denn überhaupt die Frist zu laufen? Gerichtsurteile fehlen; Aufsichtsbehörden haben da so ihre eigene Meinung. Hier unser Kompass für die Praxis.
Datenpanne und menschliche Fehler
Nach Artikel 33 der EU-Datenschutzgrundverordnung („DSGVO“) müssen „Verletzungen des Schutzes personenbezogener Daten“ der zuständigen Aufsichtsbehörde für den Datenschutz möglichst innerhalb von 72 Stunden gemeldet werden. Umgangssprachlich ist damit eine „Datenpanne“ gemeint (so auch die Aufsichtsbehörden). Ein Beispiel aus dem täglichen Firmenleben: Der Kunde A erhält sein Paket mit der bestellten Ware und darin versehentlich ist die Rechnung des Kunden B beigelegt. Ärgerlich für A und B sowie misslich für das Unternehmen. Kommt vor – wo Menschen arbeiten, passieren schließlich immer Fehler.
Doch den Irrtum muss die Firma umgehend abstellen und den Vorfall vielleicht sogar der Aufsichtsbehörde für den Datenschutz melden. Nach Artikel 33 Absatz 1 der EU-Grundverordnung hat eine Meldung innerhalb von 72 Stunden zu erfolgen. Und dort heißt es dann weiter: „Der Verantwortliche“ hat den Report zu erstatten, „nachdem ihm die Verletzung bekannt wurde“. Erfolgt keine Information an die Behörde, kann ein hohes Bußgeld verhängt werden.
Die Uhr tickt – aber auf wessen Uhr kommt es an?
72 Stunden bleiben also Zeit. Das ist nicht viel. Gerade im Klassiker, wenn der Vorfall am Freitag um 17 Uhr bekannt wird. Es stellt sich folglich die Gretchenfrage, ab wann die Uhr tickt. Anders gedreht: Wer im Unternehmen muss Kenntnis haben, dass es zu einer eventuellen Datenpanne gekommen ist? Hier vertritt beispielsweise die Hamburgische Datenschutzbehörde in einer älteren Aussage die Auffassung, dass es ausreicht, „dass irgendwo im Unternehmen Kenntnis erlangt wird“ (im Link auf Seite 9).
Wir halten das für falsch. Es kann nicht sein, dass der Mitarbeiter im Retouren-Lager zwei Lieferscheine mit personenbezogenen Daten verwechselt hat, ihm das nach Feierabend noch einmal eingefallen ist und er drei Tage den Fehler seinem Vorgesetzten mitteilt. Woher soll der Mensch denn wissen, dass es sich gegebenenfalls um eine Datenpanne hätte handeln können? Aber auch die Aufsichtsbehörden sehen das Problem, ebenso in der Hansestadt Hamburg. Es gibt eine Art „Karenzzeit“. Aus Hamburg kommt etwa das Statement, dass die Frist noch nicht eintritt, „wenn zunächst nur vage Hinweise vorliegen. Dann hat der (Verantwortliche) so schnell wie möglich Ermittlungen anzustellen“ und erst dann beginnt die Frist zu laufen.
Fragen Sie Ihre Datenschutzbeauftragte/Datenschutzbeauftragten – nicht den Apotheker
Für den Fristbeginnt zur Meldung (möglicher) Verletzungen des Schutzes personenbezogener Daten darf getrost auf die Werbung bei Arzneimitteln verwiesen werden: „Fragen Sie Ihre Datenschutzbeauftragte oder Ihren Datenschutzbeauftragten“. Der Apotheker/die Apothekerin ist genauso wenig Ansprechpartner wie der Wachdienst am Werkstor.
Grundsätzlich verhält es sich so, dass der „Verantwortliche“ die Geschäftsführung ist und es somit auf ihre Kenntnis für den Beginn der 72-Stunden-Frist ankommt. Aber in den meisten Fällen hat der Firmenlenker das Thema Datenschutz und somit auch für die Meldungen nach Artikel 33 DSGVO in rechtlich zulässiger Weise an den Datenschutzbeauftragten delegiert. Somit ist der Datenschutzbeauftragte die Person, auf dessen Kenntnis es für eine mögliche Meldepflicht an die Aufsichtsbehörde und auch für eine Benachrichtigung an die betroffenen Personen nach Artikel 34 EU-Datenschutzgrundverordnung ankommt.
Schulungen der Mitarbeitenden und Prozesse implementieren – Vorher!
Damit der Datenschutzbeauftragte rechtzeitig informiert wird, ist zweierlei im Vorfeld zu empfehlen – also Vorher (und das ist Aufgabe der Geschäftsführung im Einklang mit dem Datenschutzbeauftragten und anderen Stakeholdern im Unternehmen):
Zum Ersten: Die Schulung der Mitarbeitenden zum Datenschutz. Zum Zweiten: Besteht ein Intranet, die Hinterlegung eines Formulars für Meldungen an den Datenschutzbeauftragten für potenzielle Fälle eines Datenschutz-Fauxpas.
Von Prof. Dr. jur. Noogie C. Kaufmann (Master of Arts)
AI-Privacy-Expert (GDDcert. EU)
Bildnachweis: Das Bild wurde mit KI von Adobe Firefly erstellt.