Zwischen den Jahren hat man (manchmal) die Zeit, sich mit Themen zu befassen, die während des Jahres zu kurz gekommen sind. Bei mir ist das zum Beispiel der Vorschlag der EU-Kommission für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Durchsetzung der DSGVO (COM(2023) 348 final).
Vielen dürfte der Vorschlag vor allem im Hinblick auf die geplanten Anpassungen bei der Zusammenarbeit der europäischen Datenschutzbehörden und auch Vorgaben zum Umgang mit Beschwerden bekannt sein.
Vorschlag der EU-Kommission zur Fristenberechnung
Interessant ist aus meiner Sicht aber ganz allgemein der vorgeschlagene Art. 29. Dieser lautet:
„Beginn der Fristen und Definition eines Arbeitstages
(1)Die von den Aufsichtsbehörden nach der Verordnung (EU) 2016/679 festgelegten Fristen bzw. die darin enthaltenen Fristen werden im Einklang mit der Verordnung (EWG, Euratom) Nr. 1182/71 des Rates 17 berechnet.
(2)Die Fristen beginnen an dem Arbeitstag, der auf das Ereignis folgt, auf das sich die einschlägige Bestimmung der Verordnung (EU) 2016/679 oder der vorliegenden Verordnung bezieht.“
Absatz 1 birgt mittlerweile keine große Überraschung mehr. Fristen der DSGVO werden nicht nach nationalem Recht (etwa dem BGB) berechnet, sondern nach europäischem Recht. Konkret, der Verordnung (EWG, Euratom) Nr. 1182/71.
Wichtig ist in Absatz 1 dennoch die Klarstellung, dass dies nicht nur für die vorgeschlagene Verordnung zu den Verfahrensregeln gilt – sondern ausdrücklich auch für „darin enthaltenen Fristen“; darin bezieht sich auf die DSGVO insgesamt.
Jetzt kommen wir aber zu dem viel relevanteren Absatz 2.
Danach sollen Fristen an dem Arbeitstag beginnen, „der auf das Ereignis folgt, auf das sich die einschlägige Bestimmung der Verordnung (EU) 2016/679…bezieht“. Auch diese Vorgabe ist nicht allein auf die vorgeschlagene Verordnung bezogen, sondern ausdrücklich auf alle Fristen aus der DSGVO.
Die Besonderheit an dieser Regelung: sie führt im Vergleich zu den generellen Vorgaben der Verordnung (EWG, Euratom) Nr. 1182/71 zu einer abweichenden Fristenberechnung für solche Regelungen, die Stundenfristen vorsehen (wie Art. 33 Abs. 1 DSGVO).
Vorgaben der Verordnung (EWG, Euratom) Nr. 1182/71
Nach Art. 3 Abs. 1 und Abs. 2 a) gilt eigentlich folgendes.
Wenn für den Anfang einer nach Stunden bemessenen Frist der Zeitpunkt maßgebend ist, in welchem ein Ereignis eintritt oder eine Handlung vorgenommen wird, so wird bei der Berechnung dieser Frist die Stunde nicht mitgerechnet, in die das Ereignis oder die Handlung fällt.
Und, eine nach Stunden bemessene Frist beginnt am Anfang der ersten Stunde und endet mit Ablauf der letzten Stunde der Frist.
Eine solche nach Stunden bemessene Frist findet sich in Art. 33 Abs. 1 DSGVO. Die Meldung an die Aufsichtsbehörde soll „möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde“ durch den Verantwortlichen erfolgen.
Das „Bekanntwerden“ ist hier das relevante Ereignis (auch dazu kann man trefflich streiten, soll hier aber nicht Thema sein).
Beispiel des BayLfD zur aktuellen Berechnungsvorgabe
In seiner Orientierungshilfe „Meldepflicht und Benachrichtigungspflicht des Verantwortlichen“ bildet der BayLfD dazu das folgende Beispiel (ab Rz. 77 ff).
Das für den Anfang der Frist maßgebliche Ereignis ist das Bekanntwerden der Datenschutzverletzung. Die Frist tritt dann nicht sofort, sondern mit Anfang der nächsten Stunde in Lauf. Wird also eine Datenschutzverletzung um 16.20 Uhr bekannt, beginnt die 72-Stunden-Frist um 17.00 Uhr.
Änderung durch den vorgeschlagenen Art. 29 Abs. 2
Sollte aber Art. 29 Abs. 2 der Verordnung zur Festlegung zusätzlicher Verfahrensregeln tatsächlich anwendbar werden, würde die Stundenfrist gerade nicht mit Anfang der nächsten Stunde zu laufen beginnen.
Denn nach Art. 29 Abs. 2 beginnt die Frist „an dem Arbeitstag, der auf das Ereignis folgt“. Die Art. 33-Frist würde also später zu laufen beginnen, als derzeit nach den Vorgaben der Verordnung (EWG, Euratom) Nr. 1182/71 und wie im Beispiel des BayLfD.
Hier am obigen Beispiel des BayLfD erläutert:
Wird eine Datenschutzverletzung um 16.20 Uhr bekannt, beginnt die 72-Stunden-Frist erst um 00.00 Uhr des nächsten Arbeitstages. Man „gewinnt“ als Verantwortliche mithin einige Stunden.
In anderen Situationen kann der Zeitgewinn noch größer ausfallen. Zum Beispiel, wenn das Bekanntwerden der Datenschutzverletzung um 09.45 Uhr vormittags erfolgt. Dann gewinnt man im Vergleich zur aktuellen Berechnung (Frist würde um 10 Uhr starten) 14 Stunden.
Ausblick
Ich bin gespannt, ob der vorgeschlagene Art. 29 Abs. 2 so in kraft treten wird. Der EDSA und der EDSB haben in ihrer Stellungnahme zu dem Vorschlag der EU-Kommission diese Änderung der Fristenberechnung überhaupt nicht angesprochen. Ob bewusst oder unbewusst, ist aber nicht klar.
Danke für die gewohnt gute Darstellung! Das BayLDA führt in seinen FAQ zu Datenschutzverletzungen https://www.lda.bayern.de/de/faq.html bereits den Beginn des nächsten Tages dazu aus, betont aber, dass auch Wochenenden / Feiertage bei der Berechnung zu berücksichtigen sind und nicht nur Arbeitstage. Werden denn Arbeitstage auf europäischer Ebene definiert, wenn Art. 29 II des Entwurfs diesen Begriff verwendet?
Pingback: Alle Betroffenen – Wochenrückblick KW 1/2024 | Artikel 91