Zur 72-Stunden-Frist
nach Art. 33 Abs. 1 DSGVO
Zur Frage, wann eine 72-Stunden-Frist nach Art. 33 Abs. 1 DSGVO endet und ob bzw. wie dabei ggf. die EU-Fristenverordnung (EU Verordnung Nr. 1182/71) anzuwenden ist, gibt es unterschiedliche Auffassungen. Klar ist insoweit, dass die Fristen-VO grundsätzlich Anwendung findet. Uneinigkeit besteht jedoch darüber, ob die 72-Stunden-Frist auch Wochenenden und Feiertage beinhaltet.
Jetzt hat die LDI NRW klargestellt, dass dies der Fall ist. Denn auch wenn es in Art. 3 Abs. 5 Fristen-VO heißt: "Jede Frist von zwei oder mehr Tagen umfasst mindestens zwei Arbeitstage", findet diese Regelung im konkreten Fall keine Anwendung, da es sich bei der Frist in Art. 33 Abs. 1 DSGVO explizit um eine Stundenfrist handelt. Wörtlich schrieb mir die LDI NRW dazu:
Art. 3 Abs. 5 Fristen-VO findet nach hiesiger Einschätzung keine Anwendung auf Stundenfristen.
Und für eben diese Stundenfristen gilt Art. 3 Abs. 5 Fristen-VO nicht, da sich dieser - nach Auffassung der LDI NRW- ausschließlich auf Tagesfristen bezieht.
Ich muss gestehen, dass ich zunächst naiverweise gedacht hatte, dass 72 Stunden eben auch drei Tage sind. So wie bspw. auch Carlo Piltz und Melanie Pradel in ihrem Aufsatz in der ZD 4/2019, der im Übrigen den Sachverhalt noch deutlich differenzierter betrachtet und deswegen zur Lektüre empfohlen wird.
Diese Interpretation ist aber wohl - zumindest aus Sicht der LDI NRW - nicht richtig, denn nicht ohne Grund unterscheiden sowohl die DSGVO als auch die Fristen-VO explizit zwischen Stundenfristen, Tagesfristen und Wochenfristen.
Ist ja eigentlich auch logisch *Zwinkersmiley* oder doch nicht?
Nun, so ganz unlogisch klingt die Argumentation der LDI NRW nicht. Aber man kann schon kritisch hinterfragen, ob das die richtige Auffassung der Sachlage ist. Denn warum differenzieren Abs. 1 bis 4 in Art. 3 Fristen-VO explizit zwischen Fristen, die nach "nach Stunden", "nach Tagen" sowie "nach Wochen, Monaten oder Jahren" bemessen sind, Art. 3 Abs. 5 Fristen-VO soll aber ausnahmslos für "Jede Frist..." gelten und dennoch nicht für Stundenfristen anwendbar sein?
Nach Ansicht der LDI NRW bleibt es jedenfalls dabei, dass die berühmten "Data Breaches" vom Freitag um 16:30 Uhr einen Fristbeginn am Freitag um 17:00 Uhr auslösen und in der Regel bis zum folgenden Montag um 17:00 Uhr zu melden sind. Die LDI NRW schrieb mir dazu aber auch in einem Nachsatz:
Sofern die Meldung nicht innerhalb der 72-Stunden-Frist erfolgt, so ist dies gemäß Art. 33 Abs. 1 DS-GVO zu begründen.
Mit anderen Worten: Eine spätere Meldung ist grundsätzlich zulässig, muss aber entsprechend begründet werden können. Dabei ist aber etwas wie "Oh, die interne Informationsweitergabe hat sich verzögert." sicher kein ausreichender Grund, sondern nur ein Beleg für unzureichende interne Prozesse.