Logo der Website-Check GmbH
Kundenkonto
Website-Check Logo
Website-Check Logo

Wenn die Uhr tickt: Wie Fristen im Datenschutzvorfall berechnet werden

Das Bild zeigt eine große Uhr, die eine tickende Frist für einen Datenschutzvorfall in einem Serverraum symbolisiert, umgeben von Bildschirmen mit Daten und Grafiken, die ein Datenleck visualisieren

Ein Datenschutzverstoß geschieht. Eine betroffene Person stellt eine Anfrage. Ab diesem Moment beginnt ein Wettlauf mit der Zeit. Doch wann genau startet dieser? Und wie viele Stunden oder Tage bleiben eigentlich, um rechtskonform zu handeln? Dieser Beitrag erzählt von der Unsichtbarkeit mancher Fristen, den Pflichten der Verantwortlichen – und davon, wie ein Gericht klare Worte fand.

Worum ging es?

Stellen Sie sich vor: In einem mittelständischen Unternehmen fällt einem IT-Mitarbeiter am Freitagnachmittag ein Datenleck auf. Noch bevor die Geschäftsführung es richtig einordnen kann, beginnt im Hintergrund bereits ein rechtlicher Countdown zu laufen. Spätestens am Montag – exakt 72 Stunden später – muss der Vorfall der Datenschutzaufsichtsbehörde gemeldet sein. So will es Artikel 33 Absatz 1 DSGVO. Doch was bedeutet „72 Stunden“ genau? Zählt das Wochenende mit? Und was, wenn die Geschäftsführung erst Montagmorgen erfährt, was geschehen ist?

Gleichzeitig landet am Empfang eine schriftliche Anfrage: Ein ehemaliger Kunde verlangt Auskunft über seine gespeicherten Daten – gestützt auf Artikel 15 DSGVO. Auch hier tickt die Uhr: „Unverzüglich, spätestens innerhalb eines Monats“ soll die Antwort erfolgen (Art. 12 Abs. 3 DSGVO). Aber: Wann beginnt die Frist? Gilt der Samstag als Tag des Eingangs? Und darf man den ganzen Monat wirklich ausschöpfen?

Fragen wie diese führen immer wieder zu Unsicherheiten in Unternehmen – und manchmal auch vor Gericht.

Was hat das Gericht entschieden?

Die 72-Stunden-Frist – keine Gnade am Wochenende

Das Gesetz spricht von 72 Stunden, doch wer zählt diese eigentlich und wie? Die Antwort gibt die EU-Fristenverordnung Nr. 1182/71. Danach zählen alle Kalendertage mit – auch Wochenenden und Feiertage. Eine Datenschutzverletzung, die an einem Freitag erkannt wird, muss also bis spätestens Montag zur Mittagszeit gemeldet sein – unabhängig davon, ob der Samstag und Sonntag normale Arbeitstage im Unternehmen sind. Ein Aufschub wegen „büroüblicher Arbeitszeiten“ ist nicht vorgesehen.

Die Monatsfrist – wann beginnt sie, wann endet sie?

Auch bei Betroffenenanfragen sind die Fristen glasklar geregelt – zumindest theoretisch. Die Monatsfrist beginnt am Tag nach dem Eingang der Anfrage. Fällt das Ende der Frist auf einen Feiertag oder Sonntag, verlängert sich die Frist auf den nächsten Werktag. Die Regel ist also: Fristbeginn = Tag nach Zugang, Fristende = gleicher Kalendertag des Folgemonats – sofern das ein Werktag ist.

Unverzüglich heißt nicht irgendwann

Ein besonders deutliches Signal kam bereits 2023 vom Arbeitsgericht Duisburg (Urteil vom 03.11.2023 – 5 Ca 877/23). Dort verlangte ein Kläger Auskunft über seine personenbezogenen Daten. Das Unternehmen antwortete – aber erst zwei Tage nach Ablauf der Monatsfrist. Das Gericht entschied: Das reicht nicht. Die Auskunft sei zu spät erfolgt und damit nicht „unverzüglich“ im Sinne des Gesetzes. Das Unternehmen musste 750 Euro Schadensersatz zahlen – nach Artikel 82 DSGVO.

Dieses Urteil zeigt: Die Monatsfrist ist keine komfortable Wartezeit, sondern im Regelfall eine absolute Obergrenze. Die Bearbeitung muss zügig, im besten Fall deutlich früher erfolgen.

Identitätsprüfung, besonders viele Anfragen oder hohe Komplexität – wann darf die Frist verschoben werden?

Ein häufiges Argument: „Wir konnten nicht sicher sein, ob die Anfrage wirklich von der betroffenen Person kam.“ Doch Vorsicht – auch hier sind die Regeln streng. Wenn Zweifel an der Identität bestehen, darf die Monatsfrist ausgesetzt werden – aber nur, wenn der Verantwortliche unverzüglich Maßnahmen zur Klärung einleitet. Wer einfach abwartet oder nach Tagen reagiert, riskiert erneut eine Fristverletzung.

Zudem kann die Frist ausschließlich unter bestimmten Umständen um maximal zwei weitere Monate verlängert werden. Dies ist dann der Fall, wenn die Beantwortung der Anfrage besonders komplex ist oder aufgrund einer sehr hohen Anzahl von Anfragen erforderlich ist. In diesem Fall muss die betroffene Person jedoch innerhalb der ursprünglichen Monatsfrist über die Verlängerung und die Gründe dafür informiert werden

Fazit: Die Uhr tickt schneller, als man denkt

Datenschutz ist nicht nur eine Frage der Inhalte, sondern auch des Timings. Verantwortliche sollten sich darüber im Klaren sein, dass Fristen bei Datenschutzverletzungen und Betroffenenanfragen nicht großzügig auszulegen sind. Die Zeit beginnt oft schneller zu laufen, als man denkt – und sie endet nicht, nur weil Wochenende ist.

Die Gerichte machen deutlich: Fristen im Datenschutzrecht sind scharf – sowohl in der Berechnung als auch in der Auslegung. Unternehmen müssen deshalb Prozesse einrichten, die schnelle Reaktionen ermöglichen. Denn im Datenschutzrecht gilt: Wer zu spät kommt, zahlt – manchmal wörtlich.

Tags :
Datenschutz, E-Commerce, Rechtsgebiete, Urteile & Gesetze

Autor:

Website-Check Redaktion

Teilen

Ähnliche Beiträge

Grafik Textdokument mit einem Haken für geprüft

Abmahnsicher online

Rechtstexte leicht gemacht mit Update-Service, Haftungsübernahme u.v.m.

Mehr erfahren
Grafik Barrierefreiheit im Web

Barrierefrei online

Mit wenigen Klicks ist der Webauftritt auf Barrierefreiheit geprüft. Ein Siegel schafft Vertrauen.

Mehr erfahren
Grafik Siegel und Haken für korrekt

Cybersischerheit ohne Chaos

Das Onlinebusiness ohne Aufwand auf Sicherheitslücken prüfen und Einfallstore schließen.

Mehr erfahren
Grafik eines Cookies symbolisch für Produkt Cookiebanner

Cookieeinwilligungen leicht gemacht

Gesetze ändern sich – dieses Consent-Tool passt sich an.

Mehr erfahren