Meldung binnen 72 Stunden

Gemäß Art. 33 (1) DSGVO
ist eine Verletzung des Schutzes personenbezogener Daten “unverzüglich und möglichst binnen 72 Stunden” der zuständigen Aufsichtsbehörde zu melden. …“Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.”

Dazu nun meine Fragen:
Wie ist die Frist von 72 Stunden zu sehen, wenn der Fristablauf auf ein Wochenende fällt und ggf. der Montag zudem ein Feiertag ist?
Was bedeutet in diesem Zusammenhang “möglichst”?
Wäre es eine akzeptable Begründung bei einer erfolgten Nichteinhaltung der 72 Stundenfrist, wenn der Fristablauf auf ein Wochenende oder einen Feiertag fällt?

Ich vermute, dass an solchen arbeitsfreien Tagen auch in der Behörde niemand anwesend sein wird, der die Meldung entgegennimmt.
Oder muss in der nicht öffentlichen Stelle im Falle einer Datenpanne sodann Sonn- und Feiertagsarbeit rund um die Uhr angeordnet werden um die 72 Stundenfrist einhalten zu können?
Man bedenke, dass für die Bewertung, ob es sich tatsächlich um eine meldepflichtigen Vorfall handelt, in der Regel mehrere Beschäftigte einbezogen werden müssen, die erst zusammengerufen werden müssen.

Was, ihr habt dafür keinen Wochenenddienst?!? Das Wochenende zählt leider mit. Weil das Böse nie schläft und die Folgen sich auch am Samstag und Sonntag weiter ausbreiten können.

“unverzüglich” kann auch heißen, schneller als 72 Stunden. Mein Rekord liegt bei 3 Stunden, sogar ab dem Ereignis und nicht erst ab der Feststellung möglicher Relevanz. Selten lässt sich alles am ersten Tag klären. Praktisch kommt man meistens in die Nähe der 72 Stunden, auch unter der Woche.

“Möglichst” heißt soll = muss. Es wird die Meldung innerhalb 72 Stunden erwartet. Wer es später macht, hätte für die Verzögerung gute Gründe anzugeben.

Das Wochenende wäre (alleine) kein Grund, die Frist zu überschreiten. Evtl. zusammen mit weiteren Feiertagen und einer nicht planbaren Häufung von Abwesenheiten. Den Verantwortlichen treffen bestimmte Pflichten (u. a. diese Meldepflicht) und er muss sich darum kümmern, die Pflichten erfüllen zu können. Z. B. durch Zuständigkeiten, Vertretungsregelung, im Normalfall zuverlässige Bearbeitungswege.

Die Meldeformulare der Aufsichtsbehörden, die ich kenne sehen vor, eine vorübergehende Meldung zum Einhalten dieser Frist einzureichen und den Rest nachzutragen (oder Entwarnung zu geben), sobald genug Erkenntnisse vorliegen.

Der BayLfD hat eine Handreichung gebastelt, die auf die europarechtliche Auslegung von “72 Stunden” eingeht. Auch wann die 72 Stunden eigentlich starten.
https://www.datenschutz-bayern.de/datenschutzreform2018/OH_Meldepflichten.pdf

D., der die Häufung von Anfragen zu möglichen Vorfällen am Freitagnachmittag feststellt. Manchmal nachdem die Diskussion dazu schon länger irgendwo anders gereift war. Ein Grund, bevorzugt am Freitag Urlaub zu nehmen. Irgendjemand wird sich dann schon um das Ticket kümmern.

Ach ja; mögliche Lösung: 1. Ticketsystem mit Anleitung zum Identifizieren relevanter Vorfälle und Vorgaben, was zu berichten ist; 2. Pool an Fachkräften, von denen möglichst mehrere verfügbar sein sollten, zum Beurteilen der Tickets; 3. qualifizierte Entscheider, die für alle Bereiche des Unternehmens /der Behörde eine Meldung auslösen und Eindämmungsmaßnahmen anordnen können.

Genau - auch wenn man den Fall noch nicht augeklärt hat kann und muss auch an Weihnachten oder soetwas erfolgen.

Der DSB hat hier quasi “Bereitschaftsdienst” zusammen mit dem Notfallteam.

Im Nachgang kann dann eine genauere Meldung mit weiteren Details erfolgen.

Es gab auch schon Bugelder wegen verspäteter Meldung: https://www.gindat.de/news/detail/bussgeld-nach-verletzung-der-72-stunden-frist-bei-der-meldung-einer-datenschutzverletzung-nach-art-33.html

Na ja, DSB-Bereitschaft. Die Meldung ist ja eine Pflicht des Verantwortlichen und von diesem irgendwie zu bewerkstelligen. Dazu müssen DSB nicht rund um die Uhr erreichbar sein.

D., der sich auch in seiner Freizeit mit Datenschutz (allgemein) beschäftigt, sich Bereitschaft aber bezahlen lassen würde. Außerdem sind Ruhezeiten und Erholungsurlaub einzuhalten. Was nicht für externe DSB und Anwälte gilt, die sich so was in den Dienstleistungsvertrag schreiben lassen können, hähä…

Absolut ist der Verantwortliche dafür zuständig zu melden.

Allerdings ist es hilfreich bei der Risikobewertung zu beraten/supporten, sowie bei der Auswahl von Sofortmanahmen etc.

Und ja solche Arbeit sollte honoriert werden.

72 Stunden reichen eigentlich immer aus:
Wenn man etwas am Freitag feststellt, hat man ja noch Samstag und Sonntag zur Analyse.
Wenn etwas am Wochenende passiert, dann heißt das ja auch, dass man Angebote betreibt, die am Wochenende laufen. Also müsste man wohl auch eine Betreuung (incl. Notfall-Eskalation) für das Wochenende haben.
Wenn man keinen Wochend-Betrieb hat, kann auch am Wochenende nichts passieren, was man aufklären und melden müsste.

Wo ist also das Problem?

Nur weil man nix am Wochenende macht heißt nicht, dass da nix passieren kann.

Man denke da an Hacker oder Einbrecher die am Wochenende kommen, Ausfall der Rechenzentren etc.

Nur weil kein MA vor Ort ist oder im homeoffice aktiv ist läuft die Website (auch ohne Shop), die Server etc. ja weiter.

Ich meinte ja auch nicht, dass man “nichts macht”, sondern, dass man gar nichts hat, das am Wochenende läuft.
Wenn ich ein RZ betreibe oder Internet-Dienste, dann läuft ja was und dann muss ich das auch überwachen. Klar!

https://www.datenschutz-wiki.de/DSGVO:Art_33

Heißt zB: eine Meldung zu einer Verletzung geht ein am Freitag um 16:00 - an die allgemeine E-Mail-Adresse des Unternehmens aus dem Impressum. Oder auch durch eine interne Mitteilungs-Mail. Dann beginnt die Uhr zu ticken.

Ich komme nochmal auf dieses Thema zurück hinsichtlich Mitwirkung des DSB. Aus rein praktischer Sicht ist der DSB wohl aufgrund seines Fachwissens meist unentbehrlich. Nach dem, was ich in verschiedenen Unternehmen gesehen habe, wird es “der Verantwortliche” wohl kaum allein hinbekommen. Damit hätten wir aber ein Verfügbarkeitsproblem beim DSB, weil für diesen ja eigentlich keine Vertretungsregelung möglich ist, da nur er selbst bestellt ist und über die entsprechenden Rechte und Pflichten verfügt. Oder billigt ihr dem Stellvertreter bzw. den Mitarbeitern des DSB (wie sie es in größeren Unternehmen ja meist gibt) auch dieselben Rechte zu?

Es ist empfehlenswert, mehrere weitere Bearbeiter vorrätig zu halten, die man bei DSB-Abwesenheit aus dem Schrank holen kann. Z. B. aus den Bereichen Recht, Technik. Die sollten eine Checkliste haben, wann ein Fall relevant ist, und wie vorzugehen ist.

Vielleicht mit einer Funktions-Mailadresse für das Mitteilen möglicher Vorfälle, die an alle Vertreter geht. (Nicht für vertrauliche Datenschutz-Anfragen Betroffener.) Oder eine Abteilung in einem Ticketsystem mit denselben Bearbeitern.

Entscheiden sollten DSB besser nicht selbst über die Meldung, sondern eine zuständig erklärte Führungskraft, bzw. Geschäftsführung oder Behördenleitung. Und das Meldeformular nur nach Weisung ausfüllen.

D., der schon in der Vor-DSGVO-Zeit als erste Amtshandlung ein Set von Texten veröffentlicht hatte, um in Ruhe Urlaub machen zu können.

Sowie ich es mitbekomme, gibt es in einigen KMU genau 1 Person, die sich mit dem Thema Datenschutz beschäftigt: den/die DSB.
Und auch, wenn die letztliche Entscheidung beim Verantwortlichen liegt, erlebe ich es bei mir so, dass ich die Prüfung, ob etwas meldepflichtig ist vornehme (weil es sonst keiner kann) und ich spreche eine Empfehlung auf Basis meiner Prüfung aus. Ohne die, weiß keiner, wie es einzuschätzen ist.
Das führt dann genau zu dem von @anne angeführten Problem der Verfügbarkeit. Denn der/die DSB hat ja auch mal Urlaub oder ist krank. Gelöst werden soll dies durch ein Diensthandy für den/die DSB, was uns zum Thema Rufbereitschaft führt - ein Teufelskreis.

Auf der Seite des hessischen Datenschutzbeauftragten ist beim Meldeformular für einen DSB ein optionales Feld für einen Stellvertreter vorgesehen, aber eben leider nur optional.

Auf Grund der Komplexität der Materie und der strengen Fristen, wie der Meldefrist, wäre es für die DSBs aus meiner Sicht sehr hilfreich, wenn es eine Stellvertreterpflicht analog zur Bestellung eines DSB gäbe.

Zum eigentlichen Thema: 72 Stunden und Fristberechnung gibt es einen schönen Artikel von Dr. Datenschutz am Beispiel eines Datenschutzvorfalls nach der Weihnachtsfeier an einem Donnerstag den 21.12.:

Die Uhr tickt! Fristberechnung bei Datenschutzvorfall & Betroffenenanfrage (dr-datenschutz.de)

VG dedsb

Ja, das wäre aus meiner Sicht auch sehr hilfreich, da in größeren Unternehmen der bestellte DSB sich oft als einzigartig ansieht, der aufgrund der “Sonderrechte” (Geheimnisträger, Kündigungsschutz) nicht durch seine Mitarbeiter vertretbar ist.

Ich selbst kann keinen Vorteil in einer gesetzlichen Stellvertreterpflicht erkennen. Die Diskssion gibt mir allerdings Anlass, darüber nachzudenken, warum ich das so sehe. (Ich habe noch kein Ergebnis.)

Zur Fristberechung:
Ich gehe nach EU-Fristverordnung vor, das tun wahrscheinlich die meisten.
Meiner Erinnerung nach gibt es noch divergierende Auffassungen einzelner Aufsichtsbehörden zum Fristbeginn, und zwar dahingehend, wann denn nun von der Kenntnisnahme auszugehen ist.
Nun kann es vorkommen, dass ich im Zuständigkeitsbereich einer Aufsichtsbehörde tätig bin, die eine andere Rechtsauffassung vertritt als ich (= lockerer). Meiner Meinung nach verschlingt es unnötig viel Zeit, sich eine Begründung auszudenken, warum die Frist tatsächlich erst später zu laufen beginnen soll als nach der Entdeckung eines Vorfalls durch eine/n x-beliebige/n Mitarbeiter/in. Man kann die Zeit sinnvoller auf die Schadensbegrenzung verwenden. (Der Verantwortliche hat schließlich keinen Vorteil dadurch, dass er anstatt binnen 72 Stunden binnen 78 Stunden meldet.)
Falls jemand die Diskussion um den Fristbeginn ebenfalls vermeiden möchte, kann ich als Tipp weitergeben, sich mit den Dienstanweisungen des jeweiligen Unternehmens vertraut zu machen (sofern man sie nicht ohnehin irgendwann mal selbst geschrieben hat). Hier gibt es zwecks Verpflichtung und Verhaltensanweisung für die Mitarbeiter/innen zur (internen) Meldung nämlich häufig klare Aussagen, ab wann das Unternehmen selbst von der Kenntnisnahme ausgeht.
[Das darf per se nicht kompliziert sein, damit nicht jede/r von den 300 Mitarbeiter/innen erst mal groß zu interpretieren anfängt. Sondern dort steht meistens sinngemäß: “Vorsicht, es gibt strenge Fristen für die Meldung von Vorfällen. Sobald jemand von Ihnen, liebe Mitarbeiterinnen und Mitarbeiter, bemerkt, dass … haben wir noch 72 Stunden. Deshalb tun Sie bitte dies und jenes.”]

Und wenn´s wirklich mal was Großes ist: Meine Erfahrung mit der Aufsicht ist, dass sie sich dann auch mal auf eine telefonische Meldung plus Absprache einlassen wie z.B. “Sobald wir hier bei der Polizei fertig sind, könnten wir Ihnen vorab mal eine Kopie dessen zur Verfügung stellen, was wir zur Anzeige gebracht haben. Zwecks Schadensbegrenzung würden wir gerne noch diese und jene Arbeit vorziehen, bevor wir Ihnen eine ausführliche schriftliche Meldung zukommen lassen.” Das übergeordnete (und gemeinsame) Interesse ist schließlich, dass so wenigen Menschen wie möglich ein Schaden entsteht.

In der Praxis sehe ich (meine) Schwierigkeiten im Umgang mit der “Meldung binnen 72 Stunden” eher darin, dass bestimmte Verantwortliche generell nicht melden wollen - weder in 72 Stunden noch irgendwann - und dass Vorfälle, die unter den Teppich gekehrt werden, leider auch nicht die Chance eröffnen, strukturelle Verbesserungen herbeizuführen.