Meldung binnen 72 Stunden

Gemäß Art. 33 (1) DSGVO
ist eine Verletzung des Schutzes personenbezogener Daten “unverzüglich und möglichst binnen 72 Stunden” der zuständigen Aufsichtsbehörde zu melden. …“Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.”

Dazu nun meine Fragen:
Wie ist die Frist von 72 Stunden zu sehen, wenn der Fristablauf auf ein Wochenende fällt und ggf. der Montag zudem ein Feiertag ist?
Was bedeutet in diesem Zusammenhang “möglichst”?
Wäre es eine akzeptable Begründung bei einer erfolgten Nichteinhaltung der 72 Stundenfrist, wenn der Fristablauf auf ein Wochenende oder einen Feiertag fällt?

Ich vermute, dass an solchen arbeitsfreien Tagen auch in der Behörde niemand anwesend sein wird, der die Meldung entgegennimmt.
Oder muss in der nicht öffentlichen Stelle im Falle einer Datenpanne sodann Sonn- und Feiertagsarbeit rund um die Uhr angeordnet werden um die 72 Stundenfrist einhalten zu können?
Man bedenke, dass für die Bewertung, ob es sich tatsächlich um eine meldepflichtigen Vorfall handelt, in der Regel mehrere Beschäftigte einbezogen werden müssen, die erst zusammengerufen werden müssen.

Was, ihr habt dafür keinen Wochenenddienst?!? Das Wochenende zählt leider mit. Weil das Böse nie schläft und die Folgen sich auch am Samstag und Sonntag weiter ausbreiten können.

“unverzüglich” kann auch heißen, schneller als 72 Stunden. Mein Rekord liegt bei 3 Stunden, sogar ab dem Ereignis und nicht erst ab der Feststellung möglicher Relevanz. Selten lässt sich alles am ersten Tag klären. Praktisch kommt man meistens in die Nähe der 72 Stunden, auch unter der Woche.

“Möglichst” heißt soll = muss. Es wird die Meldung innerhalb 72 Stunden erwartet. Wer es später macht, hätte für die Verzögerung gute Gründe anzugeben.

Das Wochenende wäre (alleine) kein Grund, die Frist zu überschreiten. Evtl. zusammen mit weiteren Feiertagen und einer nicht planbaren Häufung von Abwesenheiten. Den Verantwortlichen treffen bestimmte Pflichten (u. a. diese Meldepflicht) und er muss sich darum kümmern, die Pflichten erfüllen zu können. Z. B. durch Zuständigkeiten, Vertretungsregelung, im Normalfall zuverlässige Bearbeitungswege.

Die Meldeformulare der Aufsichtsbehörden, die ich kenne sehen vor, eine vorübergehende Meldung zum Einhalten dieser Frist einzureichen und den Rest nachzutragen (oder Entwarnung zu geben), sobald genug Erkenntnisse vorliegen.

Der BayLfD hat eine Handreichung gebastelt, die auf die europarechtliche Auslegung von “72 Stunden” eingeht. Auch wann die 72 Stunden eigentlich starten.
https://www.datenschutz-bayern.de/datenschutzreform2018/OH_Meldepflichten.pdf

D., der die Häufung von Anfragen zu möglichen Vorfällen am Freitagnachmittag feststellt. Manchmal nachdem die Diskussion dazu schon länger irgendwo anders gereift war. Ein Grund, bevorzugt am Freitag Urlaub zu nehmen. Irgendjemand wird sich dann schon um das Ticket kümmern.

Ach ja; mögliche Lösung: 1. Ticketsystem mit Anleitung zum Identifizieren relevanter Vorfälle und Vorgaben, was zu berichten ist; 2. Pool an Fachkräften, von denen möglichst mehrere verfügbar sein sollten, zum Beurteilen der Tickets; 3. qualifizierte Entscheider, die für alle Bereiche des Unternehmens /der Behörde eine Meldung auslösen und Eindämmungsmaßnahmen anordnen können.

Genau - auch wenn man den Fall noch nicht augeklärt hat kann und muss auch an Weihnachten oder soetwas erfolgen.

Der DSB hat hier quasi “Bereitschaftsdienst” zusammen mit dem Notfallteam.

Im Nachgang kann dann eine genauere Meldung mit weiteren Details erfolgen.

Es gab auch schon Bugelder wegen verspäteter Meldung: https://www.gindat.de/news/detail/bussgeld-nach-verletzung-der-72-stunden-frist-bei-der-meldung-einer-datenschutzverletzung-nach-art-33.html

Na ja, DSB-Bereitschaft. Die Meldung ist ja eine Pflicht des Verantwortlichen und von diesem irgendwie zu bewerkstelligen. Dazu müssen DSB nicht rund um die Uhr erreichbar sein.

D., der sich auch in seiner Freizeit mit Datenschutz (allgemein) beschäftigt, sich Bereitschaft aber bezahlen lassen würde. Außerdem sind Ruhezeiten und Erholungsurlaub einzuhalten. Was nicht für externe DSB und Anwälte gilt, die sich so was in den Dienstleistungsvertrag schreiben lassen können, hähä…

Absolut ist der Verantwortliche dafür zuständig zu melden.

Allerdings ist es hilfreich bei der Risikobewertung zu beraten/supporten, sowie bei der Auswahl von Sofortmanahmen etc.

Und ja solche Arbeit sollte honoriert werden.

72 Stunden reichen eigentlich immer aus:
Wenn man etwas am Freitag feststellt, hat man ja noch Samstag und Sonntag zur Analyse.
Wenn etwas am Wochenende passiert, dann heißt das ja auch, dass man Angebote betreibt, die am Wochenende laufen. Also müsste man wohl auch eine Betreuung (incl. Notfall-Eskalation) für das Wochenende haben.
Wenn man keinen Wochend-Betrieb hat, kann auch am Wochenende nichts passieren, was man aufklären und melden müsste.

Wo ist also das Problem?

Nur weil man nix am Wochenende macht heißt nicht, dass da nix passieren kann.

Man denke da an Hacker oder Einbrecher die am Wochenende kommen, Ausfall der Rechenzentren etc.

Nur weil kein MA vor Ort ist oder im homeoffice aktiv ist läuft die Website (auch ohne Shop), die Server etc. ja weiter.

1 „Gefällt mir“

Ich meinte ja auch nicht, dass man “nichts macht”, sondern, dass man gar nichts hat, das am Wochenende läuft.
Wenn ich ein RZ betreibe oder Internet-Dienste, dann läuft ja was und dann muss ich das auch überwachen. Klar!

https://www.datenschutz-wiki.de/DSGVO:Art_33

Heißt zB: eine Meldung zu einer Verletzung geht ein am Freitag um 16:00 - an die allgemeine E-Mail-Adresse des Unternehmens aus dem Impressum. Oder auch durch eine interne Mitteilungs-Mail. Dann beginnt die Uhr zu ticken.