Wenn in Ihrem Unternehmen ein Datenschutzvorfall auftritt oder eine betroffene Person ihre Rechte nach der Datenschutz-Grundverordnung (DSGVO) geltend macht, ist die Einhaltung gesetzlicher Fristen Pflicht. Doch in der Praxis herrscht häufig Unsicherheit: Wann beginnt die Frist? Zählen Wochenenden und Feiertage mit? Und wie lange darf man sich Zeit lassen?
Dieser Beitrag erklärt in klarer Sprache die wichtigsten Regeln zur Fristberechnung bei Datenschutzvorfällen und Betroffenenanfragen – rechtssicher und anwendungsorientiert.
Gesetzliche Grundlage der FristberechnungDie DSGVO enthält zwar zahlreiche Fristen, jedoch keine einheitlichen Berechnungsregeln. Daher wird in der Praxis die sogenannte EU-Fristenverordnung herangezogen. Sie legt fest:
- Der Tag, an dem das auslösende Ereignis eintritt, wird nicht mitgezählt.
- Bei Fristen in Stunden zählt jede Stunde – unabhängig von Wochenenden oder Feiertagen.
- Bei Fristen in Tagen oder Monaten verschiebt sich das Fristende auf den nächsten Werktag, wenn es auf einen Feiertag oder Sonntag fällt.
Nach Artikel 33 DSGVO muss eine Datenpanne unverzüglich und möglichst innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden.
So berechnen Sie die Frist richtig:
- Fristbeginn ist der Zeitpunkt, zu dem der Vorfall bekannt wird – nicht der Zeitpunkt, zu dem er passiert ist.
- Die Stunde des Bekanntwerdens zählt nicht mit.
- Es handelt sich um eine Stundenfrist – Wochenenden und Feiertage unterbrechen oder verlängern sie nicht.
- Wird die Frist überschritten, ist zwingend eine Begründung erforderlich.
Beispiel:
Bekanntwerden am Freitag um 15:00 Uhr → Fristende am Montag um 15:00 Uhr.
Nach Artikel 12 DSGVO müssen Anfragen von betroffenen Personen, zum Beispiel Auskunfts- oder Löschersuchen, innerhalb eines Monats beantwortet werden.
Wichtig zur Berechnung:
- Der Tag des Eingangs zählt nicht. Die Frist startet am Folgetag um 00:00 Uhr.
- Die Frist endet am entsprechenden Kalendertag des Folgemonats um 24:00 Uhr.
- Fällt der Endtag auf einen Feiertag oder Sonntag, verschiebt sich das Ende auf den nächsten Werktag.
- Bei komplexen Fällen ist eine Verlängerung um bis zu zwei weitere Monate möglich – aber nur mit Begründung und rechtzeitiger Information an die betroffene Person.
Beispiel:
Eingang am 10. Februar → Fristbeginn 11. Februar → Fristende 10. März um 24:00 Uhr.
Wenn nicht sicher ist, ob die anfragende Person tatsächlich die betroffene Person ist, darf vor der Antwort eine Identitätsprüfung erfolgen. Die Frist beginnt erst nach Klärung der Identität.
Mehrere Anträge gleichzeitigGehen mehrere Anfragen derselben Person ein oder sind umfangreiche Recherchen erforderlich, kann eine verlängerte Bearbeitungszeit zulässig sein – dies muss jedoch nachvollziehbar dokumentiert werden.
Handlungsempfehlungen für Unternehmen- Legen Sie klar definierte interne Prozesse fest – idealerweise mit Checklisten zur Fristberechnung.
- Dokumentieren Sie Zeitpunkt des Bekanntwerdens bzw. Eingangs der Anfrage.
- Implementieren Sie Erinnerungssysteme, die automatisch vor Fristende warnen.
- Nutzen Sie standardisierte Antwortschreiben, insbesondere für die Mitteilung einer Fristverlängerung.
- Schulen Sie Mitarbeitende im Umgang mit „kritischen Ereignissen", damit Fristen nicht versehentlich verpasst werden.
Die korrekte Fristberechnung ist kein Formalismus, sondern zentraler Bestandteil der DSGVO-Compliance. Wer bei Datenschutzvorfällen oder Betroffenenanfragen zu spät reagiert, riskiert nicht nur Bußgelder, sondern auch Vertrauensverlust.
Mit klaren Regeln gilt:
- Bei Datenschutzvorfällen: 72 Stunden – jede Stunde zählt.
- Bei Betroffenenanfragen: Ein Monat – Verlängerung möglich, aber nur mit Begründung.
Ein durchdachtes Fristenmanagement schützt Ihr Unternehmen – und beweist Professionalität im Umgang mit sensiblen Daten.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz