In der Datenschutz-Grundverordnung findet man eine Vielzahl von Fristvorgaben, die ein Verantwortlicher einzuhalten hat.
So auch die Frist zur Beantwortung von Betroffenenanfragen, die gemäß Art. 12 Abs. 3 S. 2 DSGVO grundsätzlich ein „unverzügliches“ Handeln verlangt. Der Verantwortliche handelt nicht mehr unverzüglich, wenn die in Art. 12 Abs. 3 S. 1 DSGVO genannte Monatsfrist überzogen wird. In besonderen Fällen kann diese Frist jedoch auf insgesamt drei Monate verlängert werden. Wir empfehlen, sich in diesen Fällen mit ihrem Experten aus unserem Datenschutz-Team abzustimmen.
Wie wird die Monatsfrist berechnet?
Die EU-Verordnung Nr. 1182/71 zur Festlegung der Regeln für die Fristen, Daten und Termine (Fristen-VO) bietet eine Grundlage für Fristen. In Art. 3 Abs. 1 2. Unterabs. Fristen-VO heißt es dazu konkret: Für den Anfang einer nach Monaten zu bemessenen Frist ist der Zeitpunkt maßgebend, in welchem das Ereignis eintritt. Bei der Berechnung dieser Frist wird so der Tag nicht mitgerechnet, in den das Ereignis fällt. Gemäß Art. 3 Abs. 2 lit c) Fristen-VO endet die Frist mit Ablauf der letzten Stunde des Tages, der dieselbe Bezeichnung trägt, wie der Tag des Fristbeginns.
Erstes offizielles Statement der Berücksichtigung einer Unterbrechung
Erstmals spricht die Berliner Datenschutzbehörde davon, dass in einem kokreten Fall die Monatsfrist – trotz faktischer Überschreitung – gewahrt wurde, weil die Frist immer dann als „pausiert“ angesehen werden kann, solange die betroffene Person auf eine Authentifizierungsanfrage nicht antwortet.
Dies wurde kürzlich anläßlich eines Kooperationsverfahren nach Artikel 60 DSGVO mit der schwedischen Datenschutzbehörde als federführender Aufsichtsbehörde dokumentiert. Eine Beschwerde wegen angeblicher Verletzung von Artikel 15 DSGVO wurde in diesem Fall zurückgewiesen.
Worum es konkret ging:
Im vorliegenden Fall hatte der für die Verarbeitung Verantwortliche zwar insgesamt die Monatsfrist überschritten. Jedoch bestand ein hinreichender Zweifel an der Indentität des Beschwerdeführers, weshalb von diesem u.a. eine Telefonnummer (zwecks Zusendung eines Verifizierungscodes) angefordert wurde. Dieser Aufforderung kam der Beschwerdeführer erst nach einiger Zeit und weiterer Erinnerung nach.
Die schwedische Datenschutzbehörde wies darauf hin, dass Artikel 12 Absatz 3 DSGVO grundsätzlich einzuhalten sei, jedoch war die Datenschutzbehörde auch der Ansicht, dass der Verantwortliche berechtigte Gründe hatte, an der Identität des Beschwerdeführers zu zweifeln, und daher angemessene Informationen ohne unangemessene Verzögerung angefordert wurden. Da diese Informationen seitens des Beschwerdeführers aber erst zeitverzögert geliefert wurden, war der PDA der Ansicht, dass die Anfrage vom Verantwortlichen somit innerhalb der Monatsfrist ohne unangemessene Verzögerung bearbeitet wurde.
Sollten Sie noch keinen Prozess zur Bearbeitung der Betroffenenanfragen haben, dann sprechen Sie gerne mit unseren Experten im Datenschutz-Team oder nutzen Sie die neue ab Anfang Dezember verfügbare Vorlage in unserem ePrivacyaudit.