Lernmodul 8 von 9
8. Wichtige Fristen
Die DS-GVO beinhaltet zu dem einige wichtige Fristen.
Eine bedeutsame Frist ist die Beantwortung von Auskunftsersuchen Betroffener. So sieht Art. 12 III DS-GVO vor, dass Anfragen der Betroffenen innerhalb eines Monats beantwortet werden müssen. Die Frist kann im Einzelfall um zwei weitere Monate verlängert werden, allerdings ist dies nur bei besonders komplexen Anfragen möglich. Außerdem muss der Betroffene über die Gründe der Verzögerung informiert werden. Die Fristverlängerung ist daher nur in sehr engen Grenzen möglich. Ein „Vergessen“ der Anfrage ist kein Grund für eine Fristverlängerung. Es sollte daher Sorge getragen werden, dass Anfragen von Betroffenen – z.B. ein Auskunftsersuchen nach Art. 15 DS-GVO – schnellstmöglich bearbeitet werden.
Eine weitere wichtige Meldefrist bestimmt sich aus Art. 33 DS-GVO. So muss bei der Verletzung des Schutzes von personenbezogenen Daten - innerhalb von 72h nachdem ihm die Verletzung bekannt wurde – der Verantwortliche eine Einmeldung des Vorfalls bei der zuständigen Aufsichtsbehörde vornehmen. Eine Ausnahme kann nur dann gemacht werden, wenn der Vorfall voraussichtlich kein Risiko für die Rechte und Freiheiten des Betroffenen darstellt.
Der Begriff „Verletzung“ wird in Art. 4 Nr. 12 DS-GVO definiert. Demnach ist eine „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die - beabsichtigt oder unbeabsichtigt - zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung führt. Dies wäre z.B. der Fall, wenn Daten aufgrund eines Hackerangriffs entwendet worden sind oder Daten durch einen Verschlüsselungstrojaner dem unmittelbaren Zugriff des Verantwortlichen entzogen sind.
In diesen Fällen ist unverzüglich zu prüfen, ob hier ein Risiko für die Rechte des Betroffenen entstehen könnte und ob eine Einmeldung erforderlich ist.