72-Stunden-Frist

Auch: Meldefrist Datenpanne · Meldefrist Datenschutzverletzung

Die 72-Stunden-Frist bezeichnet die gesetzliche Zeitspanne, innerhalb derer ein Verantwortlicher – also auch ein Makler – eine Verletzung des Schutzes personenbezogener Daten der zuständigen Datenschutz-Aufsichtsbehörde melden muss. Die Frist beginnt, sobald der Verantwortliche von dem Vorfall Kenntnis erlangt.

Ausführliche Erklärung

Nach Art. 33 DSGVO muss jeder Verantwortliche eine Datenschutzverletzung ("Data Breach") unverzüglich, spätestens aber innerhalb von 72 Stunden nach Bekanntwerden, der zuständigen Aufsichtsbehörde melden – es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten betroffener Personen.

Für Makler ist das hochpraxisrelevant, da typische Datenpannen im Alltag vorkommen:

  • Versand einer Interessentenliste mit Kontaktdaten an den falschen Empfänger (offene CC-Verteiler statt BCC).
  • Verlust oder Diebstahl eines Firmenlaptops/-smartphones mit Kundendaten ohne Verschlüsselung.
  • Hackerangriff auf das CRM-System mit Zugriff auf Bonitätsunterlagen oder Ausweiskopien.
  • Fehlversand von Selbstauskünften oder Schufa-Daten an Dritte.

Praxisschritte für den Makler:

1. Kenntniserlangung dokumentieren – der Fristlauf beginnt mit dem Zeitpunkt, an dem der Verantwortliche (oder ein Mitarbeiter) Kenntnis erlangt, nicht erst mit einer internen Bestätigung.

2. Risikoeinschätzung vornehmen: Betrifft der Vorfall besonders sensible Daten (Bonität, Ausweisdaten, Gesundheitsdaten bei Behindertengerechtigkeit)? Dann ist eine Meldung fast immer erforderlich.

3. Meldung an die zuständige Landesdatenschutzbehörde über deren Online-Formular, mit Angaben zu Art der Verletzung, betroffenen Kategorien und Anzahl der Personen, Kontaktstelle, wahrscheinlichen Folgen und ergriffenen Maßnahmen.

4. Interne Nachverfolgung: Auch wenn keine Meldepflicht besteht, muss der Vorfall intern dokumentiert werden (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).

Wird die Frist versäumt oder die Meldung unterlassen, drohen Bußgelder nach Art. 83 DSGVO – unabhängig von einem eventuell zusätzlich bestehenden Schadensersatzanspruch Betroffener. Kleine Maklerbüros sollten daher einen einfachen internen Ablaufplan ("Was tun bei Datenpanne") bereithalten, damit die Frist im Ernstfall nicht durch interne Abstimmungswege verstreicht.

Beispiel aus der Praxis

Ein Makler verschickt versehentlich eine Excel-Liste mit Namen, Telefonnummern und Einkommensangaben von 40 Kaufinteressenten an einen falschen Verteiler. Er bemerkt den Fehler am Montagmorgen. Da hier ein Risiko für die Betroffenen besteht (sensible Einkommensdaten), muss er die Datenpanne spätestens am Donnerstagmorgen der zuständigen Landesdatenschutzbehörde gemeldet haben.

Rechtsgrundlage

  • Art. 33 DSGVO – Meldepflicht von Datenschutzverletzungen an die Aufsichtsbehörde binnen 72 Stunden.
  • Art. 83 DSGVO – Bußgeldrahmen bei Verstoß gegen die Meldepflicht.

Verwandte Begriffe