Datenschutz und Compliance - Auch während der Ferienzeiten

Der Sommer bringt für viele Unternehmen eine wohlverdiente Phase der Entspannung – Mitarbeitende nehmen ihren Jahresurlaub, und nicht selten kommt es zu einem vollständigen Betriebsurlaub.

Doch gerade in dieser Zeit, in der die Personaldecke dünner ist und interne Abläufe verlangsamt sind, gelten besondere organisatorische Pflichten. Denn gesetzliche Anforderungen, insbesondere im Bereich der Compliance und des Datenschutzes, machen keine Sommerpause. Fristen laufen weiter, Rechte von Betroffenen müssen gewahrt und Sicherheitsvorfälle auch in urlaubsbedingten Ausfallzeiten unverzüglich bearbeitet werden. Um diesen Anforderungen gerecht zu werden, bedarf es einer vorausschauenden Planung und klar strukturierter Maßnahmen, die eine grundlegende Handlungsfähigkeit auch während der Ferienzeit sicherstellen – etwa durch die Einrichtung einer gezielten Notbesetzung in sensiblen Unternehmensbereichen.

Gesetzliche Fristen

Gesetzliche Fristen machen keine Pause – auch nicht während betrieblicher Schließzeiten wie Betriebsurlauben oder saisonalen Stillständen. Vielmehr verlangt die geltende Rechtslage eine durchgehende Handlungsfähigkeit von Unternehmen, unabhängig von internen Personalplanungen oder temporären Betriebsschließungen.

Sobald zum Beispiel ein Antrag auf Auskunft, Löschung oder Berichtigung personenbezogener Daten eingeht, beginnt eine starr gesetzte Monatsfrist, innerhalb derer der Verantwortliche reagieren muss. Diese Frist läuft kalendarisch ab und lässt sich im Regelfall nicht durch organisatorische Gründe wie Abwesenheiten oder eingeschränkten Geschäftsbetrieb verlängern.

Nicht vergessen werden darf auch, dass Behörden für Antworten und Stellungnahmen Fristen setzen, die eingehalten werden müssen.

Datenpannen und IT-Sicherheitsvorfälle

Ein weiterer kritischer Aspekt, der bei der Planung betrieblicher Schließzeiten berücksichtigt werden muss, ist die Reaktionsfähigkeit auf Datenschutzverletzungen und IT-Sicherheitsvorfälle. Gemäß Art. 33 DSGVO sind Unternehmen verpflichtet, eine Datenschutzpanne unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden. Aber auch der grundlegende Schutz des Unternehmens muss berücksichtigt werden. So nutzen Cyberkriminelle gezielt Zeiten mit geringer personeller Besetzung – wie Ferien- oder Urlaubsphasen – aus, um Angriffe zu starten, da sie in diesen Zeiträumen mit verzögerter Erkennung und Reaktion rechnen.

Betriebliche Notbesetzung

Eine organisatorische Maßnahme, die sich in diesem Kontext bewährt hat, ist die Etablierung einer sogenannten Notbesetzung. Diese besteht aus einem minimalen, jedoch funktionsfähigen Team von Fachpersonen, das in der Lage ist, datenschutzrelevante Aufgaben zuverlässig zu erfüllen. Dabei ist nicht nur auf eine ausreichende personelle Ausstattung zu achten, sondern auch auf die notwendige Fachkompetenz und Zugriffsmöglichkeiten auf relevante Systeme und Informationen.

Fazit für die Praxis

In Anbetracht dieser starren Fristen und der potenziell hohen Sanktionen bei deren Missachtung ist es für Unternehmen essenziell, auch während urlaubsbedingter Betriebspausen eine grundlegende Funktionsfähigkeit im Bereich Datenschutz und Compliance sicherzustellen.  Die Notbesetzung sollte dabei durch klar definierte Prozesse und Eskalationsmechanismen unterstützt werden, die im Ernstfall die angemessene Handlungsfähigkeit gewährleistet.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.