DSK-Reformpläne ändern nichts an der Weihnachtsfalle für Datenschützer

Die Betriebsferien pausieren nicht die strengen Fristen der DSGVO. Unternehmen riskieren hohe Bußgelder, wenn sie Anfragen auf Datenauskunft in der Feiertagsruhe ignorieren.

Während in ganz Europa ab heute die Büros für die traditionellen Betriebsferien schließen, steht eine Berufsgruppe vor einer Herausforderung, die keine Pause kennt: die Datenschutzbeauftragten. Die festlichen Schließtage stoppen nämlich nicht die gesetzliche Einmonatsfrist zur Beantwortung von Auskunftsanträgen nach Artikel 15 DSGVO. Diese Frist läuft in Kalendertagen, nicht in Arbeitstagen. Eine Anfrage, die heute, am Heiligabend, eingeht, muss spätestens am 24. Januar 2026 beantwortet sein – unabhängig davon, ob das Unternehmen bis zum 5. Januar geschlossen ist.

„Viele Firmen unterliegen dem gefährlichen Irrglauben, dass Betriebsferien gesetzliche Fristen automatisch aussetzen“, warnen Datenschutzexperten diese Woche. Kehrt das Team erst Mitte Januar zurück, bleiben oft weniger als zwei Wochen für die Bearbeitung komplexer Anfragen. Verspätungen oder unvollständige Antworten können jedoch empfindliche Geldbußen nach sich ziehen.

Viele Unternehmen unterschätzen, wie schnell Betroffenenanfragen in der Ferienzeit eskalieren – und riskieren Bußgelder, weil Mitarbeiter nicht richtig vorbereitet sind. Eine fertige, anpassbare DSGVO‑PowerPoint hilft Ihnen, Mitarbeiter in wenigen Minuten rechtssicher zu schulen, Zuständigkeiten zu klären und die Nachweispflichten zu erfüllen. Ideal für Datenschutzbeauftragte und HR, die eine sofort einsetzbare Schulungsvorlage mit Checklisten suchen. Datenschutz-Präsentation jetzt kostenlos herunterladen

TikTok-Transparenz schärft das Bewusstsein der Nutzer

Die Dringlichkeit wird in diesem Jahr durch jüngste Ereignisse verstärkt, die das Thema Datensouveränität zurück ins öffentliche Bewusstsein gerückt haben. Seit Donnerstag, dem 18. Dezember, informiert TikTok seine Nutzer über bestimmte Datentransfers nach China – eine Auflage der Aufsichtsbehörden.

Laut dem Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) folgt dieser Schritt intensiven Prüfungen. Solche hochsichtbaren Transparenz-Maßnahmen wirken oft als Katalysator. „Wenn eine große Plattform Millionen Nutzer benachrichtigt, beginnen diese, Fragen zu stellen – nicht nur an Social-Media-Giganten, sondern auch an ihre Arbeitgeber, Versicherer und Händler“, so Branchenbeobachter. Unternehmen könnten nach den Ferien mit einem Rückstau an Anträgen konfrontiert sein, der durch diesen Bewusstseinsschub ausgelöst wurde.

Reformvorschläge der DSK bieten keine sofortige Entlastung

Hinzu kommt ein komplexes regulatorisches Umfeld. Die Datenschutzkonferenz von Bund und Ländern (DSK) stellte auf ihrer 110. Konferenz in Berlin Mitte Dezember Vorschläge für gezielte Anpassungen der DSGVO vor. Ziel ist es, die digitale Gesetzgebung zu optimieren, besonders für den Mittelstand.

Diese Pläne deuten auf eine Zukunft hin, in der Vorschriften praxistauglicher sein könnten. Für die laufende Weihnachtszeit 2025 bieten sie jedoch keine sofortige Entlastung. Die DSK betonte, dass die aktuellen strengen Pflichten in vollem Umfang bestehen bleiben. Zudem mahnte der Landesdatenschutzbeauftragte von Sachsen-Anhalt am 17. Dezember zur sicheren Löschung von Daten auf Smartphones und Laptops vor dem Weiterverkauf – ein Zeichen für die wache Vigilanz der Behörden auch in der Festzeit.

Praktische Schritte für die „ruhigen“ Tage

Um das Risiko während der Betriebsferien zu minimieren, empfehlen Experten dringend Notfallmaßnahmen:

1. Postfächer überwachen: Notfallpersonal sollte die Datenschutz-Postfächer (z.B. datenschutz@firma.de) remote überwachen, um zeitkritische Anfragen zu identifizieren.
2. Automatische Antworten mit Kontext: Eingangsbestätigungen sollten keinen Zeitrahmen versprechen, der gegen die Einmonatsregel verstößt. Bei komplexen Anfragen ist eine Verlängerung um einen weiteren Monat möglich, doch der Nutzer muss innerhalb der ersten vier Wochen über diesen Verzug und die Gründe informiert werden.
3. „Negative“ Antworten priorisieren: Einfache Anfragen (z.B. „Haben Sie meine Daten?“ – Antwort: „Nein“) sollten sofort bearbeitet werden, um den Stau vor dem Januar-Ansturm zu verringern.

Ausblick 2026: Wird der Druck nachlassen?

Zum Jahresende richtet sich der Blick bereits auf die Vollzugspraxis 2026. Diskutiert werden etwa Vorschläge, Wochenenden und Feiertage von der strengen 72-Stunden-Frist für die Meldung von Datenschutzverletzungen auszunehmen. Bis solche prozeduralen Änderungen auf EU-Ebene jedoch in Kraft treten, bleibt die DSGVO-Compliance ein 24/7-Geschäft.

Für Unternehmen gilt daher: Die „ruhigen“ Tage zwischen den Jahren sind nicht nur eine Zeit der Erholung, sondern auch eine Phase latenter regulatorischer Risiken. Der erste Test für 2026 wird sein, wie effektiv sie die Anfragen bewältigen, die sich in ihren digitalen Postfächern ansammeln, während die physischen Türen verschlossen sind.

PS: Sie wollen vorbereitet in 2026 starten? Diese anpassbare DSGVO‑Präsentation enthält fertige Schulungsfolien, Checklisten und einen nachweisbaren Schulungsnachweis – ideal, um Mitarbeiterschulungen schnell und prüfungssicher zu dokumentieren. Spart Stunden an Vorbereitung und reduziert Bußgeld-Risiken durch klare Nachweise. Jetzt kostenlose DSGVO-Präsentation sichern