信息及时、立即

fabiha01

在法律实践中，截止日期要么是高效工作的核心，要么是睡眠不足和心律失常的原因。

GDPR 也并非没有期限。如果未能按时完成，监管机构可以处以罚款。当数据泄露发生在周五并且您在 Art 中读到时，情况会变得特别紧张。 33 GDPR 规定您必须在 72 小时内向监管机构报告违规行为。您常常会发现，自己辛苦享受的周末正在一天天逝去。这个期限并不是一成不变的，但任何延迟都必须向监管机构提供充分的合理解释。仅仅提及免费周末可能并不总是有效的。

在艺术中​​可以找到更宽松的时间限制。第12段3 GDPR。这涉及到控制者需要多长时间来处理数据主体的访问权、删除权或其他请求的问题。根据措辞，控制者必须“毫不拖延地”根据数据主体的请求向其提供信息，并且无论如何必须在收到请求后的一个月内提供。

现在，我们可以得出结论，负责处理请求的人通常有一个月的时间来完成这项工作……如果不是“立即”这个词的话。

信息延迟导致的“情绪困扰”
杜伊斯堡劳工法院 (ArbG) 在2023 年 11 月 3 日的判决 (案件编号：5 Ca 877/23)中必须处理根据第 6 条何时提供信息的问题。 15 与艺术相结合。 12（3）GDPR 已不再在期限内提供。

该裁决的背景是一名被拒绝的申请人要求了解他六年前申请时存储了哪些个人数据。他给了该公司15天的时间作出回应。截止日期过后三天，该公司宣布尚未保存有关申请人的任何数据。

申请人认为处理时间过长违反了《GDPR》第 13（2）条，并要求赔偿 1,000 欧元。由于公司拒绝支付工资，他将此事诉诸劳动法庭。

最初，申请人在法庭上辩称，一个月的期限是最长期限，责任方必须立即采取行动，通常在一周内。

原告认为赔偿是合理的，因为控制者暂时限制了他的权利，他失去了对其数据的控制权。他还经历了“情感困扰”，因为他本人曾是黑客攻击的受害者，因此在数据保护方面非常敏感（见第 24 段）。

该公司作为负责机构，辩称GDPR认为一个月的期限是最短期限。由于申请已提交六年，因此有必要彻底搜索数据库以查看是否仍有数据可用，以避免提供虚假信息。由于公众假期和过渡日共有九个工作日，因此该公司认为已在一个月的期限内合理地提供了信息。

责任方也无法确定任何赔偿理由，因为没有证明任何损害，并且监管机构根据第 14 条批准了行为准则。 GDPR 第 40 条规定，申请人的数据将在三年后删除，这将抵消控制权的丧失。

杜伊斯堡劳工法庭以信息延迟和由此造成的失控为由，判给申请人750 欧元的痛苦和苦难赔偿金。

不设定一个月的统一期限——理由不充分，但最终是正确的
杜伊斯堡劳工法院认为，该公司应该“立即”答复信息请求，并认为一个月的期限只是一个最长期限，“可能不会按常规用尽爱尔兰商业传真列表 但只有在更困难的情况下才会用尽”（见第 60 段）。对于“立即”期限的解释，是权衡双方利益的结果。法院引用了联邦劳工法院（BAG，2020 年 2 月 27 日判决 - 2 AZR 390/19）的一贯判例，该判例认为一周的期限为“立即”。任何耗时较长的事情都必须有合理的理由。

法院的法律推理之所以困难，是因为它不够系统合理。法院根据《德国民法典》（BGB）第 121 条的规定，仅从国家角度对“即时性”一词进行解释。然而，这种解释纯粹是国家性的，受到判例法的影响，没有参考欧洲法律。由于该术语出现在欧洲监管框架中，因此有必要研究如何根据欧洲法律解释该术语。

然而，文献中对于如何实现这一目标并不一致。人们经常引用德国民法典 (BGB) 第 121 条，但并不讨论其欧洲法律成分。然而，在没有进一步理由的情况下引用国家规定违背了根据欧洲法律对欧盟标准进行统一解释的要求。因此，文献中还考虑在计算期限、日期和日期时使用法规（EEC、Euratom）No. 1182/71。例如，当时的柏林数据保护和信息自由专员办公室 (BlnBDI) 在其2018 年年度报告中就采取了这样的做法（参见第 25 页，脚注 35）。

但具体来说，该法规并无帮助，因为它没有解释“立即”这个模糊的法律术语。然而，人们也可以参考艺术。 GDPR 第 33 条规定，“立即”与 72 小时有关。这可以作为如何解释这个模糊的法律术语的指导。英文版本给出了另一条线索：“without undue delay” ——字面意思与德语“without culpable delay”非常接近。它包含一个主观因素，要求控制者考虑案件的复杂性。因此，对欧洲法律的解释可以得出与杜伊斯堡劳工法院判决相同的结果。然而，对欧洲法律的统一解释将得到维持。

如果认为截止日期已经错过，并因此存在数据保护违规行为，则申请人也必须遭受损失并有权获得赔偿。

损坏何时发生？欧洲法院的标准
欧洲法院在2023 年 5 月 4 日的判决（C-300/21）中明确了索赔必须满足的条件（我们报道过）：

违反 GDPR 处理个人数据，
对相关人员造成的任何损害以及
非法处理与所造成的损害之间的因果关系。
欧洲法院还明确表示，索赔不需要实质性门槛。不过，他指出，受到 GDPR 违反行为影响并遭受负面影响的个人不能免于证明损害。

据杜伊斯堡劳工法庭称，该行为违反了 GDPR。法院认为，损害在于由于信息延迟导致申请人失去对其数据的控制。法院也不认为《行为准则》及其删除概念可以作为反对失去控制的论据。因此，杜伊斯堡劳工法院的判例法与先前的判例法相矛盾。波恩地区法院 (LG)（2021 年 7 月 1 日判决 - 参考编号：15 O 372/20）与杜伊斯堡劳工法院不同，认为信息延迟本身不会造成任何损害（我们已报道）。