Verantwortlicher
Verarbeitung (personenbezogener Daten)
Gemäß Artikel 3 (3) der Verordnung (EU) 2018/1725bezeichnet die Verarbeitung personenbezogener Daten "jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.
Personenbezogene Daten können bei vielen Aktivitäten verarbeitet werden, die mit dem Berufsleben einer betroffenen Person zusammenhängen. Beispiele innerhalb der Organe und Einrichtungen der EU sind: die Verfahren im Zusammenhang mit Personalbeurteilungen und mit der Rechnungsstellung einer Bürotelefonnummer, Teilnehmerlisten von Sitzungen, die Handhabung von Disziplinarakten und medizinischen Unterlagen sowie die Erstellung und Online-Bereitstellung von Listen von EU-Bediensteten und ihren jeweiligen Zuständigkeitsbereichen.
Personenbezogene Daten, die andere natürliche Personen als EU-Mitarbeiter betreffen, können ebenfalls verarbeitet werden. Beispiele dafür sind Besucher, Auftragnehmer, Antragsteller usw.
Verbindliche unternehmensinterne Datenschutzregelungen
Verbindliche unternehmensinterne Datenschutzregeln sind ein Rechtsinstrument, das multinationale Unternehmen einsetzen können, um ein angemessenes Schutzniveau für die Übermittlung personenbezogener Daten innerhalb der Gruppe von einem EU-Land oder einem Mitgliedsland des Europäischen Wirtschaftsraums (EWR) in ein Drittland zu gewährleisten.
Der Einsatz verbindlicher unternehmensinterner Datenschutzregeln erfordert grundsätzlich die Zustimmung der EU- oder EWR-Datenschutzbehörden für jedes der Länder, aus denen die Daten zu übermitteln sind.
Die Artikel-29-Datenschutzgruppe hat eine Reihe von Leitliniendokumenten für Unternehmen angenommen, die dieses Instrument einsetzen möchten:
- WP 107: Arbeitsdokument "Festlegung eines Kooperationsverfahrens zwecks Abgabe gemeinsamer Stellungnahmen zur Angemessenheit der verbindlich festgelegten unternehmensinternen Datenschutzgarantien“;
- WP 108: Arbeitsdokument "Muster-Checkliste für Anträge auf Genehmigungen verbindlicher unternehmensinterner Datenschutzregelungen“;
- WP 133: "Recommendation 1/2007 on the Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data“ (Empfehlung 1/2007 für den Standardantrag auf die Genehmigung verbindlicher unternehmensinterner Datenschutzregelungen für die Übermittlung personenbezogener Daten);
- WP 153: Arbeitsdokument mit einer Übersicht über die Bestandteile und Grundsätze verbindlicher unternehmensinterner Datenschutzregelungen (BCR);
- WP 154: Arbeitsdokument "Rahmen für verbindliche unternehmensinterne Datenschutzrichtlinien (BCR)“;
- WP 155: Arbeitsdokument zu "Häufig gestellten Fragen“ über verbindliche unternehmensinterne Datenschutzregelungen.
Verkehrsdaten
Verkehrsdaten sind Daten, die zum Zwecke der Weiterleitung einer Nachricht in einem elektronischen Kommunikationsnetz verarbeitet werden.
Je nach dem verwendeten Kommunikationsmittel sind die Daten, die für die Weiterleitung der Nachricht erforderlich sind, unterschiedlich; typischerweise können sie jedoch Kontaktinformationen, Uhrzeit und Standortdaten beinhalten.
Obwohl zwischen solchen Verkehrsdaten und den Inhaltsdaten zu unterscheiden ist, sind beide Arten von Daten recht sensibel, da sie Einblicke in vertrauliche Nachrichten ermöglichen. Daher unterliegen diese Daten einem besonderen Schutz gemäß Artikel 5 und 6 der Datenschutzrichtlinie für elektronische Kommunikation 2009/136/EG
Verordnung (EG) Nr. 45/2001
Die Verordnung (EG) Nr. 45/2001 regelte den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft.
Die Verordnung setzte Artikel 286 des Vertrags zur Gründung der Europäischen Gemeinschaften um, in dem die Anwendung der Datenschutzbestimmungen auf die Organe und Einrichtungen der Gemeinschaft sowie die Errichtung einer unabhängigen Kontrollinstanz festgelegt ist.
Die Datenschutzbestimmungen in der Verordnung basierten auf den bestehenden Gemeinschaftsbestimmungen über Datenschutz, die für Mitgliedstaaten gelteten , insbesondere der Datenschutzrichtlinie 95/46/EG und der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG. Diese Verordnung fasste die Rechte der betroffenen Personen und die Verpflichtungen der für die Verarbeitung Verantwortlichen in einem einzelnen Rechtsinstrument zusammen.
Außerdem wurde in der Verordnung der Europäische Datenschutzbeauftragte als unabhängige Kontrollbehörde festgelegt, die für die Kontrolle der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft zuständig ist.
Die Verordnung (EG) Nr. 45/2001 wurde von der Verordnung (EU) 2018/1725 aufgehoben, die am 11. Dezember 2018 im Kraft getreten ist.
Verordnung (EU) 2018/1725
Die Verordnung (EU) 2018/1725 legt die Datenschutzpflichten fest, die für die EU-Organe und -Einrichtungen gelten, wenn diese personenbezogene Daten verarbeiten und neue Strategien entwickeln.
Die Verordnung hebt die Verordnung (EG) 45/2001 auf und verfolgt im Einklang mit der DS-GVO einen grundsatzbezogenen Ansatz.
Das neue Rechtsinstrument stellt sicher, dass die EU-Organe und -Einrichtungen transparente und leicht zugängliche Informationen darüber bereitstellen, wie personenbezogene Daten verwendet werden, und sieht eindeutige Mechanismen für natürliche Personen zur Wahrnehmung ihrer Rechte vor. Zudem bekräftigt, erläutert und stärkt es die Rolle der Datenschutzbeauftragten in den einzelnen EU-Organen und -Einrichtungen sowie die Rolle des EDSB.
Vertraulichkeit
Vertraulichkeit bezeichnet im allgemeinen Sinne die Pflicht, Informationen nicht an Personen weiterzugeben, die nicht zum Empfang dieser Informationen qualifiziert sind (siehe Artikel 5 der Verordnung (EU) 2016/679 and Artikel 4 der Verordnung (EU) 2018/1725). In einem spezifischeren Sinne bezeichnet der Begriff die Vertraulichkeit des Kommunikationsverkehrs gemäß Artikel 5 der Datenschutzrichtlinie für elektronische Kommunikation 2009/136/EG und Artikel 36 der Verordnung (EU) 2018/1725.
Verzeichnis
Videoüberwachung
Videoüberwachung ist die ständige oder systematische Überwachung eines bestimmten Bereichs, einer Veranstaltung, Aktivität oder Person mit Hilfe eines CCTV-Systems oder eines anderen elektronischen Geräts oder Systems für eine visuelle Überwachung.
Siehe auch: CCTV und die thematischen Leitlinien des EDSB bezüglich Videoüberwachung.
Visa-Informationssystem (VIS)
Das Visa-Informationssystem (VIS) ist ein großes IT-System, das Informationen, einschließlich Fotos und Fingerabdruckdaten, über Visumantragsteller enthalten wird. Der Europäische Datenschutzbeauftragte hat im Jahr 2005 eine Stellungnahme zum Aufbau des VIS und im Jahr 2006 eine weitere Stellungnahme zum Zugang von Strafverfolgungsbehörden zum VIS (PDF) abgegeben.
Die Informationen werden von den Konsulaten in den verschiedenen Mitgliedstaaten zusammengetragen und dann an eine zentrale Datenbank, VIS, übermittelt; dort sind sie für alle Mitgliedstaaten zugänglich. Die Einführung des VIS sollte grundsätzlich im Jahr 2009 beginnen.
Einer der wichtigsten Zwecke der Datenbank ist die Bekämpfung des „Visum-Shopping“. Bürger aus mehr als 120 Ländern benötigen ein Visum, um in die EU einzureisen. In der aktuellen Situation kann ein Antragsteller, der vom Konsulat eines Landes abgelehnt wurde, bei anderen Konsulaten weitere Anträge stellen. Sobald das VIS eingeführt ist, wird das nicht mehr möglich sein. Informationen über frühere Anträge und Ablehnungsgründe werden über das neue System verfügbar sein. Die Aufnahme von Fingerabdruck- und Fotodaten soll es ermöglichen, bei Grenzkontrollen zu überprüfen, ob die Person, die ein Visum vorlegt, tatsächlich die Person ist, für die das Visum ausgestellt wurde.
Die Datenschutzkontrolle auf der Ebene der Zentraleinheit liegt in der Verantwortung des Europäischen Datenschutzbeauftragten und auf nationaler Ebene in der Verantwortung der Datenschutzbehörden der Mitgliedstaaten. Der Europäische Datenschutzbeauftragte und die Datenschutzbehörden stellen gemeinsam die Koordinierung dieser Kontrolle sicher.
Vorratsdatenspeicherung
Vorratsdatenspeicherung bezeichnet alle Verpflichtungen der für die Verarbeitung Verantwortlichen, personenbezogene Daten für bestimmte Zwecke aufzubewahren.
Die Richtlinie zur Vorratsdatenspeicherung (Richtlinie 2006/24/EG) enthält eine Verpflichtung für Anbieter elektronischer Kommunikationsdienste, Verkehrs- und Standortdaten für die Kommunikation per Telefon, E Mail usw. auf Vorrat zu speichern. Diese Vorratsdatenspeicherung erfolgt zum Zwecke der Ermittlung, Feststellung und Verfolgung von schweren Straftaten.
Siehe auch den Rahmenbeschluss des Rates 2008/977/JI.
Zum Nachweis der Einhaltung der Verordnung (EU) N° 2018/1725 sollten die Verantwortlichen ein Verzeichnis der in ihrer Zuständigkeit liegenden Verarbeitungstätigkeiten und Auftragsverarbeiter ein Verzeichnis der Kategorien der in ihrer Zuständigkeit liegenden Verarbeitungstätigkeiten führen.
Die Organe und Einrichtungen der Union führen ihre Verzeichnisse der Verarbeitungen in einem zentralen Register, es sei denn, dies ist unter Berücksichtigung der Größe des Organs oder der Einrichtung der Union nicht sachgerecht. Sie machen das Register öffentlich zugänglich (Artikel 31 Verordnung (EU) N° 2018/1725).