Print

Unsere Rolle als Aufsichtsbehörde

supervision

Der Europäische Datenschutzbeauftragte (EDSB) ist die für den Datenschutz zuständige Stelle für die Organe, Einrichtungen und Agenturen der Europäischen Union (EU-Institutionen).

Eine unserer Hauptaufgaben ist die Aufsicht über die EU-Institutionen, um ihnen zu helfen, mit gutem Beispiel voranzugehen; öffentliche Einrichtungen müssen bei der Verarbeitung personenbezogener Daten über jeden Vorwurf erhaben sein.

Zu diesem Zweck überwachen wir alle Aktivitäten, bei denen personenbezogene Daten oder Informationen genutzt, d. h. verarbeitet werden. Die personenbezogenen Daten könnten u. a. Ihre Daten sein oder die Daten einer beliebigen Person, die für die EU tätig ist oder mit ihr zu tun hat, zum Beispiel Besucher, Auftragnehmer oder Empfänger von Zuschüssen.

Die EU-Institutionen verarbeiten personenbezogene Daten zu den verschiedensten Zwecken. Ihre Kerntätigkeiten beziehen sich auf Fragestellungen, die für die europäische Gesellschaft relevant sind: von der Lebensmittelsicherheit über die Vorbeugung von Krankheiten bis hin zur Finanzstabilität. Wir üben außerdem Aufsicht über EU-Institutionen aus, die im Bereich Polizei und Justiz tätig sind, nämlich Europol, die EU-Einrichtung, die aktiv mit den Strafverfolgungsbehörden zur Bekämpfung von internationaler Kriminalität und Terrorismus zusammenarbeitet, und Eurojust, die EU-Einrichtung, die die Koordinierung und Zusammenarbeit der zuständigen Justizbehörden der Mitgliedstaaten in Bezug auf schwere organisierte Kriminalität unterstützt und verbessert, sowie die Europäische Staatsanwaltschaft (EUStA), die EU-Einrichtung, die für die strafrechtliche Untersuchung und Verfolgung sowie die Anklageerhebung in Bezug auf Personen, die Straftaten zum Nachteil der finanziellen Interessen der Union begangen haben, zuständig ist.

Als Arbeitgeber von mehr als 40 000 Beschäftigten müssen die EU-Institutionen darüber hinaus Verfahren entwickeln, die ihre effiziente Verwaltung und ein reibungsloses Funktionieren gewährleisten. Zu diesen Verfahren gehören u. a. die Evaluierung und Beförderung des Personals, die Zugangskontrolle zu ihren Gebäuden, Arbeitszeitregelungen, Strategien zur Verhütung von sexueller Belästigung und Mobbing.

Im Einklang mit dem Grundsatz der Rechenschaftspflicht tragen die EU-Institutionen die primäre Verantwortung für die Einhaltung der Datenschutzbestimmungen.

Um sie zu unterstützen, bieten wir Beratung und Leitlinien zur Einhaltung der Bestimmungen und sorgen dafür, dass die Regeln ordnungsgemäß angewandt werden; dabei arbeiten wir nach dem Prinzip „Vertrauen ist gut, Kontrolle ist besser“.

In der Praxis umfasst dies die Herausgabe von Leitlinien, die Prüfung von Beschwerden, die Reaktion auf Konsultationen der EU-Institutionen und die Durchführung von Datenschutzprüfungen.

Die für die EU-Institutionen geltenden Datenschutzbestimmungen sind in der Verordnung (EU) 2018/1725 („die Verordnung“) niedergelegt. Sie entspricht weitgehend der DSGVO, die für private Unternehmen und die meisten öffentlichen Verwaltungen in den Mitgliedstaaten gilt. Spezifische Bestimmungen enthalten die Gründungsverordnungen der im Bereich Polizei und Justiz tätigen EU-Einrichtungen (Europol, Eurojust, die Europäische Staatsanwaltschaft).

Auch die Rolle und die Zuständigkeiten für die Aufsichtstätigkeit des EDSB werden in den jeweiligen Verordnungen dargelegt. Unsere Aufsichtstätigkeiten sind denen der nationalen Datenschutzbehörden in den EU-Ländern ähnlich.

Datenschutzvorschriften sind für die EU-Institutionen nichts Neues. Vor der aktuellen Verordnung gab es die Verordnung (EG) Nr. 45/2001, die sich auf die Richtlinie 95/46/EG stützte, welche wiederum durch die DSGVO abgelöst wurde. Seit Aufnahme seiner Tätigkeit im Jahr 2004 überwacht der EDSB die Einhaltung der Datenschutzbestimmungen durch die EU-Institutionen.

 Wie wir unsere Aufsichtstätigkeit durchführen

  • Die EU-Institutionen fragen uns über ihre Datenschutzbeauftragten (DSB) um Rat. In einigen Fällen sind diese Konsultationen obligatorisch (z. B. vorherige Konsultation, wenn EU-Institutionen nicht sicher sind, welche Garantien in einer Datenschutz-Folgenabschätzung oder bei der Ausarbeitung interner Vorschriften, die die Rechte der betroffenen Personen einschränken, festgelegt wurden), während sie in anderen freiwillig sind.
  • Wir stellen ihnen entweder auf Anfrage oder aus eigener Initiative schriftliche oder mündliche Beratung zur Verfügung:
  • oUnsere schriftliche Beratung erfolgt in Form von Stellungnahmen, Beschlüssen, Schreiben oder Arbeitspapieren.
  • oIn Leitlinien erteilen wir Beratung zu Themen, die für alle EU-Institutionen relevant sind.
  • oUnsere mündliche Beratung leisten wir über unsere Telefonhotline für Datenschutzbeauftragte (nur für die EU-Institutionen).
  • oDarüber hinaus bieten wir nützliche Ressourcen und Dokumente zur allgemeinen Unterstützung der Datenschutzbeauftragten wie zum Beispiel Rechtsprechung in einem eigenen Abschnitt dieser Website namens DPO Corner an.
  • Wir sensibilisieren für den Datenschutz in den EU-Institutionen und führen Schulungen durch.
  • Wir nehmen Datenschutzüberprüfungen vor, um die Einhaltung in der Praxis zu überprüfen.
  • Wir bearbeiten Beschwerden von Einzelpersonen über die Verarbeitung ihrer personenbezogenen Daten durch EU-Institutionen.
  • Wir führen Untersuchungen durch, entweder aufgrund von Informationen, die wir von Dritten erhalten, oder auf eigene Initiative.
  • Wir erhalten Anzeigen von Datenschutzverstößen und gehen diesen nach.
  • Wir führen in regelmäßigen Abständen Erhebungen durch, um statistische Daten für den Vergleich der EU-Institutionen anhand von Benchmarks zusammenzutragen.
  • Wenn unsere allgemeinen oder gezielten Bestandsaufnahmen auf Mängel hindeuten, besuchen wir ggf. die betroffenen Institutionen, um auf eine bessere Einhaltung der Rechtsvorschriften hinzuwirken.

 

Durchsetzung

Wenn eine EU-Institution die Datenschutzvorschriften nicht einhält, kann der EDSB die in der Verordnung vorgesehenen Durchsetzungsbefugnisse nutzen, zum Beispiel:

  • Er kann die EU-Institution, die Ihre personenbezogenen Daten unrechtmäßig oder unbillig verarbeitet, verwarnen oder ermahnen.
  • Er kann die europäische Institution anweisen, Anträge auf Ausübung Ihrer Rechte zu bewilligen (z. B. Zugang zu den eigenen Daten zu gewähren).
  • Er kann eine bestimmte Datenverarbeitung vorübergehend oder endgültig verbieten.
  • Er kann EU-Institutionen eine Geldbuße auferlegen.
  • Er kann einen Fall an den Gerichtshof der Europäischen Union verweisen.

 

Beschwerden

Wenn Sie der Ansicht sind, dass Ihre Rechte bei der Verarbeitung Ihrer personenbezogenen Daten durch eine Institution der Europäischen Union verletzt wurden, können Sie beim EDSB eine Beschwerde einreichen.

Wir empfehlen, zunächst Kontakt mit der betreffenden EU-Institution aufzunehmen, um eine Lösung für das Problem zu finden. In vielen Fällen können Sie Ihr Problem auf dieser Ebene lösen.

Bitte beachten Sie, dass der EDSB keine Befugnisse zur Bearbeitung von Beschwerden über die Verarbeitung personenbezogener Daten durch nationale Behörden oder private Organisationen hat.

Wenn Ihre Beschwerde eine dieser Einrichtungen betrifft, sollten Sie sich an die Datenschutzbehörde des betreffenden Landes wenden.

 

Benachrichtigung über Verletzung von personenbezogenen Daten

Ab dem 12. Dezember 2018 sind gemäß der Verordnung (EU) Nr. 1725/2018 alle europäischen Organe und Einrichtungen verpflichtet, dem EDSB bestimmte Arten von Verstößen gegen personenbezogene Daten zu melden. Jedes EU-Organ muss dies innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes tun, sofern dies machbar ist. Wenn der Verstoß möglicherweise ein hohes Risiko für die Beeinträchtigung der Rechte und Freiheiten der Einzelnen darstellt, muss das EU-Organ ebenfalls die betroffenen Personen ohne unnötige Verzögerung informieren.

Mehr Informationen