Print

Vorabkontrolle

Manche Verfahren, die EU-Institutionen eingeführt haben, bringen Risiken für das Recht auf Datenschutz und die Grundfreiheiten des Einzelnen mit sich.

Der frühere Rechtsrahmen (Verordnung (EG) Nr. 45/2001) verpflichtete die EU-Institutionen, uns eine Meldung zu machen, bevor sie risikobehaftete Datenverarbeitungsverfahren einführten.

Im Allgemeinen waren unsere Stellungnahmen zu Vorabkontrollen öffentlich.

Die Verordnung (EU) 2018/1725 stützt sich auf die frühere Verordnung und entspricht der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO), die für die meisten Organisationen gilt, die personenbezogene Daten in den Mitgliedstaaten verarbeiten. Im Vergleich zu den früheren Vorschriften werden durch die Verordnung (EU) 2018/1725 die Dokumentationspflichten stärker an den Risiken ausgerichtet, die die Verarbeitung personenbezogener Daten mit sich bringen. Dies bedeutet beispielsweise, dass die Dokumentationsanforderungen für das Abonnieren eines Newsletters von EU-Institutionen niedriger sind als etwa für ein intelligentes Videoüberwachungssystem, das öffentlich zugänglichen Raum überwacht, oder für eine Datenbank, die Profile von Reisenden zu Kontrollzwecken erstellt.

Je nach Verfahren müssen die EU-Institutionen bei der Verarbeitung von personenbezogenen Daten (als „Verantwortliche“) nicht unbedingt alle nachstehend aufgeführten Schritte durchlaufen (diese Schritte sind im Leitfaden „Rechenschaftspflicht vor Ort“ beschrieben):

    • Erstellung der grundlegenden Dokumentation („Verzeichnis“) aller Verarbeitungsvorgänge;
    • Prüfung der Wahrscheinlichkeit, dass der Vorgang ein hohes Risiko für die Personen darstellt, deren Daten verarbeitet werden, und Konsultation des DSB, wenn dies der Fall zu sein scheint;
    • Muss die EU-Institution eine Datenschutz-Folgenabschätzung durchführen, so sind dabei diese Risiken eingehender zu untersuchen und spezifische Garantien/Kontrollen zu ihrer Bewältigung zu entwickeln;
    • Deuten die Ergebnisse der Datenschutz-Folgenabschätzung auf hohe Restrisiken für den Datenschutz hin, muss die EU-Institution beim EDSB eine vorherige Konsultation beantragen (siehe Artikel 40 bzw. Artikel 90 der Verordnung (EU) 2018/1725 für verwaltungstechnische und operative personenbezogene Daten).

Artikel 39 der Verordnung 2016/794 über Europol sieht für neue Arten von Verarbeitungsvorgängen in Bezug auf operative Daten – Daten, die von Europol zur Unterstützung der Mitgliedstaaten bei der Verhütung und Bekämpfung von schwerer Kriminalität und Terrorismus verarbeitet werden – eine vorherige Ad-hoc-Konsultation vor. Entsprechend sieht Artikel 72 der Verordnung 2017/1939 über die Europäische Staatsanwaltschaft (EuStA) einen besonderen Mechanismus zur vorherigen Konsultation für die Verarbeitung von operativen Daten vor, nämlich von Daten, die im Zusammenhang mit strafrechtlichen Ermittlungen und Strafverfolgungsmaßnahmen der EuStA verarbeitet werden. Die Verordnung 2018/1725, einschließlich des Standardmechanismus für die vorherige Konsultation, ist für die Verarbeitung von verwaltungstechnischen Daten durch Europol und die EuStA anwendbar, wozu beispielsweise auch Daten über Mitarbeiter und Besucher gehören.

Wenn eine EU-Institution unsicher ist, ob sie uns eine Verarbeitung zwecks vorheriger Konsultation melden muss, kann ihr DSB uns in dieser Frage konsultieren.

Wie auch bei den früheren Stellungnahmen zur Vorabkontrolle sind die Stellungnahmen im Allgemeinen öffentlich. Allerdings können wir sensible Elemente erforderlichenfalls, wie etwa im Zusammenhang mit Sicherheitsaspekten, löschen. Einige Stellungnahmen, die naturgemäß sensibel sind, insbesondere im Bereich Polizei und Justiz, werden gegebenenfalls nicht veröffentlicht. Aus Gründen der Transparenz enthält unser Jahresbericht eine Zusammenfassung dieser Stellungnahmen.

Filters

13
Mar
2015

Vergabe öffentlicher Aufträge und der Gewährung von Finanzmitteln - EASME

Stellungnahme zur Meldung des Datenschutzbeauftragten der Exekutivagentur für Wettbewerbsfähigkeit und Innovation für eine Vorabkontrolle der Vergabe öffentlicher Aufträge und der Gewährung von Finanzhilfen (Fall 2013-0862 und 2013-1050)

Verfügbare Sprachen: Deutsch, Englisch, Französisch
13
Mar
2015

Beurteilung des Direktors und des stellvertretenden Direktors - Eurofound

Stellungnahme zur Meldung des Datenschutzbeauftragten der Europäischen Stiftung zur Verbesserung der Lebens- und Arbeitsbedingungen (Eurofound) für eine Vorabkontrolle der Verfahren zur Beurteilung des Direktors und des stellvertretenden Direktors (Fall 2014-1011)

Verfügbare Sprachen: Deutsch, Englisch, Französisch
12
Mar
2015

360° Feedback tool for managers - EP

Opinion on the prior checking notification concerning 360° Feedback tool for managers at the European Parliament (Case 2014-1146)

Verfügbare Sprachen: Deutsch, Englisch, Französisch
4
Mar
2015

Verwaltungsuntersuchungen und Disziplinarverfahren - Fusion for Energy

Brief zur Meldung für eine Vorabkontrolle der Verarbeitung von Daten bei Verwaltungsuntersuchungen und Disziplinarverfahren beim Europäischen Gemeinsamen Unternehmen Fusion for Energy (F4E) (Dossier 2013-0808)

Verfügbare Sprachen: Deutsch, Englisch, Französisch
30
Jan
2015

Auswahl von Vertrauenspersonen - EU SatCen

Brief Zur Meldung für eine Vorabkontrolle von Verarbeitungen im Zusammenhang mit der Auswahl von Vertrauenspersonen und dem informellen Verfahren zur Prävention von Mobbing und sexueller Belästigung im Satellitenzentrum der Europäischen Union (EU SatCen) (Fall 2014-1117)

Verfügbare Sprachen: Deutsch, Englisch, Französisch