Manche Verfahren, die EU-Institutionen eingeführt haben, bringen Risiken für das Recht auf Datenschutz und die Grundfreiheiten des Einzelnen mit sich.
Der frühere Rechtsrahmen (Verordnung (EG) Nr. 45/2001) verpflichtete die EU-Institutionen, uns eine Meldung zu machen, bevor sie risikobehaftete Datenverarbeitungsverfahren einführten.
Im Allgemeinen waren unsere Stellungnahmen zu Vorabkontrollen öffentlich.
Die Verordnung (EU) 2018/1725 stützt sich auf die frühere Verordnung und entspricht der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO), die für die meisten Organisationen gilt, die personenbezogene Daten in den Mitgliedstaaten verarbeiten. Im Vergleich zu den früheren Vorschriften werden durch die Verordnung (EU) 2018/1725 die Dokumentationspflichten stärker an den Risiken ausgerichtet, die die Verarbeitung personenbezogener Daten mit sich bringen. Dies bedeutet beispielsweise, dass die Dokumentationsanforderungen für das Abonnieren eines Newsletters von EU-Institutionen niedriger sind als etwa für ein intelligentes Videoüberwachungssystem, das öffentlich zugänglichen Raum überwacht, oder für eine Datenbank, die Profile von Reisenden zu Kontrollzwecken erstellt.
Je nach Verfahren müssen die EU-Institutionen bei der Verarbeitung von personenbezogenen Daten (als „Verantwortliche“) nicht unbedingt alle nachstehend aufgeführten Schritte durchlaufen (diese Schritte sind im Leitfaden „Rechenschaftspflicht vor Ort“ beschrieben):
Artikel 39 der Verordnung 2016/794 über Europol sieht für neue Arten von Verarbeitungsvorgängen in Bezug auf operative Daten – Daten, die von Europol zur Unterstützung der Mitgliedstaaten bei der Verhütung und Bekämpfung von schwerer Kriminalität und Terrorismus verarbeitet werden – eine vorherige Ad-hoc-Konsultation vor. Entsprechend sieht Artikel 72 der Verordnung 2017/1939 über die Europäische Staatsanwaltschaft (EuStA) einen besonderen Mechanismus zur vorherigen Konsultation für die Verarbeitung von operativen Daten vor, nämlich von Daten, die im Zusammenhang mit strafrechtlichen Ermittlungen und Strafverfolgungsmaßnahmen der EuStA verarbeitet werden. Die Verordnung 2018/1725, einschließlich des Standardmechanismus für die vorherige Konsultation, ist für die Verarbeitung von verwaltungstechnischen Daten durch Europol und die EuStA anwendbar, wozu beispielsweise auch Daten über Mitarbeiter und Besucher gehören.
Wenn eine EU-Institution unsicher ist, ob sie uns eine Verarbeitung zwecks vorheriger Konsultation melden muss, kann ihr DSB uns in dieser Frage konsultieren.
Wie auch bei den früheren Stellungnahmen zur Vorabkontrolle sind die Stellungnahmen im Allgemeinen öffentlich. Allerdings können wir sensible Elemente erforderlichenfalls, wie etwa im Zusammenhang mit Sicherheitsaspekten, löschen. Einige Stellungnahmen, die naturgemäß sensibel sind, insbesondere im Bereich Polizei und Justiz, werden gegebenenfalls nicht veröffentlicht. Aus Gründen der Transparenz enthält unser Jahresbericht eine Zusammenfassung dieser Stellungnahmen.
Opinion of 14 September 2009 on the notification for prior checking concerning "Data processing with regard to accident insurance" (Case 2004-0257)
Opinion of 7 September 2009 on a notification for prior checking regarding the EudraVigilance database (Case 2008-402)
EMEA manages the EudraVigilance database whose originates from National Competent Authorities, Market Authorization Holders and sponsors of clinical trials. The purpose of the database is to evaluate suspected adverse reactions to medicinal products for human use. The EDPS considers that the processing is lawful to the extent that EMEA follows the recommendations included in the Opinion, particularly those regarding the data quality principle.
The EDPS recommended, among others, that EMEA:
Opinion of 28 July 2009 on a notification for prior checking concerning "Evaluation of the President and the Cice-President of the CPVO" (Cases 2009-355 and 2009-356)
The Community Plant Variety Office (CPVO) submitted to the EDPS two notifications for prior checking concerning annual appraisal, probationary period and management trial period of the President of the CPVO and of the Vice-President of the CPVO. Those appraisals are conducted by the reporting officers who are two members of the Administrative Council of the Office (AC) appointed by the AC.
The EDPS has examined the personal data processing involved in this processing and has concluded that it does not seem to entail any breach of the provisions of Regulation (EC) No 45/2001 provided that certain recommendations are followed, in particular that the service responsible should establish a shorter retention period for all paper and electronic files, remind all recipients of data of their obligation not to use the data received for any further purpose beyond the purposes stated in the relevant CPVO Decisions and provide appropriate information to the persons concerned.
Opinion of 27 July 2009 on a notification for prior checking regarding applications to work part time (Case 2009-396)
The EDPS performed a prior checking on the processing of data under the procedure for handling applications to work part time. The processing operation is subject to prior checking as it involves an evaluation of the data subject, insofar as the decision to grant part-time work is based on the interests of the service and takes into account the grounds given in support of the application, but also insofar as it is possible for part time work to be refused.
The EDPS took the view that the processing operation would not appear to involve any breach of the provisions of Regulation (EC) No 45/2001, provided that account is taken of certain observations. In particular, recipients should be reminded that they may only process personal data received in connection with the procedure for applying for part-time work for that specific purpose and that if authorisation to work part-time is refused and the opinion of the Joint Committee has to be obtained, the person concerned should be allowed access to the Joint Committee's opinion for the data concerning him.
Opinion of 24 July 2009 on a notification for prior checking regarding applications to work part time (Case 2009-322)
On 24 July 2009, the EDPS adopted an opinion on the prior checking of the handling of applications to work part time at the European Economic and Social Committee (EESC). This was a true prior check, relating to the adoption by the EESC of a new procedure on part-time work. The EDPS notes the information notice drawn up by the EESC on the protection of the data of members of staff in connection with this application procedure for part-time work. He recommends that the notice should be amended, in particular to make reference to the new procedure for part-time work, and to lay down that the official/staff member should tell any family members whose data are communicated as justification for the application to work part-time that they have a right of access to the data concerning them. The EDPS also recommends that if authorisation to work part-time is refused and the opinion of the Joint Committee has to be obtained, the person concerned should be allowed access to the Joint Committee's opinion for the data concerning him or her.