Manche Verfahren, die EU-Institutionen eingeführt haben, bringen Risiken für das Recht auf Datenschutz und die Grundfreiheiten des Einzelnen mit sich.
Der frühere Rechtsrahmen (Verordnung (EG) Nr. 45/2001) verpflichtete die EU-Institutionen, uns eine Meldung zu machen, bevor sie risikobehaftete Datenverarbeitungsverfahren einführten.
Im Allgemeinen waren unsere Stellungnahmen zu Vorabkontrollen öffentlich.
Die Verordnung (EU) 2018/1725 stützt sich auf die frühere Verordnung und entspricht der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO), die für die meisten Organisationen gilt, die personenbezogene Daten in den Mitgliedstaaten verarbeiten. Im Vergleich zu den früheren Vorschriften werden durch die Verordnung (EU) 2018/1725 die Dokumentationspflichten stärker an den Risiken ausgerichtet, die die Verarbeitung personenbezogener Daten mit sich bringen. Dies bedeutet beispielsweise, dass die Dokumentationsanforderungen für das Abonnieren eines Newsletters von EU-Institutionen niedriger sind als etwa für ein intelligentes Videoüberwachungssystem, das öffentlich zugänglichen Raum überwacht, oder für eine Datenbank, die Profile von Reisenden zu Kontrollzwecken erstellt.
Je nach Verfahren müssen die EU-Institutionen bei der Verarbeitung von personenbezogenen Daten (als „Verantwortliche“) nicht unbedingt alle nachstehend aufgeführten Schritte durchlaufen (diese Schritte sind im Leitfaden „Rechenschaftspflicht vor Ort“ beschrieben):
Artikel 39 der Verordnung 2016/794 über Europol sieht für neue Arten von Verarbeitungsvorgängen in Bezug auf operative Daten – Daten, die von Europol zur Unterstützung der Mitgliedstaaten bei der Verhütung und Bekämpfung von schwerer Kriminalität und Terrorismus verarbeitet werden – eine vorherige Ad-hoc-Konsultation vor. Entsprechend sieht Artikel 72 der Verordnung 2017/1939 über die Europäische Staatsanwaltschaft (EuStA) einen besonderen Mechanismus zur vorherigen Konsultation für die Verarbeitung von operativen Daten vor, nämlich von Daten, die im Zusammenhang mit strafrechtlichen Ermittlungen und Strafverfolgungsmaßnahmen der EuStA verarbeitet werden. Die Verordnung 2018/1725, einschließlich des Standardmechanismus für die vorherige Konsultation, ist für die Verarbeitung von verwaltungstechnischen Daten durch Europol und die EuStA anwendbar, wozu beispielsweise auch Daten über Mitarbeiter und Besucher gehören.
Wenn eine EU-Institution unsicher ist, ob sie uns eine Verarbeitung zwecks vorheriger Konsultation melden muss, kann ihr DSB uns in dieser Frage konsultieren.
Wie auch bei den früheren Stellungnahmen zur Vorabkontrolle sind die Stellungnahmen im Allgemeinen öffentlich. Allerdings können wir sensible Elemente erforderlichenfalls, wie etwa im Zusammenhang mit Sicherheitsaspekten, löschen. Einige Stellungnahmen, die naturgemäß sensibel sind, insbesondere im Bereich Polizei und Justiz, werden gegebenenfalls nicht veröffentlicht. Aus Gründen der Transparenz enthält unser Jahresbericht eine Zusammenfassung dieser Stellungnahmen.
Opinion on notifications for prior checking received from the Data Protection Officers of certain Community agencies concerning the "Staff recruitment procedures".
Avis du 6 mai 2009 sur la notification d'un contrôle préalable de la Cour de justice à propos du dossier "horaire flexible" (Dossier 2007-437)
Avis du 6 mai 2009 sur la notification de contrôle préalable concernant les "Evaluations et rapports de stage" (Dossier 2009-030)
The European Food Safety Authority processes personal data of its staff related to probationary periods. The purpose of processing the personal data of staff members is to meet the requirements of the Staff Regulations and the Conditions of Employment of other Servants of the European Communities (CEOS). The probationary report itself aims at providing an objective summary assessment of the staff member's performance, competences and conduct during the initial period of the engagement.
The opinion advises EFSA to pay special attention to the principle of data quality and prior to automated solutions being introduced the EDPS should be consulted.
Opinion of 29 April 2009 on a notification for prior checking on Voice Logging at the Joint Research Centre Institute for Energy (JRC-IE) in Petten (Case 2008-014)
This case concerned the recording of incoming and outgoing calls as well as records the calling telephone number, the called telephone number, date, time and length of the conversation at the JRC-IE in Petten the purpose of being able to check the content of the calls to the lines concerned in the event of an operational incident, emergencies and to be able to evaluate emergency training exercises at a later stage. These calls may also furnish evidence for investigations into potential threats to the institution.
The EDPS opinion particularly examines the lawfulness of the processing operation as the recording of calls is a violation to the principle of confidentiality of communications. The EDPS acknowledged that the processing was lawful as based on mandatory national legislation applicable in the field of nuclear facilities. The EDPS also made recommendations on the information to the persons concerned notably to external persons calling the switchboard and who must be informed that the communication will be recorded for security purposes at the start of the call.
Avis du 27 avril 2009 sur la notification de contrôle préalable concernant les procédures de sélection des experts nationaux détachés (Dossier 2008-747)
FRA organises and manages the selection process of national experts for secondment in order to select the best suited candidates for a particular position. In order to select the best suited candidates, applicants have to follow various procedures (eligibility tests, interviews, etc). Such procedures entail the collection and further processing of candidates' personal data for the purposes of evaluating their competences for a given position.
In his opinion, the EDPS concluded that FRA has substantially followed all the principles of the Regulation. Nevertheless the EDPS recommended, among others, that FRA: