Manche Verfahren, die EU-Institutionen eingeführt haben, bringen Risiken für das Recht auf Datenschutz und die Grundfreiheiten des Einzelnen mit sich.
Der frühere Rechtsrahmen (Verordnung (EG) Nr. 45/2001) verpflichtete die EU-Institutionen, uns eine Meldung zu machen, bevor sie risikobehaftete Datenverarbeitungsverfahren einführten.
Im Allgemeinen waren unsere Stellungnahmen zu Vorabkontrollen öffentlich.
Die Verordnung (EU) 2018/1725 stützt sich auf die frühere Verordnung und entspricht der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO), die für die meisten Organisationen gilt, die personenbezogene Daten in den Mitgliedstaaten verarbeiten. Im Vergleich zu den früheren Vorschriften werden durch die Verordnung (EU) 2018/1725 die Dokumentationspflichten stärker an den Risiken ausgerichtet, die die Verarbeitung personenbezogener Daten mit sich bringen. Dies bedeutet beispielsweise, dass die Dokumentationsanforderungen für das Abonnieren eines Newsletters von EU-Institutionen niedriger sind als etwa für ein intelligentes Videoüberwachungssystem, das öffentlich zugänglichen Raum überwacht, oder für eine Datenbank, die Profile von Reisenden zu Kontrollzwecken erstellt.
Je nach Verfahren müssen die EU-Institutionen bei der Verarbeitung von personenbezogenen Daten (als „Verantwortliche“) nicht unbedingt alle nachstehend aufgeführten Schritte durchlaufen (diese Schritte sind im Leitfaden „Rechenschaftspflicht vor Ort“ beschrieben):
Artikel 39 der Verordnung 2016/794 über Europol sieht für neue Arten von Verarbeitungsvorgängen in Bezug auf operative Daten – Daten, die von Europol zur Unterstützung der Mitgliedstaaten bei der Verhütung und Bekämpfung von schwerer Kriminalität und Terrorismus verarbeitet werden – eine vorherige Ad-hoc-Konsultation vor. Entsprechend sieht Artikel 72 der Verordnung 2017/1939 über die Europäische Staatsanwaltschaft (EuStA) einen besonderen Mechanismus zur vorherigen Konsultation für die Verarbeitung von operativen Daten vor, nämlich von Daten, die im Zusammenhang mit strafrechtlichen Ermittlungen und Strafverfolgungsmaßnahmen der EuStA verarbeitet werden. Die Verordnung 2018/1725, einschließlich des Standardmechanismus für die vorherige Konsultation, ist für die Verarbeitung von verwaltungstechnischen Daten durch Europol und die EuStA anwendbar, wozu beispielsweise auch Daten über Mitarbeiter und Besucher gehören.
Wenn eine EU-Institution unsicher ist, ob sie uns eine Verarbeitung zwecks vorheriger Konsultation melden muss, kann ihr DSB uns in dieser Frage konsultieren.
Wie auch bei den früheren Stellungnahmen zur Vorabkontrolle sind die Stellungnahmen im Allgemeinen öffentlich. Allerdings können wir sensible Elemente erforderlichenfalls, wie etwa im Zusammenhang mit Sicherheitsaspekten, löschen. Einige Stellungnahmen, die naturgemäß sensibel sind, insbesondere im Bereich Polizei und Justiz, werden gegebenenfalls nicht veröffentlicht. Aus Gründen der Transparenz enthält unser Jahresbericht eine Zusammenfassung dieser Stellungnahmen.
Letter of 13 October 2008 in reply to a notification for prior checking concerning the "Recording of emergency calls at the JRC ISPRA site" (Case 2008-492)
Opinion of 9 October 2008 on a notification for prior checking on the Trainee selection procedure and management of trainees at the Joint Research Centre (JRC) (Case 2008-136)
The purpose of the processing is the recruitment of trainees at the JRC by the Human resources Unit (HR) Ispra or the Institute Management Support Unit (MSU) for other JRC sites, namely Petten, Karlsruhe, Sevilla, Geel. During the selection phase, candidates make a request for a traineeship by filling in an application form for a training period at the JRC.
The Institute concerned will rank the applicants according to the needs of the Institute/Directorate. Trainees are chosen by a selection committee. Selected candidates must also provide results of medical tests. For all trainees the site Security Service needs to ascertain the good conduct of the person in question. The Security Service asks for a recent 'Police Record' from the country of usual residence. Requests for security clearance ("Zuverlässigkeitsüberprüfung") are also required for all persons executing job related tasks at the Karlsruhe site.
The EDPS makes several recommendations, in particular regarding the quality of collected data, data retention, medical data, access to files. The EDPS is also requesting detailed information on security measures adopted.
Opinion of 9 October 2008 on a notification for prior checking regarding the recruitment procedure for contract agents at the Joint Research Centre (Case 2008-142)
This prior-check is part of several opinions adopted by the CEPD this day in the field of recruitment at JRC.
The processing concerns the selection and recruitment of JRC's contractual staff referred to in Title IV of the Conditions of Employment of other servants of the European Communities. The main purpose of the processing is the constitution and management of Contract Agent recruitment files. The recruitment files collect all the information needed in order to start, process and finalize the recruitment procedure, which, at different stages, involves DG JRC Institutes/Directorates (Management Support Units –"MSUs"- and scientific staff), the Human Resources Unit of the Resource Management and the candidates concerned.
The EDPS concludes that on a general basis the procedure complies with the principles established in the data protection regulation. However the EDPS did make number of recommendations mainly as concerns data quality, transfer of data, rights of access and rectification, information of the data subject. The EDPS is also requesting detailed information on security measures adopted.
Opinion of 9 October 2008 on the notification for prior checking regarding the "Management of recruitment files for officials at the JRC (transfers and laureates of open competitions)" (Case 2008-140)
The processing concerns the constitution and management of recruitment files for officials (transfers and laureates of open competitions). The recruitment files collect all the information needed in order to start, process and finalize the recruitment procedure, which, at different stages, involve DG JRC Institutes/Directorates (Management Support Units (MSUs) and scientific staff), the other DGs of the Commission in case of transfers, the Human Resources Unit of the Resource Management Directorate and the candidates concerned.
The EDPS made recommendations in particular relating to data quality (in particular replace the collection of certificates of good conduct by other tools that only demonstrate the prior criminal behaviour by carrying out a case by case analysis of the content of the national extracts of the police register, so as to collect only relevant data in the light of the Staff Regulation requirements), data retention period, data transfer, rights of access and rectification (have access to their file, including the assessment notes concerning them drafted by the panel members) and information to data subjects (in particular mention of medical services and security services as recipients).
Opinion of 9 October 2008 on a notification for prior checking on the selection, recruitment and management of grantholders at the Joint Research Centre (JRC) (Case 2008-138)
The Joint Research Centre (JRC) of the European Commission offers grants for doctoral researchers (cat. 20), post-doctoral researchers (cat.30) and senior scientists (cat. 40). The recruitment procedure starts with the publication of a open call on the JRC corporate website. Then, the candidates make a request for a grant by filling in an application form. Applications are collected and evaluated. A contract is signed with the successful candidates.
The EDPS has issued an opinion relating to the processing of personal data in the selection, recruitment and management procedures of grantholders at the Joint Research Centre. The EDPS concludes that on a general basis the procedure complies with the principles established in the data protection regulation. However the EDPS did make number of recommendations mainly as concerns the collection of excessive data, transfer of data, access to evaluation data, information of the data subject as well as the security measures.