Manche Verfahren, die EU-Institutionen eingeführt haben, bringen Risiken für das Recht auf Datenschutz und die Grundfreiheiten des Einzelnen mit sich.
Der frühere Rechtsrahmen (Verordnung (EG) Nr. 45/2001) verpflichtete die EU-Institutionen, uns eine Meldung zu machen, bevor sie risikobehaftete Datenverarbeitungsverfahren einführten.
Im Allgemeinen waren unsere Stellungnahmen zu Vorabkontrollen öffentlich.
Die Verordnung (EU) 2018/1725 stützt sich auf die frühere Verordnung und entspricht der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO), die für die meisten Organisationen gilt, die personenbezogene Daten in den Mitgliedstaaten verarbeiten. Im Vergleich zu den früheren Vorschriften werden durch die Verordnung (EU) 2018/1725 die Dokumentationspflichten stärker an den Risiken ausgerichtet, die die Verarbeitung personenbezogener Daten mit sich bringen. Dies bedeutet beispielsweise, dass die Dokumentationsanforderungen für das Abonnieren eines Newsletters von EU-Institutionen niedriger sind als etwa für ein intelligentes Videoüberwachungssystem, das öffentlich zugänglichen Raum überwacht, oder für eine Datenbank, die Profile von Reisenden zu Kontrollzwecken erstellt.
Je nach Verfahren müssen die EU-Institutionen bei der Verarbeitung von personenbezogenen Daten (als „Verantwortliche“) nicht unbedingt alle nachstehend aufgeführten Schritte durchlaufen (diese Schritte sind im Leitfaden „Rechenschaftspflicht vor Ort“ beschrieben):
Artikel 39 der Verordnung 2016/794 über Europol sieht für neue Arten von Verarbeitungsvorgängen in Bezug auf operative Daten – Daten, die von Europol zur Unterstützung der Mitgliedstaaten bei der Verhütung und Bekämpfung von schwerer Kriminalität und Terrorismus verarbeitet werden – eine vorherige Ad-hoc-Konsultation vor. Entsprechend sieht Artikel 72 der Verordnung 2017/1939 über die Europäische Staatsanwaltschaft (EuStA) einen besonderen Mechanismus zur vorherigen Konsultation für die Verarbeitung von operativen Daten vor, nämlich von Daten, die im Zusammenhang mit strafrechtlichen Ermittlungen und Strafverfolgungsmaßnahmen der EuStA verarbeitet werden. Die Verordnung 2018/1725, einschließlich des Standardmechanismus für die vorherige Konsultation, ist für die Verarbeitung von verwaltungstechnischen Daten durch Europol und die EuStA anwendbar, wozu beispielsweise auch Daten über Mitarbeiter und Besucher gehören.
Wenn eine EU-Institution unsicher ist, ob sie uns eine Verarbeitung zwecks vorheriger Konsultation melden muss, kann ihr DSB uns in dieser Frage konsultieren.
Wie auch bei den früheren Stellungnahmen zur Vorabkontrolle sind die Stellungnahmen im Allgemeinen öffentlich. Allerdings können wir sensible Elemente erforderlichenfalls, wie etwa im Zusammenhang mit Sicherheitsaspekten, löschen. Einige Stellungnahmen, die naturgemäß sensibel sind, insbesondere im Bereich Polizei und Justiz, werden gegebenenfalls nicht veröffentlicht. Aus Gründen der Transparenz enthält unser Jahresbericht eine Zusammenfassung dieser Stellungnahmen.
Opinion of 16 May 2008 on a notification for prior checking on the selection of candidates in order to establish a short-list for the position of European Data Protection Supervisor and the position of Assistant Supervisor (Case 2008-222)
Opinion of 29 April 2008 on a notification for prior checking on the selection procedure of members of the Agency's Scientific Committee (Joint cases 2008-179 and 2008-202)
In accordance with Regulation (EC) 168/2007 establishing the FRA, the Management Board of the Agency shall appoint a Scientific Committee after consultation of the competent Committee at the European Parliament. The FRA has therefore established a selection procedure for the selection of candidates for membership of the Scientific Committee and has submitted it to the EDPS for prior checking during the course of the procedure. Indeed, the shortlist of candidates has been established by the bodies involved in the selection procedure at the FRA (pre-selection panel, Executive Board, and Management Board) and the list of candidates is about to be communicated to the EP LIBE Committee.
The LIBE Committee requests that the Management Board provides the following information to the members of the Committee: a copy of the open call for tender and information on how the call was disseminated; a description of the selection criteria used during the procedure with justification of the selection methodology chosen; the number of applications received, broken down according to a Member State and gender, with information on how many of the applicants were not eligible to apply and a short list of candidates with their applications and CVs.
The LIBE Committee will discuss applications in a LIBE Committee session open to the public. It will then give its opinion about the candidates after receiving the above information by expressing its order of preference in a secret ballot. This opinion will be communicated to the FRA Management Board allowing it to nominate members of the Scientific Committee.
The LIBE Committee intends to make the names of the short listed candidates, their CVs and the results of the vote public based on the consent of the candidates. Non-consent on the part of any of the candidates will lead to the non publication on their data.
The EDPS adopted an opinion on this selection procedure and considered that although it was regrettable that the Notification from the FRA was submitted when the processing was well underway, all recommendations made by the EDPS, should be fully taken into account and the remedies should be put into practice. These recommendations where the following:
- that the FRA clarifies the periods for conservation of personal data; - that the FRA sets up procedures to ensure the right of access to candidates' personal data;
- that the FRA provides information to all the candidates in a privacy notice available on the FRA website and also to short listed candidates before communicating the data to the LIBE Committee;
- that the information on the processing of personal data remains available on the FRA website throughout the procedure in case applicants want to refer back to it;
- that the EP provides certain information on the processing of personal data to candidates when inviting them to attend the hearing before the LIBE Committee.
Opinion of 29 April 2008 on the notification for prior checking regarding the "Selection of confidential counsellors in the framework of the fight against psychological harassment and sexual harassment at the European Commission" (Case 2008-60)
Opinion of 28 March 2008 on the notification for prior checking regarding the case "Authorisations to give evidence in court" (Case 2007-721)
Opinion of 21 April 2008 on a notification for prior checking regarding the "Administration of JRC Ispra childcare facilities (crèche / garderie) (Case 2007-544)
The primary purpose of the processing is to admit children to the JRC Ispra Childcare Facilities, i.e. to the Crèche, the Garderie, the "Special Holidays" Garderie and the Halte-Garderie. The secondary purposes of the processing include the verification of the presence of the children, their medical surveillance, as well as the verification of the identity of persons authorised to collect the children.
The EDPS recommendations provided in this opinion aim to ensure the full compliance of the processing with Regulation 45/2001 and concern, in particular, the storage periods, as well as the information to be provided to the data subjects.