Manche Verfahren, die EU-Institutionen eingeführt haben, bringen Risiken für das Recht auf Datenschutz und die Grundfreiheiten des Einzelnen mit sich.
Der frühere Rechtsrahmen (Verordnung (EG) Nr. 45/2001) verpflichtete die EU-Institutionen, uns eine Meldung zu machen, bevor sie risikobehaftete Datenverarbeitungsverfahren einführten.
Im Allgemeinen waren unsere Stellungnahmen zu Vorabkontrollen öffentlich.
Die Verordnung (EU) 2018/1725 stützt sich auf die frühere Verordnung und entspricht der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO), die für die meisten Organisationen gilt, die personenbezogene Daten in den Mitgliedstaaten verarbeiten. Im Vergleich zu den früheren Vorschriften werden durch die Verordnung (EU) 2018/1725 die Dokumentationspflichten stärker an den Risiken ausgerichtet, die die Verarbeitung personenbezogener Daten mit sich bringen. Dies bedeutet beispielsweise, dass die Dokumentationsanforderungen für das Abonnieren eines Newsletters von EU-Institutionen niedriger sind als etwa für ein intelligentes Videoüberwachungssystem, das öffentlich zugänglichen Raum überwacht, oder für eine Datenbank, die Profile von Reisenden zu Kontrollzwecken erstellt.
Je nach Verfahren müssen die EU-Institutionen bei der Verarbeitung von personenbezogenen Daten (als „Verantwortliche“) nicht unbedingt alle nachstehend aufgeführten Schritte durchlaufen (diese Schritte sind im Leitfaden „Rechenschaftspflicht vor Ort“ beschrieben):
Artikel 39 der Verordnung 2016/794 über Europol sieht für neue Arten von Verarbeitungsvorgängen in Bezug auf operative Daten – Daten, die von Europol zur Unterstützung der Mitgliedstaaten bei der Verhütung und Bekämpfung von schwerer Kriminalität und Terrorismus verarbeitet werden – eine vorherige Ad-hoc-Konsultation vor. Entsprechend sieht Artikel 72 der Verordnung 2017/1939 über die Europäische Staatsanwaltschaft (EuStA) einen besonderen Mechanismus zur vorherigen Konsultation für die Verarbeitung von operativen Daten vor, nämlich von Daten, die im Zusammenhang mit strafrechtlichen Ermittlungen und Strafverfolgungsmaßnahmen der EuStA verarbeitet werden. Die Verordnung 2018/1725, einschließlich des Standardmechanismus für die vorherige Konsultation, ist für die Verarbeitung von verwaltungstechnischen Daten durch Europol und die EuStA anwendbar, wozu beispielsweise auch Daten über Mitarbeiter und Besucher gehören.
Wenn eine EU-Institution unsicher ist, ob sie uns eine Verarbeitung zwecks vorheriger Konsultation melden muss, kann ihr DSB uns in dieser Frage konsultieren.
Wie auch bei den früheren Stellungnahmen zur Vorabkontrolle sind die Stellungnahmen im Allgemeinen öffentlich. Allerdings können wir sensible Elemente erforderlichenfalls, wie etwa im Zusammenhang mit Sicherheitsaspekten, löschen. Einige Stellungnahmen, die naturgemäß sensibel sind, insbesondere im Bereich Polizei und Justiz, werden gegebenenfalls nicht veröffentlicht. Aus Gründen der Transparenz enthält unser Jahresbericht eine Zusammenfassung dieser Stellungnahmen.
Avis du 17 janvier 2008 sur la notification d'un contrôle préalable à propos du dossier "Gestion des dossiers médicaux des enfants fréquentant la Crèche du Secrétariat Général du Conseil (SGC)" (Dossier 2007-491)
Avis du 17 janvier 2008 sur la notification d'un contrôle préalable à propos du dossier "appel d'offre et passation d'un contrat avec un traducteur freelance" (Dossier 2007-327)
Opinion of 11 January 2008 on a notification for prior checking concerning the "Staff evaluation / assessment exercise" (Case 2007-334)
ii) the preparation of a note referring clearly to all elements provided in Articles 11 and 12 of the Regulation and making sure that the data subjects are informed of this note before the exercises of the probationary period assessment and of the staff's annual appraisal begin.
Opinion of 11 January 2008 on a notification for prior checking on the Call center technology (Case 2007-583)
The EDPS recommendations provided in this opinion aim to ensure the full compliance with the Regulation 45/2001, in particular, as regards the storage periods, the scope of the right of access and the requirements for data transfers to service providers established in non-adequate countries.
Opinion of 10 January 2008 on a notification on e-Tendering application covering the Council's public procurement procedures (Case 2007-573)
Some of the recommendations made by the EDPS are the following: It was underlined that a set of predefined data should be kept in the light of the duration of each long term contract awarded in each case. Thus, depending on the duration of the contract, data should be erased immediately after they are no longer in use. Moreover, a precise period for the conservation of registered data should be adopted; it should not be excessive to the purpose for which they will further be processed. In the declaration on "personal data protection", it was pointed out, inter alia, that the obligation of the economic operators to inform their employees or subcontractors about their rights related to Article 11 and 12 of the Regulation should be mentioned. The economic operators should make sure that all relevant information, which will be published on the site of the Council, can be accessible to them. It should also be indicated in the Confidentiality agreement that the experts have a legal obligation to process data in conformity with the principles of data protection as provided in Regulation 45/2001.