Vorabkontrolle

Manche Verfahren, die EU-Institutionen eingeführt haben, bringen Risiken für das Recht auf Datenschutz und die Grundfreiheiten des Einzelnen mit sich.

Der frühere Rechtsrahmen (Verordnung (EG) Nr. 45/2001) verpflichtete die EU-Institutionen, uns eine Meldung zu machen, bevor sie risikobehaftete Datenverarbeitungsverfahren einführten.

Im Allgemeinen waren unsere Stellungnahmen zu Vorabkontrollen öffentlich.

Die Verordnung (EU) 2018/1725 stützt sich auf die frühere Verordnung und entspricht der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO), die für die meisten Organisationen gilt, die personenbezogene Daten in den Mitgliedstaaten verarbeiten. Im Vergleich zu den früheren Vorschriften werden durch die Verordnung (EU) 2018/1725 die Dokumentationspflichten stärker an den Risiken ausgerichtet, die die Verarbeitung personenbezogener Daten mit sich bringen. Dies bedeutet beispielsweise, dass die Dokumentationsanforderungen für das Abonnieren eines Newsletters von EU-Institutionen niedriger sind als etwa für ein intelligentes Videoüberwachungssystem, das öffentlich zugänglichen Raum überwacht, oder für eine Datenbank, die Profile von Reisenden zu Kontrollzwecken erstellt.

Je nach Verfahren müssen die EU-Institutionen bei der Verarbeitung von personenbezogenen Daten (als „Verantwortliche“) nicht unbedingt alle nachstehend aufgeführten Schritte durchlaufen (diese Schritte sind im Leitfaden „Rechenschaftspflicht vor Ort“ beschrieben):

- Erstellung der grundlegenden Dokumentation („Verzeichnis“) aller Verarbeitungsvorgänge;
- Prüfung der Wahrscheinlichkeit, dass der Vorgang ein hohes Risiko für die Personen darstellt, deren Daten verarbeitet werden, und Konsultation des DSB, wenn dies der Fall zu sein scheint;
- Muss die EU-Institution eine Datenschutz-Folgenabschätzung durchführen, so sind dabei diese Risiken eingehender zu untersuchen und spezifische Garantien/Kontrollen zu ihrer Bewältigung zu entwickeln;
- Deuten die Ergebnisse der Datenschutz-Folgenabschätzung auf hohe Restrisiken für den Datenschutz hin, muss die EU-Institution beim EDSB eine vorherige Konsultation beantragen (siehe Artikel 40 bzw. Artikel 90 der Verordnung (EU) 2018/1725 für verwaltungstechnische und operative personenbezogene Daten).

Artikel 39 der Verordnung 2016/794 über Europol sieht für neue Arten von Verarbeitungsvorgängen in Bezug auf operative Daten – Daten, die von Europol zur Unterstützung der Mitgliedstaaten bei der Verhütung und Bekämpfung von schwerer Kriminalität und Terrorismus verarbeitet werden – eine vorherige Ad-hoc-Konsultation vor. Entsprechend sieht Artikel 72 der Verordnung 2017/1939 über die Europäische Staatsanwaltschaft (EuStA) einen besonderen Mechanismus zur vorherigen Konsultation für die Verarbeitung von operativen Daten vor, nämlich von Daten, die im Zusammenhang mit strafrechtlichen Ermittlungen und Strafverfolgungsmaßnahmen der EuStA verarbeitet werden. Die Verordnung 2018/1725, einschließlich des Standardmechanismus für die vorherige Konsultation, ist für die Verarbeitung von verwaltungstechnischen Daten durch Europol und die EuStA anwendbar, wozu beispielsweise auch Daten über Mitarbeiter und Besucher gehören.

Wenn eine EU-Institution unsicher ist, ob sie uns eine Verarbeitung zwecks vorheriger Konsultation melden muss, kann ihr DSB uns in dieser Frage konsultieren.

Wie auch bei den früheren Stellungnahmen zur Vorabkontrolle sind die Stellungnahmen im Allgemeinen öffentlich. Allerdings können wir sensible Elemente erforderlichenfalls, wie etwa im Zusammenhang mit Sicherheitsaspekten, löschen. Einige Stellungnahmen, die naturgemäß sensibel sind, insbesondere im Bereich Polizei und Justiz, werden gegebenenfalls nicht veröffentlicht. Aus Gründen der Transparenz enthält unser Jahresbericht eine Zusammenfassung dieser Stellungnahmen.

Filters

Filter by Publication Year

Filter by Topics/Tags

Filter by Institution

Dec

2007

Opinions Prior Check and Prior Consultations

Social counsellor - European Central Bank

Opinion of 6 December 2007 on a notification for prior checking regarding the data processed by the Social Counsellor (Case 2007-489)

The Social Counsellor is an external consultant who offers professional counselling services aiming at resolution of work-related problems at the ECB (including private problems having impact on the work situation).

The data processed within these activities consist of information provided by the persons seeking assistance of the Social Counsellors (during a bilateral meeting, in the emails exchanged), as well as the Counsellor's own minutes. The Counsellor is bound by strict statutory and contractual confidentiality obligations with respect to the personal data processed.

The EDPS recommendations provided in this opinion aim to ensure the full compliance with the Regulation 45/2001, in particular, as regards the information to be provided to the data subjects, the scope of the right of rectification, the data protection principles to be observed, as well as the security of the processing.

Verfügbare Sprachen: Englisch, Französisch

Topics

Privacy in the EU Institutions

Working Conditions

Dec

2007

Opinions Prior Check and Prior Consultations

Dossiers sociaux - CESE et CdR

Avis du 6 décembre 2007 sur la notification d'un contrôle préalable à propos du dossier "Dossiers sociaux" (Dossier 2007-355)

Le traitement intitulé "dossiers sociaux" par le CESE et le CdR" concerne l'aide, le soutien et l'accompagnement du personnel du CESE et du CdR en difficulté. Cela se fait avec leur accord et parfois en étroite collaboration avec le service médical en vue de faire progresser une situation. Le cas échéant, cela conduit à leur orientation vers les ressources adéquates internes ou externes aux institutions européennes avec l'accord du demandeur dans la mesure du possible.

D'après la procédure, aucun formulaire type à remplir n'existe. Dans le cadre du traitement des différentes catégories de données sont collectées, notamment des données administratives, médicales, professionnelles, financières, juridiques et familiales ainsi que toutes les pièces justificatives nécessaires destinées à argumenter toute demande d'aide soumise à l'AIPN. L'assistant social examine la situation en collectant les données nécessaires et sur cette base propose une aide appropriée. Dans le cadre d'une demande d'intervention de l'organe concerné un rapport social est rédigé et il est soumis à l'AIPN de l'organe concerné afin qu'une décision soit prise.

Dans le cas des aides complémentaires aux handicapés ou des remboursements des frais dans le cas des gardes d'enfants malades, des données relatives à la santé sont traitées. En outre, afin de pouvoir accorder le droit à une aide sociale, un certain nombre d'aspects de la personnalité de la personne concernée est évalué, à savoir des données relatives à son état financier, familial, professionnel et social. C'est pourquoi, ce traitement entre dans le champ d'application de la procédure de contrôle préalable sur la base des articles 27.2.a) et 27.2.b) du règlement 45/2001 respectivement.

Dans le cadre de ses recommandations, le CEPD a notamment souligné qu'à titre de règle générale, le droit d'accès et de rectification soit accordé à la personne concernée au regard de son dossier ainsi que des notes personnelles de l'assistant social, sauf des exceptions légitimes. Il a été aussi recommandé que le CESE et le CdR mentionnent dans la note d'information qu'il revient au personnel demandeur d'une aide et qu'ils informent les personnes auxquelles il fait référence de leurs propres droits relatifs aux articles 11 et 12. Il revient également au demandeur d'aide de fournir à ces personnes l'information disponible sur le site intranet afin qu'elles soient informées de leurs droits. La note d'information doit aussi faire référence à la possibilité du fait que, dans certains cas, le droit des personnes concernées d'avoir accès à certaines données relatives à leur dossier soit limité à la lumière de l'article 20.1.c du règlement, mais qu'elles seront informées des principales raisons qui motivent cette limitation en conformité avec l'article 20.3 du règlement.

Verfügbare Sprachen: Französisch

Topics

Privatsphäre in den EU-Organen

Arbeitsbedingungen

Dec

2007

Opinions Prior Check and Prior Consultations

Declaration of interests - European Medicines Agency

Opinion of 6 December 2007 on a notification for prior checking on the public declaration of interests (Case 2007-419)

Verfügbare Sprachen: Englisch, Französisch

Topics

Privacy in the EU Institutions

Conflicts of Interest

Dec

2007

Opinions Prior Check and Prior Consultations

Reporting procedure - Comité des Régions

Opinion of 4 December 2007 on the notification for prior checking regarding the "reporting procedure for officials and other servants" (Case 2007-356)

The purpose of the performance report (procedure provided for in Article 43 of the Staff Regulations) is to enable the assessor to review, inter alia, the reportee's knowledge and ability, output, efficiency, work and conduct in the service. The Committee of the Regions introduced a staff reporting procedure via Decision No 287/04.

The report is prepared in several stages and the reportee is kept informed throughout the procedure. A specific privacy statement is also made available.

The EDPS's recommendations relate to length of the period during which data are stored in the personal file, the obligations of data recipients, the provision of full information for reportees, the exercise of their rights and the implementation of the security measures relating to the data.

Verfügbare Sprachen: Englisch, Französisch

Topics

Privacy in the EU Institutions

Staff Evaluation

Nov

2007

Opinions Prior Check and Prior Consultations

Strikes and equivalent action - Council

Opinion of 29 November 2007 concerning administrative management in the event of strikes and equivalent action: deductions from salaries and requisitions (Case 2004-249)
Arrangements concerning the right to strike at the Council are governed by a Staff Note (43/203) dated 2 April 2003 on measures to be applied in the event of strikes and equivalent action and by a record of agreement following consultation dated 24 May 2004. The purpose of the data processing operation is to establish a reliable list of strike participants in order to apply a salary deduction to them and to ensure the requisition of the staff necessary for the operation of certain essential services.
The main recommendations made by the EDPS in the context of his opinion on the procedure for the management of data relating to participation in strikes concern the provision of information to data recipients on the occasion of transfers and to data subjects.

Verfügbare Sprachen: Englisch, Französisch

Topics

Privacy in the EU Institutions

Working Conditions

Access to documents
Administrative and Human Resources
Artikel 7 - Recht auf Achtung des Privat- und Familienlebens
Bindende unternehmensinterne Regeln
Biometrie
Geldwäsche
Intelligente Transportsysteme
Case Management System
EMRK
EuGH
Communication
Computerforensik
Europarat
Vorratsdatenspeicherung
COVID-19
Verletzungen des Schutzes personenbezogener Daten
Informationsrecht
EU-Fluggastdatensystem
Europol
Finance
IT am Arbeitsplatz
IT
Tracking
Management of the EDPS
mHealth
PETs
Physical Security
Public Events
Verordnung (EU) 2018/1725
Safe Harbour
Schengener Informationssystem (SIS)
SIS SCG
Staff Committee
Supervision by EDPS
Surveys
Artikel 8 - Recht auf den Schutz personenbezogener Daten
Auskunftsrecht
Blockchain
Verschlüsselung
Standardvertragsklauseln
Klinische Erprobungen
Übereinkommen 108
Zusammenarbeit in Steuersachen
EGMR
Cybersecurity
Disziplinarverfahren und interne Ermittlungen
eCall
Europäisches Strafregisterinformationssystem (ECRIS)
Fluggastdaten (PNR)
OECD
Profiling
Visa-Informationssystem (VIS)
VIS SCG
Angemessenheitsentscheidungen
Betrugsbekämpfung
Cloud Computing
Europäischer Datenschutzausschuss / Artikel-29-Arbeitsgruppe
Cybercrime Convention
Terrorismusbekämpfung
Drohnen
Recht auf Berichtigung
Eurodac
Eurodac SCG
Steuerflucht
Privacy Shield
Mobile Geräte und Apps
Zollinformationssystem (ZIS)
CIS SCG
Datenschutzrahmenabkommen
Recht auf Löschung
Finanzmärkte
Vereinte Nationen
Personalauswahl
Binnenmarktinformationssystem (IMI)
Open Data
Recht auf Einschränkung der Verarbeitung
Personalbeurteilung
IMI SCG
TTIP
Arbeitsbedingungen
Smart Meters
Recht auf Datenübertragbarkeit
Ein-/Ausreisesystem (EES)
Beschaffungswesen, Fördermittel, Expertenauswahl
Widerspruchtsrecht
Soziale Netzwerke
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Gesundheitsdaten am Arbeitsplatz
Anti-Mobbing-Verfahren
Datenschutzbeauftragter
Interessenkonflikte
Sicherheit und Zugangskontrolle
Netzneutralität
Encryption
Künstliche Intelligenz
Ethik
Robotik
Charta der Grundrechte der Europäischen Union
Datenschutz-Grundverordnung
Polizeirichtlinie
Datenschutzrichtlinie für elektronische Kommunikation („e-Datenschutz-Richtlinie“)
Verordnung (EG) Nr. 45/2001
Rechte des Einzelnen
Notwendigkeit und Verhältnismäßigkeit
Datenschutz durch Technikgestaltung
Interoperabilität
Datenschutz durch datenschutzfreundliche Voreinstellungen
Rechenschaftspflicht
Internationale Abkommen
Internationale Standards
Koordinierung der Aufsicht und IT-Großsysteme
Rechtsprechung und Streitsachen
Datenübermittlungen
Koordinierung der Aufsicht
IT-Großsysteme
Informationssicherheit
Big Data und Digital Clearinghouse
Internet der Dinge
Personal Information Management-System
IPEN (Internet Privacy Engineering Network)
eGovernment
Grenzen, Asyl, Migration
Gemeinsame Außen- und Sicherheitspolitik
Wettbewerb
Verbraucher
Finanzen und Wirtschaft
Gesundheit
Binnenmarkt
Digitaler Binnenmarkt
Justizielle Zusammenarbeit
Polizeiliche Zusammenarbeit
Elektronische Kommunikation, Informationsgesellschaft
Forschung und Wissenschaft
Verkehr
Privatsphäre in den EU-Organen
Transparenz
Meldung von Missständen („Whistleblowing“)
Überwachung
Sicherheit
Technologien

Agency for the Cooperation of Energy Regulators (ACER)
Body of European Regulators for Electronic Communications (BEREC)
Clean Sky Joint Undertaking (CSJU)
Committee of the Regions (CoR)
Community Plant Variety Office (CPVO)
Consumers, Health and Food Executive Agency (CHAFEA)
Council of the European Union
Court of Justice of the European Union (CJEU)
ECSEL Joint Undertaking (ECSEL)
eu-LISA
European Agency for Safety and Health at Work (EU-OSHA)
European Anti-Fraud Office (OLAF)
European Asylum Support Office (EASO)
European Aviation Safety Agency (EASA)
European Banking Authority (EBA)
European Border and Coast Guard Agency (FRONTEX)
European Central Bank (ECB)
European Centre for Desease Prevention and Control (ECDC)
European Centre for the Development of Vocational Training (Cedefop)
European Chemicals Agency (ECHA)
European Climate, Infrastructure and Environment Executive Agency (CINEA)
European Commission
European Court of Auditors (ECA)
European Data Protection Board (EDPB)
European Data Protection Supervisor (EDPS)
European Defence Agency (EDA)
European Economic and Social Committee (EESC)
European Education and Culture Executive Agency (EACEA)
European Environment Agency (EEA)
European External Action Service (EEAS)
European Fisheries Control Agency (EFCA)
European Food Safety Authority (EFSA)
European Foundation for the Improvement of Living and Working Conditions (Eurofound)
European GNSS Agency (GSA)
European Health and Digital Executive Agency (HaDEA)
European Innovation Council and SMEs Executive Agency (EISMEA)
European Institute for Gender Equality (EIGE)
European Institute of Innovation and Technology (EIT)
European Insurance and Occupations Pensions Authority (EIOPA)
European Investment Bank (EIB)
European Investment Fund (EIF)
European Labour Authority (ELA)
European Maritime Safety Agency (EMSA)
European Medicines Agency (EMA)
European Ombudsman (Ombudsman)
European Parliament
European Personnel Selection Office (EPSO)
European Police College (CEPOL)
European Police Office (EUROPOL)
European Public Prosecutor's Office (EPPO)
European Research Council Executive Agency (ERCEA)
European Research Executive Agency (REA)
European Securities and Markets Authority (ESMA)
European Systemic Risk Board (ESRB)
European Training Foundation (ETF)
European Union Agency for Fundamental Rights (FRA)
European Union Agency for Network and Information Security (ENISA)
European Union Agency for Railways (ERA)
European Union Drugs Agency
European Union Institute for Security Studies (EUISS)
European Union Intellectual Property Office (EUIPO)
European Union Satellite Centre (EUSC)
Fuel Cells & Hydrogen Joint Undertaking (FCHJU)
Fusion for Energy (F4E)
Innovative Medicines Initiative Joint Undertaking (IMI JU)
Joint Research Centre (JRC)
Office for Harmonisation in the Internal Market (OHIM)
Other
SESAR Joint Undertaking (SESAR JU)
Single Resolution Board (SRB)
The European Union's Judicial Cooperation Unit (EUROJUST)
Translation Centre for the Bodies of the European Union (CdT)