Manche Verfahren, die EU-Institutionen eingeführt haben, bringen Risiken für das Recht auf Datenschutz und die Grundfreiheiten des Einzelnen mit sich.
Der frühere Rechtsrahmen (Verordnung (EG) Nr. 45/2001) verpflichtete die EU-Institutionen, uns eine Meldung zu machen, bevor sie risikobehaftete Datenverarbeitungsverfahren einführten.
Im Allgemeinen waren unsere Stellungnahmen zu Vorabkontrollen öffentlich.
Die Verordnung (EU) 2018/1725 stützt sich auf die frühere Verordnung und entspricht der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO), die für die meisten Organisationen gilt, die personenbezogene Daten in den Mitgliedstaaten verarbeiten. Im Vergleich zu den früheren Vorschriften werden durch die Verordnung (EU) 2018/1725 die Dokumentationspflichten stärker an den Risiken ausgerichtet, die die Verarbeitung personenbezogener Daten mit sich bringen. Dies bedeutet beispielsweise, dass die Dokumentationsanforderungen für das Abonnieren eines Newsletters von EU-Institutionen niedriger sind als etwa für ein intelligentes Videoüberwachungssystem, das öffentlich zugänglichen Raum überwacht, oder für eine Datenbank, die Profile von Reisenden zu Kontrollzwecken erstellt.
Je nach Verfahren müssen die EU-Institutionen bei der Verarbeitung von personenbezogenen Daten (als „Verantwortliche“) nicht unbedingt alle nachstehend aufgeführten Schritte durchlaufen (diese Schritte sind im Leitfaden „Rechenschaftspflicht vor Ort“ beschrieben):
Artikel 39 der Verordnung 2016/794 über Europol sieht für neue Arten von Verarbeitungsvorgängen in Bezug auf operative Daten – Daten, die von Europol zur Unterstützung der Mitgliedstaaten bei der Verhütung und Bekämpfung von schwerer Kriminalität und Terrorismus verarbeitet werden – eine vorherige Ad-hoc-Konsultation vor. Entsprechend sieht Artikel 72 der Verordnung 2017/1939 über die Europäische Staatsanwaltschaft (EuStA) einen besonderen Mechanismus zur vorherigen Konsultation für die Verarbeitung von operativen Daten vor, nämlich von Daten, die im Zusammenhang mit strafrechtlichen Ermittlungen und Strafverfolgungsmaßnahmen der EuStA verarbeitet werden. Die Verordnung 2018/1725, einschließlich des Standardmechanismus für die vorherige Konsultation, ist für die Verarbeitung von verwaltungstechnischen Daten durch Europol und die EuStA anwendbar, wozu beispielsweise auch Daten über Mitarbeiter und Besucher gehören.
Wenn eine EU-Institution unsicher ist, ob sie uns eine Verarbeitung zwecks vorheriger Konsultation melden muss, kann ihr DSB uns in dieser Frage konsultieren.
Wie auch bei den früheren Stellungnahmen zur Vorabkontrolle sind die Stellungnahmen im Allgemeinen öffentlich. Allerdings können wir sensible Elemente erforderlichenfalls, wie etwa im Zusammenhang mit Sicherheitsaspekten, löschen. Einige Stellungnahmen, die naturgemäß sensibel sind, insbesondere im Bereich Polizei und Justiz, werden gegebenenfalls nicht veröffentlicht. Aus Gründen der Transparenz enthält unser Jahresbericht eine Zusammenfassung dieser Stellungnahmen.
Opinion of 20 November 2007 on a notification for prior checking regarding the recruitment procedure of Seconded national experts (Case 2007-567)
Opinion of 29 November 2007 on the notification for prior checking regarding the "Invalidity procedure - Medical service in Brussels and Luxembourg" case (Case 2007-125)
On the basis of Article 59(4) of the Staff Regulations of Officials of the European Communities, the European Commission has established a procedure to obtain a decision from the Invalidity Committee as to whether a member of staff should be granted invalidity or should resume professional activities. The procedure not only concerns officials, but also temporary and contract staff on all the European Commission's sites (including offices), as well as European agencies via a Service Level Agreement type of arrangement.
Under this procedure, an application to launch an invalidity procedure may be made at the request of the person concerned or of the department in which the person is working, or by the Medical Service. This procedure involves referral to an Invalidity Committee which has a threefold task, namely to establish fitness or unfitness to work, to determine the reason for unfitness to work, and to decide whether follow-up examinations are required and if so, how frequently they should be carried out.
The EDPS' conclusion is that there is no infringement of Regulation (EC) No 45/2001, if account is taken of the various recommendations he has made on matters including the long-term storage of sensitive data; compliance with the rules on the transfer of data to a country not covered by Directive (EC) No 95/46; and the inclusion in the privacy statement of the rules for providing information to data subjects and of a reference to the destruction of medical files after the 30-year storage period.
Avis du 29 novembre 2007 sur la notification d'un contrôle préalable à propos du dossier "Examen ophtalmologique de suivi des personnes travaillant sur écran" (Dossier 2007-303)
Opinion of 29 November 2007 on a notification for prior checking on "Dosimetry data at JRC-IRMM in Geel" (Case 2007-325)
Opinion of 20 November 2007 on a notification for prior checking on "Council Regulation (EC) 1469/95" (Case 2007-215)