Vorabkontrolle

Manche Verfahren, die EU-Institutionen eingeführt haben, bringen Risiken für das Recht auf Datenschutz und die Grundfreiheiten des Einzelnen mit sich.

Der frühere Rechtsrahmen (Verordnung (EG) Nr. 45/2001) verpflichtete die EU-Institutionen, uns eine Meldung zu machen, bevor sie risikobehaftete Datenverarbeitungsverfahren einführten.

Im Allgemeinen waren unsere Stellungnahmen zu Vorabkontrollen öffentlich.

Die Verordnung (EU) 2018/1725 stützt sich auf die frühere Verordnung und entspricht der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO), die für die meisten Organisationen gilt, die personenbezogene Daten in den Mitgliedstaaten verarbeiten. Im Vergleich zu den früheren Vorschriften werden durch die Verordnung (EU) 2018/1725 die Dokumentationspflichten stärker an den Risiken ausgerichtet, die die Verarbeitung personenbezogener Daten mit sich bringen. Dies bedeutet beispielsweise, dass die Dokumentationsanforderungen für das Abonnieren eines Newsletters von EU-Institutionen niedriger sind als etwa für ein intelligentes Videoüberwachungssystem, das öffentlich zugänglichen Raum überwacht, oder für eine Datenbank, die Profile von Reisenden zu Kontrollzwecken erstellt.

Je nach Verfahren müssen die EU-Institutionen bei der Verarbeitung von personenbezogenen Daten (als „Verantwortliche“) nicht unbedingt alle nachstehend aufgeführten Schritte durchlaufen (diese Schritte sind im Leitfaden „Rechenschaftspflicht vor Ort“ beschrieben):

- Erstellung der grundlegenden Dokumentation („Verzeichnis“) aller Verarbeitungsvorgänge;
- Prüfung der Wahrscheinlichkeit, dass der Vorgang ein hohes Risiko für die Personen darstellt, deren Daten verarbeitet werden, und Konsultation des DSB, wenn dies der Fall zu sein scheint;
- Muss die EU-Institution eine Datenschutz-Folgenabschätzung durchführen, so sind dabei diese Risiken eingehender zu untersuchen und spezifische Garantien/Kontrollen zu ihrer Bewältigung zu entwickeln;
- Deuten die Ergebnisse der Datenschutz-Folgenabschätzung auf hohe Restrisiken für den Datenschutz hin, muss die EU-Institution beim EDSB eine vorherige Konsultation beantragen (siehe Artikel 40 bzw. Artikel 90 der Verordnung (EU) 2018/1725 für verwaltungstechnische und operative personenbezogene Daten).

Artikel 39 der Verordnung 2016/794 über Europol sieht für neue Arten von Verarbeitungsvorgängen in Bezug auf operative Daten – Daten, die von Europol zur Unterstützung der Mitgliedstaaten bei der Verhütung und Bekämpfung von schwerer Kriminalität und Terrorismus verarbeitet werden – eine vorherige Ad-hoc-Konsultation vor. Entsprechend sieht Artikel 72 der Verordnung 2017/1939 über die Europäische Staatsanwaltschaft (EuStA) einen besonderen Mechanismus zur vorherigen Konsultation für die Verarbeitung von operativen Daten vor, nämlich von Daten, die im Zusammenhang mit strafrechtlichen Ermittlungen und Strafverfolgungsmaßnahmen der EuStA verarbeitet werden. Die Verordnung 2018/1725, einschließlich des Standardmechanismus für die vorherige Konsultation, ist für die Verarbeitung von verwaltungstechnischen Daten durch Europol und die EuStA anwendbar, wozu beispielsweise auch Daten über Mitarbeiter und Besucher gehören.

Wenn eine EU-Institution unsicher ist, ob sie uns eine Verarbeitung zwecks vorheriger Konsultation melden muss, kann ihr DSB uns in dieser Frage konsultieren.

Wie auch bei den früheren Stellungnahmen zur Vorabkontrolle sind die Stellungnahmen im Allgemeinen öffentlich. Allerdings können wir sensible Elemente erforderlichenfalls, wie etwa im Zusammenhang mit Sicherheitsaspekten, löschen. Einige Stellungnahmen, die naturgemäß sensibel sind, insbesondere im Bereich Polizei und Justiz, werden gegebenenfalls nicht veröffentlicht. Aus Gründen der Transparenz enthält unser Jahresbericht eine Zusammenfassung dieser Stellungnahmen.

Filters

Filter by Publication Year

Filter by Topics/Tags

Filter by Institution

Nov

2007

Opinions Prior Check and Prior Consultations

Intelligence databases - OLAF

Opinion of 21 November 2007 on a notification for prior checking on information and intelligence data pool and intelligence databases (Joint cases 2007-27 and 2007-28)

Information and Intelligence Data Pool” is the description given to all data held within the remit of Operational Intelligence Unit C4 in OLAF, including the Intelligence Databases.

Operational Information and Intelligence support are essential aspects of OLAF’s mandate to fight fraud, corruption, and any other illegal activity affecting the financial interests of the European Community, and serious matters relating to the discharge of professional duties - as established in Article 1 of Regulation (EC) n° 1073/1999 and Commission Decision 1999/352/EC Article 2 (5).

The purpose of the processing under analysis is then to further OLAF intelligence/analysis and operational activity. It also aims to support specific case requests, operations and investigations with a view to ensuring the optimum accuracy and relevance of information received, disseminated and otherwise processed for intelligence, financial, administrative, disciplinary and judicial use. This support may be provided throughout the various stages of OLAF investigation and operational activities, over all sectors and is recorded within the CMS (Case Management System) where applicable.

OLAF’s operational intelligence role also includes supporting the control, intelligence and enforcement activities in Member States, for OLAF partners and Operational DGs. Chapter 2.4.3 of the OLAF Manual further explains the role of OLAF's operational intelligence.

In his prior checking Opinion, the EDPS issued the main following recommendations:

to acknowledge in the intelligence files when any restriction based on Article 20 of the Regulation is operated;
to respect the confidentiality of the identity of whistleblowers during OLAF intelligence activities and in the later stages when appropriate;
to provide the information (Article 12 of the Regulation) to the data subjects whose names appear in the documentation under analysis, but who are not persons concerned, witnesses, whistleblowers or informants, unless such activity would be impossible or would involve a disproportionate effort, in which case the obligation to provide directly the information could only be replaced by the indirect provision through the privacy statement published on the OLAF website. The same principle should be applied when intelligence activities are conducted independently of an investigation;
to supplement the publication on the website with personalised information notices addressed to individuals (unless such activity would be impossible or would involve a disproportionate effort). The EDPS therefore calls upon OLAF to develop practices in providing personalised information to the individuals concerned to the degree it is appropriate in the context of intelligence activities and inform the EDPS about such guidelines.

Verfügbare Sprachen: Englisch

Topics

Privatsphäre in den EU-Organen

Disziplinarverfahren und interne Ermittlungen

Nov

2007

Opinions Prior Check and Prior Consultations

Recruitment of temporary agents - OLAF

Opinion of 14 November 2007 on a notification for prior checking regarding OLAF's selection and recruitment of its temporary agents (Case 2007-6)

Verfügbare Sprachen: Englisch, Französisch

Topics

Privacy in the EU Institutions

Recruitment

Nov

2007

Opinions Prior Check and Prior Consultations

Evaluation of the members of the linguistic team - OHIM

Opinion of 12 Novembre 2007 on a notification for prior checking on the evaluation of the members of the linguistic team (Case 2007-475)

Members of the Linguistic Team of the Office for Harmonisation in the Internal Market (OHIM) are subject to evaluation of their translation or revision work by means of two processing operations of personal data aiming at making, on the one hand, a qualitative assessment, and on the other hand, a quantitative assessment. Those processing operations pursue the same purpose of evaluating both the team's performance and the individuals' work.

The EDPS has issued an opinion on the evaluation of the members of the linguistic team. The EDPS concludes that on a general basis the procedure complies with the principles established in the data protection regulation. However the EDPS did make some recommendations mainly as concerns the information of the persons concerned and the security measures. In particular, the EDPS suggested that the controller must inform the evaluated staff and provide them with the Data Protection Statement at the time of undertaking the evaluation procedure. Concerning the security measures, the EDPS recommended implementing measures to ensure an appropriate level of security in case of transfer of data.

Verfügbare Sprachen: Englisch, Französisch

Topics

Privacy in the EU Institutions

Staff Evaluation

Nov

2007

Opinions Prior Check and Prior Consultations

Processing of personal data by social services - Court of Auditors

Opinion of 8 November 2007 on a notification for prior checking on processing of personal data by the social services (Case 2007-302)

The Social Service of the Court of Auditors is provided by a professionally qualified social worker who is responsible for the provision of social financial assistance and psychosocial support. Types of assistance include home help, assistance for disabled officials or disabled dependents of officials, loans and aid granted on social grounds (special assistance in extreme circumstances). The social worker also offers psychosocial support to officials and their families, retired officials, and the surviving family members of deceased officials. The social worker also provides practical assistance chiefly in the form of information as to the availability of resources and services in specific areas.

As a rule, the relevant data are compiled by the social worker in an interview with the applicant. In certain cases, the applicant is requested to complete certain forms. If need be, medical approval is sought from the Medical Service or from the JSIS's medical officer. A decision, drawn up by the social worker, is submitted to the Appointing Authority (Head of Division, Human Resources) for signature and the beneficiary is informed of the decision.

When the social worker meets with the client, personal and private data are compiled in a personal record, which is only accessible to the social worker. The social worker is bound by professional secrecy and that all conversations will be confidential. The social worker may make personal notes concerning the client's situation as a memory aid and for future reference. Any documentation in the file supplied by the applicant remains the property of the applicant and, on request, may be returned to the persons concerned.

The EDPS opinion concluded that the processing proposed does not seem to involve any infringement of Regulation (EC) No 45/2001, as long certain recommendations are taken into account and notably that the Court of Auditors assesses the period of conservation of short term assistance; that the Court of Auditors ensures, in compliance with Article 4(1)(e) that the data stored in Excel tables for statistical and record-keeping purposes are kept in an anonymous form or with the identity of the data subject encrypted; and that further information must be provided to data subjects in accordance with Articles 11 and 12.

Verfügbare Sprachen: Englisch, Französisch

Topics

Privacy in the EU Institutions

Working Conditions

Oct

2007

Opinions Prior Check and Prior Consultations

National experts - EMEA

Opinion of 26 October 2007 on a notification for prior checking regarding national expert's expression of interest (Case 2007-423)

The European Medicines Agency (EMEA) collects expressions of interest from national experts to be seconded to the institution. The processing in this framework implies operations such as collection, organisation, storage, consultation and distribution of CVs in order to set up a reserve list of potential candidates. A curriculum vitae must be attached to the applications. The applications received are used for selecting suitable candidates.

On the facts, the collection and further processing of personal data of job applicants is carried out in the legitimate exercise of EMEA's activities and authority. An EMEA Executive Director's Decision laying down the rules on the secondment of national experts constitutes the legal basis of the processing operation.

After examination of EMEA's notification EDPS concludes there is no reason to believe that there is a breach of the provisions of Regulation 45/2001. However, EDPS recommends EMEA should:

if candidates include data which are irrelevant and excessive in relation with the purposes of the processing, EMEA has to make sure that they are deleted in the most appropriate way.
publish the Executive Director's Decision on the adoption of implementing rules relating to the protection of individuals with regard to the processing of personal and the free movement of such data of 12 June 2007 on its website,
adopt and publish a specific policy statement concerning this processing operation which should refer to all the provisions of Article 11.

Verfügbare Sprachen: Englisch, Französisch

Topics

Privacy in the EU Institutions

Procurements, Grants, Experts

Access to documents
Administrative and Human Resources
AI Supervision by EDPS
AI Supervision by EDPS
Artikel 7 - Recht auf Achtung des Privat- und Familienlebens
Bindende unternehmensinterne Regeln
Biometrie
Geldwäsche
Intelligente Transportsysteme
Case Management System
EMRK
EuGH
Communication
Computerforensik
Europarat
Vorratsdatenspeicherung
COVID-19
Verletzungen des Schutzes personenbezogener Daten
Informationsrecht
EU-Fluggastdatensystem
Europol
Finance
IT am Arbeitsplatz
IT
Tracking
Management of the EDPS
mHealth
PETs
Physical Security
Public Events
Verordnung (EU) 2018/1725
Safe Harbour
Schengener Informationssystem (SIS)
SIS SCG
Staff Committee
Supervision by EDPS
Surveys
Artikel 8 - Recht auf den Schutz personenbezogener Daten
Auskunftsrecht
Blockchain
Verschlüsselung
Standardvertragsklauseln
Klinische Erprobungen
Übereinkommen 108
Zusammenarbeit in Steuersachen
EGMR
Cybersecurity
Disziplinarverfahren und interne Ermittlungen
eCall
Europäisches Strafregisterinformationssystem (ECRIS)
Fluggastdaten (PNR)
OECD
Profiling
Visa-Informationssystem (VIS)
VIS SCG
Angemessenheitsentscheidungen
Betrugsbekämpfung
Cloud Computing
Europäischer Datenschutzausschuss / Artikel-29-Arbeitsgruppe
Cybercrime Convention
Terrorismusbekämpfung
Drohnen
Recht auf Berichtigung
Eurodac
Eurodac SCG
Steuerflucht
Privacy Shield
Mobile Geräte und Apps
Zollinformationssystem (ZIS)
CIS SCG
Datenschutzrahmenabkommen
Recht auf Löschung
Finanzmärkte
Vereinte Nationen
Personalauswahl
Binnenmarktinformationssystem (IMI)
Open Data
Recht auf Einschränkung der Verarbeitung
Personalbeurteilung
IMI SCG
TTIP
Arbeitsbedingungen
Smart Meters
Recht auf Datenübertragbarkeit
Ein-/Ausreisesystem (EES)
Beschaffungswesen, Fördermittel, Expertenauswahl
Widerspruchtsrecht
Soziale Netzwerke
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Gesundheitsdaten am Arbeitsplatz
Anti-Mobbing-Verfahren
Datenschutzbeauftragter
Interessenkonflikte
Sicherheit und Zugangskontrolle
Netzneutralität
Encryption
Künstliche Intelligenz
Ethik
Robotik
Charta der Grundrechte der Europäischen Union
Datenschutz-Grundverordnung
Polizeirichtlinie
Datenschutzrichtlinie für elektronische Kommunikation („e-Datenschutz-Richtlinie“)
Verordnung (EG) Nr. 45/2001
Rechte des Einzelnen
Notwendigkeit und Verhältnismäßigkeit
Datenschutz durch Technikgestaltung
Interoperabilität
Datenschutz durch datenschutzfreundliche Voreinstellungen
Rechenschaftspflicht
Internationale Abkommen
Internationale Standards
Koordinierung der Aufsicht und IT-Großsysteme
Rechtsprechung und Streitsachen
Datenübermittlungen
Koordinierung der Aufsicht
IT-Großsysteme
Informationssicherheit
Digital Clearinghouse 2.0
Internet der Dinge
Personal Information Management-System
IPEN (Internet Privacy Engineering Network)
eGovernment
Grenzen, Asyl, Migration
Gemeinsame Außen- und Sicherheitspolitik
Wettbewerb
Verbraucher
Finanzen und Wirtschaft
Gesundheit
Binnenmarkt
Digitaler Binnenmarkt
Justizielle Zusammenarbeit
Polizeiliche Zusammenarbeit
Elektronische Kommunikation, Informationsgesellschaft
Forschung und Wissenschaft
Verkehr
Privatsphäre in den EU-Organen
Transparenz
Meldung von Missständen („Whistleblowing“)
Überwachung
Sicherheit
Technologien

Agency for the Cooperation of Energy Regulators (ACER)
Body of European Regulators for Electronic Communications (BEREC)
Clean Sky Joint Undertaking (CSJU)
Committee of the Regions (CoR)
Community Plant Variety Office (CPVO)
Consumers, Health and Food Executive Agency (CHAFEA)
Council of the European Union
Court of Justice of the European Union (CJEU)
ECSEL Joint Undertaking (ECSEL)
eu-LISA
European Agency for Safety and Health at Work (EU-OSHA)
European Anti-Fraud Office (OLAF)
European Asylum Support Office (EASO)
European Aviation Safety Agency (EASA)
European Banking Authority (EBA)
European Border and Coast Guard Agency (FRONTEX)
European Central Bank (ECB)
European Centre for Desease Prevention and Control (ECDC)
European Centre for the Development of Vocational Training (Cedefop)
European Chemicals Agency (ECHA)
European Climate, Infrastructure and Environment Executive Agency (CINEA)
European Commission
European Court of Auditors (ECA)
European Data Protection Board (EDPB)
European Data Protection Supervisor (EDPS)
European Defence Agency (EDA)
European Economic and Social Committee (EESC)
European Education and Culture Executive Agency (EACEA)
European Environment Agency (EEA)
European External Action Service (EEAS)
European Fisheries Control Agency (EFCA)
European Food Safety Authority (EFSA)
European Foundation for the Improvement of Living and Working Conditions (Eurofound)
European GNSS Agency (GSA)
European Health and Digital Executive Agency (HaDEA)
European Innovation Council and SMEs Executive Agency (EISMEA)
European Institute for Gender Equality (EIGE)
European Institute of Innovation and Technology (EIT)
European Insurance and Occupations Pensions Authority (EIOPA)
European Investment Bank (EIB)
European Investment Fund (EIF)
European Labour Authority (ELA)
European Maritime Safety Agency (EMSA)
European Medicines Agency (EMA)
European Ombudsman (Ombudsman)
European Parliament
European Personnel Selection Office (EPSO)
European Police College (CEPOL)
European Police Office (EUROPOL)
European Public Prosecutor's Office (EPPO)
European Research Council Executive Agency (ERCEA)
European Research Executive Agency (REA)
European Securities and Markets Authority (ESMA)
European Systemic Risk Board (ESRB)
European Training Foundation (ETF)
European Union Agency for Fundamental Rights (FRA)
European Union Agency for Network and Information Security (ENISA)
European Union Agency for Railways (ERA)
European Union Drugs Agency
European Union Institute for Security Studies (EUISS)
European Union Intellectual Property Office (EUIPO)
European Union Satellite Centre (EUSC)
Fuel Cells & Hydrogen Joint Undertaking (FCHJU)
Fusion for Energy (F4E)
Innovative Medicines Initiative Joint Undertaking (IMI JU)
Joint Research Centre (JRC)
Office for Harmonisation in the Internal Market (OHIM)
Other
SESAR Joint Undertaking (SESAR JU)
Single Resolution Board (SRB)
The European Union's Judicial Cooperation Unit (EUROJUST)
Translation Centre for the Bodies of the European Union (CdT)