Manche Verfahren, die EU-Institutionen eingeführt haben, bringen Risiken für das Recht auf Datenschutz und die Grundfreiheiten des Einzelnen mit sich.
Der frühere Rechtsrahmen (Verordnung (EG) Nr. 45/2001) verpflichtete die EU-Institutionen, uns eine Meldung zu machen, bevor sie risikobehaftete Datenverarbeitungsverfahren einführten.
Im Allgemeinen waren unsere Stellungnahmen zu Vorabkontrollen öffentlich.
Die Verordnung (EU) 2018/1725 stützt sich auf die frühere Verordnung und entspricht der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO), die für die meisten Organisationen gilt, die personenbezogene Daten in den Mitgliedstaaten verarbeiten. Im Vergleich zu den früheren Vorschriften werden durch die Verordnung (EU) 2018/1725 die Dokumentationspflichten stärker an den Risiken ausgerichtet, die die Verarbeitung personenbezogener Daten mit sich bringen. Dies bedeutet beispielsweise, dass die Dokumentationsanforderungen für das Abonnieren eines Newsletters von EU-Institutionen niedriger sind als etwa für ein intelligentes Videoüberwachungssystem, das öffentlich zugänglichen Raum überwacht, oder für eine Datenbank, die Profile von Reisenden zu Kontrollzwecken erstellt.
Je nach Verfahren müssen die EU-Institutionen bei der Verarbeitung von personenbezogenen Daten (als „Verantwortliche“) nicht unbedingt alle nachstehend aufgeführten Schritte durchlaufen (diese Schritte sind im Leitfaden „Rechenschaftspflicht vor Ort“ beschrieben):
Artikel 39 der Verordnung 2016/794 über Europol sieht für neue Arten von Verarbeitungsvorgängen in Bezug auf operative Daten – Daten, die von Europol zur Unterstützung der Mitgliedstaaten bei der Verhütung und Bekämpfung von schwerer Kriminalität und Terrorismus verarbeitet werden – eine vorherige Ad-hoc-Konsultation vor. Entsprechend sieht Artikel 72 der Verordnung 2017/1939 über die Europäische Staatsanwaltschaft (EuStA) einen besonderen Mechanismus zur vorherigen Konsultation für die Verarbeitung von operativen Daten vor, nämlich von Daten, die im Zusammenhang mit strafrechtlichen Ermittlungen und Strafverfolgungsmaßnahmen der EuStA verarbeitet werden. Die Verordnung 2018/1725, einschließlich des Standardmechanismus für die vorherige Konsultation, ist für die Verarbeitung von verwaltungstechnischen Daten durch Europol und die EuStA anwendbar, wozu beispielsweise auch Daten über Mitarbeiter und Besucher gehören.
Wenn eine EU-Institution unsicher ist, ob sie uns eine Verarbeitung zwecks vorheriger Konsultation melden muss, kann ihr DSB uns in dieser Frage konsultieren.
Wie auch bei den früheren Stellungnahmen zur Vorabkontrolle sind die Stellungnahmen im Allgemeinen öffentlich. Allerdings können wir sensible Elemente erforderlichenfalls, wie etwa im Zusammenhang mit Sicherheitsaspekten, löschen. Einige Stellungnahmen, die naturgemäß sensibel sind, insbesondere im Bereich Polizei und Justiz, werden gegebenenfalls nicht veröffentlicht. Aus Gründen der Transparenz enthält unser Jahresbericht eine Zusammenfassung dieser Stellungnahmen.
Opinion of 14 November 2007 on a notification for prior checking regarding OLAF's selection and recruitment of its temporary agents (Case 2007-6)
Opinion of 12 Novembre 2007 on a notification for prior checking on the evaluation of the members of the linguistic team (Case 2007-475)
The EDPS has issued an opinion on the evaluation of the members of the linguistic team. The EDPS concludes that on a general basis the procedure complies with the principles established in the data protection regulation. However the EDPS did make some recommendations mainly as concerns the information of the persons concerned and the security measures. In particular, the EDPS suggested that the controller must inform the evaluated staff and provide them with the Data Protection Statement at the time of undertaking the evaluation procedure. Concerning the security measures, the EDPS recommended implementing measures to ensure an appropriate level of security in case of transfer of data.
Opinion of 8 November 2007 on a notification for prior checking on processing of personal data by the social services (Case 2007-302)
The EDPS opinion concluded that the processing proposed does not seem to involve any infringement of Regulation (EC) No 45/2001, as long certain recommendations are taken into account and notably that the Court of Auditors assesses the period of conservation of short term assistance; that the Court of Auditors ensures, in compliance with Article 4(1)(e) that the data stored in Excel tables for statistical and record-keeping purposes are kept in an anonymous form or with the identity of the data subject encrypted; and that further information must be provided to data subjects in accordance with Articles 11 and 12.
Opinion of 26 October 2007 on a notification for prior checking regarding national expert's expression of interest (Case 2007-423)
Avis du 24 octobre 2007 sur la notification d'un contrôle préalable à propos du dossier "Procédure de sélection des stagiaires par le Bureau du Médiateur européen" (Dossier 2004-267)