Vorabkontrolle

Manche Verfahren, die EU-Institutionen eingeführt haben, bringen Risiken für das Recht auf Datenschutz und die Grundfreiheiten des Einzelnen mit sich.

Der frühere Rechtsrahmen (Verordnung (EG) Nr. 45/2001) verpflichtete die EU-Institutionen, uns eine Meldung zu machen, bevor sie risikobehaftete Datenverarbeitungsverfahren einführten.

Im Allgemeinen waren unsere Stellungnahmen zu Vorabkontrollen öffentlich.

Die Verordnung (EU) 2018/1725 stützt sich auf die frühere Verordnung und entspricht der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO), die für die meisten Organisationen gilt, die personenbezogene Daten in den Mitgliedstaaten verarbeiten. Im Vergleich zu den früheren Vorschriften werden durch die Verordnung (EU) 2018/1725 die Dokumentationspflichten stärker an den Risiken ausgerichtet, die die Verarbeitung personenbezogener Daten mit sich bringen. Dies bedeutet beispielsweise, dass die Dokumentationsanforderungen für das Abonnieren eines Newsletters von EU-Institutionen niedriger sind als etwa für ein intelligentes Videoüberwachungssystem, das öffentlich zugänglichen Raum überwacht, oder für eine Datenbank, die Profile von Reisenden zu Kontrollzwecken erstellt.

Je nach Verfahren müssen die EU-Institutionen bei der Verarbeitung von personenbezogenen Daten (als „Verantwortliche“) nicht unbedingt alle nachstehend aufgeführten Schritte durchlaufen (diese Schritte sind im Leitfaden „Rechenschaftspflicht vor Ort“ beschrieben):

- Erstellung der grundlegenden Dokumentation („Verzeichnis“) aller Verarbeitungsvorgänge;
- Prüfung der Wahrscheinlichkeit, dass der Vorgang ein hohes Risiko für die Personen darstellt, deren Daten verarbeitet werden, und Konsultation des DSB, wenn dies der Fall zu sein scheint;
- Muss die EU-Institution eine Datenschutz-Folgenabschätzung durchführen, so sind dabei diese Risiken eingehender zu untersuchen und spezifische Garantien/Kontrollen zu ihrer Bewältigung zu entwickeln;
- Deuten die Ergebnisse der Datenschutz-Folgenabschätzung auf hohe Restrisiken für den Datenschutz hin, muss die EU-Institution beim EDSB eine vorherige Konsultation beantragen (siehe Artikel 40 bzw. Artikel 90 der Verordnung (EU) 2018/1725 für verwaltungstechnische und operative personenbezogene Daten).

Artikel 39 der Verordnung 2016/794 über Europol sieht für neue Arten von Verarbeitungsvorgängen in Bezug auf operative Daten – Daten, die von Europol zur Unterstützung der Mitgliedstaaten bei der Verhütung und Bekämpfung von schwerer Kriminalität und Terrorismus verarbeitet werden – eine vorherige Ad-hoc-Konsultation vor. Entsprechend sieht Artikel 72 der Verordnung 2017/1939 über die Europäische Staatsanwaltschaft (EuStA) einen besonderen Mechanismus zur vorherigen Konsultation für die Verarbeitung von operativen Daten vor, nämlich von Daten, die im Zusammenhang mit strafrechtlichen Ermittlungen und Strafverfolgungsmaßnahmen der EuStA verarbeitet werden. Die Verordnung 2018/1725, einschließlich des Standardmechanismus für die vorherige Konsultation, ist für die Verarbeitung von verwaltungstechnischen Daten durch Europol und die EuStA anwendbar, wozu beispielsweise auch Daten über Mitarbeiter und Besucher gehören.

Wenn eine EU-Institution unsicher ist, ob sie uns eine Verarbeitung zwecks vorheriger Konsultation melden muss, kann ihr DSB uns in dieser Frage konsultieren.

Wie auch bei den früheren Stellungnahmen zur Vorabkontrolle sind die Stellungnahmen im Allgemeinen öffentlich. Allerdings können wir sensible Elemente erforderlichenfalls, wie etwa im Zusammenhang mit Sicherheitsaspekten, löschen. Einige Stellungnahmen, die naturgemäß sensibel sind, insbesondere im Bereich Polizei und Justiz, werden gegebenenfalls nicht veröffentlicht. Aus Gründen der Transparenz enthält unser Jahresbericht eine Zusammenfassung dieser Stellungnahmen.

Filters

Filter by Publication Year

Filter by Topics/Tags

Filter by Institution

Jul

2007

Opinions Prior Check and Prior Consultations

Investigative function - OLAF

Opinion of 19 July 2007 on a notification for prior checking on regular monitoring of the implementation of the investigative function (Case 2007-73)

Verfügbare Sprachen: Englisch

Topics

Privatsphäre in den EU-Organen

Disziplinarverfahren und interne Ermittlungen

Jul

2007

Opinions Prior Check and Prior Consultations

Silent monitoring - OHIM

Opinion of 18 July 2007 on a notification for prior checking on silent monitoring (Case 2007-128)

The processing operations consist in the selective monitoring of incoming phone calls processed by the Information Centre Sector. Incoming phone calls are firstly caught by the Switchboard of OHIM. Depending on the subject of the call, the Switchboard puts the call through either to a specific person in OHIM or to the Information Centre, which is competent to address general issues or further put the call through to a specific person in OHIM.

During a “Silent Monitoring” exercise, incoming callers are firstly asked for their prior consent to participate in the monitoring exercise. Upon their consent, a third party, namely the responsible person in the Information Centre Sector, is silently listening to the conversation. While a call is monitored, a background signal is continuously emitted so that both the caller and the Switchboard or Information Centre are aware that the call is monitored by a third person. The call is not further monitored when it is put through to a specific person in OHIM.

Therefore, the purposes of the processing operations referred to in the present notification for prior check, are to assess the quality of the service provided by the Switchboard and by the Information Centre as follows:

Switchboard: Quality control and improvement of services in compliance with the Service Level Agreement concluded with the external provider (contractor).
Information Centre: Quality control, improvement of services, staff appraisal.

The EDPS has issued an opinion on this procedure which concludes that on a general basis the procedure complies with the principles established in the data protection regulation. However, the EDPS did make some recommendations mainly as concerns avoidance of the use of Article 5(c) of the Regulation as the basis for lawfulness regarding the processing operation conducted vis-à-vis the Switchboard. On the contrary, Article 5(a) of the Regulation has to be used in this regard. Furthermore, a method to guarantee the accuracy of the data should be found. This could be done either by recording the monitored calls or by sharing with the data subject the results of the monitoring in an immediate manner (e.g. after each day of the monitoring exercise), in such a way that the results are documented and discussed as soon as possible after the listening.

Verfügbare Sprachen: Englisch

Topics

Privatsphäre in den EU-Organen

IT am Arbeitsplatz

Jul

2007

Opinions Prior Check and Prior Consultations

Early Warning System EWS - Parliament

Opinion of 16 July 2007 on the notification for prior checking regarding the "Early Warning System (EWS)" dossier (Case 2007-147)

The Early Warning System (EWS) mainly circulates confidential information on third parties (natural or legal persons) among the various departments of the Parliament. That information concerns beneficiaries of Community funds who have committed fraud, administrative errors or irregularities and also beneficiaries that threaten the financial interests of the European Community. The information may also concern natural persons with powers of representation, action or supervision over legal persons.

The EWS was the subject of a very detailed Commission Decision. Some of the institutions have done no more than exchange information using the Commission's EWS database. The European Parliament's services, though, decided to draw on the Commission's Decision in creating a system of their own, which is currently being set up. Some warnings established by the Commission are simply provided for by the Parliament. The EDPS has already issued a number of opinions concerning the EWS: on the Commission's EWS, an opinion on the proposed revision of the FR and its implementing rules, and finally an opinion on the use of the Commission's EWS database by the Court of Justice.

The main recommendations made by the EDPS in his opinion on the Parliament's EWS concern data quality, the setting up of personal files for all persons with whom the Parliament has contractual relationships, so that data on them can be kept up to date, rights of access and rectification, and informing the data subjects.

Verfügbare Sprachen: Englisch, Französisch

Topics

Privacy in the EU Institutions

Jul

2007

Opinions Prior Check and Prior Consultations

Monitoring cases - OLAF

Opinion of 11 July 2007 on a notification for prior checking on monitoring cases (Case 2006-548)

OLAF engages in processing of personal data when it opens a Monitoring case. These are cases where OLAF would be competent to conduct an external investigation, but where a Member State or other authority is in a better position to do so. OLAF main action in such cases consists in monitoring the activities of the national authorities or EU institutions that are responsible for a case in order to ensure that the appropriate judicial or administrative actions are taken to protect the Community's financial interests. The type of personal information processed by OLAF in these cases includes identification, professional data and information concerning activities related to matters which are the subject of monitoring.

The EDPS has issued an opinion on the processing of personal data in the context of OLAF's Monitoring cases. The Opinion concludes that on a general basis the data processing complies with the principles established in the data protection Regulation. However the EDPS did make some recommendations. Among others, the EDPS asked OLAF to ensure that individuals whose data are processed by OLAF are informed of the data processing that takes place in the context of Monitoring cases. It also suggested some amendments to the privacy statement and asked OLAF to conduct a preliminary evaluation of the necessity of the 20 years conservation period vis-à-vis the purpose of such conservation.

Verfügbare Sprachen: Englisch, Französisch

Topics

Privacy in the EU Institutions

Investigations

Jul

2007

Opinions Prior Check and Prior Consultations

Sickness insurance scheme

Opinion of 10 July 2007 on a notification for prior checking related to management of the sickness insurance scheme (Case 2004-238)

PMO.3 is responsible, among others, for the management of the Sickness Insurance Scheme for officials, temporary agents and retired staff of EU (EU staff members). This Scheme was established pursuant to Article 72 of the Staff Regulations. In the context of the management of the scheme, PMO 3 must process personal data of EU staff members, including information related to the insured parties' health (prescriptions from doctors, statement fees related to the purchase of pharmaceutical products, medical reports, etc).

The EDPS has issued an opinion on the management of the scheme which concludes that on a general basis the scheme complies with the principles established in the data protection regulation. However the EDPS did make some recommendations mainly as concerns raising awareness among non-medical PMO.3 staff regarding medical secrecy, the need to reassess the conservation period for data related to medical conditions and suggested some changes in the privacy policy. The EDPS further suggested limiting the transfer of information to the Management of Committee in the context of the appeals ex Article 90 of the Staff Regulations. In particular, the EDPS recommended removing identification information as it is unnecessary in order for the Committee to provide its reports.

Verfügbare Sprachen: Englisch, Französisch

Topics

Privacy in the EU Institutions

Health Data in the Workplace

Access to documents
Administrative and Human Resources
Artikel 7 - Recht auf Achtung des Privat- und Familienlebens
Bindende unternehmensinterne Regeln
Biometrie
Geldwäsche
Intelligente Transportsysteme
Case Management System
EMRK
EuGH
Communication
Computerforensik
Europarat
Vorratsdatenspeicherung
COVID-19
Verletzungen des Schutzes personenbezogener Daten
Informationsrecht
EU-Fluggastdatensystem
Europol
Finance
IT am Arbeitsplatz
IT
Tracking
Management of the EDPS
mHealth
PETs
Physical Security
Public Events
Verordnung (EU) 2018/1725
Safe Harbour
Schengener Informationssystem (SIS)
SIS SCG
Staff Committee
Supervision by EDPS
Surveys
Artikel 8 - Recht auf den Schutz personenbezogener Daten
Auskunftsrecht
Blockchain
Verschlüsselung
Standardvertragsklauseln
Klinische Erprobungen
Übereinkommen 108
Zusammenarbeit in Steuersachen
EGMR
Cybersecurity
Disziplinarverfahren und interne Ermittlungen
eCall
Europäisches Strafregisterinformationssystem (ECRIS)
Fluggastdaten (PNR)
OECD
Profiling
Visa-Informationssystem (VIS)
VIS SCG
Angemessenheitsentscheidungen
Betrugsbekämpfung
Cloud Computing
Europäischer Datenschutzausschuss / Artikel-29-Arbeitsgruppe
Cybercrime Convention
Terrorismusbekämpfung
Drohnen
Recht auf Berichtigung
Eurodac
Eurodac SCG
Steuerflucht
Privacy Shield
Mobile Geräte und Apps
Zollinformationssystem (ZIS)
CIS SCG
Datenschutzrahmenabkommen
Recht auf Löschung
Finanzmärkte
Vereinte Nationen
Personalauswahl
Binnenmarktinformationssystem (IMI)
Open Data
Recht auf Einschränkung der Verarbeitung
Personalbeurteilung
IMI SCG
TTIP
Arbeitsbedingungen
Smart Meters
Recht auf Datenübertragbarkeit
Ein-/Ausreisesystem (EES)
Beschaffungswesen, Fördermittel, Expertenauswahl
Widerspruchtsrecht
Soziale Netzwerke
Automatisierte Entscheidungen im Einzelfall einschließlich Profiling
Gesundheitsdaten am Arbeitsplatz
Anti-Mobbing-Verfahren
Datenschutzbeauftragter
Interessenkonflikte
Sicherheit und Zugangskontrolle
Netzneutralität
Encryption
Künstliche Intelligenz
Ethik
Robotik
Charta der Grundrechte der Europäischen Union
Datenschutz-Grundverordnung
Polizeirichtlinie
Datenschutzrichtlinie für elektronische Kommunikation („e-Datenschutz-Richtlinie“)
Verordnung (EG) Nr. 45/2001
Rechte des Einzelnen
Notwendigkeit und Verhältnismäßigkeit
Datenschutz durch Technikgestaltung
Interoperabilität
Datenschutz durch datenschutzfreundliche Voreinstellungen
Rechenschaftspflicht
Internationale Abkommen
Internationale Standards
Koordinierung der Aufsicht und IT-Großsysteme
Rechtsprechung und Streitsachen
Datenübermittlungen
Koordinierung der Aufsicht
IT-Großsysteme
Informationssicherheit
Big Data und Digital Clearinghouse
Internet der Dinge
Personal Information Management-System
IPEN (Internet Privacy Engineering Network)
eGovernment
Grenzen, Asyl, Migration
Gemeinsame Außen- und Sicherheitspolitik
Wettbewerb
Verbraucher
Finanzen und Wirtschaft
Gesundheit
Binnenmarkt
Digitaler Binnenmarkt
Justizielle Zusammenarbeit
Polizeiliche Zusammenarbeit
Elektronische Kommunikation, Informationsgesellschaft
Forschung und Wissenschaft
Verkehr
Privatsphäre in den EU-Organen
Transparenz
Meldung von Missständen („Whistleblowing“)
Überwachung
Sicherheit
Technologien

Agency for the Cooperation of Energy Regulators (ACER)
Body of European Regulators for Electronic Communications (BEREC)
Clean Sky Joint Undertaking (CSJU)
Committee of the Regions (CoR)
Community Plant Variety Office (CPVO)
Consumers, Health and Food Executive Agency (CHAFEA)
Council of the European Union
Court of Justice of the European Union (CJEU)
ECSEL Joint Undertaking (ECSEL)
eu-LISA
European Agency for Safety and Health at Work (EU-OSHA)
European Anti-Fraud Office (OLAF)
European Asylum Support Office (EASO)
European Aviation Safety Agency (EASA)
European Banking Authority (EBA)
European Border and Coast Guard Agency (FRONTEX)
European Central Bank (ECB)
European Centre for Desease Prevention and Control (ECDC)
European Centre for the Development of Vocational Training (Cedefop)
European Chemicals Agency (ECHA)
European Climate, Infrastructure and Environment Executive Agency (CINEA)
European Commission
European Court of Auditors (ECA)
European Data Protection Board (EDPB)
European Data Protection Supervisor (EDPS)
European Defence Agency (EDA)
European Economic and Social Committee (EESC)
European Education and Culture Executive Agency (EACEA)
European Environment Agency (EEA)
European External Action Service (EEAS)
European Fisheries Control Agency (EFCA)
European Food Safety Authority (EFSA)
European Foundation for the Improvement of Living and Working Conditions (Eurofound)
European GNSS Agency (GSA)
European Health and Digital Executive Agency (HaDEA)
European Innovation Council and SMEs Executive Agency (EISMEA)
European Institute for Gender Equality (EIGE)
European Institute of Innovation and Technology (EIT)
European Insurance and Occupations Pensions Authority (EIOPA)
European Investment Bank (EIB)
European Investment Fund (EIF)
European Labour Authority (ELA)
European Maritime Safety Agency (EMSA)
European Medicines Agency (EMA)
European Ombudsman (Ombudsman)
European Parliament
European Personnel Selection Office (EPSO)
European Police College (CEPOL)
European Police Office (EUROPOL)
European Public Prosecutor's Office (EPPO)
European Research Council Executive Agency (ERCEA)
European Research Executive Agency (REA)
European Securities and Markets Authority (ESMA)
European Systemic Risk Board (ESRB)
European Training Foundation (ETF)
European Union Agency for Fundamental Rights (FRA)
European Union Agency for Network and Information Security (ENISA)
European Union Agency for Railways (ERA)
European Union Drugs Agency
European Union Institute for Security Studies (EUISS)
European Union Intellectual Property Office (EUIPO)
European Union Satellite Centre (EUSC)
Fuel Cells & Hydrogen Joint Undertaking (FCHJU)
Fusion for Energy (F4E)
Innovative Medicines Initiative Joint Undertaking (IMI JU)
Joint Research Centre (JRC)
Office for Harmonisation in the Internal Market (OHIM)
Other
SESAR Joint Undertaking (SESAR JU)
Single Resolution Board (SRB)
The European Union's Judicial Cooperation Unit (EUROJUST)
Translation Centre for the Bodies of the European Union (CdT)