Print

Vorabkontrolle

Manche Verfahren, die EU-Institutionen eingeführt haben, bringen Risiken für das Recht auf Datenschutz und die Grundfreiheiten des Einzelnen mit sich.

Der frühere Rechtsrahmen (Verordnung (EG) Nr. 45/2001) verpflichtete die EU-Institutionen, uns eine Meldung zu machen, bevor sie risikobehaftete Datenverarbeitungsverfahren einführten.

Im Allgemeinen waren unsere Stellungnahmen zu Vorabkontrollen öffentlich.

Die Verordnung (EU) 2018/1725 stützt sich auf die frühere Verordnung und entspricht der Datenschutzgrundverordnung (EU) 2016/679 (DSGVO), die für die meisten Organisationen gilt, die personenbezogene Daten in den Mitgliedstaaten verarbeiten. Im Vergleich zu den früheren Vorschriften werden durch die Verordnung (EU) 2018/1725 die Dokumentationspflichten stärker an den Risiken ausgerichtet, die die Verarbeitung personenbezogener Daten mit sich bringen. Dies bedeutet beispielsweise, dass die Dokumentationsanforderungen für das Abonnieren eines Newsletters von EU-Institutionen niedriger sind als etwa für ein intelligentes Videoüberwachungssystem, das öffentlich zugänglichen Raum überwacht, oder für eine Datenbank, die Profile von Reisenden zu Kontrollzwecken erstellt.

Je nach Verfahren müssen die EU-Institutionen bei der Verarbeitung von personenbezogenen Daten (als „Verantwortliche“) nicht unbedingt alle nachstehend aufgeführten Schritte durchlaufen (diese Schritte sind im Leitfaden „Rechenschaftspflicht vor Ort“ beschrieben):

    • Erstellung der grundlegenden Dokumentation („Verzeichnis“) aller Verarbeitungsvorgänge;
    • Prüfung der Wahrscheinlichkeit, dass der Vorgang ein hohes Risiko für die Personen darstellt, deren Daten verarbeitet werden, und Konsultation des DSB, wenn dies der Fall zu sein scheint;
    • Muss die EU-Institution eine Datenschutz-Folgenabschätzung durchführen, so sind dabei diese Risiken eingehender zu untersuchen und spezifische Garantien/Kontrollen zu ihrer Bewältigung zu entwickeln;
    • Deuten die Ergebnisse der Datenschutz-Folgenabschätzung auf hohe Restrisiken für den Datenschutz hin, muss die EU-Institution beim EDSB eine vorherige Konsultation beantragen (siehe Artikel 40 bzw. Artikel 90 der Verordnung (EU) 2018/1725 für verwaltungstechnische und operative personenbezogene Daten).

Artikel 39 der Verordnung 2016/794 über Europol sieht für neue Arten von Verarbeitungsvorgängen in Bezug auf operative Daten – Daten, die von Europol zur Unterstützung der Mitgliedstaaten bei der Verhütung und Bekämpfung von schwerer Kriminalität und Terrorismus verarbeitet werden – eine vorherige Ad-hoc-Konsultation vor. Entsprechend sieht Artikel 72 der Verordnung 2017/1939 über die Europäische Staatsanwaltschaft (EuStA) einen besonderen Mechanismus zur vorherigen Konsultation für die Verarbeitung von operativen Daten vor, nämlich von Daten, die im Zusammenhang mit strafrechtlichen Ermittlungen und Strafverfolgungsmaßnahmen der EuStA verarbeitet werden. Die Verordnung 2018/1725, einschließlich des Standardmechanismus für die vorherige Konsultation, ist für die Verarbeitung von verwaltungstechnischen Daten durch Europol und die EuStA anwendbar, wozu beispielsweise auch Daten über Mitarbeiter und Besucher gehören.

Wenn eine EU-Institution unsicher ist, ob sie uns eine Verarbeitung zwecks vorheriger Konsultation melden muss, kann ihr DSB uns in dieser Frage konsultieren.

Wie auch bei den früheren Stellungnahmen zur Vorabkontrolle sind die Stellungnahmen im Allgemeinen öffentlich. Allerdings können wir sensible Elemente erforderlichenfalls, wie etwa im Zusammenhang mit Sicherheitsaspekten, löschen. Einige Stellungnahmen, die naturgemäß sensibel sind, insbesondere im Bereich Polizei und Justiz, werden gegebenenfalls nicht veröffentlicht. Aus Gründen der Transparenz enthält unser Jahresbericht eine Zusammenfassung dieser Stellungnahmen.

Filters

6
Jun
2007
Opinions Prior Check and Prior Consultations

Certification procedure - Parliament

Opinion of 6 June 2007 on the notification for prior checking regarding the "certification procedure" dossier (Case 2007-168)
By Bureau Decision of 26 September 2005 the European Parliament adopted the arrangements for implementation of the certification procedure. Article 45a of the Staff Regulations of Officials of the European Communities, as amended by Regulation No 723/2004, enables officials in function group AST to be appointed to a post in function group AD on condition that, firstly, they have been selected by the institution to take part in a training programme, secondly, they have completed the training programme and, thirdly, they have passed examinations demonstrating that they have successfully taken part in the training programme.
The main recommendations made by the EDPS in the context of his opinion on the certification procedure concern the storage of data and the information supplied to data subjects.

Verfügbare Sprachen: Englisch, Französisch
Topics
Privacy in the EU Institutions
Working Conditions
4
Jun
2007
Opinions Prior Check and Prior Consultations

Recruitment procedure - European Central Bank

Opinion of 4 June 2007 on a notification for prior checking on recruitment procedure (Case 2007-3)
Le CEPD a procédé au contrôle préalable du traitement des données à caractère personnel dans le cadre de la procédure de recrutement de la Banque centrale européenne, où un système de recrutement en ligne est mis en place. Tout candidat ayant déposé son dossier de candidature définitif devient une "personne concernée" par la protection des données à caractère personnel. Le CEPD a examiné le formulaire de candidature ainsi que la procédure de candidature en ligne, la durée de conservation des données tout comme les moyens dont les personnes concernées disposent pour exercer leurs droits ainsi que les informations qu'elles reçoivent. Les recommandations du CEPD portent essentiellement sur les informations qui doivent être communiquées aux candidats dans la déclaration de confidentialité et dans le guide du candidat, sur la conservation des actes de candidatures et autres documents et sur le contenu des contrats conclus avec les sous-traitants pour ce qui est des obligations en matière de protection des données.

Verfügbare Sprachen: Englisch, Französisch
Topics
Privacy in the EU Institutions
Recruitment
14
May
2007
Opinions Prior Check and Prior Consultations

Verification of telephone bills - Ombudsman

Opinion of 14 May 2007 on a notification for prior checking on verification of telephone bills (Case 2007-137)

The telephones used by staff members of the European Ombudsman may only be used for professional purposes. Private use is not permitted. When the costs linked to a certain extension number exceed the 50€ limit, a verification procedure is initiated. It commences with an interview with the staff member concerned. He/she is invited to justify the costs and show that they were linked to his/her official tasks. If this is established, the verification procedure comes to an end. If, however, the costs are stemming from private use, the staff member will be reminded that private use is not permitted and may even face disciplinary procedure.
 

In his opinion the EDPS basically approved the procedure as foreseen by the European Ombudsman. Nevertheless, he recommended that specific rules should be drawn up on the procedure which would - along with Article 37 of the Regulation (EC) No 45/2001 - constitute a more concrete legal basis for the processing. Further recommendations were made concerning the information to be given to the data subjects and on the retention period of traffic and billing data.

Verfügbare Sprachen: Englisch, Französisch
Topics
Privacy in the EU Institutions
IT at Work