Die Notwendigkeit ist ein grundlegendes Prinzip bei der Beurteilung der Beschränkung von Grundrechten wie dem Recht auf Schutz personenbezogener Daten. Laut Rechtsprechung muss die Beschränkung des Grundrechts auf Schutz personenbezogener Daten aufgrund der Auswirkungen der Verarbeitung personenbezogener Daten auf eine Reihe von Grundrechten unbedingt notwendig sein.
Die Notwendigkeit ist auf Grundlage objektiver Beweise zu rechtfertigen; dies bildet den ersten Schritt, noch bevor die Verhältnismäßigkeit der Beschränkung beurteilt wird. Die Notwendigkeit ist auch ein grundlegendes Kriterium bei der Beurteilung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Die Verarbeitungsvorgänge, die Kategorien der verarbeiteten Daten und die Dauer der Speicherung der Daten müssen für den Zweck der Verarbeitung erforderlich sein.
Verhältnismäßigkeit ist ein allgemeiner Grundsatz des EU-Rechts. Sie beschränkt die Behörden insofern in der Ausübung ihrer Befugnisse, als sie verpflichtet sind, ein ausgewogenes Verhältnis zwischen den eingesetzten Mitteln und dem beabsichtigten Ziel zu schaffen. Im Zusammenhang mit den Grundrechten – etwa dem Recht auf Schutz personenbezogener Daten – spielt die Verhältnismäßigkeit eine entscheidende Rolle bei jeglicher Beschränkung dieser Rechte.
Konkret verlangt der Grundsatz der Verhältnismäßigkeit, dass die Vorteile aufgrund der Beschränkung eines Rechts nicht durch die Nachteile der Ausübung des Rechts aufgewogen werden. Mit anderen Worten: Die Beschränkung des Rechts muss gerechtfertigt sein. Garantien, die eine Maßnahme begleiten, können die Rechtfertigung einer Maßnahme stützen. Eine Vorbedingung ist, dass die Maßnahme angemessen ist, um das angestrebte Ziel zu erreichen. Ferner dürfen nach dem Grundsatz der Verhältnismäßigkeit bei der Beurteilung der Verarbeitung personenbezogener Daten nur die personenbezogenen Daten gesammelt und verarbeitet werden, die für die Zwecke der Verarbeitung angemessen und erheblich sind.
Executive Summary of the Audit report on the Medical Service of the General Secretariat of the Council of the European Union (GSC MS).
Executive Summary of the Audit report on the European Commission's Medical Service (COM MS).
Executive Summary of the Audit report on HR Analytics, recruitment procedures and restriction of data subject rights at the European Central Bank (ECB).
On 8 March 2024, the EDPS adopted a decision following its investigation into the European Commission's use of Microsoft 365. In the decision, the EDPS focused on compliance with provisions of Regulation (EU) 2018/1725 related to purpose limitation and international transfers and unauthorised disclosures of personal data (see also press release).
EDPS Supervisory Opinion on the revised Guidelines on Investigation Procedure (GIPs) of the European Anti-Fraud Office (OLAF) (case 2024-0003)