BGBl II 264/2019

264. Verordnung der Datenschutzbehörde über die Anforderungen an eine Stelle für die Überwachung der Einhaltung von Verhaltensregeln (Überwachungsstellenakkreditierungs-Verordnung - ÜStAkk-V)

Auf Grund des § 21 Abs. 3 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 14/2019, wird verordnet:

Allgemeine Bestimmungen

§ 1. Diese Verordnung regelt in Konkretisierung der Vorgaben des Art. 41 Abs. 2 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S 1, in der Fassung der Berichtigung ABl. Nr. L 127 vom 23.5.2018 S 2, die Voraussetzungen für die Akkreditierung von Stellen, welche die Überwachung der Einhaltung von Verhaltensregeln gemäß Art. 40 DSGVO durchführen können (Überwachungsstellen).

Akkreditierungsvoraussetzungen und Akkreditierungsverfahren

§ 2. (1) Die Akkreditierung als Überwachungsstelle ist nicht von einer bestimmten Rechtsform des Antragstellers abhängig. Die Antragstellung ist auch für eine Organisationseinheit innerhalb jener Verbände und anderen Vereinigungen, welche die Verhaltensregeln gemäß Art. 40 Abs. 2 DSGVO ausgearbeitet, geändert oder erweitert haben, zulässig (interne Stellen).

(2) Die Akkreditierung als Überwachungsstelle erfolgt auf Grund eines schriftlichen Antrages an die Datenschutzbehörde.

(3) Der Antrag hat den Nachweis der Voraussetzungen nach §§ 3 bis 7 sowie folgende Angaben zu enthalten:

1. 1. Zur Feststellung der Identität des Antragstellers:
   1. a) Name des Antragstellers oder bei im Firmenbuch eingetragenen Unternehmern die Firma gemäß § 17 des Unternehmensgesetzesbuches - UGB, dRGBl. S. 219/1897, sowie die Firmenbuchnummer, bei Vereinen die ZVR-Zahl gemäß § 18 Abs. 2 des Vereinsgesetzes 2002 - VerG, BGBl. I Nr. 66, sowie im Falle der Ausübung einer Tätigkeit nach der Gewerbeordnung 1994 - GewO 1994, BGBl. Nr. 194, die GISA-Zahl gemäß § 365a Abs. 1 Z 11 bzw. § 365b Abs. 1 Z 8 GewO 1994, bei natürlichen Personen und Einzelunternehmern, die nicht im Firmenbuch oder Vereinsregister eingetragen sind, die - gemäß § 6 Abs. 3 E-Government-Gesetz - E-GovG, BGBl. I Nr.10/2004, zur eindeutigen Identifikation zugeordnete - Ordnungsnummer im Ergänzungsregister für sonstige Betroffene,
   2. b) im Falle einer juristischen Person oder einer eingetragenen Personengesellschaft, den Namen bzw. die Namen der nach außen Vertretungsbefugten,
   3. c) sofern die Berechtigung zur Führung einer solchen vorliegt, die Berufsbezeichnung,
2. 2. das angestrebte Fachgebiet oder die angestrebten Fachgebiete der zu überwachenden Verhaltensregeln durch Bezugnahme und Definition auf die Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, für die die Akkreditierung beantragt wird,
3. 3. zum Nachweis der strafrechtlichen Unbescholtenheit: Sofern die Zuverlässigkeit und strafrechtliche Unbescholtenheit nicht Voraussetzung für die Ausübung der beruflichen Tätigkeit ist, eine Strafregisterbescheinigung oder bei Verbänden eine Registerauskunft für Verbände gemäß § 89m des Gerichtsorganisationsgesetzes - GOG, RGBl. Nr. 217/1896,
4. 4. den Nachweis eines Sitzes oder Aufenthalts im Europäischen Wirtschaftsraum gemäß dem EWR-Abkommen, BGBl. Nr. 909/1993, und
5. 5. zur Gewährleistung einer fortdauernden Erfüllung der mit der Akkreditierung verbundenen Aufgaben und Befugnisse: Darlegung der finanziellen, personellen und organisatorischen Ausstattung.

(4) Die Angaben gemäß Abs. 3 sind durch Vorlage geeigneter Dokumente und Urkunden zu bescheinigen, sofern sich deren Verfügbarkeit nicht aus allgemein zugänglichen öffentlichen Registern ergibt.

(5) Sofern der Antrag auf Akkreditierung nicht in deutscher Sprache erfolgt, sind die Angaben gemäß Abs. 3 durch Vorlage geeigneter Dokumente und Urkunden in beglaubigter Übersetzung zu bescheinigen.

Unabhängigkeit und Fachwissen

§ 3. (1) Der Antragsteller hat die Unabhängigkeit und das Fachwissen der entscheidungsbefugten Personen innerhalb der Überwachungsstelle nach Maßgabe der folgenden Bestimmungen durch Vorlage geeigneter Dokumente und Urkunden nachzuweisen.

(2) Unabhängigkeit liegt vor, wenn die Überwachungsstelle in keinem derart rechtlichen, wirtschaftlichen, finanziellen, organisatorischen, persönlichen oder fachlichen Abhängigkeits- oder Naheverhältnis zu den zu Überwachenden steht, das ihr Urteil und ihre Unabhängigkeit und Integrität bei ihrer Tätigkeit als Überwachungsstelle in Frage stellen könnte.

(3) Die Unabhängigkeit ist nachzuweisen durch:

1. 1. Eine Offenlegung der wirtschaftlichen Eigentümer, insbesondere durch die Vorlage eines Auszugs des bei der Registerbehörde geführten Registers für wirtschaftliche Eigentümer nach dem Wirtschaftliche Eigentümer Registergesetz - WiEReG, BGBl. I Nr. 136/2017,
2. 2. Angaben zu entscheidungsbefugten Personen, aus welchen hervorgeht, dass keine personellen Verflechtungen zu den zu Überwachenden bestehen,
3. 3. bei Vereinen durch Vorlage der Vereinsstatuten,
4. 4. Angaben zur Finanzierung der Überwachungsstelle.

(4) Das Fachwissen ist nachzuweisen durch:

1. 1. Den erfolgreichen Abschluss eines einschlägigen Studiums an einer österreichischen oder einer als gleichwertig anerkannten ausländischen Universität oder einer Fachhochschule, den erfolgreichen Abschluss einer einschlägigen berufsbildenden höheren Schule, einschließlich deren Sonderformen, welcher ein zur Erfüllung der Aufgaben erforderliches Grundlagenwissen vermittelt, oder
2. 2. eine einschlägige Tätigkeit in dem Fachgebiet der zu überwachenden Verhaltensregeln oder in den für die Organisation oder den Sektor, für den die Akkreditierung beantragt wird, wesentlichen Fachbereichen, sowie jedenfalls
3. 3. ausgezeichnete Kenntnisse des Datenschutzrechts und seiner Anwendung, einschließlich technischer und organisatorischer Maßnahmen und Verfahren, sowie sektorenspezifisches Wissen.

(5) In die einschlägige praktische Verwendung nach Abs. 4 Z 2 können auch Zeiten einer gleichwertigen Tätigkeit bei einem Unternehmen mit einem anderen Fachbereich eingerechnet werden.

(6) Sofern die Antragstellung für eine interne Stelle erfolgt, ist für diese - zusätzlich zu den Bestimmungen des Abs. 3 und 4 - durch Vorlage geeigneter Unterlagen eine Organisationsstruktur nachzuweisen, die es ihr ermöglicht, ihre Aufgaben in finanzieller und organisatorischer Unabhängigkeit sowie ohne äußere Einflussnahme durch den Verband oder die Vereinigung zu erfüllen.

Maßnahmen zur Verhinderung von Interessenkonflikten

§ 4. (1) Eine Überwachungsstelle hat durch geeignete Maßnahmen und Mechanismen zu gewährleisten, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.

(2) Die Eignung ist durch einen - gegenüber allen Mitarbeitern der Überwachungsstelle für verbindlich erklärten - Maßnahmenkatalog nachzuweisen, der jedenfalls folgendes vorzusehen hat:

1. 1. Unvereinbarkeitsbestimmungen, welche festlegen, dass entscheidungsbefugte Personen der Überwachungsstelle keiner weiteren, mit der Ausübung ihrer Tätigkeit unvereinbaren Geschäftstätigkeit nachgehen,
2. 2. Implementierung von Stellvertreterregelungen im Falle festgestellter Interessenkonflikte,
3. 3. Verschwiegenheitsklauseln oder Geheimhaltungsvereinbarungen, sowie
4. 4. Weisungsfreiheit gegenüber den zu Überwachenden und - sofern der Antrag auf Akkreditierung für eine interne Stelle erfolgt - gegenüber dem Verband oder der Vereinigung.

Überwachungsverfahren

§ 5. (1) Eine Überwachungsstelle hat geeignete Verfahren vorzusehen, die es ihr ermöglichen, die Einhaltung der Verhaltensregeln zu überwachen und die Anwendung der Verhaltensregeln regelmäßig zu überprüfen. Dabei ist sicherzustellen, dass die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichtet haben, der entsprechenden Kategorie oder dem entsprechenden Fachgebiet angehören.

(2) Ein Verfahren ist geeignet, wenn in den dafür vorzusehenden Prüfungsstandards festgelegt wird, wie der Prüfungs- oder Bewertungsprozess in der Praxis durchgeführt wird, nach welchen Kriterien die Überwachungstätigkeit geplant wird und das Verfahren laufend evaluiert wird. Die Überwachungsstelle hat in den Prüfungsstandards jedenfalls grundsätzliche Festlegungen zu folgenden Themenbereichen zu treffen:

1. 1. Prüfverfahren, die systematische, nach festgelegten Regeln durchgeführte Untersuchungen nach folgenden Verfahren und Kriterien vorsehen:
   1. a) Terminpläne, die in bestimmten, im Voraus festgelegten, Zeitabständen eine Überprüfung vorsehen. Die Häufigkeit der regelmäßigen Überprüfungen hat sich dabei insbesondere an der Anzahl der zu Überwachenden, die sich zur Anwendung der Verhaltensregeln verpflichtet haben, dem geographischen Geltungsbereich, den branchen- oder sektorenspezifischen Erfordernissen und an der Anzahl an Beschwerdefällen zu orientieren,
   2. b) Festlegung der anzuwendenden Methoden und der zu bewertenden Kriterien nach einem Bewertungsraster.
2. 2. Verfahrensrichtlinien, die es der Überwachungsstelle ermöglichen, etwaige Verstöße gegen die Verhaltensregeln zu untersuchen, diesbezügliche Feststellungen zu treffen und im Anlassfall eine geeignete und in den Verhaltensregeln festgelegte Maßnahme vorzusehen.

(3) Die Eignung des Verfahrens gemäß Abs. 2 ist durch eine konzeptionelle Darstellung des Überwachungsverfahrens nachzuweisen.

Streitbeilegungsverfahren

§ 6. (1) Die Überwachungsstelle hat nach Maßgabe der folgenden Bestimmungen Verfahrensrichtlinien über die Behandlung der bei ihr einlangenden Beschwerden über Verstöße gegen Verhaltensregeln oder über die Art und Weise, in der Verhaltensregeln vom Verantwortlichen oder Auftragsverarbeiter angewendet werden, festzulegen und das diesbezügliche Verfahren und die Strukturen durch Vorlage geeigneter Unterlagen nachzuweisen.

(2) Die Verfahrensrichtlinien haben zu gewährleisten, dass Streitigkeiten innerhalb angemessener Frist, einfach, transparent und auf der Grundlage einer objektiven Bewertung der Umstände der Beschwerde und unter gebührender Berücksichtigung der Rechte der Parteien beurteilt werden.

(3) In den Verfahrensrichtlinien sind insbesondere festzulegen:

1. 1. Angaben zu den Personen, die für die Behandlung von Beschwerden zuständig sind, einschließlich Angaben über deren Ernennung und die vorgesehene Funktionszeit,
2. 2. im Falle der Einrichtung eines kollegialen Entscheidungsgremiums, das Recht der Parteien, eine von ihnen ernannte natürliche Person in das Gremium zu entsenden,
3. 3. das Recht der Parteien, innerhalb angemessener, von der Überwachungsstelle festzulegender Frist, zu Vorbringen der Gegenparteien Stellung zu nehmen,
4. 4. eine Informationspflicht dahingehend, dass der Beschwerdeführer innerhalb von drei Monaten über den Stand des Verfahrens zu informieren ist, sowie
5. 5. Gründe, die der Behandlung einer Beschwerde entgegenstehen.

(4) Die Verfahrensrichtlinien sind nach erfolgter Akkreditierung der Überwachungsstelle in allgemein zugänglicher Weise zu veröffentlichen.

(5) Die Überwachungsstelle hat ein Verzeichnis über die bei ihr eingegangenen Beschwerden und die ergriffenen Maßnahmen zu führen und der Datenschutzbehörde jederzeit Zugang zu diesem zu gewähren.

Maßnahmen der Überwachungsstelle

§ 7. (1) Für den Fall einer Verletzung der Verhaltensregeln durch einen Verantwortlichen oder einen Auftragsverarbeiter hat die Überwachungsstelle Verfahren vorzusehen und durch Vorlage geeigneter Dokumente und Urkunden nachzuweisen, um Maßnahmen zu setzen, welche geeignet sind, einen Verstoß gegen die Verhaltensregeln verlässlich und endgültig abzustellen und eine Wiederholung zu vermeiden.

(2) Als Maßnahmen können vorgesehen werden:

1. 1. Die Erteilung von Auflagen, verbunden mit der Androhung des Ausschlusses von den Verhaltensregeln, wenn die Einhaltung der Auflagen nicht nachgewiesen wird,
2. 2. Anleitungen oder Anweisungen, die ein regelkonformes Verhalten ermöglichen,
3. 3. die Feststellung der nicht regelkonformen Verhaltensweise, verbunden mit einer Ursachenfeststellung sowie Lösungsvorschläge für deren Beseitigung, sowie
4. 4. der vorläufige oder - im Falle der Wiederholung oder bei schwerwiegenden Verstößen - endgültige Ausschluss von den Verhaltensregeln.

(3) Die ergriffene Maßnahme ist dem Verantwortlichen oder Auftragsverarbeiter schriftlich bekannt zu geben und zu begründen.

(4) Von der Setzung einer Maßnahme gemäß Abs. 2 kann abgesehen werden, wenn durch den Verantwortlichen oder Auftragsverarbeiter geeignete Maßnahmen gesetzt und der entsprechende Verstoß abgestellt wurde.

Berichtspflicht

§ 8. (1) Die Überwachungsstelle hat der Datenschutzbehörde jährlich bis zum 31. März einen Bericht über die im vorangegangenen Jahr erfolgten Tätigkeiten vorzulegen. Die Berichtspflicht nach Art. 41 Abs. 4 letzter Satz DSGVO bleibt davon unberührt. Über schwerwiegende Maßnahmen, wie den vorläufigen oder endgültigen Ausschluss von den Verhaltensregeln, ist die Datenschutzbehörde jedenfalls unverzüglich zu informieren.

(2) Die Überwachungsstelle hat interne Berichtsmechanismen festzulegen, die eine regelmäßige Berichterstattung an die Datenschutzbehörde, insbesondere über die Ergebnisse von Überwachungsverfahren gemäß § 5, vorsehen.

(3) Unabhängig von der jährlichen Berichtspflicht gemäß Abs. 1 ist der Datenschutzbehörde jeder Umstand oder jede wesentliche Änderung bekanntzugeben, der oder die es der Überwachungsstelle nicht mehr ermöglicht, ihre Aufgaben wahrzunehmen.

Verfahren zur Überprüfung der Verhaltensregeln

§ 9. (1) Die Überwachungsstelle hat geeignete Verfahren vorzusehen, die es ihr ermöglichen, die Verhaltensregeln dahingehend zu überprüfen, ob für diese ein Änderungsbedarf besteht.

(2) Ein Verfahren ist geeignet, wenn diesem die Ergebnisse der Verfahren gemäß § 5 Abs. 2, die Anzahl der Beschwerdeverfahren und die Beschwerdegründe, sowie die gesetzten Maßnahmen bei Verstößen gegen die Verhaltensregeln zu Grunde gelegt werden.

Personenbezogene Bezeichnungen

§ 10. Bei den in dieser Verordnung verwendeten personenbezogenen Bezeichnungen gilt die gewählte Form für alle Geschlechter.

Verweisungen

§ 11. Verweisungen in dieser Verordnung auf andere Bundesgesetze sind als Verweisungen auf die jeweils geltende Fassung zu verstehen.

Inkrafttreten

§ 12. Diese Verordnung tritt mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt in Kraft.