BUNDESGESETZBLATT
FÜR DIE REPUBLIK ÖSTERREICH

Jahrgang 2019

Ausgegeben am 30. August 2019

Teil II

264. Verordnung:

Überwachungsstellenakkreditierungs-Verordnung – ÜStAkk-V

264. Verordnung der Datenschutzbehörde über die Anforderungen an eine Stelle für die Überwachung der Einhaltung von Verhaltensregeln (Überwachungsstellenakkreditierungs-Verordnung – ÜStAkk-V)

Auf Grund des Paragraph 21, Absatz 3, des Datenschutzgesetzes (DSG), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999,, zuletzt geändert durch das Bundesgesetz Bundesgesetzblatt Teil eins, Nr. 14 aus 2019,, wird verordnet:

Allgemeine Bestimmungen

Paragraph eins,

Diese Verordnung regelt in Konkretisierung der Vorgaben des Artikel 41, Absatz 2, der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S 1, in der Fassung der Berichtigung ABl. Nr. L 127 vom 23.5.2018 S 2, die Voraussetzungen für die Akkreditierung von Stellen, welche die Überwachung der Einhaltung von Verhaltensregeln gemäß Artikel 40, DSGVO durchführen können (Überwachungsstellen).

Akkreditierungsvoraussetzungen und Akkreditierungsverfahren

Paragraph 2,

  1. Absatz einsDie Akkreditierung als Überwachungsstelle ist nicht von einer bestimmten Rechtsform des Antragstellers abhängig. Die Antragstellung ist auch für eine Organisationseinheit innerhalb jener Verbände und anderen Vereinigungen, welche die Verhaltensregeln gemäß Artikel 40, Absatz 2, DSGVO ausgearbeitet, geändert oder erweitert haben, zulässig (interne Stellen).
  2. Absatz 2Die Akkreditierung als Überwachungsstelle erfolgt auf Grund eines schriftlichen Antrages an die Datenschutzbehörde.
  3. Absatz 3Der Antrag hat den Nachweis der Voraussetzungen nach Paragraphen 3 bis 7 sowie folgende Angaben zu enthalten:
    1. Ziffer eins
      Zur Feststellung der Identität des Antragstellers:
      1. Litera a
        Name des Antragstellers oder bei im Firmenbuch eingetragenen Unternehmern die Firma gemäß Paragraph 17, des Unternehmensgesetzesbuches – UGB, dRGBl. Sitzung 219/1897, sowie die Firmenbuchnummer, bei Vereinen die ZVR-Zahl gemäß Paragraph 18, Absatz 2, des Vereinsgesetzes 2002 – VerG, BGBl. römisch eins Nr. 66, sowie im Falle der Ausübung einer Tätigkeit nach der Gewerbeordnung 1994 – GewO 1994, BGBl. Nr. 194, die GISA-Zahl gemäß Paragraph 365 a, Absatz eins, Ziffer 11, bzw. Paragraph 365 b, Absatz eins, Ziffer 8, GewO 1994, bei natürlichen Personen und Einzelunternehmern, die nicht im Firmenbuch oder Vereinsregister eingetragen sind, die – gemäß Paragraph 6, Absatz 3, E-Government-Gesetz – E-GovG, Bundesgesetzblatt Teil eins, Nr.10 aus 2004,, zur eindeutigen Identifikation zugeordnete – Ordnungsnummer im Ergänzungsregister für sonstige Betroffene,
      2. Litera b
        im Falle einer juristischen Person oder einer eingetragenen Personengesellschaft, den Namen bzw. die Namen der nach außen Vertretungsbefugten,
      3. Litera c
        sofern die Berechtigung zur Führung einer solchen vorliegt, die Berufsbezeichnung,
    2. Ziffer 2
      das angestrebte Fachgebiet oder die angestrebten Fachgebiete der zu überwachenden Verhaltensregeln durch Bezugnahme und Definition auf die Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, für die die Akkreditierung beantragt wird,
    3. Ziffer 3
      zum Nachweis der strafrechtlichen Unbescholtenheit: Sofern die Zuverlässigkeit und strafrechtliche Unbescholtenheit nicht Voraussetzung für die Ausübung der beruflichen Tätigkeit ist, eine Strafregisterbescheinigung oder bei Verbänden eine Registerauskunft für Verbände gemäß Paragraph 89 m, des Gerichtsorganisationsgesetzes – GOG, RGBl. Nr. 217/1896,
    4. Ziffer 4
      den Nachweis eines Sitzes oder Aufenthalts im Europäischen Wirtschaftsraum gemäß dem EWR-Abkommen, Bundesgesetzblatt Nr. 909 aus 1993,, und
    5. Ziffer 5
      zur Gewährleistung einer fortdauernden Erfüllung der mit der Akkreditierung verbundenen Aufgaben und Befugnisse: Darlegung der finanziellen, personellen und organisatorischen Ausstattung.
  4. Absatz 4Die Angaben gemäß Absatz 3, sind durch Vorlage geeigneter Dokumente und Urkunden zu bescheinigen, sofern sich deren Verfügbarkeit nicht aus allgemein zugänglichen öffentlichen Registern ergibt.
  5. Absatz 5Sofern der Antrag auf Akkreditierung nicht in deutscher Sprache erfolgt, sind die Angaben gemäß Absatz 3, durch Vorlage geeigneter Dokumente und Urkunden in beglaubigter Übersetzung zu bescheinigen.

Unabhängigkeit und Fachwissen

Paragraph 3,

  1. Absatz einsDer Antragsteller hat die Unabhängigkeit und das Fachwissen der entscheidungsbefugten Personen innerhalb der Überwachungsstelle nach Maßgabe der folgenden Bestimmungen durch Vorlage geeigneter Dokumente und Urkunden nachzuweisen.
  2. Absatz 2Unabhängigkeit liegt vor, wenn die Überwachungsstelle in keinem derart rechtlichen, wirtschaftlichen, finanziellen, organisatorischen, persönlichen oder fachlichen Abhängigkeits- oder Naheverhältnis zu den zu Überwachenden steht, das ihr Urteil und ihre Unabhängigkeit und Integrität bei ihrer Tätigkeit als Überwachungsstelle in Frage stellen könnte.
  3. Absatz 3Die Unabhängigkeit ist nachzuweisen durch:
    1. Ziffer eins
      Eine Offenlegung der wirtschaftlichen Eigentümer, insbesondere durch die Vorlage eines Auszugs des bei der Registerbehörde geführten Registers für wirtschaftliche Eigentümer nach dem Wirtschaftliche Eigentümer Registergesetz – WiEReG, Bundesgesetzblatt Teil eins, Nr. 136 aus 2017,,
    2. Ziffer 2
      Angaben zu entscheidungsbefugten Personen, aus welchen hervorgeht, dass keine personellen Verflechtungen zu den zu Überwachenden bestehen,
    3. Ziffer 3
      bei Vereinen durch Vorlage der Vereinsstatuten,
    4. Ziffer 4
      Angaben zur Finanzierung der Überwachungsstelle.
  4. Absatz 4Das Fachwissen ist nachzuweisen durch:
    1. Ziffer eins
      Den erfolgreichen Abschluss eines einschlägigen Studiums an einer österreichischen oder einer als gleichwertig anerkannten ausländischen Universität oder einer Fachhochschule, den erfolgreichen Abschluss einer einschlägigen berufsbildenden höheren Schule, einschließlich deren Sonderformen, welcher ein zur Erfüllung der Aufgaben erforderliches Grundlagenwissen vermittelt, oder
    2. Ziffer 2
      eine einschlägige Tätigkeit in dem Fachgebiet der zu überwachenden Verhaltensregeln oder in den für die Organisation oder den Sektor, für den die Akkreditierung beantragt wird, wesentlichen Fachbereichen, sowie jedenfalls
    3. Ziffer 3
      ausgezeichnete Kenntnisse des Datenschutzrechts und seiner Anwendung, einschließlich technischer und organisatorischer Maßnahmen und Verfahren, sowie sektorenspezifisches Wissen.
  5. Absatz 5In die einschlägige praktische Verwendung nach Absatz 4, Ziffer 2, können auch Zeiten einer gleichwertigen Tätigkeit bei einem Unternehmen mit einem anderen Fachbereich eingerechnet werden.
  6. Absatz 6Sofern die Antragstellung für eine interne Stelle erfolgt, ist für diese – zusätzlich zu den Bestimmungen des Absatz 3 und 4 – durch Vorlage geeigneter Unterlagen eine Organisationsstruktur nachzuweisen, die es ihr ermöglicht, ihre Aufgaben in finanzieller und organisatorischer Unabhängigkeit sowie ohne äußere Einflussnahme durch den Verband oder die Vereinigung zu erfüllen.

Maßnahmen zur Verhinderung von Interessenkonflikten

Paragraph 4,

  1. Absatz einsEine Überwachungsstelle hat durch geeignete Maßnahmen und Mechanismen zu gewährleisten, dass ihre Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
  2. Absatz 2Die Eignung ist durch einen – gegenüber allen Mitarbeitern der Überwachungsstelle für verbindlich erklärten – Maßnahmenkatalog nachzuweisen, der jedenfalls folgendes vorzusehen hat:
    1. Ziffer eins
      Unvereinbarkeitsbestimmungen, welche festlegen, dass entscheidungsbefugte Personen der Überwachungsstelle keiner weiteren, mit der Ausübung ihrer Tätigkeit unvereinbaren Geschäftstätigkeit nachgehen,
    2. Ziffer 2
      Implementierung von Stellvertreterregelungen im Falle festgestellter Interessenkonflikte,
    3. Ziffer 3
      Verschwiegenheitsklauseln oder Geheimhaltungsvereinbarungen, sowie
    4. Ziffer 4
      Weisungsfreiheit gegenüber den zu Überwachenden und – sofern der Antrag auf Akkreditierung für eine interne Stelle erfolgt – gegenüber dem Verband oder der Vereinigung.

Überwachungsverfahren

Paragraph 5,

  1. Absatz einsEine Überwachungsstelle hat geeignete Verfahren vorzusehen, die es ihr ermöglichen, die Einhaltung der Verhaltensregeln zu überwachen und die Anwendung der Verhaltensregeln regelmäßig zu überprüfen. Dabei ist sicherzustellen, dass die Verantwortlichen oder die Auftragsverarbeiter, die sich zur Anwendung der Verhaltensregeln verpflichtet haben, der entsprechenden Kategorie oder dem entsprechenden Fachgebiet angehören.
  2. Absatz 2Ein Verfahren ist geeignet, wenn in den dafür vorzusehenden Prüfungsstandards festgelegt wird, wie der Prüfungs- oder Bewertungsprozess in der Praxis durchgeführt wird, nach welchen Kriterien die Überwachungstätigkeit geplant wird und das Verfahren laufend evaluiert wird. Die Überwachungsstelle hat in den Prüfungsstandards jedenfalls grundsätzliche Festlegungen zu folgenden Themenbereichen zu treffen:
    1. Ziffer eins
      Prüfverfahren, die systematische, nach festgelegten Regeln durchgeführte Untersuchungen nach folgenden Verfahren und Kriterien vorsehen:
      1. Litera a
        Terminpläne, die in bestimmten, im Voraus festgelegten, Zeitabständen eine Überprüfung vorsehen. Die Häufigkeit der regelmäßigen Überprüfungen hat sich dabei insbesondere an der Anzahl der zu Überwachenden, die sich zur Anwendung der Verhaltensregeln verpflichtet haben, dem geographischen Geltungsbereich, den branchen- oder sektorenspezifischen Erfordernissen und an der Anzahl an Beschwerdefällen zu orientieren,
      2. Litera b
        Festlegung der anzuwendenden Methoden und der zu bewertenden Kriterien nach einem Bewertungsraster.
    2. Ziffer 2
      Verfahrensrichtlinien, die es der Überwachungsstelle ermöglichen, etwaige Verstöße gegen die Verhaltensregeln zu untersuchen, diesbezügliche Feststellungen zu treffen und im Anlassfall eine geeignete und in den Verhaltensregeln festgelegte Maßnahme vorzusehen.
  3. Absatz 3Die Eignung des Verfahrens gemäß Absatz 2, ist durch eine konzeptionelle Darstellung des Überwachungsverfahrens nachzuweisen.

Streitbeilegungsverfahren

Paragraph 6,

  1. Absatz einsDie Überwachungsstelle hat nach Maßgabe der folgenden Bestimmungen Verfahrensrichtlinien über die Behandlung der bei ihr einlangenden Beschwerden über Verstöße gegen Verhaltensregeln oder über die Art und Weise, in der Verhaltensregeln vom Verantwortlichen oder Auftragsverarbeiter angewendet werden, festzulegen und das diesbezügliche Verfahren und die Strukturen durch Vorlage geeigneter Unterlagen nachzuweisen.
  2. Absatz 2Die Verfahrensrichtlinien haben zu gewährleisten, dass Streitigkeiten innerhalb angemessener Frist, einfach, transparent und auf der Grundlage einer objektiven Bewertung der Umstände der Beschwerde und unter gebührender Berücksichtigung der Rechte der Parteien beurteilt werden.
  3. Absatz 3In den Verfahrensrichtlinien sind insbesondere festzulegen:
    1. Ziffer eins
      Angaben zu den Personen, die für die Behandlung von Beschwerden zuständig sind, einschließlich Angaben über deren Ernennung und die vorgesehene Funktionszeit,
    2. Ziffer 2
      im Falle der Einrichtung eines kollegialen Entscheidungsgremiums, das Recht der Parteien, eine von ihnen ernannte natürliche Person in das Gremium zu entsenden,
    3. Ziffer 3
      das Recht der Parteien, innerhalb angemessener, von der Überwachungsstelle festzulegender Frist, zu Vorbringen der Gegenparteien Stellung zu nehmen,
    4. Ziffer 4
      eine Informationspflicht dahingehend, dass der Beschwerdeführer innerhalb von drei Monaten über den Stand des Verfahrens zu informieren ist, sowie
    5. Ziffer 5
      Gründe, die der Behandlung einer Beschwerde entgegenstehen.
  4. Absatz 4Die Verfahrensrichtlinien sind nach erfolgter Akkreditierung der Überwachungsstelle in allgemein zugänglicher Weise zu veröffentlichen.
  5. Absatz 5Die Überwachungsstelle hat ein Verzeichnis über die bei ihr eingegangenen Beschwerden und die ergriffenen Maßnahmen zu führen und der Datenschutzbehörde jederzeit Zugang zu diesem zu gewähren.

Maßnahmen der Überwachungsstelle

Paragraph 7,

  1. Absatz einsFür den Fall einer Verletzung der Verhaltensregeln durch einen Verantwortlichen oder einen Auftragsverarbeiter hat die Überwachungsstelle Verfahren vorzusehen und durch Vorlage geeigneter Dokumente und Urkunden nachzuweisen, um Maßnahmen zu setzen, welche geeignet sind, einen Verstoß gegen die Verhaltensregeln verlässlich und endgültig abzustellen und eine Wiederholung zu vermeiden.
  2. Absatz 2Als Maßnahmen können vorgesehen werden:
    1. Ziffer eins
      Die Erteilung von Auflagen, verbunden mit der Androhung des Ausschlusses von den Verhaltensregeln, wenn die Einhaltung der Auflagen nicht nachgewiesen wird,
    2. Ziffer 2
      Anleitungen oder Anweisungen, die ein regelkonformes Verhalten ermöglichen,
    3. Ziffer 3
      die Feststellung der nicht regelkonformen Verhaltensweise, verbunden mit einer Ursachenfeststellung sowie Lösungsvorschläge für deren Beseitigung, sowie
    4. Ziffer 4
      der vorläufige oder – im Falle der Wiederholung oder bei schwerwiegenden Verstößen – endgültige Ausschluss von den Verhaltensregeln.
  3. Absatz 3Die ergriffene Maßnahme ist dem Verantwortlichen oder Auftragsverarbeiter schriftlich bekannt zu geben und zu begründen.
  4. Absatz 4Von der Setzung einer Maßnahme gemäß Absatz 2, kann abgesehen werden, wenn durch den Verantwortlichen oder Auftragsverarbeiter geeignete Maßnahmen gesetzt und der entsprechende Verstoß abgestellt wurde.

Berichtspflicht

Paragraph 8,

  1. Absatz einsDie Überwachungsstelle hat der Datenschutzbehörde jährlich bis zum 31. März einen Bericht über die im vorangegangenen Jahr erfolgten Tätigkeiten vorzulegen. Die Berichtspflicht nach Artikel 41, Absatz 4, letzter Satz DSGVO bleibt davon unberührt. Über schwerwiegende Maßnahmen, wie den vorläufigen oder endgültigen Ausschluss von den Verhaltensregeln, ist die Datenschutzbehörde jedenfalls unverzüglich zu informieren.
  2. Absatz 2Die Überwachungsstelle hat interne Berichtsmechanismen festzulegen, die eine regelmäßige Berichterstattung an die Datenschutzbehörde, insbesondere über die Ergebnisse von Überwachungsverfahren gemäß Paragraph 5,, vorsehen.
  3. Absatz 3Unabhängig von der jährlichen Berichtspflicht gemäß Absatz eins, ist der Datenschutzbehörde jeder Umstand oder jede wesentliche Änderung bekanntzugeben, der oder die es der Überwachungsstelle nicht mehr ermöglicht, ihre Aufgaben wahrzunehmen.

Verfahren zur Überprüfung der Verhaltensregeln

Paragraph 9,

  1. Absatz einsDie Überwachungsstelle hat geeignete Verfahren vorzusehen, die es ihr ermöglichen, die Verhaltensregeln dahingehend zu überprüfen, ob für diese ein Änderungsbedarf besteht.
  2. Absatz 2Ein Verfahren ist geeignet, wenn diesem die Ergebnisse der Verfahren gemäß Paragraph 5, Absatz 2,, die Anzahl der Beschwerdeverfahren und die Beschwerdegründe, sowie die gesetzten Maßnahmen bei Verstößen gegen die Verhaltensregeln zu Grunde gelegt werden.

Personenbezogene Bezeichnungen

Paragraph 10,

Bei den in dieser Verordnung verwendeten personenbezogenen Bezeichnungen gilt die gewählte Form für alle Geschlechter.

Verweisungen

Paragraph 11,

Verweisungen in dieser Verordnung auf andere Bundesgesetze sind als Verweisungen auf die jeweils geltende Fassung zu verstehen.

Inkrafttreten

Paragraph 12,

Diese Verordnung tritt mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt in Kraft.

Jelinek