Stellungnahmen

Die Datenschutzbehörde hat bis 23.04. eine öffentliche Konsultation über den Entwurf einer Verordnung über die Anforderungen an eine Stelle für die Überwachung der Einhaltung von Verhaltensregeln (Überwachungsstellenakkreditierungs-Verordnung – ÜStAkk-V) durchgeführt.

Hintergrund

Die Überwachung und Einhaltung von genehmigten Verhaltensregeln kann gemäß Art. 41 Abs. 1 DSGVO von einer Stelle durchgeführt werden, die von der zuständigen Aufsichtsbehörde zu diesem Zweck akkreditiert wurde. Mit dem vorliegenden Entwurf sollen – in Umsetzung der unionsrechtlichen Verpflichtung des Art. 57 Abs. 1 lit. p DSGVO und den innerstaatlichen Vorgaben des § 21 Abs. 3 Datenschutzgesetz (DSG) – im Verordnungsweg die Anforderungen an eine Stelle für die Überwachung der Einhaltung von Verhaltensregeln festgelegt werden. Die Erteilung der Akkreditierung zur Überwachungsstelle wird dabei an verschiedene Erfordernisse bzw. Bedingungen geknüpft, deren Vorliegen die Überwachungsstelle erfüllen und gegenüber der Datenschutzbehörde als der zuständigen Aufsichtsbehörde in einem Genehmigungsverfahren nachweisen muss.

Überblick über die Eckpunkte des Entwurfs:

• Formelle Akkreditierungsvoraussetzungen und Akkreditierungsverfahren
  • Die Akkreditierung einer Überwachungsstelle ist nicht an eine bestimmte Rechtsform gebunden. Diese erfolgt auf Grund eines schriftlichen Antrages an die DSB. Hierzu enthält der Entwurf formelle Kriterien für die Einreichung des Antrages. Diese formellen Angaben sind durch Vorlage geeigneter Dokumente und Urkunden zu bescheinigen.
• Kriterien für die Beurteilung der Unabhängigkeit und des Fachwissens der Überwachungsstelle
  • Die Überwachungsstelle soll in keinem rechtlichen (z.B. eine gesellschaftsrechtliche Verflechtung insbesondere in Form einer Beteiligung), wirtschaftlichen (bspw. dadurch, dass die Überwachungsstelle Tätigkeiten für die zu Überwachenden vornimmt), persönlichen (etwa in Form familiärer Verflechtungen) oder fachlichen (bspw. dadurch, dass die zu Überwachenden in Datenschutzfragen von der Überwachungsstelle beraten werden) Abhängigkeits- bzw. Naheverhältnis zu den zu Überwachenden stehen, die ihr Urteil bzw. ihre Unabhängigkeit und Integrität bei ihrer Tätigkeit als unabhängige Stelle in Frage stellen könnte.
  • Die Unabhängigkeit könnte durch die Vorlage von Vereinsstatuten oder die Offenlegung der wirtschaftlichen Eigentümer der antragstellenden Stelle nachgewiesen werden.
  • Der Nachweis des Fachwissens ist von den entscheidungsbefugten Personen der Überwachungsstelle entweder durch eine einschlägige Ausbildung oder durch eine einschlägige berufliche Tätigkeit zu erbringen. Vor dem Hintergrund der konkret zu überwachenden Verhaltensregeln ist die erforderliche fachliche Eignung stets eine Einzelfallbetrachtung. Es werden in der Verordnung demonstrativ jene Kenntnisse genannt, deren Vorliegen das Fachwissen bescheinigen. Beispielsweise durch:
    • erfolgreichen Abschluss eines einschlägigen Studiums an einer österreichischen oder einer als gleichwertig anerkannten ausländischen Universität oder einer Fachhochschule oder
    • eine mindestens fünfjährige einschlägige Tätigkeit in dem Fachgebiet der zu überwachenden Verhaltensregeln oder in den für die Organisation oder den Sektor, für den die Akkreditierung beantragt wird, wesentlichen Fachbereichen, sowie jedenfalls ausgezeichnete Kenntnisse des Datenschutzrechts und seiner Anwendung.
• Überwachungsverfahren
  • Eine Überwachungsstelle hat über geeignete Verfahren zu verfügen, die es ihr ermöglichen, die Einhaltung der Verhalten zu überwachen und die Anwendung der Verhaltensregeln regelmäßig zu überprüfen. So kann es beispielsweise zweckmäßig sein, ein (standardisiertes) Überprüfungsverfahren einzuführen, um sicherzustellen, dass die Bestimmungen der Verhaltensregeln von einem Verantwortlichen oder Auftragsverarbeiter angewendet werden können. Sie hat auch Verfahren und Strukturen einzurichten, um die Einhaltung der Verhaltensregeln aktiv zu überwachen, wie beispielsweise Stichprobenprüfungen und Auditierungen.
• Streitbeilegungsverfahren
  • Die Überwachungsstelle hat Verfahrensrichtlinien über die Behandlung der bei ihr einlangenden Beschwerden über Verstöße gegen Verhaltensregeln festzulegen und das diesbezügliche Verfahren und die Strukturen durch Vorlage geeigneter Unterlagen nachzuweisen.
  • Die Verfahrensrichtlinien haben zu gewährleisten, dass Streitigkeiten praktisch, einfach und auf der Grundlage einer objektiven Bewertung der Umstände der Beschwerde und unter gebührender Berücksichtigung der Rechte der Parteien beurteilt werden.
• Maßnahmen der Überwachungsstelle
  • Für den Fall einer Verletzung der Verhaltensregeln hat die Überwachungsstelle Verfahren vorzusehen und durch Vorlage geeigneter Dokumente und Urkunden nachzuweisen, welche Maßnahmen geeignet sind, um einen Verstoß gegen die Verhaltensregeln verlässlich und endgültig abzustellen und eine Wiederholung zu vermeiden.
  • Als Maßnahmen können u.a. vorgesehen werden:
  • Die Erteilung von Auflagen, verbunden mit der Androhung des Ausschlusses von den Verhaltensregeln, wenn die Einhaltung der Auflagen nicht nachgewiesen wird,
  • Anleitungen bzw. Anweisungen, die ein regelkonformes Verhalten ermöglichen,
  • der vorläufige oder – im Falle der Wiederholung oder bei schwerwiegenden Verstößen – endgültige Ausschluss von den Verhaltensregeln.
  • Die ergriffene Maßnahme ist dem Verantwortlichen oder Auftragsverarbeiter schriftlich bekannt zu geben.
• Transparenzverpflichtungen
  • Die Überwachungsstelle hat der Datenschutzbehörde jährlich bis zum 31. März einen Bericht über die im vorangegangenen Jahr erfolgten Tätigkeiten vorzulegen.

• Die Eckpunkte der Stellungnahme sind:

  • Forderung, dass der Verordnungsentwurf die Akkreditierung sowohl von internen als auch von externen Überwachungsstellen zulassen soll
  • Hinweis, dass die Zuständigkeit für die Antragstellung für die Akkreditierung einer Aufsichtsstelle im Entwurf näher ausgelegt werden soll, um die Verordnung anwenderfreundlicher zu gestalten
  • Hinweis, dass eine eindeutige Verknüpfung der Aufsichtsstelle mit den jeweiligen Verhaltensregeln im Sinne der Rechtssicherheit und Transparenz zwingend erforderlich ist
  • Anmerkung, dass im Sinne der Kosteneffizienz und einer ökonomischen Verwaltung Aufsichtsgremien als eine Einheit zu akkreditieren sind
  • Hinweis, dass hinsichtlich der Unabhängigkeitsanforderungen an die Überwachungsstelle in § 3 des Entwurfs Gold Plating hintangehalten werden soll
  • Anmerkung, dass die fachlichen Anforderungen an die Überwachungsstelle im Entwurf zu hoch angesetzt sind
  • Forderung, dass eine verpflichtende Überprüfung durch die Überwachungsstelle im Sinne der Ressourceneffizienz nur in Anlass- oder Beschwerdefällen erfolgen soll
  • Hinweis, dass die Berichtspflichten an die DSB überschießend sind und auch nicht von der DSGVO verlangt werden