60. Verordnung der Bundesministerin für Inneres über die Durchführung des Vereinsgesetzes (Vereinsgesetz-Durchführungsverordnung - VerGV)
Auf Grund der §§ 18 und 19 Vereinsgesetz 2002 - VerG, BGBl. I Nr. 66, wird verordnet:
Anwendungsbereich
§ 1. (1) Die Verordnung regelt die Verwendung von Daten im Zentralen Vereinsregister (ZVR), die notwendigen Datensicherheitsmaßnahmen, die Einrichtung und Führung des Registers sowie Näheres über die Vorgangsweise bei Einsichtnahme in das Register.
(2) Mit Auftraggebern des öffentlichen Bereichs können zur Erleichterung der zur Wahrnehmung ihrer gesetzlich übertragenen Aufgaben erforderlichen regelmäßigen Abfragen besondere Sicherheits- und Zugriffsvoraussetzungen vereinbart werden, die den durch die folgenden Bestimmungen festgelegten Sicherheitsstandard nicht unterschreiten dürfen.
Begriffsbestimmungen
§ 2. Im Sinne dieser Verordnung sind:
- 1. Abfrageberechtigte: unter Z 2 und 3 Genannte, denen gemäß § 19 Abs. 2 VerG eine Abfrageberechtigung im Zentralen Vereinsregister eingeräumt wurde;
- 2. abfrageberechtigte Organe: Organe von Gebietskörperschaften, denen gemäß § 19 Abs. 2 VerG auf Verlangen eine Abfrageberechtigung im Zentralen Vereinsregister im Datenfernverkehr eingeräumt wurde;
- 3. abfrageberechtigte Körperschaften: Körperschaften des öffentlichen Rechts, denen gemäß § 19 Abs. 2 VerG auf Antrag eine Abfrageberechtigung im Zentralen Vereinsregister im Datenfernverkehr eingeräumt wurde;
- 4. Zugriffsberechtigte: Mitarbeiter von Abfrageberechtigten, denen der physische Zugriff auf die im ZVR verarbeiteten Daten eingeräumt wurde.
Datenüberlassung
§ 3. Die Vereinsbehörden erster Instanz haben die gemäß § 16 Abs. 1 Z 1 bis 17 VerG verarbeiteten Daten unverzüglich dem Bundesminister für Inneres als Betreiber des ZVR und Dienstleister im Weg der Datenfernübertragung zu überlassen.
Abfrageberechtigung
§ 4. (1) Unbeschadet der Bestimmungen des Abs. 2 ist der Bundesminister für Inneres ermächtigt, jedermann die gebührenfreie Abfrage der im ZVR verarbeiteten Daten gemäß § 16 Abs. 1 Z 1 bis 7, 10 bis 13 und 16 VerG eines nach seinem Namen oder seiner ZVR-Zahl bestimmten Vereins, für den keine Auskunftssperre gemäß § 17 Abs. 4 VerG besteht, im Weg des Datenfernverkehrs zu eröffnen (Online-Einzelabfrage).
(2) Ein Antrag oder Verlangen gemäß § 19 Abs. 2 VerG ist im Wege des namhaft gemachten Verantwortlichen (§ 5) schriftlich an den Betreiber zu richten und hat überdies den Hinweis zu enthalten, dass die beantragende oder verlangende Stelle die notwendigen technischen und organisatorischen Vorgaben des Betreibers für die Einräumung einer Abfrageberechtigung zustimmend zur Kenntnis genommen hat, die dieser allgemein zugänglich zur Verfügung stellt.
Verantwortlicher
§ 5. (1) Vereinsbehörden und Abfrageberechtigte haben dem Betreiber bei Antragstellung zumindest einen Verantwortlichen für die Datensicherheitsmaßnahmen im Rahmen der Datenanwendung für das ZVR zu benennen.
(2) Als Verantwortliche können auch Dienstleister in Anspruch genommen und benannt werden.
Zugriffsberechtigung
§ 6. Der gemäß § 5 benannte Verantwortliche hat in seinem Zuständigkeitsbereich die Zugriffsberechtigungen für das ZVR für die einzelnen Zugriffsberechtigten individuell zuzuweisen und dem Betreiber auf Verlangen Zugriff auf Verzeichnisse der Zugriffsberechtigten im Wege des Datenfernverkehrs zu gewähren.
Abfragemodalität
§ 7. (1) Für eine Abfrage aus dem ZVR ist der gesuchte Verein nach seinem Namen oder seiner ZVR-Zahl eindeutig zu bestimmen.
(2) Abfrageberechtigte haben vor Auskunftserteilung darüber hinaus jedenfalls noch einen Bezug zu einem bestimmten Aktenvorgang anzugeben.
Mitteilungen an den Betreiber
§ 8. Vereinsbehörden und Abfrageberechtigte haben dem Betreiber unverzüglich mitzuteilen:
- 1. die Inanspruchnahme, den Wechsel oder das Ausscheiden eines Dienstleisters oder
- 2. das Auftreten von Programmstörungen, die den Datenbestand gefährden können.
Entzug der Zugriffsberechtigung oder der Abfrageberechtigung
§ 9. (1) Zugriffsberechtigte sind vom jeweils benannten Verantwortlichen von der weiteren Benutzung auf Dauer oder für eine bestimmte Zeit von der Ausübung ihrer Zugriffsberechtigung auszuschließen, wenn
- 1. sie diese zur weiteren Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder
- 2. sie die Daten nicht entsprechend den für den Betrieb des ZVR maßgeblichen Bestimmungen verwenden.
(2) Der Entzug der Abfrageberechtigung richtet sich nach § 19 Abs. 5 VerG.
Belehrungspflicht
§ 10. Vereinsbehörden und Abfrageberechtigte haben sicherzustellen, dass Zugriffe auf das ZVR nur erfolgen, wenn die Zugriffsberechtigten über die Bestimmungen gemäß § 15 Datenschutzgesetz 2000, BGBl. I Nr. 165/1999, und den Inhalt dieser Verordnung belehrt wurden.
Datensicherheitsmaßnahmen
§ 11. (1) Der gemäß § 5 benannte Verantwortliche hat nach Maßgabe des jeweiligen Standes der Technik und der organisatorischen Möglichkeiten den Zugriffsschutz zu personenbezogenen Daten und die erforderlichen Datensicherheitsmaßnahmen zu organisieren und umzusetzen. Er hat insbesondere die Zuständigkeiten und Regeln für die Programmverwaltung für das ZVR oder für die Abfrage aus dem ZVR in seinem Bereich festzulegen, sowie die Voraussetzungen für den physischen Zugriff auf die Daten des ZVR in seinem Zuständigkeitsbereich zu schaffen.
(2) Abfrageberechtigte, bei denen ein Verantwortlicher zur Erteilung von Zugriffsberechtigungen ermächtigt wurde, und Vereinsbehörden haben dafür zu sorgen, dass für den Bereich der Systeme, über die der Zugang zum ZVR erfolgen soll, eine nach den Vorgaben des Betreibers zu gestaltende Datensicherheitsvorschrift, in der die für den Betrieb des ZVR oder für Abfragen aus diesem erforderlichen Datensicherheitsmaßnahmen anzuordnen sind, erlassen wird.
(3) Über die getroffenen Datensicherheitsmaßnahmen sind Aufzeichnungen zu führen, die - sofern gesetzlich nicht ausdrücklich anderes angeordnet ist - mindestens drei Jahre nach Ablauf von deren Gültigkeit aufzubewahren sind.
Zutritt zu Räumen
§ 12. (1) Vereinsbehörden und Abfrageberechtigte haben durch organisatorische und technische Vorkehrungen sicherzustellen, dass der Zutritt zu Räumen, in denen sich eine Zugriffsmöglichkeit auf das ZVR befindet, grundsätzlich nur von in ihrem Auftrag Tätigen möglich ist.
(2) Ist es erforderlich, dass in Räumen mit einer Zugriffsmöglichkeit auf das ZVR Parteienverkehr stattfindet, ist jedenfalls sicherzustellen, dass eine Einsichtnahme in die Daten des ZVR durch Außenstehende nicht möglich ist.
(3) Mitgliedern der Datenschutzkommission, des Datenschutzrates sowie dem Betreiber ist nach erfolgter Ausweisleistung der Zutritt zu gewähren, sofern sie im dienstlichen Auftrag tätig werden. Auf Verlangen sind die für deren Aufgabenerfüllung erforderlichen Auskünfte zu erteilen.
(4) Nähere Bestimmungen über den Zutritt, insbesondere auch Regelungen über den Zutritt anderer als der in Abs. 1 bis 3 genannten Personen und dessen Dokumentation sind in einer Datensicherheitsvorschrift (§ 11) zu treffen.
Technische Vorkehrungen bei Vereinsbehörden und Abfrageberechtigten
§ 13. (1) Für den Verbindungsaufbau zum ZVR dürfen nur Geräte zum Einsatz kommen, die dafür über ein vom Betreiber anerkanntes Protokoll kommunizieren. Vereinsbehörden haben überdies vom Betreiber zur Verfügung gestellte Software-Zertifikate zu verwenden. Diese Software-Zertifikate sind Schlüssel, die den Zugang zum ZVR über dezentrale Systeme eröffnen und jedes zugriffsberechtigte System eindeutig identifizieren. Anstelle von Arbeitsplatz-Systemen kann mit einem vom Betreiber anerkannten Zertifikat auch ein Gateway-System authentifiziert werden, das sich in der Verfügung des Anwenders oder eines von ihm beauftragten Dienstleisters befindet; eine solche Authentifizierung ohne Arbeitsplatzzertifikat ist nur zulässig, wenn im Bereich des Gatewaybetreibers zwischen diesem und den über ihn zugreifenden Datenendgeräten vom Betreiber als sicher anerkannte Verbindungen bestehen, wie dies etwa bei einem geschlossenen Netzwerk der Fall ist.
(2) Es ist sicherzustellen, dass der Zugriff auf das ZVR nur nach geeigneter Identifikation des Zugriffsberechtigten möglich ist. Kennwörter sind jedenfalls geheim zu halten und müssen nach Maßgabe der technischen Möglichkeiten in periodischen Zeitabständen geändert werden.
(3) Wird ein Gerät, das den Zugang zum ZVR ermöglicht, aus dem bisherigen Arbeitsbereich entfernt, ist sicherzustellen, dass eine unberechtigte Verwendung des Programms für den Zugriff auf das ZVR oder von Daten des ZVR ausgeschlossen ist; insbesondere ist das auf dem jeweiligen Gerät allenfalls installierte Zertifikat zu entfernen.
(4) Es ist sicherzustellen, dass nach den Vorgaben des Betreibers geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen getroffen werden, um eine Vernichtung oder Veränderung der Daten sowie eine Abfrage aus dem ZVR durch Zugriffe unberechtigter Menschen oder Systeme zu verhindern.
Kontrolle durch den Betreiber
§ 14. Der Betreiber kann im Zusammenwirken mit der Vereinsbehörde durch Stichproben überprüfen, ob die Verwendung der Daten des ZVR im dortigen Bereich den einschlägigen Bestimmungen entsprechend erfolgt und die erforderlichen Datensicherheitsmaßnahmen ergriffen worden sind.
Dienstleister
§ 15. Bedienen sich Vereinsbehörden oder Abfrageberechtigte für den Datenverkehr mit dem Zentralen Vereinsregister eines Dienstleisters, haben sie diesen zur Einhaltung aller datenschutzrechtlichen Bestimmungen und zur Ergreifung der in dieser Verordnung vorgesehenen Datensicherheitsmaßnahmen zu verpflichten.
Dokumentation
§ 16. Soweit sich aus der Datenanwendung selbst oder einem allenfalls beim Datenverkehr mit dem ZVR bekannt zu gebenden Bezug nicht die Nachvollziehbarkeit der Verwendungsvorgänge ergibt, sind von den Vereinsbehörden und Abfrageberechtigten Aufzeichnungen zu führen, die die Zulässigkeit der tatsächlich im Bereich des ZVR durchgeführten Verwendungsvorgänge im notwendigen Ausmaß überprüfbar machen.
Zeitpunkt der Aufnahme des Echtbetriebes des ZVR
§ 17. Der Echtbetrieb des ZVR wird am 1. Jänner 2006 aufgenommen.
Sprachliche Gleichbehandlung
§ 18. Soweit in dieser Verordnung auf natürliche Personen bezogene Bezeichnungen nur in männlicher Form angeführt sind, beziehen sie sich auf Frauen und Männer in gleicher Weise. Bei der Anwendung der Bezeichnung auf bestimmte natürliche Personen ist die jeweils geschlechtsspezifische Form zu verwenden.
In- und Außer-Kraft-Treten
§ 19. (1) Diese Verordnung tritt mit 1. Jänner 2006 in Kraft, gleichzeitig tritt die Vereinsdatensicherheitsmaßnahmen-Verordnung, BGBl. II Nr. 443/2003, außer Kraft.
(2) Bereits auf Grund der Vereinsdatensicherheitsmaßnahmen-Verordnung benannte Verantwortliche gelten als nach dieser Verordnung benannt und erteilte Zertifikate als nach dieser Verordnung erteilt. Ebenso bleiben Datensicherheitsmaßnahmen, die bereits für den Aufbau des ZVR ergriffen wurden, in Geltung.
Prokop
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)