VerGV
Vorwort/Präambel
(1) Die Verordnung regelt die Verarbeitung von Daten im Zentralen Vereinsregister (ZVR), die notwendigen Datensicherheitsmaßnahmen, die Einrichtung und Führung des Registers sowie Näheres über die Vorgangsweise bei Einsichtnahme in das Register.
(2) Mit Verantwortlichen des öffentlichen Bereichs können zur Erleichterung der zur Wahrnehmung ihrer gesetzlich übertragenen Aufgaben erforderlichen regelmäßigen Abfragen besondere Sicherheits- und Zugriffsvoraussetzungen vereinbart werden, die den durch die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und die folgenden Bestimmungen festgelegten Sicherheitsstandard nicht unterschreiten dürfen.
Im Sinne dieser Verordnung sind:
1. Abfrageberechtigte: unter Z 2 und 3 Genannte, denen gemäß § 19 Abs. 2 VerG eine Abfrageberechtigung im Zentralen Vereinsregister eingeräumt wurde;
2. abfrageberechtigte Organe: Organe von Gebietskörperschaften, denen gemäß § 19 Abs. 2 VerG auf Verlangen eine Abfrageberechtigung im Zentralen Vereinsregister im Datenfernverkehr eingeräumt wurde;
3. abfrageberechtigte Körperschaften: Körperschaften des öffentlichen Rechts, denen gemäß § 19 Abs. 2 VerG auf Antrag eine Abfrageberechtigung im Zentralen Vereinsregister im Datenfernverkehr eingeräumt wurde;
4. Zugriffsberechtigte: Mitarbeiter von Abfrageberechtigten, denen der physische Zugriff auf die im ZVR verarbeiteten Daten eingeräumt wurde.
Ein Antrag oder Verlangen gemäß § 19 Abs. 2 VerG ist im Wege des namhaft gemachten Zuständigen für Datensicherheitsmaßnahmen (§ 5) schriftlich an den Bundesminister für Inneres zu richten und hat überdies den Hinweis zu enthalten, dass die beantragende oder verlangende Stelle in die notwendigen technischen und organisatorischen Vorgaben des Bundesministers für Inneres für die Einräumung einer Abfrageberechtigung eingewilligt hat, die dieser allgemein zugänglich bereitstellt.
(1) Vereinsbehörden und Abfrageberechtigte haben dem Bundesminister für Inneres bei Antragstellung zumindest einen Zuständigen für die Datensicherheitsmaßnahmen im Rahmen der Datenverarbeitung für das ZVR zu benennen.
(2) Als Zuständige können auch Auftragsverarbeiter in Anspruch genommen und benannt werden.
Der gemäß § 5 benannte Zuständige hat in seinem Zuständigkeitsbereich die Zugriffsberechtigungen für das ZVR für die einzelnen Zugriffsberechtigten individuell zuzuweisen und dem Bundesminister für Inneres auf Verlangen Zugriff auf Verzeichnisse der Zugriffsberechtigten im Wege des Datenfernverkehrs zu gewähren.
Abfrageberechtigte haben, sofern es sich nicht um eine Online-Einzelabfrage handelt (§ 19 Abs. 3 VerG), vor Auskunftserteilung einen Bezug zu einem bestimmten Aktenvorgang anzugeben.
Vereinsbehörden und Abfrageberechtigte haben dem Bundesminister für Inneres unverzüglich mitzuteilen:
1. die Inanspruchnahme, den Wechsel oder das Ausscheiden eines Auftragsverarbeiters oder
2. das Auftreten von Programmstörungen, die den Datenbestand gefährden können.
(1) Zugriffsberechtigte sind vom jeweils benannten Zuständigen gemäß § 5 von der weiteren Benutzung auf Dauer oder für eine bestimmte Zeit von der Ausübung ihrer Zugriffsberechtigung auszuschließen, wenn
1. sie diese zur weiteren Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder
2. sie die Daten nicht entsprechend den für den Betrieb des ZVR maßgeblichen Bestimmungen verarbeiten.
(2) Der Entzug der Abfrageberechtigung richtet sich nach § 19 Abs. 5 VerG.
Vereinsbehörden und Abfrageberechtigte haben sicherzustellen, dass Zugriffe auf das ZVR nur erfolgen, wenn die Zugriffsberechtigten über die Bestimmungen gemäß § 6 Datenschutzgesetz (DSG), BGBl. I Nr. 165/1999, und den Inhalt dieser Verordnung belehrt wurden.
(1) Der gemäß § 5 benannte Zuständige hat nach Maßgabe des jeweiligen Standes der Technik und der organisatorischen Möglichkeiten den Zugriffsschutz zu personenbezogenen Daten und die erforderlichen Datensicherheitsmaßnahmen zu organisieren und umzusetzen. Er hat insbesondere die Zuständigkeiten und Regeln für die Programmverwaltung für das ZVR oder für die Abfrage aus dem ZVR in seinem Bereich festzulegen, sowie die Voraussetzungen für den physischen Zugriff auf die Daten des ZVR in seinem Zuständigkeitsbereich zu schaffen.
(2) Über die getroffenen Datensicherheitsmaßnahmen sind Aufzeichnungen zu führen, die – sofern gesetzlich nicht ausdrücklich anderes angeordnet ist mindestens drei Jahre nach Ablauf von deren Gültigkeit aufzubewahren sind.
(1) Vereinsbehörden und Abfrageberechtigte haben durch organisatorische und technische Vorkehrungen sicherzustellen, dass der Zutritt zu Räumen, in denen sich eine Zugriffsmöglichkeit auf das ZVR befindet, grundsätzlich nur von in ihrem Auftrag Tätigen möglich ist.
(2) Ist es erforderlich, dass in Räumen mit einer Zugriffsmöglichkeit auf das ZVR Parteienverkehr stattfindet, ist jedenfalls sicherzustellen, dass eine Einsichtnahme in die Daten des ZVR durch Außenstehende nicht möglich ist.
(3) Mitgliedern der Datenschutzbehörde, des Datenschutzrates sowie dem Bundesminister für Inneres ist nach erfolgter Ausweisleistung der Zutritt zu gewähren, sofern sie im dienstlichen Auftrag tätig werden. Auf Verlangen sind die für deren Aufgabenerfüllung erforderlichen Auskünfte zu erteilen.
(Anm.: Abs. 4 aufgehoben durch Art. 4 Z 19, BGBl. I Nr. 104/2018)
(1) Für den Verbindungsaufbau zum ZVR dürfen nur Geräte zum Einsatz kommen, die dafür über ein vom Bundesminister für Inneres anerkanntes Protokoll kommunizieren. Vereinsbehörden haben überdies vom Bundesminister für Inneres zur Verfügung gestellte Software-Zertifikate zu verwenden. Diese Software-Zertifikate sind Schlüssel, die den Zugang zum ZVR über dezentrale Systeme eröffnen und jedes zugriffsberechtigte System eindeutig identifizieren. Anstelle von Arbeitsplatz-Systemen kann mit einem vom Bundesminister für Inneres anerkannten Zertifikat auch ein Gateway-System authentifiziert werden, das sich in der Verfügung des Anwenders oder eines von ihm beauftragten Auftragsverarbeiters befindet; eine solche Authentifizierung ohne Arbeitsplatzzertifikat ist nur zulässig, wenn im Bereich des Gatewaybetreibers zwischen diesem und den über ihn zugreifenden Datenendgeräten vom Bundesminister für Inneres als sicher anerkannte Verbindungen bestehen, wie dies etwa bei einem geschlossenen Netzwerk der Fall ist.
(2) Es ist sicherzustellen, dass der Zugriff auf das ZVR nur nach geeigneter Identifikation des Zugriffsberechtigten möglich ist. Kennwörter sind jedenfalls geheim zu halten und müssen nach Maßgabe der technischen Möglichkeiten in periodischen Zeitabständen geändert werden.
(3) Wird ein Gerät, das den Zugang zum ZVR ermöglicht, aus dem bisherigen Arbeitsbereich entfernt, ist sicherzustellen, dass eine unberechtigte Verwendung des Programms für den Zugriff auf das ZVR oder von Daten des ZVR ausgeschlossen ist; insbesondere ist das auf dem jeweiligen Gerät allenfalls installierte Zertifikat zu entfernen.
(4) Es ist sicherzustellen, dass nach den Vorgaben des Bundesministers für Inneres geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen getroffen werden, um eine Vernichtung oder Veränderung der Daten sowie eine Abfrage aus dem ZVR durch Zugriffe unberechtigter Menschen oder Systeme zu verhindern.
Der Bundesminister für Inneres kann im Zusammenwirken mit der Vereinsbehörde durch Stichproben überprüfen, ob die Verarbeitung der Daten des ZVR im dortigen Bereich den einschlägigen Bestimmungen entsprechend erfolgt und die erforderlichen Datensicherheitsmaßnahmen ergriffen worden sind.
Bedienen sich Vereinsbehörden oder Abfrageberechtigte für den Datenverkehr mit dem Zentralen Vereinsregister eines Auftragsverarbeiters, haben sie diesen zur Einhaltung aller datenschutzrechtlichen Bestimmungen und zur Ergreifung der in dieser Verordnung vorgesehenen Datensicherheitsmaßnahmen zu verpflichten.
Soweit sich aus der Datenverarbeitung selbst oder einem allenfalls beim Datenverkehr mit dem ZVR bekannt zu gebenden Bezug nicht die Nachvollziehbarkeit der Verarbeitungsvorgänge ergibt, sind von den Vereinsbehörden und Abfrageberechtigten Aufzeichnungen zu führen, die die Zulässigkeit der tatsächlich im Bereich des ZVR durchgeführten Verarbeitungsvorgänge im notwendigen Ausmaß überprüfbar machen.
Soweit in dieser Verordnung auf natürliche Personen bezogene Bezeichnungen nur in männlicher Form angeführt sind, beziehen sie sich auf Frauen und Männer in gleicher Weise. Bei der Anwendung der Bezeichnung auf bestimmte natürliche Personen ist die jeweils geschlechtsspezifische Form zu verwenden.
(1) Diese Verordnung tritt mit 1. Jänner 2006 in Kraft, gleichzeitig tritt die Vereinsdatensicherheitsmaßnahmen-Verordnung, BGBl. II Nr. 443/2003, außer Kraft.
(2) Bereits auf Grund der Vereinsdatensicherheitsmaßnahmen-Verordnung benannte Verantwortliche gelten als nach dieser Verordnung benannt und erteilte Zertifikate als nach dieser Verordnung erteilt. Ebenso bleiben Datensicherheitsmaßnahmen, die bereits für den Aufbau des ZVR ergriffen wurden, in Geltung.
(3) Die §§ 4 und 7 in der Fassung der Verordnung BGBl. II Nr. 218/2008 treten mit 1. Juli 2008 in Kraft.
(4) Die Promulgationsklausel, § 1, § 4, § 5 samt Überschrift, § 6, § 8 samt Überschrift, § 9 Abs. 1, § 10, § 11, § 12 Abs. 3, § 13 Abs. 1 und 4, § 14 samt Überschrift, § 15 samt Überschrift sowie § 16 in der Fassung der Verordnung BGBl. II Nr. 104/2018 treten mit 25. Mai 2018 in Kraft; gleichzeitig treten § 3 samt Überschrift, § 12 Abs. 4 sowie § 17 samt Überschrift außer Kraft.
