Verordnung des Bundesministers für Inneres über die Verwendung der Vereinsdaten zum Aufbau und Betrieb des Zentralen Vereinsregisters (Vereinsdatensicherheitsmaßnahmen-Verordnung – VereinsDS-VO)

Abkürzung

VereinsDS-VO

Präambel/Promulgationsklausel

Auf Grund des § 18 Vereinsgesetz 2002 - VerG, BGBl. I Nr. 66, wird verordnet:

Anwendungsbereich

§ 1. Die Verordnung regelt Datensicherheitsmaßnahmen beim Verwenden von Daten zum Aufbau und Betrieb bis zur Aufnahme des Echtbetriebes des Zentralen Vereinsregisters (§ 18 Vereinsgesetz 2002) durch die Vereinsbehörden.

Datenmigration

§ 2. Die Vereinsbehörden erster Instanz haben ab dem 1. Oktober 2003 dem Bundesminister für Inneres für die Zwecke des Zentralen Vereinsregisters (ZVR) ihre Vereinsdaten gemäß § 16 Abs. 1 Z 1 bis 17 VerG im Weg der Datenfernübertragung zu überlassen. Die nach dem 1. Oktober 2003 bei den Vereinsbehörden erster Instanz anfallenden Vereinsdaten gemäß § 16 Abs. 1 Z 1 bis 17 VerG sind von diesen unverzüglich dem Bundesminister für Inneres für die Zwecke des ZVR zu überlassen.

Zugriffe auf Daten des Zentralen Vereinsregisters

§ 3. Jeglicher Zugriff der Vereinsbehörden auf die im Zentralen Vereinsregister (ZVR) verarbeiteten oder zu verarbeitenden Daten darf nur in Vollziehung des Vereinsgesetzes erfolgen.

Zugriffsberechtigte

§ 4. Die Vereinsbehörde hat sicherzustellen, dass Zugriff auf das ZVR nur eingeräumt wird, wenn die Zugriffsberechtigten über die Bestimmungen gemäß § 15 Datenschutzgesetz 2000, BGBl. I Nr. 165/1999, und den Inhalt dieser Verordnung belehrt wurden.

Datensicherheitsmaßnahmen

§ 5. (1) Jede Vereinsbehörde hat zumindest einen Verantwortlichen für die Datensicherheitsmaßnahmen im Rahmen der Datenverarbeitung für das ZVR zu benennen; dieser kann vom Bundesminister für Inneres ermächtigt werden, Zugriffsberechtigungen für den Betrieb des ZVR zu erteilen, sofern der Bundesminister für Inneres als Betreiber des ZVR (im Weiteren: Betreiber) die Berechtigungen nicht selbst vergibt.

(2) Der gemäß Abs. 1 Verantwortliche hat nach Maßgabe des jeweiligen Standes der Technik und der organisatorischen Möglichkeiten den Zugriffsschutz zu personenbezogenen Daten und die erforderlichen Datensicherheitsmaßnahmen zu organisieren und umzusetzen. Er hat insbesondere die Zuständigkeiten und Regeln für die Programmverwaltung und die Datensicherung in seinem Bereich festzulegen. Sofern er zur Erteilung von Zugriffsberechtigungen gemäß Abs. 1 ermächtigt worden ist, hat er für seinen Zuständigkeitsbereich die Zugriffsberechtigungen für das ZVR für die einzelnen Benutzer individuell zuzuweisen.

(3) Über Datensicherheitsmaßnahmen gemäß Abs. 2 hat der Verantwortliche Aufzeichnungen zu führen, die mindestens drei und höchstens sechs Jahre aufzubewahren sind.

(4) Die Vereinsbehörden haben dafür zu sorgen, dass für den Bereich der Systeme, über die der Zugang zum ZVR erfolgen soll, eine nach den Vorgaben des Betreibers zu gestaltende Datensicherheitsvorschrift, in der sämtliche für den Betrieb des ZVR erforderlichen Datensicherheitsmaßnahmen anzuordnen sind, erlassen wird.

Entzug der Zugriffsberechtigung

§ 6. (1) Benutzer sind vom gemäß § 5 Abs. 1 Verantwortlichen von der weiteren Benutzung für immer oder für eine bestimmte Zeit von der Ausübung ihrer Zugriffsberechtigung auszuschließen, wenn

(2) Unter den in Abs. 1 genannten Voraussetzungen kann auch der Betreiber einen Benutzer von der weiteren Benutzung ausschließen oder dies anordnen.

Zutritt zu Räumen

§ 7. (1) Die Vereinsbehörden haben durch organisatorische und technische Vorkehrungen sicherzustellen, dass der Zutritt zu Räumen, in denen sich eine Zugriffsmöglichkeit auf das ZVR befindet, grundsätzlich nur Bediensteten der Behörde möglich ist.

(2) Ist es erforderlich, dass in Räumen mit einer Zugriffsmöglichkeit auf das ZVR Parteienverkehr stattfindet, ist jedenfalls sicherzustellen, dass eine Einsichtnahme in die Daten des ZVR durch Außenstehende nicht möglich ist.

(3) Mitgliedern der Datenschutzkommission und des Datenschutzrates ist nach erfolgter Ausweisleistung der Zutritt zu gewähren, sofern sie im dienstlichen Auftrag tätig werden. Auf Verlangen sind die für deren Aufgabenerfüllung erforderlichen Auskünfte zu erteilen.

(4) Nähere Bestimmungen über den Zutritt, insbesondere auch Regelungen über den Zutritt anderer als der in Abs. 1 bis 3 genannten Personen - wie zB Angehörigen von Wartungsfirmen - und dessen Dokumentation sind von der Vereinsbehörde in einer Datensicherheitsvorschrift (§ 5 Abs. 4) zu treffen.

Technische Vorkehrungen

§ 8. (1) Es ist sicherzustellen, dass geeignete, dem jeweiligen Stand der Technik entsprechende Wirtschaftlichkeitsüberlegungen berücksichtigende Vorkehrungen getroffen werden, um eine Vernichtung oder Veränderung der Daten durch Programmstörungen (Viren) zu verhindern.

(2) Wird ein Gerät, das den Zugang zum ZVR ermöglicht, aus dem Behördenbereich oder einer Dienststelle entfernt, ist sicherzustellen, dass eine unberechtigte Verwendung des Programms für den Zugriff auf das ZVR oder von Daten des ZVR ausgeschlossen ist.

(3) Es ist sicherzustellen, dass der Zugriff auf das ZVR nur nach Eingabe einer Benutzerkennung und eines Kennwortes möglich ist. Kennwörter sind jedenfalls geheim zu halten und müssen nach Maßgabe der technischen Möglichkeiten in periodischen Zeitabständen geändert werden.

(4) Für den Verbindungsaufbau zum ZVR sind vom Betreiber zur Verfügung gestellte Software-Zertifikate zu verwenden. Software-Zertifikate sind Schlüssel, die den Zugang zum ZVR über dezentrale Systeme eröffnen und jedes zugriffsberechtigte System eindeutig identifizieren. Anstelle von Arbeitsplatz-Systemen kann mit einem Zertifikat auch ein Gateway-System authentifiziert werden, das sich in der Verfügung des Anwenders oder eines von ihm beauftragten Dienstleisters befindet.

(5) Es ist sicherzustellen, dass nach den Vorgaben des Betreibers geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen getroffen werden, um eine Vernichtung, Veränderung oder Abfrage der Daten des ZVR durch unberechtigte Zugriffe durch Benutzer oder Systeme zu verhindern.

Kontrolle der Einhaltung datenschutzrechtlicher Bestimmungen und von

Datensicherheitsmaßnahmen

§ 9. Der Betreiber überprüft im Zusammenwirken mit der Vereinsbehörde durch Stichproben, ob die Verwendung der Daten des ZVR den einschlägigen Bestimmungen entsprechend erfolgt und die erforderlichen Datensicherheitsmaßnahmen ergriffen worden sind.

Private Dienstleister

§ 10. Bedient sich die Vereinsbehörde für den Datenverkehr zwischen dem Lokalen Vereinsregister (§ 16 VerG) und dem Zentralen Vereinsregister eines privaten Dienstleisters, hat sie diesen zur Einhaltung aller datenschutzrechtlichen Bestimmungen und Ergreifung der in dieser Verordnung vorgesehenen Datensicherheitsmaßnahmen zu verpflichten.

Mitteilungen an den Betreiber

§ 11. Die Vereinsbehörden haben dem Betreiber unverzüglich mitzuteilen:

Dokumentation

§ 12. Es sind Aufzeichnungen nach den Vorgaben des Betreibers zu führen, die die Zulässigkeit der tatsächlich im Bereich des ZVR durchgeführten Verwendungsvorgänge im notwendigen Ausmaß nachvollziehbar machen, wie insbesondere Änderungen, Abfragen und Übermittlungen.

Sprachliche Gleichbehandlung

§ 13. Soweit in dieser Verordnung auf natürliche Personen bezogene Bezeichnungen nur in männlicher Form angeführt sind, beziehen sie sich auf Frauen und Männer in gleicher Weise. Bei der Anwendung der Bezeichnung auf bestimmte natürliche Personen ist die jeweils geschlechtsspezifische Form zu verwenden.

In-Kraft-Treten

§ 14. Diese Verordnung tritt mit 1. Oktober 2003 in Kraft.