LegalizeVerordnung der Bundesministerin für Inneres über die Durchführung des Vereinsgesetzes (Vereinsgesetz-Durchführungsverordnung - VerGV)
Abkürzung
VerGV
Präambel/Promulgationsklausel
Auf Grund der §§ 18 und 19 Vereinsgesetz 2002 - VerG, BGBl. I Nr. 66, wird verordnet:
Abkürzung
VerGV
Präambel/Promulgationsklausel
Auf Grund des Vereinsgesetzes 2002 (VerG), BGBl. I Nr. 66/2002, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 32/2018, wird verordnet:
Abkürzung
VerGV
Anwendungsbereich
§ 1. (1) Die Verordnung regelt die Verwendung von Daten im Zentralen Vereinsregister (ZVR), die notwendigen Datensicherheitsmaßnahmen, die Einrichtung und Führung des Registers sowie Näheres über die Vorgangsweise bei Einsichtnahme in das Register.
(2) Mit Auftraggebern des öffentlichen Bereichs können zur Erleichterung der zur Wahrnehmung ihrer gesetzlich übertragenen Aufgaben erforderlichen regelmäßigen Abfragen besondere Sicherheits- und Zugriffsvoraussetzungen vereinbart werden, die den durch die folgenden Bestimmungen festgelegten Sicherheitsstandard nicht unterschreiten dürfen.
Abkürzung
VerGV
Anwendungsbereich
§ 1. (1) Die Verordnung regelt die Verarbeitung von Daten im Zentralen Vereinsregister (ZVR), die notwendigen Datensicherheitsmaßnahmen, die Einrichtung und Führung des Registers sowie Näheres über die Vorgangsweise bei Einsichtnahme in das Register.
(2) Mit Verantwortlichen des öffentlichen Bereichs können zur Erleichterung der zur Wahrnehmung ihrer gesetzlich übertragenen Aufgaben erforderlichen regelmäßigen Abfragen besondere Sicherheits- und Zugriffsvoraussetzungen vereinbart werden, die den durch die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) und die folgenden Bestimmungen festgelegten Sicherheitsstandard nicht unterschreiten dürfen.
Abkürzung
VerGV
Begriffsbestimmungen
§ 2. Im Sinne dieser Verordnung sind:
Abfrageberechtigte: unter Z 2 und 3 Genannte, denen gemäß § 19 Abs. 2 VerG eine Abfrageberechtigung im Zentralen Vereinsregister eingeräumt wurde;
abfrageberechtigte Organe: Organe von Gebietskörperschaften, denen gemäß § 19 Abs. 2 VerG auf Verlangen eine Abfrageberechtigung im Zentralen Vereinsregister im Datenfernverkehr eingeräumt wurde;
abfrageberechtigte Körperschaften: Körperschaften des öffentlichen Rechts, denen gemäß § 19 Abs. 2 VerG auf Antrag eine Abfrageberechtigung im Zentralen Vereinsregister im Datenfernverkehr eingeräumt wurde;
Zugriffsberechtigte: Mitarbeiter von Abfrageberechtigten, denen der physische Zugriff auf die im ZVR verarbeiteten Daten eingeräumt wurde.
Abkürzung
VerGV
Datenüberlassung
§ 3. Die Vereinsbehörden erster Instanz haben die gemäß § 16 Abs. 1 Z 1 bis 17 VerG verarbeiteten Daten unverzüglich dem Bundesminister für Inneres als Betreiber des ZVR und Dienstleister im Weg der Datenfernübertragung zu überlassen.
Abfrageberechtigung
§ 4. (1) Unbeschadet der Bestimmungen des Abs. 2 ist der Bundesminister für Inneres ermächtigt, jedermann die gebührenfreie Abfrage der im ZVR verarbeiteten Daten gemäß § 16 Abs. 1 Z 1 bis 7, 10 bis 13 und 16 VerG eines nach seinem Namen oder seiner ZVR-Zahl bestimmten Vereins, für den keine Auskunftssperre gemäß § 17 Abs. 4 VerG besteht, im Weg des Datenfernverkehrs zu eröffnen (Online-Einzelabfrage).
(2) Ein Antrag oder Verlangen gemäß § 19 Abs. 2 VerG ist im Wege des namhaft gemachten Verantwortlichen (§ 5) schriftlich an den Betreiber zu richten und hat überdies den Hinweis zu enthalten, dass die beantragende oder verlangende Stelle die notwendigen technischen und organisatorischen Vorgaben des Betreibers für die Einräumung einer Abfrageberechtigung zustimmend zur Kenntnis genommen hat, die dieser allgemein zugänglich zur Verfügung stellt.
Abkürzung
VerGV
Abfrageberechtigung
§ 4. Ein Antrag oder Verlangen gemäß § 19 Abs. 2 VerG ist im Wege des namhaft gemachten Verantwortlichen (§ 5) schriftlich an den Betreiber zu richten und hat überdies den Hinweis zu enthalten, dass die beantragende oder verlangende Stelle die notwendigen technischen und organisatorischen Vorgaben des Betreibers für die Einräumung einer Abfrageberechtigung zustimmend zur Kenntnis genommen hat, die dieser allgemein zugänglich zur Verfügung stellt.
Abkürzung
VerGV
Abfrageberechtigung
§ 4. Ein Antrag oder Verlangen gemäß § 19 Abs. 2 VerG ist im Wege des namhaft gemachten Zuständigen für Datensicherheitsmaßnahmen (§ 5) schriftlich an den Bundesminister für Inneres zu richten und hat überdies den Hinweis zu enthalten, dass die beantragende oder verlangende Stelle in die notwendigen technischen und organisatorischen Vorgaben des Bundesministers für Inneres für die Einräumung einer Abfrageberechtigung eingewilligt hat, die dieser allgemein zugänglich bereitstellt.
Abkürzung
VerGV
Verantwortlicher
§ 5. (1) Vereinsbehörden und Abfrageberechtigte haben dem Betreiber bei Antragstellung zumindest einen Verantwortlichen für die Datensicherheitsmaßnahmen im Rahmen der Datenanwendung für das ZVR zu benennen.
(2) Als Verantwortliche können auch Dienstleister in Anspruch genommen und benannt werden.
Abkürzung
VerGV
Zuständiger für Datensicherheitsmaßnahmen
§ 5. (1) Vereinsbehörden und Abfrageberechtigte haben dem Bundesminister für Inneres bei Antragstellung zumindest einen Zuständigen für die Datensicherheitsmaßnahmen im Rahmen der Datenverarbeitung für das ZVR zu benennen.
(2) Als Zuständige können auch Auftragsverarbeiter in Anspruch genommen und benannt werden.
Abkürzung
VerGV
Zugriffsberechtigung
§ 6. Der gemäß § 5 benannte Verantwortliche hat in seinem Zuständigkeitsbereich die Zugriffsberechtigungen für das ZVR für die einzelnen Zugriffsberechtigten individuell zuzuweisen und dem Betreiber auf Verlangen Zugriff auf Verzeichnisse der Zugriffsberechtigten im Wege des Datenfernverkehrs zu gewähren.
Abkürzung
VerGV
Zugriffsberechtigung
§ 6. Der gemäß § 5 benannte Zuständige hat in seinem Zuständigkeitsbereich die Zugriffsberechtigungen für das ZVR für die einzelnen Zugriffsberechtigten individuell zuzuweisen und dem Bundesminister für Inneres auf Verlangen Zugriff auf Verzeichnisse der Zugriffsberechtigten im Wege des Datenfernverkehrs zu gewähren.
Abfragemodalität
§ 7. (1) Für eine Abfrage aus dem ZVR ist der gesuchte Verein nach seinem Namen oder seiner ZVR-Zahl eindeutig zu bestimmen.
(2) Abfrageberechtigte haben vor Auskunftserteilung darüber hinaus jedenfalls noch einen Bezug zu einem bestimmten Aktenvorgang anzugeben.
Abkürzung
VerGV
Abfragemodalität
§ 7. Abfrageberechtigte haben, sofern es sich nicht um eine Online-Einzelabfrage handelt (§ 19 Abs. 3 VerG), vor Auskunftserteilung einen Bezug zu einem bestimmten Aktenvorgang anzugeben.
Abkürzung
VerGV
Mitteilungen an den Betreiber
§ 8. Vereinsbehörden und Abfrageberechtigte haben dem Betreiber unverzüglich mitzuteilen:
die Inanspruchnahme, den Wechsel oder das Ausscheiden eines Dienstleisters oder
das Auftreten von Programmstörungen, die den Datenbestand gefährden können.
Abkürzung
VerGV
Mitteilungen an den Bundesminister für Inneres
§ 8. Vereinsbehörden und Abfrageberechtigte haben dem Bundesminister für Inneres unverzüglich mitzuteilen:
die Inanspruchnahme, den Wechsel oder das Ausscheiden eines Auftragsverarbeiters oder
das Auftreten von Programmstörungen, die den Datenbestand gefährden können.
Abkürzung
VerGV
Entzug der Zugriffsberechtigung oder der Abfrageberechtigung
§ 9. (1) Zugriffsberechtigte sind vom jeweils benannten Verantwortlichen von der weiteren Benutzung auf Dauer oder für eine bestimmte Zeit von der Ausübung ihrer Zugriffsberechtigung auszuschließen, wenn
sie diese zur weiteren Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder
sie die Daten nicht entsprechend den für den Betrieb des ZVR maßgeblichen Bestimmungen verwenden.
(2) Der Entzug der Abfrageberechtigung richtet sich nach § 19 Abs. 5 VerG.
Abkürzung
VerGV
Entzug der Zugriffsberechtigung oder der Abfrageberechtigung
§ 9. (1) Zugriffsberechtigte sind vom jeweils benannten Zuständigen gemäß § 5 von der weiteren Benutzung auf Dauer oder für eine bestimmte Zeit von der Ausübung ihrer Zugriffsberechtigung auszuschließen, wenn
sie diese zur weiteren Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder
sie die Daten nicht entsprechend den für den Betrieb des ZVR maßgeblichen Bestimmungen verarbeiten.
(2) Der Entzug der Abfrageberechtigung richtet sich nach § 19 Abs. 5 VerG.
Abkürzung
VerGV
Belehrungspflicht
§ 10. Vereinsbehörden und Abfrageberechtigte haben sicherzustellen, dass Zugriffe auf das ZVR nur erfolgen, wenn die Zugriffsberechtigten über die Bestimmungen gemäß § 15 Datenschutzgesetz 2000, BGBl. I Nr. 165/1999, und den Inhalt dieser Verordnung belehrt wurden.
Abkürzung
VerGV
Belehrungspflicht
§ 10. Vereinsbehörden und Abfrageberechtigte haben sicherzustellen, dass Zugriffe auf das ZVR nur erfolgen, wenn die Zugriffsberechtigten über die Bestimmungen gemäß § 6 Datenschutzgesetz (DSG), BGBl. I Nr. 165/1999, und den Inhalt dieser Verordnung belehrt wurden.
Abkürzung
VerGV
Datensicherheitsmaßnahmen
§ 11. (1) Der gemäß § 5 benannte Verantwortliche hat nach Maßgabe des jeweiligen Standes der Technik und der organisatorischen Möglichkeiten den Zugriffsschutz zu personenbezogenen Daten und die erforderlichen Datensicherheitsmaßnahmen zu organisieren und umzusetzen. Er hat insbesondere die Zuständigkeiten und Regeln für die Programmverwaltung für das ZVR oder für die Abfrage aus dem ZVR in seinem Bereich festzulegen, sowie die Voraussetzungen für den physischen Zugriff auf die Daten des ZVR in seinem Zuständigkeitsbereich zu schaffen.
(2) Abfrageberechtigte, bei denen ein Verantwortlicher zur Erteilung von Zugriffsberechtigungen ermächtigt wurde, und Vereinsbehörden haben dafür zu sorgen, dass für den Bereich der Systeme, über die der Zugang zum ZVR erfolgen soll, eine nach den Vorgaben des Betreibers zu gestaltende Datensicherheitsvorschrift, in der die für den Betrieb des ZVR oder für Abfragen aus diesem erforderlichen Datensicherheitsmaßnahmen anzuordnen sind, erlassen wird.
(3) Über die getroffenen Datensicherheitsmaßnahmen sind Aufzeichnungen zu führen, die – sofern gesetzlich nicht ausdrücklich anderes angeordnet ist - mindestens drei Jahre nach Ablauf von deren Gültigkeit aufzubewahren sind.
Abkürzung
VerGV
Datensicherheitsmaßnahmen
§ 11. (1) Der gemäß § 5 benannte Zuständige hat nach Maßgabe des jeweiligen Standes der Technik und der organisatorischen Möglichkeiten den Zugriffsschutz zu personenbezogenen Daten und die erforderlichen Datensicherheitsmaßnahmen zu organisieren und umzusetzen. Er hat insbesondere die Zuständigkeiten und Regeln für die Programmverwaltung für das ZVR oder für die Abfrage aus dem ZVR in seinem Bereich festzulegen, sowie die Voraussetzungen für den physischen Zugriff auf die Daten des ZVR in seinem Zuständigkeitsbereich zu schaffen.
(2) Über die getroffenen Datensicherheitsmaßnahmen sind Aufzeichnungen zu führen, die – sofern gesetzlich nicht ausdrücklich anderes angeordnet ist mindestens drei Jahre nach Ablauf von deren Gültigkeit aufzubewahren sind.
Abkürzung
VerGV
Zutritt zu Räumen
§ 12. (1) Vereinsbehörden und Abfrageberechtigte haben durch organisatorische und technische Vorkehrungen sicherzustellen, dass der Zutritt zu Räumen, in denen sich eine Zugriffsmöglichkeit auf das ZVR befindet, grundsätzlich nur von in ihrem Auftrag Tätigen möglich ist.
(2) Ist es erforderlich, dass in Räumen mit einer Zugriffsmöglichkeit auf das ZVR Parteienverkehr stattfindet, ist jedenfalls sicherzustellen, dass eine Einsichtnahme in die Daten des ZVR durch Außenstehende nicht möglich ist.
(3) Mitgliedern der Datenschutzkommission, des Datenschutzrates sowie dem Betreiber ist nach erfolgter Ausweisleistung der Zutritt zu gewähren, sofern sie im dienstlichen Auftrag tätig werden. Auf Verlangen sind die für deren Aufgabenerfüllung erforderlichen Auskünfte zu erteilen.
(4) Nähere Bestimmungen über den Zutritt, insbesondere auch Regelungen über den Zutritt anderer als der in Abs. 1 bis 3 genannten Personen und dessen Dokumentation sind in einer Datensicherheitsvorschrift (§ 11) zu treffen.
Abkürzung
VerGV
Zutritt zu Räumen
§ 12. (1) Vereinsbehörden und Abfrageberechtigte haben durch organisatorische und technische Vorkehrungen sicherzustellen, dass der Zutritt zu Räumen, in denen sich eine Zugriffsmöglichkeit auf das ZVR befindet, grundsätzlich nur von in ihrem Auftrag Tätigen möglich ist.
(2) Ist es erforderlich, dass in Räumen mit einer Zugriffsmöglichkeit auf das ZVR Parteienverkehr stattfindet, ist jedenfalls sicherzustellen, dass eine Einsichtnahme in die Daten des ZVR durch Außenstehende nicht möglich ist.
(3) Mitgliedern der Datenschutzbehörde, des Datenschutzrates sowie dem Bundesminister für Inneres ist nach erfolgter Ausweisleistung der Zutritt zu gewähren, sofern sie im dienstlichen Auftrag tätig werden. Auf Verlangen sind die für deren Aufgabenerfüllung erforderlichen Auskünfte zu erteilen.
(Anm.: Abs. 4 aufgehoben durch Art. 4 Z 19, BGBl. I Nr. 104/2018)
Abkürzung
VerGV
Technische Vorkehrungen bei Vereinsbehörden und Abfrageberechtigten
§ 13. (1) Für den Verbindungsaufbau zum ZVR dürfen nur Geräte zum Einsatz kommen, die dafür über ein vom Betreiber anerkanntes Protokoll kommunizieren. Vereinsbehörden haben überdies vom Betreiber zur Verfügung gestellte Software-Zertifikate zu verwenden. Diese Software-Zertifikate sind Schlüssel, die den Zugang zum ZVR über dezentrale Systeme eröffnen und jedes zugriffsberechtigte System eindeutig identifizieren. Anstelle von Arbeitsplatz-Systemen kann mit einem vom Betreiber anerkannten Zertifikat auch ein Gateway-System authentifiziert werden, das sich in der Verfügung des Anwenders oder eines von ihm beauftragten Dienstleisters befindet; eine solche Authentifizierung ohne Arbeitsplatzzertifikat ist nur zulässig, wenn im Bereich des Gatewaybetreibers zwischen diesem und den über ihn zugreifenden Datenendgeräten vom Betreiber als sicher anerkannte Verbindungen bestehen, wie dies etwa bei einem geschlossenen Netzwerk der Fall ist.
(2) Es ist sicherzustellen, dass der Zugriff auf das ZVR nur nach geeigneter Identifikation des Zugriffsberechtigten möglich ist. Kennwörter sind jedenfalls geheim zu halten und müssen nach Maßgabe der technischen Möglichkeiten in periodischen Zeitabständen geändert werden.
(3) Wird ein Gerät, das den Zugang zum ZVR ermöglicht, aus dem bisherigen Arbeitsbereich entfernt, ist sicherzustellen, dass eine unberechtigte Verwendung des Programms für den Zugriff auf das ZVR oder von Daten des ZVR ausgeschlossen ist; insbesondere ist das auf dem jeweiligen Gerät allenfalls installierte Zertifikat zu entfernen.
(4) Es ist sicherzustellen, dass nach den Vorgaben des Betreibers geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen getroffen werden, um eine Vernichtung oder Veränderung der Daten sowie eine Abfrage aus dem ZVR durch Zugriffe unberechtigter Menschen oder Systeme zu verhindern.
Abkürzung
VerGV
Technische Vorkehrungen bei Vereinsbehörden und Abfrageberechtigten
§ 13. (1) Für den Verbindungsaufbau zum ZVR dürfen nur Geräte zum Einsatz kommen, die dafür über ein vom Bundesminister für Inneres anerkanntes Protokoll kommunizieren. Vereinsbehörden haben überdies vom Bundesminister für Inneres zur Verfügung gestellte Software-Zertifikate zu verwenden. Diese Software-Zertifikate sind Schlüssel, die den Zugang zum ZVR über dezentrale Systeme eröffnen und jedes zugriffsberechtigte System eindeutig identifizieren. Anstelle von Arbeitsplatz-Systemen kann mit einem vom Bundesminister für Inneres anerkannten Zertifikat auch ein Gateway-System authentifiziert werden, das sich in der Verfügung des Anwenders oder eines von ihm beauftragten Auftragsverarbeiters befindet; eine solche Authentifizierung ohne Arbeitsplatzzertifikat ist nur zulässig, wenn im Bereich des Gatewaybetreibers zwischen diesem und den über ihn zugreifenden Datenendgeräten vom Bundesminister für Inneres als sicher anerkannte Verbindungen bestehen, wie dies etwa bei einem geschlossenen Netzwerk der Fall ist.
(2) Es ist sicherzustellen, dass der Zugriff auf das ZVR nur nach geeigneter Identifikation des Zugriffsberechtigten möglich ist. Kennwörter sind jedenfalls geheim zu halten und müssen nach Maßgabe der technischen Möglichkeiten in periodischen Zeitabständen geändert werden.
(3) Wird ein Gerät, das den Zugang zum ZVR ermöglicht, aus dem bisherigen Arbeitsbereich entfernt, ist sicherzustellen, dass eine unberechtigte Verwendung des Programms für den Zugriff auf das ZVR oder von Daten des ZVR ausgeschlossen ist; insbesondere ist das auf dem jeweiligen Gerät allenfalls installierte Zertifikat zu entfernen.
(4) Es ist sicherzustellen, dass nach den Vorgaben des Bundesministers für Inneres geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen getroffen werden, um eine Vernichtung oder Veränderung der Daten sowie eine Abfrage aus dem ZVR durch Zugriffe unberechtigter Menschen oder Systeme zu verhindern.
Abkürzung
VerGV
Kontrolle durch den Betreiber
§ 14. Der Betreiber kann im Zusammenwirken mit der Vereinsbehörde durch Stichproben überprüfen, ob die Verwendung der Daten des ZVR im dortigen Bereich den einschlägigen Bestimmungen entsprechend erfolgt und die erforderlichen Datensicherheitsmaßnahmen ergriffen worden sind.
Abkürzung
VerGV
Kontrolle durch den Bundesminister für Inneres
⋯
Dieses Dokument ersetzt nicht die offizielle Publikation im Bundesgesetzblatt. Für eventuelle Ungenauigkeiten bei der Übertragung in dieses Format wird keine Haftung übernommen.