Entwurf
Bundesgesetz, mit dem das Medizinproduktegesetz und das Bundesgesetz über die Gesundheit Österreich GmbH geändert werden
Der Nationalrat hat beschlossen:
Artikel 1
Änderung des Medizinproduktegesetzes
Das Medizinproduktegesetz, BGBl. Nr. 657/1996, zuletzt geändert durch BGBl. I Nr. 153/2005 und die Bundesministeriengesetz-Novelle 2007 BGBl. I Nr. 6, wird wie folgt geändert:
1. § 73 samt Überschrift lautet:
„Herzschrittmacher-, ICD-, Looprecorder-Register
§ 73. (1) Die Gesundheit Österreich GmbH ist berechtigt,
1. zum Zweck des Schutzes der Gesundheit und Sicherheit von Patienten, Anwendern oder Dritten und zur Abwehr von Risken,
2. zum Zweck der Medizinproduktevigilanz und Marktüberwachung im Zusammenhang mit Herzschrittmachern, implantierbaren Defibrillatoren und Loop-Recordern,
3. zum Zweck der qualitätsgesicherten Behandlung im Zusammenhang mit den entsprechenden Implantationen,
4. zum Zweck der Qualitätssicherung von Medizinprodukten,
5. zum Zweck der Statistik für Planung, Qualitätssicherung und Qualitätsberichterstattung im österreichischen Gesundheitswesen und
6. zu wissenschaftlichen Zwecken
ein Register für Herzschrittmacher, implantierbare Defibrillatoren und Loop-Recordern zu führen. Die Gesundheit Österreich GmbH ist sowohl Betreiber als auch Auftraggeber des Registers, weitere Auftraggeber sind die Einrichtungen des Gesundheitswesens, die Daten gemäß Abs. 3 übermitteln.
(2) In dem Register werden folgende Datenarten verarbeitet:
1. Daten über die implantierende/behandelnde Gesundheitseinrichtung (Bezeichnung der implantierenden/behandelnden Einrichtung bzw. Name des behandelnden Arztes, Krankenhausnummer),
2. Daten zur Patientenidentifikation (Name, Geschlecht, Geburtsdatum, Sozialversicherungsnummer),
3. gegebenenfalls Sterbedaten (Datum, Todesursache, Autopsiestatus),
4. relevante klinische Daten zu Anamnese, aktuellem Gesundheitszustand und Indikation (Vorintervention, Symptome, Ätiologie, präoperativer Herzrhythmus),
5. technische, klinische, organisatorische, zeitliche und personalbezogene Daten zum Versorgungsprozess (Implantationsdaten der Medizinprodukte und der dazugehörigen Sonden, Datum der Implantation, Lokalisation der Medizinprodukte, Zugang, Sekundärprophylaxe),
6. technische Daten zum Implantat, spezifische Implantatparameter, Daten zur individuellen Implantateinstellung (Modell, Hersteller und Seriennummer der Medizinprodukte und der dazugehörigen Sonden, Implantatparameter) und
7. technische, klinische, organisatorische, zeitliche, personalbezogene und ereignisbezogene Daten zur Nachsorge (technisch und klinische Kontrolldaten der implantierten Medizinprodukte und der dazugehörigen Sonden, Funktionszustand, Datum und Indikation der Kontrolle, Komplikationen, Explantationsdatum, Explantationsgrund).
(3) Die Einrichtungen des Gesundheitswesens sind berechtigt und verpflichtet, die für Zwecke der Registerführung benötigten Daten der Gesundheit Österreich GmbH direkt personenbezogen online zu übermitteln.
(4) Die Erteilung von Zugriffsberechtigungen für Übermittlungen und Datenverwendungen durch Einrichtungen des Gesundheitswesens ist durch die Gesundheit Österreich GmbH nachvollziehbar zu dokumentieren. Bei der Erteilung von Zugriffsberechtigungen ist darauf zu achten, dass Zugriffsrechte stets nur in jenem Umfang gewährt werden, als dies für einen Zweck gemäß Abs. 1 konkret notwendig ist. Die Erteilung der Zugriffsberechtigung hat sich auf konkrete Personen zu beziehen, deren Identität und Umfang der Berechtigung der Gesundheit Österreich GmbH nachzuweisen ist.
(5) Bei der Datenverarbeitung gemäß Abs. 1 und 2 ist die Verwendung des Namens und des bereichsspezifischen Personenkennzeichens GH und AS (§ 10 Abs. 2 E‑Government-Gesetz, BGBl. I Nr. 10/2004) zulässig. Der direkte Personenbezug ist unverzüglich zu löschen, sobald er für die Zwecke nach Abs. 1 Z 1 und 3 nicht mehr erforderlich ist.
(6) Die Gesundheit Österreich GmbH ist berechtigt, bei der Bundesanstalt Statistik Österreich Informationen zum Todeszeitpunkt und zur Todesursache von Personen anzufordern, deren Daten im Register verarbeitet sind.
(7) Der Geschäftsführer der Gesundheit Österreich GmbH hat sicherzustellen, dass Identität und Rolle der Zugriffsberechtigten bei jedem Zugriff dem Stand der Technik entsprechend nachgewiesen und protokolliert werden. Er muss sicherstellen, dass geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen getroffen werden, um eine Vernichtung oder Veränderung der Daten durch Programmstörungen (Viren) zu verhindern, um eine Vernichtung, Veränderung oder Abfrage der Daten des Registers durch unberechtigte Benutzer oder Systeme zu verhindern. Weiters muss er sicherstellen, dass alle durchgeführten Verwendungsvorgänge, wie insbesondere Eintragungen, Änderungen, Abfragen und Übermittlungen, nachvollziehbar sind. Er hat ein Datensicherheitskonzept zu erstellen, das für die Mitarbeiter der Gesundheit Österreich GmbH verbindlich ist.
(8) Die Vertraulichkeit der Datenübermittlung ist durch dem Stand der Technik entsprechende verschlüsselte Übermittlungsverfahren zu gewährleisten.
(9) Die Gesundheit Österreich GmbH hat geeignete technische und organisatorische Maßnahmen vorzusehen, um die Richtigkeit der übermittelten Daten zu gewährleisten.
(10) Jeder Zugriff auf die im Register verarbeiteten oder zu verarbeitenden Daten durch die Gesundheit Österreich GmbH darf nur in indirekt personenbezogener Form erfolgen, für wissenschaftliche Zwecke (Abs. 1 Z 6) darf der Zugriff nur in anonymisierter Form erfolgen.
(11) Die an den Registern teilnehmenden Einrichtungen des Gesundheitswesens dürfen
1. für die Zwecke des Abs. 1 Z 3 auf alle diese Person betreffenden Daten im Register auch in direkt personenbezogener Form in deren lebenswichtigem Interesse, wenn dies im Rahmen einer konkreten Behandlungssituation der jeweiligen Person erforderlich ist, oder mit ausdrücklicher Zustimmung der betroffenen Person zugreifen und
2. für wissenschaftliche Zwecke (Abs. 1 Z 6) in anonymisierter Form auf die im Register verarbeiteten Daten zugreifen.
(12) Das Bundesamt für Sicherheit im Gesundheitswesen ist berechtigt, auf die im Register verarbeiteten Daten in direkt personenbezogener Form zuzugreifen, wenn dies im Zusammenhang mit der Medizinproduktevigilanz zum Zweck des Schutzes der Gesundheit und Sicherheit von Patienten und zur Abwehr von Risken notwendig ist. Für Zwecke der Medizinproduktevigilanz und Marktüberwachung und für Zwecke der Qualitätssicherung von Medizinprodukten ist das Bundesamt für Sicherheit im Gesundheitswesen berechtigt, auf die Daten im Register in indirekt personenbezogener Form zuzugreifen.
(13) Der Geschäftsführer der Gesundheit Österreich GmbH ist verpflichtet, die Zugriffsberechtigung für die einzelnen Benutzer der Gesundheit Österreich GmbH individuell zuzuweisen. Die Zugriffsberechtigten der Gesundheit Österreich GmbH sind über die Bestimmungen gemäß § 15 Datenschutzgesetz 2000, BGBl. I Nr. 165/1999, und das Datensicherheitskonzept zu belehren. Diese Zugriffsberechtigten sind von der weiteren Ausübung ihrer Zugriffsberechtigung auszuschließen, wenn sie diese zur weiteren Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder sie die Daten nicht entsprechend ihrer Zweckbestimmung verwenden.
(14) Der Geschäftsführer der Gesundheit Österreich GmbH hat durch organisatorische und technische Vorkehrungen sicherzustellen, dass der Zutritt zu Räumen, in denen sich der Datenbankserver befindet, grundsätzlich nur Zugriffsberechtigten der Gesundheit Österreich GmbH möglich ist.
(15) Wird der Datenbankserver aus dem Bereich der Gesundheit Österreich GmbH entfernt, ist sicherzustellen, dass eine unberechtigte Verwendung ausgeschlossen ist.
(16) Die In-Verkehr-Bringer von Medizinprodukten, die im Register geführt werden, sind verpflichtet, die technischen Daten ihrer Implantate der Gesundheit Österreich GmbH in elektronischer Form zur Verfügung zu stellen.
(17) Die Gesundheit Österreich GmbH trifft für alle Auftraggeber die Meldepflicht gemäß § 17 Datenschutzgesetz 2000.“
2. Nach § 73 werden folgende §§ 73a und 73b samt Überschriften eingefügt:
„Implantatregister
§ 73a. (1) Die Gesundheit Österreich GmbH ist berechtigt,
1. zum Zwecke des Schutzes der Gesundheit und Sicherheit von Patienten, Anwendern oder Dritten und zur Abwehr von Risken,
2. zum Zwecke der Medizinproduktevigilanz und Marktüberwachung,
3. zum Zweck der Qualitätssicherung von Medizinprodukten,
4. zum Zweck der Statistik für Planung, Qualitätssicherung und Qualitätsberichterstattung im österreichischen Gesundheitswesen und
5. zu wissenschaftlichen Zwecken
Implantatregister für aktive implantierbare Medizinprodukte, Weichteilimplantate, cardiovaskuläre, neurologische und orthopädische Implantate zu führen.
(2) In den Registern können folgende Datenarten verarbeitet werden:
1. Patientenidentifikation,
2. Daten über die implantierende Gesundheitseinrichtung, insbesondere zu deren Identifikation,
3. relevante klinische Daten zu Anamnese, aktuellem Gesundheitszustand und Indikation,
4. technische, klinische, organisatorische, zeitliche und personalbezogene Daten zum Versorgungsprozess,
5. Daten zur Ergebnismessung (Outcome),
6. technische Daten zum Implantat, spezifische Implantatparameter, Daten zur individuellen Implantateinstellung, und
7. technische, klinische, organisatorische, zeitliche, personalbezogene und ereignisbezogene Daten zur Nachsorge.
(3) Der Bundesminister für Gesundheit, Familie und Jugend hat die Einrichtung eines Implantatregisters und die spezifischen Datensätze für die einzelnen Register durch Verordnung festzulegen. In dieser Verordnung sind auch die konkreten Verarbeitungszwecke und die dem jeweiligen Verarbeitungszweck entsprechenden Zugriffsberechtigungen festzulegen. Weiters ist in einer solchen Verordnung eine Verpflichtung von Einrichtungen des Gesundheitswesens zur Datenübermittlung vorzusehen, wenn dies zum Schutz der Gesundheit und Sicherheit von Patienten erforderlich ist.
(4) Die Einrichtungen des Gesundheitswesens sind berechtigt, die für Zwecke die Registerführung benötigten Daten der Gesundheit Österreich GmbH direkt personenbezogen auch online zu übermitteln. Die Erteilung von Zugriffsberechtigungen für Übermittlungen und Datenverwendungen an Einrichtungen des Gesundheitswesens ist durch die Gesundheit Österreich GmbH nachvollziehbar zu dokumentieren.
(5) Bei der Datenverarbeitung gemäß Abs. 1 und 2 ist zur Patientenidentifikation nur die Verwendung des bereichsspezifischen Personenkennzeichens GH und AS (§ 10 Abs. 2 E‑Government-Gesetz, BGBl. I Nr. 10/2004) zulässig. Der direkte Personenbezug ist unverzüglich nach Umrechnung unumkehrbar zu löschen.
(6) Der indirekte Personenbezug ist zu löschen, sobald er für die Zwecke nach Abs. 1 nicht mehr erforderlich ist. Die Gesundheit Österreich GmbH ist berechtigt, bei der Bundesanstalt Statistik Österreich Informationen zum Todeszeitpunkt und zur Todesursache von Personen anzufordern, deren Daten in einem Register verarbeitet sind.
(7) Der Geschäftsführer der Gesundheit Österreich GmbH hat sicherzustellen, dass Identität und Rolle der Zugriffsberechtigten bei jedem Zugriff dem Stand der Technik entsprechend nachgewiesen und protokolliert werden. Er muss sicherstellen, dass geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen getroffen werden, um eine Vernichtung oder Veränderung der Daten durch Programmstörungen (Viren) zu verhindern, und um eine Vernichtung, Veränderung oder Abfrage der Daten des Registers durch unberechtigte Benutzer oder Systeme zu verhindern. Weiters muss er sicherstellen, dass alle durchgeführten Verwendungsvorgänge, wie insbesondere Eintragungen, Änderungen, Abfragen und Übermittlungen, nachvollziehbar sind. Er hat ein Datensicherheitskonzept zu erstellen, das für die Mitarbeiter der Gesundheit Österreich GmbH verbindlich ist.
(8) Die an den Registern teilnehmenden Einrichtungen des Gesundheitswesens dürfen auf Daten in den Registern für wissenschaftliche Zwecke in anonymisierter Form zugreifen.
(9) Jeder Zugriff auf die in den Registern verarbeiteten oder zu verarbeitenden Daten durch die Gesundheit Österreich GmbH darf nur für Zwecke des Abs. 1 erfolgen.
(10) Das Bundesamt für Sicherheit im Gesundheitswesen ist berechtigt, auf die in den Registern verarbeiteten Daten in indirekt personenbezogener Form zuzugreifen, wenn dies zum Zweck des Schutzes der Gesundheit und Sicherheit von Patienten, zur Abwehr von Risken und zum Zweck der Medizinproduktevigilanz und Marktüberwachung notwendig ist.
(11) Der Geschäftsführer der Gesundheit Österreich GmbH ist verpflichtet, die Zugriffsberechtigung für die einzelnen Benutzer der Gesundheit Österreich GmbH individuell zuzuweisen. Die Zugriffsberechtigten der Gesundheit Österreich GmbH sind über die Bestimmungen gemäß § 15 Datenschutzgesetz 2000 und das Datensicherheitskonzept zu belehren. Diese Zugriffsberechtigten sind von der weiteren Ausübung ihrer Zugriffsberechtigung auszuschließen, wenn sie diese zur weiteren Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder sie die Daten nicht entsprechend ihrer Zweckbestimmung verwenden.
(12) Der Geschäftsführer der Gesundheit Österreich GmbH hat durch organisatorische und technische Vorkehrungen sicherzustellen, dass der Zutritt zu Räumen, in denen sich der Datenbankserver befindet, grundsätzlich nur Zugriffsberechtigten der Gesundheit Österreich GmbH möglich ist.
(13) Wird der Datenbankserver aus dem Bereich der Gesundheit Österreich GmbH entfernt, ist sicherzustellen, dass eine unberechtigte Verwendung ausgeschlossen ist.
(14) Die In-Verkehr-Bringer von Implantaten, die in Registern nach Abs. 1 geführt werden, sind verpflichtet, die technischen Daten ihrer Implantate der Gesundheit Österreich GmbH in elektronischer Form zur Verfügung zu stellen.
Verfolgbarkeit von Medizinprodukten
§ 73b. Der Bundesminister für Gesundheit, Familie und Jugend hat, soweit dies im Hinblick auf den Schutz der Gesundheit und Sicherheit von Patienten, Anwendern oder Dritten und die Abwehr von Risken erforderlich ist, unter Bedachtnahme auf Arten, Gruppen oder Klassen von Medizinprodukten mit erhöhtem Risikopotential durch Verordnung für das In-Verkehr-Bringen von Medizinprodukten Verantwortliche und Einrichtungen des Gesundheitswesens zu geeigneten Vorsorgen und Maßnahmen im Hinblick auf die Verfolgbarkeit von Medizinprodukten zu verpflichten und dabei Festlegungen zu treffen über
1. die Arten, Gruppen oder Klassen von Medizinprodukten, die von den Anforderungen an die Verfolgbarkeit erfasst sind, sowie
2. die produkt- oder produktgruppenspezifischen Anforderungen hinsichtlich der Verfolgbarkeit sowie hinsichtlich Art, Inhalt, Spezifität und Verfügbarkeit der diesbezüglich erforderlichen Aufzeichnungen.“
Artikel 2
Änderung des Bundesgesetzes über die Gesundheit Österreich GmbH
Das Bundesgesetz über die Gesundheit Österreich GmbH (GÖGG), BGBl. I Nr. 132/2006, zuletzt geändert durch die Bundesministeriengesetz-Novelle 2007 BGBl. I Nr. 6, wird wie folgt geändert:
Nach § 15 wird folgender § 15a samt Überschrift eingefügt:
„Qualitätsregister
§ 15a. (1) Die Gesundheit Österreich GmbH ist berechtigt,
1. zum Zweck der Statistik für Planung, Qualitätssicherung und Qualitätsberichterstattung im österreichischen Gesundheitswesen und
2. für wissenschaftliche Zwecke
im Zusammenhang mit bestimmten Indikationen oder Behandlungsmethoden Qualitätsregister (§ 4 Abs. 2 Z 3) zu führen.
(2) In den Registern können folgende Datenarten verarbeitet werden:
1. Patientenidentifikation,
2. Daten über die behandelnde Gesundheitseinrichtung, insbesondere zu deren Identifikation sowie Strukturinformationen,
3. relevante klinische Daten zu Anamnese, aktuellem Gesundheitszustand und Indikation,
4. technische, klinische, organisatorische, zeitliche und personalbezogene Daten zum Versorgungsprozess,
5. Daten zur Ergebnismessung (Outcome), und
6. technische, klinische, organisatorische, zeitliche, personalbezogene und ereignisbezogene Daten zur Nachsorge.
(3) Der Bundesminister für Gesundheit, Familie und Jugend/Die Bundesministerin für Gesundheit, Familie und Jugend hat die Einrichtung eines Qualitätsregisters und die spezifischen Datensätze für die einzelnen Register durch Verordnung festzulegen. In dieser Verordnung sind auch die konkreten Verarbeitungszwecke und die dem jeweiligen Verarbeitungszweck entsprechenden Zugriffsberechtigungen festzulegen.
(4) Die Träger von Krankenanstalten und in Betracht kommende Angehörige gesetzlich geregelter Gesundheitsberufe sind berechtigt, die für Zwecke der Registerführung benötigten Daten der Gesundheit Österreich GmbH direkt personenbezogen auch online zu übermitteln. Die Erteilung von Zugriffsberechtigungen für Übermittlungen und Datenverwendungen an die Träger der Krankenanstalten und an in Betracht kommende Angehörige von gesetzlich geregelten Gesundheitsberufen ist durch die Gesundheit Österreich GmbH nachvollziehbar zu dokumentieren.
(5) Bei der Datenverarbeitung gemäß Abs. 1 und 2 ist zur Patientenidentifikation nur die Verwendung des bereichsspezifischen Personenkennzeichens GH und AS (§ 10 Abs. 2 E‑Government-Gesetz, BGBl. I Nr. 10/2004) zulässig. Der direkte Personenbezug ist unverzüglich nach Umrechnung unumkehrbar zu löschen.
(6) Der indirekte Personenbezug ist zu löschen, sobald er für die Zwecke nach Abs. 1 nicht mehr erforderlich ist. Die Gesundheit Österreich GmbH ist berechtigt, bei der Bundesanstalt Statistik Österreich Informationen zum Todeszeitpunkt und zur Todesursache von Personen anzufordern, deren Daten in einem Register verarbeitet sind.
(7) Der Geschäftsführer der Gesundheit Österreich GmbH hat sicherzustellen, dass Identität und Rolle der Zugriffsberechtigten bei jedem Zugriff dem Stand der Technik entsprechend nachgewiesen und protokolliert werden. Er muss sicherstellen, dass geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen getroffen werden, um eine Vernichtung oder Veränderung der Daten durch Programmstörungen (Viren) zu verhindern, und um eine Vernichtung, Veränderung oder Abfrage der Daten des Registers durch unberechtigte Benutzer oder Systeme zu verhindern. Weiters muss er sicherstellen, dass alle durchgeführten Verwendungsvorgänge, wie insbesondere Eintragungen, Änderungen, Abfragen und Übermittlungen, nachvollziehbar sind. Er hat ein Datensicherheitskonzept zu erstellen, das für die Mitarbeiter der Gesundheit Österreich GmbH verbindlich ist.
(8) Jeder Zugriff auf die in den Registern verarbeiteten oder zu verarbeitenden Daten durch die Gesundheit Österreich GmbH darf nur für Zwecke des Abs. 1 erfolgen.
(9) Die an den Registern teilnehmenden Krankenanstalten und Angehörige von in Betracht kommenden gesetzlich geregelten Gesundheitsberufen dürfen auf Daten in den Registern für wissenschaftliche Zwecke in anonymisierter Form zugreifen.
(10) Der Geschäftsführer der Gesundheit Österreich GmbH ist verpflichtet, die Zugriffsberechtigung für die einzelnen Benutzer der Gesundheit Österreich GmbH individuell zuzuweisen. Die Zugriffsberechtigten sind über die Bestimmungen gemäß § 15 Datenschutzgesetz 2000 und das Datensicherheitskonzept zu belehren. Diese Zugriffsberechtigten sind von der weiteren Ausübung ihrer Zugriffsberechtigung auszuschließen, wenn sie diese zur weiteren Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder sie die Daten nicht entsprechend ihrer Zweckbestimmung verwenden.
(11) Der Geschäftsführer der Gesundheit Österreich GmbH hat durch organisatorische und technische Vorkehrungen sicherzustellen, dass der Zutritt zu Räumen, in denen sich der Datenbankserver befindet, grundsätzlich nur Zugriffsberechtigten der Gesundheit Österreich GmbH möglich ist.
(12) Wird der Datenbankserver aus dem Bereich der Gesundheit Österreich GmbH entfernt, ist sicherzustellen, dass eine unberechtigte Verwendung ausgeschlossen ist.“