Zum oben angeführten Gesetzentwurf wird folgende Stellungnahme abgegeben:
I. Allgemeines:
Im vorliegenden Entwurf werden mehrfach die Begriffspaare "direkt personenbezogen" und "indirekt personenbezogen" bzw. "direkter Personenbezug" und "indirekter Personenbezug" verwendet. Auch wenn diese Unterscheidung im konkreten Fall aus Gründen der Klarstellung erfolgt sein dürfte, sollten angesichts der Vielzahl spezifischer Datenschutzbestimmungen in Materiengesetzen des Bundes und der Länder nur die gebräuchlichen und vom Bundesgesetzgeber vorgesehenen datenschutzrechtlichen Begriffsbestimmungen verwendet werden. Das Datenschutzgesetz 2000 (DSG 2000) sieht nur den Begriff der "personenbezogenen" Daten vor, durch die die Identität der Betroffenen bestimmt oder bestimmbar ist, und stellt dem die "indirekt personenbezogenen" Daten entgegen( § 4 Z. 1 DSG 2000). Die zusätzliche Betonung des "direkten" Personenbezugs ist daher überflüssig und kann beim Rechtsanwender den unzutreffenden Eindruck erwecken, es handle sich dabei um eine dritte Klassifizierungsebene von personenbezogenen Daten.
Die Bestimmungen über die verschiedenen Register ( insbesondere jene über das Herzschrittmacher-, ICD-, und Looprecorder-Register nach § 73) sind umfangreich und aufgrund der gemeinsamen Regelung von – zum Teil abwechselnd aufeinander folgenden – datenschutzrechtlichen und datensicherheitsrechtlichen Aspekten schwer zu lesen. Im Hinblick auf das Bestimmtheitsgebot des Art. 18 B‑VG wird angeregt zu prüfen, ob die Systematik dieser Bestimmungen im Interesse der besseren Nachvollziehbarkeit vereinfacht werden kann. So könnten etwa zuerst nur die datenschutzrechtlichen Belange, gegliedert nach Verarbeitung, Ermittlung und Übermittlung, und dann die datensicherheitsrechtlichen Aspekte (im § 73 die Abs. 4, 7, 8, 9, 13, 14 und 15) geregelt oder die Zugriffsrechte und die Datensicherheitsmaßnahmen in einem eigenen Paragraphen zusammengeführt werden (vgl. etwa § 8 Abs. 1 des Bildungsdokumentationsgesetzes, BGBl. I Nr. 12/2002, zuletzt geändert durch BGBl. I Nr. 113/2006).
II. Bemerkungen zu einzelnen Bestimmungen:
Zu Artikel 1 (Änderung des Medizinproduktegesetzes):
Zu Z. 1 (§ 73):
Es wird angeregt, die Tatsache, dass das Register als Informationsverbundsystem im Sinn des § 50 DSG 2000 geführt wird, nicht nur in den Erläuterungen, sondern im Gesetz selbst anzuführen, da mit der Unterscheidung zwischen Betreiber und Auftraggeber bereits mittelbar darauf hingedeutet wird. Dies würde auch der legistischen Praxis auf Bundesebene entsprechen (vgl. z.B. § 16 Meldegesetz 1991, § 58c Sicherheitspolizeigesetz, § 18 Vereinsgesetz 2002, § 80 Arzneimittelgesetz).
Nach Abs. 2 Z. 1 wird unter anderem das Datum "Name des behandelnden Arztes" verarbeitet. Es wird empfohlen zu prüfen, ob in der Praxis nicht auch die Kontaktdaten (Telefonnummer, E-Mail-Adresse, etc.) und/oder weitere Daten dieses Betroffenenkreises benötigt werden. Auch bei den Patienten nach Abs. 2 Z. 2 dürften die Kontakt- und Adressdaten relevant sein. Bei dieser Personengruppe ist auch zu berücksichtigen, dass ausländischen Patienten keine (österreichische) Sozialversicherungsnummer zugeordnet ist.
Nach Abs. 2 Z. 5 sollen "personalbezogene Daten zum Versorgungsprozess" verarbeitet werden. Dieser Überbegriff ist sehr weit gefasst und es sollte zumindest aus den Erläuterungen hervorgehen, welche Einzelinformationen darunter (insbesondere) zu subsumieren sind. Es wird angeregt, die Zuordnung dieser Informationsinhalte zu präzisieren bzw. zu ergänzen, der "Zugang" dürfte sich nämlich primär nur auf die organisatorischen Daten beziehen.
Bei der Bestimmung des Abs. 5 ist nicht nachvollziehbar, warum der (direkte) Personenbezug zwar unter den genannten Voraussetzungen unverzüglich zu löschen ist, dieser Vorgang aber nicht auch – so wie bei den anderen im Entwurf vorgesehenen Registern (vgl. z.B. § 73a Abs. 5) – "unumkehrbar" erfolgen muss. Es wird die Angleichung an die Bestimmungen zu den anderen Registern oder allenfalls eine entsprechende Begründung für die Abweichung in den Erläuterungen angeregt.
Bei den Erläuterungen zu Abs. 12 müsste sich der indirekt personenbezogene Zugriff auf die Zwecke des Abs. 1 Z. 3 oder 4 beziehen.
Zu Z. 2 (§§ 73a und 73b):
Im Gegensatz zum Register für Herzschrittmacher, implantierbare Defibrillatoren und Loop-Recorder soll auf die Daten der Implantatregister immer nur in indirekt personenbezogener Form zugegriffen werden können (vgl. schon den Allgemeinen Teil der Erläuterungen). Dementsprechend wird im § 73a Abs. 10 ausgeführt, dass das Bundesamt für Sicherheit im Gesundheitswesen berechtigt ist, auf die in den Registern verarbeiteten Daten in "indirekt personenbezogener" Form zuzugreifen. Bei der Zugriffsermächtigung für die Gesundheit Österreich GmbH (Abs. 9) hingegen fehlt diese Präzisierung. Es wird angeregt, diese Klarstellung durchgängig vorzunehmen.
Eine Ausfertigung dieser Stellungnahme wird unter einem auch dem Präsidium des Nationalrates übermittelt.
Für die Landesregierung:
Dr. Liener
Landesamtsdirektor