|
|
Amt der Wiener Landesregierung
Dienststelle: Magistratsdirektion
Geschäftsbereich Recht
Verfassungsdienst und
EU-Angelegenheiten
Adresse: 1082 Wien, Rathaus
Telefon: 4000-82338
Telefax: 4000-99-82310
e-mail: post@mdv.magwien.gv.at
DVR: 0000191
MD-VD - 1586-1/07 Wien, 7. Dezember 2007
Entwurf eines Bundesgesetzes,
mit dem das Medizinproduktegesetz
und das Bundesgesetz über die
Gesundheit Österreich GmbH
geändert werden;
Begutachtung;
Stellungnahme
zu BMGFJ-91565/0009-I/B/8/2007
An das
Bundesministerium für Gesund-
heit, Familie und Jugend
Zu dem mit Schreiben vom 29. Oktober 2007 übermittelten Entwurf eines Bundesgesetzes wird nach Anhörung des Unabhängigen Verwaltungssenates Wien wie folgt Stellung genommen:
Allgemeines:
Die Schaffung einer hinreichend determinierten Rechtsgrundlage für
die Verwendung von Daten zur Führung eines Herzschrittmacher-, ICD- und
Looprecorderregisters,
eines Implantatregisters sowie weiterer Qualitätsregister durch die
GÖG, wird aus Gründen der Rechtssicherheit (Regelung von Eingriffen
in das Grundrecht auf Datenschutz) begrüßt.
Zu den einzelnen Bestimmungen:
Artikel 1 - Änderung des Medizinproduktegesetzes:
Zu Z 1 (§ 73 insbesondere Abs. 1) und zu den Erläuterungen zu § 73:
In den Erläuterungen zu § 73 Abs. 1 wird darauf hingewiesen, dass das Herzschrittmacher-, ICD- und Looprecorderregister als Informationsverbundsystem im Sinne des § 50 DSG 2000 geführt werden muss. Diese Verpflichtung sollte in den Gesetzestext aufgenommen werden.
Die vorliegende Textierung, in der von „Übermitteln“ von Daten zwischen den Auftraggebern, die aber Teilnehmer an einem Informationssystem werden sollen, die Rede ist, schließt von der Begrifflichkeit her ein solches Informationssystem übrigens aus. Nach den Legaldefinitionen in § 4 Z 12 und 13 DSG 2000 ist ein Übermitteln von Daten die Weitergabe an „andere Empfänger als .... den Auftraggeber oder einen Dienstleister“. In einem Informationsverbundsystem werden die Daten von den Auftraggebern „dem System zur Verfügung gestellt“. Datenübermittlungen sind zwar trotzdem nicht auszuschließen, dies müsste aber in der Textierung des Entwurfstextes allenfalls gesondert berücksichtigt werden.
Zu Z 1 (§ 73 Abs. 4 und 7):
Wien
und die anderen Bundesländer haben sich im E-Government-Masterplan zur
Übernahme der Regeln des Portalverbundsystems verständigt. Das
Portalverbundsys-
tem ermöglicht das Zusammenwirken von Stammportalen zur Registrierung von BenutzerInnen mit ihren Zugriffsrechten einerseits und Anwendungsportalen zur Überprüfung des berechtigten Zuganges zu Anwendungen andererseits.
Der vorliegende Entwurftext nimmt aber weder auf die Erfordernisse des Portalverbundsystems Bedacht, noch auf die Bestimmungen der §§ 9ff des Gesundheitstelematikgesetzes (GTelG). Dies zeigt sich besonders deutlich an jener Formulierung des Entwurfstextes, dergemäß die „Erteilung der Zugriffsberechtigung... sich auf konkrete Personen zu beziehen“ hat „deren Identität und Umfang der Berechtigung der Gesundheit Österreich GmbH nachzuweisen ist“. Es sollte aber eine Vereinbarkeit mit der Organisationsstruktur des Portalverbundsystems und des GTelG geschaffen werden, auch im Bezug auf Identität, Rolle und Dokumentation (§§ 3 bis 8 GTelG bzw. §§ 3 bis 6 E-GovG).
Zu Z 1 (§ 73 Abs. 5):
Dem zweiten Satz ist folgender Satz anzufügen: Der direkte Personenbezug ist durch die Gesundheit Österreich GmbH unverzüglich und unumkehrbar zu löschen, sobald er für die Zwecke nach Abs. 1 Z 1 und 3 nicht mehr erforderlich ist. Die Auftraggeber sind über die Löschung unmittelbar zu informieren.
In den Erläuterungen wäre anzuführen, wodurch festgestellt werden kann, dass für den einzelnen Patienten oder die einzelne Patientin die ihn oder sie betreffenden spezifischen Schutzfunktionen des Abs. 1 Z 1 und 3 nicht mehr gegeben sind.
Zu Z 1 (§ 73 Abs. 8):
Die Regelung im § 6 GTelG sollte im vorliegenden Entwurfstext als Mindeststandard festgeschrieben werden.
Zu Z 1 ( § 73 Abs. 12):
Im ersten Satz des § 73 Abs. 12 wird festgelegt, dass das Bundesamt für Sicherheit im Gesundheitswesen berechtigt ist, auf die im Register verarbeiteten Daten in direkt personenbezogener Form zuzugreifen, wenn dies im Zusammenhang mit der Medizinproduktevigilanz zum Zweck des Schutzes der Gesundheit und Sicherheit von Patienten und zur Abwehr von Risiken notwendig ist.
Aus den Erläuterungen zu Abs. 12 ergibt sich, dass ein solcher direkt personenbezogener Zugriff erst dann erfolgen darf, wenn dies im Einzelfall erforderlich ist. Für den Zugriff auf die Registerdaten im Sinne des Abs. 12 verweisen die Erläuterungen auf die in §§ 73 Abs. 1 Z 1 in Verbindung mit Z 2 aufgezählten Zwecke der Datenverarbeitung (Schutz der Gesundheit und Sicherheit von Patienten, Anwendern oder Dritten und Abwehr von Risken zum Zweck der Medizinproduktevigilanz und Marktüberwachung im Zusammenhang mit Herzschrittmachern, implantierbaren Defibrillatoren und Loop-Recordern). Da es sich um die Verwendung von sensiblen personenbezogenen Daten handelt, sollte der Abs. 12 im Sinne der Verhältnismäßigkeit des Eingriffs in das Grundrecht auf Datenschutz die Zwecke des Zugriffs näher determinieren, z.B. den Zugriff nur auf die unbedingt erforderlichen Datenarten beschränken. Zumindest sollte schon der Gesetzestext auf den Einzelfall abstellen, sodass ein Zugriff auf personenbezogene Daten tatsächlich nur dann erfolgt, wenn er im Einzelfall zu den festgelegten Zwecken unbedingt erforderlich ist. Es sollte überdies überdacht werden, ob es nicht ausreicht, dass ausschließlich die behandelnden Ärztinnen/Ärzte auf die personenbezogenen Daten zugreifen können. Andernfalls sollte in Erwägung gezogen werden, ob für Bedienstete des Bundesamtes für Sicherheit im Gesundheitswesen nicht eine besondere Geheimhaltungspflicht betreffend die sensiblen personenbezogenen Daten festgelegt werden könnte.
Zu Z 2 (§ 73a) allgemein:
In der Bestimmung über die „Implantatregister“ fehlt eine analoge Regelung wie in § 73 Abs. 17 (Die Gesundheit Österreich GmbH trifft für alle Auftraggeber die Meldepflicht gemäß § 17 Datenschutzgesetz 2000).
Zu Z 2 (§ 73a Abs. 1):
Nach gegenständlicher Bestimmung besteht keine Verpflichtung, Daten an diese(s) Register zu übermitteln. Das würde aber bedeuten, dass die Einrichtungen des Gesundheitswesens, die freiwillig Daten an das/die Register übermitteln, an einem Informationsverbundsystem teilnehmen, für welches es keine gesetzliche Grundlage gibt. Eine solche gesetzliche Grundlage wäre aber für das Register erforderlich.
Zu Z 2 (§ 73a Abs. 2):
In § 73 Abs. 2 werden die zu verarbeitenden Datenarten ausdrücklich (in den Klammerausdrücken) angeführt. In § 73a Abs. 2 fehlen diese Konkretisierungen.
Zu Z 2 (§ 73a Abs. 3):
In § 73a Abs. 3 ist ausgeführt, dass der Bundesminister für Gesundheit, Familie und Jugend die Einrichtung eines Implantatregisters sowie die spezifischen Datensätze zu den einzelnen Registern durch Verordnung vorzusehen und weitere Festlegungen zu treffen hat.
Diese Verordnungskompetenz ist sehr weitreichend und deutet darauf hin, dass fehlende Determinierungen im Gesetz durch Verordnungen nachgeholt werden sollen.
Artikel 2 - Änderung des Bundesgesetzes über die Gesundheit Österreich GmbH:
Zu § 15a:
Für die in § 15 Abs. 1 Z 1 und 2 angeführten Zwecke ist eine PatientInnenidentifikation nicht erforderlich.
Eingriffe in das Grundrecht auf Datenschutz dürfen nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen. Die im Gesetz aufgezählten statistischen und wissenschaftlichen Zwecke begründen keine sachliche Rechtfertigung für den Eingriff in das Grundrecht auf Datenschutz. Es bestehen daher massive Bedenken gegen eine personenbezogene Übermittlung von PatientInnendaten für das Qualitätsregister.
Für den Landesamtsdirektor:
Mag. Andrea Mader
SR Dr. Hans Serban, LL.M. Obermagistratsrätin
Ergeht an:
1. Präsidium des Nationalrates
2. alle Ämter der Landes-
regierungen
3. Verbindungsstelle der
Bundesländer
4. MA 40
(zu Zl. MA 40-BG-2-10021/2007)
mit dem Ersuchen um Weiter-
leitung an die einbezogenen
Dienststellen