VERFASSUNGSDIENST   Museumstraße 7 1070 Wien
		E-Mail: Sektion.V@bmvrdj.gv.at
An das Bundesministerium für Arbeit, Soziales, Gesundheit und Konsumentenschutz Stubenring 1 1010 Wien Mit E-Mail: vera.pribitzer@bmg.gv.at		Sachbearbeiter: Mag. Dr. Ronald BRESICH Tel.:  +43 1 52152 302903 E-Mail: Ronald.BRESICH@bmvrdj.gv.at   Ihr Zeichen/vom: BMASGK-91000/0003-IX/A/2018 BMVRDJ-810.043/0011-V 3/2018 GBeg. Bundesgesetz, mit dem das Gesundheits- und Krankenpflegegesetz, das Hebammengesetz, das Kardiotechnikergesetz, das MTD-Gesetz, das Medizinische Assistenzberufe-Gesetz, das Medizinischer Masseur- und Heilmasseurgesetz, das Sanitätergesetz, das Zahnär

Entwurf eines Bundesgesetzes, mit dem das Gesundheits- und Krankenpflegegesetz, das Hebammengesetz, das Kardiotechnikergesetz, das MTD-Gesetz, das Medizinische Assistenzberufe-Gesetz, das Medizinischer Masseur- und Heilmasseurgesetz, das Sanitätergesetz, das Zahnärztegesetz, das Zahnärztekammergesetz, das Gesundheitsberuferegister-Gesetz, das IVF-Fonds-Gesetz, das Ärztegesetz 1998, das ÄsthOpG, das Musiktherapiegesetz, das Psychologengesetz 2013, das Psychotherapiegesetz, das EWR-Psychologengesetz, das EWR-Psychotherapiegesetz, das Arzneimittelgesetz, das Blutsicherheitsgesetz 1999, das Gewebesicherheitsgesetz, das Bundesgesetz über Krankenanstalten und Kuranstalten, das Medizinproduktegesetz, das Epidemiegesetz 1950, das Organtransplantationsgesetz, das Apothekengesetz, das Apothekerkammergesetz 2001, das Gehaltskassengesetz 2002, das Tierärztegesetz, das Tierärztekammergesetz, das Tierseuchengesetz, das Tiergesundheitsgesetz, das Tierarzneimittelkontrollgesetz, das Tiermaterialiengesetz, das Gesundheits- und Ernährungssicherheitsgesetz, das Lebensmittelsicherheits- und Verbraucherschutzgesetz, das Tierschutzgesetz, das Tiertransportgesetz, das Bundesgesetz zur Durchführung unmittelbar anwendbarer Bestimmungen auf dem Gebiet des Tierschutzes, das Bundesgesetz über die Gesundheit Österreich GmbH, das Bundesgesetz über die Dokumentation im Gesundheitswesen, das Suchtmittelgesetz, das Neue-Psychoaktive-Substanzen-Gesetz, das Tabak- und Nichtraucherinnen- bzw. Nichtraucherschutzgesetz, das Gesundheitstelematikgesetz 2012 und das Gentechnikgesetz geändert werden (Datenschutz-Anpassungsgesetz 2018 – Gesundheit);        
Begutachtung; Stellungnahme

Zu dem übermittelten Gesetzesentwurf nimmt das Bundesministerium für Verfassung, Reformen, Deregulierung und Justiz – Verfassungsdienst wie folgt Stellung:

I.  Allgemeines

Es wird darauf hingewiesen, dass die Übereinstimmung des im Entwurf vorliegenden Bundesgesetzes mit dem Recht der Europäischen Union vornehmlich vom do. Bundesministerium zu beurteilen ist.

II.  Inhaltliche Bemerkungen

Allgemeines:

Gesetzliche Festlegung eines Auftragsverarbeiters

In mehreren Bestimmungen des Entwurfes (zB in § 4 Abs. 3 des Gesundheitsberuferegister-Gesetzes und § 7 Abs. 2 des IVF-Fonds-Gesetzes) werden Auftragsverarbeiter gesetzlich festgelegt. Bei der Festlegung eines gesetzlichen Auftragsverarbeiters wären die Vorgaben des Art. 28 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) zu beachten.

Beschränkungen der Rechte der betroffenen Person

Beschränkungen der Rechte der betroffenen Person (zB in § 2b Abs. 3 des Gesundheits- und Krankenpflegegesetzes und § 48 Abs. 6 des Hebammengesetzes) müssen den Vorgaben des Art. 23 DSGVO entsprechen. Insbesondere wird auf die Vorgaben des Art. 23 Abs. 2 DSGVO im Hinblick auf die Ausgestaltung der Gesetzgebungsmaßnahme hingewiesen.

Beschränkungen von Betroffenenrechten im Bereich Wissenschaft und Forschung müssen dem Art. 89 Abs. 2 DSGVO entsprechen, eine bloße inhaltliche Widergabe des Art. 89 Abs. 2 DSGVO ist diesbezüglich nicht ausreichend.

Verarbeitung besonderer Kategorien personenbezogener Daten

Im Entwurf ist (zB in § 2b des Kardiotechnikergesetzes) die Verarbeitung von besonderen Kategorien von personenbezogenen Daten geregelt. Diesbezüglich ist anzumerken, dass gemäß Art. 9 Abs. 1 DSGVO die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person grundsätzlich untersagt ist und eine Verarbeitung solcher Daten nur unter den in Art. 9 Abs. 2 und 3 DSGVO genannten Voraussetzungen zulässig ist.

Es sollte klar ersichtlich sein (zB in § 2a Abs. 1 des ÄsthOpG), ob und welche besondere Kategorien von Daten (Art. 9 DSGVO) verarbeitet werden. Wenn nur generell auf besondere Kategorien von personen­bezogenen Daten und nicht auf die einzelne erforderliche Kategorie (zB Gesundheitsdaten) abgestellt wird, sind davon nach dem Wortlaut auch Datenarten umfasst, die für die Zweckerreichung im vorliegenden Kontext keinesfalls erforderlich sein können (zB die Verarbeitung genetischer Daten).

Im Übrigen wird mehrfach im Zusammenhang mit Gesundheitsdaten (zB im Gesundheitstelematikgesetz 2012) der Begriff der genetischen Daten ergänzt; dies sollte näher begründet werden, insbesondere auch dahingehend, ob sich dadurch eine Veränderung zum geltenden Recht ergibt.

Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen

Die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (zB in § 40 Abs. 5 und 6 des Gesundheits- und Krankenpflegegesetzes) müsste den Vorgaben des Art. 10 DSGVO entsprechend angepasst werden.

Mehrfach sind zudem Übermittlungen der Gerichte und Staatsanwaltschaften – etwa zum Ermittlungsverfahren und zur Untersuchungshaft sowie zur Beendigung eines Hauptverfahrens – vorgesehen (zB in § 19 Abs. 7 und 8 des Medizinische Assistenzberufe-Gesetzes). Im Sinne der Grundsätze auf Zweckbindung und Datenminimierung (Art. 5 Abs. 1 lit. b und c DSGVO) und des Verhältnismäßigkeitsgrundsatzes (§ 1 Abs. 2 Datenschutzgesetz (DSG), BGBl. I Nr. 165/1999, idF des Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017) sollte näher dargelegt werden, weshalb nicht nur mit der Übermittlung der (rechtskräftigen) Entscheidung der angestrebte Zweck erreicht werden kann. Es sollte im Hinblick auf den Verhältnismäßigkeitsgrundsatz auch nochmals geprüft werden, ob die vorgesehene Verpflichtung der Staatsanwaltschaft zur Information über jegliche Einleitung (und Aufhebung) eines Ermittlungsverfahrens und über jegliche Verhängung der Untersuchungshaft tatsächlich für alle betroffenen Berufsgruppen erforderlich ist.

Unionsrechtliches Transformationsverbot

Regelungen, die bloß auf die Geltung oder Einhaltung der gesamten DSGVO oder einzelner unmittelbar abwendbarer Bestimmungen der DSGVO hinweisen (zB § 2b Abs. 1 und 2 des Gesundheits- und Krankenpflegegesetzes, § 61d Abs. 1 und 2 des Hebammengesetzes und § 6 Abs. 1 des Zahnärztekammergesetzes), sollten im Lichte des unionsrechtlichen Transformationsverbotes entfallen. Grundsätzlich sollte auch nicht darauf verwiesen werden, dass das DSG gilt, da sich dies bereits aus dem Anwendungsbereich des DSG (§ 4 Abs. 1 DSG) ergibt.

In diesem Zusammenhang wird auch darauf hingewiesen, dass die Verweise auf die DSGVO und das DSG im Entwurf einheitlich vorgenommen werden sollten (siehe zu den unterschiedlichen Verweisen etwa § 2b Abs. 3 des Gesundheits- und Krankenpflegegesetzes und § 61d Abs. 1 und 2 des Hebammengesetzes).

Pseudonymisierte Daten

Mehrfach wird im Entwurf inhaltlich der Begriff der anonymen Daten – entgegen der entsprechenden Definition in Art. 4 Z 5 der DSGVO – durch pseudonymisierte Daten ersetzt (zB in § 21 Abs. 3 des Zahnärztegesetzes und § 54 Abs. 3 des Ärztegesetzes 1998); die Erläuterungen führen – etwa zum Gentechnikgesetz – auch aus, dass der bisher verwendete Begriff „anonymisiert“ dem Begriff der Pseudonymisierung entspräche. Pseudonymisierte Daten sind nach der DSGVO jedoch – im Gegensatz zu anonymen Daten – personenbezogene Daten und unterliegen damit dem Anwendungsbereich der DSGVO.

Definition der öffentlichen Stelle

Die Regelung in § 4 Abs. 7 des Bundesgesetzes über die Gesundheit Österreich GmbH, dass die Gesundheit Österreich GmbH eine öffentliche Stelle im Sinne der DSGVO ist und, soweit die Gesellschaft aufgrund ihres gesetzlichen Auftrages personenbezogene Daten verarbeitet, im Rahmen der Hoheitsverwaltung tätig wird, sollte entfallen.

Die Festlegung, was unter einer öffentlichen Stelle zu verstehen ist, sollte nicht materiengesetzlich vorgenommen werden, zumal dies zu einer uneinheitlichen Definition der öffentlichen Stelle führt.

Ebenso sollte auf materiengesetzlicher Ebene vermieden werden, eine Einrichtung – wie in § 31b Abs. 2 des Allgemeinen Sozialversicherungsgesetzes – als Verantwortlicher des öffentlichen Bereichs zu definieren. Diese Definition ergibt sich aus § 26 Abs. 1 DSG.

Übermittlung von personenbezogenen Daten

Soweit im Entwurf Übermittlungen geregelt werden (zB in § 2b Abs. 2 des Gesundheits- und Krankenpflegegesetzes, § 2b Abs. 2 des Kardiotechnikergesetzes und § 73 Abs. 4 des Medizinproduktegesetzes), sollte in jedem Fall auch nachvollziehbar sein, welchem Verantwortlichen die personenbezogenen Daten übermittelt werden.

Löschung von personenbezogenen Daten

Wann personenbezogene Daten zu löschen sind, ergibt sich grundsätzlich bereits aus der DSGVO. Eine Regelung, dass personenbezogene Daten, die mit an Sicherheit grenzender Wahrscheinlichkeit nicht mehr benötigt werden, möglichst rasch zu löschen sind, stellt keine Präzisierung dar und sollte – da sie mit den Vorgaben der DSGVO im Spannungsverhältnis steht – vermieden werden.

Sicherheit der Verarbeitung

Die (bloße) Pflicht zur Ergreifung von Datensicherheitsmaßnahmen – wie etwa in § 5 Abs. 5 und § 16 Abs. 4 des Gewebesicherheitsgesetzes – ergibt sich bereits unmittelbar aus Art. 32 DSGVO und sollte im Lichte des unionsrechtlichen Transformationsverbotes nicht in das nationale Recht übernommen werden. Eine Präzisierung der Datensicherheitsmaßnahmen wird hingegen für zulässig erachtet.

Zu Art. 3 (Änderung des Kardiotechnikergesetzes):

Zu Z 6 (§ 19):

Zu der in § 19 Abs. 2 vorgesehenen Veröffentlichung sollte der Zweck ergänzt werden.

Unklar ist, welche Gesundheitsdaten im ärztlichen Zeugnis gemäß § 19 Abs. 5 enthalten sind.

Zu Art. 10 (Änderung des Gesundheitsberuferegister-Gesetzes):

Zu Z 7 (§ 9 Abs. 1):

Es sollte klargestellt werden, ob die Gesundheit Österreich GmbH, die Bundesarbeitskammer und die Arbeiterkammern gemäß § 9 Abs. 1 gemeinsame Verantwortliche gemäß Art. 26 DSGVO sind oder allenfalls personenbezogene Daten auch untereinander austauschen können.

Zu Z 8 (§ 9 Abs. 1a):

Fraglich ist, welchen „Dritten“ gemäß § 9 Abs. 1a die öffentlichen Daten aus dem Gesundheitsberuferegister übermittelt werden können.

Zu Art. 11 (Änderung des IVF-Fonds-Gesetzes):

Zu Z 5 (§ 7 Abs. 4):

Zu § 7 Abs. 4 wird angemerkt, dass der Begriff der „indirekt personenbezogenen“ Daten (§ 4 Abs. 1 DSG 2000) nicht ident mit jenem der „Pseudonymisierung“ gemäß Art. 4 Z 5 DSGVO ist. Es sollte näher erläutert werden, welche Unterschiede sich dadurch in der konkreten Datenverarbeitung ergeben.

Zu Art. 19 (Änderung des Arzneimittelgesetzes):

Zu Z 4 (§ 39 Abs. 3a):

Nachdem sich die Möglichkeit des Widerrufs einer Einwilligung und die Rechtswirkungen des Widerrufs bereits unmittelbar aus Art. 7 Abs. 3 DSGVO ergeben, sollte der Widerruf der Einwilligung in § 39 Abs. 3a nicht ausgeschlossen werden.

Zu Z 8 (§ 46 Abs. 5):

In § 46 Abs. 5 sollte dargelegt werden, welche (personenbezogenen) Daten für die klinische Prüfung relevant sind und zu welchem Zweck diese auf Anforderung dem Bundesamt für Sicherheit im Gesundheitswesen verfügbar gemacht werden müssen.

Zu Z 13 (§ 80 Abs. 2):

Es erscheint fraglich, welcher Verantwortliche nach § 80 Abs. 2 personenbezogene Daten erhebt und welche Daten benötigt werden.

Zu Art. 22 (Änderung des Bundesgesetzes über Krankenanstalten und Kuranstalten):

Zu Z 4 (§ 10 Abs. 5):

§ 10 Abs. 5 sieht eine Übermittlung von personenbezogenen Daten durch Auftragsverarbeiter, denen die Verarbeitung übertragen wurde, vor. Die Entscheidung über die Übermittlung von personenbezogenen Daten muss jedoch beim jeweiligen Verantwortlichen liegen. Die Übermittlung von Daten könnte daher nur „im Wege“ des Auftragsverarbeiters durch den Verantwortlichen vorgenommen werden.

Zu Art. 23 (Änderung des Medizinproduktegesetzes):

Zu Z 3 (§ 49 Abs. 5):

Hinsichtlich des Widerrufs der Einwilligung wird auf die Anmerkungen zu Art. 19 Z 4 (§ 39 Abs. 3a des Arzneimittelgesetzes) verwiesen.

Zu Z 6 (§ 55 Abs. 1):

Zu § 55 Abs. 1 wird angemerkt, dass sich die Vorgaben für die Pseudonymisierung bereits aus Art. 4 Z 5 DSGVO ergeben und nicht gesondert im nationalen Recht geregelt werden sollte.

Zu den Z 12 (§ 73 Abs. 4) und 18 (§ 73 Abs. 11):

Die in § 73 Abs. 4 vorgesehene Löschung des „direkten“ Personenbezuges reicht bei einem Widerruf der Einwilligung nicht aus; diesbezüglich wird auch auf die Anmerkungen zu Art. 19 Z 4 (§ 39 Abs. 3a des Arzneimittelgesetzes) verwiesen.

Der Begriff des „direkten“ Personenbezugs wird in der DSGVO und im DSG nicht verwendet und sollte daher nicht gebraucht werden.

Zu Z 19 (§ 73 Abs. 12 Z 1):

Zu § 73 Abs. 12 Z 1 sollte dargelegt werden, welche „andere natürliche Person“ in Betracht kommt.

Zu Z 26 (§ 73a Abs. 5):

Zu der in § 73a Abs. 5 vorgesehenen „Pseudonymisierung“ durch den Einsatz bereichsspezifischer Personenkennzeichen ist anzumerken, dass das bereichsspezifische Personenkennzeichen keine Pseudonymisierung iSd Art. 4 Z 5 DSGVO darstellt. § 73a Abs. 5 sollte entsprechend den terminologischen Vorgaben der DSGVO überarbeitet werden.

Zu Z 37 (§ 110a Abs. 2):

In § 110a Abs. 2 ist nicht ausreichend klar ersichtlich, welcher Verantwortliche die Datenverarbeitung vornimmt.

Zu Art. 24 (Änderung des Epidemiegesetzes 1950):

Zu Z 1 (§ 4 Abs. 1 und 2):

Es ist unklar, welche konkreten personenbezogenen Daten im elektronischen Register gemäß § 4 Abs. 1 verarbeitet werden. Dies sollte insbesondere hinsichtlich der besonderen Kategorien von Daten (Art. 9 DSGVO) klargestellt werden.

Zu Z 6 (§ 4 Abs. 8):

Fraglich erscheint, welche „Dritte“ nach § 4 Abs. 8 als Auftragsverarbeiter herangezogen werden können.

Zu Z 12 (§ 4a):

Zum Statistik-Register gemäß § 4a ist anzumerken, dass Daten, die mit einem eindeutigen Personenkennzeichen (auch wenn dieses nicht rückführbar verschlüsselt ist) versehen sind, keine anonymen, sondern personenbezogene Daten darstellen. Nachdem die Daten personenbezogen sind, erscheint eine unbegrenzte Nutzung der Daten jedenfalls nicht zulässig. Auf die Grundsätze der Zweckbindung und Datenminimierung und den Verhältnismäßigkeitsgrundsatz wird hingewiesen. Auch die Auskunftspflicht für alle Personen, die zu den Erhebungen einen Beitrag leisten könnten, geht jedenfalls zu weit und müsste konkret eingeschränkt werden. Auch der Zweck der Anfrage sollte näher dargelegt werden.

Zu Art. 26 (Änderung des Apothekengesetzes):

Zu Z 1 (§ 6a):

Unklar ist, welchem Zweck die Regelung des § 6a Abs. 1 dient, da sie für eine Eingriffsermächtigung nicht ausreichend detailliert ausgestaltet ist. Insbesondere für die Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) wäre eine konkretere Regelung der Datenverarbeitungen erforderlich.

Aus § 6a Abs. 2 geht nicht hervor, welchen „Dritten“ personenbezogene Daten übermittelt werden dürfen; weiters ist fraglich, um welche personenbezogene Daten es sich handelt.

Zu Art. 27 (Änderung des Apothekerkammergesetzes 2001):

Zu Z 3 (§ 6):

Hinsichtlich des erforderlichen Detaillierungsgrades für die Verarbeitung gemäß § 6 wird auf die Ausführungen zu Art. 26 Z 1 (§ 6a des Apothekengesetzes) hingewiesen.

Es erscheint fraglich, welche „sonstigen Rechtsträger“ gemäß § 6 Abs. 1 in Betracht kommen und ob es sich dabei um Auftragsverarbeiter handelt. Es sollte klargestellt werden, ob es sich bei der in § 6 Abs. 1 genannten „Verwaltungsgemeinschaft“ um gemeinsame Verantwortliche gemäß Art. 26 DSGVO handelt.

Es ist im Übrigen nicht ersichtlich, weshalb die personenbezogenen Daten gemäß § 6 Abs. 5 „unbeschränkt“ gespeichert werden dürfen. Diesbezüglich wird auf die Grundsätze der Zweckbindung, Datenminimierung und Speicherbegrenzung sowie auf den Verhältnismäßigkeitsgrundsatz gemäß Art. 5 DSGVO hingewiesen.

Zu Art. 28 (Änderung des Gehaltskassengesetzes 2002):

Zu Z 1 (§ 5 Abs. 1):

Hinsichtlich des erforderlichen Detaillierungsgrades für die Verarbeitung gemäß § 5 Abs. 1 wird auf die Ausführungen zu Art. 26 Z 1 (§ 6a des Apothekengesetzes) hingewiesen.

Unklar ist, ob es sich bei der in § 5 Abs. 1 genannten „Verwaltungsgemeinschaft“ um gemeinsame Verantwortliche gemäß Art. 26 DSGVO handelt.

Zu Art. 32 (Änderung des Tiergesundheitsgesetzes):

Zu Z 2 (§ 7a):

Die Zwecke der Datenverarbeitung sollten bereits aus dem Gesetz hervorgehen bzw. sollte zumindest aus dem Gesetz vorhersehbar sein, welche Zwecke und Datenverarbeitungen in der Verordnung geregelt werden.

Zu Art. 34 (Änderung des Tiermaterialiengesetzes):

Zu Z 2 (§ 3 Abs. 8 und 9):

Fraglich erscheint, welche personenbezogenen Daten aufgrund des § 3 Abs. 8 verarbeitet werden. Dies sollte insbesondere auch im Zusammenhang mit der Einschränkung der Rechte der betroffenen Person gemäß § 3 Abs. 9 ersichtlich sein.

Zu Art. 35 (Änderung des Gesundheits- und Ernährungssicherheitsgesetzes):

Zu Z 1 (§ 9 Abs. 7 bis 9):

Es sollte klarer geregelt werden, wer der Verantwortliche der Datenverarbeitung gemäß § 9 Abs. 7 ist und welche personenbezogenen Daten umfasst sind.

Zu Art. 37 (Änderung des Tierschutzgesetzes):

Zu Z 1 (§ 18a Abs. 12 bis 14):

Es ist unklar, wer der Verantwortliche der Datenverarbeitung gemäß § 18a Abs. 12 ist und welche personenbezogenen Daten umfasst sind.

Zu Art. 40 (Änderung des Bundesgesetzes über die Gesundheit Österreich GmbH):

Zu Z 4 (§ 15):

Hinsichtlich der Regelung der Verschwiegenheitspflicht in § 15 Abs. 5 sollte das Verhältnis zu § 6 DSG dargestellt werden.

Zu Art. 41 (Änderung des Bundesgesetzes über die Dokumentation im Gesundheitswesen):

Zu Z 2 (§ 4 Abs. 3):

Gemäß § 4 Abs. 3 ist das Data Warehouse „Dokumentations- und Informationssystem für Analysen im Gesundheitswesen“ (DIAG) vom für das Gesundheitswesen zuständigen Bundesminister zu betreiben. Unklar ist, ob damit die datenschutzrechtliche Rolle des Verantwortlichen definiert werden soll. Es sollte in § 4 Abs. 3 der Verantwortliche eindeutig festgelegt werden.

Im Hinblick auf die Regelung der Verschwiegenheitspflicht in § 4 Abs. 3 sollte das Verhältnis zu § 6 DSG dargestellt werden.

Zu Art. 42 (Änderung des Suchtmittelgesetzes):

Zu Z 9 (§ 23 Abs. 1):

Zu § 23 Abs. 1 wird angemerkt, dass die „Verarbeitung“ im Vergleich zur „Evidenthaltung“ eine Erweiterung der Datenverarbeitung darstellt. Es sollte im Lichte des Verhältnismäßigkeitsgrundsatzes der Zweck der Erweiterung dargelegt und geprüft werden, ob allenfalls der Begriff „Speicherung“ statt „Verarbeitung“ verwendet werden könnte.

Zu Art. 43 (Änderung des Gesundheitstelematikgesetzes 2012):

Zu Z 47 (§ 13 Abs. 1):

Statt der gesetzlichen Anordnung, dass die Verwendung der Elektronischen Gesundheitsakte ein erhebliches öffentliches Interesse gemäß Art. 9 Abs. 2 lit. g bis j der DSGVO erfüllt, sollte das Vorliegen dieses öffentlichen Interesses in den Erläuterungen dargelegt werden.

Zu Z 90 (§ 24a Abs. 1 Z 3):

Es sollte in § 24a Abs. 1 Z 3 klarer geregelt werden, was unter der Formulierung „vorbehaltlich des § 14 Abs. 3a“ zu verstehen ist.

Zu Z 91 (§ 25):

Für welche Verstöße Art. 83 Abs. 5 lit. a DSGVO „gilt“, sollte nicht im nationalen Recht festgelegt werden. Darüber hinaus sollte geprüft werden, inwieweit Verstöße gegen die in § 25 Abs. 2 genannten Bestimmungen auch ohne explizite Anordnung dem Art. 83 DSGVO unterliegen.

Zu Art. 46 (Änderung des Gentechnikgesetzes):

Zu Z 3 (§ 66 Abs. 3):

Die Rechtswirkungen eines Widerrufs der Einwilligung ergeben sich bereits unmittelbar aufgrund des Art. 7 Abs. 3 DSGVO und sollten im nationalen Recht nicht wiederholt oder abgeändert werden.

Im Übrigen sollte der Begriff der „Zustimmung“ – soweit dieser in datenschutzrechtlicher Hinsicht verwendet wird – durch „Einwilligung“ ersetzt werden.

Zu den Z 5 (§ 71 Abs. 1 Z 4) und 67 (§ 71a Abs. 2):

Unklar erscheint, welche Datenverarbeitungen in § 71 Abs. 1 Z 4 und § 71a Abs. 2 von der „Auswertung“ und „Interpretation“ umfasst sind.

III.  Zu den Materialien

Zur Textgegenüberstellung:

Die „Vorgeschlagene Fassung“ weist folgende Diskrepanzen zum Novellentext auf:

–   Art. 11 (Änderung des IVF-Fonds-Gesetzes), Z 4 (§ 7 Abs. 2): „Art. 4 Z 8“ / „Artikel 4 Z 8“;

–   Art. 28 (Änderung des Gehaltskassengesetzes 2002), Z 1 (§ 5 Abs. 1): Klammerausdruck „(im Folgenden: DSGVO)“ im ersten Satz; gesamter letzter Satz; Z 3 (§ 5 Abs. 6 und 7): „Datenschutz-Grundverordnung“ / „DSGVO“;

–   Art. 42 (Änderung des Suchtmittelgesetzes), Z 16 (§ 25 Abs. 2): „übermitteln“ / „überlassen“ und „personenbezogene Daten“ / „Daten“ jeweils im zweiten Satz.

 

Diese Stellungnahme wird im Sinne der Entschließung des Nationalrates vom 6. Juli 1961 auch dem Präsidium des Nationalrates zur Kenntnis gebracht.

 

Wien, 27. März 2018

Für den Bundesminister:

Dr. Gerhard HESSE

Elektronisch gefertigt