Bundesgesetz, mit dem das Gesundheitstelematikgesetz 2012 geändert wird

Der Nationalrat hat beschlossen:

Änderung des Gesundheitstelematikgesetzes 2012

Das Gesundheitstelematikgesetz 2012, BGBl. I Nr. 111/2012, zuletzt geändert durch das 2. COVID-19-Gesetz, BGBl. I Nr. 16/2020, wird wie folgt geändert:

1. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 4 der folgende Eintrag zu § 4a eingefügt:

4a

Identität von Behörden des Öffentlichen Gesundheitsdienstes

2. Im Inhaltsverzeichnis erhält der bisherige 5. Abschnitt die Abschnittsbezeichnung „6“.

3. Im Inhaltsverzeichnis wird vor dem neuen 6. Abschnitt folgender neuer 5. Abschnitt eingefügt:

„5. Abschnitt: eHealth-Anwendungen

1. Unterabschnitt
Primärversorgung

24a

 

2. Unterabschnitt
Elektronischer Impfpass

24b

Ziele des Elektronischen Impfpasses

24c

Zentrales Impfregister

24d

Grundsätze der Impfdatenverarbeitung

24e

Rechte der Bürger/innen

24f

Nutzung von ELGA-Komponenten

24g

Statistische Auswertungen“

4. In § 1 Abs. 2 Z 2 wird das Wort „sowie“ durch einen Beistrich ersetzt.

5. In § 1 Abs. 2 Z 3 lit. e) wird nach der Zeichenfolge „(4. Abschnitt)“ der Punkt durch das Wort „sowie“ ersetzt.

6. Dem § 1 Abs. 2 wird folgende Z 4 angefügt:

         „4. einheitliche Regelungen für die gerichtete oder ungerichtete Kommunikation elektronischer Gesundheitsdaten und genetischer Daten im Rahmen von spezifischen eHealth-Anwendungen zu schaffen (5. Abschnitt).“

7. In § 2 Z 11 wird die Wortfolge „(im Folgenden: Hauptverband)“ durch die Wortfolge „(im Folgenden: Dachverband)“ ersetzt.

8. In § 2 Z 14 wird nach der Wortfolge „in Angelegenheiten des Datenschutzes“ die Wort- und Zeichenfolge „ , Bürger/innen darüber hinaus in Angelegenheiten von eHealth-Anwendungen,“ eingefügt.

9. Dem § 2 werden folgende Z 16 und Z 17 angefügt:

      „16. „ELGA-Anwendung“: die auf einen bestimmten Zweck gerichtete Verwendung von ELGA durch ELGA-Gesundheitsdiensteanbieter und ELGA-Teilnehmer/innen gemäß dem 4. Abschnitt.

        17. „eHealth-Anwendung:“ die auf einen bestimmten Zweck gerichtete Verwendung von ELGA-Komponenten durch Bürger/innen und Gesundheitsdiensteanbieter gemäß dem 5. Abschnitt.“

10. In § 3 Abs. 2 wird nach der Ziffer „6“ die Zeichenfolge „ , § 4 Abs. 4 und Abs. 5 Z 2“ eingefügt.

11. In § 4 Abs. 6 wird das Wort „Bürgerkartenfunktion“ durch die Wortfolge „Funktion E-ID“ ersetzt.

12. Nach § 4 wird folgender § 4a samt Überschrift eingefügt:

„Identität von Behörden des Öffentlichen Gesundheitsdienstes

§ 4a. (1) Die Bezirksverwaltungsbehörden, der Landeshauptmann und der für das Gesundheitswesen zuständige Bundesminister haben die Zugriffsberechtigungen auf eHealth-Anwendungen (§ 2 Z 17) für die einzelnen Bediensteten der jeweiligen Behörde individuell nach dem jeweiligen Aufgabenbereich festzulegen und zu dokumentieren. Zugriffsberechtigte sind von der Ausübung ihrer Zugriffsberechtigung auszuschließen, wenn sie diese zur Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder sie die Daten nicht entsprechend ihrer Zweckbestimmung verarbeiten.

(2) Die in Abs. 1 genannten Behörden haben durch organisatorische und technische Vorkehrungen (§ 8) sicherzustellen, dass ein Zugriff auf eHealth-Anwendungen, insbesondere der Zutritt zu Räumen, in denen sich eine Zugriffsmöglichkeit auf eHealth-Anwendungen befindet, nur den mit Gesundheitsaufgaben betrauten Bediensteten der Behörde möglich ist. Ist es erforderlich, dass in Räumen mit einer Zugriffsmöglichkeit auf eHealth-Anwendungen Parteienverkehr stattfindet, ist jedenfalls sicherzustellen, dass eine Einsichtnahme in die Daten der eHealth-Anwendungen durch Außenstehende nicht möglich ist.

(3) Fallen für eine in Abs. 1 genannte Behörde die Voraussetzungen für die verwaltungsübergreifende Zusammenarbeit im Rahmen von eHealth-Anwendungen weg, ist sicherzustellen, dass weitere Zugriffe auf eHealth-Anwendungen durch diese Behörde ausgeschlossen sind.“

13. In § 5 Abs. 2 wird die Wortfolge „Der Bundesminister für Gesundheit“ durch die Wortfolge „Der für das Gesundheitswesen zuständige Bundesminister“ ersetzt.

14. In § 8 Abs. 2 wird das Wort „Hauptverband“ durch das Wort „Dachverband“ ersetzt.

15. In § 8 Abs. 3 wird die Wortfolge „des Bundesministers für Gesundheit“ durch die Wortfolge „des für das Gesundheitswesen zuständigen Bundesministers“ ersetzt.

16. In § 9 Abs. 1 wird die Wortfolge „Der Bundesminister für Gesundheit“ durch die Wortfolge „Der für das Gesundheitswesen zuständige Bundesminister“ ersetzt.

17. In § 9 Abs. 3 Z 2 lit. c wird das Wort „Hauptverbandes“ durch das Wort „Dachverbandes“ ersetzt.

18. In § 9 Abs. 3 Z 3 wird die Wortfolge „den Bundesminister für Gesundheit“ durch die Wortfolge „den für das Gesundheitswesen zuständigen Bundesminister“ ersetzt.

19. In § 10 Abs. 3 wird die Wortfolge „vom Bundesminister für Gesundheit“ durch die Wortfolge „von dem für das Gesundheitswesen zuständigen Bundesminister“ ersetzt.

20. In § 10 Abs. 4 wird die Wortfolge „dem Bundesminister für Gesundheit“ durch die Wortfolge „dem für das Gesundheitswesen zuständigen Bundesminister“ ersetzt.

21. In § 10 Abs. 5 wird die Wortfolge „des Bundesministeriums für Gesundheit“ durch die Wortfolge „des für das Gesundheitswesen zuständigen Bundesministeriums“ und die Wortfolge „vom Bundesminister für Gesundheit“ durch die Wortfolge „von dem für das Gesundheitswesen zuständigen Bundesminister“ ersetzt.

22. In § 10 Abs. 7 wird die Wortfolge „Der Bundesminister für Gesundheit“ durch die Wortfolge „Der für das Gesundheitswesen zuständige Bundesminister“ ersetzt.

23. In § 11 Abs. 1 und 3 wird die Wortfolge „Der Bundesminister für Gesundheit“ durch die Wortfolge „Der für das Gesundheitswesen zuständige Bundesminister“ ersetzt.

24. In § 12 wird die Wortfolge „Der Bundesminister für Gesundheit“ durch die Wortfolge „Der für das Gesundheitswesen zuständige Bundesminister“ ersetzt.

25. In § 14 Abs. 2 Z 1 wird das Wort „zu“ durch die Wortfolge „für Zwecke“ ersetzt.

26. In § 15 Abs. 1 Z 1 wird die Wort- und Zeichenfolge „Hauptverbandes gemäß § 31 Abs. 4 Z 3 lit. a“ durch die Wort- und Zeichenfolge „Dachverbandes gemäß § 30c Abs. 1 Z 2 lit. a“ ersetzt.

27. In § 15 Abs. 2 wird die Wortfolge „Der Bundesminister für Gesundheit“ durch die Wortfolge „Der für das Gesundheitswesen zuständige Bundesminister“ ersetzt.

28. In § 16 Abs. 5 wird die Wortfolge „Der Bundesminister für Gesundheit“ durch die Wortfolge „Der für das Gesundheitswesen zuständige Bundesminister“ ersetzt.

29. In § 16a Abs. 1 wird das Wort „Hauptverband“ durch das Wort „Dachverband“ ersetzt.

30. In § 17 Abs. 1 wird die Wortfolge „vom Bundesminister für Gesundheit“ durch die Wortfolge „von dem für das Gesundheitswesen zuständigen Bundesminister“ ersetzt.

31. In § 17 Abs. 2 wird die Wortfolge „Der Bundesminister für Gesundheit“ durch die Wortfolge „Der für das Gesundheitswesen zuständige Bundesminister“ und die Wortfolge „dem Bundesminister für Gesundheit“ durch die Wortfolge „dem für das Gesundheitswesen zuständigen Bundesminister“ ersetzt.

32. In § 18 Abs. 1 wird das Wort „Hauptverband“ durch das Wort „Dachverband“ ersetzt.

33. In § 18 Abs. 3 wird die Wort- und Zeichenfolge „Hauptverbandes gemäß § 31 Abs. 4 Z 3 lit. a“ durch die Wort- und Zeichenfolge „Dachverbandes gemäß § 30c Abs. 1 Z 2 lit. a“ ersetzt.

34. In § 18 Abs. 4 Z 2 wird die Wortfolge „einer Bürgerkarte“ durch die Wortfolge „eines E-ID“ ersetzt.

35. In § 18 Abs. 4 Z 4 wird nach dem Beistrich das Wort „oder“ angefügt.

36. Dem § 18 Abs. 4 wird folgende Z 5 angefügt:

         „5. das Auslesen von Daten der e-card oder eines amtlichen Lichtbildausweises im Format ID-1 mittels geeigneter Technologie für die Identifizierung im Rahmen des elektronischen Impfpasses, wobei als amtlicher Lichtbildausweis in diesem Sinne von einer staatlichen Behörde ausgestellte Dokumente, die mit einem nicht austauschbaren erkennbaren Kopfbild der betreffenden Person versehen sind, und den Namen, das Geschlecht, das Geburtsdatum und die Unterschrift der Person sowie die ausstellende Behörde enthalten, gelten,“

37. In § 18. Abs. 9 wird das Wort „Hauptverband“ durch das Wort „Dachverband“ ersetzt.

38. In § 19 Abs. 1 wird die Wortfolge „vom Bundesminister für Gesundheit“ durch die Wortfolge „von dem für das Gesundheitswesen zuständigen Bundesminister“ ersetzt.

39. In § 19 Abs. 2 Z 2 wird die Wortfolge „einer Bürgerkarte“ durch die Wortfolge „eines E-ID“ ersetzt.

40. § 20 Abs. 4 Z 2 lautet:

         „2. 18 Monate nach Abgabe vom Auftragsverarbeiter (Art. 4 Z 8 DSGVO) automatisch zu löschen. Sofern aus ELGA kein Abgabezeitpunkt feststellbar ist, beginnt die Frist ab Verordnung (§ 13 Abs. 3 Z 4) zu laufen.“

41. In § 20 wird folgender Abs. 6 angefügt:

„(6) Die Daten gemäß Abs. 5 dürfen von den ELGA-Systempartnern zur Optimierung und Evaluierung von ELGA verarbeitet werden. Zu diesem Zweck dürfen personenbezogene Daten

           1. von ELGA-Teilnehmer/inne/n derart, dass die Daten zur Personenidentifikation durch ein nicht rückführbar verschlüsseltes eindeutiges Personenkennzeichen zu ersetzen sind, wobei die Identität der betroffenen Person (Art. 4 Z 1 DSGVO) mit rechtlich zulässigen Mitteln nicht bestimmt werden kann, sowie

           2. von ELGA-Gesundheitsdiensteanbietern

verarbeitet werden.“

42. § 21 Abs. 1 lautet:

„(1) Das Berechtigungssystem ist von den ELGA-Systempartnern einzurichten und zu betreiben. Es dient der Verwaltung der generellen und individuellen Zugriffsberechtigungen auf ELGA und der Steuerung der Zugriffe auf ELGA-Gesundheitsdaten. Darüber hinaus dient es der Verwaltung der spezifischen Zugriffberechtigungen und Steuerung der Zugriffe auf eHealth-Anwendungen. Ohne Zugriffsberechtigung auf ELGA dürfen weder ELGA-Gesundheitsdaten noch Verweise darauf angezeigt werden.“

43. In § 21 Abs. 2 wird nach dem Wort „Zugriffsberechtigungen“ die Wortfolge „auf ELGA“ und nach dem Wort „Zugriffe“ die Wortfolge „auf ELGA“ eingefügt.

44. In § 21 Abs. 3 wird nach der Wortfolge „individueller Zugriffsberechtigungen“ die Wortfolge „auf ELGA“ eingefügt.

45. In § 21 wird folgender Abs. 4 angefügt:

„(4) Aufgrund von spezifischen Zugriffsberechtigungen dürfen Gesundheitsdiensteanbieter gemäß § 2 Z 2 auf eHealth-Anwendungen gemäß dem 5. Abschnitt zugreifen. Gesundheitsdiensteanbieter, die keine Berechtigung nach Abs. 2 haben, dürfen nicht auf ELGA zugreifen.“

46. In § 22 Abs. 1 wird nach der Wortfolge „ELGA-Gesundheitsdaten“ die Wort- und Zeichenfolge „gemäß den folgenden Absätzen sowie von Gesundheitsdaten und genetischen Daten in eHealth-Anwendungen gemäß den Bestimmungen des 5. Abschnitts“ eingefügt.

47. In § 22 Abs. 4 wird das Wort „Protokollierungsdaten“ durch das Wort „Protokolldaten“ ersetzt.

48. In § 22 Abs. 5 wird das Wort „Protokollierungsdaten“ durch das Wort „Protokolldaten“ ersetzt.

49. In § 23 Abs. 1 wird die Wortfolge „Der Bundesminister für Gesundheit“ durch die Wortfolge „Der für das Gesundheitswesen zuständige Bundesminister“ ersetzt.

50. Im 5. Abschnitt wird nach der Abschnittsüberschrift folgender 1. Unterabschnitt samt Überschrift eingefügt:

„1. Unterabschnitt

Primärversorgung“

51. Die Überschrift zu § 24a entfällt.

52. In § 24a Abs. 1 Z 1 und 4 entfällt jeweils das Wort „Zentralen“.

53. In § 24a Abs. 2 Z 1 lit. c wird nach der Zeichenfolge „§ 28 Abs. 2a“ die Zeichenfolge „Z 1“ eingefügt.

54. Nach § 24a wird folgender 2. Unterabschnitt eingefügt:

2. Unterabschnitt

Elektronischer Impfpass

Ziele des Elektronischen Impfpasses

§ 24b. Die Verwendung des Elektronischen Impfpasses erfüllt ein erhebliches öffentliches Interesse gemäß Art. 9 Abs. 2 lit. g bis j DSGVO. Dieses erhebliche öffentliche Interesse ergibt sich insbesondere aus:

           1. der Optimierung der Impfversorgung der Bevölkerung, vor allem durch

               a) eine einheitliche, flächendeckende und lückenlose digitale Impfdokumentation sowie eine verbesserte, schnellere Verfügbarkeit von Impfinformationen,

               b) die Steigerung der Prozess- und Ergebnisqualität von Impfungen und die Wirksamkeit von öffentlichen Impfprogrammen,

                c) die Erhöhung der Durchimpfungsraten,

               d) die Erhöhung der Arzneimittel- und Patient/inn/en/sicherheit;

           2. der Verfügbarkeit digitaler Impfinformationen für die Steuerung des öffentlichen Gesundheitswesens, vor allem zur

               a) Bestimmung von Impfstatus und Durchimpfungsraten sowie des daraus ableitbaren Handlungsbedarfs,

               b) Verbesserung der Reaktionsmöglichkeiten auf Ausbrüche von durch Impfungen vermeidbaren Krankheiten,

                c) Einhaltung von Verpflichtungen zur Verfolgung internationaler Eliminations- und Eradikationsziele sowie

           3. der Reduktion von Aufwänden für Bürger/innen, Gesundheitsdiensteanbieter und das Gesundheitssystem.

Zentrales Impfregister

§ 24c. (1) Zur Sicherstellung der in § 24b genannten Ziele ist von dem für das Gesundheitswesen zuständigen Bundesminister als Verantwortlichem (Art. 4 Z 7 DSGVO) die eHealth‑Anwendung Elektronischer Impfpass zu betreiben. Wesentlicher Bestandteil dieser Anwendung ist ein zentrales Impfregister, das der elektronischen Dokumentation aller durchgeführten Impfungen dient. Der für das Gesundheitswesen zuständige Bundesminister kann für Betrieb, Wartung und technische Weiterentwicklung des Elektronischen Impfpasses einen oder mehrere Auftragsverarbeiter (Art. 4 Z 8 DSGVO) heranziehen.

(2) Zur Erfüllung der in § 24d Abs. 2 genannten Zwecke sind im zentralen Impfregister ab dem Zeitpunkt gemäß § 28 Abs. 2a Z 2 lit. c und lit. h sublit. aa

           1. durch alle Gesundheitsdiensteanbieter gemäß § 2 Z 2, die Impfungen durchführen, das sind die mit Verordnung des Bundesministers für Gesundheit, mit der nähere Regelungen für die Gesundheitstelematik getroffen werden – Gesundheitstelematikverordnung 2013 (GTelV 2013), BGBl. II Nr. 506/2013, Anlage 1 festgelegten Rollen gemäß Teil 1 (Rollen für Personen)

                        – Z 1 (Ärztin/Arzt für Allgemeinmedizin),

                        – Z 2 (Approbierte Ärztin/Approbierter Arzt),

                        – Z 3 (Fachärztin/Facharzt),

                        – Z 4 (Fachärztin/Facharzt für Zahn-, Mund- und Kieferheilkunde) und

                        – Z 11 (Hebamme)

sowie gemäß Teil 2 (Rollen für Organisationen)

                        – Z 1 (Allgemeine Krankenanstalt),

                        – Z 2 (Sonderkrankenanstalt),

                        – Z 3 (Pflegeanstalt),

                        – Z 4 (Sanatorium),

                        – Z 5 (Selbstständiges Ambulatorium),

                        – Z 6 (Ärztliche Gruppenpraxis),

                        – Z 8 (Straf- und Maßnahmenvollzug),

                        – Z 10 (Pflegeeinrichtung),

                        – Z 18 (Arbeitsmedizinisches Zentrum) und

                        – Z 24 (Öffentlicher Gesundheitsdienst),

           2. die Angaben

               a) zum Impfstoff (Klassifikation, Handelsname, Hersteller, Zulassungsnummer, Chargennummer, Verfallsdatum, Serialisierungsnummer, Pharmazentralnummer und Anatomisch-Therapeutisch-Chemische Zuordnung),

               b) zur verabreichten Impfung (Datum der Verabreichung, Dosierung und Dosis, angewandtes Impfschema, Impfempfehlung und Zuordnung zu Impfprogrammen),

                c) zur Bürgerin/zum Bürger (Name, Geburtsdatum, Geschlecht, Wohnadresse, Angaben zur Erreichbarkeit, Angaben zu einer allfälligen Vertretung, Sozialversicherungsnummer, bereichsspezifisches Personenkennzeichen Gesundheit, Gemeindecode, Titerbestimmung, impfrelevante Vorerkrankungen und besondere Impfindikationen) sowie

               d) zum impfenden bzw. speichernden Gesundheitsdiensteanbieter (Name, Rolle, Berufsadresse und Datum der Speicherung)

zu speichern. Unbeschadet bestehender Pflichten zur Dokumentation auf Papier erfüllt die Speicherung dieser Angaben im zentralen Impfregister die jeweilige berufsrechtliche Dokumentationspflicht (z. B. § 51 Abs. 1 ÄrzteG 1998).

(3) Verantwortlicher (Art. 4 Z 7 DSGVO) für die Speicherung, Aktualisierung, Stornierung, Nachtragung und Vidierung der Daten ist der jeweilige Gesundheitsdiensteanbieter. Bereits im zentralen Impfregister gespeicherte Daten dürfen von den Gesundheitsdiensteanbietern nicht gelöscht werden. Treten Umstände hervor, die unter Berücksichtigung der jeweiligen Berufspflichten (z. B. § 49 Abs. 1 ÄrzteG 1998) eine Berichtigung (Art. 16 DSGVO) der im zentralen Impfregister gespeicherten Daten erfordern, sind diese vom Gesundheitsdiensteanbieter, der diese Daten gespeichert hat, zu aktualisieren oder zu stornieren. Sollte der Gesundheitsdiensteanbieter, der die Daten im zentralen Impfregister gespeichert hat, nicht mehr verfügbar sein, so ist die Aktualisierung oder Stornierung auf Verlangen der Bürgerin/des Bürgers von den Bezirksverwaltungsbehörden vorzunehmen. Die stornierten Daten müssen für Gesundheitsdiensteanbieter und Bürger/innen abrufbar bleiben. Aktualisierte und stornierte Daten werden als solche gekennzeichnet.

(3a) Der für das Gesundheitswesen zuständige Bundesminister (Abs. 1) und der jeweilige für die Speicherung, Aktualisierung, Stornierung, Nachtragung und Vidierung verantwortliche Gesundeitsdiensteanbieter (Abs. 3) sind gemeinsam für die Verarbeitung Verantwortliche im Sinne des Art. 26 DSGVO. Sofern von dem für das Gesundheitswesen zuständigen Bundesminister ein Auftragsverarbeiter gemäß Abs. 1 herangezogen wird, ist dieser auch Auftragsverarbeiter (Art. 4 Z 8 DSGVO) des jeweiligen Gesundheitsdiensteanbieters gemäß Abs. 3.

(4) Gesundheitsdiensteanbieter, die zur Speicherung der Angaben gemäß Abs. 2 im zentralen Impfregister verpflichtet sind, dürfen unter Berücksichtigung der jeweiligen Berufspflichten (z. B. § 49 Abs. 1 ÄrzteG 1998) verabreichte und schriftlich dokumentierte, aber nicht im zentralen Impfregister gespeicherte Impfungen nachtragen sowie gemäß § 24e Abs. 1 Z 2 eingetragene Impfungen vidieren. Gesundheitsdiensteanbieter gemäß Z 11 Teil 1 Anlage 1 zur GTelV 2013 (Hebammen) dürfen nur solche Impfungen nachtragen und vidieren, die sie aufgrund ihrer Berufspflichten (§ 5 Abs. 4 HebG) auch verabreichen dürfen.

(5) Daten aus bestehenden digitalen Impfdokumentationen, insbesondere jenen der Länder, dürfen unter der Voraussetzung, dass diese Daten in valider Qualität vorliegen und dafür insbesondere eindeutige elektronische Identitäten (§ 2 Z 2 E-GovG) von Bürger/inne/n verfügbar sind, von dem für das Gesundheitswesen zuständigen Bundesminister in das zentrale Impfregister übernommen werden.

(6) Die im zentralen Impfregister gespeicherten Daten sind von dem für das Gesundheitswesen zuständigen Bundesminister 10 Jahre nach Sterbedatum, spätestens jedoch 120 Jahre nach der Geburt der Bürgerin/des Bürgers zu löschen.

(7) Der für das Gesundheitswesen zuständige Bundesminister hat zu den in § 24d Abs. 2 Z 2 und 3 genannten Zwecken den jeweils aktuellen Impfplan Österreich im zentralen Impfregister sowie, um den Zugriff auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1 in ELGA zu ermöglichen und ELGA-Anwendungen gemäß § 2 Z 16 oder andere eHealth-Anwendungen gemäß diesem Abschnitt zu unterstützen, standardisierte elektronische Schnittstellen zur Verfügung zu stellen.

(8) Die aufgrund dieser Bestimmung vorzunehmenden Datenverarbeitungen erfüllen die Voraussetzungen des Art. 35 Abs. 10 DSGVO für einen Entfall der Datenschutz-Folgenabschätzung, sodass insbesondere die in Abs. 2 genannten Gesundheitsdiensteanbieter keine Datenschutz-Folgenabschätzung durchführen müssen.

Grundsätze der Impfdatenverarbeitung

§ 24d. (1) Die Verarbeitung (Art. 4 Z 2 DSGVO) von Daten im zentralen Impfregister gemäß § 24c Abs. 2 bis 7 sowie zu den in Abs. 2 genannten Zwecken ist nur zulässig, wenn

           1. die Gesundheitsdiensteanbieter gemäß § 4 Abs. 4 oder § 4a eindeutig identifiziert wurden,

           2. die Vertraulichkeit (§ 6) der zu verarbeitenden Daten gewährleistet ist,

           3. die Integrität (§ 7) der zu verarbeitenden Daten gewährleistet ist,

           4. eine spezifische Zugriffsberechtigung gemäß § 24f Abs. 4 besteht sowie

           5. die Bürger/innen, soweit es sich um Zwecke gemäß Abs. 2 Z 1, Z 2, Z 5, Z 6 oder Z 7 handelt, gemäß § 18 Abs. 4 oder durch Abgleich von Daten mit dem oder Abfrage des Stammzahlenregisters gemäß § 2 Z 9 E-GovG eindeutig identifiziert wurden. Für den Abgleich von Daten mit dem Stammzahlenregister gilt § 18 Abs. 4 Z 5 sinngemäß.

(2) Die im Impfregister gespeicherten Daten dürfen personenbezogen ausschließlich für folgende Zwecke verarbeitet werden:

           1. Zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten,

           2. Darstellung persönlicher Impfkalender auf Basis dokumentierter Impfungen und des jeweils aktuellen Impfplans Österreich,

           3. Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich,

           4. statistische Auswertungen von im zentralen Impfregister gespeicherten Daten gemäß § 24g,

           5. Krisenmanagement, sowohl im Rahmen des Ausbruchsmanagements in Zusammenhang mit anzeigepflichtigen Krankheiten gemäß § 1 Epidemiegesetz 1950, BGBl. Nr. 186/1950, als auch im Rahmen der Pharmakovigilanz,

           6. Abrechnung im Rahmen von Impfprogrammen sowie

           7. Wahrnehmung der Rechte der Bürger/innen gemäß § 24e Abs. 1.

Rechte der Bürger/innen

§ 24e. (1) Bürger/innen sowie deren gesetzliche oder bevollmächtigte Vertreter/innen haben das Recht

           1. elektronisch im Wege des Zugangsportals (§ 23) oder schriftlich gegenüber der ELGA-Ombudsstelle (§ 17) Auskunft (Art. 15 in Verbindung mit Art. 23 Abs. 1 lit. e DSGVO) über die sie betreffenden, im zentralen Impfregister gespeicherten Daten (§ 24d Abs. 2 Z 1 und Z 2) und Protokolldaten (§ 24f Abs. 5) zu erhalten und sich die im zentralen Impfregister gespeicherten Daten selbst auszudrucken oder sich von der ELGA-Ombudsstelle ausdrucken zu lassen, wobei § 17 Abs. 2 und 4 Anwendung finden,

           2. Impfungen in das zentrale Impfregister einzutragen, wobei diese selbsteingetragenen Impfungen als solche gekennzeichnet werden und für Gesundheitsdiensteanbieter gemäß § 24c Abs. 2 Z 1 nur zur Information dienen, sowie

           3. vom jeweils impfenden Gesundheitsdiensteanbieter gemäß § 24c Abs. 2 Z 1 die Dokumentation von Impfungen iSd Art. 31 der Internationalen Gesundheitsvorschriften (IGV) im internationalen Impfausweis (Internationale Bescheinigungen über Impfungen und Impfbuch der WHO) zu verlangen.

(2) Die Wahrnehmung der in Abs. 1 genannten Rechte steht im Zweifelsfall ab Vollendung des 14. Lebensjahres (mündige Minderjährige) ausschließlich der Bürgerin/dem Bürger zu.

Nutzung von ELGA-Komponenten

§ 24f. (1) Die ELGA-Komponenten gemäß § 24 Abs. 3 sind nach Maßgabe der folgenden Absätze zu nutzen.

(2) Soweit der Patientenindex (§ 18) zur Überprüfung der eindeutigen Identität der Bürger/innen (§ 24d Abs. 1 Z 5, 1. Fall) genutzt wird, gilt die Frist des § 18 Abs. 6 Z 1 für die Fälle gemäß Abs. 4 Z 1 lit. a bis c und Z 4 und die Frist des § 18 Abs. 6 Z 2 für die Fälle gemäß Abs. 4 Z 2.

(3) Der Gesundheitsdiensteanbieterindex (§ 19) dient der Überprüfung der eindeutigen Identität von Gesundheitsdiensteanbietern gemäß § 24d Abs. 1 Z 1.

(4) Das Berechtigungssystem (§ 21) dient der Verwaltung der spezifischen Zugriffsberechtigungen und Steuerung der Zugriffe. Eine spezifische Zugriffsberechtigung auf die im zentralen Impfregister gespeicherten Daten haben

           1. Gesundheitsdiensteanbieter gemäß § 24c Abs. 2 Z 1

               a) zur Speicherung, Aktualisierung, Stornierung und Nachtragung der in § 24c Abs. 2 Z 2 genannten Daten im zentralen Impfregister,

               b) auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1,

                c) auf die auf Basis dokumentierter Impfungen und des jeweils aktuellen Impfplans Österreich erstellten persönlichen Impfkalender gemäß § 24d Abs. 2 Z 2,

               d) für die Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6 und,

                e) sofern es sich um den Öffentlichen Gesundheitsdienst im Sinne der Z 6 handelt, für das Krisenmanagement im Rahmen des Ausbruchsmanagements gemäß § 24d Abs. 2 Z 5,

           2. Apotheken gemäß § 1 des Apothekengesetzes, RGBl. Nr. 5/1907

               a) auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1 und

               b) auf die auf Basis dokumentierter Impfungen und des jeweils aktuellen Impfplans Österreich erstellten persönlichen Impfkalender gemäß § 24d Abs. 2 Z 2,

           3. gesetzliche oder bevollmächtigte Vertreter/innen zur Wahrnehmung der Rechte der Bürger/innen gemäß § 24e Abs. 1,

           4. Mitarbeiter/innen der ELGA-Ombudsstelle zur Wahrnehmung der Rechte der Bürger/innen gemäß § 24e Abs. 1 Z 1,

           5. der für das Gesundheitswesen zuständige Bundesminister für das bundesweite Krisenmanagement gemäß § 24d Abs. 2 Z 5,

           6. der Landeshauptmann und die Bezirksverwaltungsbehörden in ihrem jeweiligen gesetzlichen Wirkungsbereich

               a) für das Krisenmanagement gemäß § 24d Abs. 2 Z 5 und

               b) für die Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6 sowie

           7. die Bezirksverwaltungsbehörden zur Aktualisierung oder Stornierung von im zentralen Impfregister gespeicherten Daten gemäß § 24c Abs. 3.

(5) Das Protokollierungssystem (§ 22) dient der Dokumentation und Nachvollziehbarkeit der Verarbeitung der im zentralen Impfregister gespeicherten Daten unter Anwendung des § 22 Abs. 3 bis 6; zu protokollieren sind gemäß Art. 32 DSGVO

           1. die in § 22 Abs. 2 Z 1 bis 3, 7 und 8 genannten Daten,

           2. die eindeutige elektronische Identität des Gesundheitsdiensteanbieters, der den Vorgang ausgelöst hat,

           3. der Name der natürlichen Person, die die im zentralen Impfregister gespeicherten Daten tatsächlich verarbeitet hat,

           4. die eindeutige Kennung der im zentralen Impfregister gespeicherten Daten.

(6) Das Zugangsportal (§ 23) dient der zusammenfassenden Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24e Abs. 1 Z 1 und muss

           1. die Überprüfung der eindeutigen Identität der Bürger/innen gemäß § 18 Abs. 4 Z 2 gewährleisten sowie

           2. Funktionen zur Wahrung der Rechte der Bürger/innen gemäß § 24e Abs. 1 Z 1 und Abs. 2 anbieten.

Statistische Auswertungen

§ 24g. (1) Für statistische Auswertungen, vor allem zur Bestimmung von Durchimpfungsraten, sind die im zentralen Impfregister gespeicherten Daten zur Personenidentifikation, ausgenommen Geschlecht, Geburtsjahr und -monat sowie Gemeindecode, durch ein nicht rückführbar verschlüsseltes eindeutiges Personenkennzeichen zu ersetzen, wobei die Identität der betroffenen Person (Art. 4 Z 1 DSGVO) mit rechtlich zulässigen Mitteln nicht bestimmt werden kann.

(2) Zur Verfolgung der in § 24b genannten Ziele dürfen die im zentralen Impfregister gespeicherten Daten mit in anderen Registern gespeicherten Daten verknüpft werden, wenn in diesen anderen Registern die Daten zur Personenidentifikation durch ein nicht rückführbar verschlüsseltes eindeutiges Personenkennzeichen ersetzt wurden.

(3) Die Art. 15, 16, 18 und 21 DSGVO finden vorbehaltlich der Bedingungen und Garantien gemäß Art. 89 Abs. 1 DSGVO unter den Voraussetzungen des Art. 89 Abs. 2 DSGVO auf die Daten gemäß Abs. 1 und 2 keine Anwendung.“

55. In § 25 wird das Wort „Personen“ durch die Wortfolge „eine Person“ ersetzt.

56. Dem § 26 wird folgender Abs. 9 angefügt:

„(9) In der Fassung des Bundesgesetzes BGBl. I. Nr. xxx/2020 treten in Kraft:

           1. Das Inhaltsverzeichnis (§ 4a, 5. Abschnitt: eHealth-Anwendungen, 1. Unterabschnitt: Primärversorgung, § 24a, 2. Unterabschnitt: Elektronischer Impfpass, § 24b bis § 24g, 6. Abschnitt: Schlussbestimmungen), § 1 Abs. 2 Z 2, 2 Z 3 lit. e und Z 4, § 2 Z 14, Z 16 und Z 17, § 3 Abs. 2, § 4a, § 5 Abs. 2, § 8 Abs. 3, § 9 Abs. 1, Abs. 3 Z 3, § 10 Abs. 3 bis 5 und Abs. 7, § 11 Abs. 1 und 3, § 12, § 14 Abs. 2 Z 1, § 15 Abs. 2, § 16 Abs. 5, § 17 Abs. 1 und 2, § 18 Abs. 4 Z 4 und Z 5, § 19 Abs. 1, § 20 Abs. 4 Z 2 und Abs. 6, § 21, § 22 Abs. 1, 4 und 5, § 23 Abs. 1, die Überschrift des 1. Unterabschnitts des 5. Abschnitts: Primärversorgung, § 24a Abs. 1 und 2 Z 1 lit. c, der 2. Unterabschnitt des 5. Abschnitts samt Überschrift, § 25, § 27 Abs. 1, 3, 10 Z 4 lit. f und Z 17, § 28 Abs. 1, 1 Z 1, 2, 2a, 3 in der Fassung der Z 68 des genannten Bundesgesetzes, 4 und 5 in der Fassung der Z 71 des genannten Bundesgesetzes, § 29 und § 31 mit dem auf den Tag der Kundmachung folgenden Tag; die Paragraphenüberschrift zu § 24a tritt mit Ablauf des Tages der Kundmachung außer Kraft;

           2. § 4 Abs. 6, § 18 Abs. 4 Z 2 und § 19 Abs. 2 Z 2 mit dem auf den Tag der Kundmachung folgenden Tag und finden erst Anwendung, wenn die technischen und organisatorischen Voraussetzungen für den Echtbetrieb des E-ID vorliegen. Dieser Zeitpunkt ist gemäß § 24 Abs. 6 E-GovG vom Bundesminister für Inneres im Bundesgesetzblatt kundzumachen;

           3. § 2 Z 11, § 8 Abs. 2, § 9 Abs. 3 Z 2 lit. c, § 15 Abs. 1 Z 1, § 16a Abs. 1, § 18 Abs. 1, 3 und 9, § 27 Abs. 2 Z 2 und 10 Z 4 lit. e, § 28 Abs. 3 in der Fassung der Z 67 des genannten Bundesgesetzes und 5 in der Fassung der Z 70 des genannten Bundesgesetzes mit 01. Jänner 2020.“

57. In § 27 Abs. 1 wird die Wortfolge „Der Bundesminister für Gesundheit“ durch die Wortfolge „Der für das Gesundheitswesen zuständige Bundesminister“ ersetzt.

58. In § 27 Abs. 2 Z 2 wird die Zeichenfolge „§ 24 Abs. 2 ASVG“ durch die Zeichenfolge „§ 24 Abs. 3 Z 1 ASVG“ ersetzt.

59. In § 27 Abs. 3 letzter Halbsatz wird nach dem Wort „Sozialversicherung“ die Zeichenfolge „gemäß § 341 oder § 343a ASVG“ eingefügt.

60. In § 27 Abs. 10 Z 4 lit. e wird das Wort „Hauptverbands“ durch das Wort „Dachverbandes“ ersetzt.

61. In § 27 Abs. 10 Z 4 lit. f wird die Wortfolge „des Bundesministeriums für Gesundheit“ durch die Wortfolge „des für das Gesundheitswesen zuständigen Bundesministeriums“ ersetzt.

62. In § 27 wird folgender Abs. 17 angefügt:

„(17) Verantwortliche (Art. 4 Z 7 DSGVO) für den Pilotbetrieb des Elektronischen Impfpasses ist die ELGA GmbH. Die Verantwortlichkeit des für das Gesundheitswesen zuständigen Bundesministers für die eHealth‑Anwendung Elektronischer Impfpass sowie eine allfällige Übertragung von Betrieb, Wartung und technischer Weiterentwicklung des Elektronischen Impfpasses auf einen oder mehrere allfällige Auftragsverarbeiter (Art. 4 Z 8 DSGVO) gemäß § 24c Abs. 1 und 3a gelten ab Übergang in den Vollbetrieb (§ 28 Abs. 2a Z 2 lit. c). Die ELGA GmbH hat vor Übergang in den Vollbetrieb für eine reibungslose Portierung von Software (Anwendung) und Daten (Impfregister) zum für das Gesundheitswesen zuständigen Bundesminister zu sorgen. Allfällige Auftragsverarbeiter gemäß § 24c Abs. 1 und Abs. 3a sind im Zuge der Portierung bereits vor Übergang in den Vollbetrieb zur Datenverarbeitung gemäß § 24b ff GTelG 2012 berechtigt, soweit dies zur Sicherstellung eines reibungslosen Beginns des Vollbetriebs erforderlich ist. Die ELGA GmbH und der jeweilige am Piloten teilnehmenden Gesundheitsdiensteanbieter sind gemeinsam für die Verarbeitung Verantwortliche im Sinne des Art. 26 DSGVO.“

63. In § 28 Abs. 1 wird die Wortfolge „Der Bundesminister für Gesundheit“ durch die Wortfolge „Der für das Gesundheitswesen zuständige Bundesminister“ ersetzt.

64. In § 28 Abs. 1 Z 1 wird die Wortfolge „dem Bundesminister für Gesundheit“ durch die Wortfolge „dem für das Gesundheitswesen zuständigen Bundesminister“ ersetzt.

65. In § 28 Abs. 2 wird die Wortfolge „Der Bundesminister für Gesundheit“ durch die Wortfolge „Der für das Gesundheitswesen zuständige Bundesminister“ ersetzt.

66. § 28 Abs. 2a lautet:

„(2a) Der für das Gesundheitswesen zuständige Bundesminister hat auf Grundlage des 5. Abschnittes mit Verordnung Folgendes festzulegen:

           1. für die eHealth-Anwendung „Primärversorgung“ (§ 24a)

               a) die Standards für Inhalt, Struktur, Format und Terminologien gemäß § 27 Abs. 7, 8 und 9, die im Rahmen dieser Anwendung zu verwenden sind, wobei international anerkannte Standards, die wirtschaftliche Vertretbarkeit sowie der Stand der technischen Möglichkeiten hinsichtlich des Detaillierungsgrades der Strukturen bei den jeweiligen Gesundheitsdiensteanbietern zu berücksichtigen sind,

               b) den jeweiligen Zeitpunkt, ab dem die technisch-organisatorischen Spezifikationen gemäß lit. a jedenfalls anzuwenden sind, sowie

                c) sofern Auftragsverarbeiter (Art. 4 Z 8 DSGVO) der Gesundheitsdiensteanbieter gemäß § 24a als Verantwortliche (Art. 4 Z 7 DSGVO) tätig werden, die Details dieser Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO, sowie

           2. für die eHealth-Anwendung „Elektronischer Impfpass“ (§§ 24b ff)

               a) die Standards für Inhalt, Struktur, Format und Terminologien, die für

                    aa) die gemäß § 24c Abs. 2 Z 2 im zentralen Impfregister zu speichernden Angaben und

                    bb) die in der zusammenfassenden Darstellung gemäß § 24d Abs. 2 Z 1 ersichtlichen Daten

im Rahmen dieser Anwendung zu verwenden sind, wobei international anerkannte Standards, die wirtschaftliche Vertretbarkeit sowie der Stand der technischen Möglichkeiten hinsichtlich des Detaillierungsgrades der Strukturen bei den jeweiligen Gesundheitsdiensteanbietern zu berücksichtigen sind,

               b) den jeweiligen Zeitpunkt, ab dem die technisch-organisatorischen Spezifikationen gemäß lit. a jedenfalls anzuwenden sind,

                c) den jeweiligen Zeitpunkt, ab dem die Angaben gemäß § 24c Abs. 2 Z 2 von den betreffenden Gesundheitsdiensteanbietern zu speichern, zu aktualisieren sowie zu stornieren sind und diese für die in § 24d Abs. 2 genannten Zwecke verarbeitet werden dürfen, wobei der Beginn funktional, regional, zeitlich und nach Rollen gestaffelt erfolgen kann,

               d) allenfalls andere, weniger oder weitere gemäß § 24c Abs. 2 Z 1 zur Speicherung im zentralen Impfregister verpflichtete Gesundheitsdiensteanbieter und spezifische Zugriffsberechtigungen von Gesundheitsdiensteanbietern gemäß § 24f Abs. 4 sowie

                e) allenfalls andere, weniger oder weitere gemäß § 24c Abs. 2 Z 2 im zentralen Impfregister zu speichernde Detaildatenarten,

                f) allenfalls einen oder mehrere Auftragsverarbeiter (Art. 4 Z 8 DSGVO) gemäß § 24c Abs. 1 und 3a,

                g) sofern Auftragsverarbeiter (Art. 4 Z 8 DSGVO) der Gesundheitsdiensteanbieter gemäß § 24c Abs. 3 in Verbindung mit Abs. 3a tätig werden, die Details dieser Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO für die Speicherung, Aktualisierung, Stornierung und Nachtragung der Angaben gemäß § 24c Abs. 2 Z 2 im zentralen Impfregister,

               h) für die Pilotierung

                    aa) den Zeitpunkt, ab dem die Angaben gemäß § 24c Abs. 2 Z 2 von den am Piloten teilnehmenden Gesundheitsdiensteanbietern zu speichern sind und diese für die in § 24d Abs. 2 genannten Zwecke verarbeitet werden dürfen und

                    bb) den Zeitpunkt, ab dem die technisch-organisatorischen Spezifikationen gemäß lit. a. anzuwenden sind,

                     cc) die Verpflichtung der ELGA GmbH, die Portierung gemäß § 27 Abs. 17 direkt an allfällige Auftragsverarbeiter gemäß § 24c Abs. 1 und 3a vorzunehmen und dabei sicherzustellen, dass ein reibungsloser Wechsel des Auftragsverarbeiters für die am Piloten teilnehmenden Gesundheitsdiensteanbieter erfolgt,

                 i) den Zeitpunkt, ab dem die Selbsteintragung von Impfungen in das zentrale Impfregister gemäß § 24e Abs. 1 Z 2 möglich ist sowie

                j) die Details der gemeinsamen Verantwortlichkeit gemäß § 24c Abs. 3a und allenfalls gemäß § 27 Abs. 17 letzter Satz.“

67. In § 28 Abs. 3 wird die Zeichenfolge „§ 24 Abs. 2 ASVG“ durch die Zeichenfolge „§ 24 Abs. 3 Z 1 ASVG“ und das Wort „Hauptverbandes“ durch das Wort „Dachverbandes“ ersetzt.

68. In § 28 Abs. 3 wird nach der Zeichenfolge „Abs. 2a“ die Zeichenfolge „Z 1“ eingefügt.

69. In § 28 Abs. 4 wird die Wortfolge „Der Bundesminister für Gesundheit“ durch die Wortfolge „Der für das Gesundheitswesen zuständige Bundesminister“ ersetzt.

70. In § 28 Abs. 5 wird das Wort „Hauptverband“ durch das Wort „Dachverband“ ersetzt.

71. In § 28 Abs. 5 wird die Wortfolge „des Bundesministers für Gesundheit“ durch die Wortfolge „des für das Gesundheitswesen zuständigen Bundesministers“ ersetzt.

72. Dem Text des § 29 wird die Absatzbezeichnung „(1)“ vorangestellt; folgender Abs. 2 wird angefügt:

„(2) Verordnungen aufgrund des § 28 Abs. 2a dürfen bereits vor dessen Inkrafttreten erlassen, jedoch frühestens zugleich in Kraft gesetzt werden.“

73. In § 31 wird die Wortfolge „der Bundesminister für Gesundheit“ durch die Wortfolge „der für das Gesundheitswesen zuständige Bundesminister“ ersetzt.

74. § 32 lautet:

Notifikationshinweis

§ 32. Dieses Gesetz wurde unter Einhaltung der Bestimmungen der Richtlinie (EU) 2015/1535 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, ABl. Nr. L 241 vom 17.09.2015 S. 1, notifiziert (Notifikationsnummer: […]).“