A-1010 Wien, Ballhausplatz 1

Tel.  ++43-1-531 15/0

Fax: ++43-1-531 15/2702

REPUBLIK ÖSTERREICH

e-mail: dsrpost@bka.gv.at

DATENSCHUTZRAT

 

DVR: 0000019

GZ BKA-817.320/0002-DSR/2007

 

 

 

 

An das

Präsidium des Nationalrates

Parlament

 

Dr. Karl Renner-Ring 3

1010  W i e n

 

 

 

 

Betrifft:  Bundesgesetz, mit dem das Medizinproduktegesetz und das Bundesgesetz               über die Gesundheit Österreich geändert werden

               Stellungnahme des Datenschutzrates

 

 

 

 

 

 

 

In der Anlage wird die Stellungnahme des Datenschutzrates zu dem im Betreff genannten Gesetzesentwurf übermittelt.

 

 

Anlage

 

 

 

 

15. November 2007

Für den Datenschutzrat:

Der Vorsitzende:

WÖGERBAUER

 

 

 

Elektronisch gefertigt

 

 

A-1010 Wien, Ballhausplatz 1

Tel.  ++43-1-531 15/2527

Fax: ++43-1-53109/2702

REPUBLIK ÖSTERREICH

e-mail: dsrpost@bka.gv.at

DATENSCHUTZRAT

 

DVR: 0000019

GZ BKA-817.320/0002-DSR/2007

An das

Bundesministerium Gesundheit, Frauen und Jugend

 

Per Mail:clemens.auer@bmgfj.gv.at

              silvia.fueszl@bmgfj.gv.at

 

 

 

 

Betrifft: Bundesgesetz, mit dem das Medizinproduktegesetz und das Bundesgesetz              über die Gesundheit Österreich geändert werden

               Stellungnahme des Datenschutzrates

 

 

 

Der Datenschutzrat hat in seiner 178. Sitzung am 6. November 2007 beschlossen, zu der im Betreff genannten Thematik folgende Stellungnahme abzugeben:

 

 

 

 

Grundsätzlich wird angemerkt, dass gemäß § 1 Abs. 2 iVm § 7 Abs. 3 DSG 2000 Eingriffe in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgen dürfen.

Es wäre daher aus verfassungsrechtlicher Sicht zu überlegen, ob überhaupt die Teilnahme an den Registern verpflichtend sein darf.

Darüberhinaus wäre zu prüfen, inwieweit mit indirekt personenbezogenen Daten oder anonymisierten Daten das Auslangen gefunden werden könnte.

 

 

 

 

 

Zu Art. I Änderung des Medizinproduktegesetzes:

 

Zu § 73 des Entwurfes:

Abs. 1 Z 1-6:

Es wird angeregt, die Zwecke im Hinblick auf Redundanzen zu überprüfen. Z 1 und 4 sollte den Zweck insofern genauer umschreiben, als er im Zusammenhang mit Implantationen von Herzschrittmachern, Defibrillatoren und Loop-Recordern stehen müsste.

Z 5 und 6 sollte zusammengezogen werden und lauten: „für statistische und wissenschaftliche Zwecke", um einen Bezug zu "statistischen Daten" im Sinn von

§ 6 Abs. 1 Z 2 bzw. §§ 46 f DSG 2000 herzustellen.

Zu Abs. 2 Z 4 wird angeregt, bei den inklammerierten Datenarten die Datenart

„Komplikationen“ hinzuzufügen.

Das Herzschrittmacher-, ICD-, und Looprecorderregister soll in Form eines Informationsverbundsystems (§ 4 Z 13 Datenschutzgesetz 2000- DSG 2000) geführt werden, wobei die teilnehmenden Krankenanstalten, Ärzte und die Gesundheit Österreich GmbH als Auftraggeber anzusehen sind, die die im Register verarbeiteten Daten gemeinsam nutzen, und die Gesundheit Österreich GmbH als Betreiber mit den Verpflichtungen gemäß § 50 DSG 2000 fungiert.

Je nach der Intensität des durch eine Gesetzesbestimmung bewirkten Grundrechtseingriffes muss auch ein entsprechend hoher Determinierungsgrad der Ausformulierung des Gesetzes gegeben sein. Da ein Informationsverbundsystem einen intensiven Eingriff in das Grundrecht auf Datenschutz der Betroffenen darstellt, bedarf es besonderer datenschutzrechtlicher Kautelen, um die Rechte der Betroffenen, welcher einer Vielzahl von Auftraggebern gegenüberstehen, zu schützen. Die vorgesehene gesetzliche Regelung ist in mehrerer Hinsicht zu unbestimmt, um beurteilen zu können, ob die Datenverwendung im Lichte des Grundrechts auf Datenschutz und der gemäß § 1 Abs. 2 DSG 2000 zulässigen Ausnahmen gerechtfertigt ist.

Insbesondere wären folgende Punkte zu berücksichtigen:

-       Es müsste in diesem Zusammenhang im Gesetz festgeschrieben werden, wer Auftraggeber dieses Informationsverbundsystems im Sinne des § 50 des Datenschutzgesetzes 2000 BGBl. I Nr. 165/1999 ist, „Einrichtungen des Gesundheitswesens „ sind jedenfalls zu allgemein gehalten, Zugriff auf direkt personenbezogene Daten sollten wohl nur die behandelnden Ärzte haben.

-       Der Zweck und Umfang der Übermittlung müsste genauer dargetan, bzw. müsste ihre Zulässigkeit stärker differenziert werden, um die datenschutzrechtliche Zulässigkeit konkret überprüfen zu können,

Zu den taxativ aufgezählten Datenarten ist prinzipiell anzumerken, dass die jeweiligen Empfängerkreise konkret aufgezählt werden müssten, die zulässigerweise zu den einzelnen Datenarten Zugriff bekommen sollen.

 

In Abs. 3 müsste geklärt werden, was unter „Einrichtungen des Gesundheitswesens“ zu verstehen ist (s. die diesbezüglichen Bemerkungen zu Abs. 1).

Weiters wird angeregt, eine ausdrückliche Zustimmung der Betroffenen zur Übermittlung ihrer Daten vorzusehen soweit eine Übermittlung nicht im lebenswichtigen Interesse des Betroffenen ist.

Abs. 5 wäre aus E-Government-rechtlicher Sicht zu prüfen, da nach ho. Einschätzung das bPK AS ein Fremd-bPK darstellt und dieses wohl verschlüsselt gespeichert werden müsste.

Hinsichtlich des Abs. 10 ist zu begrüßen, dass grundsätzlich der Zugriff der GÖG nur „in indirekt personenbezogener Form“ zulässig sein soll. Allerdings fragt es sich, inwieweit die GÖG damit der in § 50 normierten Betreiberverpflichtung, den Betroffenen Auskunft über die jeweiligen Auftraggeber zu geben, nachkommen kann.

Abs. 11 Z 1 sollte lauten „mit ausdrücklicher Zustimmung des Betroffenen oder im lebenswichtigen Interesse des Betroffenen“.

Zu Abs. 12 stellt sich die Frage, wieso das Bundesamt für Sicherheit im Gesundheitswesen überhaupt einen direkt personenbezogenen Zugriff haben soll. Sollte dies im Einzelfall wirklich notwendig sein, so wäre näher zu determinieren, wann dies zutreffen könnte. Es wäre in diesem Zusammenhang auch zu prüfen, inwiefern ein derartiger Zugriff im Einzelfall technisch und faktisch möglich wäre.

 

Zu § 73a des Entwurfes:

Es wird angeregt, die Zwecke im Abs. 1 im Hinblick auf Redundanzen zu überprüfen. Z 1 und 3 sollte den Zweck insofern genauer umschreiben, als er im Zusammenhang mit Implantationen stehen müsste.

Z 4 und 5 sollte zusammengezogen werden und lauten: „für statistische und wissenschaftliche Zwecke", um einen Bezug zu "statistischen Daten" im Sinn von

 

§ 6 Abs. 1 Z 2 bzw. §§ 46 f DSG 2000 herzustellen.

Zur Klarstellung sollte in Abs. 2 Z 1  „Patientenidentifikation“ durch „bereichsspezifisches Personenkennzeichen“ ersetzt werden.

Abs. 3 letzter Satz sieht auf Verordnungsebene eine Verpflichtung zur Datenübermittlung von Einrichtungen des Gesundheitswesens - wenn dies zum Schutz des Patienten erforderlich ist - vor. Die vorgesehene gesetzliche Regelung ist in mehrerer Hinsicht zu unbestimmt, um beurteilen zu können, ob die Datenverwendung im Lichte des Grundrechts auf Datenschutz und der gemäß

§ 1 Abs. 2 DSG 2000 zulässigen Ausnahmen gerechtfertigt ist. Es müsste daher im Gesetz selbst eine nähere Determinierung der vorgesehenen Datenverwendung vorgenommen werden, wenn personenbezogene Daten ermittelt werden sollen.

Abs. 5 wäre aus E-Government-rechtlicher Sicht zu prüfen, da nach ho. Einschätzung das bPK AS ein Fremd-bPK darstellt und dieses wohl verschlüsselt gespeichert werden müsste.

Es wäre nach Ansicht des Datenschutzrates überlegenswert, ob man nicht der Patientenanwaltschaft oder nach eingehender Prüfung auch anderen Institutionen, die ein geeignetes öffentliches Interesse nachweisen können - im Rahmen eines konkreten Vertretungsfalles - eine Abfragemöglichkeit beim Implantatregister ermöglichen sollte.

Weiters wird angeregt, gesetzlich eine Rückholaktion bei gesundheitsgefährdenden Implantaten vorzusehen.

 

Zu Art. 2 des Entwurfes: Änderung des Bundesgesetzes über die

Gesundheit Österreich

 

Zu §15a des Entwurfes:

Grundsätzlich ist davon auszugehen, dass bei der Regelung jener Register, die nur indirekt personenbezogene Daten beinhalten, weniger strengere Determinierungsanforderungen bestehen, als bei direkt personenbezogenen Registern (wobei aber nicht übersehen werden sollte, dass die Daten zunächst von der GÖG direkt personenbezogen ermittelt werden, um allerdings in weiterer Folge unter einem bPk gespeichert zu werden). Es müssen daher nicht alle Register ausdrücklich im Gesetz genannt werden, sondern diese Register könnten im Einzelfall aufgrund der allgemeinen im Gesetz determinierten Vorgaben eingerichtet werden. Ebenso wäre denkbar, dass im Gesetz Datenkategorien angeführt werden, die dann jeweils durch Verordnung präzisiert werden können.

Unter den oben genannten Kautelen bestehen gegen die vorgesehene Bestimmung keine Einwände.

Abs. 5 wäre aus E-Government-rechtlicher Sicht zu prüfen, da nach ho. Einschätzung das bPK AS ein Fremd-bPK darstellt und dieses wohl verschlüsselt gespeichert werden müsste.

 

 

 

15. November 2007

Für den Datenschutzrat

Der Vorsitzende:

WÖGERBAUER

 

 

Elektronisch gefertigt