Erläuterungen

Allgemeiner Teil

Das Regierungsprogramm für die XXIII. Gesetzgebungsperiode sieht im Kapitel „Gesundheit“ die „Unterstützung integrierter Versorgungsformen durch ausgeweitete Anwendungen der e-card und der ‚Elektronischen Gesundheitsakte’ unter Wahrung der PatientInnenrechte und des Datenschutzes“ vor.

Das Regierungsprogramm für die XXIV. Gesetzgebungsperiode führt das Vorhaben der vorigen Legislaturperiode im Kapitel „Integrierte Versorgung, Struktur, Steuerung“ fort: „Zur Überbrückung von Versorgungsschnittstellen hat die Weiterentwicklung der Informations- und Kommunikationstechnologien (e-health) im Gesundheitswesen hohe gesundheitspolitische Priorität. Große Bedeutung kommt dabei unter strenger Einhaltung des Datenschutzes der elektronischen Patientenakte (ELGA) und der Kontrolle der Vereinbarkeit von Arzneimittelverordnungen (zB eMedikation, Arzneimittelsicherheitsgurt) zu, die im Interesse der Patienten rasch verwirklicht werden müssen.“

In Umsetzung des Art. 7 der Vereinbarung gemäß Art. 15a B-VG über die Organisation und Finanzierung des Gesundheitswesens, BGBl. I Nr. 105/2008 (in Folge: Art. 15a-Vereinbarung), sind der Bund und die Länder verpflichtet, Gesundheitstelematik zur qualitativen Verbesserung der Versorgung und der Nutzung ökonomischer Potenziale einzusetzen. Eine erste Umsetzung der sich aus der Art. 15a-Vereinbarung ergebenden Verpflichtungen erfolgte auf Bundesebene bereits Ende 2007 durch das Bundesgesetz zur Anpassung von Rechtsvorschriften an die Vereinbarung gemäß Art. 15a B-VG über die Organisation und Finanzierung des Gesundheitswesen für die Jahre 2008 bis 2013, BGBl. I Nr. 101/2007.

Vor diesem Hintergrund soll mit dem vorliegenden Entwurf eines Elektronische-Gesundheitsakte-Gesetzes (ELGA-G) primär eine Rechtsgrundlage für eine Elektronische Gesundheitsakte (ELGA) geschaffen werden, die im Sinne des öffentlichen Interesses auf folgenden Prinzipien beruht:

I. Stärkung der Patient/inn/en/rechte,

II. Schutz von Gesundheitsdaten sowie

III. Verbesserungen der Qualität und der Effizienz der Versorgung.

I. Stärkung der Patient/inn/en/rechte

Die schrittweise Stärkung der Patient/inn/en/rechte in der präventiven und therapeutischen Gesundheitsversorgung wird nun weiter fortgesetzt. Alle Menschen, die in Österreich sozialversichert sind oder medizinisch betreut oder behandelt werden (§ 15 Abs. 1), haben die Möglichkeit an ELGA teilzunehmen. Der/Die Patient/in bestimmt daher selbst, ob und in welchem Umfang eine ELGA-Teilnahme für ihn/sie in Frage kommen soll und welche ELGA-GDA berechtigt sein sollen, seine/ihre ELGA_Gesundheitsdaten zu verwenden.

Möglich ist sowohl eine generelle Teilnahme an ELGA (es kommt zur Aufnahme aller ELGA-Gesundheitsdaten), als auch eine Teilnahme an bestimmten „Modulen“, wie der eMedikation (es werden nur Medikationsdaten aufgenommen) oder der Aufnahme von ELGA-Gesundheitsdaten ohne Medikationsdaten (§ 15 Abs. 2). Darüber hinaus können ELGA-Teilnehmer/innen einer Aufnahme von ELGA-Gesundheitsdaten im Einzelfall immer widersprechen (§ 16 Abs. 1 Z 2) bzw. den Umfang der in ELGA sichtbaren Dokumente einschränken oder auch bestimmte ELGA-Gesundheitsdiensteanbieter (ELGA-GDA) vom Zugriff darauf ausschließen (§ 16 Abs. 1 Z 3).

Besteht der Wunsch gar nicht an ELGA teilzunehmen, so kann er/sie einer Teilnahme jederzeit widersprechen. Personen, die nicht an ELGA teilnehmen oder Personen, die von ihren Teilnehmer/innen/rechten im Sinne des § 16 Abs. 1 Gebrauch machen, müssen den gleichen Zugang zur medizinischen Versorgung haben wie Personen, die nicht an ELGA teilnehmen oder diese Rechte nicht ausüben. Unterschiede bei der Behandlung und Betreuung oder der Kostentragung sind nicht zulässig.

Mit ELGA wird ein wichtiger Schritt zur praktischen Umsetzung der zwischen den Ländern und dem Bund abgeschlossenen Art. 15a-Vereinbarungen zur Sicherstellung der Patient/inn/en/rechte (Patientencharta) gesetzt. Art. 19 Abs. 1 Patientencharta sieht ein umfassendes Informations- und Einsichtsrecht hinsichtlich der eigenen Daten vor. Durch die nun geschaffene Infrastruktur wird den Patient/inn/en völlig unabhängig von Zeit und Ort ermöglicht, Einblick in die sie betreffenden relevanten Gesundheitsdaten, Protokollierungsdaten, etc. zu nehmen. Zu den Gesundheitsdaten zählen u. a. wesentliche persönliche Gesundheitsdokumente, wie etwa Patientenverfügungen und Vorsorgevollmachten. Der Einstieg in ELGA und damit u. a. auch die Wahrnehmung der Informations- und Einsichtsrechte erfolgt für die ELGA-Teilnehmer/innen elektronisch über das Internet (Zugangsportal, § 22).

II. Schutz von Gesundheitsdaten

II.1. Zulässigkeit des Eingriffs

Jede Verwendung personenbezogener Daten stellt grundsätzlich einen Eingriff in das Grundrecht auf Datenschutz dar. Ob ein Eingriff zulässig ist oder eine unzulässige Grundrechtsverletzung nach sich zieht, hängt davon ab, ob die vorgesehene Datenverwendung auf eine der drei, in § 1 Abs. 2 Datenschutzgesetz 2000 (DSG 2000), BGBl. I Nr. 165/1999, genannten Eingriffsermächtigungen gestützt werden kann. Die drei Eingriffsermächtigungen sind:

- lebenswichtiges Interesse des/der Betroffenen,

- Zustimmung des/der Betroffenen sowie

- überwiegende berechtigte Interessen eines/einer anderen.

Während es auf nationaler, verfassungsrechtlicher Ebene drei Kategorien zulässiger Eingriffe gibt, sind auf europäischer Ebene mehrere Eingriffsermächtigungen vorgesehen. Das DSG 2000 ist 1999 in Umsetzung der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden: Datenschutzrichtlinie), ABl. Nr. L 281 vom 23.11.1995 S. 31 erlassen worden. Die Datenschutzrichtlinie zielt – ihrem Erwägungsgrund 8 zufolge – auf die „Beseitigung der Hemmnisse für den Verkehr personenbezogener Daten [ab, wofür] ein gleichwertiges Schutzniveau hinsichtlich der Rechte und Freiheiten von Personen bei der Verarbeitung dieser Daten in allen Mitgliedstaaten unerläßlich“ ist. Dabei besitzen „[d]ie Mitgliedstaaten […] einen Spielraum, der im Rahmen der Durchführung der Richtlinie von den Wirtschafts- und Sozialpartnern genutzt werden kann“. Ein derartiger Spielraum ist etwa in Art. 8 Abs. 2 lit. a RL 95/46/EG zu finden, wonach die Mitgliedstaaten die Zustimmung zur Verwendung sensibler Daten verbieten dürfen. Für Österreich scheidet ein solches Verbot auf einfachgesetzlicher Ebene aus, da gemäß § 1 Abs. 2 DSG 2000 die Zustimmung als selbständige Eingriffsermächtigung mit dem DSG 2000 eingeführt wurde. Die anderen in Art. 8 RL 95/46/EG vorgesehenen Eingriffsermächtigungen müssen daher, bei sonstiger Richtlinienwidrigkeit, auch im innerstaatlichen Recht zu finden sein. Anders ausgedrückt müssen die auf europarechtlicher Ebene vorgesehenen Eingriffsermächtigungen im Katalog der innerstaatlichen, verfassungsunmittelbaren (zu diesem Begriff vgl. das Rundschreiben des BKA-VD zur legistischen Gestaltung von Eingriffen in das Grundrecht auf Datenschutz vom 14. Mai 2008, BKA-810.016/0001-V/3/2007) Eingriffsermächtigungen enthalten sein. Die in § 1 Abs. 2 DSG 2000 enthaltenen Eingriffsermächtigungen sind nicht die einzigen Bestimmungen im Verfassungsrang, die als Grundlage für einen zulässigen Eingriff dienen können. So hat der VfGH beispielsweise in VfSlg. 15.130/1998 erkannt, dass Art. 127a B-VG – Gebarungskontrolle von Gemeinden – eine hinreichende verfassungsgesetzliche Grundlage für die Übermittlung von Daten sei. Dennoch stellen die verfassungsunmittelbaren Eingriffsermächtigungen des § 1 Abs. 2 DSG 2000 die bedeutendsten Eingriffsermächtigungen im Verfassungsrang dar, da sie ausdrücklich auf die Verwendung von Daten abstellen. Der Katalog der Eingriffsermächtigungen gemäß § 1 Abs. 2 DSG 2000 ist taxativ. Dadurch ist ausgeschlossen, dass darüber hinausgehende Eingriffsermächtigungen auf einfachgesetzlicher Ebene vorgesehen werden können. Eine allfällige Erweiterung wäre nur mittels verfassungsrechtlicher Bestimmungen denkbar. In Ermangelung solcher sind im Sinne einer richtlinienkonformen Interpretation alle Eingriffsermächtigungen des Art. 8 RL 95/46/EG als von § 1 Abs. 2 DSG 2000 umfasst anzusehen. (Zur richtlinienkonformen Interpretation insbesondere im datenschutzrechtlichen Zusammenhang darf besonders auf die Erkenntnisse VfSlg. 17.065 – 17.209/2003 zum BVG-Bezügebegrenzung 1997 hingewiesen werden.) Da die Eingriffstatbestände „lebenswichtiges Interesse des/der Betroffenen“ und „Zustimmung des/der Betroffenen“ nahezu wortgleich von der Richtlinie übernommen wurden, können die anderen Eingriffstatbestände des Art. 8 RL 95/46/EG – wie insbesondere dessen Abs. 3, der die Verwendung sensibler Daten zu Zwecken der Gesundheitsversorgung vorsieht – innerstaatlich nur vom Eingriffstatbestand des „überwiegenden berechtigten Interesses“ (§ 1 Abs. 2 DSG 2000) umfasst sein.

Brühann, Kommentierung zu Art. 8 der RL 95/46/EG, 7 in Grabitz/Hilf, Das Recht der Europäischen Union III sieht „Verarbeitungen zum Zweck der Erbringung gesundheitsbezogener Dienstleistungen […] beispielsweise Patientendateien“ als von Art. 8 Abs. 3 RL 95/46/EG umfasst an. Insofern kommen sowohl Abs. 3, der als spezielle, auf den Gesundheitsbereich zugeschnittene Ausprägung des Abs. 4 anzusehen ist, als auch Abs. 4 als unionsrechtliche Grundlage für eine gesetzliche Grundlage von ELGA in Betracht. Um jedoch dem wichtigen öffentlichen Interesse an ELGA besonderen Ausdruck zu verleihen, soll hier ausdrücklich Art. 8 Abs. 4 RL 95/46/EG als unionsrechtliche Grundlage herangezogen werden. Dieses wichtige öffentliche Interesse besteht in den weitreichenden Verbesserungen, die im öffentlichen Gesundheitsbereich durch ELGA erzielt werden können. Diese Verbesserungen sind u. a.:

1. die Stärkung der Patient/inn/en/rechte, insbesondere der Informationsrechte, der Rechtsschutz nach den Bestimmungen des DSG 2000 bei der Verwendung von personenbezogenen Daten,

2. die Qualitätssteigerung diagnostischer und therapeutischer Entscheidungen sowie der Behandlung und Betreuung,

3. die Steigerung der Prozess- und Ergebnisqualität von Gesundheitsdienstleistungen,

4. den Ausbau integrierter Versorgung und eines sektorenübergreifenden Nahtstellenmanagements im öffentlichen Gesundheitswesen,

5. die Aufrechterhaltung einer qualitativ hochwertigen, ausgewogenen und allgemein zugänglichen Gesundheitsversorgung sowie

6. die Wahrung des finanziellen Gleichgewichts des Systems der sozialen Sicherheit.

Nicht übersehen werden darf weiters, dass die Gesundheit in allen Eingriffsermächtigungen der Art. 8 bis 11 der EMRK, BGBl. Nr. 210/1958, genannt ist. Insbesondere Art. 8 EMRK über das Recht auf Achtung des Privat- und Familienlebens ist als Vorgängerbestimmung zu und verwiesene Bestimmung in § 1 Abs. 2 DSG 2000 hervorzuheben.

Eingriffe in das Grundrecht auf Datenschutz bedürfen aufgrund des materiellen Gesetzesvorbehalt des § 1 Abs. 2 DSG 2000 innerstaatlich nur dann einer gesetzlichen Grundlage, wenn sie durch Behörden im funktionellen Sinn erfolgen, d. h. mit Hoheitsgewalt verbunden sind. (Zum Begriff der Behörde darf auf die ausführliche Darstellung von Pürgy/Zavadil, Die „staatliche Behörde“ im Sinne des § 1 Abs 2 DSG 2000 in Bauer/Reimer, Handbuch Datenschutzrecht 141 verwiesen werden.) Abgesehen von der verpflichtenden Eintragung in den Registern (eHealth-Verzeichnisdienst [§ 9], Patientenindex [§ 17] und Gesundheitsdiensteanbieterindex [§ 18]) werden keine Verwendungen von Daten vorgesehen, die nicht durch den/die Betroffene/n beeinflusst werden können. Auch sind die im Entwurf genannten ELGA-GDA nicht als Behörde im funktionellen Sinn anzusehen. Wer Gesundheitsdienstleistungen erbringt darf dies nur mit Einverständnis des/der Betroffenen tun. Diese Entscheidungsfreiheit über die eigene Gesundheitsversorgung ist in Österreich sogar strafrechtlich, z.B. durch die Bestimmungen „Einwilligung des Verletzten“ (§ 90 des Strafgesetzbuches (StGB) BGBl. Nr. 60/1974) oder „Eigenmächtige Heilbehandlung“ (§ 110 StGB), geschützt. Von dieser fundamentalen Richtungsentscheidung wird auch durch den vorliegenden Entwurf nicht abgegangen. D. h. die Gesundheitsversorgung – mit Ausnahme vielleicht mancher Akte von Amtsärzte/inne/n in der Epidemiologie – findet weiterhin so wie bisher nicht hoheitlich statt.

II.2. Angemessene Garantien

Den ELGA-Teilnehmer/inne/n stehen eigene Teilnehmer/innen/rechte (Art. 1 § 16) zu, die u. a. die Teilgrundrechte (vgl. DSK vom 26.2.2002, K120.746/001-DSK/2002) gemäß § 1 Abs. 3 DSG 2000 speziell für ELGA ausgestalten. Allerdings beschränken sie sich nicht auf diese, sondern gehen qualitativ und quantitativ über diese hinaus. Die qualitativen Verbesserungen bestehen vor allem in der Möglichkeit, jederzeit Einblick in die eigenen Gesundheitsdaten (Art. 1 § 16 Abs. 1 Z 1 lit. a) sowie die zugehörigen Protokollierungsdaten (Art. 1 § 16 Abs. 1 Z 1 lit. b) nehmen zu können.

Darüberhinaus soll speziell für ELGA eine eigene Ombudsstelle eingerichtet werden, die alle ELGA-Teilnehmer/innen in diesbezüglichen Fragen unterstützt und berät.

Als Ausfluss des Verhältnismäßigkeitsprinzips sieht § 14 Abs. 3 Z 1 GTelG 2011 vor, dass nur für Zwecke der Gesundheitsversorgung (§ 9 Z 12 DSG 2000, der Art. 8 Abs. 3 RL 95/46/EG umsetzt) im Rahmen eines Behandlungs- oder Betreuungsverhältnisses ELGA-Gesundheitsdaten (Art. 1 § 2 Z 9 des Entwurfs) verwendet werden dürfen. Es findet auch eine persönliche Beschränkung auf GDA, die so genannten ELGA-GDA (Art. 1 § 2 Z 10 GTelG 2011), die an einer konkreten Krankenbehandlung teilhaben oder mitwirken, in deren Behandlung sich ein Patient/eine Patientin begibt und dessen/deren eindeutige Identität festgestellt wurde, statt, um den Kreis der Personen, die potentiell auf Gesundheitsdaten in ELGA zugreifen können, klein zu halten.

II.3. Datensicherheitsmaßnahmen

Gerichtete Kommunikation ist eine Form der Verwendung von Daten, bei der die Weitergabe an im Vorhinein bestimmte Empfänger/innen erfolgt. Bei der ungerichteten Kommunikation erfolgt die Weitergabe von Daten nicht direkt an bestimmte Empfänger/innen sondern über eine so genannte „Datendrehscheibe“, wo Daten zur Verfügung gestellt und von Berechtigten abgerufen werden können. Im Gegensatz zur gerichteten Kommunikation bestimmt der/die Übermittler/in nicht, wer Empfänger/in sein soll. Anders ausgedrückt, werden bei der gerichteten Kommunikation die Daten geschickt und bei der ungerichteten Kommunikation bereitgestellt und können dann von einem Kreis potentiell Berechtigter abgerufen werden.

Der 2. Abschnitt bezieht sich sowohl auf die gerichtete als auch die ungerichtete Kommunikation – der 4. Abschnitt hingegen nur auf die ungerichtete. Mit Blick auf die drei Eingriffsermächtigungen („lebenswichtige Interessen“, „Zustimmung“ und „überwiegende berechtigte Interessen“) gemäß § 1 Abs. 2 DSG 2000 regelt der 4. Abschnitt wann keine Geheimhaltungsinteressen im Sinne des § 1 Abs. 2 DSG 2000 verletzt sind. Unberührt davon bleiben allerdings Systeme ungerichteter Kommunikation, die sich ausschließlich auf die Zustimmung der Betroffenen stützen.

Abgesehen von den im 2. Abschnitt vorgesehenen Datensicherheitsmaßnahmen, die bereits geltendes Recht sind, wie z.B. Verschlüsselung, eindeutige Identifikation oder IT-Sicherheitskonzepte, werden für ELGA noch weitere Maßnahmen vorgeschlagen. So sieht die Architektur ein Berechtigungs- und Protokollierungssystem (Art. 1 §§ 20, 21) vor, das technisch von den anderen Komponenten der ELGA getrennt sein muss, um besonders widerstandsfähig gegen Attacken oder Ausfälle zu sein. Dadurch ist erstmals im Gesundheitsbereich eine umfassende Zugriffskontrolle möglich. Vor der Einführung von ELGA war es nur in Ausnahmefällen möglich festzustellen, wer wann welche Daten verwendet hat. Künftig wird diese Aufgabe das Protokollierungssystem übernehmen und so auch zu einer weiteren Steigerung der Datensicherheit im Gesundheitsbereich beitragen. Weiters hat der Bundesminister für Gesundheit durch Verordnung technisch aktuelle Mindeststandards für Sicherheitsanforderungen und Zugriffsschutz festzulegen (Art. 1 § 13 Abs. 6). Die grundsätzlich dezentrale Struktur von ELGA (Art. 1 § 19 Abs. 4) erhöht die Datensicherheit zusätzlich.

III. Verbesserungen der Qualität und der Effizienz der Versorgung

„Wer mehr weiß, kann mehr.“ Tatsache ist, dass in einem hoch spezialisierten und damit stark arbeitsteiligen Gesundheitssystem erhebliche zeitliche Anteile der medizinischen Versorgung für die Suche und Aufbereitung patient/inn/en/bezogener Gesundheitsinformationen aufgewendet werden müssen; Schätzungen bewegen sich um 20 Prozent. Tatsache ist aber auch, dass in einem auf Dienstleisterseite fragmentierten Gesundheitssystem patient/inn/en/bezogene Informationen rasch weitergegeben werden müssen, um eine möglichst unterbrechungsfreie Fortführung der medizinischen und auch pflegerischen Versorgung zu gewährleisten. Jedes Mehr an verfügbarer Information über die gesundheitliche Vorgeschichte von Patient/inn/en versetzt GDA in die Lage, die durch Entfall von Recherche und Aufbereitung gewonnenen Zeiten der eigentlichen medizinischen Versorgung zu widmen. Jede Verbesserung der Entscheidungsgrundlagen erhöht potenziell auch die Sicherheit diagnostischer und therapeutischer Maßnahmen. Status quo ist, dass sich mangels ausreichender technischer Unterstützung, Maßnahmen der medizinischen Versorgung auf die im Zuge der sich zwangsläufig in Versorgungsketten wiederholenden Anamnese und damit im Wesentlichen auf Umfang und Qualität der von den Patient/inn/en selbst erteilten Informationen stützen müssen. Besonders deutlich wird dies in Bezug auf radiologisches Bildmaterial aus dem niedergelassenen Bereich, wofür Patient/inn/en nicht nur als Informations-, sondern auch als „Datenträger“ fungieren. Bereits eingeführte technikgestützte Verfahren, wie etwa der elektronische Befundversand, bringen zwar eine partielle Entschärfung, können aber aufgrund der damit verbundenen gerichteten Kommunikation die bestehenden Informationsdefizite nur teilweise beheben und nützen somit die bereits verfügbaren technologischen Möglichkeiten erst im Ansatz. Die integrierte Versorgung muss daher auch mit dem Stand der Technik entsprechenden Werkzeugen unterstützt bzw. sichergestellt werden. Österreich steht diesbezüglich vor einer vergleichbaren Herausforderung wie andere hoch entwickelte Gesundheitssysteme.

Ausgehend von diesen Rahmenbedingungen soll mit ELGA eine nationale Infrastruktur für das Gesundheitswesen eingerichetet werden, die es – unter Zugrundelegung des Kommunikationsmodells der ungerichteten Kommunikation – GDA ermöglichen soll, zeit- und ortsunabhängig einerseits in wesentliche bzw. entscheidungsrelevante Gesundheitsdaten ihrer Patient/inn/en, die von vorbefassten medizinischen Versorgern erstellt wurden, Einsicht zu nehmen und andererseits die von ihnen erstellten Informationen in der Versorgungskette nachfolgenden GDA zur Verfügung zu stellen.

Sehr eindrucksvoll dargestellt werden können die damit intendierten qualitativen Effekte anhand der auf diese Infrastruktur aufsetzenden Nutzanwendung „eMedikation“: Ziel dabei ist es, den GDA sowohl einen aktuellen Medikationsstatus ihrer Patient/inn/en als auch ein elektronisches Werkzeug zur Prüfung von unerwünschten Arzneimittelwirkungen zur Verfügung zu stellen. Die Medikationsliste (Status) trägt dazu bei, auf allfälligen Erinnerungslücken von Patient/inn/en beruhende Informationsdefizite zu vermeiden und damit die Sicherheit und Qualität therapeutischer Entscheidungen zu verbessern. Sie hilft auch mit, auf Informationsmangel beruhende Mehrfachmedikationen zu verhindern. Mit der so genannten Interaktionenprüfung, die auch relevante OTC-Präparate („Over-The-Counter“) umfassen wird, können vermeidbare unerwünschte Arzneimittelwirkungen reduziert werden. Internationale Untersuchungen, beginnend mit der bahnbrechenden Studie des Institute of Medicine („To Err Is Human“) bis zu neueren Studien, etwa in Neuseeland, beziffern schwerwiegende bis letal wirkende vermeidbare Interaktionen mit ein bis drei Prozent aller verordneten Medikamente. Kernaussage mehrerer Studien ist, dass die aus vermeidbaren unerwünschten Arzneimittelwirkungen resultierende Anzahl von Todesfällen jene aus Verkehrsunfällen deutlich übersteigt. Abgesehen von dem damit verbundenen Leid der Betroffenen, das sich schon aus ethischen Gründen einer Bewertung entzieht, werden die Potenziale der eMedikation bereits dann deutlich, wenn nur die Folgekosten der medizinischen (Nach-)Versorgung vermeidbarer unerwünschter Arzneimittelwirkungen näher betrachtet werden (vgl. die Ausführungen zu den wirtschaftspolitischen Auswirkungen). Unbeschadet dessen wird die eMedikation aber zu einer signifikanten qualitativen Verbesserung der Arzneimittelsicherheit und damit der Patient/inn/en/sicherheit führen.

Bund und Länder haben sich in der genannten Art. 15a-Vereinbarung auf kostensenkende Maßnahmen verständigt. Art. 7 Abs. 1 Z 1 der Art. 15a-Vereinbarung sieht die „Nutzung der ökonomischen Potenziale von Informations- und Kommunikationstechnologien“ vor. Die ELGA wird diesbezüglich einen deutlichen Beitrag leisten.

Finanzielle Auswirkungen

Die Abschnitte 2 und 3 enthalten weitgehend geltendes Recht. Soweit von den geringfügigen Änderungen bei der Dateneinbringung in den eHealth-Verzeichnisdienst die Gebietskörperschaften betroffen sind, bewegen sich die daraus allenfalls resultierenden Zusatzkosten im vernachlässigbaren Umfang, da dafür bereits eingeführte Technologien (z.B. Portalverbund) zum Einsatz gelangen werden.

Zur Gänze neu sind die Bestimmungen des 4. Abschnittes, mit denen der Rechtsrahmen für die ELGA geschaffen wird. Der Einfachheit halber wird hier von der in Punkt 3.1 der Richtlinien gemäß § 14 Abs. 5 BHG (Verordnung des Bundesministers für Finanzen betreffend Richtlinien für die Ermittlung und Darstellung der finanziellen Auswirkungen neuer rechtsetzender Maßnahmen, BGBl. II Nr. 50/1999 idF BGBl. II Nr. 50/2009) vorgeschlagenen Vorgangsweise Gebrauch gemacht, Ausgaben und Kosten bzw. Einnahmen und Erlöse gleichzusetzen. Ferner ist festzuhalten, dass die finanziellen Auswirkungen der Errichtung der ELGA in zeitlicher Hinsicht aus der Errichtung einzelner Architekturkomponenten sowie der Pilotierung einzelner Anwendungsfälle im zu betrachtenden Zeitraum (bis Ende 2013) resultieren. Dies schließt eine inkrementelle Betriebsaufnahme und damit eine Nutzung einzelner Komponenten – etwa der Indices – und damit auch eine partielle Anbindung der Gesundheitsdiensteanbieter vor der Verfügbarkeit des Gesamtsystems nicht aus. Mangels vollständiger Abschätzbarkeit einer solchen Teilbetriebsaufnahme bzw. Teilnutzung werden die damit verbundenen Anbindungskosten, aber auch die sich bereits daraus ergebenden finanziell bewertbaren Nutzeneffekte aus den Berechnungen ausgeklammert. Schließlich ist darauf hinzuweisen, dass im Auftrag der Bundesgesundheitskommission (BGK) eine Kosten-Nutzen-Studie in Bezug auf ELGA erstellt wurde, die u. a. auch Aussagen zu den Errichtungskosten enthält. Aus derzeitiger Sicht besteht kein zwingender Grund, von den dort präliminierten Errichtungskosten für die ELGA-Architektur von rund 30 Millionen Euro abzugehen.

Die Finanzierung der Errichtung der ELGA-Architektur erfolgt gemäß den politischen Beschlüssen der BGK, die basierend auf Art. 30 Abs. 6 der Vereinbarung gemäß Art. 15a B-VG über die Organisation und Finanzierung des Gesundheitswesens gefasst werden, gemeinschaftlich durch Bund, Länder und Sozialversicherung. Die Koordination und inhaltliche Begleitung aller Umsetzungsmaßnahmen (Integrationsmanagement) wurde der Ende des Jahres 2009 gegründeten ELGA-GmbH übertragen.

Gesellschafter der ELGA GmbH sind Bund, Länder und Sozialversicherung (ELGA-Systempartner), die den Infrastrukturaufwand der Gesellschaft und die Kosten für die Errichtung einzelner Komponenten durch die Gesellschaft gemeinschaftlich (anteilig) finanzieren. Daraus ergibt sich für die genannten Institutionen bis Ende 2013 (Laufzeit der Vereinbarung bzw. geplanter Abschluss der ersten Errichtungsphase von ELGA) eine finanzielle Belastung von jeweils 10 Millionen Euro. Die nachstehenden Berechnungen der finanziellen Auswirkungen auf die einzelnen Haushalte beruhen daher einerseits auf diesen Rahmenvorgaben und den zwischenzeitlich gewonnenen Erkenntnissen aus Teilumsetzungsprojekten, andererseits auf den in der erwähnten Kosten-Nutzen-Studie angestellten Berechnungen.

Auswirkungen auf den Bundeshaushalt

Die finanziellen Auswirkungen des Bundes gliedern sich in Errichtungskosten (Investitionskosten) für einzelne Architekturkomponenten, das sind entsprechend dem Beschluss der BGK die Errichtung des Gesundheitsdiensteanbieterindex, die Mitfinanzierung der Pilotierung der eMedikation und voraussichtlich die Errichtung des Zugangsportals für ELGA-Teilnehmer/innen, die anteilige Finanzierung der ELGA GmbH sowie allfälligen Ausgleichszahlungen zur Finanzierung der Errichtung von Komponenten, wenn der sich aus der genannten Vereinbarung gemäß Art. 15a B-VG ergebende Finanzierungsanteil einer anderen Einrichtung ausgeschöpft ist. Die ELGA-GmbH hat ihre operative Tätigkeit mit Anfang des Jahres 2010 aufgenommen, die Errichtung des Gesundheitsdiensteanbieterindex ist entsprechend dem zitierten Beschluss der BGK in Umsetzung. Mangels abschließender Klärung der Betreiberfrage bzw. der Tragung der damit zusammenhängenden Kosten wird von der Annahme ausgegangen, dass vom Bund auch die Kosten für die Teilbetriebsführung des Gesundheitsdiensteanbieterindex ab 2011 zu tragen sind. Daraus ergeben sich für den Bund nachstehende Kosten:

Kosten Bund	2010 – 2013
Gesundheitsdiensteanbieterindex	3.750.000
Pilotierung eMedikation	1.050.000
Finanzierung der ELGA GmbH	4.000.000
Zugangsportal und Ausgleichsfinanzierung	1.200.000
Gesamt	10.000.000

Im Betrachtungszeitraum fokussieren die Aktivitäten auf die Errichtung der ELGA-Infrastruktur gemäß den vorliegenden Planungen für eine erste Ausbauphase, Einnahmen sind nicht zu erwarten. Die von den einleitend zitierten Richtlinien gemäß § 14 Abs. 5 BHG geforderte Gegenüberstellung der Kosten und Einnahmen konnte daher entfallen.

Auswirkungen auf die Planstellen des Bundes

Durch die in diesem Entwurf vorgesehenen Änderungen kommt es zu keinen Auswirkungen auf die Planstellen des Bundes. Der personelle Mehraufwand im Umfang von rund 0,75 VZÄ pro Jahr für Projektmanagement und Wahrnehmung der Gesellschafterrechte wird mit den verfügbaren Ressourcen abgedeckt.

Auswirkungen auf andere Gebietskörperschaften

Für die finanziellen Auswirkungen auf die Länder gelten im Wesentlichen die für den Bundeshaushalt dargestellten Rahmenbedingungen und Annahmen mit der Abweichung, dass die Mittelaufbringung seitens der Länder im Wege des Vorwegabzuges aus Mitteln der Krankenanstaltenfinanzierung gemäß den Bestimmungen der Vereinbarung gemäß Art. 15a B-VG erfolgt. Direkte Auswirkungen auf die Länderhaushalte treten dadurch nicht ein. Nach bisherigem Entscheidungsstand wird von den Ländern die Pilotierung der eMedikation finanziell mitgetragen und ELGA-Architekturkomponente Informationssicherheits- und Managementsystem (ISMS) errichtet, das als grundlegendes Sicherheitsframework den Rechtsrahmen für ELGA konkretisiert, aber auch Einfluss auf künftige eHealth-Anwendungen haben wird. Für Gemeinden entstehen im Betrachtungszeitraum keine derzeit bewertbaren ELGA-Errichtungskosten. Daraus ergeben sich für die Länder für das laufende Finanzjahr sowie für die folgenden drei Finanzjahre geschätzte indirekte Kosten wie folgt:

Kosten Länder	2010 – 2013
ISMS	150.000
Pilotierung eMedikation	1.050.000
Finanzierung der ELGA GmbH	4.000.000
Ausgleichsfinanzierung	4.800.000
Gesamt	10.000.000

Absehbar ist, dass Länder, potenziell auch Gemeinden, als Träger von Krankenanstalten funktionale Anpassungen ihrer lokalen IKT-Infrastruktur (z.B. KIS, PACS) vornehmen werden müssen, um eine Anbindung an die (zentralen) Architekturkomponenten zu gewährleisten. Diese Maßnahmen bestehen – vereinfacht dargestellt – aus der Umsetzung der aus dem IHE-Framework resultierenden technischen Anforderungen (Interoperabilität), der Sicherstellung der Datensicherheitsmechanismen (Konkretisierung des ISMS, Berechtigungsprüfungen, Protokollierung) sowie der Verfügbarmachung von ELGA-Gesundheitsdaten in lokalen/regionalen Datenspeichern (Repositories). Zusammengefasst werden diese Maßnahmen als Schaffung einer ELGA-Domäne (Affinity Domain gemäß IHE) bezeichnet. Obwohl Absichtserklärungen einiger Länder/Krankenanstaltenverbünde in Bezug auf die Errichtung eigener ELGA-Domänen bekannt sind, ist derzeit – nicht zuletzt aufgrund der Heterogenität der regionalen IKT-Landschaft – nicht abschätzbar, wie viele solcher ELGA-Domänen tatsächlich errichtet werden bzw. mit welchen spezifischen Kosten dies jeweils verbunden sein wird. Unterschiedliche technische Lösungen wird es den verfügbaren Informationen zufolge auch hinsichtlich der Einrichtung der Datenspeicher geben: Teils ist beabsichtigt, gesonderte Datenspeicher zu implementieren, teils soll das in PACS-Systemen verarbeitete radiologische Bildmaterial direkt zugänglich gemacht werden, um eine Duplizierung großer Datenbestände und die damit verbundenen Kosten zu vermeiden.

Der vorliegende Entwurf schafft den Rechtsrahmen für die Umsetzung der ELGA, die Entscheidung über Art und Umfang der tatsächlichen Realisierung und damit der Kosten wird jedoch im jeweiligen Verantwortungsbereich der Länder bzw. Gemeinden getroffen. Im Ergebnis kann daher aufgrund des derzeit verfügbaren Wissensstandes nur festgehalten werden, dass anderen Gebietskörperschaften entsprechend der von ihnen zu treffenden Entscheidungen Kosten (Investitions- und Personalkosten) für die Implementierung ELGA-spezifischer Anforderungen entstehen werden. Weiters ist davon auszugehen, dass im Hinblick auf die zeitliche Planung für ELGA diese Kosten parallel zur Errichtung der Architektur, somit ebenfalls in den Jahren 2010 bis 2013 (potenziell auch danach) anfallen werden. Der Umfang der Kosten ist allerdings vom Ausmaß der notwendigen Adaptierungen der lokalen/regionalen IKT-Infrastruktur, dem Umstand, ob jede Gebietskörperschaft eine solche ELGA-Domäne einrichtet oder sich einer anderweitig errichteten Domäne anschließt und der Art der Gestaltung der Datenspeicher abhängig. Erste Grobabschätzungen für Krankenanstaltenverbünde ergaben Errichtungskosten für ELGA-Domänen in einer Bandbreite zwischen 1,5 und 3 Millionen Euro.

Bezüglich Einnahmen wird auf die Ausführungen zum Bundeshaushalt verwiesen.

Wirtschaftspolitische Auswirkungen

Auswirkungen auf die Beschäftigung und den Wirtschaftsstandort Österreich

Ausgehend von den Zielsetzungen von ELGA gilt als gesicherter Wissensstand, dass der damit angestrebte Nutzen in volkswirtschaftlicher Betrachtung in einem deutlichen Ausmaß aus qualitativen Nutzeneffekten und nur zum Teil aus Effekten resultiert, die auch einer nachvollziehbaren monetären Bewertung zugänglich sind. Qualitative Effekte ergeben sich insbesondere aus der zeit- und ortsunabhängigen Verfügbarkeit von Gesundheitsdaten in konkreten Behandlungssituationen, vor allem an den Nahtstellen der medizinischen Versorgung. Eine integrierte Versorgung ohne massive Unterstützung mit modernen Technologien erscheint nahezu nicht umsetzbar. Darüber hinaus fördert die mit ELGA intendierte Verbreiterung der medizinischen Entscheidungsgrundlagen die Qualität und potenziell auch die Sicherheit diagnostischer und therapeutischer Entscheidungen. Dieser, sowohl für den GDA als auch für die Betroffenen maßgebliche Effekt ist, wie auch andere in der Kosten-Nutzen-Studie dargestellte qualitative Effekte, mangels entsprechender Instrumentarien oder aus ethischen Erwägungen monetär nicht abbildbar. Die Anforderungen der grenzüberschreitenden Gesundheitsversorgung im europäischen Umfeld erweitern den diesbezüglichen Handlungsbedarf um eine zusätzliche Dimension, bieten aber auch den Beschäftigten in diesem Bereich und sohin für den Wirtschaftsstandort Österreich neue Chancen.

Exemplarisch wurden in der erwähnten Kosten-Nutzen-Studie einige mit ELGA verbundene Nutzeneffekte auch monetär bewertet. Exemplarisch deshalb, weil nach derzeitigem Konzeptionsstand primär eine Infrastruktur geschaffen wird, auf der so genannte eHealth-Applikationen (Nutzanwendungen) ohne die im Einzelfall notwendigen Infrastrukturkosten (z.B. für Identifizierung der Betroffenen, Authentifizierung der Zugriffsberechtigten, Protokollierung) aufsetzen bzw. andocken können. Derzeit ist allerdings noch nicht absehbar, welcher Art bzw. in welcher Anzahl solche Nutzanwendungen entstehen werden. Die Bandbreite reicht von speziellen telemedizinischen Anwendungen bis hin zu automationsunterstützten Disease-Management-Programmen. Das diesbezüglich aktuelle Betrachtungsspektrum monetär bewertbarer Nutzeneffekte muss sich daher auf die in der ersten Ausbauphase vorgesehenen Nutzanwendungen „Bereitstellung grundlegender gesundheitsbezogener Dokumente“ (Entlassungsbrief und Befunde der Fachgebiete Labor und Radiologie inklusive Bildmaterial; im Folgenden als „eDokumente“ bezeichnet) sowie die „eMedikation“ beschränken. Ausgehend von einer beträchtlichen Anzahl internationaler Studien wurden im Rahmen der Kosten-Nutzen-Studie die dort durchgeführten Berechnungen den österreichischen Rahmenbedingungen angepasst. Für die daraus errechneten monetären Auswirkungen wurden die ermittelten Ergebnisse aufgrund der gebotenen kaufmännischen Sorgfalt mit Wirkungsgraden ausgewiesen, die den Umfang der Potenziale in Form einer 50 %- bzw. 80 %-igen Hebung bewerten. Diese speziell auf das Gesundheitswesen abzielende Bewertung wurde um eine Schätzung von Zusatzeffekten ergänzt, die nicht direkt dem Gesundheitswesen zuzuordnen sind. Unter der Annahme eines flächendeckenden Einsatzes der derzeit vorgesehenen Nutzanwendungen (nach 2013) ergeben sich in volkswirtschaftlicher Gesamtbetrachtung jährliche wirkungsgradbezogene Nutzenpotenziale für die eMedikation von rund 76 (50 %) bzw. rund 122 (80 %) Millionen Euro. Für die eDokumente wurden rund 65 (50 %) bzw. 104 (80 %) Millionen Euro errechnet. Als Zusatzeffekte (im Wesentlichen bewertete Arbeitsausfallszeiten und Reduktion von Gebühren) werden für die eMedikation rund 32 (50 %) bzw. knapp 51 (80 %) Millionen Euro, in Bezug auf die eDokumente rund 18 (50 %) bzw. rund 29 (80 %) Millionen Euro ausgewiesen. In Summe bewegt sich das geschätzte volkswirtschaftliche Effizienzpotenzial daher zwischen rund 190 (50 %) und etwa 305 (80 %) Millionen Euro pro Jahr.

Selbst wenn der Wirkungsgrad nochmals halbiert würde, wäre die ökonomische Rationalität des Vorhabens noch immer zweifelsfrei gegeben. Wesentliche und monetär nicht bewertbare Effekte aus der weiteren Verbesserung der schon derzeit guten Versorgungsqualität dürfen jedoch nicht aus den Augen verloren werden.

Kompetenzgrundlage

Die Zuständigkeit des Bundes zur Erlassung dieses Bundesgesetzes ergibt sich aus Art. 10 Abs. 1 Z 12 B‑VG („Gesundheitswesen“), hinsichtlich des 2. und 4. Abschnittes von Artikel 1 sowie dessen §§ 24, 26 und 27 sowie der Artikel 2 bis 5 und 7 bis 9 aus Art. 1 § 2 Abs. 2 DSG 2000 („Angelegenheiten des Schutzes personenbezogener Daten im automationsunterstützten Datenverkehr“).

Hinweis zur sprachlichen Gleichbehandlung

Um die Lesbarkeit im Gesetzestext und in den Erläuterungen nicht zu beeinträchtigen, wird in vorliegendem Entwurf bei personenbezogenen Bezeichnungen die dem grammatikalischen Geschlecht entsprechende Formulierung verwendet. Soweit im Text Bezeichnungen nur im generischen Maskulinum angeführt sind, beziehen sich diese auf Männer und Frauen in gleicher Weise.

Besonderer Teil

Zu Art. 1 GTelG 2011:

Zu § 1:

Gemäß Abs. 1 hat das GTelG 2011 die Verwendung elektronischer Gesundheitsdaten zum Gegenstand. Der Begriff des elektronischen Gesundheitsdatenaustausches wurde durch die „Verwendung elektronischer Gesundheitsdaten“ ersetzt (siehe zur näheren Begründung die Erläuterungen zu § 2 GTelG 2011). Da es sich bei diesem Entwurf um eine datenschutzrechtliche lex specialis handelt, sind die Begriffe im Zweifelsfall im Lichte des DSG 2000 auszulegen. Verweise auf Legaldefinitionen des DSG 2000 sind daher größtenteils unterblieben.

Abs. 2 legt die Ziele dieses Bundesgesetzes fest. Hervorzuheben ist der 4. Abschnitt, der die Stärkung der Informationsrechte der Patient/inne/n sowie die Steigerung der Qualität der Gesundheitsdienstleistungen verfolgt.

Abs. 3 stellt klar, dass GDA, die über keine Einrichtungen der Informations- und Kommunikationstechnologie (IKT) verfügen, nicht unter das GTelG 2011 fallen und daher auch vom Begriff der „ELGA-Gesundheitsdiensteanbieter“ gemäß § 2 Z 10 ausgenommen sind.

Abweichend von § 14 E-GovG erlaubt Abs. 4 die Verwendung von bereichsspezifischen Personenkennzeichen (bPK), die für einen gesamten Bereich und nicht nur für den jeweiligen Auftraggeber gültig sind, auch im privaten Bereich (§ 5 Abs. 3 DSG 2000). Dies stellt eine Abweichung gegenüber der im E-Government-Gesetz enthaltenen Regel dar, wonach im privaten Bereich „anstelle der Bereichskennung die Stammzahl des Auftraggebers des privaten Bereichs tritt“ (§ 14 Abs. 1 E-GovG). Allerdings ist diese Abweichung für den ELGA-Bereich aus folgenden Gründen gerechtfertigt:

1. es besteht ein besonders wichtiges Interesse an der genauen Identifikation sowohl von ELGA-Teilnehmer/inne/n als auch ELGA-GDA, das sich zum einen aus der Verwendung von Gesundheitsdaten und zum anderen aus dem Umstand ergibt, dass Eingriffe an falschen Patient/inn/en oftmals irreparable Schäden verursachen; in diesem Zusammenhang wird auf den Bescheid der Datenschutzkommission vom 16.10.1985, Zl. 120.070 (ZfVBDat 1987/10), verwiesen, wonach die Verwendung des Geburtsdatums für Zwecke der Adressierung zulässig ist, wenn dadurch „sensiblere Daten“, wie etwa der Inhalt des Schriftstücks, geschützt werden. Vor diesem Hintergrund wird die Verwendung von bPKs umso eher zulässig sein, wenn dadurch irreversible Eingriffe an falschen – weil nicht richtig identifizierten – Personen vermieden werden können;

2. das Identifikationssystem auf Grundlage von bPK stellt in der gegenwärtigen Rechtslage die datenschutzfreundlichste Variante eindeutiger elektronischer Identifikation dar;

3. im Sinne einer schlanken Legistik, die Systembrüche soweit als möglich vermeidet, soll die im E-GovG bereits erarbeitete Identifikationslösung übernommen werden;

4. die Verwendung eines bPKs in der gesamten ELGA erhöht die Leistungsfähigkeit des Systems, da nicht bei jeder Verwendung von ELGA für jeden Auftraggeber eigene bPK iSd § 14 Abs. 2 E-GovG zur Verfügung gestellt werden müssen.

Von dem Verweis auf bereichsspezifische Personenkennzeichen sind klarerweise auch untergliederte bereichsspezifische Personenkennzeichen (§ 3 Abs. 3 E-Government-Bereichsabgrenzungsverordnung, BGBl. II Nr. 289/2004) umfasst. Die anderen Bestimmungen des E-GovG, wie insbesondere die vorgesehenen Schutzvorschriften für Personenkennzeichen (Stammzahlen und bPK – vgl. §§ 9 ff E-GovG) bleiben von Abs. 4 unberührt (vgl. auch Abs. 5). Dadurch ist es insbesondere nicht erlaubt, die bPK in Mitteilungen anzuführen (§ 11 E‑GovG). Die Zuständigkeit der Zivilgerichte gemäß § 1 Abs. 5 DSG 2000 bleibt unberührt.

Die Ausstattung von Datenanwendungen mit bPK ist für alle, die aufgrund dieses Bundesgesetzes zur Verwendung von bPK verpflichtet sind, wie für Gebietskörperschaften, (§ 6 Abs. 4 E-GovG) kostenlos. Dies setzt allerdings eine Datenqualität voraus, die zu eindeutigen Treffern im ZMR führt. Sollte es – beispielsweise im Zuge der bPK-Ausstattung – erforderlich sein, die Qualität der Ausgangsdaten mittels Clearing verbessern zu müssen, so können für diese Verfahren durchaus Kosten anfallen.

Abs. 5 stellt klar, dass das GTelG 2011 eine lex specialis gegenüber anderen Rechtsvorschriften, wie etwa dem DSG 2000, dem ÄrzteG 1998 oder anderer einschlägiger Rechtsvorschriften, darstellt. Bereiche, die vom GTelG 2011 nicht erfasst sind, unterliegen – wie bisher – den jeweiligen Bestimmungen, etwa dem DSG 2000 oder dem ÄrzteG 1998. Interessant ist die Spezialität der Vorschriften des GTelG 2011, besonders hinsichtlich des 2. Abschnittes und der darin vorgesehenen Datensicherheitsmaßnahmen, die beispielsweise den allgemeinen Datensicherheitsmaßnahmen des § 14 DSG 2000 vorgehen. Das bedeutet aber nicht, dass § 14 DSG 2000 restlos verdrängt wird, sondern, dass er subsidiär nur in den vom GTelG 2011 nicht erfassten Bereichen gilt. Ein weiteres Beispiel für die Spezialität wären etwa die Verwendungsbeschränkungen des § 14 GTelG 2011, die die zulässige Verwendung von Gesundheitsdaten gegenüber § 9 DSG 2000 einschränken. Keine Spezialität hingegen besteht hinsichtlich der Speicherung von ELGA-Gesundheitsdaten (§ 19 GTelG 2011) in Hinblick auf die in den berufsrechtlichen Spezialgesetzen vorgesehenen Dokumentationsverpflichtungen.

Zu § 2:

Gegenüber dem GTelG ist die Definition des elektronischen Gesundheitsdatenaustausches (§ 2 Z 3 GTelG) entfallen. Neu hinzugekommen sind folgende Definitionen:

1. IT-Sicherheitskonzept (§ 2 Z 3 GTelG 2011),

2. Registrierungsstellen (§ 2 Z 4 GTelG 2011),

3. ELGA (§ 2 Z 6 GTelG 2011),

4. Datenspeicher (§ 2 Z 7 GTelG 2011),

5. elektronische Verweise auf ELGA-Gesundheitsdaten (§ 2 Z 8 GTelG 2011),

6. ELGA-Gesundheitsdaten (§ 2 Z 9 GTelG 2011),

7. ELGA-Gesundheitsdiensteanbieter (§ 2 Z 10 GTelG 2011),

8. ELGA-Systempartner (§ 2 Z 11 GTelG 2011),

9. ELGA-Teilnehmer/innen (§ 2 Z 12 GTelG 2011)

10. Verweisregister (§ 2 Z 13 GTelG 2011) sowie

11. Zugriffsberechtigung (§ 2 Z 14 GTelG 2011).

Der Entfall des Begriffs „elektronischer Gesundheitsdatenaustausch“ soll einerseits den Wortlaut an die sachverwandten Bestimmungen des DSG 2000 annähern und andererseits die Lesbarkeit des Gesetzestextes erhöhen. Zudem wird der Eindruck vermieden, dass sich das GTelG 2011 nur auf gerichtete Kommunikation bezöge (arg: „elektronischer Gesundheitsdatenaustausch“). Da der Gegenstand (§ 1) auf den elektronischen Verkehr mit Gesundheitsdaten abstellt, ist es auch nicht notwendig das Tatbestandsmerkmal „elektronisch“ nochmals gesondert hervorzustreichen. Das GTelG 2011 gilt – ebenso wie die Vorgängerbestimmungen des GTelG – nur für elektronisch verarbeitete und weitergegebene Daten.

Die Definition der Gesundheitsdaten (Z 1) wurde gegenüber dem GTelG nur an einer Stelle, und zwar der lit. d, geändert. Hier wurde im Wege einer impliziten Definition der Begriff der Medikationsdaten eingefügt. Es handelt sich dabei um Daten, die die Darreichungsform, Menge, Stärke und Wirkstoff von verordneten oder tatsächlich bezogenen Arzneimitteln betreffen. Auf den Begriff der Medikationsdaten wird im 4. Abschnitt an mehreren Stellen verwiesen. Um Auslegungsfragen zum Verhältnis der beiden Begriffe Gesundheitsdaten und Medikationsdaten zu vermeiden, ist eine eigenständige Definition unterblieben und werden die Medikationsdaten implizit als Unterart der Gesundheitsdaten definiert.

Wie auch bisher ist die Form der Daten unwesentlich für die Eigenschaft als Gesundheitsdaten. So können Videos ebenso Gesundheitsdaten darstellen wie Fotos oder andere Bilder.

Die Z 2 und 4 enthalten im Wesentlichen die bereits bekannten Begriffsbestimmungen des GTelG. Erweitert wurden beide um das Tatbestandsmerkmal des Aufgabengebietes um die bisher anscheinend strittige Frage, ob auch Behörden als GDA iSd GTelG 2011 anzusehen seien, eindeutig zu bejahen. Außerdem wurde der Verweis auf „Auftraggeber und Dienstleister“ in der Definition des GDA (Z 2) durch ein umfassendes „Wer“ ersetzt, um auf keinen Fall unbeabsichtigte Aussagen zu den datenschutzrechtlichen Verhältnissen zu treffen. Die Erbringung einer Gesundheitsdienstleistung ist Voraussetzung für das Vorliegen der GDA-Eigenschaft. Dem Begriff der Gesundheitsdienstleistung ist ein weites Verständnis – orientiert an Erwägungsgrund 34 und Art. 8 Abs. 3 der Datenschutzrichtlinie – zu unterstellen. Rechtsanwälte/innen wären beispielsweise mangels Erbringung einer Gesundheitsdienstleistung nicht als GDA anzusehen. Ein weiteres Indiz ist auch das zu Grunde liegende Berufsrecht. Ist dieses dem Gesundheitsrecht im weiteren Sinn zuzuordnen, liegt auch eine GDA-Eigenschaft vor. Zur Abgrenzung des Gesundheitsrechts kann unter anderem die Klassifikation nach dem aktuellen Index des Bundesrechts herangezogen werden.

Z 3 definiert ein IT-Sicherheitskonzept. Gesundheitsdiensteanbieter müssen – um dem Schutz von elektronisch verwendeten Gesundheitsdaten gerecht zu werden – alle Datensicherheitsmaßnahmen, die notwendig und angemessen sind, ergreifen, um diesem Schutzbedürfnis zu entsprechen. Im Rahmen von ELGA hat der Bundesminister für Gesundheit mit Verordnung die Mindeststandards für diese vorgesehenen Datensicherheitsmaßnahmen festzulegen (§ 13 Abs. 6).

Hinsichtlich der in Z 4 genannten Registrierungsstellen wird auf die Erläuterungen zu § 9 Abs. 3 verwiesen.

Z 6 definiert den Begriff der „ELGA“, siehe dazu asuführlich die Erläuterungen zum 4. Abschnitt.

Ein Datenspeicher (Z 7) kann jegliche Art der Hardware sein, deren Zweck die Speicherung von ELGA-Gesundheitsdaten ist. Die Bezeichnung Dokumentenspeicher, die in diesem Zusammenhang immer wieder fällt, ist weniger treffend, da damit eine Einschränkung auf Gesundheitsdokumente suggeriert würde. Diese Einschränkung soll es aber definitiv nicht geben.

Die in Z 8 definierten elektronischen Verweise speichern nicht die ELGA-Gesundheitsdaten selbst, sondern verweisen nur an den Ort an dem diese zu finden sind. In § 19 Abs. 7 des Entwurfs sind die von einem elektronischen Verweis umfassten Datenarten angeführt.

Der Begriff der ELGA-Gesundheitsdaten (Z 9) wurde eingeführt, um eine klare Abgrenzung zum Begriff der Gesundheitsdaten (Z 1) zu schaffen. Es sollen in ELGA nur jene Daten verwendet werden, die ausschließlich der medizinischen Versorgung der ELGA-Teilnehmer/innen dienen, jedenfalls nicht Verrechnungsdaten.

Die in Z 10 enthaltene Definition der ELGA-GDA ist erforderlich, um den Personenkreis der potentiell Zugriffsberechtigten genauer fassen zu können. Der Begriff „Gesundheitsdiensteanbieter“ der Z 2 ist für die Zwecke von ELGA viel zu weit gefasst, da davon beispielsweise auch private Versicherungsunternehmen, die Sozialversicherungsträger, Optiker/innen, Zahntechniker/innen oder Behörden umfasst sein können, so sie regelmäßig Gesundheitsdaten verwenden. Zielsetzung dieses Entwurfs ist – wie bereits im Allgemeinen Teil erläutert – nicht die Bereithaltung von Gesundheitsdaten für eine möglichst große Anzahl an GDA oder gar Verrechnungszwecke, sondern die qualitative Verbesserung der medizinischen Versorgung sowie die Effizienzsteigerung in einer konkreten Behandlungssituation.

Für die Zwecke des 2. Abschnittes (Datensicherheit bei der Weitergabe elektronischer Gesundheitsdaten), ist ein möglichst weiter Adressatenkreis (GDA gemäß Z 2) angezeigt, da dadurch die Datensicherheitsvorschriften für alle, die Gesundheitsdaten verwenden, gelten.

Aus Gründen der Rechtssicherheit werden die ELGA-GDA taxativ aufgezählt.

Ausgenommen sind jedenfalls GDA, die mit hoheitlichen Befugnissen ausgestattet sind (z.B. lit. a sublit. aa und dd). Aber auch GDA, die vielleicht selbst keine hoheitlichen Befugnisse haben, aber im Nahbereich von Behörden arbeiten, wie etwa Schulärzte/innen (lit. a sublit. ff) dürfen nicht auf ELGA zugreifen. Auch Arbeitsmediziner/innen (lit. a sublit. cc) sind keine ELGA-Gesundheitsdiensteanbieter im Sinne dieser Bestimmung. Zum Begriff der Arbeitsmediziner/innen sind auch die Betriebsärzte/innen (vgl. § 115 Abs. 6 ArbeitnehmerInnenschutzgesetz (ASchG), BGBl. Nr. 450/1994), deren Aufgabenbereich in der Prävention und Minimierung von Gesundheitsgefährdungen der Arbeitnehmer/innen am Arbeitsplatz liegt, zu zählen. Darüber hinaus sind alle Ärzte/Ärztinnen und Zahnärzte/Zahnärztinnen, die für Versicherungsunternehmen, Versicherungsträger und dergleichen arbeiten, keine ELGA-Gesundheitsdiensteanbieter, ungeachtet dessen ob ihr Arbeit- oder Auftraggeber dem privaten oder dem öffentlichen Bereich zuzuordnen ist. Zu den Amtsärzte/inne/n (lit. a sublit. dd) zählen gemäß § 41 Abs. 2 ÄrzteG 1998 auch die Polizeiärzte/innen.

Die Aufnahme eines österreichischen National Contact Points (NCP, lit. e) in die Liste der ELGA-GDA soll vor allem jenem Problem begegnen, das sich momentan im Zuge des EU-Projektes epSOS (Smart Open Services for European Patients) stellt. epSOS soll die grenzüberschreitende Verwendung von Gesundheitsdaten erleichtern. Die grenzüberschreitende Verwendung von Gesundheitsdaten kann nur mit Zustimmung gemäß Art. 8 Abs. 2 lit. a Datenschutzrichtlinie stattfinden. Durch Aufnahme des NCP in die Liste der ELGA-GDA kann der NCP nur nach Maßgabe des Berechtigungssystems die in ELGA enthaltenen Daten verwenden, d. h. insbesondere weitergeben.

ELGA-Teilnehmer/in (Z 12) ist, für wen tatsächlich Verweise auf eigene ELGA-Gesundheitsdaten im Verweisregister aufgenommen sind, oder für wen die Aufnahme solcher Verweise zulässig wäre. Auch Personen, für die noch keine Verweise im Verweisregister aufgenommen wurden, für die aber die Aufnahme solcher Verweise prinzipiell zulässig ist, sollen als ELGA-Teilnehmer/innen gelten, damit sie beispielsweise in den Genuss der Teilnehmer/innen/rechte gemäß § 16 kommen. Die in § 16 genannten Teilnehmer/innen/rechte sollen nur den ELGA-Teilnehmer/inne/n und nicht auch etwa anderen Betroffenen nach den Bestimmungen dieses Bundesgesetzes – etwa Betroffenen von Datenanwendungen von GDA im Sinne der Z 2 – zustehen.

Ein Verweisregister (Z 13) ist ein Register, in dem elektronische Verweise auf ELGA-Gesundheitsdaten (Z 9) gespeichert werden. Der Platz, an dem die ELGA-Gesundheitsdaten zu finden sind, ist üblicherweise eine elektronische Adresse, es kann jedoch auch eine „analoge Adresse“ sein. Ein Beispiel dafür wäre eine Patientenverfügung, die bei einem Notar/einer Notarin hinterlegt ist. Da in einem Verweisregister mehrere ELGA-GDA, als Auftraggeber im Sinne des § 4 Z 4 DSG 2000, tätig werden und auch von anderen ELGA-GDA eingestellte Daten nach den Regeln des Berechtigungssystem verwenden können, stellt bereits ein Verweisregister für sich alleine genommen ein Informationsverbundsystem dar, das den speziellen Regelungen dieses Entwurfs unterliegt. Wie bereits oben erwähnt, handelt es sich bei diesem Entwurf um eine datenschutzrechtliche lex specialis, die eben auch bestimmte Abweichungen für die Infrastruktur von ELGA, wie etwa den Entfall der Meldepflicht gemäß § 14 Abs. 6 oder die vom DSG 2000 abweichenden Bestimmungen über die Informationsverbundsysteme „Verweisregister“ vorsieht.

Die Zugriffsberechtigung (Z 14) im Kontext von ELGA legt fest, wer in welcher Art ELGA-Gesundheitsdaten verwenden darf.

Zu Abschnitt 2:

Der 2. Abschnitt ist nur auf die Weitergabe, d. h. die Überlassung und Übermittlung iSd § 4 DSG 2000, nicht aber schlechthin auf die Verwendung (§ 4 Z 8 DSG 2000) von Gesundheitsdaten anzuwenden.

Zu § 3:

Abs. 1 ist neu hinzugekommen und regelt das so genannte Inhouse-Privileg, wonach die speziellen Datensicherheitsmaßnahmen des Entwurfs (§§ 4 bis 7) nicht auf die Weitergabe von elektronischen Gesundheitsdaten innerhalb eines GDA (Spital, Ordination, etc.) anzuwenden sind, wenn sichergestellt ist, dass unbefugte Dritte nicht auf die Daten zugreifen und daher auch keine Kenntnis von solchen Daten erlangen können. Diese Voraussetzung ist insbesondere bei Intranets, die entsprechend geschützt sind, anzunehmen.

Der vorliegende Entwurf beschränkt sich im Gegensatz zu seinem Vorgänger – dem GTelG – nicht mehr auf Datensicherheitsbestimmungen, sondern sieht – insbesondere in dem völlig neuen 4. Abschnitt zur Elektronischen Gesundheitsakte (ELGA) – auch Datenverwendungsbestimmungen vor. Dies findet seinen Niederschlag auch in Abs. 2 – der dem ehemaligen § 3 GTelG entspricht – und nun zwei neue Ziffern aufweist. Vor diesem Hintergrund ist nun auch die Zulässigkeit der Datenverwendung eine explizite Voraussetzung (Z 1), um nicht den falschen Eindruck zu erwecken, dass die Einhaltung der (formellen) Datensicherheitsmaßnahmen des 2. Abschnittes alleine für die Zulässigkeit der Verwendung von Gesundheitsdaten ausreichend sei. Die praxisrelevantesten Eingriffsermächtigungen des § 9 DSG 2000 sind für den Gesundheitsbereich dessen Z 6 („Zustimmung“) und Z 12 („Gesundheitswesen“).

Die neue Z 2 stellt im Wesentlichen auch nur eine Klarstellung dar – nämlich, dass der/die Betroffene ausreichend identifiziert sein muss. Dieser Grundsatz ergibt sich schon aus dem Richtigkeitsgrundsatz des § 6 Abs. 1 Z 4 DSG 2000, der auf europäischer Ebene in Art. 6 Abs. 1 lit. d der Datenschutzrichtlinie 95/46/EG verankert ist. Durch diese Klarstellung, sollen Verwechslungen, die besonders im Gesundheitsbereich von weitreichender Konsequenz sein können, so gut als möglich ausgeschlossen werden.

Durch die Z 3 und Z 4 erfolgt keine inhaltliche Änderung zum bisherigen GTelG. Der dem DSG 2000 unbekannte Begriff des „elektronischen Gesundheitsdatenaustauschs“ soll durch den Begriff der Weitergabe (vgl die Ziffern 11 und 12 des § 4 DSG 2000, wonach sowohl die Überlassung als auch die Übermittlung eine Weitergabe von Daten darstellen) ersetzt werden. Wichtig ist dabei nicht von der Verwendung von Daten zu sprechen, da es in diesem Zusammenhang einzig und allein auf die Weitergabe ankommt und nicht auch auf die (lokale) Verarbeitung. Die bloße Verarbeitung (§ 4 Z 9 DSG 2000) der elektronischen Gesundheitsdaten ohne Weitergabe soll nicht dem Datensicherheitsregime (2. Abschnitt) des GTelG 2011 unterliegen. Zu betonen ist, dass der Begriff Weitergabe sowohl die gerichtete als auch die ungerichtete Kommunikation umfasst.

Zu § 4:

Wie bereits in den Erläuterungen zu § 3 Abs. 2 Z 2 ausgeführt, ist die eindeutige Identität des/der Betroffenen – in diesem Zusammenhang also des Patienten/der Patientin – von entscheidender Bedeutung. Abs. 1 stellt klar, wie diese Identifizierung stattzufinden hat, nämlich über den Patientenindex.

Statt von „qualifizierten Signaturen“ spricht das GTelG 2011 – wie hier im Abs. 2 – von „elektronischen Signaturen, die auf qualifizierte Zertifikate rückführbar sein müssen“. Damit sollen praxisnahe Lösungen, bei denen etwa ein Zustellungsdienst als Aussteller „normaler“ Zertifikate, die einfach in bestehende Softwarelösungen importiert werden können, fungiert, ermöglicht werden. Es ist also zulässig – vor allem wenn dies aus Gründen der Praxistauglichkeit erforderlich ist – von einem qualifizierten Zertifikat abgeleitete Zertifikate zu verwenden.

Mit der Verwendung elektronischer Signaturen, die auf qualifizierte Zertifikate rückführbar sind, kommen die Bestimmungen des Signaturgesetzes (SigG), BGBl. I Nr. 190/1999, in der Fassung BGBl. I Nr. 59/2008, zur Anwendung. Es ist daher nicht erforderlich zusätzliche Bestimmungen etwa über Verzeichnisdienste oder die Geheimhaltung von Schlüsseln zu normieren, da über die Regelungen für qualifizierte Signaturen im SigG auf dessen bewährtes System zurückgegriffen werden kann.

Die Verwendung elektronischer Signaturen ist aus mehreren Gründen mit Restriktionen verbunden. Einerseits bedarf es der Schaffung bestimmter organisatorischer bzw. technischer Voraussetzungen in der jeweiligen IKT-Umgebung, andererseits bedürfte es zu ihrer Verwendung in der grenzüberschreitenden Gesundheitsversorgung staatenübergreifend verfügbarer Grundlagen (z.B. PKI-Infrastruktur). Im Gesundheitswesen ist es darüber hinaus – etwa für die Anknüpfung von Berechtigungssystemen – unabdingbar, eine stringente Verbindung zwischen Identität und Rollen (Attributen) herzustellen. Zwar können solche Attribute auch in Zertifikate aufgenommen werden, für ihre Änderung ist jedoch ein relativ aufwendiges Verfahren notwendig. Technisch komplexere Lösungen verwenden daher zunehmend so genannte Identitätsmanagement- bzw. Provisioning-Systeme, deren Kern standardkonforme Verzeichnisse mit qualitätsgeprüften Daten (Identitäten, Attribute) bilden und deren Verwaltung ökonomisch zweckmäßig erfolgen kann. Mit dem im 3. Abschnitt näher ausgeführten eHealth-Verzeichnisdienst wird ein solches Verzeichnis bzw. Provisioning-System für das Gesundheitswesen geschaffen. Die nunmehr vorgesehene Form der Dateneinbringung stellt sicher, dass im eHVD ausschließlich qualitätsgesicherte und den eGovernment-Vorgaben entsprechend geprüfte elektronische Identitäten bereitgestellt werden. Damit wird es – wie bei der Verwendung von Zertifikaten – ermöglicht, automationsgestützte Prüfungen von Identität und Rollen in einem Arbeitsvorgang (vgl. § 4 Abs. 2) durchzuführen.

Zu § 5:

Gemäß § 2 Z 5 des Entwurfs ist eine Rolle eine Klassifikation von GDA – und damit auch ELGA-GDA – nach ihren Aufgaben, wie z.B. Arzt/Ärztin für Allgemeinmedizin, Facharzt/Fachärztin für Chirurigie, öffentliche Apotheke, Krankenanstalt. Die unterschiedlichen Erfordernisse der Gesundheitsberufe führen zu unterschiedlichen Rollen und damit verbunden unterschiedlichen Zugriffsberechtigungen. Außerhalb von ELGA dient die Rolle vor allem der nachprüfenden Kontrolle, damit nachvollziehbar ist, ob beispielsweise der/die Empfänger/in der Daten überhaupt aufgrund seiner/ihrer Rolle – d. h. grundsätzlich – berechtigt war, die Daten zu erhalten. Im Rahmen von ELGA erfährt die Rolle insofern eine gesteigerte Bedeutung, als im Wege der generellen Zugriffsberechtigungen gemäß § 20 Abs. 2 bestimmte Rollen standardmäßig mit bestimmten Zugriffsberechtigungen verknüpft werden (siehe näher dazu die Erläuterungen zu § 20).

Abs. 1 fasst § 5 Abs. 2 und 3 des bisherigen GTelG zusammen.

GDA dürfen Rollen nicht selbst definieren (Abs. 2), sondern nur die per Verordnung festgelegten Rollen verwenden. Dadurch soll eine einheitliche Verwendung der Rollen gesichert werden. Sich verändernde oder neu entstehende Berufsbilder (zuletzt gemäß Musiktherapiegesetz (MuthG), BGBl. I Nr. 93/2008) erfordern jedoch eine gewisse Flexibilität der zu definierenden Rollen. Aus diesem Grund ist eine Verordnungsermächtigung notwendig, um nicht bei jeder Erweiterung des Rollenkatalogs eine Gesetzesänderung vornehmen zu müssen.

Zu § 6:

Eine Mindestsicherung der Daten gegenüber Dritten in Form einer Verschlüsselung hat immer (Abs. 1) zu erfolgen, beispielsweise um Hackerangriffe zu vermeiden oder zumindest zu erschweren. Da nur qualifizierte Verschlüsselungsalgorithmen verwendet werden dürfen, kann vor allem bei großen Datenmengen – wie etwa datenintensiven Röntgenbildern – auf die Verschlüsselung der eigentlich Gesundheitsdaten (Bilddaten) verzichtet werden, wenn zumindest der Personenbezug so verschlüsselt ist, dass unbefugte Dritte keinen Hinweis auf den/die Betroffene/n ableiten können. Für Dritte sind diese Daten dann indirekt personenbezogene Daten. Ein Hinweis kann im Namen, der Sozialversicherungsnummer oder sonstigen Daten, aus denen mit einfachen Mitteln ein Personenbezug hergestellt werden kann, bestehen.

Die beiden Voraussetzungen des Abs. 1 sind kumulativ zu erfüllen. Die sicherste Verschlüsselung bei der Weitergabe von Gesundheitsdaten ist wirkungslos, wenn die Daten an den Endpunkten der Kommunikation unverschlüsselt und für jedermann leicht zugänglich sind. Deshalb sind effektive Zugriffskontrollmechanismen vorzusehen, die verhindern, dass die Daten vor oder nach Entschlüsselung an unbefugte Dritte gelangen können. Solche Zugriffskontrollmechanismen können spezifische Berechtigungsregelungen bis hin zu Zutrittsbeschränkungen oder die verbindliche Durchführung periodischer Sicherheitsaudits reichen. Diese Maßnahmen sind insbesondere im IT-Sicherheitskonzept detailliert darzustellen.

Gemäß Abs. 2 hat der Bundesminister für Gesundheit eine Liste der geeigneten Verschlüsselungsalgorithmen aktuell zu halten. Auch hier muss auf den Stand der Technik bzw. dadurch induzierte Risikoveränderungen Bedacht genommen werden, weshalb eine Verordnungsermächtigung angezeigt ist.

Zu § 8:

Die Dokumentationspflicht ergänzt als konkrete Dokumentationspflicht für den Gesundheitsbereich jene, die allgemein in § 14 DSG 2000 normiert ist. Damit umfasst sind somit auch die Vorgaben betreffend Protokollierung. Insbesondere muss bei Inanspruchnahme des Inhouse-Privilegs gemäß § 3 Abs. 1 oder der erleichterten Bedingungen im Sinne des §26 dokumentiert werden, wodurch die Voraussetzungen dieser Ausnahmetatbestände erfüllt sind. Das für ELGA vorgesehene Informationssicherheitsmanagementsystem wird für die Verwendung von Gesundheitsdaten in diesem Umfeld präzisierende Vorgaben enthalten. Damit die Einhaltung der Dokumentationspflichten auch überprüft werden kann, wird dem Bundesminister für Gesundheit sowie der ELGA-Ombudsstelle (§ 16 Abs. 4) ein jederseitiges Einsichtsrecht in die Dokumentation eingeräumt, das jedoch nicht rechtsmissbräuchlich eingesetzt werden darf.

Zu Abschnitt 3:

Zu § 9:

Abs. 1 beschreibt die Ziele des eHealth-Verzeichnisdienstes. Mit dem eHealth-Verzeichnisdienst (eHVD) wird somit ein für unterschiedliche Zwecke verwendbares „Health Professional Register“ eingerichtet. Register mit ähnlicher Ausprägung und Zielsetzung bestehen in vielen Ländern schon seit längerem. In Bezug auf die aufzunehmenden Daten hat der eHVD eher den Charakter eines Meta-Registers. Z 1 legt den Primärzweck, nämlich die Bereitstellung qualitätsgesicherter Daten für die Prüfung bzw. den Nachweis von Identität und Rollen im elektronischen Verkehr mit Gesundheitsdaten (vgl. die Ausführungen zu § 4), im Rahmen der integrierten Versorgung fest. In diesem Kontext bezieht sich der Begriff „integrierte Versorgung“ auf alle Versorgungsmaßnahmen für eine konkrete Person, die aufgrund der Spezialisierung von unterschiedlichen GDA erbracht werden. In einer solchen Versorgungskette wird in der Regel auf dem Wissensstand des vorangegangenen GDA aufgebaut bzw. ist es sinnvoll, dem nächstfolgenden GDA die gewonnenen Erkenntnisse zur Verfügung zu stellen. Im gegebenen Kontext bedeutet das, dass die benötigten Informationen unter Nutzung der elektronischen Möglichkeiten weitergegeben werden, wofür es eines entsprechend qualitätsgesicherten „Adressverzeichnisses“ bedarf. Mit den in den Z 2 und 3 umschriebenen Zwecken soll ein Mehrfachnutzen eines solchen Verzeichnisses generiert werden können. Der Datenbestand des eHVD soll auch für Bereitstellung von grundlegenden Informationen über GDA zur Erleichterung des Zugangs für Bürger/innen zu Gesundheitsdienstleistungen verwendet werden können. Gedacht ist hier insbesondere an die Schaffung von Abfragemöglichkeiten (Suchfunktionalitäten) im Rahmen des öffentlichen Gesundheitsportals (Z 2). Darüber hinaus erscheint es zweckmäßig, den mit dem eHVD geschaffenen Datenbestand nach bestimmten Gesichtspunkten auszuwerten, um beispielsweise derzeit nur mit hohem Aufwand (Auswertung von Einzelverzeichnissen) erstellbare Mengengerüste für Planungsmaßnahmen oder für Forschungsarbeiten erzeugen zu können. Z 3 schafft die Grundlage für solche Auswertungen, wobei jedoch anzumerken ist, dass diese keinen Personenbezug enthalten dürfen.

Gemäß Abs. 2 sind alle GDA, wenn sie regelmäßig Gesundheitsdaten verwenden, in den eHealth-Verzeichnisdienst einzutragen. Die Eintragung (Registrierung) erfolgt durch Übernahme bereits qualitätsgesicherter Daten aus bestehenden Verzeichnissen, Registern, Listen und dgl. („Vorverzeichnisse“) oder im Wege der elektronischen Meldung für jene GDA, für die valide Quellen derzeit nicht verfügbar sind.

Abs. 3 listet die Datenquellen des eHealth-Verzeichnisdienstes im Hinblick auf die bestehenden Verzeichnisse auf. Die für die Eintragung in diese Verzeichnisse Verantwortlichen fungieren als Registrierungsstellen im Sinne des Entwurfs. Die in Z 1 genannten Register stellen die wichtigsten Berufsregister dar. Allerdings sind nicht für alle Gesundheitsberufe entsprechende Register verfügbar. Bekannt ist, dass für einige Berufsgruppen solche Register im Entstehen sind bzw. geplant werden. Die Registrierungsstellen der Z 1 sind: die Österreichische Ärztekammer (lit. a), die Österreichische Zahnärztekammer (lit. b), das Hebammengremium (lit. c), die Apothekerkammer (lit. d) sowie der Bundesminister für Gesundheit (lit. e bis h). In den eHVD werden nicht alle Daten dieser Berufsregister übernommen, sondern nur die für die elektronische Weitergabe von Gesundheitsdaten benötigten zu einem einsatzbaren Gesamtverzeichnis zusammengeführt. Die Übermittlung der Daten erfolgt durch die Auftraggeber dieser Register oder deren Dienstleister. Übermittlungsempfänger ist der Dienstleister des Bundesministers für Gesundheit. Die Z 2 ist die Grundlage für die Registrierung der nicht von der Z 1 erfassten GDA. Lit. a – in Verbindung mit Abs. 4 – ist speziell auf Krankenanstalten oder andere von der Organisationsstruktur her größere GDA zugeschnitten. Ihnen soll ermöglicht werden, nicht ihre gesamte Organisationsstruktur melden zu müssen, sondern nur jene Ebenen (Organisationseinheiten), die tatsächlich den elektronischen Verkehr mit Gesundheitsdaten durchführen und andererseits keiner hohen Fluktuation unterliegen (z.B. Abteilungen von Krankenanstalten). Dafür müssen allerdings die Voraussetzungen des Abs. 4 erfüllt sein. Krankenanstalten sind aber auch von lit. b sublit. aa erfasst. Hier sind allerdings nicht die untergeordneten Organisationseinheiten, sondern die Einheiten auf höchster Ebene angesprochen. Diese wiederum können dann von der Eintragungserleichterung gemäß Abs. 4 Gebrauch machen. Lit. b sublit. bb richtet sich vor allem an Selbständige, die dem Gesundheits- und Krankenpflegegesetz (GuKG), BGBl. I Nr. 108/1997, unterliegen. Durch lit. b sublit. cc sollen auch jene Behörden eingetragen werden, die nicht unter lit. d fallen. Es versteht sich von selbst, dass die Eintragungspflicht nur jene trifft, die Gesundheitsdaten regelmäßig verwenden. Behörden sind also nur dann einzutragen, wenn sie tatsächlich Gesundheitsdaten verwenden. Als Auffangtatbestand sieht die Z 3 eine subsidiäre Eintragung durch den Bundesminister für Gesundheit für jene GDA vor, die weder von Z 1 noch von Z 2 erfasst sind.

Wie bereits erwähnt, soll Abs. 4 den Eintragungsaufwand von großen GDA mit entsprechender organisatorischer Tiefengliederung reduzieren. Grundvoraussetzung für die Inanspruchnahme dieser Ausnahmebestimmung, ist die Nachvollziehbarkeit der Verantwortung. Die Erleichterung gemäß Abs. 4 darf auf keinen Fall dazu führen, dass unklare Verantwortlichkeiten entstehen. Deshalb ist auch vorgesehen, dass die Organisationsdaten nachträglich nicht spurlos verändert werden können dürfen. Diesem Erfordernis kann lokal beispielsweise durch das Anbringen eines Zeitstempels entsprochen werden. Gemäß Z 2 muss organisationsintern klar geregelt sein, welche Person für die Erzeugung der Registerdaten verantwortlich ist.

Abs. 5 ermächtigt den Bundesminister für Gesundheit zur Präzisierung technischer und organisatorischer Anforderungen im Verordnungsrang. Damit sollen insbesondere die Schnittstellenspezifikationen, die für die Übernahme von Daten aus anderen Registern benötigt werden, verbindlich festgelegt werden.

Die Registrierungsstellen sind gemäß Abs. 6 zur technisch-organisatorischen Mitwirkung, insbesondere zur Sicherstellung der Datenqualität, verpflichtet.

Zu § 10:

Die in Abs. 1 genannten Datenkategorien beziehen sich auf alle Verwendungszwecke des eHVD. Z 2 bezieht sich vor allem auf solche GDA, die über keine eigene Rechtspersönlichkeit verfügen (z.B. Krankenanstalten). Der eindeutige Identifikator im eHVD wird entsprechend den e-Government-Vorgaben gebildet. Allerdings verwenden die Vorverzeichnisse eigene und höchst unterschiedlich aufgebaute Identifikatoren, die gemäß Z 3 zur Sicherstellung der Datenqualität (z.B. Dublettenerkennung und –bereinigung) mitgeführt werden müssen. Dies sind beispielsweise die Krankenanstaltennummer, die Apothekennummer oder die Vertragspartnernummer. Die Angaben gemäß Z 4 können etwa auch Verweise (links) auf den eigenen Webauftritt des betreffenden GDA umfassen. Besondere Befugnisse oder Eigenschaften im Sinne der Z 5 sind keine eigenständigen Rollen, sondern spezifische Attribute, die an eine bestimmte Rolle geknüpft werden. Als Beispiele genannt werden können die Ermächtigung gemäß § 35 Strahlenschutzgesetz oder zur Substitutionsbehandlung für ärztliche Rollen. Als Attribut für Krankenanstalten oder (künftig) für Apotheken kann hier die Eigenschaft als epSOS-GDA vermerkt werden. Dies sind jene GDA, die am Pilotprojekt zur Erprobung des Gesundheitsdatenaustausches im Rahmen der grenzüberschreitenden Gesundheitsversorgung teilnehmen. Diese Angaben können somit auch in den GDA-Index übernommen und künftig, etwa im Rahmen der e-Medikation, als Grundlage für spezifische Berechtigungsprüfungen herangezogen werden. Z 9 schafft die Voraussetzung zur Bildung des für ELGA benötigten GDA-Index (§ 18). Mit der Setzung dieses elektronischen Kennzeichens werden aus der Gesamtmenge der im eHVD enthaltenen GDA jene (technisch) lokalisierbar, die gemäß § 2 Z 10 als grundsätzlich an ELGA Teilnehmende festgelegt sind. Da nur diese GDA in den GDA-Index übernommen werden dürfen und somit Zugriffsversuche auf ELGA durch nicht in den GDA-Index aufgenommene GDA schon mangels Authentifizierungsmöglichkeit scheitern müssen, stellt diese Vorgangsweise eine zentrale Maßnahme des technischen Datenschutzes für ELGA-Gesundheitsdaten dar. Z 11 ermöglicht die Aufnahme ergänzender Informationen, die vor allem für die Verwendung des eHVD als allgemeines Informationsmedium für die Bürgerinnen und Bürger von Interesse sein können. Dies betrifft etwa spezifische Zusatzausbildungen oder daraus resultierende Dienstleistungsangebote, aber auch für die Inanspruchnahme von Gesundheitsdienstleistungen relevante Informationen wie Fremdsprachenkenntnisse, Kassenverträge oder die behindertengerechte Ausstattung.

Entsprechend den in § 9 Abs. 1 festgelegten Verwendungszwecken, insbesondere etwa für die Verwendung der Daten für Suchfunktionalitäten im öffentlichen Gesundheitsportal, erschien es angezeigt, den eHVD öffentlich zugänglich zu machen. Da die Sensibilität der Daten gering ist bzw. kaum über den sonst öffentlich zugänglichen Umfang (z.B. verschiedene yellow pages) hinausgeht, waren in Abs. 4 auch nur geringfügige Ausnahmen notwendig, die sich aus der geltenden Rechtslage (z.B. Substitutionstherapie) ergeben.

Der GDA-Index darf ausschließlich für ELGA-Zwecke verwendet werden. Unabhängig davon haben sich bzw. werden sich weitere eHealth-Anwendungen etablieren, die einen validen GDA-Datenbestand benötigen. Entsprechend dem in den Zweckbestimmungen zum Ausdruck kommenden multifunktionalen Ansatz des eHVD und um einen inhaltlich und ökonomisch unzweckmäßigen Wildwuchs an für solche Anwendungen notwendigen Bedarfsverzeichnissen zu vermeiden, soll es gemäß Abs. 5 möglich sein, GDA oder deren Dienstleistern (z.B. für die etablierten Dienste zur Befundübermittlung) bedarfskonforme Auszüge aus dem eHVD zur Verfügung stellen zu können. Um den Missbrauch dieser Daten zu vermeiden, wird ihre Verwendung auf die Unterstützung des betreffenden elektronischen Gesundheitsdienstes eingeschränkt.

Zu § 12:

Für das öffentliche Gesundheitsportal wurden auf Basis europäischer und sonstiger Initiativen umfassende Qualitätskriterien für gesundheitsbezogene Informationsangebote im Internet entwickelt. Ihre Zusammenfassung in Leitlinien bzw. deren Veröffentlichung soll im Gesundheitsportal erfolgen.

Zu Abschnitt 4:

Bei der Elektronischen Gesundheitsakte (ELGA) handelt es sich um ein Informationssystem, das die relevanten, digitalen ELGA-Gesundheitsdaten eindeutig identifizierter Personen enthält. Die Daten stammen von verschiedenen ELGA-GDA, was ELGA in die Nähe eines Informationsverbundsystems rückt. Andererseits sehen die Modularisierung des Opt-outs (§ 15 Abs. 2) sowie vor allem die dezentrale Struktur wesentliche Unterschiede zu den im DSG 2000 geregelten Informationsverbundsystemen vor, weshalb im Rahmen dieses Entwurfs teilweise abweichende Bestimmungen getroffen wurden (leges speciales). Daten- und Informationsmaterial stehen grundsätzlich jederzeit orts- und zeitunabhängig allen berechtigten Personen (ELGA-Teilnehmer/inne/n und ELGA-GDA je nach individuellen Zugriffsberechtigungen) entsprechend ihrer Rollen und den datenschutzrechtlichen Bedingungen einer bedarfsgerecht aufbereiteten Form zur Verfügung. Von lokalen Krankenhausinformationssystemen (KIS) unterscheidet sich die ELGA jedenfalls durch ihre Erstreckung auf ELGA-GDA des gesamten Bundesgebietes (§ 13 Abs. 3). Der persönliche Anwendungsbereich erstreckt sich auf alle ELGA-GDA, die in Österreich Gesundheitsdaten verwenden.

Telemedizin – das ist die Erbringung von Gesundheitsdienstleistungen ohne gleichzeitige körperliche Anwesenheit der beteiligten Personen mit Hilfe von Einrichtungen der Informations- und Kommunikationstechnologie – wird als in der Regel gerichtete Kommunikation nicht dem 4. Abschnitt dieses Entwurfs unterliegen. Es kann aber durchaus sein, dass Daten der ELGA für telemedizinische Zwecke verwendet werden sollen. Dann richtet sich die Verwendung dieser Daten doch nach den Bestimmungen dieses Abschnittes.

Wenn von eMedikation gesprochen wird, ist damit die elektronische Verwendung von Medikationsdaten im Rahmen von ELGA gemeint. Bei der eMedikation handelt es sich um eine so genannte ELGA-Anwendung. Die ELGA-Anwendungen wurden grundsätzlich nicht näher geregelt, da sie nur eine unter mehreren möglichen Verwendungsarten von ELGA-Gesundheitsdaten darstellen und zukünftige Entwicklungen nicht ausgeschlossen werden sollten. Einzig für die Verwendung von Medikationsdaten (eMedikation) waren aus medizinischen Gründen abweichende Regelungen, wie sie etwa in § 15 Abs. 2 vorgesehen sind, zu treffen.

Zu § 13:

Abs. 1 umschreibt die Zwecke, die mit ELGA erreicht werden sollen. Nähere Details sind dem Allgemeinen Teil Punkt II.1 zu entnehmen.

Die Abs. 2 und 3 verpflichten die ELGA-GDA zur Teilnahme an ELGA und Verwendung der ELGA-Funktionen zum Wohl der Patientenschaft. ELGA-Gesundheitsdaten sind grundsätzlich in strukturierter elektronischer Form auf Basis anerkannter internationaler Standards aus dem Gesundheitswesen, wie insbesondere dem Standard Clinical Document Architecture (CDA), verpflichtet. Dieser ist ein von Health Level 7 (HL7) erarbeiteter, auf XML (Extensible Markup Language) basierender Standard für den Austausch und die Speicherung klinischer Inhalte. Dabei entspricht ein CDA-Dokument einem klinischen Dokument (z.B. Arztbrief, Befund, ...). Unter HL7 werden internationale Standards für den Austausch von Daten zwischen Organisationen im Gesundheitswesen und deren Computersystemen zusammengefasst. Die Zahl 7 des Namens HL7 bezieht sich auf die Schicht 7 des ISO/OSI-Referenzmodelles für die Kommunikation (ISO 7498-1) und drückt damit aus, dass hier die Kommunikation auf Applikationsebene beschrieben wird.

Aus haftungsrechtlicher Sicht ist anzumerken, dass die Pflicht zur Verwendung von ELGA auch vor dem Hintergrund berufsrechtlicher Sorgfalts- und Aufklärungspflichten nicht dazu führt, dass ELGA-Gesundheitsdiensteanbieter abklären müssten, ob Widersprüche zu bestimmten Daten vorliegen. Haftungsrechtlich ist kein Unterschied gegeben, ob in einem persönlichen Gespräch ein Patient Fragen unrichtig beantwortet oder erforderliche Mitteilungen unterdrückt, oder ob wesentliche Daten auf Initiative des Patienten durch Opt-out dem ELGA-Gesundheitsdiensteanbieter nicht zukommen. Es liegt im Risiko des Patienten, wenn er vom Opt-out Gebrauch gemacht hat und diesen Umstand verschweigt.

Abs. 4 beschreibt, welche Daten aus anderen Registern in ELGA verwendet werden sollen. Zur Verbesserung der Entscheidungsgrundlage sollen nicht nur die im Rahmen der Gesundheitsdienstleistung anfallenden Gesundheitsdaten verwendet werden, sondern insbesondere auch die in anderen Registern des Gesundheitsbereiches enthaltenen Daten komfortabel im Rahmen von ELGA zur Verfügung gestellt werden. Voraussetzung ist, dass diese Register zumindest abstrakt behandlungsrelevant sind. Register, auf die keiner der ELGA-GDA gemäß § 2 Z 10 zugreifen darf, dürfen nicht zum Datenimport herangezogen werden. ELGA-GDA, die auf bestimmte Register nicht zugreifen dürfen, dürfen dies auch nicht, wenn diese Daten in ELGA übernommen wurden. D. h. die per Gesetz bestehenden Zugriffsbeschränkungen sind in der Grobberechtigung des Berechtigungssystems abzubilden. Als Register im Sinne dieser Bestimmung kämen insbesondere in Betracht:

- das Herzschrittmacher-, ICD-, Looprecorder-Register gemäß § 73 Medizinproduktegesetz, BGBl. Nr. 657/1996,

- das Widerspruchsregister gemäß § 62d Kranken- und Kuranstaltengesetz, BGBl. Nr. 1/1957, oder

- das Implantatregister für den Bereich der Hüftendoprothetik gemäß der Verordnung der Bundesministerin für Gesundheit, Familie und Jugend betreffend die Einrichtung eines Implantatregisters für den Bereich der Hüftendoprothetik, BGBl. II Nr. 432/2008.

Die Formulierung „Daten gemäß § 2 Z 9 lit. a bis c“ ergibt sich aus der Definition der ELGA-Gesundheitsdaten, wonach diese nur in ELGA vorliegen können. Daten, die diesen Daten entsprechen, aber nicht in ELGA verwendet werden, sind keine ELGA-Gesundheitsdaten. Aus diesem Grund wurde die vorliegende Formulierung gewählt, um auszudrücken, dass alle Daten, die inhaltlich ELGA-Gesundheitsdaten entsprechen, gemäß Abs. 4 zu übernehmen sind.

Das Prinzip, dass ein Behandlungs- bzw. Betreuungsverhältnis vorliegen muss (§ 14 Abs. 3 Z 1), wird nur ausnahmsweise durchbrochen und zwar einerseits durch Abs. 4 und andererseits durch Abs. 5. In beiden Fällen ist aber durch die informationelle Selbstbestimmung der ELGA-Teilnehmer/innen der erforderliche Ausgleich geschaffen. So ist für die Teilnahme am EU-Projekt epSOS eine ausdrückliche, jederzeit widerrufbare Zustimmung erforderlich. Auf diesen Umstand wird hier auch Bezug genommen und klargestellt, dass im Falle einer solchen Zustimmung, die aufgrund des epSOS-Rahmenvertragswerks schriftlich gegeben und dokumentiert werden muss, der NCP Daten von ELGA-Teilnehmer/inne/n anderen GDA in Europa zur Verfügung stellen darf.

Um Akzeptanz für ELGA unter den ELGA-GDA zu schaffen, sind gemäß Abs. 6 Mindestkriterien (Service Level Agreement [SLA]) zu Verfügbarkeit (inkl. Antwortzeiten) festzulegen. Abweichungen können für unterschiedliche ELGA-Anwendungen vorgesehen werden. Weiters sind die Mindestanforderungen an das IT-Sicherheitskonzept im Rahmen von ELGA sowie Vorgaben für die Struktur von ELGA-Gesundheitsdaten (z.B. CDA-Dokumente, Medikationsdaten, etc.) festzulegen. Der Inhalt des Aushanges gemäß § 16 Abs. 5 ist so zu gestalten, dass er leicht verständlich ist und die wesentlichen Patient/inn/en/rechte dieses Gesetzes dargestellt werden.

Zu § 14:

Diese Bestimmung ist die zentrale Datenschutzbestimmung des 4. Abschnittes zur ELGA. Die Verwendungsbeschränkungen beziehen sich nur auf die direkt personenbezogenen ELGA-Gesundheitsdaten, die in der ELGA gespeichert sind. Nicht umfasst sind davon andere Daten, wie etwa Verbindungsdaten, die zur Aufrechterhaltung der technischen Infrastruktur benötigt werden.

Abs. 1 beschreibt die formellen Voraussetzungen, die erfüllt sein müssen, unter denen ELGA-Gesundheitsdaten verwendet werden dürfen. Demnach dürfen diese ELGA-Gesundheitsdaten nur dann verwendet werden, wenn sowohl der Patient/die Patientin als auch sein/ihr/e Behandler Betreuer/in über das System eindeutig identifiziert und der/die jeweilige Behandler/Betreuer/in auch gemäß § 20 berechtigt ist. Ihr Vorliegen ist aber nicht ausreichend (arg: „insbesondere“) – vielmehr müssen noch inhaltliche Voraussetzungen, wie etwa die des Abs. 3 oder anderer gesetzlicher Datenschutzbestimmungen, berücksichtigt werden.

Abs. 3 stellt eine Beschränkung der Datenverwendung in inhaltlicher Sicht dar. Die in der ELGA gespeicherten Gesundheitsdaten dürfen ausschließlich zu den genannten Zwecken von den genannten Personen verwendet werden.

Auch muss ein Behandlungs- oder Betreuungsverhältnis vorliegen. Für den Nachweis eines Behandlungs- oder Betreuungsverhältnisses bietet sich insbesondere die e‑card (§ 31d ASVG) in Kombination mit amtlichen Lichtbildausweisen (vgl. § 5 Abs. 11 der Musterkrankenordnung 2007, Nr. 130/2006, in der Fassung der Nr. 5/2010) an. Allerdings darf es durch die Verwendung der e-card nicht zu einer Diskriminierung nicht in Österreich versicherter ELGA-Teilnehmer/innen, die in Österreich behandelt werden wollen, kommen.

Aus Z 2 ergibt sich, dass nur die ELGA-Teilnehmer/innen selbst sowie deren gesetzliche oder bevollmächtigte Vertreter/innen in die ELGA Einblick nehmen dürfen. Zu den gesetzlichen Vertretern/innen zählen etwa Eltern und Sachwalter/innen, zu den bevollmächtigten Vertretern/innen all jene, die mit einer Vollmacht des/der zu Vertretenen ausgestattet sind. Die Rechte Minderjähriger richten sich nach den allgemeinen zivirechtlichen Bestimmungen.

Andere als die in Abs. 3 genannten Personen dürfen nicht auf ELGA-Gesundheitsdaten zugreifen. Dies wird noch einmal verstärkt durch das ausdrückliche Verbot in Abs. 4, der gemeinsam mit der Verwaltungsstrafbestimmung des § 24 Abs. 2 zu lesen ist. ELGA-Teilnehmer/innen soll durch diese Bestimmungen der bestmögliche Schutz vor dem Abnötigen eines ELGA-Zugriffs und somit der Kenntnisnahme der ELGA-Gesundheitsdaten geboten werden.

Mit Abs. 5 wird eine spezielle ELGA-Verschwiegenheitspflicht, die dem Datengeheimnis des § 15 DSG 2000 nachgebildet ist, eingeführt.

Abs. 6 setzt sich als lex specialis zu § 17 DSG 2000 mit der Publizität von ELGA auseinander. Der 4. Abschnitt des DSG 2000 setzt Abschnitt IX der Datenschutzrichtlinie (RL 95/46/EG) über die Meldung von Datenverarbeitungen um (Art. 18 – 21 leg. cit.). Das Meldeverfahren dient der Offenlegung (Erwägungsgrund 48 RL 95/46/EG), weshalb die Mitgliedstaaten beispielsweise gemäß Art. 18 Abs. 3 leg. cit. von der Meldepflicht für öffentliche Register absehen dürfen. Auch wenn eine Beeinträchtigung der Rechte und Freiheiten unwahrscheinlich ist (Art. 18 Abs. 2 1. Anstrich RL 95/46/EG), kann die Meldepflicht beschränkt oder gar ganz aufgehoben werden. Diese Ausnahme wurde innerstaatlich beispielsweise für die Standardanwendungen (§ 17 Abs. 2 Z 6 DSG 2000) in Anspruch genommen. Das Erfordernis dass „eine Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen unwahrscheinlich ist“ (Art. 18 Abs. 1 1. Anstrich RL 95/46/EG) steht nicht notwendigerweise der Verwendung sensibler Daten entgegen. Dies belegen zahlreiche Standardanwendungen – wie etwa SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse, SA008 Personenstandsbücher, SA013 Personalverwaltung des Bundes und der bundesnahen Rechtsträger, SA015 Personalverwaltung der Länder, Gemeinden und Gemeindeverbände oder SA024 Patientenverwaltung und Honorarabrechnung – die sensible Daten umfassen.

Die Meldungserleichterung des § 19 Abs. 3 DSG 2000 für Musteranwendungen stützt sich nach den Materialien zum DSG 2000 (RV 1613 d BlgNR 45 XX. GP, 45) darauf, dass sowieso alle Vorgaben des Art. 19 RL 95/46/EG (Inhalt der Meldung) erfüllt werden und daher gar keine Ausnahme zur Meldepflicht besteht. Durch den GDA-Index (§ 18), das Berechtigungssystem (§ 20) und das Protokollierungssystem (§ 21) haben die ELGA-Teilnehmer/innen jederzeit uneingeschränkten Überblick einerseits über die Auftraggeber und andererseits über die zulässigen und tatsächlich durchgeführten Verwendungen. Die dem Art. 19 Abs. 1 lit. a RL 95/46/EG vergleichbaren Informationen über die Auftraggeber (§§ 23 f DSG 2000) können dem GDA-Index (§ 18) entnommen werden. Die Zweckbestimmungen der Verwendungen für die im ELGA enthaltenen ELGA-Gesundheitsdaten (Art. 19 Abs. 1 lit. b RL 95/46/EG) ergeben sich einerseits aus den abstrakten Regelungen dieses Entwurfs und der Grobberechtigung gemäß § 20 Abs. 2 sowie andererseits aus der Feinberechtigung gemäß § 20 Abs. 3. Die Kategorien der Betroffenen, der Empfänger und der zu verwendenden Daten (Art. 19 Abs. 1 lit. c und d RL 95/46/EG) ergeben sich aus den Bestimmungen über die ELGA-Teilnahme (§ 15) sowie den Definitionen der ELGA-GDA gemäß § 2 Z 10 und der ELGA-Gesundheitsdaten gemäß § 2 Z 9. Datenübermittlungen ins Ausland (Art. 19 Abs. 1 lit. e RL 95/46/EG) dürfen nur unter den Voraussetzungen des § 13 Abs. 5 erfolgen, womit die Information des/der Betroffenen garantiert ist, da gemäß § 13 Abs. 5 die Zustimmung des/der Betroffenen erforderlich ist. Zusätzlich sind die tatsächlich erfolgten Verwendungen sind über das Zugangsportal (§ 22) im Protokollierungssystem (§ 21) ersichtlich. Außerdem müssen nach Art. 19 Abs. 1 lit. f die Datensicherheitsmaßnahmen nachvollziehbar sein. Auch diesem Erfordernis wird durch den vorliegenden Entwurf – siehe u. a. die Dokumentationspflicht gemäß § 8 – entsprochen, sodass der bereits für den § 19 Abs. 3 DSG 2000 eingeschlagene Weg auch hier ein gangbarer ist. Darüber hinaus sind sogar die Voraussetzungen des Art. 18 Abs. 2 RL 95/46/EG erfüllt, da alle erforderlichen Kriterien (Zweck, Kategorien der Daten, Betroffenen und Empfänger sowie Dauer der Aufbewahrung) im Entwurf geregelt werden (siehe oben). Die zulässige Aufbewahrungsdauer ist in § 19 Abs. 4 bis 6 geregelt. Angesichts der umfangreichen Datensicherheitsbestimmungen (vgl. insb. 2. Abschnitt), der speziellen Datenverwendungsregeln (vgl. insb. diesen Paragrafen), der im Vordergrund stehenden Rechte der ELGA-Teilnehmer/innen (siehe oben im Allgemeinen Teil der Erläuterungen), der grundsätzlich dezentralen Struktur von ELGA (§ 19 Abs. 4) sowie der wirkungsvollen Verwaltungs- und Strafbestimmungen ist auch eine Beeinträchtigung der Rechte und Freiheiten der betroffenen Personen im Sinne des Art. 18 Abs. 2 RL 95/46/EG unwahrscheinlich.

Zu § 15:

Diese Bestimmung regelt die Teilnahme an ELGA, die grundsätzlich für alle gilt. Voraussetzung dafür ist zum einen die eindeutige Identifizierbarkeit, und zum anderen, dass kein gültiger Widerspruch gemäß Abs. 2 („Opt-out“) vorliegt. Möglich ist sowohl eine generelle Teilnahme an ELGA (es kommt zur Aufnahme aller ELGA-Gesundheitsdaten), als auch eine Teilnahme an bestimmten „Modulen“, wie der eMedikation (es werden nur Medikationsdaten aufgenommen) oder der Aufnahme von ELGA-Gesundheitsdaten ohne Medikationsdaten (§ 15 Abs. 2).

Der erste Satzteil der Z 3 bezieht sich auf die so genannte Zentrale Partnerverwaltung (ZPV) des Hauptverbands der österreichischen Sozialversicherungsträger. Darin sind u. a. alle Versicherten eingetragen, d. h. dass die Teilnahmepflicht grundsätzlich auf alle Versicherten gilt. Zusätzlich (zweiter Satzteil der Z 3) gilt die Teilnahme für alle Personen, die sich in Österreich von einem ELGA-GDA behandeln oder betreuen lassen.. Somit sind auch Personen, die nicht sozialversichert sind, nach ihrem ersten Arztbesuch in ELGA eingebunden, sofern sie keinen Widerspruch einlegen. Das trifft auch auf Tourist/inn/en zu, da Abs. 1 ausdrücklich auf natürliche Personen und nicht auf das Kriterium „Staatsbürgerschaft“ abstellt.

Abs. 2 legt fest, dass der Teilnahme an ELGA jederzeit widersprochen werden kann. Es bedarf dabei einer genauen Prüfung, ob der Widerspruch tatsächlich gültig ist.

Das Mitteilungsverfahren kann sowohl elektronisch – etwa mittels Bürgerkarte – als auch auf herkömmlichem, insbesondere postalischem, Weg abgewickelt werden. Jedenfalls erforderlich ist, dass die eindeutige Identität desjenigen/derjenigen, der/die aus ELGA optieren möchte, gesichert festgestellt werden kann.

Das Opt-out kann – wie oben beschrieben – entweder ein Gesamt-Opt-out (alle ELGA-Gesundheitsdaten) oder ein partielles Opt-out entweder für Medikationsdaten oder andere ELGA-Gesundheitsdaten sein.

Abs. 3 normiert, dass der Bundesminister für Gesundheit mittels Verordnung eine so genannte „Widerspruchstelle“ festzulegen hat. Der Bundesminister muss die Verordnung so rechtzeitig erlassen, dass einer ELGA-Teilnahme jedenfalls vor (faktischer) Inbetriebnahme von ELGA widersprochen werden kann. So soll sichergestellt werden, dass es zu keiner ELGA-Teilnahme kommt, ohne dass bereits eine Möglichkeit zum Widerspruch besteht.

Der generelle Widerspruch kann jederzeit widerrufen werden (Abs. 5). In Zeiten eines gültigen Widerspruchs besteht kein rechtlicher Anspruch auf eine nachträgliche Aufnahme von ELGA-Gesundheitsdaten. Es steht jedoch einem ELGA-GDA und einem/einer ELGA-Teilnehmer/in frei, solche Daten, die in den Zeiträumen des Widerspruchs erstellt wurden, in ELGA aufzunehmen.

In Abs. 1 sind die besonderen Rechte, die den ELGA-Teilnehmer/inne/n aufgrund ihrer Eigenschaft als ELGA-Teilnehmer/innen zustehen, nicht abschließend aufgezählt. Andere Rechte, die sich aus diesem Entwurf oder anderen Bestimmungen ergeben, bleiben unberührt. Ein weiteres Teilnehmer/innen/recht, das in diesem Entwurf enthalten ist, ist das Recht seinen generellen Widerspruch gemäß § 15 Abs. 2 zu erklären.

Das Einsichtsrecht gemäß Z 1 etwa geht den Bestimmungen über das Auskunftsrecht (§ 26 DSG 2000) vor. Dieses steht subsidiär dennoch zu.Die Einsicht kann nicht nur jederzeit und von jedem beliebigen Ort aus erfolgen, sondern auch beliebig oft und immer kostenlos. Im Gegensatz dazu ist das herkömmliche Auskunftsrecht gemäß § 26 DSG 2000 nur bei der ersten Anfrage im Jahr kostenlos (§ 26 Abs. 6 DSG 2000). Die dadurch geschaffene Transparenz führt zu einer wesentlichen Stärkung der Patient/inn/en/rechte. Bisher waren die eigenen, zur weiteren Behandlung oder Betreuung, verwendeten Daten dem Patienten/der Patientin kaum bis gar nicht bekannt – in Zukunft kann jeder/jede ELGA-Teilnehmer/in in diese sooft er/sie will, zu jeder Zeit Einsicht nehmen.

Die Stärkung der Patient/inn/en/rechte kann durch zwei Mechanismen besonders wahrgenommen werden: Einerseits durch die Möglichkeit der Aufnahme von ELGA-Gesundheitsdaten im Einzelfall zu widersprechen (Z 3), andererseits durch die Möglichkeit bereits aufgenommene ELGA-Gesundheitsdaten auszublenden und somit unsichtbar zu machen (Z 4).

Das Widerspruchsrecht gemäß Z 3 ermöglicht dem/der ELGA-Teilnehmer/in, die Aufnahme seiner/ihrer Daten in ELGA ganz oder teilweise zu untersagen („Opt-out im Einzelfall“).Die Ausübung des Widerspruchsrechts im Einzelfall ist nicht in ELGA, sondern in der jeweiligen Krankengeschichte zu dokumentieren (§ 19 Abs. 4).

Das Ausblendungsrecht der Z 4 wird über die im Berechtigungssystem gespeicherte Feinberechtigung (§ 21 Abs. 3), die insbesondere über das Zugangsportal (Internet) erreichbar ist, wahrgenommen. Für ELGA-Gesundheitsdiensteanbieter ist nicht ersichtlich, dass ELGA-Gesundheitsdaten ausgeblendet wurden.

Abs. 2 statuiert ein Diskriminierungsverbot. Damit soll sichergestellt werden, dass es durch die Teilnahme bzw. nicht Nichtteilnahme zu keiner Schlechterstellung kommen darf.Abs. 4 normiert eine von den ELGA-Systempartnern einzurichtende Ombudsstelle, an die sich ELGA-Teilnehmer/innen mit jeglichen Anliegen rund um ELGA wenden können. Zu solchen Angelegenheiten zählen etwa allgemeine Anfragen zu ELGA und den Teilnehmer/innen/rechten, die Äußerung des Verdachts auf Missbrauch bzw. missbräuchliche Verwendung von ELGA-Gesundheitsdaten aber auch Fragen der technischen Handhabung. Die Artikel 29-Datenschutzgruppe hat in ihrem Arbeitspapier „Verarbeitung von Patientendaten in elektronischen Patientenakten“ (EPA) vom 15.2.2007 u. a. festgehalten, dass es effiziente Kontrollmechanismen für die Verarbeitung von EPA-Daten geben muss. Mit Einrichtung einer Ombudsstelle, die kostenlos berät und Empfehlungen aussprechen kann, soll diesem Erfordernis entsprochen werden. Der Ombudsstelle kommt beratende und unterstützende Funktion zu; ihre Organe handeln weisungsfrei. Die Beschreitung des Rechtsweges bleibt von dieser Bestimmung unberührt.

Abs. 5 sieht eine Informationsverpflichtung des ELGA-GDA vor. ELGA-GDA haben ELGA-Teilnehmer/innen in Form eines dauernden Aushanges an gut sichtbarer Stelle in ihren Räumlichkeiten über ELGA, insbesondere über ihre Opt-out-Möglichkeit im Einzelfall, zu informieren. Mindestinhalte dieser Information werden insbesondere zum Zwecke der Einheitlichkeit vom Bundesminister für Gesundheit per Verordnung festgelegt (§ 13 Abs. 6). Die ELGA-GDA haben überdies entsprechend ihrer Informationsverpflichtung gemäß § 24 DSG 2000 die ELGA-Teilnehmer/innen über ihre Teilnehmer/innen/rechte aufzuklären.

Zu § 17:

Der Patientenindex (Abs. 1) gewährleistet eine eindeutige Zuordnung der verteilten ELGA-Gesundheitsdaten zu einer eindeutig identifizierten natürlichen Person. Da die Identifikation im Gesundheitsbereich bisher flächendeckend vorwiegend über die Sozialversicherungsnummer erfolgt und lokal durch eigene Personenkennzeichen der jeweiligen GDA, bedarf es einer Einrichtung, die diese gewachsenen Strukturen in das Identifikationssystem des E-GovG mit bPK und Stammzahl überführt. Diese Aufgabe soll der Patientenindex erfüllen, weshalb beispielsweise auch gemäß Abs. 2 Z 4 lokale Patient/inn/enkennungen zu führen sind.

In Abs. 2 werden die im Patientenindex zu verarbeitenden Daten angeführt. Die Formulierung „Familien- oder Nachname“ in Z 1 lit. b trägt bereits den Neuerungen aufgrund des Eingetragene Partnerschaft-Gesetzes (EPG), BGBl. I Nr. 135/2009, Rechnung. Die in den Ziffern 1 und 2 angeführten Daten werden vor allem zur Errechnung von bPK benötigt. Mit Hilfe dieser Angaben ist es mit an Sicherheit grenzender Wahrscheinlichkeit möglich einen eindeutigen Treffer im ZMR zu erzielen, was Voraussetzung für die Errechnung eines bPK ist.

Hinter der Formulierung der Z 4 lit. a verbirgt sich nichts anderes als die jeweilige Sozialversicherungsnummer. Aus heutiger Sicht ist die Verwendung der Sozialversicherungsnummer im Patientenindex unverzichtbar, da diese de facto derzeit das wichtigste Identifikationsmerkmal im Gesundheitswesen ist. Da ELGA – wie bereits oben erläutert nicht auf österreichische Staatsbürger/innen beschränkt ist, kann es durchaus auch zur Teilnahme ausländischer Staatsbürger/innen kommen. Für diesen Fall soll die jeweilige Sozialversicherungsnummer, wie auch immer diese ausgeprägt und benannt ist, verwendet werden.

Die lokalen Patienten/innenkennungen – angeführt in Z 4 lit. b – sollen im Patientenindex geführt werden, um einerseits die Migration in das Identifikationssystem des E-GovG zu erleichtern und andererseits schon bestehende Aktenverwaltungssysteme besser in ELGA integrieren zu können. Die lit. c und d verlangen zur Sicherung der Identifikation ausländischer ELGA-Teilnehmer/innen zusätzliche Identifikationsmerkmale.

Der Patientenindex wird vorrangig aus anderen E-Government-Registern wie etwa der beim Hauptverband der österreichischen Sozialversicherungsträger geführten Zentralen Partnerverwaltung (ZPV) oder dem von der Stammzahlenregisterbehörde geführten Ergänzungsregister gebildet (Abs. 3). Nur in Ausnahmefällen sollen die Daten von den GDA ermittelt werden.

Zu § 18:

Die ELGA-GDA agieren sowohl als Quelle von Informationen (, als auch als Nutzer von Informationen. Der ELGA-Gesundheitsdiensteanbieterindex (Abs. 1) dient der Identifikation von ELGA-GDA und stellt die erste Stufe der Rechteverwaltung dar. Nur ELGA-GDA die im GDA-Index eingetragen sind, kommen im Rahmen des Berechtigungssystem als potentielle Auftraggeber von ELGA (siehe Erläuterungen zu § 19 Abs. 1 und 2) in Frage. Wie der Patientenindex, so wird auch der GDA-Index aus bestehenden Registern, nämlich dem eHealth-Verzeichnisdienst, befüllt.

Zu § 19:

Abs. 1 verpflichtet die ELGA-GDA zur Speicherung der ELGA-Gesundheitsdaten in geeigneten Datenspeichern. Diese sind ebenso dezentral wie die einzelnen Verweisregister. Diese sind aufgrund der dezentralen Speicherung der ELGA-Gesundheitsdaten notwendig, um deren Speicherort (Adressen) zu kennen, um auf sie zugreifen zu können. Die Verweisregister fungieren gleichsam als Inhaltsverzeichnis für ELGA. Dieser Ansatz der verteilten Datenspeicherung wurde aus Datenschutzgründen, Gründen des Investitionsschutzes sowie der Systemsicherheit gewählt. So wird der Aufwand für die Anpassung bestehender Aktenverwaltungssysteme im Gesundheitsbereich möglichst gering gehalten. Weiters wird klargestellt, dass die ELGA-GDA datenschutzrechtliche Auftraggeber sind.

Dieselben Bestimmungen trifft Abs. 2 nicht für die eigentlichen Daten – die ELGA-Gesundheitsdaten – sondern die Verweise darauf. Auch hier besteht eine Speicherpflicht der elektronischen GDA – auch hier sind sie Auftraggeber im Sinne des § 4 Z 4 DSG 2000. In der Praxis wird die Speicherung der ELGA-Gesundheitsdaten in einen Datenspeicher und die Aufnahme des entsprechenden Verweises in das Dokumentenregisternetz nicht als zwei getrennte Aktionen wahrnehmbar sein.

Abs. 3 unterscheidet zwischen Gesundheitsdaten, die u. U. unteschiedlich schwerwiegende Konsequenzen mit sich bringen können. Daher dürfen Daten, die sich auf eine HIV-Infektion, psychische Erkrankungen oder Schwangerschaftsabbrüche beziehen, nur auf ausdrückliches Verlangen der ELGA-Teilnehmer/innen in ELGA als ELGA-Gesundheitsdaten gespeichert werden.

Gemäß Abs. 4 sind Widersprüche gegen die Speicherung von ELGA-Gesundheitsdaten in der jeweiligen Krankengeschichte zu dokumentieren. Dies entspricht der in Art. 21 der Patientencharta vorgesehenen Vorgangsweise, wonach die notwendige Dokumentation der Behandlung bzw. Betreuung sicherzustellen ist. Außerdem hat ist auch eine gewisse Warnfunktion für den/die ELGA-Teilnehmer/in, sich seines Widerspruchs im Einzelfall bewusst zu werden. Die Dokumentation erfolgt außerhalb der ELGA, da es aufgrund des Widerspruchs zu keiner Befassung der ELGA kommt.

Abs. 5 sieht ein automatisches „Ablaufdatum“ für ELGA-Gesundheitsdaten vor. Damit soll vermieden werden, dass ELGA mit irrelevanten, weil nicht mehr aktuellen, ELGA-Gesundheitsdaten überladen wird. In manchen Fällen kann es jedoch auch medizinisch sinnvoll sein, auf ältere ELGA-Gesundheitsdaten zugreifen zu können. Für diese Fälle können ELGA-Teilnehmer/innen und ELGA-GDA eine abweichende Frist (Abs. 6) vereinbaren, die sich beispielsweise auch auf die gesamte Lebenszeit erstrecken kann. Diese Ausnahme ist insbesondere für chronisch kranke Menschen von Bedeutung.

In Anlehnung an die kurze Verjährungsfrist von drei Jahren für Schadenersatzforderungen (§ 1489 ABGB), wird auch die grundsätzliche Speicherdauer im Normalfall mit drei Jahren festgelegt. Das ist auch der Grund für die dreijährige Frist post mortem gemäß Abs. 6 Z 2 bei Patientenverfügungen und Vorsorgevollmachten. Abweichungen davon sind für Laborbefunde (Abs. 6 Z 1) und Medikationsdaten (Abs. 7 Z 2) vorgesehen, da diese Daten medizinisch nur relevant sind, wenn sie aktuell sind.

Abs. 7 sieht grundsätzliche Abweichungen für Medikationsdaten vor. Diese sind erstens zentral zu speichern und zweitens schon nach sechs Monaten zu löschen. Die eMedikation wird die erste Nutzanwendung von ELGA sein. Mit steigender Anzahl an Arzneimitteln steigt auch die Wahrscheinlichkeit unerwünschter Wechselwirkungen bzw. Fehlmedikationen. Durch nicht vernetzt vorliegende Arzneimittelinformation kommt es zudem häufig auch zu Mehrfachverordnungen. Im Zentrum der Überlegungen von eMedikation steht die Erhöhung der Patient/inn/en/sicherheit sowie die Patient/inn/en-Compliance, durch Vermeidung unerwünschter Wechselwirkungen. Die technische Umsetzung soll als Pilotbetrieb in drei Regionen Österreichs, nämlich in Wien (Donaustadt SMZ Ost), OÖ (Wels-Grieskirchen) sowie Tirol (Reutte/Zams), mit Frühjahr 2011 beginnen. Dieser Pilotbetrieb soll bis Ende 2011 laufen und begleitend evaluiert werden.

Als weitere Maßnahme zur Stärkung der Patient/inn/en/rechte sieht Abs. 8 die Möglichkeit eine abweichende Löschfrist zu vereinbaren vor. Eine vereinbarte Frist geht abweichenden Fristen gemäß Abs. 5 und 6 vor.

Die in Abs. 9 geregelten Verweise sind das Herzstück der ELGA: Sie dienen dem Auffinden der dezentral gespeicherten ELGA-Gesundheitsdaten. Dazu ist es notwendig, dass sie Daten über den/die Betroffene/n, mit anderen Worten den/die ELGA-Teilnehmer/in (Z 1), den Auftraggeber/ELGA-GDA (Z 2) und die ELGA-Gesundheitsdaten (Z 3) enthalten. Während die in den Ziffern 1 und 2 genannten vor allem der Zugriffskontrolle dienen, d. h. dass nur die Daten des/der einen ELGA-Teilnehmers/in, der/die von dem einen ELGA-GDA behandelt wurde, gefunden werden, sind die in Z 3 angeführten Daten (Metadaten) notwendig, um die Suche in den ELGA-Gesundheitsdaten selbst zu steuern. Die eindeutige Kennung der ELGA-Gesundheitsdaten (lit. b) sollte eine fortlaufende Nummer sein, um bei der Protokollierung (§ 21) eindeutig und dennoch mit geringem Speicherverbrauch die verwendeten Daten identifizieren zu können. Der Hinweis auf allenfalls frühere ELGA-Gesundheitsdaten (lit. d) soll eine Versionierung von ELGA-Gesundheitsdaten erlauben, indem beispielsweise auf die eindeutige Kennung (lit. b) der vorigen Version verwiesen wird. Unter „medizinischer Bezeichnung der ELGA-Gesundheitsdaten“ (lit. e) sind insbesondere die Art der ELGA-Gesundheitsdaten (Entlassungsbrief, Laborbefund, etc.) und die jeweilige medizinische Fachrichtung zu verstehen. D. h. der Verweis hat keinen medizinischen Inhalt, sondern enthält nur die Bezeichnung („Beschlagwortung“) der ELGA-Gesundheitsdaten in für Menschen lesbarer oder codierter Form, z.B. „Entlassungsbrief der chirurgischen Abteilung“.

Zu § 20:

Das Berechtigungssystem ist die zentrale ELGA-Komponente zur Wahrung des Teilnehmer/innen/willens. Dies geschieht gemäß Abs. 1 auf zwei Ebenen:

1. auf einer generellen Ebene (Abs. 2), die durch Verordnung des Bundesministers geregelt wird („Grobberechtigung“) und

2. auf einer individuellen Ebene (Abs. 3), die vom/von der ELGA-Teilnehmer/in selbst zu gestalten ist („Feinberechtigung“).

Durch diesen Ansatz sollen sowohl Interessen an einem reibungslosen Betrieb von ELGA als auch Persönlichkeitsrechte von Betroffenen optimal miteinander in Einklang gebracht werden.

Die generellen Zugriffsberechtigungen des Abs. 2 sollen eine ausgewogene Balance zwischen Praktikabilität und Datenschutz gewährleisten. Sie beschreiben abstrakt, welche Rollen von ELGA-GDA welche Arten von Gesundheitsdaten lesen, schreiben oder beides dürfen. Der Bundesminister für Gesundheit hat die generellen Zugriffsberechtigungen, die man auch als generelle Zugriffsregeln bezeichnen kann, mittels Verordnung festzulegen. Dadurch soll es einerseits möglich sein auf sich ändernde Umstände schnell reagieren zu können, andererseits sollen die generellen Zugriffsregeln als Standard, die ELGA-Teilnehmer/innen davon entlasten unbedingt eigene, individuelle Zugriffsberechtigungen anlegen zu müssen. Die Bezeichnung „Grobberechtigung“ ergibt sich daraus, dass die Zugriffsregeln aus einer allgemeinen Sicht im Verordnungsweg festgelegt werden. In der Verordnung ist anzugeben, welche Rolle von ELGA-GDA (z.B. Ärzte/innen) auf welche Kategorien von Daten (z.B. Entlassungsbrief, Laborbefund, ...) wie (lesend oder schreibend) zugreifen dürfen. Apotheker/innen z.B. werden nur auf Medikationsdaten zugreifen dürfen.

Die individuellen Zugriffsberechtigungen (Zugriffsregeln) des Abs. 3 werden ausschließlich von den ELGA-Teilnehmer/inne/n definiert und gehen den generellen Zugriffsregeln des Abs. 2 vor. Sie sind von den ELGA-Teilnehmer/innen festgelegte Regeln, wer auf welche Daten zugreifen darf. Individuelle Zugriffsregeln können genauso abstrakt wie die generellen Zugriffsregeln sein (arg: „dürfen auch auf einzelne [...] abstellen“). Sie unterscheiden sich also nicht zwangsläufig im Abstraktionsgrad von generellen Zugriffsberechtigungen. Der große Unterschied liegt viel mehr in ihrem Zweck und in ihrem Ursprung. Während die generellen Zugriffsregeln vor allem an der Funktionsfähigkeit der ELGA orientiert sind und vom Bundesminister für Gesundheit als Verordnungsgeber stammen, dienen die individuellen Zugriffsregeln einzig der Selbstbestimmung der ELGA-Teilnehmer/innen und werden auch nur von ihnen erstellt. Im Rahmen der Feinberechtigung können einzelne ELGA-Gesundheitsdaten aus- und wieder eingeblendet werden, wobei der Umstand der Ausblendung nicht ersichtlich sein darf sowie einzelne oder alle ELGA-GDA für einen bestimmten Zeitraum oder auf unbestimmte Zeit vom Zugriff auf bestimmte oder alle ELGA-Gesundheitsdaten ausgeschlossen werden dürfen.

Für die individuellen Zugriffsregeln tragen somit die ELGA-Teilnehmer/innen alleine die inhaltliche Verantwortung, insbesondere, dass sie ihren Vorstellungen entsprechen. Die ELGA-Teilnehmer/innen sind somit nach der Judikatur der Datenschutzkommission (vgl. DSK 14.11.2003, K120.819/006-DSK/2003) Auftraggeber (§ 4 Z 4 DSG 2000) dieser Zugriffsregeln.

Zu § 21:

Zur Nachvollziehbarkeit der Verwendung der ELGA-Gesundheitsdaten für die Betroffenen sowie der Aufrechterhaltung der technischen Funktionsfähigkeit und der Evaluierung des laufenden Betriebs ist die lückenlose Protokollierung von ELGA erforderlich. Die Anlässe, die die Protokollierung auslösen, können ganz unterschiedlich sein, wie etwa:

- die Suche nach ELGA-Teilnehmer/inne/n im Patientenindex,

- das Anlegen oder Einbringen von (neuen) Patient/inn/endaten,

- das Zusammenführen („Merge-Link“) oder Trennen von Datensätzen („Un-Link“),

- das Einbringen, Ändern oder Stornieren von Dokumenten,

- das Suchen und Abfragen von Dokumenten,

- das Definieren oder Ändern von Berechtigungen durch den/die ELGA-Teilnehmer/in oder

- das Abrufen von aggregierten Protokolldateien.

Abs. 2 zählt die zu protokollierenden Datenarten abschließend auf. Weitere Datenarten können sich aber aus bundesgesetzlichen Bestimmungen, wie insbesondere dem § 14 DSG 2000, ergeben.

Die Datenart „Art des Verwendungsvorgangs“ (Z 2) beschreibt, wie die ELGA-Gesundheitsdaten verwendet wurden, beispielsweise ob danach gesucht wurde, auf sie zugegriffen wurde oder sie geändert oder erstellt wurden.

Da außer den ELGA-Teilnehmer/inne/n selbst nur auf ELGA zugreifen darf, wer im GDA-Index eingetragen ist, ist sichergestellt, dass für alle ELGA-Dienstleister ein bPK ableitbar ist. Dieses bPK ist gemäß Z 3 zu protokollieren. Ebenfalls zu protokollieren ist der Name der Person, die tatsächlich zugreift (Z 4). Damit soll auch in jenen Fällen, in denen etwa die Ordinationshilfe und nicht der Arzt/die Ärztin selbst beispielsweise zum Ausdrucken des Rezepts zugreift, die Nachvollziehbarkeit des Zugriffs gewährleistet sein, auch wenn Mitarbeiter/innen der GDA nicht im GDA-Index eingetragen sind.

Die Abfragekriterien und -ergebnisse (Z 6) sind insbesondere in Zusammenhang mit Schadenersatzansprüchen interessant. Daher sollen die Abfragekriterien, sowie die eindeutigen Kennungen der daraufhin angezeigten ELGA-Gesundheitsdaten, auch protokolliert werden.

Abs. 3 enthält eine zehnjährige Aufbewahrungsfrist der Protokolldaten gemäß Abs. 2 nach Löschung der elektronischen Verweise. Im Zivilrecht sind für Schadenersatzansprüche zwei Fristen relevant: eine kurze Verjährungsfrist (drei Jahre ab Kenntnis von Schaden und Schädiger/in) und eine lange Verjährungsfrist; diese beträgt 30 Jahre, wenn Schaden und Schädiger/in nicht bekannt werden oder der Schaden aus einer oder mehreren Straftaten stammt, die nur vorsätzlich begangen werden können und mit mehr als einjährigen Freiheitsstrafe bedroht sind (vgl. § 1489 ABGB). Fehler in der Aufklärung werden der häufigste Anwendungsfall für Schadenersatzansprüche gegen ELGA-GDA sein. Diese werden wohl als sog. Fahrlässigkeitsdelikte qualifiziert werden. Vorsätzliches Verschweigen ist natürlich denkbar, wird aber die Ausnahme und nicht die Regel darstellen. Da ELGA zusätzlich zu den bisherigen Dokumentationen tritt, kann nicht von einer Verschlechterung der Patient/inn/enpositionen ausgegangen werden.

Abs. 4 normiert die Rechte der ELGA-Teilnehmer/innen auf die Protokolldaten, die sich auf ihre ELGA-Gesundheitsdaten beziehen. Das Recht, jederzeit Einblick auf die Protokollierungsdaten zu nehmen und diese auch zu kopieren, kann vom/von der jeweiligen ELGA-Teilnehmer/in in Missbrauchsbeschwerdefällen auf die Ombudsstelle übertragen werden. Dann kann dieses Recht im Namen und gleichsam im Auftrag des ELGA-Teilnehmers/der ELGA-Teilnehmerin durch die Organe der Ombudsstelle wahrgenommen werden.

Zu § 22:

Anfang 2010 wurde im Internet ein öffentliches Gesundheitsportal (https://www.gesundheit.gv.at) eingerichtet. Mit Errichtung dieses Portals (Abs. 1) wird u. a. einer Forderung des aktuellen Regierungsprogrammes entsprochen. In den Kapiteln „Gesundheit“ (Regierungsprogramm 2008 – 2012, 195) und „Leistungsfähiger Staat“ (Regierungsprogramm2008 – 2012, 262) ist vorgesehen, dass das öffentliche Gesundheitsportal bis Ende 2009 umgesetzt werden soll und zwischen den verschiedenen Portalen ‑ wie etwa help.gv.at, Unternehmensprotal aber auch Gesundheitsportal ‑ eine besondere technische Abstimmung zu erfolgen hat, um Synergien bestmöglich zu nutzen. Seitens des Bundesministeriums für Gesundheit wurde in enger Zusammenarbeit mit der Sozialversicherung, der Agentur für Gesundheit und Ernährungssicherheit (AGES), den Ärzte- und Zahnärztekammern, der Apothekerkammer, den Patientenanwaltschaften sowie Vertreter/inne/n von Selbsthilfegruppen das Projekt „Gesundheitsportal“ ins Leben gerufen. Neben der wichtigsten Komponente, der qualitätsgesicherten und unabhängigen Information, wird bei diesem neuen Portal besonders Wert auf Benutzerfreundlichkeit, Barrierefreiheit sowie Verständlichkeit gelegt.

Außerdem soll das Gesundheitsportal zukünftig den ELGA-Teilnehmer/innen Zugang zu ihren persönlichen Gesundheitsdaten verschaffen (Abs. 2). Ziel ist es, dass die ELGA-Teilnehmer/innen nicht nur ihren generellen Widerspruch gemäß § 15 Abs. 2 des Entwurfs über das Zugangsportal erklären können, sondern auch, dass sie in ihre ELGA-Gesundheitsdaten (§ 16 Abs. 1 Z 1 lit. a) und ihre Protokollierungsdaten (§ 16 Abs. 1 Z 1 lit. b) Einsicht nehmen können. Auch soll das Berechtigungssystem (§ 16 Abs. 1 Z 4) so auf bequeme und sichere Art und Weise von jedem beliebigen Ort aus, verwaltet werden können. Darüberhinaus kann das Gesundheitsportal weitere gesundheitsbezogene elektronische Dienste – wie etwa künftige ELGA-Anwendungen – sowie die Zugangsfunktionalitäten zu solchen Diensten anbieten bzw. um diese erweitert werden. Damit soll die für ELGA geschaffene Infrastruktur zur eindeutigen Identifikation von Patient/inn/en auch für Nachfolgeprojekte nutzbar gemacht werden und ineffziente und kostspielige Parallelentwicklungen hintangehalten werden.

Zu § 23:

Hintergrund dieser Bestimmung ist das Ziel eines verbesserten Zusammenwirkens der ELGA-Systempartner, wie es grundsätzlich schon in der Art 15a-Vereinbarung über die Organisation und Finanzierung des Gesundheitswesens, BGBl. I Nr. 105/2008, zu finden ist. Der Entfall wechselseitiger Ansprüche soll helfen, langwierige Abstimmungsprozesse über die Kostenaufteilung zu verhindern und den Einsatz der Systempartner auf die Entwicklung von ELGA zu konzentrieren.

Zu § 24:

Die Verwaltungsstraftatbestände des Abs. 1 sind Unterlassungsdelikte und deswegen auch ‑ vgl. § 8 des Verwaltungsstrafgesetzes 1991, BGBl. Nr. 52 ‑ von der Versuchsstrafbarkeit gemäß Abs. 4 ausgenommen.

Die Tatbestände der Abs. 2 und 3 sollen das missbräuchliche Verlangen ungeachtet der Person (Abs. 2) sowie die missbräuchliche Verwendung (Abs. 3) von ELGA-Gesundheitsdaten durch ELGA-GDA bzw. durch Personen, die die ELGA-GDA bei der Ausübung ihrer Tätigkeit unterstützen, sanktionieren. Es ist im Falle eines Missbrauchs von ELGA-Gesundheitsdaten ‑ je nach subjektivem Unrechtsgehalt ‑ ein „drei-Stufen-Modell“ zu unterscheiden:

1. Verlangt jemand missbräuchlich ELGA-Gesundheitsdaten (Abs. 2) oder verwendet ein ELGA-GDA oder Personen, die die ELGA-GDA bei der Ausübung ihrer Tätigkeit unterstützen, diese ELGA-Gesundheitsdaten missbräuchlich (Abs. 3), so finden die Verwaltungsstrafbestimmungen der Abs. 2 und 3 Anwendung. Gemäß dem im Verwaltungsstrafrecht herrschenden Kumulationsprinzip kann jeder einzelne Zugriff bestraft werden. Die maximale Strafdrohung beträgt hier zwischen 15 000 Euro (Abs. 2) und 20 000 Euro (Abs. 3).

2. Offenbart oder verwertet ein GDA ELGA-Gesundheitsdaten im Sinne des § 121 des Strafgesetzbuches (StGB), BGBl. Nr. 60/1974, kommt die ordentliche Gerichtsbarkeit zum Tragen. § 121 StGB normiert die Verletzung von Berufsgeheimnissen. Per definitionam sind vom Tatbestand des § 121 Abs. 1 StGB GDA erfasst, wenn sie missbräuchlich Daten verwerten bzw. weitergeben; Abs. 2 qualifiziert diesen mit Strafe bedrohten Tatbestand als Offizialdelikt. Gemäß dem im Strafrecht geltenden Absorptionsprinzip ist der/die Schädiger/in für sein/ihr gesamtes Vergehen einmal zu bestrafen. Die Strafdrohung liegt hier bei höchstens einem Jahr Freiheitsstrafe oder 360 Tagessätzen Geldstrafe.

3. Liegt Gewinn- oder Schädigungsabsicht vor, so findet § 51 DSG 2000 Anwendung; diese Bestimmung verdrängt aufgrund der zusätzlichen Qualifikation „Gewinn- oder Schädigungsabsicht“ den § 121 StGB. Hier wird als zusätzliches Tatbestandsmerkmal vorsätzliche Bereicherungs- oder Schädigungsabsicht verlangt. Die Strafdrohung liegt bei höchstens einem Jahr Freiheitsstrafe, Geldstrafe ist keine vorgesehen.

Zu § 26 und 27:

Aufgrund der Erfahrungen mit dem bisherigen GTelG ist klar, dass die ‑ auch im GTelG 2011 ‑ enthaltenen Anforderungen an die Datensicherheit nicht sofort umgesetzt werden können. Es bedarf daher praktikabler Übergangsbestimmungen, wie sie durch die §§ 26 und 27 normiert werden. Mit dem Betrieb von ELGA sind, insbesondere für ELGA-GDA, die technischen Möglichkeiten zur Verwendung von Gesundheitsdaten entsprechend dem 2. Abschnitt dieses Entwurfes gegeben.

Zu Art. 2 bis 5 (§ 81 Abs. 1 ASVG, § 43 Abs. 1 GSVG, § 41 Abs. 1 BSVG, § 27 Abs. 1 B-KUVG):

Im Bereich des Sozialversicherungsrechts wird eine Erweiterung des Inhalts der jährlichen Leistungsinformation („LIVE“) normiert, die die ELGA-Teilnehmer/innen auf die ihnen nach dem GTelG 2011 zustehenden Rechte, aufmerksam machen soll.

Zu Art. 7 Z 1, 2 und 3 (§ 15 Abs. 4 und § 84 Abs. 2 und 4 GuKG):

Da die Art und Weise der Datenübermittlung ‑ insbesondere die Datensicherheitsmaßnahmen ‑ im Gesundheitsbereich im Gesundheitstelematikgesetz 2011 geregelt sind, besteht kein Bedarf an abweichenden Regelungen. Diese können daher entfallen, womit klargestellt wird, dass für alle Datenübermittlungen im Gesundheitsbereich die Bestimmungen des GTelG 2011 anzuwenden sind.

Zu Art. 9 Z 1 (§ 29 MMHmG):

Es darf auf die Erläuterungen zu Art. 7 Z 1, 2 und 3 verwiesen werden.

Zu Art. 10 Z 1 (§§ 118b, 118c StGB):

Schutzzweck der neuen Straftatbestände ist einerseits die Privatsphäre des/der ELGA-Teilnehmers/in, andererseits dessen/deren Handlungsfreiheit in Bezug auf seine/ihre Gesundheitsdaten („informationelles Selbstbestimmungsrecht“ gemäß § 1 DSG 2000). Der Wortlaut stellt allerdings bewusst nicht bloß auf den/die ELGA-Teilnehmer/in – also den/die Betroffene/n (§ 4 Z 3 DSG 2000) selbst – ab, sondern schützt auch ELGA-GDA, die unter Druck gesetzt werden, Gesundheitsdaten aus ELGA zu übermitteln.

Durch den in § 118b Abs. 1 vorgeschlagenen Straftatbestand soll nicht jedes Verlangen nach ELGA-Gesundheitsdaten pönalisiert werden, sondern nur qualifiziertes Verlangen, mit dem zwar eine Drohung, allerdings nicht so schwerwiegend wie in den §§ 105 bis 107 erforderlich, verbunden wird. Die im Falle der Nötigung (§ 105), Schweren Nötigung (§ 106) und Gefährlichen Drohung (§ 107) tatbestandmäßigen Handlungen werden für das Ausüben von Druck im Zusammenhang mit der Übermittlung von ELGA-Gesundheitsdaten als zu schwerwiegend angesehen, da erst bei einer gefährlichen Drohung oder der Anwendung von Gewalt die Tatbestände erfüllt sind. Oft wird die Herausgabe von Daten, aber durch viel subtilere, nicht minder ernsthafte, Nachteile abgenötigt. Der neue Straftatbestand soll auch diese minderschweren Drohungen im Falle der Übermittlung von ELGA-Gesundheitsdaten sanktionieren.

Wenn Daten gemäß § 14 GTelG verwendet werden, sollen diese minderschweren Drohungen, so sie nicht die Qualität etwa der Nötigung erreichen, nicht strafbar sein, da dann überwiegende berechtigte Interessen an der Verwendung der ELGA-Gesundheitsdaten bestehen. § 118b schützt also nur vor Beeinträchtigungen der Handlungsfreiheit außerhalb von ELGA, beispielsweise gegenüber dem potentiellen Arbeitgeber, der unter Androhung der Jobabsage Zugriff auf in ELGA gespeicherte Gesundheitsdaten verlangt.

§ 118c Abs. 1 pönalisiert die missbräuchliche Verwendung von ELGA-Gesundheitsdaten gemäß § 2 Z 9 lit. a GTelG 2011. Wie auch § 118b, so bezieht sich auch diese Bestimmung nicht auf Patientenverfügungen (§ 2 Z 9 lit. b GTelG 2011) oder Vorsorgevollmachten (§ 2 Z 9 lit. c GTelG 2011). Da die Definition der ELGA-Gesundheitsdaten, ihre Verwendung in ELGA voraussetzt, gelten sowohl § 118b als auch § 118c nur für unmittelbare Missbräuche von ELGA. Personen, die Gesundheitsdaten (§ 2 Z 1 GTelG 2011) verwenden, die mangels Speicherung in der ELGA keine ELGA-Gesundheitsdaten sind, können nicht nach den §§ 118b und 118c belangt werden. § 118c gilt nur für die in § 2 Z 10 GTelG 2011 oder gemäß § 2 Abs. 2 GTelG 2011 festgelegten ELGA-GDA sowie für Personen, die die ELGA-GDA bei der Ausübung ihrer Tätigkeit unterstützen. Unter „missbräuchlicher Verwendung“ ist insbesondere die Verwendung entgegen gesetzlicher Bestimmungen, wie etwa der ärztlichen Verschwiegenheitspflicht (§ 54 ÄrzteG, BGBl. I Nr. 169/1998) oder der in diesem Entwurf enthaltenen Verschwiegenheitspflicht (Art. 1 § 14 Abs. 5) anzusehen. Grundsätzlich ist von einer Unzulässigkeit der Verwendung auszugehen (§ 54 Abs. 1 ÄrzteG), allerdings gibt es etliche Bestimmungen, wie etwa die §§ 9, 48a, 50a ff DSG 2000, Art. 1 3. Abschnitt dieses Entwurfs oder § 54 Abs. 2 ff ÄrzteG, die die Verwendung von Gesundheitsdaten legitimieren und daher einem Missbrauch im Sinne des § 118c entgegenstehen.