2056 der Beilagen XXVII. GP - Ausschussbericht NR

2056 der Beilagen zu den Stenographischen Protokollen des Nationalrates XXVII. GP

Bericht

des Gesundheitsausschusses

über die Regierungsvorlage (2049 der Beilagen): Bundesgesetz, mit dem das Bundesgesetz, mit dem nähere Regelungen zu einem Elektronischen Eltern-Kind-Pass getroffen werden (eEltern-Kind-Pass-Gesetz – EKPG) erlassen wird sowie das Gesundheitstelematikgesetz 2012, das Allgemeine Sozialversicherungsgesetz, das Kinderbetreuungsgeldgesetz und das Familienlastenausgleichsgesetz 1967 geändert werden (Eltern-Kind-Pass-Gesetz)

I. Allgemeiner Teil

Der Mutter-Kind-Pass wurde in Österreich im Jahr 1974 unter Gesundheitsministerin Dr. Ingrid Leodolter eingeführt. Die perinatale Mortalität sowie die Säuglingssterblichkeit lagen zu diesem Zeitpunkt in Österreich deutlich über jener in anderen westeuropäischen Ländern wie den skandinavischen Staaten, Großbritannien, den Niederlanden oder Deutschland, die bereits Programme zur Betreuung von schwangeren Frauen eingeführt hatten. Vor diesem Hintergrund wurde der Mutter-Kind-Pass als strukturiertes Untersuchungsprogramm unter Beteiligung einer Reihe von Fachdisziplinen wie der Gynäkologie und Pädiatrie konzipiert. Zielsetzung des Mutter-Kind-Passes war die Verbesserung der Versorgung von Schwangeren, Neugeborenen bzw. Kindern und die Reduktion der perinatalen Mortalität sowie der Säuglingssterblichkeit. Auch stellte der Mutter-Kind-Pass als neues Instrument der Kommunikation den Informationsaustausch zwischen dem intra- und extramuralen Bereich sicher.

Der Mutter-Kind-Pass war zu diesem Zeitpunkt nur eine von einer Reihe von Neuerungen, die unter dem Schwerpunkt „Perinatologie und Neonatologie“ gesetzt wurden: hervorzuheben ist hier die Einrichtung der Abteilungen für Gynäkologie und Geburtshilfe an einer Reihe von Krankenhäusern, in denen die Entbindungen zuvor in chirurgischen Abteilungen stattgefunden hatten. Insgesamt konnten mit den Neuerungen unmittelbare Erfolge erzielt werden: Die perinatale Mortalität und die Säuglingssterblichkeit konnten innerhalb von fünf Jahren um 40 Prozent reduziert werden, aber auch zerebrale Schäden konnten in beträchtlichem Umfang bei Kindern vermieden werden.

Anfänglich sah der Mutter-Kind-Pass vier Untersuchungen der Schwangeren vor. Ein Jahr später kamen vier Untersuchungen des Kindes dazu. Bereits damals wurde ein Anreiz zur Inanspruchnahme der Untersuchungen – die Geburtenbeihilfe – ausbezahlt und nahezu 100 Prozent der Schwangeren konnten so erreicht werden. Um die Untersuchungsdaten einer Nutzung zugänglich zu machen, sollten die Durchschläge der Dokumentation im Mutter-Kind-Pass an das Gesundheitsressort übermittelt werden. Nachdem das jedoch nur für weniger als zehn Prozent der Untersuchungen erfolgte, wurde von der Idee einer strukturierten Auswertung der Daten dieser Untersuchungen wieder abgegangen.

Seit seiner Einführung wurde der Mutter-Kind-Pass mehrmals bezüglich der Untersuchungsinhalte, aber auch der Termine für bestimmte Untersuchungen angepasst. Mit Blick auf die Anzahl der Untersuchungen des Kindes war im Jahr 1974 nur eine Untersuchung des Neugeborenen in der ersten Lebenswoche vorgesehen, 1975 wurde das Programm um vier Kindesuntersuchungen bis zum 14. Lebensmonat ergänzt. 1982 wurde eine weitere Untersuchung des Kindes zwischen dem 22. und 36. Lebensmonat vorgesehen. 1987 wurden die Untersuchungen des Kindes nach dem 14. Lebensmonat neu festgelegt und je eine Untersuchung zwischen dem 22.-26. Lebensmonat (rund um den 2. Geburtstag), dem 34.-38. Lebensmonat (rund um den 3. Geburtstag), und 46.-50. Lebensmonat (rund um den 4. Geburtstag) vorgesehen. Zusätzlich wurden eine orthopädische Untersuchung, eine HNO-Untersuchung, und augenfachärztliche Untersuchungen ergänzt. Darüber hinaus wurde eine 5. Schwangerenuntersuchung und zwei Ultraschalluntersuchungen der Schwangeren eingeführt. 2002 folgten zwei Hüftultraschalluntersuchungen des Kindes. Ebenso 2002 wurde die vorerst letzte Änderung der Untersuchungsanzahl des Kindes vorgenommen und eine Untersuchung im fünften Lebensjahr (58.-62. Lebensmonat, um den 5. Geburtstag) vorgesehen. 2010 folgte eine 3. Ultraschalluntersuchung der Schwangeren.

Anspruch auf diese Untersuchungen hat jede Schwangere mit Wohnsitz in Österreich, unabhängig vom Krankenversicherungsstatus. Der Mutter-Kind-Pass wird nach Feststellung der Schwangerschaft durch die behandelnde Ärztin bzw. den behandelnden Arzt ausgegeben. Um Kinderbetreuungsgeld, eine Familienleistung des Bundes nach Geburt eines Kindes in voller Höhe zu erhalten, sind derzeit nach dem Kinderbetreuungsgeldgesetz (KBGG) die Durchführung sowie der Nachweis von fünf Untersuchungen in der Schwangerschaft sowie den ersten fünf Untersuchungen des Kindes bis zur Vollendung des 14. Lebensmonates des Kindes erforderlich.

Zur Abwicklung des Kinderbetreuungsgeldes durch die Krankenversicherungsträger wird von der ÖGK in ihrer Funktion als „Kompetenzzentrum KBG“ die KBG.-Datenbank betrieben. Derzeit erfolgt der Nachweis der durchgeführten Untersuchungen durch Vorlage der Eltern der relevanten Seiten aus dem gelben Mutter.-Kind- Pass-Heft, da die das KBG administrierenden Krankenversicherungsträger keinen Zugang zu allenfalls vorhandenen elektronischen Gesundheitsdaten haben und aus datenschutzrechtlichen Gründen derzeit auch nicht haben könnten, weil die Einsicht nicht auf die für den Vollzug des KBGG absolut erforderlichen Daten eingeschränkt wäre.

Seit dem Jahr 2013 besteht die Möglichkeit, eine kostenlose Hebammenberatung zwischen der 18. und 22. Schwangerschaftswoche in Anspruch zu nehmen. Die Hebammenberatung soll einen Kontakt zwischen Schwangeren und Hebammen herstellen und im Zuge derer eine aufklärende und beratende Funktion erfüllen. Im Rahmen des Hebammengesprächs werden Thematiken wie die Art der Entbindung, Ernährung und Bewegung in der Schwangerschaft behandelt, als auch Informationen über gesundheitsfördernde und präventive Maßnahmen weitergegeben.

Im Einvernehmen mit dem Bundeskanzleramt (BKA) hat das Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz (BMSGPK) ein Mutter-Kind-Pass Untersuchungsprogramm zu erstellen und den Mutter-Kind-Pass (in Papierform) aufzulegen. Die Kosten werden zu zwei Drittel vom Familienlastenausgleichslastenfonds (FLAF) und zu einem Drittel von den Krankenversicherungsträgern getragen. Regelungen zur Durchführung und Honorierung der Untersuchungen sind in einem, zwischen dem Dachverband der Sozialversicherungsträger und der Österreichischen Ärztekammer geschlossenen, Gesamtvertrag vereinbart. Bei Nichtversicherten werden die Untersuchungskosten zur Gänze vom FLAF getragen. Vertragspartner der Krankenversicherungsträger (Vertragsärzte) oder andere Gesundheitsdiensteanbieter (z. B. Wahlärzte und -ärztinnen) nehmen die Untersuchungen vor.

Weiters wird derzeit eine einstündige Hebammenberatung angeboten. Die Kosten werden zu zwei Drittel vom Familienlastenausgleichslastenfonds (FLAF) und zu einem Drittel von den Krankenversicherungsträgern getragen.

In seinem Bericht „System der Gesundheitsvorsorge“ (Bund 2014/14) und dem zugehörigen Follow-Up Bericht (Bund 2016/19) hielt der Rechnungshof fest, dass der Beitrag des Mutter-Kind-Passes zur Senkung der perinatalen Sterblichkeit und Säuglingssterblichen unbekannt blieb, weil keine Evaluierung der Untersuchungen im Hinblick auf den Gesundheitsnutzen erfolgte. Dahingegen erachtete der Rechnungshof eine Evaluation des Mutter-Kind-Passes als erforderlich.

Aufbauend auf den Empfehlungen des Rechnungshofes initiierte das Gesundheitsressort, nachdem das Ludwig-Boltzmann-Institut für Health Technology Assessment (LBI HTA) den Mutter-Kind-Pass und seine Einzelmaßnahmen umfassend evaluiert hatte und die Assessment Berichte vorlagen, im Jahr 2014 eine interdisziplinäre, multiprofessionelle Facharbeitsgruppe zur Weiterentwicklung des Mutter-Kind-Passes (FAG). Zwischen Oktober 2014 und Mai 2018 wurden von dieser Facharbeitsgruppe basierend auf einer Reihe von Assessments des LBI HTA Empfehlungen für bzw. gegen die Aufnahme von Screeninguntersuchungen auf bestimmte Krankheiten und Risikofaktoren in den Mutter-Kind-Pass formuliert.

Dahingehend war auch die Weiterentwicklung des Mutter-Kind-Passes mit Fokus auf die Evaluation und Programmoptimierung sowie Attraktivierung und Ausweitung als Instrument der Frühförderung von Kindern im Arbeitsprogramm der österreichischen Bundesregierung 2017–2022 verankert.

Auch das aktuelle Regierungsprogramm 2020-2024 hält unter dem Punkt Gesundheit die „Weiterentwicklung Mutter-Kind-Pass zum Eltern-Kind-Pass bis zum 18. Lebensjahr“, mit den Unterpunkten „Aufnahme von standardisierten und qualitätsgesicherten Screenings zur psychischen Gesundheit, zu Ernährung und sozialer Kompetenz“, „Schaffung von Therapieoptionen“ sowie „Bessere Informationen und Beratungen über Impfungen“ fest.

Auf Basis des Untersuchungsprogramms des bestehenden Mutter-Kind-Passes und den bereits erarbeiteten Empfehlungen der FAG wurde ein gemeinsamer Ministerratsvortrag der Bundesministerin für Frauen, Familie, Integration und Medien und des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz betreffend elektronischer Eltern-Kind-Pass mit erweitertem Leistungsportfolio und Weiterentwicklung bis zum 18. Lebensjahr am 16. November 2022 im Ministerrat beschlossen.

Mit der inhaltlichen Reform des Passes soll auch der Name in Eltern-Kind-Pass geändert werden. Damit soll die gesellschaftliche Realität abgebildet werden, in der Väter mittlerweile ebenso als Bezugspersonen eine wichtige Rolle spielen. Sie sollen die Möglichkeit erhalten, sich aktiv in die Gesundheitsförderung und Prävention ihrer Kinder einzubringen und Mütter dadurch entlasten. Ebenso wird mit der Umbenennung in Eltern-Kind-Pass die Diversität von modernen Familienkonstellationen anerkannt.

Da der Mutter-Kind-Pass bisher lediglich in Papierform umgesetzt wird, stehen die Untersuchungsergebnisse weder für die Evidenzbildung noch für gesundheitspolitische Steuerung zu Verfügung.

Im Rahmen des Österreichischen Aufbau- und Resilienzplans (RRF) werden dem Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz 2022 bis 2026 10 Mio. Euro für die Entwicklung einer Elektronischen Mutter-Kind-Pass Plattform zu Verfügung gestellt. Laut Vorgaben des RRF müssen folgende Meilensteine eingehalten werden:

- Meilenstein 1 | Q2/2023: Stakeholder wurden konsultiert, Rechtsgrundlagen liegen vor

- Meilenstein 2 | Q4/2023: Programmierung ist beauftragt

- Meilenstein 3 | Q2/2026: Anteil der betreuenden Ärzte/ Ärztinnen und Frauen, die den Elektronischen Eltern-Kind-Pass nutzen, 90 %

Die Regelungen betreffend die Einführung eines Elektronischen Eltern-Kind-Passes (im Folgenden: eEKP) sollen in einem neuen Bundesgesetz verankert werden, sodass das Kinderbetreuungsgeldgesetz (KBGG), BGBl. I Nr. 103/2001, anzupassen ist: Jene Inhalte, die Teil des neuen Bundesgesetzes werden, sind aus dem KBGG herauszulösen.

Im Gesundheitstelematikgesetzes 2012 (GTelG 2012), BGBl. I Nr. 111/2012, dem Allgemeinen Sozialversicherungsgesetz (ASVG), BGBl. Nr. 189/1955, und dem Familienlastenausgleichsgesetz 1967 (FLAG), BGBl. Nr. 376/1967, erfolgen ebenfalls entsprechenden Anpassungen.

Mit dem gegenständlichen Gesetzesvorhaben werden sohin folgende Ziele verfolgt:

- Entwicklung einer barrierefreien, elektronischen Dokumentationsplattform für die Untersuchungen und Beratungen für Schwangere/Mutter und Kind bzw. deren gesetzliche Vertretungen, welche auch Auswertungen der Daten für gesundheitspolitische Fragestellungen erlaubt,

- Entwicklung einer Informationsplattform, auf der Informationen über Familienleistungen, psychische Gesundheit, Gesundheitsförderung und Prävention (z.B. Frühe Hilfen), Familienberatungsstellen oder Elternbildung dargestellt werden.

- Entwicklung einer Kommunikationsplattform für die ungerichtete Kommunikation zwischen den Gesundheitsdiensteanbietern

- Implementierung einer Erinnerungsfunktion für Untersuchungen und wichtige Fristen (bspw Mutterschutz, Meldung Karenz/Papamonat, Beantragung Kinderbetreuungsgeld/Familienzeitbonus, etc.).

- vereinfachter Zugang zu den Untersuchungsergebnissen für beteiligte Gesundheitsdiensteanbieter und die betroffenen Frauen (Schwangere und Stillende) bzw. für junge Familien,

- Erhöhung der gesundheitlichen Chancen für Schwangere/Stillende und ihre Kinder, insbesondere von sozial benachteiligten Familien und der Kinder dieser Familien,

- verbesserte Erreichbarkeit − insbesondere auch von sozial benachteiligten und/oder bildungsfernen Familien und Frauen mit eventuell ebenfalls eingeschränkten deutschen Sprachkenntnissen − mit dem Eltern-Kind-Pass als zentrales Vorsorgeinstrument am Lebensbeginn.

Auf der Grundlage einer Konsultation mit Interessenträgern ist der Rechtsrahmen für die elektronische Implementierung des Mutter-Kind-Passes in Kraft getreten.

Zur Berücksichtigung der Interessen der jeweiligen Betroffenen (Schwangere, junge Familien, beteiligte Gesundheitsdiensteanbieter) wurden im Jahr 2022 eine Bedarfserhebung bei (werdenden) Eltern, sowie im Jänner und Februar 2023 Fokusgruppen mit, am Mutter-Kind-Pass beteiligten Gesundheitsdiensteanbietern durchgeführt. Die gewonnenen Ergebnisse wurden, soweit möglich in der fachlichen und technischen Konzeption des eEKP, sowie im aktuellen Regelungsvorhaben berücksichtigt.

Wie bereits erwähnt, soll mit der inhaltlichen Reform des Passes auch der Name geändert und damit die gesellschaftliche Realität abgebildet werden. Nicht zuletzt deshalb wird im gegenständlichen Gesetzesvorhaben eine gendergerechte Sprache verwendet.

Das Wort „Gesundheitsdiensteanbieter“ soll bewusst nicht gegendert werden, da es sich dabei nicht notwendigerweise um natürliche Personen handelt, sondern dieser Begriff zum Beispiel auch Krankenanstalten und Pflegeeinrichtungen umfasst (vgl. die Anlage 1 der Gesundheitstelematikverordnung 2013 [GTelV 2013], BGBl. II Nr. 506/2013).

Kompetenzgrundlage:

Die Zuständigkeit zur Erlassung dieses Bundesgesetzes stützt sich auf die Kompetenztatbestände „Sozialversicherungswesen“ (Art. 10 Abs. 1 Z 11 B-VG), „Gesundheitswesen“ (Art. 10 Abs. 1 Z 12 B-VG), „sonstige Statistik, soweit sie nicht nur den Interessen eines einzelnen Landes dient“ (Art. 10 Abs. 1 Z 13 B-VG) und „Bevölkerungspolitik“ (Art. 10 Abs. 1 Z 17 B-VG).

Der Gesundheitsausschuss hat die gegenständliche Regierungsvorlage in seiner Sitzung am 6. Juni 2023 in Verhandlung genommen. An der Debatte beteiligten sich außer dem Berichterstatter Abgeordneter Ralph Schallmeiner die Abgeordneten Ing. Mag. (FH) Alexandra Tanda, Gabriele Heinisch-Hosek, Peter Wurm, MMag. Katharina Werner, Bakk., Dr. Dagmar Belakowitsch, Mario Lindner und Mag. Meri Disoski sowie der Bundesminister für Soziales, Gesundheit, Pflege und Konsumentenschutz Johannes Rauch.

Im Zuge der Debatte haben die Abgeordneten Ing. Mag. (FH) Alexandra Tanda, Mag. Meri Disoski Kolleginnen und Kollegen einen Abänderungsantrag eingebracht, der wie folgt begründet war:

„ Zu lit. a:

Zu § 5 Abs. 7:

Nach Erwägungsgrund 92 und Art. 35 Abs. 10 DSGVO dürfen Datenschutz-Folgenabschätzungen auch auf abstrakter Ebene durchgeführt werden. Eine Datenschutz-Folgenabschätzung ist gemäß Art. 35 Abs. 3 lit. b DSGVO erforderlich, weil es zu einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO kommt, sodass sich die im Anhang zu diesen erläuternden Bemerkungen befindliche Datenschutz-Folgenabschätzung ergibt (Abs. 7).

Zu lit. b:

Zu Z 1 (Novellierungsanordnung zu Z 2):

Mit dieser Formulierung soll ein redaktionelles Versehen behoben werden.

Zu Z 2 und 3 ( § 12b Abs. 3, Z 6 [neu]):

Bisherige Erfahrungen haben gezeigt, dass ein Zugriff auf bestimmte Anwendungen innerhalb weniger Wochen, das heißt, in deutlich kürzerer Frist als die Dauer des Gesetzgebungsprozesses, vorhanden sein muss, weshalb mit dem vorgeschlagenen Abs. 3 die Möglichkeit geschaffen wird, mittels Verordnung auch weitere Anwendungen über diese Plattform zugänglich zu machen. Diese Zugriffsmöglichkeit stellt lediglich eine Ergänzung zu den etablierten Systemen dar und ersetzt diese nicht. Dies erscheint insbesondere dadurch gerechtfertigt, dass Normadressat der Bestimmung der für das Gesundheitswesen zuständige Bundesminister ist, der sich durch eine entsprechende Verordnung selbst verpflichtet. § 4 und § 5 regeln die Verpflichtung der Gesundheitsdiensteanbieter, sich zu identifizieren und zu authentifizieren und zwar unabhängig von der Anwendung, auf die sie zugreifen. Die vorgeschlagene Verordnungsermächtigung greift in diese geltende Rechtslage nicht ein. Schließlich erfolgt die Verarbeitung der Daten der betroffenen Personen nicht auf Grundlage des vorgeschlagenen § 12b, sondern auf Grundlage der einschlägigen gesetzlichen Bestimmungen für diese Anwendung (für den eImpfpass etwa §§ 24c ff). An der Vorhersehbarkeit des Grundrechtseingriffs wird durch den vorgeschlagenen § 12b Abs. 3 sohin nicht gerüttelt.

Anhang

DATENSCHUTZ-FOLGENABSCHÄTZUNG

SYSTEMATISCHE BESCHREIBUNG

der geplanten Verarbeitungsvorgänge, Zwecke sowie berechtigten Interessen

Art der Verarbeitung (ErwG 90 DSGVO):

Gemäß § 4 Abs. 3 haben alle Gesundheitsdiensteanbieter gemäß § 2 Z 2 GTelG 2012, die Untersuchungen oder Beratungen im Rahmen des Eltern-Kind-Pass-Untersuchungsprogramms durchführen (§ 2 Abs. 3), die abschließend aufgezählten Angaben, die mit Verordnung gemäß § 2 Abs. 2 zu konkretisieren sind, zu erheben und im eEKP zu speichern.

Die Datenverarbeitung dient

der Dokumentation von Beratungen sowie der Untersuchungsergebnisse von Schwangeren und Kindern für eine verbesserte, schnellere Verfügbarkeit medizinischer Informationen, die zu einer Qualitätssteigerung diagnostischer und therapeutischer Entscheidungen sowie der Behandlung und Betreuung führt;

der Stärkung der Rechte von Schwangeren, Kindern und Obsorgeberechtigten, insbesondere der Informationsrechte und des Rechtsschutzes bei der Verarbeitung von personenbezogenen Daten; sowie

dem Nachweis für den Erhalt des Kinderbetreuungsgeldes in voller Höhe gemäß § 7 KBGG.

Umfang der Verarbeitung (ErwG 90 DSGVO):

Der Umfang der verarbeiteten personenbezogenen Daten erstreckt sich in erster Linie auf besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO, nämlich Gesundheitsdaten iSd Art. 4 Z 15 DSGVO.

Konkret werden Gesundheitsdaten natürlicher Personen verarbeitet, die schwanger sind sowie die nach Inkrafttreten dieses Gesetzes in Österreich geboren wurden oder bis zum 62. Lebensmonat nach Österreich gekommen sind (z.B. Kind mit Fluchterfahrung im Alter von 3 Jahren). Im eEKP werden somit längerfristig die Gesundheitsdaten iSd Art. 4 Z 15 DSGVO von vielen sich in Österreich aufhaltenden natürlichen Personen erfasst. Von diesen Personen werden auch diverse Stammdaten (z.B. Name, Geburtsdatum, Wohnort) verarbeitet.

Zusätzlich werden der Name und weitere Stammdaten der natürlichen Person, die die im eEKP gespeicherten Daten tatsächlich verarbeitet hat, protokolliert.

Kontext der Verarbeitung (Art-29-Datenschutzgruppe, WP 248 Rev. 01, 28):

Die Verarbeitung erfolgt im Kontext der Zwecke des Art. 9 Abs. 2 lit. g bis j DSGVO. Mit dem vorgeschlagenen 4. Abschnitt soll der bisherige Mutter-Kind-Pass digitalisiert und die Papiervariante vollständig ersetzt werden. Die Verwendung des eEKP erfüllt dabei ein erhebliches öffentliches Interesse gemäß Art. 9 Abs. 2 lit. g bis j DSGVO, nämlich die Sicherstellung der öffentlichen Gesundheit. Dieses erhebliche öffentliche Interesse ergibt sich im Detail insbesondere aus

Der Entwicklung einer barrierefreien, elektronischen Dokumentationsplattform für die Untersuchungen und Beratungen für Schwangere/Mutter und Kind bzw. deren gesetzliche Vertretungen, welche auch Auswertungen der Daten für gesundheitspolitische Fragestellungen erlaubt;

Der Entwicklung einer Informationsplattform, auf der Informationen über Familienleistungen, psychische Gesundheit, Gesundheitsförderung und Prävention (z.B. Frühe Hilfen), Familienberatungsstellen oder Elternbildung dargestellt werden;

Der Implementierung einer Erinnerungsfunktion für Untersuchungen und wichtige Fristen (bspw Mutterschutz, Meldung Karenz/Papamonat, Beantragung Kinderbetreuungsgeld/Familienzeitbonus, etc.);

Dem vereinfachten Zugang zu den Untersuchungsergebnissen für beteiligte Gesundheitsdiensteanbieter und die betroffenen Personen (Schwangere und Stillende) bzw. für junge Familien;

Der Erhöhung der gesundheitlichen Chancen für Schwangere/Stillende und ihre Kinder, insbesondere von sozial benachteiligten Familien und der Kinder dieser Familien; sowie

Der verbesserten Erreichbarkeit − insbesondere auch von sozial benachteiligten und/oder bildungsfernen Familien und Frauen mit eventuell ebenfalls eingeschränkten deutschen Sprachkenntnissen – mit dem Eltern-Kind-Pass als zentrales Vorsorgeinstrument am Lebensbeginn.

Um diese im erheblichen öffentlichen Interesse liegenden Ziele zu erreichen, haben alle Gesundheitsdiensteanbieter, die Untersuchungen oder Beratungen im Rahmen des Eltern-Kind-Pass-Untersuchungsprogramms durchführen, diese im eEKP zu speichern.

Gelöscht werden die im eEKP gespeicherten Daten von dem für das Gesundheitswesen zuständigen Bundesminister 30 Jahre nach der Entbindung des Kindes (§ 4 Abs. 7). Die Speicherdauer von 30 Jahren hat sowohl für die Schwangere als auch für das Kind eine medizinische Begründung: Schwangere haben so während ihrer gesamten gebärfähigen Zeit Zugriff auf die Daten aus vorangegangenen Schwangerschaften. Bei den Kindern haben diese als junge Erwachsene bei einer eigenen Schwangerschaft noch einen niederschwelligen Zugriff auf ihren eEKP aus der Kindheit und können diese Gesundheitsdaten für sich selbst nutzen. Erfolgt zwischen dem letzten Eintrag in den eEKP und drei Wochen nach dem errechneten Geburtstermin keine weitere Eintragung, ist der eEKP zu schließen und die Daten werden ein Jahr nach dem letzten erfolgten Eintrag gelöscht. Diese kürzere Frist berücksichtigt, dass es sich dabei um besonders sensible Gesundheitsdaten handelt. Da Daten der einer Fehl- oder Totgeburt oder eines Schwangerschaftsabbruches vorausgehenden Untersuchungen jedoch trotzdem für die darauffolgenden Schwangerschaften relevant sein können, soll der Schwangeren die Möglichkeit eingeräumt werden, die Daten bis zu 30 Jahren zu speichern. Diese Daten umfassen jedoch keine konkreten Informationen zum Grund der unterbliebenen Geburt.

Zwecke der Verarbeitung (Art. 35 Abs. 7 lit. a DSGVO):

Die Zwecke, zu denen die im zentralen Impfregister gespeicherten Daten personenbezogen verarbeitet werden dürfen, sind in § 5 Abs. 2 abschließend aufgezählt. Dadurch sollen die in § 4 Abs. 1 genannten Ziele verwirklicht werden. Die Speicherung der Daten im eEKP dient somit

der Stärkung der Rechte von Schwangeren, Kindern und Obsorgeberechtigten, insbesondere der Informationsrechte und des Rechtsschutzes bei der Verarbeitung von personenbezogenen Daten sowie

dem Nachweis für den Erhalt des Kinderbetreuungsgeldes in voller Höhe gemäß § 7 KBGG.

Empfängerinnen und Empfänger (Art-29-Datenschutzgruppe, WP 248 Rev. 01, 28):

In § 5 Abs. 3 sowie § 7 Abs. 1 und 2 wird abschließend aufgezählt, wem die im eEKP gespeicherten Daten zu welchem Zweck offengelegt werden. Empfänger der Daten sind

Gesundheitsdiensteanbieter sofern ein Behandlungs- oder Betreuungszusammenhang besteht

Schwangere oder deren gesetzlichen Vertretung

Obsorgeberechtigte

das Kind

der für das Gesundheitswesen zuständige Bundesminister/ die für das Gesundheitswesen zuständige Bundesministerin

eine von dem für das Gesundheitswesen zuständigen Bundesminister/ von der für das Gesundheitswesen zuständigen Bundesministerin einzurichtende Servicestelle

mit dem Vollzug des Kinderbetreuungsgeldgesetzes betraute Stelle

die Gesundheit Österreich GmbH

die Bundesanstalt ‚Statistik Österreich‘

Speicherdauer (Art-29-Datenschutzgruppe, WP 248 Rev. 01, 28):

Gemäß § 4 Abs. 7 sind die im eEKP gespeicherten Daten von dem für das Gesundheitswesen zuständigen Bundesminister/ der für das Gesundheitswesen zuständigen Bundesministerin 30 Jahre nach der Entbindung des Kindes zu löschen. Erfolgt zwischen dem letzten Eintrag in den eEKP und drei Wochen nach dem errechneten Geburtstermin keine weitere Eintragung, ist der eEKP zu schließen und die Daten werden ein Jahr nach dem letzten erfolgten Eintrag gelöscht. Diese kürzere Frist berücksichtigt, dass es sich dabei um besonders sensible Gesundheitsdaten handelt. Da Daten einer Fehl- oder Totgeburt oder eines Schwangerschaftsabbruches jedoch trotzdem für die darauffolgenden Schwangerschaften relevant sein können, soll der Schwangeren die Möglichkeit eingeräumt werden, die Daten bis zu 30 Jahren zu speichern.

Funktionelle Beschreibung der Verarbeitung (Art. 35 Abs. 7 lit. a DSGVO):

In der initialen Phase sind folgende Funktionen im eEKP vorgesehen:

Registrierung der Schwangeren: Der Allgemeinmediziner/ die Allgemeinmedizinerin bzw. der Gynäkologe/ die Gynäkologin legt nach Feststellung der intakten Schwangerschaft einen eEKP für die Schwangere an. Dafür ist eine gültige Authentifizierung erforderlich. Ungeachtet der Anzahl der Föten wird für jede Schwangere pro Schwangerschaft genau ein eEKP angelegt. Das Speichern der Daten wird namentlich protokolliert.

Registrierung von Kindern: Nach der Geburt legt der beteiligte Gesundheitsdiensteanbieter für das Neugeborene bzw. für die Neugeborenen (bei Mehrlingsgeburten) jeweils einen eEKP an. Das Anlegen kann auch zu einem späteren Zeitpunkt erfolgen, zum Beispiel bei Einwanderung oder Adoption. Das Speichern der Daten wird namentlich protokolliert. Die Obsorgeberechtigten erhalten automatisch Zugriff auf den eEKP des Kindes (analog zum Gesundheitsportal).

Interaktion mit dem eEKP: Schwangere (und ggf. deren gesetzliche Vertreter:innen) haben Zugang zu ihren personenbezogenen Daten (Untersuchungs- und Beratungsergebnissen), können anstehende Untersuchungen und Beratungen gemäß dem Untersuchungsprogramm einsehen und definierte Daten (z.B. Notfalldaten, geplanter Ort der Entbindung) eigenständig ergänzen. Nach der Geburt haben Kinder und deren Obsorgeberechtigte Zugang zu personenbezogenen Daten des Kindes (Untersuchungs- und Beratungsergebnissen), können geplante Untersuchungen einsehen und definierte Stammdaten bearbeiten. Gesundheitsdiensteanbieter haben Zugriff auf die Stammdaten sowie die Untersuchungs- und Beratungsergebnisse. Jeder Zugriff auf den eEKP wird namentlich protokolliert.

Erinnerungsfunktion: Nach Aufbau des Untersuchungsplans für die Schwangerschaft erhält die Schwangere Erinnerungen für die ausstehenden Untersuchungen, sofern sie das wünscht. Nach der Geburt des Kindes erhalten die Obsorgeberechtigten Erinnerungen für die ausstehenden Untersuchungen, sofern sie dies wünschen.

Eintragung Untersuchungsergebnisse: Gesundheitsdiensteanbieter tragen die jeweiligen Untersuchungs- und Beratungsergebnisse in den eEKP der Schwangeren bzw. des Kindes ein. Nach Ende des Eltern-Kind-Pass Zeitrahmens (derzeit bis zum 62. Lebensmonat) sind keine Eintragungen im eEKP mehr möglich. Davon ausgenommen sind Korrekturen bis ein Jahr nach Durchführung der letzten Untersuchung. Das Recht auf Berichtigung iSd Art. 16 DSGVO bleibt hiervon unberührt. Das Speichern der Daten wird namentlich protokolliert.

Übermittlung der Untersuchungsdaten für die Abwicklung des Kinderbetreuungsgeldes: Nach (fristgerechter) Durchführung der für den Erhalt des Kinderbetreuungsgeldes in voller Höhe notwendigen Untersuchungen bzw. Beratungen, werden die notwendigen Informationen an die Österreichische Gesundheitskasse in ihrer Funktion als Kompetenzzentrum Kinderbetreuungsgeld (§ 36 Abs. 3 KBGG) übermittelt.

Beschreibung der Anlagen (Hard- und Software bzw. sonstige Infrastruktur, Art-29-Datenschutzgruppe, WP 248 Rev. 01, 28):

Da die konkret zum Einsatz kommende Hard- und Software bei dem jeweiligen Gesundheitsdiensteanbieter nicht gesetzlich geregelt werden, ist an dieser Stelle die Beschreibung der Maßnahmen gemäß Art. 25 DSGVO und gemäß dem 2. Abschnitt des GTelG 2012 maßgebend und auch ausreichend. Diese Datensicherheitsmaßnahmen im 2. Abschnitt des GTelG 2012 stellen eine Konkretisierung des Art. 32 DSGVO dar, die aufgrund der Öffnungsklausel in Art. 9 Abs. 4 zulässig ist.

Für den eEKP bestehen folgende Vorgaben (§ 5 Abs. 6):

Der für das Gesundheitswesen zuständige Bundesminister/ die für das Gesundheitswesen zuständige Bundesministerin, der Dachverband der Sozialversicherungsträger, die Gesundheitsdiensteanbieter die Untersuchungen oder Beratungen im Rahmen des Eltern-Kind-Pass-Programmes durchführen sowie die Österreichische Gesundheitskasse in ihrer Funktion als Kompetenzzentrum Kinderbetreuungsgeld haben generell geeignete Datensicherheitsmaßnahmen zu ergreifen.

Gesundheitsdiensteanbieter müssen die im 2. Abschnitt des GTelG 2012 festgelegten Datensicherheitsmaßnahmen einhalten.

Ein Zugriff auf die im eEKP gespeicherten Daten kann nur gemäß § 5 Abs. 2 in Verbindung mit Abs. 3 erfolgen.

Die Zugriffe auf den eEKP werden protokolliert. Das Protokoll ist den Schwangeren und deren gesetzlichen Vertretungen, den Obsorgeberechtigten des Kinders und dem Kind zur Verfügung zu stellen.

Gesundheitsdiensteanbieter haben auf die Daten der Schwangeren und des Kindes ausschließlich ab Überprüfung der eindeutigen Identität und nur bis zum Ende des jeweiligen Untersuchungszeitraums zuzüglich einer Woche Zugriff.

BEWERTUNG

der Notwendigkeit und Verhältnismäßigkeit

Festgelegter, eindeutiger und legitimer Zweck (Art. 5 Abs. 1 lit. b DSGVO):

Die Zwecke, zu denen die in § 4 Abs. 3 genannten Daten personenbezogen verarbeitet werden dürfen, sind in § 5 Abs. 2 abschließend aufgezählt. Diese Zwecke sind auch legitim, da sie ihre Deckung in der Rechtsordnung (insb. in § 5 Abs. 2 selbst) finden und der Erfüllung der bereits dargestellten erheblichen öffentlichen Interessen dienen.

Rechtmäßigkeit der Verarbeitung (Art-29-Datenschutzgruppe, WP 248 Rev. 01, 28 iVm Art. 6 und Art. 9 DSGVO):

Die Rechtmäßigkeit der Verarbeitung der Gesundheitsdaten ergibt sich aus Art. 9 Abs. 2 lit. g bis j DSGVO, wonach die Verarbeitung

- aufgrund eines erheblichen öffentlichen Interesses,

- zum Zweck der Gesundheitsvorsorge,

- aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit und

- für statistische Zwecke

erfolgt.

Die Verwendung des eEKP erfüllt ein erhebliches öffentliches Interesse im Bereich der öffentlichen Gesundheit. Dieses ergibt sich insbesondere aus

- Der Entwicklung einer barrierefreien, elektronischen Dokumentationsplattform für die Untersuchungen und Beratungen für Schwangere/Mutter und Kind bzw. deren gesetzliche Vertretungen, welche auch Auswertungen der Daten für gesundheitspolitische Fragestellungen erlaubt;

- Der Entwicklung einer Informationsplattform, auf der Informationen über Familienleistungen, psychische Gesundheit, Gesundheitsförderung und Prävention (z.B. Frühe Hilfen), Familienberatungsstellen oder Elternbildung dargestellt werden;

- Der Implementierung einer Erinnerungsfunktion für Untersuchungen und wichtige Fristen (bspw Mutterschutz, Meldung Karenz/Papamonat, Beantragung Kinderbetreuungsgeld/Familienzeitbonus, etc.);

- Dem vereinfachten Zugang zu den Untersuchungsergebnissen für beteiligte Gesundheitsdiensteanbieter und die betroffenen Frauen (Schwangere und Stillende) bzw. für junge Familien;

- Der Erhöhung der gesundheitlichen Chancen für Schwangere/Stillende und ihre Kinder, insbesondere von sozial benachteiligten Familien und der Kinder dieser Familien; sowie

- Der verbesserten Erreichbarkeit − insbesondere auch von sozial benachteiligten und/oder bildungsfernen Familien und Frauen mit eventuell ebenfalls eingeschränkten deutschen Sprachkenntnissen – mit dem Eltern-Kind-Pass als zentrales Vorsorgeinstrument am Lebensbeginn.

Die Republik Österreich ist verpflichtet verschiedene statistische Datensets mit internationalen Organisationen zu teilen. Das ist für das internationale Standing Österreichs auf mehreren Ebenen von immenser Bedeutung und findet aber selbstverständlich ausschließlich mit aggregierten Daten statt. Im Rahmen der WHO sind dies zum Beispiel die Säuglingssterblichkeit und Daten zur Fehlernährung von Kindern. Daher ist es notwendig die Daten des eEKP statistisch auszuwerten und aufzubereiten. Weiters dienen diese Statistiken der nationalen Steuerung der Gesundheitsvorsorge, insbesondere auch im Sinne des dritten Sustainable Development Goals der UNO (‚Gesundes Leben sicherstellen und das Wohlergehen für alle Menschen in jedem Alter fördern‘).

Die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten die keine Gesundheitsdaten sind ergibt sich aus Art. 6 Abs. 1 lit. e in Verbindung mit Abs. 2 und 3 DSGVO.

Angemessenheit der Verarbeitung (Art-29-Datenschutzgruppe, WP 248 Rev. 01, 28 iVm Art. 5 Abs. 1 lit. c DSGVO):

Die Verarbeitung ist angemessen, weil die Verwendung des eEKP ein erhebliches öffentliches Interesse im Bereich der öffentlichen Gesundheit sowie der statistischen Auswertung in diesem Bereich gemäß Art. 9 Abs. 2 lit. g bis j DSGVO erfüllt und – wie in der Folge dargestellt – nur die für die Verarbeitung erheblichen und notwendigen Daten verarbeitet werden. Die von Art. 9 Abs. 2 lit. g bis j DSGVO geforderten angemessenen und spezifischen Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person, die überwiegend organisatorischer und technischer Natur sind, sind implementiert und unten zu ‚Abhilfemaßnahmen‘ im Detail dargestellt.

Erheblichkeit der Verarbeitung (Art-29-Datenschutzgruppe, WP 248 Rev. 01, 28 iVm Art. 5 Abs. 1 lit. c DSGVO):

Die verarbeitenden Daten sind erheblich, weil die Einführung des eEKP und die damit verbundene Speicherung der Daten in personenbezogener Form notwendige Vorrausetzung für die Erfüllung der im erheblichen öffentlichen Interesse liegenden Zwecke iSd § 5 Abs. 2 sind. Ohne der Verarbeitung im eEKP können die öffentlichen Interessen nicht erreicht werden.

Beschränktheit der Verarbeitung auf das notwendige Maß (Art-29-Datenschutzgruppe, WP 248 Rev. 01, 28 iVm Art. 5 Abs. 1 lit. c DSGVO):

Verarbeitet werden nur jene Daten von Schwangeren sowie Kindern bis zum Ende des 5. Lebensjahres, die den physischen Zustand einer Schwangeren während der Schwangerschaft sowie eines Kindes betreffen, im Zuge einer medizinischen Betreuung, Untersuchung, Pflege als dafür notwendig erhoben werden oder der Verrechnung von Gesundheitsdienstleistungen bzw. der Versicherung von Gesundheitsrisiken dienen (so z.B. die Staatsbürgerschaft).

Die zu speichernden Angaben sind als Datenkategorien abschließend in § 4 Abs. 3 aufgezählt. Eine nähere gesetzliche Präzisierung durch eine abschließende Aufzählung der zu speichernden Detaildatenarten ist nicht möglich, da sich das Untersuchungsprogramm und damit auch die Detaildatenarten nach dem Stand der Medizin ändern und diese dann dynamisch anzupassen sind. Zur Wahrung des Datenminimierungsgrundsatzes werden die konkret zu speichernden Detaildatenarten daher mit Verordnung des für das Gesundheitswesen zuständigen Bundesministers/ der für das Gesundheitswesen zuständigen Bundesministerin festgelegt. Diese Art der Eingriffsermächtigung ist ausreichend gesetzlich determiniert, da im konkreten Fall die Intensität des Eingriffs bereits abschließend im Gesetz vorgezeichnet ist (vgl. das Rundschreiben des Bundeskanzleramts zur legistischen Gestaltung von Eingriffen in das Grundrecht auf Datenschutz vom 14. Mai 2008, GZ BKA-810.016/0001-V/3/2007).

Die Verarbeitung ist auf das erforderliche Maß beschränkt, weil die Erreichung der angestrebten Ziele jedenfalls eine Verarbeitung von Daten mit Personenbezug benötigt: Die Ersetzung eines personenbezogen ausgestellten Mutter-Kind-Passes in Papierform durch eine vergleichbare, elektronische Version führt automatisch zu einer Verarbeitung von personenbezogenen Gesundheitsdaten. Das verwendende bPK-GH ist gemäß Art. 4 Z. 1 DSGVO ein (pseudonymisiertes) personenbezogenes Datum. Durch die gesetzliche Einschränkung, dass nur bestimmte Akteure nur für bestimmte Zwecke zur Verwirklichung bestimmter Ziele nur auf die dafür jeweils notwendigen personenbezogenen Daten zugreifen dürfen, wird das hiefür jeweils gelindeste Mittel gewählt.

Speicherbegrenzung (Art-29-Datenschutzgruppe, WP 248 Rev. 01, 28 iVm Art. 5 Abs. 1 lit. e DSGVO):

Gemäß § 4 Abs. 7 sind die im eEKP gespeicherten Daten von dem:der für das Gesundheitswesen zuständigen Bundesminister:in 30 Jahre nach der Entbindung des Kindes zu löschen. Die Speicherdauer von 30 Jahren hat sowohl für die Schwangere als auch für das Kind eine medizinische Begründung: Schwangere haben so während ihrer gesamten gebärfähigen Zeit Zugriff auf die Daten aus vorangegangenen Schwangerschaften. Bei den Kindern haben diese als junge Erwachsene bei einer eigenen Schwangerschaft noch einen niederschwelligen Zugriff auf ihren eEKP aus der Kindheit und können diese Gesundheitsdaten für sich selbst nutzen. Erfolgt zwischen dem letzten Eintrag in den eEKP und drei Wochen nach dem errechneten Geburtstermin keine weitere Eintragung, ist der eEKP zu schließen und die Daten werden ein Jahr nach dem letzten erfolgten Eintrag gelöscht. Diese kürzere Frist berücksichtigt, dass es sich dabei um besonders sensible Gesundheitsdaten handelt. Da Daten einer Fehl- oder Totgeburt oder eines Schwangerschaftsabbruches jedoch trotzdem für die darauffolgenden Schwangerschaften relevant sein können, soll der Schwangeren die Möglichkeit eingeräumt werden, die Daten bis zu 30 Jahren zu speichern.

Information der betroffenen Personen (Art-29-Datenschutzgruppe, WP 248 Rev. 01, 28 iVm Art. 12 bis 14 DSGVO):

Es besteht gemäß § 5 Abs. 1 eine gemeinsame Verantwortlichkeit iSd Art. 4 Z. 7 iVm Art. 26 DSGVO des:der für das Gesundheitswesen zuständige Bundesministers:in, des Dachverbandes, der Gesundheitsdiensteanbieter, die Untersuchungen oder Beratungen im Rahmen des Eltern-Kind-Pass-Programmes durchführen sowie der Österreichische Gesundheitskasse in ihrer Funktion als Kompetenzzentrum Kinderbetreuungsgeld (§ 36 Abs. 3 KBGG). Die Aufteilung der Pflichten gemäß Art. 26 DSGVO hat gemäß § 5 Abs. 1 durch Verordnung des für das Gesundheitswesen zuständigen Bundesministers/ der für das Gesundheitswesen zuständigen Bundesministerin im Einvernehmen mit dem Dachverband zu erfolgen. Diese Verordnung regelt auch die Zuständigkeit zur Erfüllung der Informationspflichten nach der DSGVO, insbesondere gemäß Art. 13 und 14 DSGVO.

Im Regelfall erheben Gesundheitsdiensteanbieter, die die personenbezogenen Daten gemäß § 4 Abs. 3 speichern, diese Daten auch bei der betroffenen Person. Dann besteht die Informationspflicht gemäß Art. 13 DSGVO. In Fällen, in welchen die Daten nicht bei der betroffenen Person erhoben werden (insbesondere im Zusammenhang mit dem Once Only Principle bzw. dem Once Only Technical System), besteht hingegen die Informationspflicht gemäß Art. 14 DSGVO.

Unter der Voraussetzung, dass die Information gemäß Art. 13 und 14 DSGVO für die betroffenen Personen veröffentlicht werden, gilt dies durch vorliegende Datenschutz-Folgenabschätzung im Sinne des Art. 35 Abs. 10 DSGVO als erfüllt.

Auskunftsrecht der betroffenen Person und Recht auf Datenübertragbarkeit (Art-29-Datenschutzgruppe, WP 248 Rev. 01, 28 iVm Art. 15 und 20 DSGVO):

Gemäß ErwG 63 DSGVO soll der Verantwortliche nach Möglichkeit einen Fernzugang zu einem sicheren System bereitstellen, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglicht. Diesen Fernzugang stellt das eEKP-Portal dar, über das die betroffenen Personen ihr Auskunftsrecht wahrnehmen können. Alternativ können die betroffenen Personen ihr Auskunftsrecht im Wege einer von dem für das Gesundheitswesen zuständigen Bundesminister/ der für das Gesundheitswesen zuständigen Bundesministerin einzurichtenden Servicestelle oder andere, nach der DSGVO zulässige, Kommunikationswege wahrnehmen.

Das Recht auf Datenübertragbarkeit besteht gemäß Art. 20 Abs. 1 DSGVO nicht, weil die Verarbeitung weder aufgrund einer Einwilligung (Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO) noch aufgrund eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO) erfolgt. Zwar kann ein Behandlungsvertrag zwischen der Schwangeren oder dem Kind und dem jeweiligen Gesundheitsdiensteanbieter bestehen, dieser ist jedoch idR keine geeignete Rechtsgrundlage für die Verarbeitung.

Recht auf Berichtigung und Löschung (Art-29-Datenschutzgruppe, WP 248 Rev. 01, 28 iVm Art. 16, 17 und 19 DSGVO):

Die Betroffenenrechte der DSGVO werden gewahrt (siehe auch EBs Seite 11). Eine etwaige Löschung der Daten wird – sofern das Recht auf Löschung nicht nach Art. 17 Abs. 3 DSGVO ausgeschlossen ist – vollumfänglich erfolgen, also nicht bloß durch einen Änderungseintrag oder Verbergen der Einträge.

Widerspruchsrecht und Recht auf Einschränkung der Verarbeitung (Art-29-Datenschutzgruppe, WP 248 Rev. 01, 28 iVm Art. 18, 19 und 21 DSGVO):

Das Widerspruchsrecht und das Recht auf Einschränkung der Verarbeitung sind für Verarbeitungen nach § 7 gemäß dessen Abs. 3 ausgeschlossen. Dies ist notwendig um eine vollständige Datenbasis für die zu erstellenden Statistiken (z.B. für die WHO) zu haben.

In allen anderen Fällen steht das Widerspruchsrecht für Daten, die auf Basis von Art. 6 Abs. 1 lit. e DSGVO verarbeitet werden, den betroffenen Personen zu. Bei der Verarbeitung von Gesundheitsdaten auf Grundlage von Art. 9 Abs. 2 lit. g bis j DSGVO steht nach dem klaren Wortlaut von Art. 21 Abs. 1 DSGVO kein Widerspruchsrecht zu. Daher steht im Ergebnis das Widerspruchsrecht nur für die Stammdaten (z.B. Name, Wohnort, Geburtsdatum) zu.

Die Widerspruchsgründe müssen sich gemäß Art. 21 Abs. 1 DSGVO aus der besonderen Situation der betroffenen Person im Einzelfall ergeben. Diese Situation muss objektiv nachvollziehbar und beurteilbar sein. Persönliche Befindlichkeiten reichen dafür nicht aus. Die Verarbeitung ist weiterhin rechtmäßig, wenn zwingende schutzwürdige Gründe für die Verarbeitung bestehen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen. Da die Stammdaten in aller Regel sowieso von den Verantwortlichen im Rahmen ihrer Tätigkeiten verarbeitet werden, wird das Widerspruchsrecht nur in speziellen Einzelfällen überhaupt bestehen, da die besondere Situation der betroffenen Person in solchen Fällen nicht vorliegt.

Verhältnis zu Auftragsverarbeitern (Art. 28 DSGVO):

Der für das Gesundheitswesen zuständige Bundesminister/ Die für das Gesundheitswesen zuständige Bundesministerin kann sich für den Betrieb, Wartung und technischer Weiterentwicklung der eEKP-Anwendung eines oder mehrerer Auftragsverarbeiter (Art. 4 Z 8 DSGVO) bedienen. Die Gesundheit Österreich GmbH dient dem für das Gesundheitswesen zuständigen Bundesminister/ der für das Gesundheitswesen zuständigen Bundesministerin als dessen/ deren Auftragsverarbeiterin (Art. 4 Z 8 DSGVO) für statistische Auswertungen gemäß § 7 Abs 1. Die gemäß § 8 Abs 7 einzurichtende Servicestelle ist Auftragsverarbeiterin (Art. 4 Z 8 DSGVO) des für das Gesundheitswesen zuständigen Bundesministers/ der für das Gesundheitswesen zuständigen Bundesministerin.

Schutzmaßnahmen bei der Übermittlung in Drittländer (Kapitel V DSGVO):

Durch die Speicherung der personenbezogenen Daten im eEKP erfolgt bewusst keine Übermittlung dieser Daten in ein Drittland.

Vorherige Konsultation (Art. 36 und ErwG 96 DSGVO):

Eine vorherige Konsultation im Einzelfall ist nicht erforderlich, weil durch die Publikation des vorliegenden Entwurfs auf der Website des Parlaments und Einbindung bzw. Konsultation der Datenschutzbehörde diese somit gemäß Art. 36 Abs. 4 DSGVO im Begutachtungsverfahren aktiv an der Gestaltung des dieses Regelungsvorhabens mitwirken kann, um die Vereinbarkeit der geplanten Verarbeitungen mit der DSGVO sicherzustellen.

RISIKEN

Physische, materielle oder immaterielle Schäden (ErwG 90 iVm 85 DSGVO):

Das Risiko für physische, materielle oder immaterielle Schäden besteht zwar prinzipiell bei Verarbeitungen im Rahmen des eEKP, dieses ist jedoch im Ergebnis niedrig: Im Falle eines Data Breaches (zB durch einen Hackerangriff) könnten sensible Gesundheitsdaten Dritten offengelegt werden und diese die Daten zB für Erpressungsversuche nutzen oder unmittelbar veröffentlichen. Diese Gefahr wird durch die angeordneten Datensicherheitsmaßnahmen (siehe Abhilfemaßnahmen) direkt adressiert und angemessen mitigiert.

Verlust der Kontrolle über personenbezogene Daten (ErwG 90 iVm 85 DSGVO):

Bei einem Data Breach (siehe den vorherigen Punkt) geraten Daten in unberechtigte Hände. Diese Gefahr wird jedoch durch die angeordneten Datensicherheitsmaßnahmen (siehe Abhilfemaßnahmen) mitigiert.

Bei zu weitreichenden Zugriffsrechten könnten missbräuchliche Zugriffe nicht ausgeschlossen werden. Diese Gefahr wird durch ein striktes Zugangskonzept sowie die Protokollierung aller Zugriffe (siehe Abhilfemaßnahmen) im Einklang mit dem Stand der Technik gesenkt.

Diskriminierung (ErwG 90 iVm 85 DSGVO):

Schwangere könnten von ihrem sozialen Umfeld diskriminiert werden, falls gewisse Gesundheitsdaten (z.B. vorhergegangene Schwangerschaftsabbrüche) bekannt würden. Zusätzlich könnten Schwangere und nach der Geburt ihre Kinder diskriminiert werden, sofern sie den Zugriff auf den eEKP für gewisse Gesundheitsdiensteanbieter sperren. Diese beiden Risiken werden durch die jeweiligen Abhilfemaßnahmen (striktes Zugangskonzept bzw. gesetzliche Festlegung des Grundsatzes der Nichtdiskriminierung) mitigiert.

Identitätsdiebstahl oder -betrug (ErwG 90 iVm 85 DSGVO):

Theoretisch ist es denkbar, dass sich Unbefugte Zugriff auf die Datenbank verschaffen. Dies wäre schwerwiegend, weil dann Zugriff auf einen großen Datensatz personenbezogener Daten eines großen Personenkreises besteht. Diese Daten könnten missbraucht (zB Identitätsdiebstahl), verkauft oder veröffentlicht werden. Aufgrund der großen Datenmenge ist diesem Punkt erhöhte Priorität im Rahmen der Abhilfemaßnahmen einzuräumen. Dieses Risiko lässt sich jedoch durch die getroffenen Abhilfemaßnahmen gemessen am Stand der Technik angemessen mitigieren.

Finanzielle Verluste (ErwG 90 iVm 85 DSGVO):

Finanzielle Verluste können sich als Folge der oben geschilderten Szenarios zu Erpressungsversuchen und Identitätsdiebstahl ergeben (siehe dort). Diesen wird daher ebenfalls durch die stringenten Abwehrmaßnahmen entgegengewirkt.

Unbefugte Aufhebung der Pseudonymisierung (ErwG 90 iVm 85 DSGVO):

Theoretisch könnte eine unbefugte Person (intern wie extern) die Pseudonymisierung mittels bPK-GH aufheben und einen direkten Personenbezug herstellen. Dafür ist jedoch umfangreiches Zusatzwissen in der Form von verschiedenen Daten notwendig. Dieses Risiko ist aufgrund der gewählten technischen Implementierung jedoch als äußerst gering einzuschätzen und setzt jedenfalls strafbares Verhalten des Täters voraus.

Rufschädigung (ErwG 90 iVm 85 DSGVO):

Es besteht kein Risiko zur Rufschädigung.

Verlust der Vertraulichkeit bei Berufsgeheimnissen (ErwG 90 iVm 85 DSGVO):

Die im Rahmen der Untersuchungen und Beratungen beteiligten Personen unterliegen Berufsgeheimnissen (beispielsweise § 54 Abs. 1 ÄrzteG 1998) und/oder gesetzlichen Verschwiegenheitsverpflichtungen. Würden Daten von Untersuchungen oder Beratungen Unbefugten bekannt, wäre dies nicht nur ein datenschutzrechtlicher Verstoß, sondern auch eine Verletzung von Berufsgeheimnissen oder ein Bruch von Amtsgeheimnissen. Aufgrund der getroffenen Abhilfemaßnahmen lassen sich die Risiken mitigieren.

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile (ErwG 90 iVm 85 DSGVO):

Erhebliche wirtschaftliche oder gesellschaftliche Nachteile können als Folge der oben unter den Punkten „Diskriminierung" und „Finanzielle Verluste" geschilderten Szenarios ergeben. Aufgrund der getroffenen Abhilfemaßnahmen lassen sich die Risiken mitigieren.

ABHILFEMASSNAHMEN

Minimierung der Verarbeitung personenbezogener Daten (ErwG 78 DSGVO):

Es werden bereichsspezifische Personenkennzeichen (§ 9 E-GovG) eingesetzt, die nur in Teilbereichen des täglichen Lebens gelten und somit einen wesentlich höheren Schutz, insbesondere gegen erhebliche wirtschaftliche oder gesellschaftliche Nachteile, bieten. Zudem werden nur die für die Erreichung der Zwecke absolut erforderlichen Daten verarbeitet. Bei statistischen Auswertungen werden der Name und die Sozialversicherungsnummer selbstverständlich nicht verarbeitet.

Schnellstmögliche Pseudonymisierung personenbezogener Daten (ErwG 28 und 78 DSGVO):

Der schnellstmöglichen Pseudonymisierung personenbezogener Daten wird durch die Verwendung des bPK-Systems nach den Bestimmungen des E-Government-Gesetzes Rechnung getragen.

Die doppelte Pseudonymisierung der im eEKP gespeicherten Daten ist vor dem Hintergrund der mit dem eEKP verfolgten Zwecke nicht zielführend. Schließlich sollen auch allfällige Ausdrucke oder Downloads dieser Daten den jeweiligen Personen sowohl in der analogen als auch in der digitalen Welt zweifelsfrei zugeordnet werden können.

Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten (ErwG 78 DSGVO):

Durch die Publikation des Eltern-Kind-Pass-Gesetzes im Bundesgesetzblatt sowie der parlamentarischen Materialien im Zuge des Gesetzgebungsprozesses können die Hintergründe für die zulässige Verarbeitung personenbezogener Daten beim eEKP von der Öffentlichkeit kostenlos nachvollzogen werden.

Der für das Gesundheitswesen zuständige Bundesminister/ Die für das Gesundheitswesen zuständige Bundesministerin hat gemäß § 8 Abs. 6 die betroffenen Personen in geeigneter Weise über die ihnen zustehenden Rechte (§ 8 Abs. 2 und 3, § 9 Abs. 1), über die Beschränkung gemäß § 7 Abs. 3 und über den Grundsatz der Nicht-Diskriminierung gemäß § 10 zu informieren.

Überwachung der Verarbeitung personenbezogener Daten durch die betroffenen Personen (ErwG 78 DSGVO):

Die Überwachung der Verarbeitung geschieht über das Protokollierungssystem, da jede Verarbeitung der im eEKP gespeicherten Daten gemäß § 5 Abs. 6 Z. 3 lückenlos und namentlich protokolliert wird.

Datensicherheitsmaßnahmen (ErwG 78 und 83 DSGVO):

Für den eEKP bestehen folgende strenge und dem Stand der Technik entsprechende Vorgaben (§ 5 Abs. 6):

- Der für das Gesundheitswesen zuständige Bundesminister/ Die für das Gesundheitswesen zuständige Bundesministerin, der Dachverband, die Gesundheitsdiensteanbieter die Untersuchungen oder Beratungen im Rahmen des Eltern-Kind-Pass-Programmes durchführen sowie die Österreichische Gesundheitskasse in ihrer Funktion als Kompetenzzentrum Kinderbetreuungsgeld haben bereits vor Implementierung des eEKP geeignete Datensicherheitsmaßnahmen zu ergreifen. Dies nicht nur auf Basis der DSGVO, sondern auch des NISG.

- Gesundheitsdiensteanbietern müssen zudem die im 2. Abschnitt des GTelG 2012 festgelegten Datensicherheitsmaßnahmen einhalten. Diese Datensicherheitsmaßnahmen stellen eine Konkretisierung des Art. 32 DSGVO dar, die aufgrund der Öffnungsklausel in Art. 9 Abs. 4 zulässig ist.

- Ein Zugriff auf die im eEKP gespeicherten Daten kann nur gemäß § 5 Abs. 2 in Verbindung mit Abs. 3 erfolgen. Die Zugriffsrechte beschränken sich auf die für den jeweiligen Zweck notwendigen Datenkategorien und minimieren daher das Missbrauchspotenzial.

- Die Zugriffe auf den eEKP werden protokolliert. Das Protokoll ist den Schwangeren und deren gesetzlichen Vertretungen, den Obsorgeberechtigten des Kinders und dem Kind zur Verfügung zu stellen.

- Gesundheitsdiensteanbieter haben auf die Daten der Schwangeren und des Kindes ab Überprüfung der eindeutigen Identität nur bis zum Ende des jeweiligen Untersuchungszeitraums zuzüglich einer Woche Zugriff.

- Die Schwangere und die Obsorgeberechtigten des Kindes können für zugriffsberechtigte Gesundheitsdiensteanbieter die Zugriffsdauer für lesende Zugriffe auf die im eEKP gespeicherten Daten, mit Ausnahme der von diesem Gesundheitsdiensteanbieter selbst gespeicherten Daten, verändern oder den Zugriff auf diese sperren. Dies ermöglicht den betroffenen Personen eine selbstständige Steuerung der Lesezugriffe und dient somit der Sicherstellung eines hohen Niveaus der Datensicherheit und informationellen Selbstbestimmung.

BERÜCKSICHTIGUNG VON DATENSCHUTZINTERESSEN

Die Konsultation der Datenschutzbehörde (Art 36 Abs. 4 DSGVO) sowie die Einholung des Standpunkts betroffener Personen (Art 35 Abs. 9 DSGVO) zum vorliegenden Entwurf erfolgen durch die Publikation des vorliegenden Entwurfs auf der Website des Parlaments und Durchführung eines Begutachtungsverfahrens zur aktiven Mitwirkung an der Gestaltung dieses Regelungsvorhabens. Die Einholung des Rates der Datenschutzbeauftragten (Art. 35 Abs. 2 DSGVO) des Bundesministeriums für Soziales, Gesundheit, Pflege und Konsumentenschutz, Sektor Gesundheit zu dieser Datenschutz-Folgenabschätzung erfolgte bereits bei deren Durchführung.“

Bei der Abstimmung wurde der in der Regierungsvorlage enthaltene Gesetzentwurf unter Berücksichtigung des oben erwähnten Abänderungsantrages der Abgeordneten Ing. Mag. (FH) Alexandra Tanda, Mag. Meri Disoski Kolleginnen und Kollegen mit Stimmenmehrheit (dafür: V, G, dagegen: S, F, N) beschlossen.

Als Ergebnis seiner Beratungen stellt der Gesundheitsausschuss somit den Antrag, der Nationalrat wolle dem angeschlossenen Gesetzentwurf die verfassungsmäßige Zustimmung erteilen.

Wien, 2023 06 06

Ralph Schallmeiner Mag. Gerhard Kaniak

Berichterstattung Obmann