Textgegenüberstellung

Geltende Fassung

Vorgeschlagene Fassung

Artikel 1

Änderung des Gesundheitstelematikgesetzes 2012

Inhaltsverzeichnis
§	Überschrift
1. Abschnitt: Allgemeine Bestimmungen
...	...
2. Abschnitt: Datensicherheit bei der elektronischen Übermittlung von Gesundheitsdaten und genetischen Daten (Art. 4 Z 15 und Z 13 DSGVO)
...	...
3. Abschnitt: Informationsmanagement
...	...
4. Abschnitt: Elektronische Gesundheitsakte (ELGA)
...	...
16	Rechte der ELGA-Teilnehmer/innen
17	ELGA-Ombudsstelle
18	Überprüfung der Identität von Teilnehmer/inne/n
...	...
5. Abschnitt: eHealth-Anwendungen 1. Unterabschnitt Primärversorgung
24a
2. Unterabschnitt Elektronischer Impfpass (eImpfpass)
...	...
24e	Rechte der Bürger/innen
24f	...
24g	Statistische Auswertungen
6. Abschnitt: Schlussbestimmungen
...	...
28	Verordnungsermächtigungen und Weisungsrechte
...	...

Inhaltsverzeichnis
§	Überschrift
1. Abschnitt: Allgemeine Bestimmungen
...	...
2. Abschnitt: Datensicherheit bei der elektronischen Übermittlung von Gesundheitsdaten und genetischen Daten (Art. 4 Z 15 und Z 13 DSGVO)
...	...
3. Abschnitt: Informationsmanagement
...	...
12a	Öffentliches Gesundheitsportal Österreichs
4. Abschnitt: Elektronische Gesundheitsakte (ELGA)
...	...
16	Rechte der ELGA-Teilnehmer:innen
17	ELGA-Ombudsstelle
18	Überprüfung der Identität von ELGA-Teilnehmer:inne:n
...	...
5. Abschnitt: eHealth-Anwendungen 1. Unterabschnitt Primärversorgung
24a
2. Unterabschnitt Elektronischer Impfpass (eImpfpass)
...	...
24e	Rechte der Bürger:innen
24f	...
24g	Auswertungen
24h	Aufteilung der Pflichten gemäß Art. 26 DSGVO
24i	eHealth-Servicestelle
6. Abschnitt: Schlussbestimmungen
...	...
28	Verordnungsermächtigungen für den 2. Abschnitt
28a	Verordnungsermächtigungen für den 4. Abschnitt (ELGA)
28b	Verordnungsermächtigungen für den 5. Abschnitt
28c	Anhörung und Weisungsrechte
...	...

1. Abschnitt

Allgemeine Bestimmungen

Gegenstand

§ 1. (1) Gegenstand dieses Bundesgesetzes ist die Verarbeitung (Art. 4 Z 2 der Verordnung [EU] 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG [Datenschutz-Grundverordnung], ABl. Nr. L 119 vom 04.05.2016 S. 1 [im Folgenden: DSGVO]) personenbezogener elektronischer Gesundheitsdaten und genetischer Daten (Art. 4 Z 15 und Z 13 DSGVO) durch die Gesundheitsdiensteanbieter gemäß § 2 Z 2.

§ 1. (1) Gegenstand dieses Bundesgesetzes ist die Verarbeitung (Art. 4 Z 2 der Verordnung [EU] 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG [Datenschutz-Grundverordnung], ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 074 vom 04.03.2021 S. 35 [im Folgenden: DSGVO]) personenbezogener elektronischer Gesundheitsdaten und genetischer Daten (Art. 4 Z 15 und Z 13 DSGVO) durch die Gesundheitsdiensteanbieter gemäß § 2 Z 2.

(2) Ziele dieses Bundesgesetzes sind:

1. und 2. ...

3. einheitliche Regelungen für die ungerichtete Kommunikation elektronischer Gesundheitsdaten und genetischer Daten, insbesondere in ELGA (§ 2 Z 6), unter besonderer Berücksichtigung der:

a) Teilnehmer/innen/rechte (§ 16), wie insbesondere der Selbstbestimmung der ELGA-Teilnehmer/innen,

a) Teilnehmer:innenrechte (§ 16), wie insbesondere der Selbstbestimmung der ELGA-Teilnehmer:innen,

b) Überprüfung der Identität von Teilnehmer/inne/n (§ 18),

b) Überprüfung der Identität von ELGA-Teilnehmer:inne:n (§ 18),

c) bis e) ...

zu schaffen (4. Abschnitt) sowie

4. ...

(3) ...

Begriffsbestimmungen

§ 2. Im Sinne dieses Bundesgesetzes bedeuten

1. und 1a. ...

2. „Gesundheitsdiensteanbieter“: Verantwortlicher oder Auftragsverarbeiter (Art. 4 Z 7 und 8 DSGVO), die regelmäßig in einer Rolle nach der gemäß § 28 Abs. 1 Z 1 erlassenen Verordnung Gesundheitsdaten oder genetische Daten in elektronischer Form zu folgenden Zwecken verarbeiten:

a) bis d) ...

e) Wahrnehmung von Patient/inn/en/rechten.

e) Wahrnehmung von Patient:inn:enrechten.

3. bis 5. ...

6. „Elektronische Gesundheitsakte“ („ELGA“): ein Informationssystem, das allen berechtigten ELGA-Gesundheitsdiensteanbietern (Z 10) und ELGA-Teilnehmer/inne/n ELGA-Gesundheitsdaten (Z 9) in elektronischer Form orts- und zeitunabhängig (ungerichtete Kommunikation) zur Verfügung stellt.

6. „Elektronische Gesundheitsakte“ („ELGA“): ein Informationssystem, das allen berechtigten ELGA-Gesundheitsdiensteanbietern (Z 10) und ELGA-Teilnehmer:inne:n ELGA-Gesundheitsdaten (Z 9) in elektronischer Form orts- und zeitunabhängig (ungerichtete Kommunikation) zur Verfügung stellt.

7. und 8. ...

9. „ELGA-Gesundheitsdaten“: Folgende personenbezogene Daten, die zur weiteren Behandlung, Betreuung oder Sicherung der Versorgungskontinuität von ELGA-Teilnehmer/inne/n wesentlich sein könnten und in ELGA verarbeitet werden dürfen:

9. „ELGA-Gesundheitsdaten“: Folgende personenbezogene Daten, die zur weiteren Behandlung, Betreuung oder Sicherung der Versorgungskontinuität von ELGA-Teilnehmer:inne:n wesentlich sein könnten und in ELGA verarbeitet werden dürfen:

a) medizinische Dokumente einschließlich allfälliger Bilddaten in standardisierter Form gemäß § 28 Abs. 2 Z 1, die Gesundheitsdaten gemäß Z 1 oder genetische Daten gemäß Z 1a, mit Ausnahme von Daten, die ausschließlich die Verrechnung von Gesundheitsdienstleistungen oder gesundheitsbezogenen Versicherungsdienstleistungen betreffen, enthalten, wie:

a) medizinische Dokumente einschließlich allfälliger Bilddaten in standardisierter Form gemäß 28a Abs. 1 Z 1, die Gesundheitsdaten gemäß Z 1 oder genetische Daten gemäß Z 1a, mit Ausnahme von Daten, die ausschließlich die Verrechnung von Gesundheitsdienstleistungen oder gesundheitsbezogenen Versicherungsdienstleistungen betreffen, enthalten, wie:

aa) bis cc) ...

dd) weitere medizinische Befunde in Struktur und Format gemäß § 28 Abs. 2 Z 3 lit. a,

dd) weitere medizinische Befunde in den Standards für Struktur und Format gemäß § 28a Abs. 1 Z 2 lit. a,,

b) ...

c) Patientenverfügungen (§ 2 Abs. 1 des Patientenverfügungs-Gesetzes, BGBl. I Nr. 55/2006),

c) Patient:inn:enverfügungen (§ 2 Abs. 1 des Patientenverfügungs-Gesetzes, BGBl. I Nr. 55/2006),

d) ...

e) Daten aus den Registern gemäß §§ 73 und 73a des Medizinproduktegesetzes (MPG), BGBl. Nr. 657/1996, sowie

e) Daten aus den Registern gemäß §§ 45 und 46 des Medizinproduktegesetzes 2021, BGBl. I Nr. 122/2021, sowie

f) Patientendaten gemäß Art. 14 Abs. 2 lit. b sublit. i der Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung („patient summary“),

f) Patient:inn:endaten gemäß Art. 14 Abs. 2 lit. b sublit. i der Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung („patient summary“),

wobei Geheimnisse gemäß § 10 Abs. 4 KAKuG, Daten dieser Art, wenn sie von anderen Gesundheitsdiensteanbietern verwendet werden, sowie Aufzeichnungen über Ergebnisse gemäß § 71a Abs. 2 des Gentechnikgesetzes (GTG), BGBl. Nr. 510/1994, keinesfalls ELGA-Gesundheitsdaten sind.

10. „ELGA-Gesundheitsdiensteanbieter“ sind die folgenden Gesundheitsdiensteanbieter (Z 2):

a) Angehörige des ärztlichen Berufes gemäß § 3 des Ärztegesetzes 1998 (ÄrzteG 1998), BGBl. I Nr. 169/1998, auch bei Ausübung des ärztlichen Berufes in der Form einer Zusammenarbeit als selbstständig berufsbefugte Gruppenpraxis, ausgenommen:

aa) und bb) ...

cc) Arbeitsmediziner/innen (§ 81 des ArbeitnehmerInnenschutzgesetzes, BGBl. Nr. 450/1994),

cc) Arbeitsmediziner:innen (§ 81 des ArbeitnehmerInnenschutzgesetzes [ASchG], BGBl. Nr. 450/1994),

dd) bis ff) ...

b) Angehörige des zahnärztlichen Berufes (§ 5 des Zahnärztegesetzes [ZÄG], BGBl. I Nr. 126/2005), auch bei Ausübung des zahnärztlichen Berufes in der Form einer Zusammenarbeit als selbstständig berufsbefugte Gruppenpraxis, ausgenommen:

aa) Dentisten und Dentistinnen (§ 60 ZÄG),

aa) Dentist:inn:en (§ 60 ZÄG),

bb) bis dd) ...

c) bis e) ...

11. ...

12. „ELGA-Teilnehmer/innen“: natürliche Personen, die die Teilnahmevoraussetzungen des § 15 erfüllen und für die daher elektronische Verweise auf sie betreffende ELGA-Gesundheitsdaten (Z 9) aufgenommen werden dürfen.

12. „ELGA-Teilnehmer:innen“: natürliche Personen, die im Patient:inn:enindex gemäß § 18 erfasst sind und einer ELGA-Teilnahme nicht widersprochen haben (§ 15 Abs. 2).

13. ...

14. „ELGA-Ombudsstelle“: jene Stelle, die ELGA-Teilnehmer/innen bei der Wahrnehmung und Durchsetzung ihrer Rechte in Angelegenheiten von ELGA und in Angelegenheiten des Datenschutzes, Bürger/innen darüber hinaus in Angelegenheiten von eHealth-Anwendungen, berät und unterstützt sowie die ELGA-Systempartner bei der Weiterentwicklung der Teilnehmer/innen/rechte und des Datenschutzes unterstützt.

14. „ELGA-Ombudsstelle“: jene Stelle, die ELGA-Teilnehmer:innen bei der Wahrnehmung und Durchsetzung ihrer Rechte in Angelegenheiten von ELGA und in Angelegenheiten des Datenschutzes berät und unterstützt sowie die ELGA-Systempartner bei der Weiterentwicklung der ELGA-Teilnehmer:innenrechte und des Datenschutzes unterstützt.

15. „Widerspruchstellen“: jene Stellen, gegenüber denen ein genereller Widerspruch von ELGA-Teilnehmer/inne/n schriftlich abgegeben werden kann.

15. „Widerspruchstellen“: jene Stellen, gegenüber denen ein genereller Widerspruch von ELGA-Teilnehmer:inne:n schriftlich abgegeben werden kann.

16. „ELGA-Anwendung“: die auf einen bestimmten Zweck gerichtete Verwendung von ELGA durch ELGA-Gesundheitsdiensteanbieter und ELGA-Teilnehmer/innen gemäß dem 4. Abschnitt.

16. „ELGA-Anwendung“: die auf einen bestimmten Zweck gerichtete Verwendung von ELGA durch ELGA-Gesundheitsdiensteanbieter und ELGA-Teilnehmer:innen gemäß dem 4. Abschnitt.

17. „eHealth-Anwendung:“ die auf einen bestimmten Zweck gerichtete Verwendung von ELGA-Komponenten durch Bürger/innen und Gesundheitsdiensteanbieter gemäß dem 5. Abschnitt.

17. „eHealth-Anwendung:“ die auf einen bestimmten Zweck gerichtete Verwendung von ELGA-Komponenten durch Bürger:innen und Gesundheitsdiensteanbieter gemäß dem 5. Abschnitt.

18. „Selbsteintragung“: Die Eintragung von Impfungen sowie deren Berichtigung und Löschung im zentralen Impfregister gemäß § 24e Abs. 6.

2. Abschnitt

Datensicherheit bei der elektronischen Übermittlung von Gesundheitsdaten und genetischen Daten (Art. 4 Z 15 und Z 13 DSGVO)

Grundsätze der Datensicherheit

§ 3. (1) bis (4) ...

Beachte für folgende Bestimmung

[...]

Identität

§ 4. (1) bis (4) ...

(5) Aus Gründen der Patient/inn/en/sicherheit ist die eindeutige Identität

(5) Aus Gründen der Patient:inn:ensicherheit ist die eindeutige Identität

1. und 2. ...

mit Hilfe der eindeutigen elektronischen Kennzeichen gemäß § 8 E-GovG zu speichern.

(6) ...

Identität von Behörden des Öffentlichen Gesundheitsdienstes

§ 4a. (1) Die Bezirksverwaltungsbehörden, der Landeshauptmann und der für das Gesundheitswesen zuständige Bundesminister haben die Zugriffsberechtigungen auf eHealth-Anwendungen (§ 2 Z 17) für die einzelnen Bediensteten der jeweiligen Behörde individuell nach dem jeweiligen Aufgabenbereich festzulegen und zu dokumentieren. Zugriffsberechtigte sind von der Ausübung ihrer Zugriffsberechtigung auszuschließen, wenn sie diese zur Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder sie die Daten nicht entsprechend ihrer Zweckbestimmung verarbeiten.

§ 4a. (1) Die Bezirksverwaltungsbehörden, die Landeshauptleute und der:die für das Gesundheitswesen zuständige Bundesminister:in haben die Zugriffsberechtigungen auf eHealth-Anwendungen (§ 2 Z 17) für die einzelnen Bediensteten der jeweiligen Behörde individuell nach dem jeweiligen Aufgabenbereich festzulegen und zu dokumentieren. Zugriffsberechtigte sind von der Ausübung ihrer Zugriffsberechtigung auszuschließen, wenn sie diese zur Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder sie die Daten nicht entsprechend ihrer Zweckbestimmung verarbeiten.

(2) und (3) ...

Rolle

§ 5. (1) ...

(2) Der für das Gesundheitswesen zuständige Bundesminister hat gemäß § 28 Abs. 1 Z 1 mit Verordnung diese Rollen festzulegen.

(2) Der:Die für das Gesundheitswesen zuständige Bundesminister:in hat gemäß § 28 Abs. 1 Z 1 mit Verordnung diese Rollen festzulegen.

Vertraulichkeit

§ 6. (1) Die Vertraulichkeit bei der elektronischen Übermittlung von Gesundheitsdaten und genetischen Daten ist dadurch sicherzustellen, dass entweder

1. die elektronische Übermittlung von Gesundheitsdaten und genetischen Daten über Netzwerke durchgeführt wird, die entsprechend dem Stand der Technik in der Netzwerksicherheit gegenüber unbefugten Zugriffen abgesichert sind, indem sie zumindest

a) ...

b) den Netzzugang ausschließlich für eine geschlossene oder abgrenzbare Benutzer/innen/gruppe sowie

b) den Netzzugang ausschließlich für eine geschlossene oder abgrenzbare Benutzer:innengruppe sowie

c) die Authentifizierung der Benutzer/innen

c) die Authentifizierung der Benutzer:innen

vorsehen, oder

2. Protokolle und Verfahren verwendet werden,

2. Protokolle und Verfahren verwendet werden, die entsprechend dem Stand der Technik die vollständige Verschlüsselung der Gesundheitsdaten und genetischen Daten bewirken.

a) die die vollständige Verschlüsselung der Gesundheitsdaten und genetischen Daten bewirken und

b) deren kryptographische Algorithmen in der Verordnung gemäß § 28 Abs. 1 Z 2 angeführt sind.

(2) und (3) ...

Integrität

§ 7. (1) und (2) ...

IT-Sicherheitskonzept

§ 8. (1) und (2) ...

(3) Die Dokumentation gemäß Abs. 1 ist auf Verlangen des für das Gesundheitswesen zuständigen Bundesministers diesem zu übermitteln.

(3) Die Dokumentation gemäß Abs. 1 ist dem:der für das Gesundheitswesen zuständigen Bundesminister:in auf dessen:deren Verlangen zu übermitteln.

3. Abschnitt

Informationsmanagement

Organisation des eHealth-Verzeichnisdienstes (eHVD)

§ 9. (1) Der für das Gesundheitswesen zuständige Bundesminister hat zur

§ 9. (1) Der:Die für das Gesundheitswesen zuständige Bundesminister:in hat zur

1. bis 3. ...

einen eHealth-Verzeichnisdienst (eHVD) zu betreiben.

(2) ...

(3) Die Eintragung der in § 10 Abs. 1 genannten Daten in den eHVD und deren Austragung aus dem eHVD erfolgt:

1. durch laufende elektronische Übermittlung aus:

a) bis d) ...

e) der Liste der klinischen Psychologen und Gesundheitspsychologen gemäß § 16 des Psychologengesetzes, BGBl. Nr. 360/1990,

e) der Liste der Gesundheitspsycholog:inn:en gemäß § 17 des Psychologengesetzes 2013, BGBl. I Nr. 182/2013, sowie der Liste der Klinischen Psycholog:inn:en gemäß § 26 des Psychologengesetzes 2013,

f) der Psychotherapeutenliste gemäß § 17 des Psychotherapiegesetzes, BGBl. Nr. 361/1990,

f) der Psychotherapeut:inn:enliste gemäß § 17 des Psychotherapiegesetzes, BGBl. Nr. 361/1990,

g) der Musiktherapeutenliste gemäß § 19 des Musiktherapiegesetzes, BGBl. I Nr. 93/2008, sowie

g) der Musiktherapeut:inn:enliste gemäß § 19 des Musiktherapiegesetzes, BGBl. I Nr. 93/2008, sowie

h) der Kardiotechnikerliste gemäß § 19 des Kardiotechnikergesetzes, BGBl. I Nr. 96/1998 oder

h) der Kardiotechniker:innenliste gemäß § 19 des Kardiotechnikergesetzes, BGBl. I Nr. 96/1998 oder

2. ...

3. durch den für das Gesundheitswesen zuständigen Bundesminister für alle übrigen Gesundheitsdiensteanbieter.

3. durch den:die für das Gesundheitswesen zuständige:n Bundesminister:in für alle übrigen Gesundheitsdiensteanbieter.

(4) und (5) ...

Daten des eHealth-Verzeichnisdienstes

§ 10. (1) und (2) ...

(3) Die Angaben über besondere Befugnisse oder Eigenschaften gemäß Abs. 1 Z 5 und zu Abs. 1 Z 6, 9, 10, 12 und 13 sind von dem für das Gesundheitswesen zuständigen Bundesminister zu ergänzen.

(3) Die Angaben über besondere Befugnisse oder Eigenschaften gemäß Abs. 1 Z 5 und zu Abs. 1 Z 6, 9, 10, 12 und 13 sind von dem:der für das Gesundheitswesen zuständigen Bundesminister:in zu ergänzen.

(4) Für die eindeutige elektronische Identifikation von Gesundheitsdiensteanbietern (Abs. 1 Z 3), die natürliche Personen sind, haben Registrierungsstellen bereichsspezifische Personenkennzeichen zu verwenden. Werden die bereichsspezifischen Personenkennzeichen von den Registrierungsstellen nicht zur Verfügung gestellt, sind dem für das Gesundheitswesen zuständigen Bundesminister zusätzlich zu den Angaben gemäß Abs. 1 das Geburtsdatum, das Geschlecht sowie der Geburtsort des betreffenden Gesundheitsdiensteanbieters, falls letzterer verfügbar und zu Identifikationszwecken erforderlich ist, zu übermitteln.

(4) Für die eindeutige elektronische Identifikation von Gesundheitsdiensteanbietern (Abs. 1 Z 3), die natürliche Personen sind, haben Registrierungsstellen bereichsspezifische Personenkennzeichen zu verwenden. Werden die bereichsspezifischen Personenkennzeichen von den Registrierungsstellen nicht zur Verfügung gestellt, sind dem:der für das Gesundheitswesen zuständigen Bundesminister:in zusätzlich zu den Angaben gemäß Abs. 1 das Geburtsdatum, das Geschlecht sowie der Geburtsort des betreffenden Gesundheitsdiensteanbieters, falls letzterer verfügbar und zu Identifikationszwecken erforderlich ist, zu übermitteln.

(5) Die eindeutige Kennung gemäß Abs. 1 Z 6 (OID und symbolischer Bezeichner) ist anhand der ÖNORM A 2642, „Informationstechnologie – Kommunikation offener Systeme, Verfahren zur Registrierung von Informationsobjekten in Österreich“ vom 1. Jänner 2011 aus der Kennung (OID) des für das Gesundheitswesen zuständigen Bundesministeriums abzuleiten. Die im Abs. 1 Z 1 bis 7, 12 und 13 bezeichneten Daten dürfen von dem für das Gesundheitswesen zuständigen Bundesminister einem gegebenenfalls eingerichteten System für die Vergabe und Verwaltung von Objektidentifikatoren übermittelt werden.

(5) Die eindeutige Kennung gemäß Abs. 1 Z 6 (OID und symbolischer Bezeichner) ist anhand der ÖNORM A 2642, „Informationstechnologie – Kommunikation offener Systeme, Verfahren zur Registrierung von Informationsobjekten in Österreich“ vom 1. Jänner 2011 aus der Kennung (OID) des für das Gesundheitswesen zuständigen Bundesministeriums abzuleiten. Die im Abs. 1 Z 1 bis 7, 12 und 13 bezeichneten Daten dürfen von dem:der für das Gesundheitswesen zuständigen Bundesminister:in einem gegebenenfalls eingerichteten System für die Vergabe und Verwaltung von Objektidentifikatoren übermittelt werden.

(6) ...

(7) Der für das Gesundheitswesen zuständige Bundesminister darf die im eHVD gemäß Abs. 1 Z 1 bis 6, 8, 12 und 13 gespeicherten Daten Gesundheitsdiensteanbietern oder deren Auftragsverarbeitern (Art. 4 Z 8 DSGVO) im Umfang des nachzuweisenden Bedarfs übermitteln. Die Übermittlungsempfänger dürfen die Daten ausschließlich für Zwecke gemäß § 9 Abs. 1 Z 1 verarbeiten.

(7) Der:Die für das Gesundheitswesen zuständige Bundesminister:in darf die im eHVD gemäß Abs. 1 Z 1 bis 6, 8, 12 und 13 gespeicherten Daten Gesundheitsdiensteanbietern oder deren Auftragsverarbeitern (Art. 4 Z 8 DSGVO) im Umfang des nachzuweisenden Bedarfs übermitteln. Die Übermittlungsempfänger dürfen die Daten ausschließlich für Zwecke gemäß § 9 Abs. 1 Z 1 verarbeiten.

Monitoring

§ 11. (1) Der für das Gesundheitswesen zuständige Bundesminister kann zur Evaluierung der Nutzung und der Auswirkungen von Informations- und Kommunikationstechnologien im Gesundheitswesen – unter Bedachtnahme auf die Anforderungen des europäischen Umfeldes – ein bundesweites Berichtswesen einrichten, das auf der Basis standardisierter Vorgaben Auskünfte insbesondere über

§ 11. (1) Der:Die für das Gesundheitswesen zuständige Bundesminister:in kann zur Evaluierung der Nutzung und der Auswirkungen von Informations- und Kommunikationstechnologien im Gesundheitswesen – unter Bedachtnahme auf die Anforderungen des europäischen Umfeldes – ein bundesweites Berichtswesen einrichten, das auf der Basis standardisierter Vorgaben Auskünfte insbesondere über

1. bis 3. ...

ermöglicht.

(2) ...

(3) Der für das Gesundheitswesen zuständige Bundesminister hat den Bericht gemäß Abs. 1 dem Nationalrat vorzulegen und ist berechtigt, die Ergebnisse dieses Berichts auch für die Berichterstattung an Einrichtungen der Europäischen Union oder an andere internationale Organisationen zu verwenden.

(3) Der:Die für das Gesundheitswesen zuständige Bundesminister:in hat den Bericht gemäß Abs. 1 dem Nationalrat vorzulegen und ist berechtigt, die Ergebnisse dieses Berichts auch für die Berichterstattung an Einrichtungen der Europäischen Union oder an andere internationale Organisationen zu verwenden.

(4) ...

Grundlagen der grenzüberschreitenden Gesundheitsversorgung

§ 12. Der für das Gesundheitswesen zuständige Bundesminister hat die Kontinuität der Behandlung und der Patient/inn/en/sicherheit grenzüberschreitend zu unterstützen und die dafür erforderlichen, insbesondere technischen Grundlagen, zu schaffen.

§ 12. Der:Die für das Gesundheitswesen zuständige Bundesminister:in hat die Kontinuität der Behandlung und der Patient:inn:ensicherheit grenzüberschreitend zu unterstützen und die dafür erforderlichen, insbesondere technischen Grundlagen, zu schaffen.

Öffentliches Gesundheitsportal Österreichs

§ 12a. (1) Der:Die für das Gesundheitswesen zuständige Bundesminister:in darf zur Bereitstellung qualitätsgesicherter gesundheitsbezogener Informationen für die Bevölkerung ein öffentlich zugängliches Gesundheitsportal betreiben.

(2) Dieses Gesundheitsportal hat den Zugang (§ 23) zu

1. ELGA,

2. dem Elektronischen Impfpass (eImpfpass),

3. dem eHVD-Webservice gemäß § 10 Abs. 7 sowie

4. den Zertifikaten gemäß § 4b Abs. 1 in Verbindung mit Abs. 7 Z 3 des Epidemiegesetz 1950 (EpiG), BGBl. Nr. 186/1950,

anzubieten und die Überprüfung der Identität der betroffenen Personen gemäß § 4 Abs. 3 in Verbindung mit § 18 Abs. 4 Z 2 zu gewährleisten.

4. Abschnitt

Elektronische Gesundheitsakte (ELGA)

Allgemeine Bestimmungen zur Elektronischen Gesundheitsakte

§ 13. (1) Die Verwendung der Elektronischen Gesundheitsakte erfüllt ein erhebliches öffentliches Interesse gemäß Art. 9 Abs. 2 lit. g bis j der DSGVO. Dieses erhebliche öffentliche Interesse an der Nutzung von ELGA ergibt sich insbesondere aus:

1. bis 4. ...

5. der Stärkung der Patient/inn/en/rechte, insbesondere der Informationsrechte und des Rechtsschutzes bei der Verarbeitung von personenbezogenen Daten sowie

5. der Stärkung der Patient:inn:enrechte, insbesondere der Informationsrechte und des Rechtsschutzes bei der Verarbeitung von personenbezogenen Daten sowie

6. ...

(2) ELGA-Gesundheitsdiensteanbieter haben zur Erfüllung der in § 14 Abs. 2 genannten Zwecke das Recht, ELGA-Gesundheitsdaten in ELGA zu speichern und unter Berücksichtigung der jeweiligen Berufspflichten (z. B. § 49 Abs. 1 ÄrzteG 1998; § 10 Apothekenbetriebsordnung 2005, BGBl. II Nr. 65/2005) zu erheben, sofern in diesem Bundesgesetz nichts Anderes, etwa durch die Ausübung von ELGA-Teilnehmer/innen/rechten gemäß § 16, festgelegt ist.

(2) ELGA-Gesundheitsdiensteanbieter haben zur Erfüllung der in § 14 Abs. 2 genannten Zwecke das Recht, ELGA-Gesundheitsdaten in ELGA zu speichern und unter Berücksichtigung der jeweiligen Berufspflichten (z. B. § 49 Abs. 1 ÄrzteG 1998; § 10 Apothekenbetriebsordnung 2005, BGBl. II Nr. 65/2005) zu erheben, sofern in diesem Bundesgesetz nichts anderes, etwa durch die Ausübung von ELGA-Teilnehmer:innenrechten gemäß § 16, festgelegt ist.

(3) Zur Sicherstellung der in Abs. 1 genannten Ziele sind in ELGA frühestens ab den in § 27 Abs. 2 bis 6 genannten Zeitpunkten und spätestens ab dem Zeitpunkt gemäß § 28 Abs. 2 Z 4 zu speichern:

(3) Zur Sicherstellung der in Abs. 1 genannten Ziele sind in ELGA frühestens ab den in § 27 Abs. 2 bis 6 genannten Zeitpunkten und spätestens ab dem Zeitpunkt gemäß § 28a Abs. 1 Z 3 zu speichern:

1. ...

2. Laborbefunde (§ 2 Z 9 lit. a sublit. bb) durch Angehörige des ärztlichen Berufes (§ 2 Z 10 lit. a), sofern diese Fachärzte/Fachärztinnen der Sonderfächer medizinisch-chemische Labordiagnostik oder Hygiene und Mikrobiologie sind, sowie durch Krankenanstalten (§ 2 Z 10 lit. d) im Rahmen ambulanter Behandlung,

2. Laborbefunde (§ 2 Z 9 lit. a sublit. bb) durch Angehörige des ärztlichen Berufes (§ 2 Z 10 lit. a), sofern diese Fachärzte und Fachärztinnen der Sonderfächer medizinisch-chemische Labordiagnostik oder Hygiene und Mikrobiologie sind, sowie durch Krankenanstalten (§ 2 Z 10 lit. d) im Rahmen ambulanter Behandlung,

3. Befunde der bildgebenden Diagnostik durch Angehörige des ärztlichen Berufes (§ 2 Z 10 lit. a), sofern diese Fachärzte/Fachärztinnen des Sonderfaches Radiologie sind, sowie durch Krankenanstalten (§ 2 Z 10 lit. d) im Rahmen ambulanter Behandlung,

3. Befunde der bildgebenden Diagnostik durch Angehörige des ärztlichen Berufes (§ 2 Z 10 lit. a), sofern diese Fachärzte und Fachärztinnen des Sonderfaches Radiologie sind, sowie durch Krankenanstalten (§ 2 Z 10 lit. d) im Rahmen ambulanter Behandlung,

4. ...

5. Medikationsdaten (§ 2 Z 9 lit. b), insoweit sich diese auf Handelsname bzw. Wirkstoff beziehen, durch Apotheken (§ 2 Z 10 lit. c) und hausapothekenführende Ärzte/Ärztinnen bei der Abgabe,

5. Medikationsdaten (§ 2 Z 9 lit. b), insoweit sich diese auf Handelsname bzw. Wirkstoff beziehen, durch Apotheken (§ 2 Z 10 lit. c) und hausapothekenführende Ärzte und Ärztinnen bei der Abgabe,

6. weitere Befunde (§ 2 Z 9 lit. a sublit. dd) gemäß § 28 Abs. 2 Z 3 und 4.

6. weitere Befunde (§ 2 Z 9 lit. a sublit. dd) gemäß § 28a Abs. 1 Z 2 und 3.

(4) ...

(5) Die ELGA-Systempartner haben unter Berücksichtigung der gebotenen Sicherheitsanforderungen ELGA so zur Verfügung zu stellen, dass die Anbindung von ELGA bei den ELGA-Teilnehmer/inne/n und den ELGA-Gesundheitsdiensteanbietern benutzer- und anwenderfreundlich, insbesondere durch einfach zu handhabende, effektive und für medizinische Kriterien optimierte Such- und Filterfunktionen, möglich ist.

(5) Die ELGA-Systempartner haben unter Berücksichtigung der gebotenen Sicherheitsanforderungen ELGA so zur Verfügung zu stellen, dass die Anbindung von ELGA bei den ELGA-Teilnehmer:inne:n und den ELGA-Gesundheitsdiensteanbietern benutzer- und anwenderfreundlich, insbesondere durch einfach zu handhabende, effektive und für medizinische Kriterien optimierte Such- und Filterfunktionen, möglich ist.

(6) ...

(7) Ist aus Gründen, die nicht vom ELGA-Gesundheitsdiensteanbieter verschuldet sind, im konkreten Einzelfall eine Verwendung von ELGA technisch nicht möglich oder ist durch den mit der Suche verbundenen Zeitaufwand das Leben oder die Gesundheit des ELGA-Teilnehmers/der ELGA-Teilnehmerin ernstlich gefährdet, ist der ELGA-Gesundheitsdiensteanbieter nicht verpflichtet, ELGA-Gesundheitsdaten im Wege von ELGA zu erheben.

(7) Ist aus Gründen, die nicht vom ELGA-Gesundheitsdiensteanbieter verschuldet sind, im konkreten Einzelfall eine Verwendung von ELGA technisch nicht möglich oder ist durch den mit der Suche verbundenen Zeitaufwand das Leben oder die Gesundheit von dem:der ELGA-Teilnehmer:in ernstlich gefährdet, ist der ELGA-Gesundheitsdiensteanbieter nicht verpflichtet, ELGA-Gesundheitsdaten im Wege von ELGA zu erheben.

Grundsätze der Datenverarbeitung

§ 14. (1) Die Verarbeitung (Art. 4 Z 2 DSGVO) von ELGA-Gesundheitsdaten ist nur zulässig, wenn

1. die ELGA-Teilnehmer/innen (§ 15 Abs. 1) gemäß § 18 eindeutig identifiziert wurden,

1. die ELGA-Teilnehmer:innen gemäß § 18 eindeutig identifiziert wurden,

2. und 3. ...

(2) Die durch ELGA verfügbar gemachten ELGA-Gesundheitsdaten dürfen personenbezogen ausschließlich

1. für Zwecke gemäß Art. 9 Abs. 2 lit. h DSGVO, ausgenommen für die Zwecke der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich sowie – unbeschadet der Fälle zulässiger Verarbeitung gemäß § 14 Abs. 3a – ausgenommen für Zwecke der Arbeitsmedizin und die Beurteilung der Arbeitsfähigkeit des Beschäftigten, von

a) den/die ELGA-Teilnehmer/in behandelnden oder betreuenden ELGA-Gesundheitsdiensteanbietern,

a) den:die ELGA-Teilnehmer:in behandelnden oder betreuenden ELGA-Gesundheitsdiensteanbietern,

b) ELGA-Gesundheitsdiensteanbietern, an die ein/eine ELGA-Teilnehmer/in zur Behandlung oder Betreuung von einem ELGA-Gesundheitsdiensteanbieter gemäß lit a zugewiesen wurde sowie

b) ELGA-Gesundheitsdiensteanbietern, an die ein:e ELGA-Teilnehmer:in zur Behandlung oder Betreuung von einem ELGA-Gesundheitsdiensteanbieter gemäß lit a zugewiesen wurde sowie

c) ...

2. zur Wahrnehmung der Teilnehmer/innen/rechte gemäß § 16 von

2. zur Wahrnehmung der Teilnehmer:innenrechte gemäß § 16 von

a) ELGA-Teilnehmer/inne/n,

a) ELGA-Teilnehmer:inne:n,

b) deren gesetzlichen oder bevollmächtigten Vertreter/inne/n sowie

b) deren gesetzlichen oder bevollmächtigten Vertreter:inne:n sowie

c) ...

verarbeitet werden.

(2a) Die Wahrnehmung der Teilnehmer/innen/rechte gemäß § 16 steht ab Vollendung des 14. Lebensjahres (mündige Minderjährige) ausschließlich dem ELGA-Teilnehmer/der ELGA-Teilnehmerin zu.

(2a) Die für die Wahrnehmung der Teilnehmer:innenrechte erforderliche Entscheidungsfähigkeit (§ 24 Abs. 2 ABGB) wird im Zweifel ab Vollendung des 14. Lebensjahres (mündige Minderjährige) vermutet.

(3) Das Verlangen, der Zugriff auf und die Verarbeitung von durch ELGA verfügbar gemachten ELGA-Gesundheitsdaten ist jedenfalls verboten:

1. ...

2. ELGA-Gesundheitsdiensteanbietern, die nicht in die Behandlung oder Betreuung eines ELGA-Teilnehmers/einer ELGA-Teilnehmerin eingebunden sind,

2. ELGA-Gesundheitsdiensteanbietern, die nicht in die Behandlung oder Betreuung von einem:einer ELGA-Teilnehmer:in eingebunden sind,

3. ...

4. der ELGA-Ombudsstelle, wenn sie nicht in die Beratung oder Unterstützung eines ELGA-Teilnehmers/einer ELGA-Teilnehmerin eingebunden ist,

4. der ELGA-Ombudsstelle, wenn sie nicht in die Beratung oder Unterstützung von einem:einer ELGA-Teilnehmer:in eingebunden ist,

5. Arbeitgeber/inne/n, Beschäftiger/innen, Personalberater/inne/n,

5. Arbeit- bzw. Dienstgeber:inne:n, Beschäftiger:innen, Personalberater:inne:n,

6. Versicherungsunternehmen,

7. Trägern der gesetzlichen Sozialversicherung sowie der Kranken- und Unfallfürsorgeanstalten, sofern sie nicht in die Behandlung oder Betreuung eines ELGA-Teilnehmers/einer ELGA-Teilnehmerin gemäß Abs. 2 und 3a eingebunden sind,

7. Trägern der gesetzlichen Sozialversicherung sowie der Kranken- und Unfallfürsorgeanstalten, sofern sie nicht in die Behandlung oder Betreuung von einem:einer ELGA-Teilnehmer:in gemäß Abs. 2 und 3a eingebunden sind,

8. und 9. ...

(3a) ELGA-Gesundheitsdiensteanbieter, die Arbeitgeber oder Beschäftiger und in die Behandlung oder Betreuung von ELGA-Teilnehmer/inne/n eingebunden sind, die ihre Arbeitnehmer/innen sind oder von ihnen beschäftigt werden, dürfen deren ELGA-Gesundheitsdaten nur dann verarbeiten, wenn sie

(3a) ELGA-Gesundheitsdiensteanbieter, die Arbeitgeber oder Beschäftiger und in die Behandlung oder Betreuung von ELGA-Teilnehmer:inne:n eingebunden sind, die ihre Arbeitnehmer:innen sind oder von ihnen beschäftigt werden, dürfen deren ELGA-Gesundheitsdaten nur dann verarbeiten, wenn sie

1. diese ELGA-Teilnehmer/innen zuvor ausdrücklich auf die Teilnehmer/innen/rechte gemäß § 16 hingewiesen haben und

1. diese ELGA-Teilnehmer:innen zuvor ausdrücklich auf die Teilnehmer:innenrechte gemäß § 16 hingewiesen haben und

2. durch technische Mittel sichergestellt haben, dass innerhalb von ELGA-Gesundheitsdiensteanbietern nur Personen auf ELGA-Gesundheitsdaten zugreifen können, die in den konkreten Behandlungs- oder Betreuungsprozess des jeweiligen ELGA Teilnehmers/der jeweiligen ELGA-Teilnehmerin eingebunden sind.

2. durch technische Mittel sichergestellt haben, dass innerhalb von ELGA-Gesundheitsdiensteanbietern nur Personen auf ELGA-Gesundheitsdaten zugreifen können, die in den konkreten Behandlungs- oder Betreuungsprozess von dem:der jeweiligen ELGA-Teilnehmer:in eingebunden sind.

(4) ELGA-Gesundheitsdiensteanbieter, die ELGA-Ombudsstelle sowie deren Auftragsverarbeiter (Art. 4 Z 8 DSGVO) und Mitarbeiter/innen – das sind Arbeitnehmer/innen (Dienstnehmer/innen) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben ELGA-Gesundheitsdaten, die ihnen aufgrund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten.

(4) ELGA-Gesundheitsdiensteanbieter, die ELGA-Ombudsstelle sowie deren Auftragsverarbeiter (Art. 4 Z 8 DSGVO) und Mitarbeiter:innen – das sind Arbeit- und Diensternehmer:innen sowie Personen in einem arbeits- oder dienstnehmerähnlichen Verhältnis – unterliegen dem Datengeheimnis gemäß § 6 DSG.

(5) Die aufgrund dieses Abschnittes vorzunehmenden Datenverarbeitungen erfüllen die Voraussetzungen des Art. 35 Abs. 10 DSGVO für einen Entfall der Datenschutz-Folgenabschätzung, sodass insbesondere weder die ELGA-Systempartner noch die ELGA-Gesundheitsdiensteanbieter eine Datenschutz-Folgenabschätzung durchführen müssen.

Grundsätze der ELGA-Teilnahme

§ 15. (1) ELGA-Teilnehmer/innen sind alle natürlichen Personen, die

§ 15.

1. im Patientenindex gemäß § 18 erfasst sind und somit jedenfalls jene Personen, die in den Datenverarbeitungen des Dachverbandes gemäß § 30c Abs. 1 Z 2 lit. a ASVG oder dem Ergänzungsregister gemäß § 6 Abs. 4 E-GovG erfasst sind und

2. einer ELGA-Teilnahme nicht widersprochen haben (Abs. 2).

(2) Der Teilnahme an ELGA kann jederzeit generell widersprochen werden (Opt-out). Dabei ist anzugeben, ob sich dieser Widerspruch auf alle oder einzelne Arten von ELGA-Gesundheitsdaten (§ 2 Z 9) beziehen soll. Dieser generelle Widerspruch kann

1. schriftlich gegenüber gemäß § 28 Abs. 2 Z 7 festzulegenden Widerspruchstellen abgegeben werden oder

2. elektronisch über das Zugangsportal (§ 23) erfolgen,

jedenfalls aber so, dass sowohl die eindeutige Identität der Person, die nicht an ELGA teilnehmen möchte, als auch die Authentizität der Mitteilung geprüft werden können. Der Widerspruch ist zu bestätigen. Der für das Gesundheitswesen zuständige Bundesminister hat durch Verordnung (§ 28 Abs. 2 Z 7) Widerspruchstellen einzurichten. Dabei sind insbesondere nähere Regelungen für die Wahrnehmung ihrer Aufgaben und für die Sicherstellung der Teilnehmer/innen/rechte zu treffen.

1. schriftlich gegenüber der Widerspruchstelle abgegeben werden oder

2. elektronisch über das Zugangsportal (§ 23) erfolgen,

jedenfalls aber so, dass sowohl die eindeutige Identität der Person, die der Teilnahme an ELGA widerspricht, als auch die Authentizität der Mitteilung geprüft werden können. Der Widerspruch ist zu bestätigen. Der:Die für das Gesundheitswesen zuständige Bundesminister:in hat durch Verordnung (§ 28a Abs. 1 Z 7) Widerspruchstellen einzurichten. Dabei sind insbesondere nähere Regelungen für die Wahrnehmung ihrer Aufgaben und für die Sicherstellung der Teilnehmer:innenrechte zu treffen.

(3) und (4) ...

Rechte der ELGA-Teilnehmer/innen

Rechte der ELGA-Teilnehmer:innen

§ 16. (1) ELGA-Teilnehmer/innen haben elektronisch im Wege des Zugangsportals (§ 23) oder schriftlich gegenüber der ELGA-Ombudsstelle (§ 17) das Recht

§ 16. (1) ELGA-Teilnehmer:innen haben elektronisch im Wege des Zugangsportals (§ 23) oder gegenüber der ELGA-Ombudsstelle (§ 17) das Recht

1. und 2. ...

(2) ELGA-Teilnehmer/innen haben gegenüber den behandelnden oder betreuenden ELGA-Gesundheitsdiensteanbietern das Recht

(2) ELGA-Teilnehmer:innen haben gegenüber den behandelnden oder betreuenden ELGA-Gesundheitsdiensteanbietern das Recht

1. ...

2. der Aufnahme von elektronischen Verweisen und ELGA-Gesundheitsdaten einschließlich einzelner Medikationsdaten für einen Behandlungs- oder Betreuungsfall zu widersprechen, sofern dies nicht aufgrund anderer gesetzlicher Dokumentationsverpflichtungen ausgeschlossen ist. Über dieses Recht ist der ELGA-Teilnehmer/die ELGA-Teilnehmerin insbesondere bei ELGA-Gesundheitsdaten, die sich auf

2. der Aufnahme von elektronischen Verweisen und ELGA-Gesundheitsdaten einschließlich einzelner Medikationsdaten für einen Behandlungs- oder Betreuungsfall zu widersprechen, sofern dies nicht aufgrund anderer gesetzlicher Dokumentationsverpflichtungen ausgeschlossen ist. Über dieses Recht ist der:die ELGA-Teilnehmer:in insbesondere bei ELGA-Gesundheitsdaten, die sich auf

a) bis d) ...

beziehen, zu informieren.

(3) Personen, die

1. ...

2. die ihnen zustehenden Teilnehmer/innen/rechte ausüben,

2. die ihnen zustehenden Teilnehmer:innenrechte ausüben,

dürfen dadurch weder im Zugang zur medizinischen Versorgung noch hinsichtlich der Kostentragung Nachteile erleiden. Sie tragen jedoch die Verantwortung, wenn aus diesem Grund ein ELGA-Gesundheitsdiensteanbieter trotz Einhaltung seiner Sorgfaltspflichten von einem für die Behandlung oder Betreuung wesentlichen Umstand nicht Kenntnis erlangen kann. ELGA-Gesundheitsdiensteanbieter sind gegenüber ELGA-Teilnehmer/inne/n nicht zur Nachfrage über die Ausübung von Teilnehmer/innen/rechten verpflichtet.

dürfen dadurch weder im Zugang zur medizinischen Versorgung noch hinsichtlich der Kostentragung Nachteile erleiden. Sie tragen jedoch die Verantwortung, wenn aus diesem Grund ein ELGA-Gesundheitsdiensteanbieter trotz Einhaltung seiner Sorgfaltspflichten von einem für die Behandlung oder Betreuung wesentlichen Umstand nicht Kenntnis erlangen kann. ELGA-Gesundheitsdiensteanbieter sind gegenüber ELGA-Teilnehmer:inne:n nicht zur Nachfrage über die Ausübung von Teilnehmer:innenrechten verpflichtet.

(4) ...

(5) Der für das Gesundheitswesen zuständige Bundesminister hat laufend Informationen über den aktuellen Stand von ELGA zu veröffentlichen und die betroffenen Personen (Art. 4 Z 1 DSGVO) über ihre Rechte zu informieren.

(5) Der:Die für das Gesundheitswesen zuständige Bundesminister:in hat laufend Informationen über den aktuellen Stand von ELGA zu veröffentlichen und die betroffenen Personen (Art. 4 Z 1 DSGVO) über ihre Rechte zu informieren.

ELGA-Ombudsstelle

§ 17. (1) Die ELGA-Ombudsstelle (§ 2 Z 14) ist von dem für das Gesundheitswesen zuständigen Bundesminister durch Verordnung (§ 28 Abs. 2 Z 8) einzurichten. Dabei sind insbesondere nähere Regelungen für die Wahrnehmung der Aufgaben gemäß Abs. 2 und für die Sicherstellung der Rechte der ELGA-Teilnehmer/innen zu treffen.

(2) Der für das Gesundheitswesen zuständige Bundesminister hat die ELGA-Ombudsstelle zu betreiben. Aufgabe der ELGA-Ombudsstelle ist die Information, Beratung und Unterstützung betroffener Personen (Art. 4 Z 1 DSGVO) in Angelegenheiten im Zusammenhang mit ELGA, insbesondere bei der Durchsetzung von Teilnehmer/innen/rechten und in Angelegenheiten des Datenschutzes. In diesem Sinne hat die ELGA-Ombudsstelle als Anlaufstelle für den ELGA-Teilnehmer/die ELGA-Teilnehmerin auf Antrag binnen zwei Wochen alle Auskünfte zu erteilen, die notwendig sind, um den für die Verarbeitung seiner/ihrer Daten in ELGA Verantwortlichen (Art. 4 Z 7 DSGVO) festzustellen. Dabei sind die Mitarbeiter/innen der ELGA-Ombudsstelle in Ausübung ihrer Tätigkeit gegenüber dem für das Gesundheitswesen zuständigen Bundesminister im Zusammenhang mit der Information, Beratung und Unterstützung weisungsfrei. Die Zugriffe der ELGA-Ombudsstelle auf ELGA-Gesundheitsdaten sind zu protokollieren. Die Zuständigkeiten der Datenschutzbehörde bleiben von dieser Bestimmung unberührt.

§ 17. (1) Die ELGA-Ombudsstelle (§ 2 Z 14) ist von dem:der für das Gesundheitswesen zuständigen Bundesminister:in durch Verordnung (§ 28a Abs. 1 Z 8) einzurichten. Dabei sind insbesondere nähere Regelungen für die Wahrnehmung der Aufgaben gemäß Abs. 2 und für die Sicherstellung der Rechte der ELGA-Teilnehmer:innen zu treffen.

(2) Der:Die für das Gesundheitswesen zuständige Bundesminister:in hat die ELGA-Ombudsstelle zu betreiben. Aufgabe der ELGA-Ombudsstelle ist die Information, Beratung und Unterstützung betroffener Personen (Art. 4 Z 1 DSGVO) in Angelegenheiten im Zusammenhang mit ELGA, insbesondere bei der Wahrnehmung von Teilnehmer:innenrechten und in Angelegenheiten des Datenschutzes. In diesem Sinne hat die ELGA-Ombudsstelle als Anlaufstelle für den:die ELGA-Teilnehmer:in auf Antrag binnen zwei Wochen alle Auskünfte zu erteilen, die notwendig sind, um den für die Verarbeitung seiner:ihrer Daten in ELGA Verantwortlichen (Art. 4 Z 7 DSGVO) festzustellen. Dabei sind die Mitarbeiter:innen der ELGA-Ombudsstelle in Ausübung ihrer Tätigkeit gegenüber dem:der für das Gesundheitswesen zuständigen Bundesminister:in im Zusammenhang mit der Information, Beratung und Unterstützung weisungsfrei. Die Zugriffe der ELGA-Ombudsstelle auf ELGA-Gesundheitsdaten sind zu protokollieren.

(3) Die ELGA-Ombudsstelle hat auch die ELGA-Systempartner bei der Weiterentwicklung der Teilnehmer/innen/rechte und des Datenschutzes zu unterstützen.

(3) Die ELGA-Ombudsstelle hat auch die ELGA-Systempartner bei der Weiterentwicklung der Teilnehmer:innenrechte und des Datenschutzes zu unterstützen.

(4) Personen, die für die ELGA-Ombudsstelle tätig werden, dürfen in ELGA-Angelegenheiten auf Verlangen von ELGA-Teilnehmer/inne/n für diese gemäß § 5 Abs. 3 E-GovG vertretungsweise handeln. Die Stammzahlenregisterbehörde hat auf Antrag der für die ELGA-Ombudsstelle tätigen Personen an Stelle der Stammzahl, ein bPK des/der Vertretenen zur Verfügung zu stellen.

(4) Personen, die für die ELGA-Ombudsstelle tätig werden, dürfen in ELGA-Angelegenheiten auf Verlangen von ELGA-Teilnehmer:inne:n für diese gemäß § 5 Abs. 3 E-GovG vertretungsweise handeln. Die Stammzahlenregisterbehörde hat auf Antrag der für die ELGA-Ombudsstelle tätigen Personen an Stelle der Stammzahl, ein bPK von dem:der Vertretenden zur Verfügung zu stellen.

Überprüfung der Identität von ELGA-Teilnehmer/inne/n

Überprüfung der Identität von ELGA-Teilnehmer:inne:n

§ 18. (1) Der Dachverband hat im übertragenen Wirkungsbereich einen Patientenindex einzurichten und zu betreiben. Dieser dient:

§ 18. (1) Der Dachverband hat im übertragenen Wirkungsbereich einen Patient:inn:enindex einzurichten und zu betreiben. Dieser dient:

1. und 2. ...

(2) Im Patientenindex sind folgende Daten natürlicher Personen zu verarbeiten:

(2) Im Patient:inn:enindex sind folgende Daten natürlicher Personen zu verarbeiten:

1. bis 4. ...

(3) ...

(4) Die Überprüfung der Identität der ELGA-Teilnehmer/innen (§ 14 Abs. 1 Z 1) hat in elektronischer Form unter Mitwirkung des ELGA-Teilnehmers/der ELGA-Teilnehmerin zu erfolgen. Dabei sind die im Patientenindex gespeicherten Identitätsdaten mit den im Rahmen der Identifikation erhobenen Identitätsdaten zu vergleichen. Die Erhebung der Identitätsdaten kann durch

(4) Die Überprüfung der Identität der ELGA-Teilnehmer:innen (§ 14 Abs. 1 Z 1) hat in elektronischer Form unter Mitwirkung des ELGA-Teilnehmers/der ELGA-Teilnehmerin zu erfolgen. Dabei sind die im Patient:inn:enindex gespeicherten Identitätsdaten mit den im Rahmen der Identifikation erhobenen Identitätsdaten zu vergleichen. Die Erhebung der Identitätsdaten kann durch

1. und 2. ...

3. Verarbeiten von Identitätsdaten einer gemäß § 4 Abs. 2 eindeutig identifizierten natürlichen Person, die bei einem ELGA-Gesundheitsdiensteanbieter gemäß § 2 Z 10 lit. d und e gespeichert sind wobei das IT-Sicherheitskonzept gemäß § 8 die Überprüfung der Identität der ELGA-Teilnehmer/innen technisch abzusichern hat zum Zweck der Verarbeitung der ELGA-Gesundheitsdaten gemäß § 14 Abs. 2 Z 1 oder

3. Verarbeiten von Identitätsdaten einer gemäß § 4 Abs. 2 eindeutig identifizierten natürlichen Person, die bei einem ELGA-Gesundheitsdiensteanbieter gemäß § 2 Z 10 lit. d und e gespeichert sind wobei das IT-Sicherheitskonzept gemäß § 8 die Überprüfung der Identität der ELGA-Teilnehmer:innen technisch abzusichern hat zum Zweck der Verarbeitung der ELGA-Gesundheitsdaten gemäß § 14 Abs. 2 Z 1 oder

4. ...

5. das Auslesen von Daten der e‑card oder eines amtlichen Lichtbildausweises im Format ID-1 mittels geeigneter Technologie für die Identifizierung im Rahmen des elektronischen Impfpasses, wobei als amtlicher Lichtbildausweis in diesem Sinne von einer staatlichen Behörde ausgestellte Dokumente, die mit einem nicht austauschbaren erkennbaren Kopfbild der betreffenden Person versehen sind, und den Namen, das Geschlecht, das Geburtsdatum und die Unterschrift der Person sowie die ausstellende Behörde enthalten, gelten,

5. das Aus- oder Ablesen von

a) Name und Sozialversicherungsnummer von der e‑card der betroffenen Person,

b) Name und Geburtsdatum von einem amtlichen Lichtbildausweis, wobei als amtlicher Lichtbildausweis in diesem Sinne von einer staatlichen Behörde ausgestellte Dokumente, die mit einem nicht austauschbaren erkennbaren Kopfbild der betreffenden Person versehen sind, und den Namen, das Geburtsdatum und die Unterschrift der Person sowie die ausstellende Behörde enthalten, gelten, oder

c) bei betroffenen Personen, die nicht Staatsangehörige einer Vertragspartei des Abkommens über den Europäischen Wirtschaftsraum sind, Name und Geburtsdatum von einem gültigen Reisedokument,

im Rahmen des Elektronischen Impfpasses und bei der Identifizierung von nicht-österreichischen Staatsangehörigen, die in Österreich nicht krankenversichert sind und bei denen eine Identitätsprüfung nach Z 1 oder 2 aufgrund fehlender rechtlicher Voraussetzungen nicht möglich oder zumutbar ist,

erfolgen.

(5) ...

(6) Die Überprüfung der Identität der ELGA-Teilnehmer/innen (Abs. 4) darf für den Zugriff und die Verarbeitung der ELGA-Gesundheitsdaten zu den in § 14 Abs. 2 genannten Zwecken durch

(6) Die Überprüfung der Identität der ELGA-Teilnehmer:innen (Abs. 4) darf für den Zugriff und die Verarbeitung der ELGA-Gesundheitsdaten zu den in § 14 Abs. 2 genannten Zwecken durch

1. und 2. ...

zurückliegen.

(7) Abweichend von Abs. 6 kann ein ELGA-Teilnehmer/eine ELGA-Teilnehmerin einem oder mehreren ELGA-Gesundheitsdiensteanbieter des besonderen Vertrauens gemäß § 2 Z 10 lit. a, b, c und e in Verbindung mit § 21 Abs. 2 mit dessen Zustimmung, eine Frist von bis zu 365 Tagen einräumen.

(7) Abweichend von Abs. 6 kann ein:e ELGA-Teilnehmer:in einem oder mehreren ELGA-Gesundheitsdiensteanbieter des besonderen Vertrauens gemäß § 2 Z 10 lit. a, b, c und e in Verbindung mit § 21 Abs. 2 mit dessen Zustimmung, eine Frist von bis zu 365 Tagen einräumen.

(8) Abgesehen von den Fällen gemäß § 17 Abs. 4 dürfen Vertretungen von ELGA-Teilnehmer/inne/n im elektronischen Verkehr ausschließlich gemäß § 5 Abs. 1 E-GovG eingetragen werden, wobei:

(8) Abgesehen von den Fällen gemäß § 17 Abs. 4 dürfen Vertretungen von ELGA-Teilnehmer:inne:n im elektronischen Verkehr ausschließlich gemäß § 5 Abs. 1 E-GovG eingetragen werden, wobei:

1. an Stelle der Stammzahl ein bPK des ELGA-Teilnehmers/der ELGA-Teilnehmerin einzutragen ist sowie

1. an Stelle der Stammzahl ein bPK von dem:der ELGA-Teilnehmer:in einzutragen ist sowie

2. ...

(9) Zehn Jahre nach Kenntnis des Sterbedatums eines ELGA-Teilnehmers/einer ELGA-Teilnehmerin hat der Dachverband die im Patientenindex gespeicherten Daten des/der Verstorbenen automatisch zu löschen.

(9) Zehn Jahre nach Kenntnis des Sterbedatums von einem:einer ELGA-Teilnehmer:in hat der Dachverband die im Patient:inn:enindex gespeicherten Daten des:der Verstorbenen automatisch zu löschen.

Überprüfung der Identität von ELGA-Gesundheitsdiensteanbietern und der ELGA-Ombudsstelle

§ 19. (1) Zur Überprüfung der Identität von ELGA-Gesundheitsdiensteanbietern und der ELGA-Ombudsstelle ist von dem für das Gesundheitswesen zuständigen Bundesminister ein Gesundheitsdiensteanbieterindex einzurichten und zu betreiben. Die in den Gesundheitsdiensteanbieterindex aufzunehmenden Daten sind aus dem eHVD zu erheben und umfassen die Angaben gemäß § 10 Abs. 1 Z 1 bis 8.

§ 19. (1) Zur Überprüfung der Identität von ELGA-Gesundheitsdiensteanbietern und der ELGA-Ombudsstelle ist von dem:der für das Gesundheitswesen zuständigen Bundesminister:in ein Gesundheitsdiensteanbieterindex einzurichten und zu betreiben. Die in den Gesundheitsdiensteanbieterindex aufzunehmenden Daten sind aus dem eHVD zu erheben und umfassen die Angaben gemäß § 10 Abs. 1 Z 1 bis 8.

(2) und (3) ...

Speicherung von ELGA-Gesundheitsdaten

§ 20. (1) Sofern sich aus den §§ 15 Abs. 2 und 16 Abs. 2 Z 2 nichts anderes ergibt, haben ELGA-Gesundheitsdienstanbieter ELGA-Gesundheitsdaten in gemäß § 28 Abs. 2 Z 5 geeigneten Datenspeichern, die sich im Gebiet der Europäischen Union befinden müssen, zu speichern (§ 13 Abs. 3). Bereits gespeicherte ELGA-Gesundheitsdaten dürfen nicht geändert werden. Treten Umstände hervor, die eine maßgebliche Änderung des Behandlungsverlaufs bedingen können, ist zusätzlich eine aktualisierte Version zu speichern. Verantwortlicher (Art. 4 Z 7 DSGVO) für die Speicherung ist der jeweilige ELGA-Gesundheitsdiensteanbieter.

§ 20. (1) Sofern sich aus den §§ 15 Abs. 2 und 16 Abs. 2 Z 2 nichts anderes ergibt, haben ELGA-Gesundheitsdienstanbieter ELGA-Gesundheitsdaten in gemäß § 28a Abs. 1 Z 5 geeigneten Datenspeichern, die sich im Gebiet der Europäischen Union befinden müssen, zu speichern (§ 13 Abs. 3). Bereits gespeicherte ELGA-Gesundheitsdaten dürfen nicht geändert werden. Treten Umstände hervor, die eine maßgebliche Änderung des Behandlungsverlaufs bedingen können, ist zusätzlich eine aktualisierte Version zu speichern. Verantwortlicher (Art. 4 Z 7 DSGVO) für die Speicherung ist der jeweilige ELGA-Gesundheitsdiensteanbieter.

(2) Sofern sich aus den §§ 15 Abs. 2 und 16 Abs. 2 Z 2 nichts Anderes ergibt, haben ELGA-Gesundheitsdienstanbieter in Verweisregistern, die sich im Gebiet der Europäischen Union befinden müssen, zu speichern (§ 13 Abs. 3). Dies gilt nicht in Fällen in denen ELGA-Teilnehmer/innen der Aufnahme von Verweisen widersprochen haben. Verantwortlicher (Art. 4 Z 7 DSGVO) für die Speicherung ist der jeweilige ELGA-Gesundheitsdiensteanbieter.

(2) Sofern sich aus den §§ 15 Abs. 2 und 16 Abs. 2 Z 2 nichts anderes ergibt, haben ELGA-Gesundheitsdienstanbieter in Verweisregistern, die sich im Gebiet der Europäischen Union befinden müssen, zu speichern (§ 13 Abs. 3). Dies gilt nicht in Fällen in denen ELGA-Teilnehmer:innen der Aufnahme von Verweisen widersprochen haben. Verantwortlicher (Art. 4 Z 7 DSGVO) für die Speicherung ist der jeweilige ELGA-Gesundheitsdiensteanbieter.

(3) ELGA-Gesundheitsdaten sowie elektronische Verweise darauf sind dezentral für zehn Jahre, ungeachtet anderer gesetzlicher Dokumentationsverpflichtungen, zu speichern. Danach sind die elektronischen Verweise und ELGA-Gesundheitsdaten von den Auftragsverarbeitern (Art. 4 Z 8 DSGVO), die die gemäß § 28 Abs. 2 Z 5 geeigneten Datenspeicher und Verweisregister für ELGA betreiben, zu löschen; falls das Löschen aufgrund anderer gesetzlicher Dokumentationsverpflichtungen oder gemäß § 22 Abs. 5 Z 1 ausgeschlossen ist, sind die Verweise für ELGA unzugänglich zu machen.

(3) ELGA-Gesundheitsdaten sowie elektronische Verweise darauf sind dezentral für zehn Jahre, ungeachtet anderer gesetzlicher Dokumentationsverpflichtungen, zu speichern. Danach sind die elektronischen Verweise und ELGA-Gesundheitsdaten von den Auftragsverarbeitern (Art. 4 Z 8 DSGVO), die die gemäß § 28a Abs. 1 Z 5 geeigneten Datenspeicher und Verweisregister für ELGA betreiben, zu löschen; falls das Löschen aufgrund anderer gesetzlicher Dokumentationsverpflichtungen oder gemäß § 22 Abs. 5 Z 1 ausgeschlossen ist, sind die Verweise für ELGA unzugänglich zu machen.

(4) ...

(5) Elektronische Verweise sind automatisch zu erstellen und haben zu enthalten:

1. Daten, die sich auf den/die ELGA-Teilnehmer/in beziehen:

a) das bPK-GH des ELGA-Teilnehmers/der ELGA-Teilnehmerin oder

a) das bPK-GH den:die ELGA-Teilnehmer:in oder

b) lokale Patient/inn/en-Kennungen,

b) lokale Patient:inn:enkennungen,

2. und 3. ...

(6) Die Daten gemäß Abs. 5 dürfen von den ELGA-Systempartnern zur Optimierung und Evaluierung von ELGA verarbeitet werden. Zu diesem Zweck dürfen personenbezogene Daten

1. von ELGA-Teilnehmer/inne/n derart, dass die Daten zur Personenidentifikation durch ein nicht rückführbar verschlüsseltes eindeutiges Personenkennzeichen zu ersetzen sind, wobei die Identität der betroffenen Person (Art. 4 Z 1 DSGVO) mit rechtlich zulässigen Mitteln nicht bestimmt werden kann, sowie

1. von ELGA-Teilnehmer:inne:n derart, dass die Daten zur Personenidentifikation durch ein nicht rückführbar verschlüsseltes eindeutiges Personenkennzeichen zu ersetzen sind, wobei die Identität der betroffenen Person (Art. 4 Z 1 DSGVO) mit rechtlich zulässigen Mitteln nicht bestimmt werden kann, sowie

2. ...

verarbeitet werden.

eMedikation

§ 20a. (1) Der Dachverband hat im übertragenen Wirkungsbereich als ELGA-Anwendung bis 31. Dezember 2014 ein Informationssystem über verordnete sowie abgegebene Arzneimittel einzurichten („eMedikation“) und ab diesem Zeitpunkt zu betreiben. Das Informationssystem hat ELGA-Teilnehmer/inne/n und ELGA-Gesundheitsdiensteanbietern gemäß § 2 Z 10 unter Wahrung der Teilnehmer/innen/rechte gemäß § 16 eine Übersicht über die für diesen ELGA-Teilnehmer/diese ELGA-Teilnehmerin verordneten sowie abgegebenen Arzneimittel anzubieten. Zu diesem Zweck haben ELGA-Gesundheitsdiensteanbieter entsprechend ihrer in diesem Bundesgesetz festgelegten Verpflichtungen die ELGA-Gesundheitsdaten gemäß § 2 Z 9 lit. b in diesem Informationssystem zu speichern, sofern dies nicht durch die Ausübung von Teilnehmer/innen/rechten ausgeschlossen ist. Die Prüfung von Wechselwirkungen erfolgt in der Eigenverantwortung der ELGA-Gesundheitsdiensteanbieter und ist nicht Gegenstand des Informationssystems.

§ 20a. (1) Der Dachverband hat im übertragenen Wirkungsbereich als ELGA-Anwendung bis 31. Dezember 2014 ein Informationssystem über verordnete sowie abgegebene Arzneimittel einzurichten („eMedikation“) und ab diesem Zeitpunkt zu betreiben. Das Informationssystem hat ELGA-Teilnehmer:inne:n und ELGA-Gesundheitsdiensteanbietern gemäß § 2 Z 10 unter Wahrung der Teilnehmer:innen:rechte gemäß § 16 eine Übersicht über die für diese:n ELGA-Teilnehmer:in verordneten sowie abgegebenen Arzneimittel anzubieten. Zu diesem Zweck haben ELGA-Gesundheitsdiensteanbieter entsprechend ihrer in diesem Bundesgesetz festgelegten Verpflichtungen die ELGA-Gesundheitsdaten gemäß § 2 Z 9 lit. b in diesem Informationssystem zu speichern, sofern dies nicht durch die Ausübung von Teilnehmer:innenrechte ausgeschlossen ist. Die Prüfung von Wechselwirkungen erfolgt in der Eigenverantwortung der ELGA-Gesundheitsdiensteanbieter und ist nicht Gegenstand des Informationssystems.

(2) Der Betrieb des eMedikationssystems darf nicht in die Erbringung von Leistungen der Behandlung oder Betreuung von ELGA-Teilnehmer/inne/n, insbesondere in die Therapiefreiheit der Ärztinnen und Ärzte, eingreifen.

(2) Der Betrieb des eMedikationssystems darf nicht in die Erbringung von Leistungen der Behandlung oder Betreuung von ELGA-Teilnehmer:inne:n, insbesondere in die Therapiefreiheit der Ärztinnen und Ärzte, eingreifen.

(3) Erfolgt die Identifikation des ELGA-Teilnehmers/der ELGA-Teilnehmerin gemäß § 18 Abs. 4 Z 4, ist die Verarbeitung auf die Speicherung der Medikationsdaten eingeschränkt.

(3) Erfolgt die Identifikation von dem:der ELGA-Teilnehmer:in gemäß § 18 Abs. 4 Z 4, ist die Verarbeitung auf die Speicherung der Medikationsdaten eingeschränkt.

SARS‑CoV‑2-Antigentests zur Eigenanwendung

§ 20b. (1) bis (7) ...

Berechtigungssystem

§ 21. (1) ...

(2) Aufgrund der generellen Zugriffsberechtigungen auf ELGA, die festlegen, welche standardmäßigen Zugriffe auf ELGA zulässig sind, dürfen:

1. bis 5. ...

6. Vertreter/innen gemäß § 14 Abs. 2 Z 2 lit. b auf alle ELGA-Gesundheitsdaten (§ 2 Z 9) sowie

6. Vertreter:innen gemäß § 14 Abs. 2 Z 2 lit. b auf alle ELGA-Gesundheitsdaten (§ 2 Z 9) sowie

7. Mitarbeiter/innen der ELGA-Ombudsstelle auf alle ELGA-Gesundheitsdaten (§ 2 Z 9)

7. Mitarbeiter:innen der ELGA-Ombudsstelle auf alle ELGA-Gesundheitsdaten (§ 2 Z 9)

zugreifen.

(3) ELGA-Teilnehmer/innen dürfen mittels individueller Zugriffsberechtigungen auf ELGA:

(3) ELGA-Teilnehmer:innen dürfen mittels individueller Zugriffsberechtigungen auf ELGA:

1. bis 3. ...

(4) ...

Protokollierungssystem

§ 22. (1) bis (3) ...

(4) ELGA-Teilnehmer/innen haben gemäß § 16 Abs. 1 Z 1 das Recht, Auskunft über die sich auf sie beziehenden Protokolldaten zu erhalten und diese zu verarbeiten. Die Darstellung dieser Protokolldaten hat einfach und übersichtlich zu sein.

(4) ELGA-Teilnehmer:innen haben gemäß § 16 Abs. 1 Z 1 das Recht, Auskunft über die sich auf sie beziehenden Protokolldaten zu erhalten und diese zu verarbeiten. Die Darstellung dieser Protokolldaten hat einfach und übersichtlich zu sein.

(5) bis (7) ...

Zugangsportal

§ 23. (1) Der für das Gesundheitswesen zuständige Bundesminister hat zur Bereitstellung qualitätsgesicherter gesundheitsbezogener Informationen für die Bevölkerung ein öffentlich zugängliches Gesundheitsportal zu betreiben.

(2) Dieses Gesundheitsportal ist das Zugangsportal von ELGA, das

1. die Überprüfung der eindeutigen Identität der ELGA-Teilnehmer/innen gemäß § 18 Abs. 4 Z 2 gewährleisten und

2. Funktionen zur Wahrung der Teilnehmer/innen/rechte gemäß §§ 15 und 16 anbieten

muss.

(3) ELGA-Gesundheitsdiensteanbieter dürfen über das Zugangsportal auf ELGA-Gesundheitsdaten von ELGA-Teilnehmer/inne/n nur unter Einhaltung der Bestimmungen dieses Bundesgesetzes zugreifen.

(4) Das Gesundheitsportal kann den Zugang zu anderen gesundheitsbezogenen elektronischen Diensten anbieten.

§ 23. (1) Der Dachverband hat im übertragenen Wirkungsbereich ein Zugangsportal zu

1. ELGA und

2. eHealth-Anwendungen nach Maßgabe des 5. Abschnitts

zu betreiben. Dieses Zugangsportal bietet Funktionen zur Wahrung der Teilnehmer:innenrechte gemäß §§ 15 und 16 an.

(2) Der Zugriff auf das Zugangsportal darf ausschließlich über Portale erfolgen,

1. die von einer Gebietskörperschaft oder einer öffentlich-rechtlichen Körperschaft betrieben werden und

2. die die Überprüfung der eindeutigen Identität gemäß § 18 Abs. 4 Z 2 gewährleisten.

Nutzungsrechte an ELGA

§ 24. (1) Zur Wahrung des finanziellen Gleichgewichts des Systems der sozialen Sicherheit ist die Nutzung der ELGA-Komponenten

1. Patientenindex (§ 18),

1. Patient:inn:enindex (§ 18),

2. bis 7. ...

zur Erhebung der durch ELGA verfügbar gemachten ELGA-Gesundheitsdaten gemäß § 14 Abs. 2 unentgeltlich.

(2) Auftragsverarbeiter (Art. 4 Z 8 DSGVO), die Datenspeicher und Verweisregister betreiben, dürfen ungeachtet ihrer Rechtsform nicht als Auftragsverarbeiter für ELGA ausgeschlossen werden, sobald sie die Voraussetzungen des § 28 Abs. 2 erfüllen.

(3) ELGA-Gesundheitsdiensteanbieter sind nicht Verantwortliche (Art. 4 Z 7 DSGVO)

1. des Patientenindexes (§ 18),

1. des Patient:inn:enindexes (§ 18),

2. bis 5. ...

5. Abschnitt

eHealth-Anwendungen

1. Unterabschnitt

Primärversorgung

§ 24a. (1) Gesundheitsdiensteanbieter, die in eine Primärversorgungseinheit gemäß PrimVG, eingebunden sind, sind berechtigt:

1. zum Zweck der eindeutigen Identifikation die Daten des Patientenindex (§ 18) zu verwenden,

1. zum Zweck der eindeutigen Identifikation die Daten des Patient:inn:enindex (§ 18) zu verwenden,

2. und 3. ...

4. die Identifikation

4. die Identifikation durch Abfrage des Patient:inn:enindexes vorzunehmen.

a) sinngemäß in jeder Form des § 18 Abs. 4 sowie

b) durch Abfrage des Patientenindexes

vorzunehmen.

(2) ...

1. ...

a) und b) ...

c) der technisch-organisatorischen Spezifikationen gemäß § 28 Abs. 2a Z 1 und

c) der technisch-organisatorischen Spezifikationen gemäß § 28b Abs. 1 und

2. ...

(3) ...

2. Unterabschnitt

Elektronischer Impfpass (eImpfpass)

Ziele des eImpfpasses

§ 24b. Die Verwendung des eImpfpasses erfüllt ein erhebliches öffentliches Interesse gemäß Art. 9 Abs. 2 lit. g bis j DSGVO. Dieses erhebliche öffentliche Interesse ergibt sich insbesondere aus:

1. der Optimierung der Impfversorgung der Bevölkerung, vor allem durch

a) bis c) ...

d) die Erhöhung der Arzneimittel- und Patient/inn/en/sicherheit;

d) die Erhöhung der Arzneimittel- und Patient:inn:ensicherheit;

2. ...

3. der Reduktion von Aufwänden für Bürger/innen, Gesundheitsdiensteanbieter und das Gesundheitssystem.

3. der Reduktion von Aufwänden für Bürger:innen, Gesundheitsdiensteanbieter und das Gesundheitssystem.

Zentrales Impfregister

§ 24c. (1) Zur Sicherstellung der in § 24b genannten Ziele ist von dem für das Gesundheitswesen zuständigen Bundesminister als Verantwortlichem (Art. 4 Z 7 DSGVO) die eHealth‑Anwendung eImpfpass zu betreiben. Wesentlicher Bestandteil dieser Anwendung ist ein zentrales Impfregister, das der elektronischen Dokumentation aller durchgeführten Impfungen dient. Der für das Gesundheitswesen zuständige Bundesminister kann für Betrieb, Wartung und technische Weiterentwicklung des eImpfpasses einen oder mehrere Auftragsverarbeiter (Art. 4 Z 8 DSGVO) heranziehen.

(2) Zur Erfüllung der in § 24d Abs. 2 genannten Zwecke sind im zentralen Impfregister ab dem Zeitpunkt gemäß § 28 Abs. 2a Z 2 lit. c und lit. h sublit. aa

1. durch alle Gesundheitsdiensteanbieter gemäß § 2 Z 2, die Impfungen durchführen, das sind die mit Verordnung des Bundesministers für Gesundheit, mit der nähere Regelungen für die Gesundheitstelematik getroffen werden – Gesundheitstelematikverordnung 2013 (GTelV 2013), BGBl. II Nr. 506/2013, Anlage 1 festgelegten Rollen gemäß Teil 1 (Rollen für Personen)

– Z 1 (Ärztin/Arzt für Allgemeinmedizin),

– Z 2 (Approbierte Ärztin/Approbierter Arzt),

– Z 3 (Fachärztin/Facharzt),

– Z 4 (Fachärztin/Facharzt für Zahn-, Mund- und Kieferheilkunde) und

– Z 11 (Hebamme)

sowie gemäß Teil 2 (Rollen für Organisationen)

– Z 1 (Allgemeine Krankenanstalt),

– Z 2 (Sonderkrankenanstalt),

– Z 3 (Pflegeanstalt),

– Z 4 (Sanatorium),

– Z 5 (Selbstständiges Ambulatorium),

– Z 6 (Ärztliche Gruppenpraxis),

– Z 8 (Straf- und Maßnahmenvollzug),

– Z 10 (Pflegeeinrichtung),

– Z 18 (Arbeitsmedizinisches Zentrum) und

– Z 24 (Öffentlicher Gesundheitsdienst),

2. die Angaben

a) zum Impfstoff (Klassifikation, Handelsname, Hersteller, Zulassungsnummer, Chargennummer, Verfallsdatum, Serialisierungsnummer, Pharmazentralnummer und Anatomisch-Therapeutisch-Chemische Zuordnung),

b) zur verabreichten Impfung (Datum der Verabreichung, Dosierung und Dosis, angewandtes Impfschema, Impfempfehlung und Zuordnung zu Impfprogrammen),

c) zur Bürgerin/zum Bürger (Name, Geburtsdatum, Geschlecht, Wohnadresse, Angaben zur Erreichbarkeit, Angaben zu einer allfälligen Vertretung, Sozialversicherungsnummer, bereichsspezifisches Personenkennzeichen Gesundheit, Gemeindecode, Titerbestimmung, impfrelevante Vorerkrankungen und besondere Impfindikationen) sowie

d) zum impfenden bzw. speichernden Gesundheitsdiensteanbieter (Name, Rolle, Berufsadresse und Datum der Speicherung)

zu speichern. Unbeschadet bestehender Pflichten zur Dokumentation auf Papier erfüllt die Speicherung dieser Angaben im zentralen Impfregister die jeweilige berufsrechtliche Dokumentationspflicht (z. B. § 51 Abs. 1 ÄrzteG 1998).

(3) Verantwortlicher (Art. 4 Z 7 DSGVO) für die Speicherung, Aktualisierung, Stornierung, Nachtragung und Vidierung der Daten ist der jeweilige Gesundheitsdiensteanbieter. Bereits im zentralen Impfregister gespeicherte Daten dürfen von den Gesundheitsdiensteanbietern nicht gelöscht werden. Treten Umstände hervor, die unter Berücksichtigung der jeweiligen Berufspflichten (z. B. § 49 Abs. 1 ÄrzteG 1998) eine Berichtigung (Art. 16 DSGVO) der im zentralen Impfregister gespeicherten Daten erfordern, sind diese vom Gesundheitsdiensteanbieter, der diese Daten gespeichert hat, zu aktualisieren oder zu stornieren. Sollte der Gesundheitsdiensteanbieter, der die Daten im zentralen Impfregister gespeichert hat, nicht mehr verfügbar sein, so ist die Aktualisierung oder Stornierung auf Verlangen der Bürgerin/des Bürgers von den Bezirksverwaltungsbehörden vorzunehmen. Die stornierten Daten müssen für Gesundheitsdiensteanbieter und Bürger/innen abrufbar bleiben. Aktualisierte und stornierte Daten werden als solche gekennzeichnet.

(3a) Der für das Gesundheitswesen zuständige Bundesminister (Abs. 1) und der jeweilige für die Speicherung, Aktualisierung, Stornierung, Nachtragung und Vidierung verantwortliche Gesundeitsdiensteanbieter (Abs. 3) sind gemeinsam für die Verarbeitung Verantwortliche im Sinne des Art. 26 DSGVO. Sofern von dem für das Gesundheitswesen zuständigen Bundesminister ein Auftragsverarbeiter gemäß Abs. 1 herangezogen wird, ist dieser auch Auftragsverarbeiter (Art. 4 Z 8 DSGVO) des jeweiligen Gesundheitsdiensteanbieters gemäß Abs. 3.

(4) Gesundheitsdiensteanbieter, die zur Speicherung der Angaben gemäß Abs. 2 im zentralen Impfregister verpflichtet sind, dürfen unter Berücksichtigung der jeweiligen Berufspflichten (z. B. § 49 Abs. 1 ÄrzteG 1998) andere als in Abs. 4a genannte verabreichte und schriftlich dokumentierte, aber nicht im zentralen Impfregister gespeicherte Impfungen nachtragen sowie gemäß § 24e Abs. 1 Z 2 eingetragene Impfungen vidieren. Gesundheitsdiensteanbieter gemäß Z 11 Teil 1 Anlage 1 zur GTelV 2013 (Hebammen) dürfen nur solche Impfungen nachtragen und vidieren, die sie aufgrund ihrer Berufspflichten (§ 5 Abs. 4 HebG) auch verabreichen dürfen.

(4a) Gesundheitsdiensteanbieter haben

1. COVID‑19-Impfungen, die von ihnen seit dem 27. Dezember 2020 verabreicht wurden, aber nicht im zentralen Impfregister gespeichert sind sowie

2. die in einer Verordnung gemäß § 28 Abs. 2a Z 2 lit. k genannten verabreichten Impfungen

nachzutragen.

(5) Daten aus bestehenden digitalen Impfdokumentationen, insbesondere jenen der Länder, dürfen unter der Voraussetzung, dass diese Daten in valider Qualität vorliegen und dafür insbesondere eindeutige elektronische Identitäten (§ 2 Z 2 E-GovG) von Bürger/inne/n verfügbar sind, von dem für das Gesundheitswesen zuständigen Bundesminister in das zentrale Impfregister übernommen werden.

(6) Die im zentralen Impfregister gespeicherten Daten sind von dem für das Gesundheitswesen zuständigen Bundesminister 10 Jahre nach Sterbedatum, spätestens jedoch 120 Jahre nach der Geburt der Bürgerin/des Bürgers zu löschen.

(7) Der für das Gesundheitswesen zuständige Bundesminister hat zu den in § 24d Abs. 2 Z 2 und 3 genannten Zwecken den jeweils aktuellen Impfplan Österreich im zentralen Impfregister sowie, um den Zugriff auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1 in ELGA zu ermöglichen und ELGA-Anwendungen gemäß § 2 Z 16 oder andere eHealth-Anwendungen gemäß diesem Abschnitt zu unterstützen, standardisierte elektronische Schnittstellen zur Verfügung zu stellen.

(8) Die aufgrund dieser Bestimmung vorzunehmenden Datenverarbeitungen erfüllen die Voraussetzungen des Art. 35 Abs. 10 DSGVO für einen Entfall der Datenschutz-Folgenabschätzung, sodass insbesondere die in Abs. 2 genannten Gesundheitsdiensteanbieter keine Datenschutz-Folgenabschätzung durchführen müssen.

§ 24c. (1) Zur Sicherstellung der in § 24b genannten Ziele ist unter den Voraussetzungen des § 27 Abs. 17 die eHealth‑Anwendung eImpfpass zu betreiben, deren wesentlicher Bestandteil ein zentrales Impfregister ist, das der elektronischen Dokumentation aller durchgeführten Impfungen sowie impfrelevanten Informationen dient. Der:Die für das Gesundheitswesen zuständige Bundesminister:in, die ELGA GmbH unter den Voraussetzungen des § 27 Abs. 17 Z 1, die Gesundheitsdiensteanbieter gemäß Abs. 4, Apotheken gemäß § 1 des Apothekengesetzes, die Landeshauptleute sowie die Bezirksverwaltungsbehörden dürfen die im zentralen Impfregister gespeicherten Daten (Abs. 2) als gemeinsame Verantwortliche gemäß Art. 4 Z 7 in Verbindung mit Art. 26 DSGVO entsprechend ihrer in § 24f Abs. 4 festgelegten spezifischen Zugriffsberechtigungen nach den Grundsätzen gemäß § 24d Abs. 1 und zu den Zwecken gemäß § 24d Abs. 2 verarbeiten.

(2) Zur Erfüllung der in § 24d Abs. 2 genannten Zwecke haben alle Gesundheitsdiensteanbieter, die Impfungen durchführen (Abs. 4 Z 1), die Angaben

1. zum Impfstoff (Klassifikation, Handelsname, Hersteller, Zulassungsnummer, Chargennummer, Verfallsdatum, Serialisierungsnummer, Pharmazentralnummer und Anatomisch-Therapeutisch-Chemische Zuordnung),

2. zur verabreichten Impfung (Datum der Verabreichung, Dosierung und Dosis, angewandtes Impfschema, Impfempfehlung und Zuordnung zu Impfprogrammen),

3. zum:zur Bürger:in (Name, Geburtsdatum, Geschlecht, Wohnadresse, Angaben zur Erreichbarkeit, Angaben zu einer allfälligen Vertretung, Sozialversicherungsnummer, bereichsspezifisches Personenkennzeichen Gesundheit [bPK-GH], Gemeindecode, Antikörperbestimmung, impfrelevante Vorerkrankungen und besondere Impfindikationen) sowie

4. zum impfenden bzw. speichernden Gesundheitsdiensteanbieter (Name, Rolle, Berufsadresse, ein in einer Verordnung gemäß § 28b Abs. 2 Z 8 genanntes Impfsetting und Datum der Speicherung)

im zentralen Impfregister ab dem in einer Verordnung gemäß § 28b Abs. 2 Z 2 lit. b und Z 3 lit. a sublit. aa festgelegten Zeitpunkt zu speichern. Unbeschadet bestehender Pflichten zur Dokumentation auf Papier erfüllt die Speicherung dieser Angaben im zentralen Impfregister die jeweilige berufsrechtliche Dokumentationspflicht (z. B. § 51 Abs. 1 ÄrzteG 1998).

(3) Gesundheitsdiensteanbieter, die Antikörpertests auswerten (Abs. 4 Z 2), haben ab dem in einer Verordnung gemäß § 28b Abs. 2 Z 2 lit. b und Z 3 lit. a sublit. aa festgelegten Zeitpunkt

1. Antikörperbestimmungen sowie das Krankheitsbild, auf das sich diese beziehen, und

2. die Angaben gemäß Abs. 2 Z 3 und 4, sofern diese dem Gesundheitsdiensteanbieter zur Verfügung stehen,

im zentralen Impfregister zu speichern.

(4) Gesundheitsdiensteanbieter,

1. die Impfungen durchführen, sind

a) Angehörige des ärztlichen Berufes gemäß § 3 ÄrzteG 1998, jeweils auch bei Ausübung des ärztlichen Berufes in der Form einer Zusammenarbeit als selbstständig berufsbefugte Gruppenpraxis,

b) Amtsärzte und Amtsärztinnen, einschließlich Militärärzte und Militärärztinnen (§ 41 ÄrzteG 1998),

c) diplomierte Gesundheits- und Krankenpfleger:innen (§ 15 des Gesundheits- und Krankenpflegegesetz [GuKG], BGBl. BGBl. I Nr. 108/1997) sowie

d) Hebammen (§ 4 Abs. 5 HebG),

2. die Antikörpertests auswerten, sind ärztlich geführte medizinisch-diagnostische Labore.

(5) Die Gesundheitsdiensteanbieter gemäß Abs. 4 Z 1

1. sowie Apotheken gemäß § 1 des Apothekengesetzes dürfen unter Berücksichtigung der jeweiligen Berufspflichten (z. B. § 49 Abs. 1 ÄrzteG 1998) andere als die in Z 3 genannten verabreichten und schriftlich dokumentierten, aber nicht im zentralen Impfregister gespeicherten Impfungen nachtragen;

2. dürfen die gemäß § 24e Abs. 6 selbsteingetragenen Impfungen unter Berücksichtigung der jeweiligen Berufsrechte vidieren und

3. haben COVID-19-Impfungen, die von ihnen seit dem 27. Dezember 2020 verabreicht wurden, aber nicht im zentralen Impfregister gespeichert sind, sowie die in einer Verordnung gemäß § 28b Abs. 2 Z 7 genannten verabreichten Impfungen nachzutragen.

(6) Unabhängig von der Verabreichung einer Impfung haben

1. Gesundheitsdiensteanbieter gemäß Abs. 4 Z 1 lit. a und b unter Berücksichtigung der jeweiligen Berufsrechte impfrelevante Vorerkrankungen sowie besondere Impfindikationen und

2. Gesundheitsdiensteanbieter gemäß Abs. 4 Z 2 Antikörperbestimmungen

im zentralen Impfregister zu speichern. Die Beurteilung, ob eine besondere Impfindikation vorliegt oder eine Vorerkrankung impfrelevant ist, obliegt dem Gesundheitsdiensteanbieter gemäß Abs. 4 Z 1. Jedenfalls impfrelevant sind Frühsommer-Meningoenzephalitis (FSME), Masern, Röteln, Hepatitis A und B, Varizellen und Polio. Von dem:der für das Gesundheitswesen zuständigen Bundesminister:in sind die Voraussetzungen, unter denen Antikörperbestimmungen von Gesundheitsdiensteanbietern gemäß Abs. 4 Z 2 im zentralen Impfregister gespeichert werden dürfen, mittels Verordnung gemäß § 28b Abs. 2 Z 9 lit. a, festzulegen. Gesundheitsdiensteanbieter gemäß Abs. 4 Z 1 lit. a und b dürfen andere Antikörperbestimmungen im zentralen Impfregister speichern, sofern dies im Einzelfall medizinisch indiziert ist.

(7) Der:Die für das Gesundheitswesen zuständige Bundesminister:in hat

1. zu den in § 24d Abs. 2 Z 2 und 3 genannten Zwecken den jeweils aktuellen Impfplan Österreich im zentralen Impfregister sowie,

2. um den Zugriff auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1 den ELGA-Gesundheitsdiensteanbietern und ELGA-Teilnehmer:inne:n zu ermöglichen und ELGA-Anwendungen gemäß § 2 Z 16 oder andere eHealth-Anwendungen gemäß diesem Abschnitt zu unterstützen, standardisierte elektronische Schnittstellen

zur Verfügung zu stellen.

(8) Die im zentralen Impfregister gespeicherten Daten zu

1) Impfungen und impfrelevanten Vorerkrankungen sind 10 Jahre nach Sterbedatum, spätestens jedoch 120 Jahre nach der Geburt von dem:des Bürger:in,

2) Antikörperbestimmungen sind nach Ablauf der von dem:der für das Gesundheitswesen zuständigen Bundesminister:in mit Verordnung nach § 28b Abs. 2 Z 9 lit. b unter Berücksichtigung des Stands der Wissenschaft festgelegten angemessene Löschfrist

von dem:der für das Gesundheitswesen zuständigen Bundesminister:in zu löschen. Impferinnerungen sind 1 Jahr nach dem vorgeschlagenen Impftermin zu löschen.

rundsätze der Impfdatenverarbeitung

Grundsätze der Impfdatenverarbeitung

§ 24d. (1) Die Verarbeitung (Art. 4 Z 2 DSGVO) von Daten im zentralen Impfregister gemäß § 24c Abs. 2 bis 7 sowie zu den in Abs. 2 genannten Zwecken ist nur zulässig, wenn

§ 24d. (1) Die Verarbeitung (Art. 4 Z 2 DSGVO) von Daten im zentralen Impfregister gemäß § 24c Abs. 2, 3, 5 bis 8 sowie zu den in Abs. 2 und in § 24e Abs. 4 genannten Zwecken ist nur zulässig, wenn

1. bis 4. ...

5. die Bürger/innen, soweit es sich um Zwecke gemäß Abs. 2 Z 1, Z 2, Z 5, Z 6 oder Z 7 handelt, gemäß § 18 Abs. 4 oder durch Abgleich von Daten mit dem oder Abfrage des Stammzahlenregisters gemäß § 2 Z 9 E-GovG eindeutig identifiziert wurden. Für den Abgleich von Daten mit dem Stammzahlenregister gilt § 18 Abs. 4 Z 5 sinngemäß.

5. die Bürger:innen, soweit es sich um Zwecke gemäß Abs. 2 Z 1, Z 2, Z 5, Z 6, Z 7 oder Z 8 handelt, gemäß § 18 oder durch Abgleich von Daten mit dem oder Abfrage des Stammzahlenregisters gemäß § 2 Z 9 E-GovG eindeutig identifiziert wurden. Für den Abgleich von Daten mit dem Stammzahlenregister gilt § 18 Abs. 4 Z 5 sinngemäß.

(2) Die im Impfregister gespeicherten Daten dürfen personenbezogen ausschließlich für folgende Zwecke verarbeitet werden:

1. Zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten,

2. Darstellung persönlicher Impfkalender auf Basis dokumentierter Impfungen und des jeweils aktuellen Impfplans Österreich,

3. Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich,

4. statistische Auswertungen von im zentralen Impfregister gespeicherten Daten gemäß § 24g,

5. Krisenmanagement, sowohl im Rahmen des Ausbruchsmanagements in Zusammenhang mit anzeigepflichtigen Krankheiten gemäß § 1 Epidemiegesetz 1950, BGBl. Nr. 186/1950, als auch im Rahmen der Pharmakovigilanz,

6. Abrechnung im Rahmen von Impfprogrammen sowie

7. Wahrnehmung der Rechte der Bürger/innen gemäß § 24e Abs. 1.

(2) Die im Impfregister gespeicherten Daten dürfen personenbezogen ausschließlich für folgende Zwecke verarbeitet werden:

1. Zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten,

2. Darstellung persönlicher Impfkalender auf Basis der im zentralen Impfregister gespeicherten Daten und des jeweils aktuellen Impfplans Österreich,

3. Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich auf Basis der im zentralen Impfregister gespeicherten Daten,

4. Auswertungen von im zentralen Impfregister gespeicherten Daten gemäß § 24g,

5. Krisenmanagement, sowohl im Rahmen des Ausbruchsmanagements in Zusammenhang mit anzeigepflichtigen Krankheiten gemäß § 1 EpiG, als auch im Rahmen der Pharmakovigilanz,

6. Abrechnung im Rahmen von Impfprogrammen,

7. Wahrnehmung der Rechte der Bürger:innen gemäß § 24e sowie

8. Datenqualitätsmanagement gemäß § 24i Abs. 1 Z 2.

Rechte der Bürger/innen

Rechte der Bürger:innen

§ 24e. (1) Bürger/innen sowie deren gesetzliche oder bevollmächtigte Vertreter/innen haben das Recht

1. elektronisch im Wege des Zugangsportals (§ 23) oder schriftlich gegenüber der ELGA-Ombudsstelle (§ 17) Auskunft (Art. 15 in Verbindung mit Art. 23 Abs. 1 lit. e DSGVO) über die sie betreffenden, im zentralen Impfregister gespeicherten Daten (§ 24d Abs. 2 Z 1 und Z 2) und Protokolldaten (§ 24f Abs. 5) zu erhalten und sich die im zentralen Impfregister gespeicherten Daten selbst auszudrucken oder sich von der ELGA-Ombudsstelle ausdrucken zu lassen, wobei § 17 Abs. 2 und 4 Anwendung finden,

2. Impfungen in das zentrale Impfregister einzutragen, wobei diese selbsteingetragenen Impfungen als solche gekennzeichnet werden und für Gesundheitsdiensteanbieter gemäß § 24c Abs. 2 Z 1 nur zur Information dienen, sowie

3. vom jeweils impfenden Gesundheitsdiensteanbieter gemäß § 24c Abs. 2 Z 1 die Dokumentation von Impfungen iSd Art. 31 der Internationalen Gesundheitsvorschriften (IGV) im internationalen Impfausweis (Internationale Bescheinigungen über Impfungen und Impfbuch der WHO) zu verlangen.

(2) Die Wahrnehmung der in Abs. 1 genannten Rechte steht im Zweifelsfall ab Vollendung des 14. Lebensjahres (mündige Minderjährige) ausschließlich der Bürgerin/dem Bürger zu.

§ 24e. (1) Die Bürger:innen sind von dem:der für das Gesundheitswesen zuständigen Bundesminister:in in geeigneter Weise über die ihnen zustehenden Rechte sowie über jene Rechte des 3. Kapitels der DSGVO, die den Bürger:innen nicht zustehen, zu informieren.

(2) Die für die Wahrnehmung der Rechte erforderliche Entscheidungsfähigkeit (§ 24 Abs. 2 ABGB) wird im Zweifel ab Vollendung des 14. Lebensjahres (mündige Minderjährige) vermutet.

(3) Das Recht auf Auskunft über im zentralen Impfregister gespeicherte Daten (Art. 15 DSGVO) ist von den Bürger:inne:n gegenüber dem:der für das Gesundheitswesen zuständigen Bundesminister:in im Wege der eHealth-Servicestelle (§ 24i) wahrzunehmen. Bürger:innen können das Recht auf Auskunft (Art. 15 DSGVO) auch elektronisch im Wege des Zugangsportals (§ 23 in Verbindung mit § 24f Abs. 6) wahrnehmen, wobei auch eine Datenkopie in Form eines ausdruckbaren PDFs zur Verfügung zu stellen ist. Im Zugangsportal sind die Informationen gemäß Art. 15 Abs. 1 lit. a bis h DSGVO in geeigneter Weise bereitzuhalten.

(4) Das Recht auf Berichtigung (Art. 16 DSGVO) ist von den Bürger:inne:n gegenüber jenem Gesundheitsdiensteanbieter gemäß § 24c Abs. 4 wahrzunehmen, der eine Impfung durchgeführt oder vidiert hat oder der eine Antikörperbestimmung, eine besondere Impfindikation oder eine impfrelevante Vorerkrankung im zentralen Impfregister gespeichert hat. Treten Umstände hervor, die unter Berücksichtigung der jeweiligen Berufspflichten (z. B. § 49 Abs. 1 ÄrzteG 1998) eine Berichtigung der im zentralen Impfregister gespeicherten Daten erfordern, sind diese vom Gesundheitsdiensteanbieter, der diese Daten gespeichert hat, in Form einer Aktualisierung oder Stornierung zu berichtigen. Sollte dieser Gesundheitsdiensteanbieter nicht mehr verfügbar sein, so ist die Berichtigung auf Verlangen von dem:der Bürger:in von einem Amtsarzt oder einer Amtsärztin vorzunehmen. Berichtigte Daten werden als solche gekennzeichnet. In Form einer Stornierung berichtigte Daten müssen und dürfen nur für den Gesundheitsdiensteanbieter, der die stornierten Daten im zentralen Impfregister gespeichert hat, und für die Bürger:innen, die diese stornierten Daten betreffen, abrufbar bleiben. Über Berichtigungen sind Gesundheitsdiensteanbieter, die auf die Daten in der nicht berichtigten Fassung zugegriffen haben, in Übereinstimmung mit § 24f Abs. 4 in geeigneter Weise zu informieren.

(5) Hinsichtlich der Verarbeitungen nach diesem Unterabschnitt besteht, sofern § 24g Abs. 5 nichts anderes bestimmt, gemäß Art. 23 Abs. 1 lit. e DSGVO kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO und kein Widerspruchsrecht gemäß Art. 21 DSGVO. Das Recht auf Löschung gemäß Art. 17 DSGVO wird gemäß Art. 23 Abs. 1 lit. e DSGVO im Sinne des § 24c Abs. 8 beschränkt.

(6) Bürger:innen sowie deren gesetzliche oder bevollmächtigte Vertreter:innen haben das Recht Impfungen in das zentrale Impfregister selbst einzutragen und diese Angaben bis zur Vidierung (§ 24c Abs. 5 Z 2) selbst zu berichtigen oder zu löschen. Die Selbsteintragung der Impfungen erfolgt durch Übermittlung der einzutragenden, zu berichtigenden oder zu löschenden Daten in der mittels Verordnung gemäß § 28b Abs. 2 Z 6 festgelegten Form an den:die für das Gesundheitswesen zuständige:n Bundesminister:in, der:die diese übermittelten Daten in das zentrale Impfregister einzutragen, zu berichtigen oder zu löschen hat. Eine inhaltliche Prüfung der übermittelten Daten durch den:die für das Gesundheitswesen zuständige:n Bundesminister:in hat nicht zu erfolgen. Selbsteingetragene Impfungen sind von dem: der für das Gesundheitswesen zuständigen Bundesminister:in als solche zu kennzeichnen und dienen den Gesundheitsdiensteanbietern gemäß § 24c Abs. 4 Z 1 nur zur Information.

(7) Bürger:innen sowie deren gesetzliche oder bevollmächtigte Vertreter:innen haben das Recht vom jeweils impfenden Gesundheitsdiensteanbieter gemäß § 24c Abs. 4 Z 1 die Dokumentation von Impfungen im Sinne des Art. 31 der Internationalen Gesundheitsvorschriften (IGV) im internationalen Impfausweis (Internationale Bescheinigungen über Impfungen und Impfbuch der WHO) zu verlangen. Der Eintrag im internationalen Impfausweis hat in diesem Fall zusätzlich zur Speicherung gemäß § 24c Abs. 2 zu erfolgen.

(8) Bürger:innen haben das Recht, sich mit Informationen oder Beschwerden über fehlende Einträge oder über Fehler der im zentralen Impfregister gespeicherten Daten an die eHealth-Servicestelle (§ 24i) zu wenden.

utzung von ELGA-Komponenten

Nutzung von ELGA-Komponenten

§ 24f. (1) Die ELGA-Komponenten gemäß § 24 Abs. 3 sind nach Maßgabe der folgenden Absätze zu nutzen.

(2) Soweit der Patientenindex (§ 18) zur Überprüfung der eindeutigen Identität der Bürger/innen (§ 24d Abs. 1 Z 5, 1. Fall) genutzt wird, darf die Überprüfung der eindeutigen Identität in den Fällen gemäß Abs. 4 Z 1 lit. a bis c, Z 2 und Z 4 nicht länger als 28 Tage zurück liegen.

(2) Soweit der Patient:inn:enindex (§ 18) zur Überprüfung der eindeutigen Identität der Bürger:innen (§ 24d Abs. 1 Z 5, 1. Fall) genutzt wird, darf die Überprüfung der eindeutigen Identität in den Fällen gemäß Abs. 4 Z 1 lit. a bis c, Z 2 und Z 4 nicht länger als 28 Tage zurück liegen.

(3) Der Gesundheitsdiensteanbieterindex (§ 19) dient der Überprüfung der eindeutigen Identität von Gesundheitsdiensteanbietern gemäß § 24d Abs. 1 Z 1.

(4) Das Berechtigungssystem (§ 21) dient der Verwaltung der spezifischen Zugriffsberechtigungen und Steuerung der Zugriffe. Eine spezifische Zugriffsberechtigung auf die im zentralen Impfregister gespeicherten Daten haben

1. Gesundheitsdiensteanbieter gemäß § 24c Abs. 2 Z 1

a) zur Speicherung, Aktualisierung, Stornierung und Nachtragung der in § 24c Abs. 2 Z 2 genannten Daten im zentralen Impfregister,

b) auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1,

c) auf die auf Basis dokumentierter Impfungen und des jeweils aktuellen Impfplans Österreich erstellten persönlichen Impfkalender gemäß § 24d Abs. 2 Z 2,

d) für die Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6 und,

e) sofern es sich um den Öffentlichen Gesundheitsdienst im Sinne der Z 6 handelt, für das Krisenmanagement im Rahmen des Ausbruchsmanagements gemäß § 24d Abs. 2 Z 5,

2. Apotheken gemäß § 1 des Apothekengesetzes, RGBl. Nr. 5/1907

a) auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1 und

b) auf die auf Basis dokumentierter Impfungen und des jeweils aktuellen Impfplans Österreich erstellten persönlichen Impfkalender gemäß § 24d Abs. 2 Z 2,

3. gesetzliche oder bevollmächtigte Vertreter/innen zur Wahrnehmung der Rechte der Bürger/innen gemäß § 24e Abs. 1,

4. Mitarbeiter/innen der ELGA-Ombudsstelle zur Wahrnehmung der Rechte der Bürger/innen gemäß § 24e Abs. 1 Z 1,

5. der für das Gesundheitswesen zuständige Bundesminister für das bundesweite Krisenmanagement gemäß § 24d Abs. 2 Z 5,

6. der Landeshauptmann und die Bezirksverwaltungsbehörden in ihrem jeweiligen gesetzlichen Wirkungsbereich

a) für das Krisenmanagement gemäß § 24d Abs. 2 Z 5 und

b) für die Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6 sowie

7. die Bezirksverwaltungsbehörden zur Aktualisierung oder Stornierung von im zentralen Impfregister gespeicherten Daten gemäß § 24c Abs. 3.

(4) Das Berechtigungssystem (§ 21) dient der Verwaltung der spezifischen Zugriffsberechtigungen und der Steuerung der Zugriffe. Eine spezifische Zugriffsberechtigung auf die im zentralen Impfregister gespeicherten Daten haben

1. Gesundheitsdiensteanbieter gemäß § 24c Abs. 4 Z 1

a) zur Speicherung, Berichtigung, Nachtragung und Vidierung der in § 24c Abs. 2 genannten Daten im zentralen Impfregister,

b) auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1,

c) auf die auf Basis dokumentierter Impfungen und des jeweils aktuellen Impfplans Österreich erstellten persönlichen Impfkalender gemäß § 24d Abs. 2 Z 2 und

d) für die Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6,

2. Gesundheitsdiensteanbieter gemäß § 24c Abs. 4 Z 2 zur Speicherung und Berichtigung der in § 24c Abs. 3 genannten Daten im zentralen Impfregister,

3. Apotheken gemäß § 1 des Apothekengesetzes

a) zur Nachtragung der in § 24c Abs. 2 genannten Daten im zentralen Impfregister,

b) auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1 und

c) auf die auf Basis dokumentierter Impfungen und des jeweils aktuellen Impfplans Österreich erstellten persönlichen Impfkalender gemäß § 24d Abs. 2 Z 2,

4. gesetzliche oder bevollmächtigte Vertreter:innen zur Wahrnehmung der Rechte der Bürger:innen gemäß § 24e,

5. der:die für das Gesundheitswesen zuständige Bundesminister:in

a) für Betrieb, Wartung und technische Weiterentwicklung des eImpfpasses gemäß § 24c in Verbindung mit § 27 Abs. 17 Z 2,

b) für Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich gemäß § 24d Abs. 2 Z 3,

c) für Auswertungen gemäß § 24d Abs. 2 Z 4 in Verbindung mit § 24g,

d) für das bundesweite Krisenmanagement gemäß § 24d Abs. 2 Z 5,

e) für die Selbsteintragung von Impfungen gemäß § 24e Abs. 6 und

f) für die Wahrnehmung der Aufgaben der eHealth-Servicestelle gemäß § 24i,

6. die Landeshauptleute in ihrem jeweiligen gesetzlichen Wirkungsbereich

a) für Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich (§ 24d Abs. 2 Z 3),

b) für Auswertungen gemäß § 24d Abs. 2 Z 4 in Verbindung mit § 24g,

c) für das Krisenmanagement gemäß § 24d Abs. 2 Z 5 und

d) für die Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6 sowie

7. die Bezirksverwaltungsbehörden in ihrem jeweiligen gesetzlichen Wirkungsbereich

a) für Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich (§ 24d Abs. 2 Z 3),

b) für Auswertungen gemäß § 24d Abs. 2 Z 4 in Verbindung mit § 24g,

c) für das Krisenmanagement gemäß § 24d Abs. 2 Z 5 und

d) für die Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6.

(5) ...

(6) Das Zugangsportal (§ 23) dient der zusammenfassenden Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24e Abs. 1 Z 1 und muss

(6) Das Zugangsportal (§ 23) dient der zusammenfassenden Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24e Abs. 3.

1. die Überprüfung der eindeutigen Identität der Bürger/innen gemäß § 18 Abs. 4 Z 2 gewährleisten sowie

2. Funktionen zur Wahrung der Rechte der Bürger/innen gemäß § 24e Abs. 1 Z 1 und Abs. 2 anbieten.

Statistische Auswertungen

Auswertungen

§ 24g. (1) Für statistische Auswertungen, vor allem zur Bestimmung von Durchimpfungsraten, sind die im zentralen Impfregister gespeicherten Daten zur Personenidentifikation, ausgenommen Geschlecht, Geburtsjahr und -monat sowie Gemeindecode, durch ein nicht rückführbar verschlüsseltes eindeutiges Personenkennzeichen zu ersetzen, wobei die Identität der betroffenen Person (Art. 4 Z 1 DSGVO) mit rechtlich zulässigen Mitteln nicht bestimmt werden kann.

(2) Zur Verfolgung der in § 24b genannten Ziele dürfen die im zentralen Impfregister gespeicherten Daten mit in anderen Registern gespeicherten Daten verknüpft werden, wenn in diesen anderen Registern die Daten zur Personenidentifikation durch ein nicht rückführbar verschlüsseltes eindeutiges Personenkennzeichen ersetzt wurden.

(3) Die Art. 15, 16, 18 und 21 DSGVO finden vorbehaltlich der Bedingungen und Garantien gemäß Art. 89 Abs. 1 DSGVO unter den Voraussetzungen des Art. 89 Abs. 2 DSGVO auf die Daten gemäß Abs. 1 und 2 keine Anwendung.

§ 24g. (1) Der:Die für das Gesundheitswesen zuständige Bundesminister:in, die Landeshauptleute und die Bezirksverwaltungsbehörden in ihrem jeweiligen gesetzlichen Wirkungsbereich dürfen die im zentralen Impfregister gespeicherten Daten gemäß § 24c Abs. 2

1. zur Bestimmung von Impf- und Immunitätsstatus und Durchimpfungsraten sowie des daraus ableitbaren Handlungsbedarfs,

2. zur Ermittlung von Impfdurchbrüchen,

3. zur Kontaktpersonennachverfolgung,

4. zur Einhaltung von Verpflichtungen zur Verfolgung internationaler Eliminations- und Eradikationsziele sowie

5. zur Auswertung von Nutzungsverhalten des eImpfpasses

verarbeiten. Zu diesem Zweck sind die im zentralen Impfregister gespeicherten Daten zur Personenidentifikation, ausgenommen Geschlecht, Geburtsjahr und -monat sowie Gemeindecode, durch das bereichsspezifische Personenkennzeichen Gesundheit zu ersetzen. Die Sozialversicherungsnummer der Bürger:innen darf für Auswertungen nicht verarbeitet werden.

(2) Zur Verfolgung der in § 24b Z 2 genannten Ziele dürfen die im zentralen Impfregister gespeicherten Daten von dem:der für das Gesundheitswesen zuständigen Bundesminister:in mit den in folgenden Registern gespeicherten Daten verknüpft und von diesem:dieser sowie von den Landeshauptleuten und den Bezirksverwaltungsbehörden in ihrem jeweiligen gesetzlichen Wirkungsbereich verarbeitet werden:

1. eHealth-Verzeichnisdienst (§ 10),

2. eMedikation (§ 20a),

3. Register der anzeigepflichtigen Krankheiten (§ 4 EpiG),

4. Statistik-Register (§ 4a EpiG) sowie

5. Dokumentations- und Informationssystem für Analysen im Gesundheitswesen (§ 4 Abs. 3 des Bundesgesetzes über die Dokumentation im Gesundheitswesen, BGBl. Nr. 745/1996).

(3) Die gemäß Abs. 2 verknüpften Daten dürfen nur dann personenbezogen gespeichert werden, wenn dies aufgrund einer gesetzlicher Bestimmungen (z. B. des EpiG) zulässig ist. Verknüpfte Daten, die gespeichert werden, sind ungeachtet des § 24c Abs. 8 unmittelbar nach Zweckerreichung zu löschen. § 2d Abs. 2 Z 3 des Forschungsorganisationsgesetzes (FOG), BGBl. Nr. 341/1981, findet auf Abs. 2 keine Anwendung.

(4) Der:Die für das Gesundheitswesen zuständige Bundesminister:in ist berechtigt, zum Zweck der Erstellung von Statistiken im Zusammenhang mit der epidemiologischen Überwachung, wie etwa der Ermittlung von Durchimpfungsraten von bestimmten Berufsgruppen, sowie dem Monitoring der Wirksamkeit von gesundheitspolitischen Maßnahmen die im zentralen Impfregister gespeicherten Daten gemäß § 24c Abs. 2 mit dem verschlüsselten bereichsspezifischen Personenkennzeichen Statistik (vbPK-AS) auszustatten und die mit dem vbPK-AS ausgestatteten Daten gemäß § 24c Abs. 2 der Bundesanstalt „Statistik Österreich“ (Bundesanstalt) zu übermitteln. Die Bundesanstalt hat aus den ihr übermittelten Daten gemäß § 28b Abs. 2 Z 10 eine Statistik zu erstellen (§ 4 in Verbindung mit § 23 Abs. 1 Z 1 des Bundesstatistikgesetzes 2000, BGBl. I Nr. 163/1999). Die Übermittlung der Sozialversicherungsnummer ist unzulässig.

(5) Hinsichtlich der Verarbeitungen nach dieser Bestimmung besteht kein Widerspruchsrecht gemäß Art. 21 Abs. 6 in Verbindung mit Art. 89 Abs. 2 DSGVO sowie kein Recht auf Einschränkung der Verarbeitung gemäß Art. 18 Abs. 1 lit. d DSGVO. Die Bürger:innen sind von dem:der für das Gesundheitswesen zuständigen Bundesminister:in in geeigneter Weise darüber zu informieren (§ 24e Abs. 1).

Aufteilung der Pflichten gemäß Art. 26 DSGVO

§ 24h. (1) Den in § 24c Abs. 1 genannten gemeinsamen Verantwortlichen obliegen jeweils folgende aus der DSGVO resultierende Pflichten gemäß Art. 26 DSGVO hinsichtlich der von ihnen zu verantwortenden Datenverarbeitungstätigkeit (Abs. 2 bis 6):

1. Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO,

2. Zusammenarbeit mit der Aufsichtsbehörde gemäß Art. 31 DSGVO,

3. Sicherstellung der Datensicherheit,

4. Wahrnehmung der Meldepflicht gemäß Art. 33 DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten in ihrem Verantwortungsbereich aufgetreten ist,

5. Durchführung einer Datenschutz-Folgenabschätzung, sofern dies aufgrund von Art. 35 DSGVO notwendig ist,

6. Verweis an den zuständigen Verantwortlichen, wenn eine betroffene Person unter Nachweis ihrer Identität ein Recht nach der DSGVO gegenüber einem unzuständigen Verantwortlichen wahrnimmt, sowie

7. Information der betroffenen Personen gemäß Art. 12 Abs. 4 DSGVO, wenn aufgrund von deren Anträgen kein Tätigwerden erfolgt.

(2) Der:Die für das Gesundheitswesen zuständige Bundesminister:in ist verantwortlich für

1. Betrieb, Wartung und technische Weiterentwicklung des eImpfpasses gemäß § 27 Abs. 17 Z 1 lit. f und Z 2,

2. Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich gemäß § 24d Abs. 2 Z 3,

3. Auswertungen von im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 4 in Verbindung mit § 24g,

4. das bundesweites Krisenmanagement gemäß § 24d Abs. 2 Z 5,

5. das Datenqualitätsmanagement gemäß § 24d Abs. 2 Z 8,

6. die Wahrnehmung von Anträgen auf Auskunft gemäß Art. 15 DSGVO in Verbindung mit § 24e Abs. 3 sowie

7. die Selbsteintragung von Impfungen gemäß § 24e Abs. 6.

Dem:Der für das Gesundheitswesen zuständigen Bundesminister:in obliegt über Abs. 1 hinaus die Pflicht zur Information der betroffenen Personen gemäß Art. 13 DSGVO in geeigneter Weise.

(3) Der jeweilige Gesundheitsdiensteanbieter gemäß § 24c Abs. 4 ist verantwortlich für

1. die Speicherung, Berichtigung, Nachtragung und Vidierung der Angaben gemäß § 24c Abs. 2,

2. Zugriffe auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1,

3. Zugriffe auf die auf Basis dokumentierter Impfungen und des jeweils aktuellen Impfplans Österreich erstellten persönlichen Impfkalender gemäß § 24d Abs. 2 Z 2 sowie

4. Zugriffe für Zwecke der Abrechnung von Impfprogrammen gemäß § 24d Abs. 2 Z 6.

Ihm obliegt über Abs. 1 hinaus die Pflicht zur Wahrnehmung von Anträgen auf Berichtigung gemäß Art. 16 DSGVO. Gesundheitsdiensteanbietern gemäß § 24c Abs. 4 Z 1 obliegt ferner die Pflicht, die betroffenen Personen auf die von dem:der für das Gesundheitswesen zuständigen Bundesminister:in zur Verfügung gestellten Datenschutzinformation gemäß Art. 13 DSGVO hinzuweisen.

(4) Die jeweilige Apotheke gemäß § 1 des Apothekengesetzes ist verantwortlich für

1. die Nachtragung der Angaben gemäß § 24c Abs. 2 sowie

2. die Verarbeitung der im zentralen Impfregister gespeicherten Daten zu Beratungszwecken.

Ihr obliegt über Abs. 1 hinaus die Pflicht zur Wahrnehmung von Anträgen auf Berichtigung gemäß Art. 16 DSGVO. Ferner obliegt ihr die Pflicht, die betroffenen Personen auf die von dem:der für das Gesundheitswesen zuständigen Bundesminister:in zur Verfügung gestellten Datenschutzinformation gemäß Art. 13 DSGVO hinzuweisen.

(5) Die Landeshauptleute sind in ihrem jeweiligen gesetzlichen Wirkungsbereich verantwortlich für

1. Erinnerungen an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich gemäß § 24d Abs. 2 Z 3,

2. Auswertungen von im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 4 in Verbindung mit § 24g,

3. das Krisenmanagement gemäß § 24d Abs. 2 Z 5,

4. die Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6.

(6) Die Bezirksverwaltungsbehörden sind in ihrem jeweiligen gesetzlichen Wirkungsbereich verantwortlich für

1. Erinnerungen an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich gemäß § 24d Abs. 2 Z 3,

2. Auswertungen von im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 4 in Verbindung mit § 24g,

3. das Krisenmanagement gemäß § 24d Abs. 2 Z 5 und

4. die Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6.

eHealth-Servicestelle

§ 24i. (1) Der:Die für das Gesundheitswesen zuständige Bundesminister:in hat eine eHealth-Servicestelle einzurichten und zu betreiben. Die eHealth-Servicestelle ist Auftragsverarbeiterin (Art. 4 Z 8 DSGVO) von dem:der für das Gesundheitswesen zuständigen Bundesminister:in. Aufgabe der eHealth-Servicestelle ist

1. die Wahrnehmung von Auskunftsbegehren gemäß Art. 15 DSGVO in Verbindung mit § 24e Abs. 3 hinsichtlich der im zentralen Impfregister gespeicherten Daten sowie

2. die Sicherstellung von Vollständigkeit, Aktualität, Fehlerfreiheit, Konsistenz und Verfügbarkeit der im zentralen Impfregister gespeicherten Daten („Datenqualitätsmanagement“).

(2) Zur Erfüllung der Aufgabe gemäß Abs. 1 umfasst die spezifische Zugriffsberechtigung gemäß § 24f Abs. 4 Z 5 lit. f auch den Zugriff auf die Protokolldaten gemäß § 24f Abs. 5. Die spezifische Zugriffsberechtigung ist auf einen lesenden Zugriff beschränkt.

(3) Die eHealth-Servicestelle hat zur Erfüllung der Aufgabe gemäß Abs. 1 Z 2

1. die im zentralen Impfregister gespeicherten Daten sowie die Protokolldaten unter Zugrundelegung der in Abs. 1 Z 2 genannten Kriterien auf Anforderung von dem:der für das Gesundheitswesen zuständigen Bundesminister:in zu analysieren und Empfehlungen für Maßnahmen zur Sicherstellung und Verbesserung der Datenqualität zu erarbeiten,

2. die im Rahmen von Analysen gemäß Z 1 erkannten Fehler einer Berichtigung gemäß Abs. 4 zuzuführen,

3. entsprechend standardisierter Vorgaben oder über Einzelanforderung von dem:der für das Gesundheitswesen zuständigen Bundesminister:in Berichte über das Impfgeschehen aufzubereiten und zur Verfügung zu stellen,

4. den:die für das Gesundheitswesen zuständige:n Bundesminister:in bei der Erfüllung der Verpflichtungen gegenüber gesetzlich festgelegten Kontrolleinrichtungen und bei der Erfüllung internationaler Berichtspflichten durch Bereitstellung der jeweils angeforderten Informationen zu unterstützen sowie

5. Informationen und Beschwerden von Bürger:inne:n über Fehler im zentralen Impfregister (§ 24e Abs. 8) entgegen zu nehmen.

(4) Werden bei der Analyse gemäß Abs. 3 Z 1 Fehler erkannt, oder wird gemäß Abs. 3 Z 5 eine Information oder Beschwerde von einem:einer Bürger:in entgegen genommen, hat die eHealth-Servicestelle die Art des Fehlers sowie den jeweiligen Gesundheitsdiensteanbieter gemäß § 24c Abs. 4, der die Daten im zentralen Impfregister gespeichert hat, zu erheben und die Berichtigung der im zentralen Impfregister gespeicherten Daten bei diesem, oder im Falle seiner Nichtverfügbarkeit bei einem Amtsarzt oder einer Amtsärztin, zu veranlassen und die Durchführung zu überwachen. Gesundheitsdiensteanbieter sowie die Amtsärzte und Amtsärztinnen haben die Berichtigung unverzüglich, längstens binnen eines Monats, vorzunehmen. Kann die eHealth-Servicestelle bei der Überprüfung einer Information oder Beschwerde gemäß Abs. 3 Z 5 keinen Fehler feststellen, ist der:die Bürger:in binnen eines Monats darüber zu informieren.

(5) Berichte gemäß Abs. 3 Z 3 und Informationen gemäß Abs. 3 Z 4 dürfen – unbeschadet anderslautender gesetzlicher Bestimmungen – ausschließlich anonymisiert bereitgestellt werden. Hat der:die für das Gesundheitswesen zuständige Bundesminister:in Grund zur Annahme, dass Berichte gemäß Abs. 3 Z 3 Daten enthalten, durch die Rückschlüsse auf eine natürliche Person gezogen werden können, so hat er diese Daten von einer allfälligen Veröffentlichung auszunehmen.

(6) Die zur Behebung von Fehlern im zentralen Impfregister gemäß Abs. 4 erforderlichen Daten sind von der eHealth-Servicestelle in personenbezogener Form bereitzustellen. Die Verarbeitung dieser Daten hat entsprechend dem Stand der Technik zu erfolgen. Im Falle einer Berichtigung aufgrund einer Analyse gemäß Abs. 3 Z 1 in Verbindung mit Abs. 4 ist der:die Bürger:in über Art, Umfang und Grund der Berichtigung zu informieren. Dieser Verpflichtung kann durch einen Protokolleintrag entsprochen werden.

(7) Die Mitarbeiter:innen der eHealth-Servicestelle sind vor Aufnahme ihrer Tätigkeit in der eHealth-Servicestelle schriftlich über das Datengeheimnis gemäß § 6 DSG zu informieren. Dieses Datengeheimnis gilt auch über die Beendigung der Tätigkeit der Mitarbeiter:innen hinaus.

6. Abschnitt

Schlussbestimmungen

Verwaltungsstrafbestimmungen

§ 25. ...

Inkrafttreten

§ 26. (1) bis (8) ...

(9) In der Fassung des Bundesgesetzes BGBl. I. Nr. 115/2020 treten in Kraft:

1. ...

2. § 4 Abs. 6, § 18 Abs. 4 Z 2 und § 19 Abs. 2 Z 2 mit dem auf den Tag der Kundmachung folgenden Tag und finden erst Anwendung, wenn die technischen und organisatorischen Voraussetzungen für den Echtbetrieb des E-ID vorliegen. Dieser Zeitpunkt ist gemäß § 24 Abs. 6 E-GovG vom Bundesminister für Inneres im Bundesgesetzblatt kundzumachen;

2. § 4 Abs. 6, § 18 Abs. 4 Z 2 und § 19 Abs. 2 Z 2 mit dem auf den Tag der Kundmachung folgenden Tag und finden erst Anwendung, wenn die technischen und organisatorischen Voraussetzungen für den Echtbetrieb des E-ID vorliegen. Dieser Zeitpunkt ist gemäß § 24 Abs. 6 E-GovG von dem:der Bundesminister:in für Inneres im Bundesgesetzblatt kundzumachen;

3. ...

(10) ...

(11) bis (14) ...

(15) Das Inhaltsverzeichnis (§§ 12a, 16, 18, 24e, 24g bis 24i, 28 bis 28c), § 1 Abs. 1, Abs. 2 Z 3 lit. a und lit. b, § 2 Z 2 lit. e, Z 6, Z 9, Z 9 lit. a sublit. dd, lit. c, Z 9, lit. e und lit. f, Z 10 lit. a sublit. cc und lit. b sublit. aa, Z 12, Z 14 bis Z 18, § 4 Abs. 5, § 4a Abs. 1, § 5 Abs. 2, § 6 Abs. 1 Z 1 lit. b und lit. c sowie Z 2, § 8 Abs. 3, § 9 Abs. 1, Abs. 3 Z 1 lit. e bis lit. h sowie Z 3, § 10 Abs. 3 bis 5 sowie Abs. 7, § 11 Abs. 1 und Abs. 3, § 12, § 12a samt Überschrift, § 13 Abs. 1 Z 5, Abs. 2 und 3 sowie Abs. 3 Z 2, Z 3,Z 5 und Z 6, Abs. 5 und Abs. 7, § 14 Abs. 1 Z 1, Abs. 2 Z 1 lit. a und lit. b, Z 2, Z 2 lit. a und lit. b, Abs. 2a, Abs. 3 Z 2, Z 4, Z 5 und Z 7, Abs. 3a, Abs. 3a Z 1 und Z 2 sowie Abs. 4, § 15 Abs. 2, die Überschrift zu § 16, § 16 Abs. 1, Abs. 2 sowie Abs. 2 Z 2, Abs. 3 und Abs. 5, § 17, die Überschrift zu § 18, § 18 Abs. 1, Abs. 2 sowie Abs. 2 Z 4 lit. b, Abs. 4 sowie Abs. 4 Z 3 und Z 5, Abs. 6 bis Abs. 8 sowie Abs. 8 Z 1 und Abs. 9, § 19 Abs. 1, § 20 Abs. 1 bis Abs. 3, Abs. 5 Z 1 sowie Z 1 lit. b und Abs. 6 Z 1, § 20a, § 21 Abs. 2 Z 6 und Z 7 sowie Abs. 3, § 22 Abs. 4, § 23 samt Überschrift, § 24 Abs. 1 Z 1, Abs. 2 und Abs. 3 Z 1, § 24a Abs. 1 Z 1 und Z 4 sowie Abs. 2 Z 1 lit. c, § 24b Z 1 lit. d und Z 3, § 24c samt Überschrift, § 24d Abs. 1 sowie Abs. 1 Z 5 und Abs. 2, § 24e samt Überschrift, § 24f Abs. 2, Abs. 4 sowie Abs. 6, § 24g samt Überschrift, § 24h und § 24i samt Überschriften, § 27 Abs. 1 bis Abs. 4 und Abs. 6 bis Abs. 9, Abs. 13 und Abs. 14 sowie Abs. 17, § 28 bis § 28b samt Überschriften, § die Überschrift zu § 28c sowie § 28c Abs. und 2, § 29 Abs. 2, § 31 sowie § 32 in der Fassung des Bundesgesetzes BGBl. I. Nr. xxx/2023 treten mit dem der Kundmachung folgenden Tag in Kraft. Gleichzeitig treten § 14 Abs. 5, § 15 Abs. 1, § 27 Abs. 5 und Abs. 12 außer Kraft. § 12a Abs. 2 Z 4 tritt mit Ablauf des 30. Juni 2023 außer Kraft.

Übergangsbestimmungen

§ 27. (1) Der für das Gesundheitswesen zuständige Bundesminister hat das Zugangsportal (§ 23), die Widerspruchstellen (§ 28 Abs. 2 Z 7) sowie die ELGA-Ombudsstelle (§ 17) nach Maßgabe der technischen Verfügbarkeit bis 31. Dezember 2013 so zu errichten und zur Verfügung zu stellen, dass die Wahrnehmung der Teilnehmer/innen/rechte gewährleistet ist und zeitgerecht erfolgen kann. Ab diesem Zeitpunkt kann ELGA verwendet werden.

§ 27. (1) Der:Die für das Gesundheitswesen zuständige Bundesminister:in hat das Zugangsportal (§ 23), die Widerspruchstellen (§ 28a Abs. 1 Z 7) sowie die ELGA-Ombudsstelle (§ 17) nach Maßgabe der technischen Verfügbarkeit bis 31. Dezember 2013 so zu errichten und zur Verfügung zu stellen, dass die Wahrnehmung der Teilnehmer:innenrechte gewährleistet ist und zeitgerecht erfolgen kann. Ab diesem Zeitpunkt kann ELGA verwendet werden.

(2) Sofern nicht eine Verordnung gemäß § 28 Abs. 2 Z 4 einen späteren Zeitpunkt bestimmt, gilt § 13 Abs. 3 ab 1. Jänner 2015 für

(2) Sofern nicht eine Verordnung gemäß § 28a Abs. 1 Z 3 einen späteren Zeitpunkt bestimmt, gilt § 13 Abs. 3 ab 1. Jänner 2015 für

1. bis 3. ...

soweit die Nutzung der ELGA-Komponenten (§ 24) zur Verarbeitung von ELGA-Gesundheitsdaten technisch möglich ist.

(3) Sofern nicht eine Verordnung gemäß § 28 Abs. 2 Z 4 einen späteren Zeitpunkt bestimmt, gilt ab 1. Juli 2016 § 13 Abs. 3 für

(3) Sofern nicht eine Verordnung gemäß § 28a Abs. 1 Z 3 einen späteren Zeitpunkt bestimmt, gilt ab 1. Juli 2016 § 13 Abs. 3 für

1. bis 4. ...

soweit die Nutzung der ELGA-Komponenten (§ 24) zur Verarbeitung von ELGA-Gesundheitsdaten technisch möglich ist. Dies gilt jedoch nicht für freiberuflich tätige Ärzte und Ärztinnen, Gruppenpraxen sowie selbstständige Ambulatorien (§ 3a KAKuG) hinsichtlich der Verpflichtung gemäß § 13 Abs. 3 Z 4 und 6, wenn diese ELGA-Gesundheitsdiensteanbieter in keinem Vertragsverhältnis zu einem Träger der gesetzlichen Sozialversicherung gemäß § 341 oder § 343a ASVG stehen.

(4) Sofern nicht eine Verordnung gemäß § 28 Abs. 2 Z 4 einen späteren Zeitpunkt bestimmt, gilt ab 1. Jänner 2017 § 13 Abs. 3 für private Krankenanstalten gemäß § 1 Abs. 2 des Privatkrankenanstalten-Finanzierungsfondsgesetzes (PRIKRAF-G), BGBl. I Nr. 165/2004, soweit die Nutzung der ELGA-Komponenten (§ 24) zur Verarbeitung von ELGA-Gesundheitsdaten technisch möglich ist.

(4) Sofern nicht eine Verordnung gemäß § 28a Abs. 1 Z 3 einen späteren Zeitpunkt bestimmt, gilt ab 1. Jänner 2017 § 13 Abs. 3 für private Krankenanstalten gemäß § 1 Abs. 2 des Privatkrankenanstalten-Finanzierungsfondsgesetzes (PRIKRAF-G), BGBl. I Nr. 165/2004, soweit die Nutzung der ELGA-Komponenten (§ 24) zur Verarbeitung von ELGA-Gesundheitsdaten technisch möglich ist.

(5) Ab 1. Jänner 2017 haben nach Maßgabe der technischen Verfügbarkeit

1. Patientenverfügungen,

2. Vorsorgevollmachten sowie

3. die medizinischen Register (§ 2 Z 9 lit. e)

in ELGA zur Verfügung zu stehen.

(6) Sofern nicht eine Verordnung gemäß § 28 Abs. 2 Z 4 einen späteren Zeitpunkt bestimmt, gilt ab 1. Jänner 2022 § 13 Abs. 3 für

(6) Sofern nicht eine Verordnung gemäß § 28a Abs. 1 Z 3 einen späteren Zeitpunkt bestimmt, gilt ab 1. Jänner 2022 § 13 Abs. 3 für

1. bis 3. ...

(7) Sofern nicht eine Verordnung gemäß § 28 Abs. 2 Z 4 einen späteren Zeitpunkt bestimmt, hat spätestens mit 1. Jänner 2015 als Standard gemäß § 28 Abs. 2 Z 1 lit. a bis c eine Suche in den Dokumentenmetadaten über das Dokumentenregister jedenfalls möglich zu sein.

(7) Sofern nicht eine Verordnung gemäß § 28a Abs. 1 Z 3 einen späteren Zeitpunkt bestimmt, hat spätestens mit 1. Jänner 2015 als Standard gemäß § 28a Abs. 1 Z lit. a bis c eine Suche in den Dokumentenmetadaten über das Dokumentenregister jedenfalls möglich zu sein.

(8) Sofern nicht eine Verordnung gemäß § 28 Abs. 2 Z 4 einen späteren Zeitpunkt bestimmt, ist spätestens mit 1. Jänner 2015 als Standard gemäß § 28 Abs. 2 Z 1 lit. a bis c entweder eine inhaltlich einheitliche Struktur und Gliederung, sodass Inhalte in medizinische Informationssysteme übernommen werden können, oder zumindest eine Vereinheitlichung der Gliederung der Inhalte, sicherzustellen.

(8) Sofern nicht eine Verordnung gemäß § 28a Abs. 1 Z 3 einen späteren Zeitpunkt bestimmt, ist spätestens mit 1. Jänner 2015 als Standard gemäß § 28a Abs. 1 Z lit. a bis c entweder eine inhaltlich einheitliche Struktur und Gliederung, sodass Inhalte in medizinische Informationssysteme übernommen werden können, oder zumindest eine Vereinheitlichung der Gliederung der Inhalte, sicherzustellen.

(9) Sofern nicht eine Verordnung gemäß § 28 Abs. 2 Z 4 einen späteren Zeitpunkt bestimmt, hat spätestens mit 1. Jänner 2018 als Standard gemäß § 28 Abs. 2 Z 1 lit. a bis c eine Codierung der Informationen in ELGA nach einheitlichen Vorgaben zu erfolgen, die von den ELGA-Systempartnern unter Mitwirkung zuständiger gesetzlicher Interessenvertretungen erarbeitet werden.

(9) Sofern nicht eine Verordnung gemäß § 28a Abs. 1 Z 3 einen späteren Zeitpunkt bestimmt, hat spätestens mit 1. Jänner 2018 als Standard gemäß § 28a Abs. 1 Z lit. a bis c eine Codierung der Informationen in ELGA nach einheitlichen Vorgaben zu erfolgen, die von den ELGA-Systempartnern unter Mitwirkung zuständiger gesetzlicher Interessenvertretungen erarbeitet werden.

(10) und (11) ...

(12) Die Übermittlung von Gesundheitsdaten und genetischen Daten darf unter den Voraussetzungen des Abs. 10 Z 1 bis 3 ausnahmsweise auch per Fax erfolgen, wenn

1. die Faxanschlüsse (einschließlich Ausdruckmöglichkeiten zu Faxanschlüssen, die in EDV-Anlagen installiert sind) vor unbefugtem Zugang und Gebrauch geschützt sind,

2. die Rufnummern, insbesondere die verspeicherten Rufnummern, regelmäßig, insbesondere nach Veränderungen der technischen Einrichtung sowie nach der Neuinstallation von Faxgeräten nachweislich auf ihre Aktualität geprüft werden,

3. automatische Weiterleitungen, außer an die jeweiligen Gesundheitsdiensteanbieter selbst, deaktiviert sind,

4. die vom Gerät unterstützten Sicherheitsmechanismen genützt werden und

5. allenfalls verfügbare Fernwartungsfunktionen nur für die vereinbarte Dauer der Fernwartung aktiviert sind.

(13) Die erleichterten Bedingungen nach Abs. 10 und 12 bis 12b können nicht in Anspruch genommen werden, wenn die nach dem 2. Abschnitt erforderlichen Maßnahmen im Hinblick auf den Stand der Technik und die Implementierungskosten (Art. 32 Abs. 1 DSGVO) zumutbar sind.

(13) Die erleichterten Bedingungen nach Abs. 10 können nicht in Anspruch genommen werden, wenn die nach dem 2. Abschnitt erforderlichen Maßnahmen im Hinblick auf den Stand der Technik und die Implementierungskosten (Art. 32 Abs. 1 DSGVO) zumutbar sind.

(14) Bei der Übermittlung von Gesundheitsdaten und genetischen Daten gelten die erleichterten Bedingungen nach Abs. 10 oder 12 bis 12b für alle beteiligten Gesundheitsdiensteanbieter, wenn für zumindest einen der beteiligten Gesundheitsdiensteanbieter die jeweils erleichterten Bedingungen nach Abs. 10 oder 12 bis 12b gelten.

(14) Bei der Übermittlung von Gesundheitsdaten und genetischen Daten gelten die erleichterten Bedingungen nach Abs. 10 für alle beteiligten Gesundheitsdiensteanbieter, wenn für zumindest einen der beteiligten Gesundheitsdiensteanbieter die jeweils erleichterten Bedingungen nach Abs. 10 gelten.

(15) ...

(17) Verantwortliche (Art. 4 Z 7 DSGVO) für den Pilotbetrieb des eImpfpasses ist die ELGA GmbH. Die Verantwortlichkeit des für das Gesundheitswesen zuständigen Bundesministers für die eHealth‑Anwendung eImpfpass sowie eine allfällige Übertragung von Betrieb, Wartung und technischer Weiterentwicklung des eImpfpasses auf einen oder mehrere allfällige Auftragsverarbeiter (Art. 4 Z 8 DSGVO) gemäß § 24c Abs. 1 und 3a gelten ab Übergang in den Vollbetrieb (§ 28 Abs. 2a Z 2 lit. c). Die ELGA GmbH hat vor Übergang in den Vollbetrieb für eine reibungslose Portierung von Software (Anwendung) und Daten (Impfregister) zum für das Gesundheitswesen zuständigen Bundesminister zu sorgen. Allfällige Auftragsverarbeiter gemäß § 24c Abs. 1 und Abs. 3a sind im Zuge der Portierung bereits vor Übergang in den Vollbetrieb zur Datenverarbeitung gemäß § 24b ff GTelG 2012 berechtigt, soweit dies zur Sicherstellung eines reibungslosen Beginns des Vollbetriebs erforderlich ist. Die ELGA GmbH und der jeweilige am Piloten teilnehmende Gesundheitsdiensteanbieter sind gemeinsam für die Verarbeitung Verantwortliche im Sinne des Art. 26 DSGVO.

(17) Für die eHealth-Anwendung eImpfpass gilt

1. vor Aufnahme des Vollbetriebs:

a) Die ELGA GmbH ist verantwortlich für Betrieb, Wartung und technische Weiterentwicklung der eHealth-Anwendung eImpfpass.

b) Die ELGA GmbH hat zur Erfüllung ihrer Verpflichtung nach diesem Bundesgesetz eine spezifische Zugriffsberechtigung gemäß § 24f Abs. 4.

c) Der ELGA GmbH obliegen die aus der DSGVO resultierenden Pflichten gemäß § 24h Abs. 1. Zur Sicherstellung der Datensicherheit gemäß § 24h Abs. 1 Z 3 hat die ELGA GmbH ein IT-Sicherheitskonzept zu erstellen, das sie dem:der für das Gesundheitswesen zuständigen Bundesminister:in auf dessen:deren Verlangen binnen vier Wochen vorzulegen hat.

d) Die ELGA GmbH kann einen oder mehrere Auftragsverarbeiter heranziehen. Dieser oder diese Auftragsverarbeiter sind auch Auftragsverarbeiter des jeweiligen Gesundheitsdiensteanbieters gemäß § 24c Abs. 4 für die Speicherung der Angaben gemäß § 24c Abs. 2 und Abs. 3.

e) Der:Die für das Gesundheitswesen zuständige Bundesminister:in ist im Zuge der Portierung in den Vollbetrieb zur Sicherstellung dessen reibungslosen Beginns zur Datenverarbeitung gemäß § 24h Abs. 2 Z 1 berechtigt. In der Phase der Portierung sind der:die für das Gesundheitswesen zuständige Bundesminister:in und die ELGA GmbH gemeinsame Verantwortliche gemäß Art. 26 DSGVO.

f) Die ELGA GmbH hat für eine reibungslose Portierung von Software (Anwendung) und Daten (Impfregister) der eHealth-Anwendung eImpfpass zu dem:der für das Gesundheitswesen zuständigen Bundesminister:in zu sorgen;

2. ab Aufnahme des Vollbetriebs:

a) Der:die für das Gesundheitswesen zuständige Bundesminister:in betreibt die eHealth-Anwendung eImpfpass gemäß § 24c Abs. 1.

b) Der:Die für das Gesundheitswesen zuständige Bundesminister:in kann einen oder mehrere Auftragsverarbeiter heranziehen. Dieser oder diese Auftragsverarbeiter sind auch Auftragsverarbeiter des jeweiligen Gesundheitsdiensteanbieters gemäß § 24c Abs. 4 für die Speicherung der Angaben gemäß § 24c Abs. 2 und Abs. 3.

Der Zeitpunkt der Aufnahme des Vollbetriebs ist von dem:der für das Gesundheitswesen zuständigen Bundesminister:in im Bundesgesetzblatt kundzumachen.

(18) und (19) ...

Verordnungsermächtigungen und Weisungsrechte

Verordnungsermächtigungen für den 2. Abschnitt

§ 28. (1) Der für das Gesundheitswesen zuständige Bundesminister hat auf Grundlage dieses Gesetzes mit Verordnung festzulegen:

1. die Rollen von Gesundheitsdiensteanbietern, wobei die Anforderungen für die Festlegung zusätzlicher Rollen dem für das Gesundheitswesen zuständigen Bundesminister von der jeweiligen Registrierungsstelle unter Anschluss

a) einer Beschreibung von Art und Umfang der ausgeübten Tätigkeiten,

b) der Voraussetzungen, die für die Ausübung dieser Tätigkeiten zu erfüllen sind,

c) der Bezeichnung jener Rechtsgrundlage, aus der sich die Berechtigung zur Berufsausübung ergibt, sowie

d) der Stelle, die darüber entscheidet,

zu übermitteln sind,

2. nach Anhörung einer Bestätigungsstelle gemäß § 7 Signatur- und Vertrauensdienstegesetz – SVG, BGBl. I Nr. 50/2016, welche kryptographischen Algorithmen nach dem jeweiligen Stand der Netzwerksicherheit zur Verschlüsselung gemäß § 6 geeignet sind sowie

3. die näheren Modalitäten der Eintragung gemäß § 9, insbesondere die technischen Anforderungen, die Datenformate, die Periodizität der Aktualisierung der Daten und die einzuhaltenden Sicherheitsanforderungen.

(2) Der für das Gesundheitswesen zuständige Bundesminister hat auf Grundlage dieses Gesetzes mit Verordnung weiters für den 4. Abschnitt (ELGA) Folgendes festzulegen:

1. die Struktur, das Format sowie die Standards gemäß § 27 Abs. 7, 8 und 9, die für

a) Entlassungsbriefe gemäß § 2 Z 9 lit. a sublit. aa,

b) Laborbefunde gemäß § 2 Z 9 lit. a sublit. bb,

c) Befunde der bildgebenden Diagnostik einschließlich allfälliger Bilddaten gemäß § 2 Z 9 lit. a sublit. cc sowie

d) Medikationsdaten gemäß § 2 Z 9 lit. b

in ELGA zu verwenden sind, wobei international anerkannte Standards, die wirtschaftliche Vertretbarkeit sowie der Stand der technischen Möglichkeiten hinsichtlich des Detaillierungsgrades der Strukturen bei den jeweiligen ELGA-Gesundheitsdiensteanbietern zu berücksichtigen sind,

2. welche wechselwirkungsrelevanten, nicht verschreibungspflichtigen Arzneimittel gemäß § 2 Z 9 lit. b zu erfassen sind,

3. die Struktur und das Format, die für

a) folgende Befundarten (§ 2 Z 9 lit. a sublit. dd):

aa) Pathologiebefunde durch Fachärzte/Fachärztinnen für Pathologie und Krankenanstalten im Rahmen ambulanter Behandlungen,

bb) sonstige fachärztliche Befunde im Rahmen ambulanter Behandlungen (Spitalsambulanz, selbstständige Ambulatorien, niedergelassener Facharztbereich) und

cc) ambulante Pflegeberichte sowie

b) automationsunterstützt erstellte Angaben gemäß Art. 14 Abs. 2 lit. b sublit. i der Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (§ 2 Z 9 lit. f)

in ELGA zu verwenden sind, wobei nach Abschluss eines einheitlichen Standardisierungsverfahrens unter Mitwirkung der ELGA-Systempartner sowie zuständiger gesetzlicher Interessenvertretungen Struktur und Format nach den Kriterien der Z 1 festzulegen sind,

4. den jeweiligen Zeitpunkt, ab dem die in Z 1 lit. a bis d sowie die in Z 3 lit. a und b genannten Daten in ELGA gemäß § 13 Abs. 2 und 3 in Verbindung mit Abs. 1 Z 1 zu speichern bzw. zu erheben sind,

5. Standards für die Suchfunktion gemäß § 13 Abs. 5, die zeitliche Verfügbarkeit, die Sicherheitsanforderungen, wie insbesondere Regelungen zum Risikomanagement, und den Zugriffsschutz der für ELGA verwendeten Komponenten, wobei sichergestellt sein muss, dass Wartungsarbeiten protokolliert werden und dabei entweder nur verschlüsselte Daten eingesehen werden können oder ein Vier-Augen-Prinzip sichergestellt ist,

6. Umfang und Detaillierungsgrad der Information sowie Mindestanforderungen für den Inhalt des Aushanges gemäß § 16 Abs. 4,

7. jene Stellen, gegenüber denen der Widerspruch gemäß § 15 Abs. 2 zu erfolgen hat so rechtzeitig, dass der Teilnahme jedenfalls schon vor Inbetriebnahme von ELGA widersprochen werden kann und bei denen ELGA-Teilnehmer/innen Unterstützung bei der Wahrnehmung ihrer Teilnehmer/innen/rechte erhalten,

8. die Einrichtung einer ELGA-Ombudsstelle gemäß § 17,

9. die Einrichtung von Terminals mit Portalfunktionalität (§ 23) sowie von Service-Centern durch die ELGA-Systempartner,

10. den Zeitpunkt, ab dem eine einheitliche Nomenklatur für ELGA-Gesundheitsdaten (§ 2 Z 9) verwendet werden muss,

11. den Auftragsverarbeiter (Art. 4 Z 8 DSGVO) des Berechtigungssystems gemäß § 21 bzw. den Betreiber des Protokollierungssystems gemäß § 22 sowie

12. den Beginn und das Ende von Testphasen für ELGA in Verbindung mit Z 1, 3 und 4 samt einer allfälligen, unabhängigen Evaluierung.

(2a) Der für das Gesundheitswesen zuständige Bundesminister hat auf Grundlage des 5. Abschnittes mit Verordnung Folgendes festzulegen:

1. für die eHealth-Anwendung „Primärversorgung“ (§ 24a)

a) die Standards für Inhalt, Struktur, Format und Terminologien gemäß § 27 Abs. 7, 8 und 9, die im Rahmen dieser Anwendung zu verwenden sind, wobei international anerkannte Standards, die wirtschaftliche Vertretbarkeit sowie der Stand der technischen Möglichkeiten hinsichtlich des Detaillierungsgrades der Strukturen bei den jeweiligen Gesundheitsdiensteanbietern zu berücksichtigen sind,

b) den jeweiligen Zeitpunkt, ab dem die technisch-organisatorischen Spezifikationen gemäß lit. a jedenfalls anzuwenden sind, sowie

c) sofern Auftragsverarbeiter (Art. 4 Z 8 DSGVO) der Gesundheitsdiensteanbieter gemäß § 24a als Verantwortliche (Art. 4 Z 7 DSGVO) tätig werden, die Details dieser Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO, sowie

2. für die eHealth-Anwendung „eImpfpass“ (§§ 24b ff)

a) die Standards für Inhalt, Struktur, Format und Terminologien, die für

aa) die gemäß § 24c Abs. 2 Z 2 im zentralen Impfregister zu speichernden Angaben und

bb) die in der zusammenfassenden Darstellung gemäß § 24d Abs. 2 Z 1 ersichtlichen Daten

im Rahmen dieser Anwendung zu verwenden sind, wobei international anerkannte Standards, die wirtschaftliche Vertretbarkeit sowie der Stand der technischen Möglichkeiten hinsichtlich des Detaillierungsgrades der Strukturen bei den jeweiligen Gesundheitsdiensteanbietern zu berücksichtigen sind,

b) den jeweiligen Zeitpunkt, ab dem die technisch-organisatorischen Spezifikationen gemäß lit. a jedenfalls anzuwenden sind,

c) den jeweiligen Zeitpunkt, ab dem die Angaben gemäß § 24c Abs. 2 Z 2 von den betreffenden Gesundheitsdiensteanbietern zu speichern, zu aktualisieren sowie zu stornieren sind und diese für die in § 24d Abs. 2 genannten Zwecke verarbeitet werden dürfen, wobei der Beginn funktional, regional, zeitlich und nach Rollen gestaffelt erfolgen kann,

d) allenfalls andere, weniger oder weitere gemäß § 24c Abs. 2 Z 1 zur Speicherung im zentralen Impfregister verpflichtete Gesundheitsdiensteanbieter und spezifische Zugriffsberechtigungen von Gesundheitsdiensteanbietern gemäß § 24f Abs. 4 sowie

e) allenfalls andere, weniger oder weitere gemäß § 24c Abs. 2 Z 2 im zentralen Impfregister zu speichernde Detaildatenarten,

f) allenfalls einen oder mehrere Auftragsverarbeiter (Art. 4 Z 8 DSGVO) gemäß § 24c Abs. 1 und 3a,

g) sofern Auftragsverarbeiter (Art. 4 Z 8 DSGVO) der Gesundheitsdiensteanbieter gemäß § 24c Abs. 3 in Verbindung mit Abs. 3a tätig werden, die Details dieser Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO für die Speicherung, Aktualisierung, Stornierung und Nachtragung der Angaben gemäß § 24c Abs. 2 Z 2 im zentralen Impfregister,

h) für die Pilotierung

aa) den Zeitpunkt, ab dem die Angaben gemäß § 24c Abs. 2 Z 2 von den am Piloten teilnehmenden Gesundheitsdiensteanbietern zu speichern sind und diese für die in § 24d Abs. 2 genannten Zwecke verarbeitet werden dürfen und

bb) den Zeitpunkt, ab dem die technisch-organisatorischen Spezifikationen gemäß lit. a. anzuwenden sind,

cc) die Verpflichtung der ELGA GmbH, die Portierung gemäß § 27 Abs. 17 direkt an allfällige Auftragsverarbeiter gemäß § 24c Abs. 1 und 3a vorzunehmen und dabei sicherzustellen, dass ein reibungsloser Wechsel des Auftragsverarbeiters für die am Piloten teilnehmenden Gesundheitsdiensteanbieter erfolgt,

i) den Zeitpunkt, ab dem die Selbsteintragung von Impfungen in das zentrale Impfregister gemäß § 24e Abs. 1 Z 2 möglich ist,

j) die Details der gemeinsamen Verantwortlichkeit gemäß § 24c Abs. 3a und allenfalls gemäß § 27 Abs. 17 letzter Satz sowie

k) sofern dies aus epidemiologischen Gründen erforderlich ist, andere als in § 24c Abs. 4a Z 1 genannte Impfungen, die nachzutragen sind sowie den Stichtag der Nachtragungspflicht.

(3) Vor Erlassung einer Verordnung gemäß Abs. 2 und Abs. 2a Z 1 hat jedenfalls eine Anhörung der Rechtsträger von Krankenanstalten gemäß § 3 Abs. 2b KAKuG, die über Landesgesundheitsfonds abgerechnet werden, der Allgemeinen Unfallversicherungsanstalt, soweit sie gemäß § 24 Abs. 3 Z 1 ASVG Krankenanstalten betreibt, der Österreichischen Ärztekammer, der Österreichischen Apothekerkammer, der Österreichischen Zahnärztekammer, der Wirtschaftskammer Österreich, des Dachverbandes, der Arbeitsgemeinschaft der Patientenanwälte sowie der Länder zu erfolgen.

(4) Der für das Gesundheitswesen zuständige Bundesminister hat nach Anhörung der jeweils zuständigen gesetzlichen Interessenvertretungen, unter Berücksichtigung des § 27 Abs. 13, mit Verordnung für bestimmte Gesundheitsdiensteanbieter jeweils den Zeitpunkt festzulegen, ab dem die Übermittlung von Gesundheitsdaten und genetischen Daten unter den erleichterten Bedingungen des § 27 Abs. 10 und 12 jedenfalls nicht mehr zulässig ist.

(5) Bei der Vollziehung der §§ 18, 20a und 20b ist der Dachverband an die Weisungen des für das Gesundheitswesen zuständigen Bundesministers gebunden.

§ 28. (1) Der:Die für das Gesundheitswesen zuständige Bundesminister:in hat auf Grundlage des 2. Abschnitts mit Verordnung Folgendes festzulegen:

1. die Rollen von Gesundheitsdiensteanbietern und

2. die näheren Modalitäten der Eintragung gemäß § 9, insbesondere die technischen Anforderungen, die Datenformate, die Periodizität der Aktualisierung der Daten und die einzuhaltenden Sicherheitsanforderungen.

(2) Die Anforderungen für die Festlegung zusätzlicher Rollen sind dem:der für das Gesundheitswesen zuständigen Bundesminister:in von der jeweiligen Registrierungsstelle unter Anschluss

1. einer Beschreibung von Art und Umfang der ausgeübten Tätigkeiten,

2. der Voraussetzungen, die für die Ausübung dieser Tätigkeiten zu erfüllen sind,

3. der Bezeichnung jener Rechtsgrundlage, aus der sich die Berechtigung zur Berufsausübung ergibt, sowie

4. der Stelle, die darüber entscheidet,

zu übermitteln.

Verordnungsermächtigungen für den 4. Abschnitt (ELGA)

§ 28a. (1) Der:Die für das Gesundheitswesen zuständige Bundesminister:in hat auf Grundlage des 4. Abschnitts mit Verordnung Folgendes festzulegen:

1. die in ELGA zu verwendenden Standards für Inhalt, Struktur und Format gemäß § 27 Abs. 7, 8 und 9 für

a) Entlassungsbriefe gemäß § 2 Z 9 lit. a sublit. aa,

b) Laborbefunde gemäß § 2 Z 9 lit. a sublit. bb,

c) Befunde der bildgebenden Diagnostik einschließlich allfälliger Bilddaten gemäß § 2 Z 9 lit. a sublit. cc sowie

d) Medikationsdaten gemäß § 2 Z 9 lit. b,

2. die in ELGA zu verwendenden Standards für Struktur und Format, für

a) folgende Befundarten (§ 2 Z 9 lit. a sublit. dd):

aa) Pathologiebefunde durch Fachärzte und Fachärztinnen für Pathologie und Krankenanstalten im Rahmen ambulanter Behandlungen,

bb) sonstige fachärztliche Befunde im Rahmen ambulanter Behandlungen (Spitalsambulanz, selbstständige Ambulatorien, niedergelassener Facharztbereich) und

cc) ambulante Pflegeberichte sowie

3. den jeweiligen Zeitpunkt, ab dem die in Z 1 und 2 genannten Daten in ELGA gemäß § 13 Abs. 2 und 3 in Verbindung mit Abs. 1 Z 1 zu speichern und zu erheben sind,

4. die zu erfassenden wechselwirkungsrelevanten, nicht verschreibungspflichtigen Arzneimittel gemäß § 2 Z 9 lit. b,

5. Standards der für ELGA verwendeten Komponenten für

a) die Suchfunktion gemäß § 13 Abs. 5,

b) die zeitliche Verfügbarkeit,

c) die Sicherheitsanforderungen, wie insbesondere Regelungen zum Risikomanagement, und

d) den Zugriffsschutz,

wobei sichergestellt sein muss, dass Wartungsarbeiten protokolliert werden und dabei entweder nur verschlüsselte Daten eingesehen werden können oder ein Vier-Augen-Prinzip sichergestellt ist,

6. für den Aushang gemäß § 16 Abs. 4

a) den Umfang und Detaillierungsgrad der Information und

b) die Mindestanforderungen an den Inhalt,

7. die Einrichtung einer Widerspruchstelle und einer Serviceline,

8. die Einrichtung einer ELGA-Ombudsstelle gemäß § 17,

9. den Zeitpunkt, ab dem eine einheitliche Nomenklatur für ELGA-Gesundheitsdaten (§ 2 Z 9) zu verwenden ist,

10. den Auftragsverarbeiter (Art. 4 Z 8 DSGVO) des Berechtigungssystems gemäß § 21 und des Protokollierungssystems gemäß § 22 sowie

11. den Beginn und das Ende von Testphasen für ELGA in Verbindung mit Z 1 bis 3 samt einer allfälligen, unabhängigen Evaluierung.

(2) Für die Festlegung der Standards gemäß Abs. 1 Z 1 hat der:die für das Gesundheitswesen zuständige Bundesminister:in die international anerkannte Standards, die wirtschaftliche Vertretbarkeit sowie der Stand der technischen Möglichkeiten hinsichtlich des Detaillierungsgrades der Strukturen bei den jeweiligen ELGA-Gesundheitsdiensteanbietern zu berücksichtigen.

(3) Die Standards gemäß Abs. 1 Z 2 sind nach Abschluss eines einheitlichen Standardisierungsverfahrens unter Mitwirkung der ELGA-Systempartner sowie zuständiger gesetzlicher Interessenvertretungen nach den Kriterien des Abs. 2 festzulegen.

Verordnungsermächtigungen für den 5. Abschnitt

§ 28b. (1) Der:Die für das Gesundheitswesen zuständige Bundesminister:in hat auf Grundlage des 5. Abschnittes mit Verordnung für die eHealth-Anwendung „Primärversorgung“ (1. Unterabschnitt) Folgendes festzulegen:

1. die im Rahmen der Anwendung zu verwendenden Standards für Inhalt, Struktur, Format und Terminologien gemäß § 27 Abs. 7, 8 und 9 und

2. den jeweiligen Zeitpunkt, ab dem die technisch-organisatorischen Spezifikationen gemäß Z 1 jedenfalls anzuwenden sind.

(2) Der:Die für das Gesundheitswesen zuständige Bundesminister:in hat auf Grundlage des 5. Abschnittes mit Verordnung für die eHealth-Anwendung „eImpfpass“ (2. Unterabschnitt) Folgendes festzulegen:

1. die im Rahmen der Anwendung zu verwendenden Standards für Inhalt, Struktur, Format und Terminologien, die für

a) die gemäß § 24c Abs. 2 und Abs. 3 im zentralen Impfregister zu speichernden Angaben und

b) die in der zusammenfassenden Darstellung gemäß § 24d Abs. 2 Z 1 ersichtlichen Daten,

2. den jeweiligen Zeitpunkt, ab dem

a) die technisch-organisatorischen Spezifikationen gemäß Z 1 jedenfalls anzuwenden sind, und

b) ab dem die Angaben gemäß § 24c Abs. 2 und Abs. 3 von den betreffenden Gesundheitsdiensteanbietern jedenfalls zu speichern sowie zu berichtigen sind und diese für die in § 24d Abs. 2 genannten Zwecke verarbeitet werden dürfen, wobei der Beginn funktional, regional, zeitlich und nach Rollen gestaffelt erfolgen kann,

3. für die Pilotierung

a) den Zeitpunkt, ab dem

aa) die Angaben gemäß § 24c Abs. 2 und Abs. 3 von den Gesundheitsdiensteanbietern zu speichern sind und diese für die in § 24d Abs. 2 genannten Zwecke verarbeitet werden dürfen und

bb) die technisch-organisatorischen Spezifikationen gemäß lit. aa anzuwenden sind, sowie

b) die Verpflichtung der ELGA GmbH, die Portierung gemäß § 27 Abs. 17 direkt an allfällige Auftragsverarbeiter vorzunehmen und dabei sicherzustellen, dass ein reibungsloser Wechsel des Auftragsverarbeiters für die Gesundheitsdiensteanbieter erfolgt,

4. allenfalls einen oder mehrere Auftragsverarbeiter (Art. 4 Z 8 DSGVO) gemäß § 27 Abs. 17,

5. sofern Auftragsverarbeiter (Art. 4 Z 8 DSGVO) der Gesundheitsdiensteanbieter gemäß § 27 Abs. 17 tätig werden, die Details dieser Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO für die Speicherung, Berichtigung, Nachtragung und Vidierung der Angaben gemäß § 24c Abs. 2 und 3 im zentralen Impfregister,

6. die Form der Übermittlung der selbsteinzutragenden Daten an den:die für das Gesundheitswesen zuständige:n Bundesminister:in sowie den Zeitpunkt, ab dem die Selbsteintragung von Impfungen in das zentrale Impfregister gemäß § 24e Abs. 6 möglich ist,

7. sofern dies aus epidemiologischen Gründen oder zur Einhaltung von Verpflichtungen zur Verfolgung internationaler Eliminations- und Eradikationsziele erforderlich ist, Impfungen, die gemäß § 24c Abs. 5 Z 1 nachzutragen sind sowie den Stichtag der Nachtragungspflicht;

8. die Impfsettings gemäß § 24c Abs. 2 Z 4,

9. nach Maßgabe des Standes der Wissenschaft

a) die Voraussetzungen, unter denen Antikörperbestimmungen von Gesundheitsdiensteanbietern gemäß § 24c Abs. 4 Z 2 im zentralen Impfregister gespeichert werden dürfen und

b) eine Löschfrist für die im zentralen Impfregister gespeicherten Antikörperbestimmungen,

10. im Einvernehmen mit dem:der Bundeskanzler:in die näheren Bestimmungen gemäß § 4 Abs. 3 Bundesstatistikgesetzes 2000 zu den Auswertungen gemäß § 24g Abs. 4 sowie

11. die Einrichtung einer eHealth-Servicestelle gemäß § 24i.

(3) Für die Festlegung der Standards gemäß Abs. 1 Z 1 und Abs. 2 Z 1 hat der:die für das Gesundheitswesen zuständige Bundesminister:in die international anerkannte Standards, die wirtschaftliche Vertretbarkeit sowie der Stand der technischen Möglichkeiten hinsichtlich des Detaillierungsgrades der Strukturen bei den jeweiligen Gesundheitsdiensteanbietern zu berücksichtigen.

(4) Der:Die für das Gesundheitswesen zuständige Bundesminister:in darf nach Erlassung einer Verordnung gemäß Abs. 2 Z 2 lit. b, aufgrund derer alle Impfungen im zentralen Impfregister zu erfassen sind, ausschließlich eine Nachtragepflicht für Impfungen gegen Masern, Röteln, Hepatitis A, Hepatitis B, Varizellen, Polio und Humane Papillomaviren (HPV) mit Verordnung gemäß Abs. 2 Z 7 vorsehen.

(5) Der:Die für das Gesundheitswesen zuständige Bundesminister:in darf für die Impfsettings gemäß Abs. 2 Z 8 ausschließlich folgende Bezeichnungen verwenden: „Bildungseinrichtung“, „Arbeitsplatz/Betrieb“, „Wohnbereich und Betreuungseinrichtungen“, „Krankenhaus einschließlich Kur- und Rehaeinrichtungen“, „Ordination“, „Öffentliche Impfstelle/Impfstraße“ und „andere“.

(6) Der:Die für das Gesundheitswesen zuständige Bundesminister:in darf mit Verordnung gemäß Abs. 2 Z 9 lit. a ausschließlich Antikörperbestimmungen zu folgenden Erkrankungen festlegen: Diphtherie, Masern, Röteln, Hepatitis A, Hepatitis B, Polio, Tetanus, Varizellen und Tollwut. Andere als die genannten Antikörperbestimmungen, die zum Zeitpunkt der Erlassung dieses Bundesgesetzes im zentralen Impfregister durch Gesundheitsdiensteanbieter gemäß § 24c Abs. 4 Z 2 gespeichert sind, sind zu stornieren.

Anhörung und Weisungsrechte

§ 28c. (1) Vor Erlassung einer Verordnung gemäß § 28a und § 28b Abs. 1 hat jedenfalls eine Anhörung der Rechtsträger von Krankenanstalten gemäß § 3 Abs. 2b KAKuG, die über Landesgesundheitsfonds abgerechnet werden, der Allgemeinen Unfallversicherungsanstalt, soweit sie gemäß § 24 Abs. 3 Z 1 ASVG Krankenanstalten betreibt, der Österreichischen Ärztekammer, der Österreichischen Apothekerkammer, der Österreichischen Zahnärztekammer, der Wirtschaftskammer Österreich, des Dachverbandes, der Arbeitsgemeinschaft der Patientenanwälte sowie der Länder zu erfolgen.

(2) Der:Die für das Gesundheitswesen zuständige Bundesminister:in hat nach Anhörung der jeweils zuständigen gesetzlichen Interessenvertretungen, unter Berücksichtigung des § 27 Abs. 13, mit Verordnung für bestimmte Gesundheitsdiensteanbieter jeweils den Zeitpunkt festzulegen, ab dem die Übermittlung von Gesundheitsdaten und genetischen Daten unter den erleichterten Bedingungen des § 27 Abs. 10 jedenfalls nicht mehr zulässig ist.

(3) Mit der Koordinierung und Konzeption der eHealth-Anwendung „Elektronische Patientenverfügung“ („ePatientenverfügung“) ist die ELGA GmbH betraut. Der Dachverband hat die Entwicklung und Implementierung der ePatientenverfügung im übertragenen Wirkungsbereich umzusetzen.

(4) Bei der Vollziehung des Abs. 3 und der §§ 18, 20a und 23 ist der Dachverband an die Weisungen von dem:der für das Gesundheitswesen zuständigen Bundesminister:in gebunden.

Erlassung und Inkrafttreten von Verordnungen

§ 29. (1) ...

(2) Verordnungen aufgrund des § 28 Abs. 2a dürfen bereits vor dessen Inkrafttreten erlassen, jedoch frühestens zugleich in Kraft gesetzt werden.

(2) Verordnungen aufgrund des § 28b dürfen bereits vor dessen Inkrafttreten erlassen, jedoch frühestens zugleich in Kraft gesetzt werden.

Verweisungen

§ 30. ...

Vollziehung

§ 31. Mit der Vollziehung dieses Bundesgesetzes ist der für das Gesundheitswesen zuständige Bundesminister betraut.

§ 31. Mit der Vollziehung dieses Bundesgesetzes ist der:die für das Gesundheitswesen zuständige Bundesminister:in betraut.

Notifikationshinweis

§ 32. Dieses Gesetz wurde unter Einhaltung der Bestimmungen der Richtlinie (EU) 2015/1535 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, ABl. Nr. L 241 vom 17.09.2015 S. 1, notifiziert (Notifikationsnummer: 2020/422/A).

§ 32. (1) Dieses Gesetz wurde unter Einhaltung der Bestimmungen der Richtlinie (EU) 2015/1535 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, ABl. Nr. L 241 vom 17.09.2015 S. 1, notifiziert (Notifikationsnummer: 2020/422/A).

(2) Dieses Gesetz wurde unter Einhaltung der Bestimmungen der Richtlinie (EU) 2015/1535 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, ABl. Nr. L 241 vom 17.09.2015 S. 1, notifiziert (Notifikationsnummer: …).

Artikel 2

Änderung des Epidemiegesetzes 1950

§ 4. (1) bis (3) ...

(3a) Die ELGA GmbH ist berechtigt, auf Anforderung des für das Gesundheitswesen zuständigen Bundesministers die im zentralen Impfregister gespeicherten Daten über COVID‑19-Impfungen einschließlich des bPK‑GH an ihn zu übermitteln. Für die Übermittlung dieser Daten gilt § 6 des Gesundheitstelematikgesetzes 2012 – GTelG 2012, BGBl. I Nr. 111/2012. Die Anforderung des für das Gesundheitswesen zuständigen Bundesministers hat zu enthalten:

1. die Konkretisierung, welche der in § 24c Abs. 2 Z 2 lit a bis c GTelG 2012 bezeichneten Daten(kategorien) zu übermitteln sind,

1. die Konkretisierung, welche der in § 24c Abs. 2 Z 1 bis 3 GTelG 2012 bezeichneten Daten(kategorien) zu übermitteln sind,

2. und 3. ...

Der für das Gesundheitswesen zuständige Bundesminister ist berechtigt, die ihm von der ELGA GmbH übermittelten Daten mit dem Register zu verknüpfen und dürfen diese Daten zum Zweck des Ausbruchs- und Krisenmanagements, wie etwa für die Ermittlung von Impfdurchbrüchen, von Ausbruchsclustern oder für die Kontaktpersonennachverfolgung, verarbeitet werden. Die betroffenen Personen haben nach Maßgabe der technischen Verfügbarkeit das Recht, elektronisch im Wege des Zugangsportals (§ 23 GTelG 2012) Auskunft (Art. 15 DSGVO) über die sie betreffenden Protokolldaten (Abs. 9) zu erhalten. Das Auskunftsrecht kann durch die betroffenen Personen hinsichtlich der sie betreffenden Protokolldaten auch zumindest monatlich gegenüber dem für das Gesundheitswesen zuständigen Bundesminister geltend gemacht werden.

(4) Im Register werden folgende Datenkategorien verarbeitet:

1. und 2. ...

3. die für die anzeigepflichtige Krankheit relevanten klinischen Daten (Vorgeschichte und Krankheitsverlauf) sowie die in § 24c Abs. 2 Z 2 GTelG 2012 genannten Angaben und Labordaten sofern für die Zwecke des Abs. 2 erforderlich auch negative Testergebnisse auf SARS-CoV-2,

3. die für die anzeigepflichtige Krankheit relevanten klinischen Daten (Vorgeschichte und Krankheitsverlauf) sowie die in § 24c Abs. 2 und Abs. 3 GTelG 2012 genannten Angaben und Labordaten sofern für die Zwecke des Abs. 2 erforderlich auch negative Testergebnisse auf SARS-CoV-2,

4. und 5. ...

(5) bis (17) ...

Impfzertifikat

§ 4e. (1) bis (5) ...

(6) Bürgerinnen und Bürger können auf das Impfzertifikat auch im Wege des § 24e Abs. 1 Z 1 GTelG 2012 zugreifen. Apotheken gemäß § 1 Apothekengesetz, RGBl. Nr. 5/1907, dürfen die im zentralen Impfregister verfügbar gemachten Impfzertifikate für die Bürgerinnen und Bürger ausdrucken und haben hierfür eine spezifische Zugriffsberechtigung im Sinne des § 24f Abs. 4 GTelG 2012.

(6) Bürgerinnen und Bürger können auf das Impfzertifikat auch im Wege des § 24e Abs. 3 GTelG 2012 zugreifen. Apotheken gemäß § 1 Apothekengesetz, RGBl. Nr. 5/1907, dürfen die im zentralen Impfregister verfügbar gemachten Impfzertifikate für die Bürgerinnen und Bürger ausdrucken und haben hierfür eine spezifische Zugriffsberechtigung im Sinne des § 24f Abs. 4 GTelG 2012.

(7) ...

Wirksamkeit des Gesetzes.

§ 50. (1) bis (33) ...

(34) § 4 Abs. 3a und 4 sowie § 4e Abs. 6 in der Fassung des Bundesgesetzes BGBl. I. Nr. xxx/2023 treten mit dem der Kundmachung folgenden Tag in Kraft.

Artikel 3

Änderung des Allgemeinen Sozialversicherungsgesetzes

§ 31d. (1) und (2) ...

(3) Der Dachverband hat im übertragenen Wirkungsbereich die Widerspruchstelle (§ 28 Abs. 2 Z 7 GTelG 2012), die Serviceline („Service-Center“, § 28 Abs. 2 Z 9 GTelG 2012) sowie die Funktionen des Zugangsportals von ELGA, insbesondere jene zur Wahrung der ELGA Teilnehmer/innen/rechte (§ 23 Abs. 2 Z 2 GTelG 2012), bereit zu stellen und zu betreiben oder betreiben zu lassen. Er ist dabei an die Weisungen des Bundesministers für Gesundheit gebunden. Die Kundmachung der technisch-organisatorischen Spezifikationen nach § 28 GTelG 2012 darf rechtswirksam auch im Internet erfolgen.

(3) Der Dachverband hat im übertragenen Wirkungsbereich die Widerspruchstelle und die Serviceline (§ 28a Abs. 1 Z 7 GTelG 2012) sowie die Funktionen des Zugangsportals von ELGA, insbesondere jene zur Wahrung der ELGA Teilnehmer/innen/rechte (§ 23 Abs. 2 Z 2 GTelG 2012), bereit zu stellen und zu betreiben oder betreiben zu lassen. Er ist dabei an die Weisungen des Bundesministers für Gesundheit gebunden. Die Kundmachung der technisch-organisatorischen Spezifikationen nach § 28a GTelG 2012 darf rechtswirksam auch im Internet erfolgen.

(4) ...

Informationsschreiben Impfung gegen SARS-CoV-2

§ 750. (1) und (1a) ...

(2) Zum Zweck der Ermittlung der gemäß Abs. 1 und Abs. 1a in Betracht kommenden Personen ist der Dachverband berechtigt, die im zentralen Impfregister (§ 24c GTelG 2012) gespeicherten Daten zu den COVID-19-Impfungen einmalig mit eigenen Daten zu verknüpfen (abzugleichen). Für die Verknüpfung ist das bPK-SV zu verwenden. Eine Verarbeitung dieser Daten für andere Zwecke ist unzulässig. Nach der Verarbeitung sind diese Daten umgehend zu löschen. Die ELGA GmbH als für das Impfregister Verantwortliche (§ 27 Abs. 17 GTelG 2012 iVm § 4b eHealth-Verordnung, BGBl. II Nr. 449/2020) ist verpflichtet, dem Dachverband die notwendigen Daten bereitzustellen. Bei der Protokollierung nach § 24f Abs. 5 GTelG ist ein Hinweis darauf aufzunehmen, dass die Datenverarbeitung zum Zweck der Ermittlung der gemäß Abs. 1 und Abs. 1a in Betracht kommenden Personen erfolgt ist.

(2) Zum Zweck der Ermittlung der gemäß Abs. 1 und Abs. 1a in Betracht kommenden Personen ist der Dachverband berechtigt, die im zentralen Impfregister (§ 24c GTelG 2012) gespeicherten Daten zu den COVID-19-Impfungen einmalig mit eigenen Daten zu verknüpfen (abzugleichen). Für die Verknüpfung ist das bPK-SV zu verwenden. Eine Verarbeitung dieser Daten für andere Zwecke ist unzulässig. Nach der Verarbeitung sind diese Daten umgehend zu löschen. Die ELGA GmbH als Verantwortliche für Betrieb, Wartung und technische Weiterentwicklung der eHealth-Anwendung eImpfpass vor Aufnahme des Vollbetriebs ist verpflichtet, dem Dachverband die notwendigen Daten bereitzustellen. Bei der Protokollierung nach § 24f Abs. 5 GTelG ist ein Hinweis darauf aufzunehmen, dass die Datenverarbeitung zum Zweck der Ermittlung der gemäß Abs. 1 und Abs. 1a in Betracht kommenden Personen erfolgt ist.

(3) ...

Schlussbestimmung zu Art. 3 des Bundesgesetzes BGBl. I Nr. xxx/2023

§ 78x. § 31d Abs. 3 und § 750 Abs. 2 in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2023 treten mit dem der Kundmachung folgenden Tag in Kraft.

Artikel 4

Änderung des Patientenverfügungs-Gesetzes

4. Abschnitt

Gemeinsame Bestimmungen

Technische Spezifikation und Umsetzung

§ 14d. Die Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz kann im Sinn des § 28 Abs. 2 GTelG 2012 mit Verordnung Folgendes festlegen:

§ 14d. Die Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz kann im Sinn des § 28a GTelG 2012 mit Verordnung Folgendes festlegen:

1. bis 3. ...

5. Abschnitt

Schlussbestimmungen

In-Kraft-Treten

§ 18. (1) und (2) ...

(2) § 1 Abs. 2 und 3, § 2 Abs. 3, die §§ 6 bis 9, § 14 Abs. 3 und die §§ 14a bis 14d sowie § 18a samt Überschriften und die Überschrift des dritten Abschnitts in der Fassung der PatVG-Novelle 2018, BGBl. I Nr. 12/2019, treten mit dem der Kundmachung folgenden Tag in Kraft.

(3) § 1 Abs. 2 und 3, § 2 Abs. 3, die §§ 6 bis 9, § 14 Abs. 3 und die §§ 14a bis 14d sowie § 18a samt Überschriften und die Überschrift des dritten Abschnitts in der Fassung der PatVG-Novelle 2018, BGBl. I Nr. 12/2019, treten mit dem der Kundmachung folgenden Tag in Kraft.

(4) § 14d in der Fassung des Bundesgesetzes BGBl. I Nr. xxx/2023 tritt mit dem der Kundmachung folgenden Tag in Kraft.