Entwurf
Bundesgesetz, mit dem das Gesundheitstelematikgesetz 2012 und das Allgemeine Sozialversicherungsgesetz geändert werden
Der Nationalrat hat beschlossen:
Artikel 1
Änderung des Gesundheitstelematikgesetzes 2012
Das Gesundheitstelematikgesetz 2012, BGBl. I Nr. 111/2012, zuletzt geändert durch das Bundesgesetz, mit dem das Gesundheitstelematikgesetz 2012, das Allgemeine Sozialversicherungsgesetz, das Epidemiegesetz 1950, das Patientenverfügungs-Gesetz und das Suchtmittelgesetz geändert werden, BGBl. I Nr. 105/2024, wird wie folgt geändert:
1. Im Inhaltsverzeichnis entfällt der Eintrag zu § 12.
2. Im Inhaltsverzeichnis erhält der bisherige 6. Abschnitt die Abschnittsbezeichnung „7“ und es wird nach § 24h folgender neuer 6. Abschnitt eingefügt:
„6. Abschnitt: Grenzüberschreitende Gesundheitsversorgung
|
||||||||||||||||||
|
||||||||||||||||||
3. Im Inhaltsverzeichnis lautet der Eintrag zu § 28c:
|
„28c |
Verordnungsermächtigungen für den 6. Abschnitt“ |
4. Im Inhaltsverzeichnis wird nach dem Eintrag zu § 28c folgender Eintrag eingefügt:
|
„28d |
Anhörung und Weisungsrechte“ |
5. In § 1 Abs. 2 wird im Schlussteil der Z 3 das Wort „sowie“ durch einen Beistrich ersetzt, am Ende der Z 4 das Wort „sowie“ angefügt und die folgende Z 5 angefügt:
„5. einheitliche Regelungen für die ungerichtete Kommunikation elektronischer Gesundheitsdaten und genetischer Daten im Rahmen von spezifischen Anwendungen der grenzüberschreitenden Gesundheitsversorgung zu schaffen (6. Abschnitt).“
6. In § 2 Z 2 wird im Einleitungsteil nach dem Wort „Verordnung“ die Wort- und Zeichenfolge „ , oder in einem anderen Behandlungsmitgliedstaat gemäß Z 20,“ und am Ende der lit. e das Wort „oder“ eingefügt und die folgende lit. f angefügt:
„f) Unterstützung der grenzüberschreitenden Gesundheitsversorgung.“
7. § 2 Z 9 lit. f entfällt.
8. Dem § 2 werden folgende Z 20 bis 28 angefügt:
„20. „MyHealth@EU-Mitgliedstaat“: ein Mitgliedstaat der Europäischen Union oder des Europäischen Wirtschaftsraums mit bestehender Anbindung an MyHealth@EU mit aufrechter Verbindung zur österreichischen Nationalen Kontaktstelle für digitale Gesundheit.
21. „Herkunftsmitgliedstaat“: Mitgliedstaat, in dem natürliche Personen ihren Wohnsitz haben oder sozialversichert sind.
22. „Gesundheitsversorgung“: Gesundheitsversorgung gemäß Art. 3 lit. a der Patientenmobilitätsrichtlinie.
22a. „Behandlungsmitgliedstaat“: Behandlungsmitgliedstaat gemäß Art. 3 lit. d Patientenmobilitätsrichtlinie.
22b. „grenzüberschreitende Gesundheitsversorgung“: grenzüberschreitende Gesundheitsversorgung gemäß Art. 3 lit. e der Patientenmobilitätsrichtlinie.
23. „MyHealth@EU“: die grenzüberschreitende Infrastruktur zur Verarbeitung von ELGA-Gesundheitsdaten gemäß Z 9 im Falle Österreichs als Herkunftsmitgliedstaat gemäß Z 21 sowie Daten aus anderen Mitgliedstaaten im Falle Österreichs als Behandlungsmitgliedstaat gemäß Z 22a für Zwecke der grenzüberschreitenden Gesundheitsversorgung.
24. „Nationale Kontaktstelle für digitale Gesundheit“: ein organisatorisches und technisches Zugangstor zur Verarbeitung von ELGA-Gesundheitsdaten gemäß Z 9 im Falle Österreichs als Herkunftsmitgliedstaat gemäß Z 21 sowie Daten aus anderen Mitgliedstaaten im Falle Österreichs als Behandlungsmitgliedstaat gemäß Z 22 für Zwecke der grenzüberschreitenden Gesundheitsversorgung.
25. „Elektronische Verschreibung“: Verschreibung für ein Arzneimittel im Sinne von Art. 3 lit. k der Patientenmobilitätsrichtlinie.
26. „Elektronische Abgabe“: Informationen über die Abgabe eines Arzneimittels an eine natürliche Person durch eine Apotheke auf der Grundlage einer elektronischen Verschreibung.
27. „EU-Rezept“: grenzüberschreitende Gesundheitsanwendung, die sowohl in Österreich ausgestellte, elektronische Verschreibungen, die in Apotheken anderer MyHealth@EU-Mitgliedstaaten eingelöst werden (Österreich als Herkunftsmitgliedstaat), als auch in anderen MyHealth@EU-Mitgliedstaaten ausgestellte, elektronische Verschreibungen für natürliche Personen des jeweiligen MyHealth@EU-Mitgliedstaats, die in österreichischen Apotheken gemäß § 1 des Apothekengesetzes (im Folgenden Apotheken) eingelöst werden (Österreich als Behandlungsmitgliedstaat) umfasst.
28. „EU-Patientenkurzakte“: grenzüberschreitende Gesundheitsanwendung, die wichtige klinische Fakten in Bezug auf eine bestimmte natürliche Person enthält und für eine sichere und effiziente Gesundheitsversorgung dieser Person unerlässlich ist, ausschließlich im Falle Österreichs als Behandlungsmitgliedstaat.“
9. § 12 entfällt samt Überschrift.
10. In § 12a Abs. 2 wird am Ende der Z 3 das Wort „sowie“ durch einen Beistrich ersetzt und wird die Z 4a eingefügt:
„4a. Anwendungen der grenzüberschreitenden Gesundheitsversorgung (6. Abschnitt) sowie“
11. In § 12b Abs. 1 wird am Ende der Z 3 das Wort „sowie“ durch einen Beistrich ersetzt und am Ende der Z 4 das Wort „sowie“ angefügt und folgende Z 5 angefügt:
„5. im Rahmen der grenzüberschreitenden Gesundheitsversorgung (6. Abschnitt)“
11a. In § 13 Abs. 3 Z 4 wird nach der Wort- und Zeichenfolge „Angehörige des ärztlichen Berufes (§ 2 Z 10 lit. a)“ die Wort-und Zeichenfolge „sowie durch Krankenanstalten gemäß § 2 Z 10 lit. d“ eingefügt.
12. In § 18 Abs. 1 Z 1 wird nach der Wortfolge „eHealth-Anwendungen“ die Wortfolge „und Anwendungen gemäß dem 6. Abschnitt“ eingefügt.
13. In § 18 Abs. 4a wird die Wort- und Zeichenfolge „gemäß dem 5. Abschnitt“ durch die Wort- und Zeichenfolge „und Anwendungen gemäß dem 6. Abschnitt“ ersetzt.
14. In § 18 Abs. 4a Z 2 wird die Wortfolge „einem gültigen österreichischen Reisedokument gemäß § 2 des Passgesetzes 1992, BGBl. Nr. 839/1992,“, durch die Wortfolge „einem gültigen Reisepass im Sinne des Passgesetzes 1992, BGBl. Nr. 839/1992, ausgenommen eines Reisepasses gemäß § 4a des Passgesetzes 1992“ ersetzt.
15. In § 18 Abs. 4b Z 1 wird das Wort „Passersätze“ durch die Wortfolge „Übernahmserklärungen für Staatsbürger“ ersetzt.
16. In § 18 Abs. 4b Z 4 wird die Wortfolge „Reisedokuments gemäß § 2 Passgesetz“ durch die Wortfolge „Reisepasses im Sinne des Passgesetzes 1992, ausgenommen eines Reisepasses gemäß § 4a des Passgesetzes 1992“ ersetzt.
17. In § 21 Abs. 1 wird nach der Wortfolge „eHealth-Anwendungen“ die Wortfolge „und Anwendungen gemäß dem 6. Abschnitt“ eingefügt.
18. In § 21 Abs. 4 wird die Wortfolge „gemäß dem 5. Abschnitt“ durch die Wortfolge „und Anwendungen gemäß dem 6. Abschnitt“ ersetzt.
19. In § 22 Abs. 1 wird die Wortfolge „gemäß den Bestimmungen des 5. Abschnitts“ durch die Wortfolge „und in Anwendungen gemäß dem 6. Abschnitt“ ersetzt.
20. § 23 Abs. 1 wird am Ende der Z 1 das Wort „und“ durch einen Beistrich ersetzt, in Z 2 wird die Wortfolge „nach Maßgabe des 5. Abschnitts“ durch ein „und“ ersetzt und folgende Z 3 angefügt:
„3. Anwendungen gemäß dem 6. Abschnitt“
21. Der bisherige 6. Abschnitt erhält die Abschnittsbezeichnung „7“ und es wird nach § 24h folgender neuer 6. Abschnitt eingefügt:
„6. Abschnitt:
Grenzüberschreitende Gesundheitsversorgung
1. Unterabschnitt
Allgemeine Bestimmungen zu MyHealth@EU
Allgemeine Bestimmungen zur grenzüberschreitenden Gesundheitsversorgung
§ 24i. (1) Die grenzüberschreitende Gesundheitsversorgung über MyHealth@EU ist für Zwecke der Gesundheitsvorsorge sowie aus Gründen des öffentlichen Interesses im Bereich öffentliche Gesundheit erforderlich gemäß Art. 9 Abs. 2 lit. h und i DSGVO. Dies ergibt sich insbesondere aus
1. der Sicherstellung der Kontinuität der Gesundheitsversorgung durch eine verbesserte, schnellere Verfügbarkeit medizinischer Informationen, die zu einer Qualitätssteigerung diagnostischer und therapeutischer Entscheidungen sowie der Behandlung und Betreuung führt,
2. der Erhöhung der Patient/inn/ensicherheit,
3. der Steigerung der Prozess- und Ergebnisqualität von Gesundheitsdienstleistungen,
4. der Aufrechterhaltung einer qualitativ hochwertigen, ausgewogenen und allgemein zugänglichen Gesundheitsversorgung sowie
5. der Stärkung der Patient/inn/enrechte, insbesondere in Bezug auf die Verfügbarkeit ihrer elektronischen Gesundheitsdaten und ihre Kontrolle über diese Daten,
jeweils auf grenzüberschreitender Ebene.
(2) Die Teilnahme an MyHealth@EU ist für in Österreich wohnhafte oder sozialversicherte natürliche Personen freiwillig und unentgeltlich. Sie setzt das erklärte Einverständnis der Teilnehmenden voraus, welches jederzeit zurückgezogen werden kann (Opt-in). Das Einverständnis (Opt-in) stellt keine Einwilligung iSd Art. 9 Abs. 2 lit. a DSGVO dar und erfüllt daher keine dementsprechende Rechtswirkung.
(3) Sozialversicherungsrechtliche Vorschriften bleiben von diesem Abschnitt unberührt.
Nationale Kontaktstelle für digitale Gesundheit
§ 24j. (1) Zur Sicherstellung der in § 24i genannten Ziele ist von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin als datenschutzrechtlich Verantwortlichem oder Verantwortlicher (Art. 4 Z 7 DSGVO) die nationale Kontaktstelle für digitale Gesundheit einzurichten und zu betreiben. Sie ist Teil der öffentlichen Gesundheitstelematik-Infrastruktur gemäß § 3 Z 15 des Bundesgesetzes zur partnerschaftlichen Zielsteuerung-Gesundheit, BGBl. I Nr. 26/2017 in der jeweils geltenden Fassung.
(2) Aufgaben der nationalen Kontaktstelle sind die Kommunikation mit den ELGA-Komponenten gemäß § 24k Abs. 3 sowie anwendungsbezogenen Komponenten gemäß den folgenden Unterabschnitten und die Kommunikation mit den Kontaktstellen anderer MyHealth@EU-Mitgliedstaaten.
(3) Die von der Nationalen Kontaktstelle gespeicherten Protokolldaten haben neben nicht-personenbezogenen Meta-Daten auch Angaben zur betroffenen Person (MyHealth@EU-ID gemäß § 24l Abs. 2) sowie zur Identität des Gesundheitsdiensteanbieters (§ 24m) zu enthalten und sind spätestens 10 Jahre nach Abschluss der jeweiligen, ursprünglichen Verarbeitung für die Zwecke der Anwendungen der folgenden Unterabschnitte zu löschen.
Grundsätze der Datenverarbeitung
§ 24k. (1) Die Verarbeitung (Art. 4 Z 2 DSGVO) von durch MyHealth@EU verfügbar gemachten Daten ist nur zulässig, wenn
1. die in Österreich wohnhafte oder sozialversicherte natürliche Person ihr Einverständnis zur Datenverarbeitung gemäß § 24i Abs. 2 erklärt hat,
2. die natürliche Person gemäß § 24l eindeutig identifiziert wurde,
3. die nationale Kontaktstelle oder die ELGA- und eHealth-Supporteinrichtung gemäß § 24m eindeutig identifiziert wurde und gemäß Abs. 2 zur Verarbeitung der Daten berechtigt ist sowie
4. die gemäß den folgenden Unterabschnitten beteiligten Gesundheitsdiensteanbieter gemäß § 24m eindeutig identifiziert wurden und gemäß dem jeweiligen Unterabschnitt zur Verarbeitung der Daten berechtigt sind.
(2) Die durch MyHealth@EU verfügbar gemachten Daten dürfen ausschließlich
1. für Zwecke der grenzüberschreitenden Gesundheitsversorgung von
a) der nationalen Kontaktstelle,
b) Gesundheitsdiensteanbietern, die eine natürliche Person anderer MyHealth@EU-Mitgliedstaaten in Österreich gemäß den folgenden Unterabschnitten behandeln oder betreuen sowie
2. zum Zwecke der Wahrnehmung der Rechte der natürlichen Person gemäß § 24n Abs. 1 von
a) der natürlichen Person selbst,
b) gesetzlichen oder bevollmächtigten Vertreter/inne/n der natürlichen Person,
c) der ELGA- und eHealth-Supporteinrichtung sowie
d) der nationalen Kontaktstelle
verarbeitet werden.
(3) Für die Zwecke des Abs. 2 dürfen die folgenden ELGA-Komponenten verwendet werden:
1. der Patient/inn/enindex gemäß § 18,
2. der Gesundheitsdiensteanbieterindex gemäß § 19,
3. das Berechtigungssystem gemäß § 21,
4. das Protokollierungssystem gemäß § 22 sowie
5. das Zugangsportal gemäß § 23.
Überprüfung der Identität von natürlichen Personen im grenzüberschreitenden Kontext
§ 24l. (1) Im Falle Österreichs als Herkunftsmitgliedstaat hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin eine E-ID taugliche Anwendung gemäß den §§ 4 ff E-GovG bereitzustellen, die es natürlichen Personen ermöglicht, sich auf Basis der Verwendung der Funktion E-ID im jeweiligen Behandlungsmitgliedstaat zu identifizieren. Nach erfolgter eindeutiger Identifikation der natürlichen Person unter Verwendung der Funktion E-ID hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin ein eindeutiges Identifizierungsmerkmal zu erstellen und so anzuzeigen, dass der behandelnde Gesundheitsdiensteanbieter eine Überprüfung dieser Daten vornehmen kann. § 18 Abs. 4a Z 2 bleibt hiervon unberührt.
(2) Zum Zwecke der Überprüfung der Identität von natürlichen Personen sowie der eindeutigen Zuordnung von Dokumenten ist der für das Gesundheitswesen zuständige Bundesminister oder die für das Gesundheitswesen zuständige Bundesministerin ermächtigt, das bereichsspezifische Personenkennzeichen Gesundheit (bPK-GH) für die Zwecke dieses Abschnitts zu verwenden, und auf den Patient/inn/enindex gemäß § 18 zuzugreifen. Zur Übermittlung personenbezogener Daten an die nationale Kontaktstelle eines MyHealth@EU-Mitgliedstaats hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin das bPK-GH durch eine als „MyHealth@EU-ID“ zu bezeichnende, kryptographische Ableitung zu ersetzen. Eine Zuordnung der MyHealth@EU-ID zu einem bPK-GH darf ausschließlich für die Zwecke dieses Abschnitts erfolgen.
(3) Natürliche Personen anderer MyHealth@EU-Mitgliedstaaten sind von österreichischen Gesundheitsdiensteanbietern mittels der vom jeweiligen Herkunftsmitgliedstaat vorgegebenen Identifikationsmittel eindeutig zu identifizieren. Zu diesem Zweck dürfen Gesundheitsdiensteanbieter insbesondere die folgenden Daten der natürlichen Personen verarbeiten:
1. Angaben zur Person (Anrede, akademische Titel, Vor- und Nachname(n), Geburtsdatum, Geschlecht)
2. Angaben zum Wohnort (Wohnsitzstaat, Adresse)
3. Angaben zum Identitätsnachweis (Reisepass- und Personalausweis-Nummern, Sozialversicherungsnummer, sonstige numerische oder alphanumerische Identifikatoren)
Überprüfung der Identität von Gesundheitsdiensteanbietern im grenzüberschreitenden Kontext
§ 24m. Nachweis und Prüfung der eindeutigen Identität von Gesundheitsdiensteanbietern in Österreich haben
1. gemäß § 4 Abs. 4 und
2. für die Zwecke des § 2 Z 2 lit. a bis d mittels Zwei-Faktor-Authentifizierung der natürlichen Person
zu erfolgen.
Rechte der natürlichen Personen
§ 24n. (1) In Österreich wohnhafte oder sozialversicherte natürliche Personen sowie deren gesetzliche oder bevollmächtigte Vertreter/innen haben das Recht, im Wege des Zugangsportals (§ 23) oder gegenüber der ELGA- und eHealth-Supporteinrichtung (§ 17) die folgenden Rechte geltend zu machen:
1. Wahrnehmung der Betroffenenrechte gemäß dem Kapitel III der DSGVO,
2. Abgabe oder Zurückziehung des Einverständnisses zur Teilnahme (Opt-in) gemäß § 24i Abs. 2.
(2) Die für die Wahrnehmung der Rechte erforderliche Entscheidungsfähigkeit (§ 24 Abs. 2 ABGB) wird im Zweifel ab Vollendung des 14. Lebensjahres (mündige Minderjährige) vermutet.
(3) Natürliche Personen anderer MyHealth@EU-Mitgliedstaaten haben das Recht, ihre Betroffenenrechte gemäß Abs. 1 Z 1 auch gegenüber den in Abs. 1 angeführten Stellen auszuüben. Falls kein Verantwortlicher iSd Art. 4 Z 7 DSGVO seinen Sitz in Österreich hat, ist die Anfrage an die zuständige nationale Kontaktstelle für digitale Gesundheit weiterzuleiten.
2. Unterabschnitt
Elektronische Verschreibungen und elektronische Abgaben (EU-Rezept)
Allgemeine Bestimmungen zum EU‑Rezept
§ 24o. (1) Der Dachverband hat im übertragenen Wirkungsbereich gemäß Artikel 120b Abs. 2 Bundes-Verfassungsgesetz, BGBl. I Nr. 1/1930 in der jeweils geltenden Fassung des für das Gesundheitswesen zuständigen Bundesministers oder der zuständigen Bundesministerin das EU‑Rezept gemäß § 2 Abs. 2 Z 27 einzurichten und zu betreiben. Das EU-Rezept ist Teil der öffentlichen Gesundheitstelematik-Infrastruktur gemäß § 3 Z 15 des Bundesgesetzes zur partnerschaftlichen Zielsteuerung-Gesundheit.
(2) Zum Zwecke der Erstellung des EU-Rezepts darf der Dachverband neben den ELGA-Komponenten gemäß § 24k Abs. 3 die Anwendung „e-Rezept“ des elektronischen Verwaltungssystems des Dachverbands der Sozialversicherungsträger gemäß § 31a ASVG und die Verordnungsdaten des jeweiligen e-Rezeptes heranziehen. Sozialversicherungsrechtliche Vorschriften bleiben von diesem Abschnitt unberührt.
(3) Die Nationale Kontaktstelle hat ihre Aufgaben gemäß § 24j Abs. 3 für das EU-Rezept zu erfüllen.
Österreich als Herkunftsmitgliedstaat
§ 24p. Zum Zwecke der Abgabe von in Österreich elektronisch verschriebenen Arzneimitteln durch Gesundheitsdiensteanbieter in einem anderen MyHealth@EU-Mitgliedstaat hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin die Daten des EU‑Rezepts gemäß § 24o Abs. 2 unter Verwendung der nationalen Kontaktstelle gemäß § 24j auf Anfrage an die nationale Kontaktstelle im jeweiligen Behandlungsmitgliedstaat zu übermitteln. Zu diesem Zwecke ist den Gesundheitsdiensteanbietern der anderen MyHealth@EU-Mitgliedstaaten die Überprüfung der Identität der natürlichen Person gemäß § 24l zu ermöglichen.
Österreich als Behandlungsmitgliedstaat
§ 24q. (1) Apotheken dürfen auf elektronische Verschreibungen, die ihnen aus anderen MyHealth@EU-Mitgliedstaaten über MyHealth@EU von der nationalen Kontaktstelle gemäß § 24j übermittelt werden, zugreifen und derart verschriebene Arzneimittel abgeben. Geben Apotheken Arzneimittel auf der Grundlage einer solchen Verschreibung ab, so haben sie die Abgabe dem MyHealth@EU-Mitgliedstaat, der die Verschreibung ausgestellt hat, über MyHealth@EU an die nationale Kontaktstelle zu melden (elektronische Abgabe).
(2) Die Erfüllung der in § 24m genannten Voraussetzungen in Apotheken hat mittels geeigneter elektronischer Identifikation (z. B. mittels Identifikationskarten) der dort beschäftigten natürlichen Personen zu erfolgen.
Grundsätze der Datenverarbeitung
§ 24r. (1) Die Verarbeitung (Art. 4 Z 2 DSGVO) von über das EU‑Rezept verfügbar gemachten Daten gemäß § 24p sowie über MyHealth@EU verfügbar gemachten Daten gemäß § 24q ist nur zulässig, wenn die Grundsätze gemäß § 24k eingehalten werden.
(2) Gemeinsame Verantwortliche des EU-Rezepts im Sinne des Art. 4 Z 7 in Verbindung mit Art. 26 DSGVO sind:
1. im Falle Österreichs als Herkunftsmitgliedstaat:
a) der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin und
b) der jeweils behandelnde Arzt oder die jeweils behandelnde Ärztin,
2. im Falle Österreichs als Behandlungsmitgliedstaat
a) der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin sowie
b) die jeweils abgebende Apotheke,
wobei die Festlegung der datenschutzrechtlichen Pflichten im Sinne des Art. 26 DSGVO durch Verordnung des für das Gesundheitswesen zuständigen Bundesministers oder der zuständigen Bundesministerin zu erfolgen hat.
3. Unterabschnitt
EU-Patientenkurzakte
Allgemeine Bestimmungen zur EU-Patientenkurzakte
§ 24s. (1) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat eine grenzüberschreitende Anwendung zum Abruf der EU-Patientenkurzakte gemäß § 2 Abs. 2 Z 28 einzurichten und zu betreiben. Die grenzüberschreitende Anwendung zum Abruf der EU-Patientenkurzakte ist Teil der öffentlichen Gesundheitstelematik-Infrastruktur gemäß § 3 Z 15 des Bundesgesetzes zur partnerschaftlichen Zielsteuerung-Gesundheit.
(2) Die Nationale Kontaktstelle hat ihre Aufgaben gemäß § 24j Abs. 3 für den Abruf der EU-Patientenkurzakte zu erfüllen.
(3) Im Rahmen der EU-Patientenakte dürfen (sofern vorhanden und zutreffend) die folgenden Datenarten verarbeitet werden:
1. Angaben zur natürlichen Person (inklusive Identitätsdaten, Kontaktdaten, Angaben zur Versicherung),
2. Allergien,
3. Medizinische Warnungen,
4. Informationen über Impfungen/Prophylaxen, gegebenenfalls in Form eines Impfausweises,
5. Medizinische Probleme (aktuelle, gelöste, abgeschlossene oder inaktive Probleme, auch in einer internationalen Kodierung zur Klassifizierung),
6. Informationen in Textform zur medizinischen Vorgeschichte,
7. Medizinprodukte und Implantate,
8. Medizinische Verfahren oder Pflegeverfahren,
9. Funktionszustand,
10 Derzeitige und frühere Medikation,
11. Gesundheitsrelevante Beobachtungen zum sozialen Hintergrund (Konsum von Alkohol, Tabak, etc.),
12. Schwangerschaftshistorie,
13. von der natürlichen Person selbst zur Verfügung gestellte Daten,
14. Beobachteter Gesundheitszustand,
15. der aktuelle Versorgungsplan,
16. Angaben zu seltenen Krankheiten (zum Beispiel Einzelheiten über die Auswirkungen oder Merkmale der Krankheit, etc.) und
17. Ergebnisse von Untersuchungen.
Österreich als Behandlungsmitgliedstaat
§ 24t. (1) Gesundheitsdiensteanbieter im Sinne des 3. Unterabschnitts (im Folgenden „Gesundheitsdiensteanbieter“) sind ELGA-Gesundheitsdiensteanbieter im Sinne des § 2 Z 10 lit. a.
(2) Gesundheitsdiensteanbieter dürfen auf die EU-Patientenkurzakte, die ihnen aus anderen MyHealth@EU-Mitgliedstaaten mittels der grenzüberschreitenden Anwendung gemäß § 24s Abs. 1 über MyHealth@EU von der nationalen Kontaktstelle gemäß § 24j übermittelt wird, zugreifen.
(3) Die Identifikation des Gesundheitsdiensteanbieters als natürliche Person oder der von ihm beschäftigten natürlichen Personen hat gemäß § 24m zu erfolgen.
Grundsätze der Datenverarbeitung
§ 24u. (1) Die Verarbeitung (Art. 4 Z 2 DSGVO) von über MyHealth@EU verfügbar gemachten Daten gemäß § 24t ist nur zulässig, wenn die Grundsätze gemäß § 24k eingehalten werden.
(2) Gemeinsame Verantwortliche der EU-Patientenkurzakte im Sinne des Art. 4 Z 7 in Verbindung mit Art. 26 DSGVO sind:
1. im Falle Österreichs als Behandlungsmitgliedstaat
a) der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin sowie
b) der Gesundheitsdiensteanbieter,
wobei die Festlegung der datenschutzrechtlichen Pflichten im Sinne des Art. 26 DSGVO durch Verordnung des für das Gesundheitswesen zuständigen Bundesministers oder der zuständigen Bundesministerin zu erfolgen hat.“
22. Dem § 26 werden folgende Abs. 19 und 20 angefügt:
„(19) Die Einträge im Inhaltsverzeichnis zum 6. und 7. Abschnitt sowie zu § 28c und § 28d, § 1 Abs. 2 Z 3 bis 5, § 2 Z 2 Einleitungsteil sowie lit. e und f, § 2 Z 20 bis 27, § 12a Abs. 2 Z 3 und 4, § 12b Abs. 1 Z 3 bis 5, § 18 Abs. 1 Z 1, Abs. 4a Einleitungsteil sowie Z 2, Abs. 4b Z 1 und 4, § 21 Abs. 1 und 4, § 22 Abs. 1, § 23 Abs. 1 Z 1 bis 3, der 6. Abschnitt, die Abschnittsbezeichnung des 7. Abschnitts § 28c und § 28d in der Fassung des Bundesgesetzes BGBl. Nr. I xx/2025 treten mit 15. Februar 2026 in Kraft. § 2 Z 9 lit. f, § 12 samt Eintrag im Inhaltsverzeichnis und Überschrift treten mit 15. Februar 2026 außer Kraft.
(20) § 13 Abs. 3 Z 4 und § 28a Abs. 1 Z 3 in der Fassung des Bundesgesetzes BGBl. Nr. I xx/2025 treten mit dem der Kundmachung folgenden Tag in Kraft.“
22a. In § 28a Abs. 1 Z 3 entfällt nach der Wortfolge „speichern und zu erheben sind“ der Beistrich und es wird die Wort- und Zeichenfolge „sowie den jeweiligen Zeitpunkt, ab dem die Nutzung der ELGA-Komponenten (§ 24 GTelG 2012) zur Verarbeitung von ELGA-Gesundheitsdaten technisch sichergestellt sein muss,“ angefügt.
23. § 28c erhält die Bezeichnung „§ 28d“.
24. § 28c (neu) samt Überschrift lautet:
„Verordnungsermächtigungen für den 6. Abschnitt
§ 28c. (1) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat auf Grundlage des 6. Abschnittes mit Verordnung die datenschutzrechtlichen Pflichten im Sinne des Art. 26 DSGVO für die gemeinsamen Verantwortlichen des EU-Rezepts (§ 24r Abs. 2) festzulegen.
(2) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat auf Grundlage des 6. Abschnittes mit Verordnung die datenschutzrechtlichen Pflichten im Sinne des Art. 26 DSGVO für die gemeinsamen Verantwortlichen der EU-Patientenkurzakte (§ 24u Abs. 2) festzulegen“
Artikel 2
Änderung des Allgemeinen Sozialversicherungsgesetzes
Das Allgemeine Sozialversicherungsgesetz, BGBl. I Nr. 189/1955, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 145/2024, wird wie folgt geändert:
1. In § 31a Abs. 4 Z 9 wird der Punkt durch ein Semikolon ersetzt und folgende Z 10 angefügt:
„10. Erstellung von EU-Rezepten nach § 24o GTelG 2012.“
2. In § 31d Abs. 3 Z 3 wird das Datum „31. Dezember 2025“ durch das Datum „31. Dezember 2026“ ersetzt.