Entwurf

Bundesgesetz, mit dem ein Gesundheitstelematikgesetz 2011 erlassen und das Allgemeine Sozialversicherungsgesetz, das Gewerbliche Sozialversicherungsgesetz, das Bauern-Sozialversicherungsgesetz, das Beamten-Kranken- und Unfallversicherungsgesetz, das Gentechnikgesetz, das Gesundheits- und Krankenpflegegesetz, das Hebammengesetz, das Medizinische Masseur- und Heilmasseurgesetz und das Strafgesetzbuch, geändert werden (Elektronische Gesundheitsakte-Gesetz – ELGA-G)

Der Nationalrat hat beschlossen:

Artikel 1

Bundesgesetz betreffend Datensicherheitsmaßnahmen bei der Verwendung elektronischer Gesundheitsdaten (Gesundheitstelematikgesetz 2011 – GTelG 2011)

Inhaltsübersicht

§ Überschrift

1. Abschnitt: Allgemeine Bestimmungen

1 Gegenstand

2 Begriffsbestimmungen

2. Abschnitt: Datensicherheit bei der Weitergabe elektronischer Gesundheitsdaten

3 Grundsätze der Datensicherheit

4 Identität

5 Rolle

6 Vertraulichkeit

7 Integrität

8 Dokumentationspflicht

3. Abschnitt: Informationsmanagement

9 Organisation des eHealth-Verzeichnisdienstes (eHVD)

10 Daten des eHealth-Verzeichnisdienstes

11 Monitoring

12 Qualitätssicherung gesundheitsbezogener Web-Informationen

4. Abschnitt: Elektronische Gesundheitsakte (ELGA)

13 Allgemeine Bestimmungen zur Elektronischen Gesundheitsakte

14 Grundsätze der Datenverwendung

15 Grundsätze der ELGA-Teilnahme

16 Rechte der Teilnehmer/innen

17 Identifikation von Teilnehmer/inne/n

18 Identifikation von ELGA-Gesundheitsdiensteanbietern

19 Verwendung von ELGA-Gesundheitsdaten

20 Berechtigungssystem

21 Protokollierungssystem

22 Zugangsportal

23 Nutzungsrechte der ELGA-Systempartner

5. Abschnitt: Schlussbestimmungen

24 Verwaltungsstrafbestimmungen

25 In-Kraft-Treten

26 Übergangsbestimmungen

27 Erlassung und In-Kraft-Treten von Verordnungen

28 Verweisungen

29 Vollziehung

1. Abschnitt

Allgemeine Bestimmungen

Gegenstand

§ 1. (1) Gegenstand dieses Bundesgesetzes ist die Verwendung (§ 4 Z 8 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999) elektronischer Gesundheitsdaten.

(2) Ziele dieses Bundesgesetzes sind:

1. durch bundeseinheitliche Mindeststandards die Datensicherheit bei Verwendung elektronischer Gesundheitsdaten anzuheben und um Datenmissbrauch zu verhindern (2. Abschnitt),

2. die für die Entwicklung und Steuerung der Gesundheitstelematik im internationalen Kontext notwendigen Informationsgrundlagen zu schaffen und zu verbreitern (3. Abschnitt) sowie

3. einheitliche Regelungen für die ungerichtete Kommunikation elektronischer Gesundheitsdaten, insbesondere in ELGA, unter besonderer Berücksichtigung der:

a) Teilnehmer/innen/rechte (§ 16)

b) Identifikation von Teilnehmer/inne/n (§ 17)

c) Identifikation von ELGA-Gesundheitsdiensteanbietern (§ 18)

d) individuellen und generellen Zugriffsberechtigungen ( § 20) sowie

e) Dokumentation und Nachvollziehbarkeit der Verwendung von ELGA-Gesundheitsdaten (§ 21)

zu schaffen (4. Abschnitt).

(3) Dieses Bundesgesetz gilt für Gesundheitsdiensteanbieter gemäß § 2 Z 2 und somit nicht für jene, die über keine Einrichtungen der Informations- und Kommunikationstechnologie verfügen, um Gesundheitsdaten elektronisch zu verwenden.

(4) Abweichend von den Bestimmungen des E-Government-Gesetzes (E-GovG), BGBl. I Nr. 10/2004, ist im Anwendungsbereich dieses Bundesgesetzes eine Verwendung der bereichsspezifischen Personenkennzeichen (bPK) für den Tätigkeitsbereich Gesundheit auch durch Auftraggeber des privaten Bereiches zulässig. In diesen Fällen ist der Auftraggeber des privaten Bereiches für den Bereich der Erzeugung und der Verwendung der bPK wie ein Auftraggeber des öffentlichen Bereiches zu behandeln.

(5) Sofern dieses Bundesgesetz keine besonderen Bestimmungen enthält, bleiben alle anderen einschlägigen Rechtsvorschriften unberührt.

Begriffsbestimmungen

§ 2. Im Sinne dieses Bundesgesetzes bedeuten

1. „Gesundheitsdaten“: direkt personenbezogene Daten gemäß § 4 Z 1 DSG 2000 über die physische oder psychische Befindlichkeit eines Menschen, einschließlich der im Zusammenhang mit der Erhebung der Ursachen für diese Befindlichkeit sowie der Vorsorge oder Versorgung, der Pflege, der Verrechnung von Gesundheitsdienstleistungen oder der für die Versicherung von Gesundheitsrisiken erhobenen Daten. Dazu gehören insbesondere Daten, die

a) die geistige Verfassung,

b) die Struktur, die Funktion oder den Zustand des Körpers oder Teile des Körpers,

c) die gesundheitsrelevanten Lebensgewohnheiten oder Umwelteinflüsse,

d) die verordneten oder bezogenen Arzneimittel („Medikationsdaten“), Heilbehelfe oder Hilfsmittel,

e) die Diagnose, Therapie- oder Pflegemethoden oder

f) die Art, die Anzahl, die Dauer oder die Kosten von Gesundheitsdienstleistungen oder gesundheitsbezogenen Versicherungsdienstleistungen

betreffen.

2. „Gesundheitsdiensteanbieter“: wer regelmäßig Gesundheitsdaten zumindest teilweise automationsunterstützt verwendet und für den diese Verwendung Bestandteil seines Aufgabengebietes, seiner Erwerbstätigkeit, seines Betriebszweckes oder seines Dienstleistungsangebotes ist.

3. „IT-Sicherheitskonzept“: Summe aller Datensicherheitsmaßnahmen eines Gesundheitsdiensteanbieters, die zum Schutz von personenbezogenen Daten, insbesondere von sensiblen Daten, als notwendig und angemessen angesehen bzw. vorgesehen werden.

4. „Registrierungsstellen“: jene Stellen, die die Verzeichnisse gemäß § 9 Abs. 3 Z 1 führen oder in § 9 Abs. 3 Z 2 und 3 angeführt sind.

5. „Rolle“: Klassifizierung von Gesundheitsdiensteanbietern nach der Art ihres Aufgabengebietes, ihrer Erwerbstätigkeit, ihres Betriebszweckes oder ihres Dienstleistungsangebotes.

6. „ELGA“: ist ein Informationssystem, das sektorenübergreifend allen berechtigten ELGA-Gesundheitsdiensteanbietern (Z 10) und ELGA-Teilnehmern/innen ELGA-Gesundheitsdaten (Z 9) in elektronischer Form orts- und zeitunabhängig zur Verfügung stellt.

7. „Datenspeicher“ („Repository“): technische Infrastruktur, die der Speicherung von ELGA-Gesundheitsdaten dient.

8. „elektronische Verweise auf ELGA-Gesundheitsdaten“: elektronische Informationen in ELGA zu Art und Speicherort der jeweiligen ELGA-Gesundheitsdaten.

9. „ELGA-Gesundheitsdaten“: die folgenden personenbezogenen Daten, die zur weiteren Behandlung, Betreuung oder Sicherung der Versorgungskontinuität von ELGA-Teilnehmer/inne/n erforderlich sind und in ELGA verwendet werden dürfen:

a) alle Gesundheitsdaten gemäß Z 1 mit Ausnahme von Daten über Kosten oder gesundheitsbezogene Versicherungsdienstleistungen (Z 1 lit. f),

b) Patientenverfügungen (§ 2 Abs. 1 des Patientenverfügungs-Gesetzes, BGBl. I Nr. 55/2006) sowie

c) Vorsorgevollmachten (§ 284f des Allgemeinen bürgerlichen Gesetzbuches, JGS. Nr. 946/1811).

10. „ELGA-Gesundheitsdiensteanbieter (ELGA-GDA)“: die folgenden Gesundheitsdiensteanbieter (Z 2), mit Ausnahme jener, die unter § 1 Abs. 3 fallen:

a) Angehörige des ärztlichen Berufes gemäß § 3 des Ärztegesetzes 1998 (ÄrzteG 1998), BGBl. I Nr. 169, mit Ausnahme der Rollen

aa) Ärzte/innen, die Aufgaben des chef- und kontrollärztlichen Dienstes der Sozialversicherungsträger erfüllen,

bb) Ärzte/innen, die die Grundlagen von Versicherungsverhältnissen sowie daraus resultierenden Ansprüchen zu beurteilen haben,

cc) Arbeitsmediziner/innen (§ 81 des ArbeitnehmerInnenschutzgesetzes, BGBl. Nr. 450/1994),

dd) Amtsärzte/innen (§ 41 ÄrzteG 1998),

ee) Ärzte/innen, die an der Feststellung der Eignung zum Wehrdienst mitwirken sowie

ff) Schulärzte/innen (§ 66 des Schulunterrichtsgesetzes, BGBl. Nr. 472/1986),

b) Angehörige des zahnärztlichen Berufes (§ 5 des Zahnärztegesetzes (ZÄG), BGBl. I Nr. 126/2005) und Angehörige des Dentistenberufes (§ 60 ZÄG), mit Ausnahme der Rollen

aa) Amtszahnärzte/innen (§ 32 ZÄG) sowie

bb) Zahnärzte/innen, die die Grundlagen von Versicherungsverhältnissen sowie daraus resultierenden Ansprüchen zu beurteilen haben,

c) Apotheken gemäß § 1 Apothekengesetz, RGBl. Nr. 5/1907,

d) Krankenanstalten gemäß § 1 des Kranken- und Kuranstaltengesetzes (KAKuG), BGBl. Nr. 1/1957,

e) der österreichische National Contact Point (NCP), der

aa) die Gesundheitsversorgung von ELGA-Teilnehmer/inne/n in Mitgliedstaaten der Europäischen Union unterstützt,

bb) die Gesundheitsversorgung von Bürger/inne/n der Europäischen Union in Österreich unterstützt,

cc) einen gegenseitigen Datenaustausch außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraumes (EWR) unterstützt und

dd) die Auflagen dieses Bundesgesetzes erfüllt.

11. „ELGA-Systempartner“: der Bund, die Länder sowie der Hauptverband der österreichischen Sozialversicherungsträger, die in Zusammenarbeit die Komponenten von ELGA errichten und betreiben.

12. „ELGA-Teilnehmer/innen“: natürliche Personen, die die Teilnahmevoraussetzungen des § 15 erfüllen und für die daher elektronische Verweise auf sie betreffende ELGA-Gesundheitsdaten (Z 9) aufgenommen werden dürfen.

13. „Verweisregister“ („Registry“): ein Register, das der Aufnahme von elektronischen Verweisen auf ELGA-Gesundheitsdaten (Z 9) dient.

14. „Zugriffsberechtigung“: die auf der rechtlichen Zulässigkeit beruhende technische Möglichkeit bestimmte Daten zu verwenden.

2. Abschnitt

Datensicherheit bei der Weitergabe elektronischer Gesundheitsdaten

Grundsätze der Datensicherheit

§ 3. (1) Die §§ 4 bis 7 sind auf die elektronische Weitergabe von Gesundheitsdaten innerhalb eines Gesundheitsdiensteanbieters nicht anzuwenden, wenn duch effektive und dem Stand der Technik entsprechende Datensicherheitsmaßnahmen unbefugte Dritte vom Zugriff auf Gesundheitsdaten und somit deren Kenntnisnahme ausgeschlossen werden können.

(2) Gesundheitsdiensteanbieter dürfen Gesundheitsdaten nur dann weitergeben, wenn

1. die Weitergabe aus einem in § 9 DSG 2000 angeführten Grund zulässig ist,

2. die Identität der Personen, deren Gesundheitsdaten weitergegeben werden sollen, nachgewiesen ist,

3. die Identität (§ 4) und Rollen (§ 5) der an der Weitergabe beteiligten Gesundheitsdiensteanbieter nachgewiesen sind, sowie

4. Vertraulichkeit (§ 6) und Integrität (§ 7) der weitergegebenen Gesundheitsdaten gewährleistet sind.

Identität

§ 4. (1) Nachweis und Prüfung der Identität (§ 2 Z 2 E-GovG) von Personen, deren Gesundheitsdaten weitergegeben werden sollen, haben durch Eintragung bzw. Einsichtnahme in den Patientenindex (§ 17) zu erfolgen.

(2) Nachweis und Prüfung der Identität (§ 2 Z 2 E-GovG) von Gesundheitsdiensteanbietern haben

1. durch Verwendung elektronischer Signaturen, die auf qualifizierte Zertifikate rückführbar sein müssen sowie bereichsspezifische Personenkennzeichen (§ 9 E-GovG) oder

2. durch Eintragung bzw. Einsichtnahme in den eHealth-Verzeichnisdienst (§ 9)

zu erfolgen.

Rolle

§ 5. (1) Nachweis und Prüfung der Rolle von Gesundheitsdiensteanbietern haben gemäß § 4 Abs. 2 zu erfolgen.

(2) Der Bundesminister für Gesundheit hat mit Verordnung Rollen von Gesundheitsdiensteanbietern festzulegen. Anforderungen für die Festlegung zusätzlicher Rollen sind dem Bundesminister für Gesundheit von der jeweiligen Registrierungsstelle unter Anschluss

1. einer Beschreibung von Art und Umfang der ausgeübten Tätigkeiten,

2. der Voraussetzungen, die für die Ausübung dieser Tätigkeiten zu erfüllen sind,

3. der Bezeichnung jener Rechtsgrundlage, aus der sich die Berechtigung zur Berufsausübung ergibt sowie

4. der Stelle, die darüber entscheidet,

zu übermitteln.

Vertraulichkeit

§ 6. (1) Die Vertraulichkeit der Gesundheitsdaten ist durch

1. Verschlüsselung zumindest des Personenbezugs sowie

2. Verwendung effektiver Zugriffskontrollmechanismen

zu gewährleisten.

(2) Der Bundesminister für Gesundheit hat nach Anhörung einer Bestätigungsstelle gemäß § 19 des Signaturgesetzes (SigG), BGBl. I Nr. 190/1999, mit Verordnung festzulegen, welche kryptographischen Algorithmen nach dem jeweiligen Stand der Netzwerksicherheit zur Verschlüsselung gemäß Abs. 1 geeignet sind.

Integrität

§ 7. Nachweis und Prüfung der Integrität elektronischer Gesundheitsdaten haben durch die Verwendung fortgeschrittener oder qualifizierter elektronischer Signaturen (§ 2 Z 3 SigG) zu erfolgen.

Dokumentationspflicht

§ 8. Gesundheitsdiensteanbieter haben auf Basis eines IT-Sicherheitskonzeptes unbeschadet des § 14 DSG 2000 alle getroffenen Datensicherheitsmaßnahmen zu dokumentieren. Aus dieser Dokumentation muss hervorgehen, dass die Verwendung der Daten ordnungsgemäß erfolgt und sie Unbefugten nicht zugänglich sind. Diese Dokumentation ist auf Verlangen dem Bundesminister für Gesundheit sowie der ELGA-Ombudsstelle (§ 16 Abs. 4) zu übermitteln.

3. Abschnitt

Informationsmanagement

Organisation des eHealth-Verzeichnisdienstes (eHVD)

§ 9. (1) Der Bundesminister für Gesundheit hat zur

1. Unterstützung der zulässigen Verwendung elektronischer Gesundheitsdaten im Rahmen der integrierten Versorgung,

2. Verbesserung der Information über gesundheitsbezogene Dienste sowie

3. Unterstützung von Planungsaktivitäten und für die Berichterstattung (§ 11)

einen eHealth-Verzeichnisdienst (eHVD) zu betreiben.

(2) Gesundheitsdiensteanbieter sind von den Registrierungsstellen in den eHVD einzutragen.

(3) Die Eintragung der in § 10 Abs. 1 genannten Daten und deren Austragung aus dem eHVD erfolgt:

1. durch laufende elektronische Übermittlung aus:

a) der Ärzteliste gemäß § 27 ÄrzteG,

b) der Zahnärzteliste gemäß § 11 ZÄG,

c) dem Hebammenregister gemäß § 42 des Hebammengesetzes, BGBl. I Nr. 310/1994,

d) dem Apothekenverzeichnis gemäß § 2 Abs. 2 Z 12 des Apothekerkammergesetzes 2001, BGBl. I Nr. 111/2001,

e) der Liste der klinischen Psychologen und Gesundheitspsychologen gemäß § 16 des Psychologengesetzes, BGBl. Nr. 360/1990,

f) der Psychotherapeutenliste gemäß § 17 des Psychotherapiegesetzes, BGBl. Nr. 361/1990,

g) der Musiktherapeutenliste gemäß § 19 des Musiktherapiegesetzes, BGBl. I Nr. 93/2008, sowie

h) der Kardiotechnikerliste gemäß § 19 des Kardiotechnikergesetzes, BGBl. I Nr. 96/1998,

2. aufgrund elektronischer Meldung

a) eines bereits in den eHVD eingetragenen Gesundheitsdiensteanbieters über ausschließlich eigene untergeordnete Organisationseinheiten oder Gesundheitsdiensteanbieter,

b) der Landeshauptleute über die in ihrem Bundesland bzw. der Bezirksverwaltungsbehörden über die in ihrem Bezirk

aa) erteilten, geänderten und aufgehobenen Bewilligungen für Gesundheitsdiensteanbieter oder

bb) sonst angezeigten Tätigkeiten von Gesundheitsdiensteanbietern oder

cc) als Gesundheitsdiensteanbieter tätigen Behörden,

c) des Hauptverbandes der österreichischen Sozialversicherungsträger über die in ihm zusammengeschlossenen Versicherungsträger sowie

d) oberster Organe über die ihnen nachgeordneten, als Gesundheitsdiensteanbieter tätigen Behörden oder

3. durch den Bundesminister für Gesundheit für alle übrigen Gesundheitsdiensteanbieter.

(4) Gesundheitsdiensteanbieter, die keine natürlichen Personen sind, müssen nur dann nicht ihre vollständige Organisationsstruktur an den eHVD melden (Abs. 3 Z 2 lit. a) wenn sie ihre Organisationsstruktur intern abspeichern und gewährleistet ist, dass

1. diese Organisationsstruktur in jeweils aktueller Form vorliegt,

2. für alle erzeugten Gesundheitsdaten eine natürliche Person verantwortlich gemacht werden kann,

3. die gespeicherten Organisationsdaten nachträglich nicht spurlos verändert werden können und

4. der Zeitpunkt der Speicherung der Organisationsdaten nachweisbar bleibt und ebenfalls nachträglich nicht spurlos verändert werden kann.

(5) Der Bundesminister für Gesundheit kann mit Verordnung die näheren Modalitäten der Eintragung, insbesondere die technischen Anforderungen, die Datenformate, die Periodizität der Aktualisierung der Daten und die einzuhaltenden Sicherheitsanforderungen, festlegen.

(6) Die Registrierungsstellen haben kostenlos die technischen und organisatorischen Voraussetzungen für

1. die Eintragung gemäß Abs. 3 sowie

2. die Klärung von Zweifelsfällen im Hinblick auf die Datenqualität

zu schaffen.

Daten des eHealth-Verzeichnisdienstes

§ 10. (1) In den eHVD sind jedenfalls folgende Daten aufzunehmen:

1. Name sowie akademische Grade des Gesundheitsdiensteanbieters,

2. die Bezeichnung des Rechtsträgers, wenn der Gesundheitsdiensteanbieter keine natürliche Person ist,

3. Identifikatoren des Gesundheitsdiensteanbieters einschließlich der eindeutigen elektronischen Identifikation gemäß § 8 E-GovG,

4. Angaben zur beruflichen postalischen und elektronischen Erreichbarkeit des Gesundheitsdiensteanbieters,

5. die Rolle(n) sowie besondere Befugnisse oder Eigenschaften des Gesundheitsdiensteanbieters,

6. die eindeutige Kennung (OID) und den symbolischen Bezeichner,

7. die Staatsangehörigkeit des Gesundheitsdiensteanbieters,

8. die zur Verschlüsselung von Gesundheitsdaten erforderlichen Angaben oder die elektronische Adresse, an der diese Angaben aufgefunden werden können,

9. die Angabe, ob es sich um einen ELGA-Gesundheitsdiensteanbieter handelt,

10. Angaben zur geografischen Lokalisierung des Gesundheitsdiensteanbieters,

11. Angaben über das Leistungsangebot des Gesundheitsdiensteanbieters,

12. die Bezeichnung jener Registrierungsstelle gemäß § 9 Abs. 3, von der die Daten in den eHVD eingebracht wurden sowie gegebenenfalls einen Verweis („Link“) auf die Herkunftsquelle der Daten,

13. das Datum der Aufnahme der Daten in den eHVD sowie das Datum der letzten Berichtigung.

(2) Die eindeutige Kennung gemäß Abs. 1 Z 6 (OID und symbolischer Bezeichner) ist anhand der ÖNORM A 2642, „Informationstechnologie – Kommunikation offener Systeme, Verfahren zur Registrierung von Informationsobjekten in Österreich“ vom 1. Jänner 2011, aus der Kennung (OID) des Bundesministeriums für Gesundheit abzuleiten. Die im Abs. 1 Z 1 bis 7, 12 und 13 bezeichneten Daten dürfen vom Bundesminister für Gesundheit einem gegebenenfalls eingerichteten System für die Vergabe und Verwaltung von Objektidentifikatoren übermittelt werden.

(3) Für die eindeutige elektronische Identifikation von Gesundheitsdiensteanbietern (Abs. 1 Z 3), die natürliche Personen sind, haben Registrierungsstellen gemäß § 9 Abs. 3 bereichsspezifische Personenkennzeichen zu verwenden.

(4) Die im eHVD enthaltenen Daten sind mit Ausnahme der Identifikatoren des Gesundheitsdiensteanbieters (Abs. 1 Z 3) und jener Daten, die aufgrund bestehender Rechtsvorschriften von einer Veröffentlichung ausgenommen sind, öffentlich zugänglich und ‑ soweit erforderlich ‑ auch in englischer Sprache zur Verfügung zu stellen.

(5) Der Bundesminister für Gesundheit darf die im eHVD gespeicherten Daten Gesundheitsdiensteanbietern oder deren Dienstleistern im Umfang des nachzuweisenden Bedarfs in Form von elektronischen Auszügen („Replikaten“) übermitteln. Diese Daten dürfen von den Empfängern ausschließlich für Zwecke gemäß § 9 Abs. 1 Z 1 verwendet werden.

Monitoring

§ 11. (1) Der Bundesminister für Gesundheit kann zur Evaluierung der Nutzung und der Auswirkungen von Informations- und Kommunikationstechnologien im Gesundheitswesen – unter Bedachtnahme auf die Anforderungen des europäischen Umfeldes – ein bundesweites und sektorenübergreifendes Berichtswesen einrichten, das auf der Basis standardisierter Vorgaben Auskünfte insbesondere über

1. die Verfügbarkeit von technischer Infrastruktur einschließlich der Kommunikationsinfrastruktur,

2. die Art und den Umfang der eingesetzten gesundheitstelematischen Anwendungen und Verfahren,

3. die Art und den Umfang der Verwendung elektronischer Gesundheitsdaten sowie

4. die ökonomischen Rahmenbedingungen der Gesundheitstelematik

ermöglicht.

(2) Die Art und der Umfang der damit verbundenen Erhebungen können aufgrund rollenspezifischer Besonderheiten mit unterschiedlichem Detaillierungsgrad festgelegt werden.

(3) Der Bundesminister für Gesundheit hat den Bericht gemäß Abs. 1 dem Nationalrat vorzulegen und ist berechtigt, die Ergebnisse dieses Berichts auch für die Berichterstattung an Einrichtungen der Europäischen Union oder an andere internationale Organisationen zu verwenden.

(4) Die Gesundheitsdiensteanbieter sowie die Einrichtungen der Gesundheitsverwaltung sind verpflichtet, im Rahmen von Maßnahmen gemäß Abs. 1 die erforderlichen Auskünfte zu erteilen oder die verlangten Unterlagen zur Verfügung zu stellen.

Qualitätssicherung gesundheitsbezogener Web-Informationen

§ 12. (1) Erachtet der Bundesminister für Gesundheit einen Bedarf als gegeben, kann er als Orientierungshilfe für Informationssuchende Leitlinien für die Beurteilung der Qualität von im Internet angebotenen gesundheitsbezogenen Informationen veröffentlichen.

(2) Diese Leitlinien haben neben der Darstellung der Qualitätskriterien die Einrichtung eines Beschwerdemanagements vorzusehen. Die Leitlinien sowie allfällige Ergebnisse im Rahmen des Beschwerdemanagements sind im Gesundheitsportal zu veröffentlichen.

(3) Vom Anwendungsbereich der Leitlinien auszunehmen sind gesundheitsbezogene Informationsangebote, die anhand vergleichbarer Qualitätskriterien geprüft sind.

4. Abschnitt

Elektronische Gesundheitsakte (ELGA)

Allgemeine Bestimmungen zur Elektronischen Gesundheitsakte

§ 13. (1) In Entsprechung eines wichtigen öffentlichen Interesses (Art. 8 Abs. 4 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281 vom 23.11.1995 S. 31) dient die Nutzung der ELGA:

1. der Stärkung der Patient/inn/en/rechte, insbesondere der Informationsrechte und dem Rechtsschutz gemäß DSG 2000 bei der Verwendung von personenbezogenen Daten,

2. der Qualitätssteigerung diagnostischer und therapeutischer Entscheidungen sowie der Behandlung und Betreuung,

3. der Steigerung der Prozess- und Ergebnisqualität von Gesundheitsdienstleistungen,

4. dem Ausbau integrierter Versorgung und eines sektorenübergreifenden Nahtstellenmanagements im öffentlichen Gesundheitswesen,

5. der Aufrechterhaltung einer qualitativ hochwertigen, ausgewogenen und allgemein zugänglichen Gesundheitsversorgung sowie

6. der Wahrung des finanziellen Gleichgewichts des Systems der sozialen Sicherheit.

(2) Zu den in Abs. 1 genannten Zwecken sind ELGA-Gesundheitsdaten in ELGA zu verwenden. Der Bundesminister für Gesundheit ist ermächtigt, mit Verordnung den jeweiligen Zeitpunkt festzulegen, ab dem ELGA-Gesundheitsdaten gemäß § 2 Z 9 lit. a in strukturierter elektronischer Form auf Basis anerkannter internationaler Standards aus dem Gesundheitswesen zu verwenden sind.

(3) ELGA-Gesundheitsdiensteanbieter sind in Entsprechung eines wichtigen öffentlichen Interesses (Abs. 1) und zur Wahrung der Teilnehmer/innen/rechte (§ 16 Abs. 1) verpflichtet, im Rahmen der Behandlung oder Betreuung von ELGA-Teilnehmer/innen ELGA-Gesundheitsdaten in ELGA zu verwenden.

(4) Sofern kein genereller Widerspruch gemäß § 15 Abs. 2 besteht, sind Daten gemäß § 2 Z 9 lit. a bis c unabhängig von einer Behandlung oder Betreuung (Abs. 3) aus anderen Registern des Gesundheitsbereiches für ELGA zugänglich zu machen.

(5) Soweit eine ausdrückliche Zustimmung von ELGA-Teilnehmer/inne/n vorliegt, darf der österreichische National Contact Point ELGA-Gesundheitsdaten unabhängig von einer Behandlung oder Betreuung zu den in § 2 Z 10 lit. e angeführten Zwecken verwenden.

(6) Der Bundesminister für Gesundheit hat mit Verordnung Mindeststandards für Datenstruktur, Verfügbarkeit, Sicherheitsanforderungen und Zugriffsschutz sowie Mindestanforderungen für den Inhalt eines Aushanges gemäß § 16 Abs. 5 festzulegen.

Grundsätze der Datenverwendung

§ 14. (1) Die Verwendung von ELGA-Gesundheitsdaten ist nur zulässig, wenn insbesondere

1. die eindeutige Identität der ELGA-Teilnehmer/innen über den Patientenindex (§ 17) nachgewiesen ist,

2. die eindeutige Identität und Rolle der ELGA-Gesundheitsdiensteanbieter über den Gesundheitsdiensteanbieterindex (§ 18) nachgewiesen ist und

3. der ELGA-Gesundheitsdiensteanbieter gemäß § 20 berechtigt ist.

(2) In medizinischen Notfällen ist Abs. 1 Z 3 nicht anzuwenden.

(3) Die durch ELGA verfügbar gemachten ELGA-Gesundheitsdaten dürfen direkt personenbezogen ausschließlich

1. zu Gesundheitszwecken gemäß § 9 Z 12 DSG 2000, ausgenommen für die Verwaltung von Gesundheitsdiensten, von

a) behandelnden oder betreuenden ELGA-Gesundheitsdiensteanbietern sowie

b) Personen, die die ELGA-Gesundheitsdiensteanbieter bei der Ausübung ihrer Tätigkeit unterstützen und im konkreten Fall von diesen dazu angewiesen wurden oder

2. zur Wahrnehmung der Teilnehmer/innen/rechte gemäß § 16 von

a) ELGA-Teilnehmer/inne/n sowie

b) deren gesetzlichen oder bevollmächtigten Vertreter/innen

verwendet werden.

(4) Personen, die nicht zum Zugriff auf ELGA berechtigt sind, wie insbesondere anderen ELGA-Gesundheitsdiensteanbietern, Arbeitgebern, Versicherungsunternehmen, Gerichten oder anderen Behörden, ist es verboten ELGA-Gesundheitsdaten zu verlangen oder tatsächlich auf diese zuzugreifen.

(5) ELGA-Gesundheitsdiensteanbieter, Dienstleister und ihre Mitarbeiter/innen – das sind Arbeitnehmer/innen (Dienstnehmer/innen) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – sowie Organe der Ombudsstelle (§ 16 Abs. 4) haben Daten aus ELGA, die ihnen ausschließlich aufgrund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen Daten besteht.

(6) Die Meldepflicht gemäß § 17 DSG 2000 für Datenanwendungen aufgrund dieses Abschnitts ist mit diesem Bundesgesetz erfüllt.

Grundsätze der ELGA-Teilnahme

§ 15. (1) Alle natürlichen Personen,

1. die einer ELGA-Teilnahme nicht widersprochen haben (Abs. 2),

2. die eindeutig identifizierbar sind (§ 17) und

3. deren Daten gemäß § 31 Abs. 4 Z 3 lit. a ASVG verwendet werden oder die von ELGA-Gesundheitsdiensteanbietern behandelt oder betreut werden,

nehmen an ELGA teil.

(2) Der Teilnahme an ELGA kann jederzeit widersprochen werden (Opt-out). Dabei ist anzugeben, ob sich dieser Widerspruch nur auf Medikationsdaten, alle ELGA-Gesundheitsdaten mit Ausnahme der Medikationsdaten oder alle ELGA-Gesundheitsdaten beziehen soll. Dieser Widerspruch hat

1. schriftlich gegenüber der gemäß Abs. 3 festzulegenden Widerspruchstelle oder

2. elektronisch über das Zugangsportal (§ 22)

zu erfolgen, jedenfalls aber so, dass sowohl die eindeutige Identität (§ 2 Z 2 E-GovG) der Person, die nicht an ELGA teilnehmen möchte, als auch die Authentizität der Mitteilung geprüft werden können.

(3) Der Bundesminister für Gesundheit hat mit Verordnung jene Stelle, gegenüber der dieser Widerspruch zu erfolgen hat („Widerspruchstelle“), festzulegen, und zwar so rechtzeitig, dass der Teilnahme jedenfalls schon vor Inbetriebnahme von ELGA widersprochen werden kann.

(4) Personen, die der Teilnahme an ELGA widersprochen haben, ist ihr Widerspruch zu bestätigen. Alle bis zum Zeitpunkt des Widerspruchs vorhandenen elektronischen Verweise auf ELGA-Gesundheitsdaten sind unwiderruflich durch den Betreiber des Berechtigungssystems zu löschen. Darüber ist die widerrufende Person aus Anlass ihres Widerspruchs zu informieren. Der gültige Widerspruch ist im Berechtigungssystem (§ 20) zu speichern.

(5) Generelle Widersprüche (Opt-out) gemäß Abs. 2 können jederzeit widerrufen werden. Solange ein gültiger Widerspruch besteht, dürfen ELGA-Gesundheitsdaten nicht verwendet werden. Es besteht kein Rechtsanspruch auf eine nachträgliche Aufnahme von elektronischen Verweisen auf ELGA-Gesundheitsdaten, die in Zeiten eines gültigen Widerspruchs angefallen sind.

Rechte der Teilnehmer/innen

§ 16. (1) ELGA-Teilnehmer/innen haben das Recht

1. jederzeit Einsicht in

a) ihre ELGA-Gesundheitsdaten sowie

b) die Protokolldaten gemäß § 21 Abs. 2

zu nehmen,

2. die Aufnahme der in § 19 Abs. 3 genannten ELGA-Gesundheitsdaten durch den ELGA-Gesundheitsdiensteanbieter zu verlangen,

3. einer Aufnahme von ELGA-Gesundheitsdaten in ELGA im Einzelfall zu widersprechen und darüber jedenfalls bei Erstkontakt durch den ELGA-Gesundheitsdiensteanbieter umfassend und verständlich informiert zu werden sowie

4. den Zugriff auf ELGA-Gesundheitsdaten mittels individueller Zugriffsberechtigungen gemäß § 20 Abs. 3 zu bestimmen, indem sie

a) elektronische Verweise auf ELGA-Gesundheitsdaten ausblenden oder

b) ELGA-Gesundheitsdiensteanbieter vom Zugriff ausschließen.

(2) Personen, die ihr generelles Widerspruchsrecht (§ 15 Abs. 2) oder ihre Teilnehmer/innen/rechte (Abs. 1) wahrnehmen, dürfen weder im Zugang zur medizinischen Versorgung noch hinsichtlich der Kostentragung für diese schlechter gestellt werden, als Personen, die diese Rechte nicht ausüben.

(3) Die Teilnehmer/innen/rechte im Sinne des Abs. 1 Z 1 und 4 können

1. schriftlich gegenüber dem Betreiber des Berechtigungssystems (§ 20) oder

2. elektronisch im Wege des Zugangsportals (§ 22)

ausgeübt werden.

(4) Die ELGA-Systempartner haben für ELGA-Teilnehmer/innen eine Ombudsstelle einzurichten, die diese in Angelegenheiten im Zusammenhang mit ELGA berät, unterstützt und Empfehlungen ausspricht. Die Organe sind in Ausübung ihrer Tätigkeit gegenüber dem Betreiber dieser Ombudsstelle weisungsfrei.

(5) ELGA-Gesundheitsdiensteanbieter haben ELGA-Teilnehmer/innen in Form eines leicht lesbaren und gut sichtbaren Aushanges in den Räumlichkeiten des jeweiligen ELGA-Gesundheitsdiensteanbieters über ihre Teilnehmer/innen/rechte zu informieren.

Identifikation von ELGA-Teilnehmer/inne/n

§ 17. (1) Von den ELGA-Systempartnern ist ein Patientenindex, der der eindeutigen Identifikation natürlicher Personen dient, einzurichten und zu betreiben.

(2) Im Patientenindex sind folgende Daten natürlicher Personen zu verarbeiten:

1. Namensangaben:

a) Vorname(n)

b) Familien- oder Nachname

c) Geburtsname

d) akademische Grade

2. Personenmerkmale:

a) Geburtsdatum

b) Geburtsort

c) Geschlecht

d) Sterbedatum, soweit verfügbar

e) Staatsangehörigkeit

3. Adressdaten

4. Identifikationsdaten:

a) soweit verfügbar eine aus dem Bereich der Sozialversicherung stammende persönliche Kennnummer,

b) die lokalen Patient/inn/en/kennungen sowie

c) das bPK-GH oder alternativ

d) die über die Z 1 bis 3 hinausgehenden Daten der europäischen Krankenversicherungskarte oder

e) Art, Nummer und Ausstellungsbehörde von amtlichen Lichtbildausweisen, die nicht im Europäischen Wirtschaftsraum ausgestellt worden sind bzw. für Personen, die keine europäische Krankenversicherungskarte haben.

(3) Die Daten gemäß Abs. 2 sind vorrangig aus den Datenanwendungen gemäß § 31 Abs. 4 Z 3 lit. a ASVG sowie dem Ergänzungsregister gemäß § 6 Abs. 4 E-GovG und im Bedarfsfall von den ELGA-Gesundheitsdiensteanbietern direkt zu ermitteln.

Identifikation von ELGA-Gesundheitsdiensteanbietern

§ 18. (1) Zur Identifikation und Authentifizierung von ELGA-Gesundheitsdiensteanbietern ist von den ELGA-Systempartnern ein Gesundheitsdiensteanbieterindex einzurichten und zu betreiben. Die in den Gesundheitsdiensteanbieterindex aufzunehmenden Daten sind aus dem eHVD zu ermitteln und umfassen die Angaben gemäß § 10 Abs. 1 Z 1 bis 8 der ELGA-Gesundheitsdiensteanbieter.

(2) Der Bundesminister für Gesundheit kann mit Verordnung zur Gewährleistung der Datensicherheit nähere technische und organisatorische Regelungen über die Bereitstellung, Aktualisierung und Replikation des Gesundheitsdiensteanbieterindex festlegen.

Speicherung von ELGA-Gesundheitsdaten

§ 19. (1) ELGA-Gesundheitsdiensteanbieter haben ELGA-Gesundheitsdaten in geeigneten Datenspeichern zu speichern. Auftraggeber für die Speicherung ist der jeweilige ELGA-Gesundheitsdiensteanbieter.

(2) ELGA-Gesundheitsdiensteanbieter haben elektronische Verweise auf die nach Abs. 1 gespeicherten ELGA-Gesundheitsdaten in Verweisregistern zu speichern. Auftraggeber für die Speicherung ist der jeweilige ELGA-Gesundheitsdiensteanbieter.

(3) ELGA-Gesundheitsdaten, die sich auf HIV-Infektionen, psychische Erkrankungen oder Schwangerschaftsabbrüche beziehen, dürfen nur auf Verlangen der ELGA-Teilnehmer/innen gespeichert werden (§ 16 Abs. 1 Z 2). Gegen die Aufnahme aller anderen ELGA-Gesundheitsdaten besteht ein Widerspruchsrecht der ELGA-Teilnehmer/innen (§ 16 Abs. 1 Z 3).

(4) Erklärungen gemäß Abs. 3 sind vom jeweiligen ELGA-Gesundheitsdiensteanbieter außerhalb von ELGA unter Beachtung allfälliger spezifischer Dokumentationsbestimmungen zu dokumentieren.

(5) ELGA-Gesundheitsdaten sowie elektronische Verweise darauf sind dezentral zu speichern. Die höchstzulässige Speicherdauer dieser Verweise beträgt ungeachtet anderer gesetzlicher Dokumentationsverpflichtungen 36 Monate. Danach sind die elektronischen Verweise automatisch zu löschen.

(6) Abweichend von Abs. 5 beträgt die höchstzulässige Speicherdauer von elektronischen Verweisen auf

1. Laborbefunde sechs Monate und

2. Patientenverfügungen oder Vorsorgevollmachten drei Jahre nach Tod des/der ELGA-Teilnehmers/in.

Danach sind die elektronischen Verweise automatisch zu löschen.

(7) Abweichend von den Abs. 1 bis 6 sind Medikationsdaten

1. ohne Aufnahme elektronischer Verweise zentral in ELGA zu speichern und

2. nach sechs Monaten automatisch zu löschen.

(8) Wurde eine von Abs. 5, 6 oder Abs. 7 Z 2 abweichende Frist zwischen einem/einer ELGA-Teilnehmer/in und einem ELGA-Gesundheitsdiensteanbieter vereinbart, so sind die Verweise auf ELGA-Gesundheitsdaten nach Ablauf dieser vereinbarten Frist automatisch zu löschen.

(9) Elektronische Verweise haben Folgendes zu enthalten:

1. Daten, die sich auf den/die ELGA-Teilnehmer/in beziehen:

a. das bPK-GH des/der ELGA-Teilnehmers/in oder

b. lokale Patienten/innen-Kennungen,

2. Daten, die sich auf den ELGA-Gesundheitsdiensteanbieter beziehen:

a. die eindeutige Kennung des ELGA-Gesundheitsdiensteanbieters, der für die Richtigkeit der ELGA-Gesundheitsdaten verantwortlich ist,

b. die eindeutige Kennung der natürlichen Person, die die ELGA-Gesundheitsdaten in ELGA gespeichert hat,

3. Daten, die sich auf die ELGA-Gesundheitsdaten beziehen:

a. den Speicherort der ELGA-Gesundheitsdaten,

b. die eindeutige Kennung der ELGA-Gesundheitsdaten,

c. Datum und Zeitpunkt der Erstellung der ELGA-Gesundheitsdaten,

d. den Hinweis auf allenfalls frühere ELGA-Gesundheitsdaten,

e. sofern vorhanden, einen strukturierten Hinweis auf die medizinische Bezeichnung der ELGA-Gesundheitsdaten sowie

f. den Zeitpunkt an dem der elektronische Verweis auf ELGA-Gesundheitsdaten in ein Verweisregister aufgenommen wurde.

Berechtigungssystem

§ 20. (1) Das Berechtigungssystem ist von den ELGA-Systempartnern einzurichten und zu betreiben. Es dient der Verwaltung der Zugriffsberechtigungen und der Steuerung der Zugriffe von ELGA-Gesundheitsdiensteanbietern auf ELGA-Gesundheitsdaten. Zu diesem Zweck sind generelle (Abs. 2) und individuelle Zugriffsberechtigungen (Abs. 3) zu verarbeiten. Ohne Zugriffsberechtigung dürfen weder ELGA-Gesundheitsdaten noch Verweise angezeigt werden.

(2) Die generellen Zugriffsberechtigungen haben festzulegen, in welchen Rollen ELGA-Gesundheitsdiensteanbieter welche ELGA-Gesundheitsdaten verwenden dürfen. Die generellen Zugriffsberechtigungen auf ELGA-Gesundheitsdaten sind vom Bundesminister für Gesundheit mit Verordnung festzulegen.

(3) Die individuellen Zugriffsberechtigungen, die den generellen Zugriffsberechtigungen (Abs. 2) vorgehen, dürfen auch auf einzelne ELGA-Gesundheitsdiensteanbieter und ELGA-Gesundheitsdaten abstellen. Auftraggeber ist der/die jeweilige ELGA-Teilnehmer/in, Dienstleister sind die ELGA-Systempartner.

Protokollierungssystem

§ 21. (1) Das Protokollierungssystem dient der Dokumentation und Nachvollziehbarkeit der Verwendung von ELGA-Gesundheitsdaten. Es hat technisch unabhängig von anderen Komponenten der ELGA zu sein.

(2) Jede Verwendung von ELGA-Gesundheitsdaten im Rahmen von ELGA ist zu protokollieren mit:

1. Datum und Zeit der Verwendung,

2. Art des Verwendungsvorgangs,

3. der eindeutigen elektronischen Identifikation und Authentifikation des ELGA-Gesundheitsdiensteanbieters (§ 18), der den Vorgang ausgelöst hat,

4. dem Namen der natürlichen Person, die die ELGA-Gesundheitsdaten tatsächlich verwendet hat,

5. der eindeutigen Kennung der verwendeten ELGA-Gesundheitsdaten (§ 19 Abs. 8 Z 3 lit. b) sowie

6. bei Abfragen, den Abfragekriterien samt Ergebnis der Abfrage, ansonsten der entsprechenden Erfolgs- oder Fehlermeldung. Bei Abfragen des Patientenindex sind nur die Abfragekriterien zu protokollieren.

(3) Die Protokolldaten gemäß Abs. 2 sind nach Löschung gemäß § 19 Abs. 5 bis 7 weitere zehn Jahre aufzubewahren und lesbar sowie verfügbar zu halten.

(4) ELGA-Teilnehmer/innen haben das Recht, in die gemäß Abs. 2 protokollierten und sich auf ihre ELGA-Gesundheitsdaten beziehenden Protokolldaten jederzeit Einblick zu nehmen und diese zu verwenden. In Missbrauchsbeschwerdefällen kann die Einsichtnahme in das Protokollierungssystem vom ELGA-Teilnehmer/von der ELGA-Teilnehmerin der Ombudsstelle (§ 16 Abs.4) übertragen werden. Weiters haben die ELGA-Teilnehmer/innen das Recht auf eine übersichtliche und einfache Darstellung ihrer relevanten Protokollierungsdaten. ELGA-Gesundheitsdiensteanbieter dürfen die gemäß Abs. 2 protokollierten und sich auf sie beziehenden Protokollierungsdaten nur zur Durchsetzung rechtlicher Ansprüche vor Behörden und Gerichten verwenden. Abgesehen von diesen Fällen und den Fällen technischer Notwendigkeit sowie der Optimierung und Evaluierung des Systems dürfen Protokollierungsdaten nicht verwendet werden.

Zugangsportal

§ 22. (1) Der Bundesminister für Gesundheit hat zur Bereitstellung qualitätsgesicherter gesundheitsbezogener Informationen für die Bevölkerung ein öffentlich zugängliches Gesundheitsportal zu betreiben.

(2) Dieses Gesundheitsportal ist das Zugangsportal von ELGA, das

1. Funktionen zur Wahrung der Teilnehmer/innen/rechte anbieten muss und

2. andere gesundheitsbezogene elektronische Dienste sowie die Zugangsfunktionalitäten zu solchen Diensten anbieten kann.

(3) ELGA-Gesundheitsdiensteanbieter dürfen über das Zugangsportal auf Gesundheitsdaten von ELGA-Teilnehmer/inne/n nur unter Einhaltung der Bestimmungen dieses Abschnitts zugreifen.

Nutzungsrechte der ELGA-Systempartner

§ 23. Den ELGA-Systempartnern steht im Rahmen ihrer Zusammenarbeit für die Errichtung und den Betrieb von ELGA ein wechselseitiges, unentgeltliches und zeitlich unbeschränktes Nutzungsrecht an den von ihnen errichteten und betriebenen Komponenten zu.

5. Abschnitt

Schlussbestimmungen

Verwaltungsstrafbestimmungen

§ 24. (1) Wer

1. entgegen § 4 die Identifikation von Personen, deren Gesundheitsdaten weitergegeben werden sollen und Gesundheitsdiensteanbietern unterlässt oder

2. entgegen § 5 Abs. 1 Nachweis oder Prüfung der Rolle von Gesundheitsdiensteanbietern unterlässt oder

3. es entgegen § 6 Abs. 1 unterlässt, durch Datensicherheitsmaßnahmen die Vertraulichkeit von Gesundheitsdaten zu gewährleisten oder

4. entgegen § 7 Nachweis oder Prüfung der Integrität elektronischer Gesundheitsdaten unterlässt oder

5. als ELGA-Gesundheitsdiensteanbieter seiner Pflicht zur Speicherung von ELGA-Gesundheitsdaten (§ 19 Abs. 1) nicht nachkommt,

begeht, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, eine Verwaltungsübertretung und ist mit Geldstrafe bis zu 10 000 Euro zu bestrafen.

(2) Wer ohne nach diesem Bundesgesetz oder nach anderen gesetzlichen Vorschriften dazu berechtigt zu sein, die Einsicht in oder die Weitergabe von ELGA-Gesundheitsdaten verlangt, begeht sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet, eine Verwaltungsübertretung, die mit Geldstrafe bis zu 15 000 Euro zu ahnden ist.

(3) Wer als ELGA-Gesundheitsdiensteanbieter oder Personen gemäß § 14 Abs. 3 Z 1 lit. b ELGA-Gesundheitsdaten verwendet ohne dazu berechtigt zu sein, begeht, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, eine Verwaltungsübertretung und ist mit Geldstrafe bis zu 20 000 Euro zu bestrafen.

(4) In den Fällen der Abs. 2 und 3 ist auch der Versuch strafbar.

In-Kraft-Treten

§ 25. (1) Dieses Bundesgesetz tritt mit xx.xx.20xx in Kraft.

(2) Das Gesundheitstelematikgesetz, BGBl. I Nr. 179/2004, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 36/2010, tritt mit Ablauf des xx.xx.20xx außer Kraft.

Übergangsbestimmungen

§ 26. (1) Sind Nachweis oder Prüfung von Identität, Rollen oder Integrität nach den Bestimmungen des 2. Abschnitts, insbesondere mangels vorhandener technischer Infrastruktur nicht zumutbar, dürfen Gesundheitsdaten nur weitergegeben werden, wenn zumindest die Identitäten und maßgeblichen Rollen der an der Weitergabe beteiligten Gesundheitsdiensteanbieter gegenseitig durch

1. persönlichen Kontakt oder

2. telefonischen Kontakt oder

3. Vertragsbestimmungen oder

4. Abfrage elektronischer Verzeichnisse

a) der Österreichischen Ärztekammer oder

b) der Österreichischen Zahnärztekammer oder

c) des Österreichischen Hebammengremiums oder

d) der Österreichischen Apothekerkammer oder

e) des Hauptverbands der österreichischen Sozialversicherungsträger oder

f) des Bundesministers für Gesundheit

bestätigt sind.

(2) In den Fällen des Abs. 1 Z 1 und 2 sind vor der erstmaligen Weitergabe der Gesundheitsdaten zwischen den beteiligten Gesundheitsdiensteanbietern

1. Datum und Art der Kontaktaufnahme,

2. die vollständigen Namen und maßgeblichen Rollen der an der Weitergabe beteiligten Gesundheitsdiensteanbieter,

3. die Angaben zur Erreichbarkeit der Gesundheitsdiensteanbieter sowie

4. die an der Kontaktaufnahme beteiligten natürlichen Personen

zu dokumentieren. Die Angaben zur Erreichbarkeit sind laufend aktuell zu halten.

(3) Die Weitergabe von Gesundheitsdaten darf unter den Voraussetzungen des Abs. 1 Z 1 bis 3 ausnahmsweise auch per Fax erfolgen, wenn

1. die Faxanschlüsse (einschließlich Ausdruckmöglichkeiten zu Faxanschlüssen, die in EDV-Anlagen installiert sind) vor unbefugtem Zugang und Gebrauch geschützt sind,

2. die Rufnummern, insbesondere die verspeicherten Rufnummern, regelmäßig, insbesondere nach Veränderungen der technischen Einrichtung sowie nach der Neuinstallation von Faxgeräten nachweislich auf ihre Aktualität geprüft werden,

3. automatische Weiterleitungen, außer an die jeweiligen Gesundheitsdiensteanbieter selbst, deaktiviert sind,

4. die vom Gerät unterstützten Sicherheitsmechanismen genützt werden und

5. allenfalls verfügbare Fernwartungsfunktionen nur für die vereinbarte Dauer der Fernwartung aktiviert sind.

(4) Die erleichterten Bedingungen nach Abs. 1 und 3 können nicht in Anspruch genommen werden, wenn die Verwendung von Gesundheitsdaten entsprechend den Bestimmungen des 2. Abschnitts mit Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit (§ 14 Abs. 1 DSG 2000) zumutbar ist.

(5) Der Bundesminister für Gesundheit ist ermächtigt, nach Anhörung der jeweiligen gesetzlichen oder allfälligen sonstigen betroffenen Interessensvertretungen, unter Berücksichtigung des Abs. 4, mit Verordnung für bestimmte Gesundheitsdiensteanbieter jeweils den Zeitpunkt festzulegen, ab dem die Weitergabe von Gesundheitsdaten unter den erleichterten Bedingungen des Abs. 1 und 3 jedenfalls nicht mehr zulässig ist.

(6) Bei der Weitergabe von Gesundheitsdaten gelten die erleichterten Bedingungen nach Abs. 1 und 3 für alle beteiligten Gesundheitsdiensteanbieter, wenn für zumindest einen der beteiligten Gesundheitsdiensteanbieter die erleichterten Bedingungen nach Abs. 1 und 3 gelten.

(7) Bis zum 31. Dezember 2015 ist § 6 nicht auf die Weitergabe von Gesundheitsdaten per Funk zum Zwecke der Einsatzorganisation bei Rettungsdiensten anzuwenden.

Erlassung und In-Kraft-Treten von Verordnungen

§ 27. Verordnungen aufgrund dieses Bundesgesetzes dürfen bereits von dem Tag an erlassen werden, der der Kundmachung der durchzuführenden Gesetzesbestimmungen folgt; sie dürfen jedoch nicht vor den durchzuführenden Gesetzesbestimmungen in Kraft treten.

Verweisungen

§ 28. Verweist dieses Bundesgesetz auf andere Bundesgesetze, so sind diese – soweit nicht ausdrücklich anderes angeordnet wird – in ihrer jeweils geltenden Fassung anzuwenden.

Vollziehung

§ 29. Mit der Vollziehung dieses Bundesgesetzes ist der Bundesminister für Gesundheit betraut.

Artikel 2

Änderung des Allgemeinen Sozialversicherungsgesetzes

Das Allgemeine Sozialversicherungsgesetz, BGBl. Nr. 189/1955, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 111/2010, wird wie folgt geändert:

Dem § 81 Abs. 1 wird folgender Satz angefügt:

„Diese Information hat weiters für die Versicherten und ihre Angehörigen den Hinweis zu enthalten, dass ELGA-Teilnehmer/inne/n der jederzeitige generelle Widerspruch (§ 15 Abs. 2 Gesundheitstelematikgesetz 2011, BGBl. I Nr. xx/2011 (GTelG 2011)), das jederzeitige Einsichtsrecht (§ 16 Abs. 1 Z 1 GTelG 2011), das Recht auf Aufnahme besonders sensibler ELGA-Gesundheitsdaten (§ 16 Abs. 1 Z 2 GTelG 2011), der Widerspruch im Einzelfall (§ 16 Abs. 1 Z 3 GTelG 2011), die Bestimmung der individuellen Zugriffsberechtigungen für Gesundheitsdiensteanbieter und ELGA-Gesundheitsdaten (§ 16 Abs. 1 Z 4 GTelG 2011) sowie die Möglichkeit der Inanspruchnahme einer Ombudsstelle (§ 16 Abs. 4 GTelG 2011) offensteht.“

Artikel 3

Änderung des Gewerblichen Sozialversicherungsgesetzes

Das Gewerbliche Sozialversicherungsgesetz, BGBl. Nr. 560/1978, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 111/2010, wird wie folgt geändert:

Dem § 43 Abs. 1 wird folgender Satz angefügt:

Artikel 4

Änderung des Bauern-Sozialversicherungsgesetzes

Das Bauern-Sozialversicherungsgesetz, BGBl. Nr. 559/1978, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 111/2010, wird wie folgt geändert:

Dem § 41 Abs. 1 wird folgender Satz angefügt:

Artikel 5

Änderung des Beamten-Kranken- und Unfallversicherungsgesetzes

Das Beamten-Kranken- und Unfallversicherungsgesetz, BGBl. Nr. 200/1967, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 111/2010, wird wie folgt geändert:

Dem § 27 Abs. 1 wird folgender Satz angefügt:

Artikel 6

Änderung des Gentechnikgesetzes

Das Gentechnikgesetz, BGBl. Nr. 510/1994, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 13/2006, wird wie folgt geändert:

1. Im § 71 Abs. 2 wird der Ausdruck „Gesundheitstelematikgesetz, BGBl. I Nr. 179/2004“ durch den Ausdruck „Gesundheitstelematikgesetz 2011, BGBl. I Nr. xx/20xx“ ersetzt.

2. Nach § 112 wird folgender § 113 samt Überschrift eingefügt:

„Inkrafttretens-Bestimmungen

§ 113. § 71 Abs. 2 in der Fassung des Elektronische Gesundheitsakte-Gesetzes, BGBl. I Nr. xx/20xx, tritt mit xx.xx.20xx in Kraft.“

Artikel 7

Änderung des Gesundheits- und Krankenpflegegesetzes

Das Gesundheits- und Krankenpflegegesetz, BGBl. I Nr. 108/1997, zuletzt geändert durch das Bundesgesetz, BGBl. I Nr. 61/2010, wird wie folgt geändert:

1. Im § 15 Abs. 4 entfällt der zweite Satz.

2. Im § 84 Abs. 2 entfällt der letzte Satz.

3. Im § 84 Abs. 4 entfällt der letzte Satz.

4. Dem § 117 wird folgender Abs. 12 angefügt:

„(12) Die §§ 15 Abs. 4 sowie 84 Abs. 2 und 4 in der Fassung des Elektronische Gesundheitsakte-Gesetzes, BGBl. I Nr. xx/20xx, treten mit xx.xx.20xx in Kraft.“

Artikel 8

Änderung des Hebammengesetzes

Das Hebammengesetz, BGBl. I Nr. 310/1994, zuletzt geändert durch das Bundesgesetz, BGBl. I Nr. 61/2010, wird wie folgt geändert:

1. § 40 Abs. 4 lautet:

„(4) Das Österreichische Hebammengremium darf personenbezogene Daten von Hebammen verarbeiten (§ 4 Z 9 des Datenschutzgesetzes 2000, BGBl. I Nr. 165/1999), soweit diese zur Erfüllung von Aufgaben des Österreichischen Hebammengremiums notwendig sind.“

2. Dem § 62a wird folgender Abs. 5 angefügt:

„(5) § 40 Abs. 4 in der Fassung des Elektronische Gesundheitsakte-Gesetzes, BGBl. I Nr. xx/20xx, tritt mit xx.xx.20xx in Kraft.“

Artikel 9

Änderung des Medizinischen Masseur- und Heilmasseurgesetzes

Das Medizinische Masseur- und Heilmasseurgesetz, BGBl. I Nr. 169/2002, zuletzt geändert durch das Bundesgesetz, BGBl. I Nr. 57/2008, wird wie folgt geändert:

1. Im § 29 Abs. 3 entfällt der letzte Satz.

2. Dem § 89 wird folgender Abs. 6 angefügt:

„(6) § 29 Abs. 3 in der Fassung des Elektronische Gesundheitsakte-Gesetzes, BGBl. I Nr. xx/20xx, tritt mit xx.xx.20xx in Kraft.“

Artikel 10

Änderung des Strafgesetzbuches

Das Strafgesetzbuch, BGBl. Nr. 60/1974, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 111/2010, wird wie folgt geändert:

1. Nach § 118a werden folgende §§ 118b, 118c samt Überschriften eingefügt:

„Widerrechtliches Verlangen von ELGA-Gesundheitsdaten

§ 118b. (1) Wer abgesehen von den Fällen des § 14 Gesundheitstelematikgesetz 2011 (GTelG 2011), BGBl. I Nr. xx, die Einsichtnahme in oder die Weitergabe von ELGA-Gesundheitsdaten (§ 2 Z 8 lit. a GTelG 2011), die im Rahmen der ELGA (§ 13 GTelG 2011) zugänglich gemacht wurden, verlangt und diesem Verlangen dadurch Nachdruck verleiht, dass er im Falle der Weigerung ein, für die sich weigernde Person, schädliches Verhalten zu setzen beabsichtigt, ist mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.

(2) Wer die Tat als Mitglied einer kriminellen Vereinigung begeht, ist mit Freiheitsstrafe bis zu drei Jahren zu bestrafen.

Missbräuchliche Verwendung von ELGA-Gesundheitsdaten

§ 118c. ELGA-Gesundheitsdiensteanbieter oder Personen gemäß § 14 Abs. 3 Z 1 lit. b, die ELGA-Gesundheitsdaten gemäß § 2 Z 9 lit. a GTelG 2011 im Rahmen ihrer Berufsausübung vom Betroffenen (§ 4 Z 3 Datenschutzgesetz 2000, BGBl. I Nr. 165/1999) vertraulich erhalten und diese ohne Zustimmung des Betroffenen missbräuchlich verwenden, sind mit Freiheitsstrafe bis zu sechs Monaten oder mit Geldstrafe bis zu 360 Tagessätzen zu bestrafen.“