BGBl II 35/2021

35. Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz, mit der die eHealth-Verordnung geändert wird (eHealth-Verordnungsnovelle 2021)

Auf Grund des § 28 Abs. 2a Z 2 des Gesundheitstelematikgesetzes 2012 (GTelG 2012), BGBl. I Nr. 111/2012, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 115/2020, wird verordnet:

Die Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz, mit der nähere Regelungen zur eHealth-Anwendung Elektronischer Impfpass getroffen werden (eHealth-Verordnung - eHealthV), BGBl. II Nr. 449/2020, wird wie folgt geändert:

1. § 1 lautet:

㤠1. Gegenstand dieser Verordnung sind

1. 1. nähere Regelungen zur eHealth-Anwendung Elektronischer Impfpass gemäß dem 2. Unterabschnitt des 5. Abschnitts des GTelG 2012 sowie
2. 2. die Aufteilung der Pflichten gemäß Art. 4 Z 7 in Verbindung mit Art. 26 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 127 vom 23.05.2018 S. 2, (im Folgenden: DSGVO) zwischen der ELGA GmbH und dem jeweiligen Gesundheitsdiensteanbieter als gemeinsam für die Verarbeitung Verantwortliche gemäß § 27 Abs. 17 in Verbindung mit § 24c Abs. 3 GTelG 2012.“

2. § 4 Abs. 1 lautet:

„(1) Beginnend mit dem Inkrafttreten dieser Verordnung haben die Gesundheitsdiensteanbieter jedenfalls die COVID-19- und influenzabezogenen Angaben gemäß § 24c Abs. 2 Z 2 GTelG 2012 im zentralen Impfregister zu speichern und dürfen diese Angaben für die in § 24d Abs. 2 GTelG 2012 genannten Zwecke verarbeitet werden. Angaben zu anderen Impfungen dürfen gespeichert und zu den Zwecken gemäß § 24d Abs. 2 GTelG 2012 verarbeitet werden.“

3. In § 4 wird nach Abs. 1 folgender Abs. 1a eingefügt:

„(1a) Gesundheitsdiensteanbieter dürfen die seit dem 27. Dezember 2020 verabreichten und schriftlich dokumentierten COVID-19-Impfungen, die nicht im zentralen Impfregister gespeichert sind, gemäß § 24c Abs. 4 GTelG 2012 nachtragen.“

4. In § 4 Abs. 2 entfällt die Wortfolge „an der Pilotierung teilnehmenden“.

5. § 4 Abs. 3 entfällt.

6. Nach § 4 werden folgender § 4a samt Überschrift sowie folgende §§ 4b bis 4e eingefügt:

„Aufteilung der Pflichten gemäß Art. 26 DSGVO

§ 4a. Die Aufteilung der Pflichten gemäß § 4b bis § 4e findet Anwendung, soweit nicht bereits eine Vereinbarung gemäß Art. 26 DSGVO zwischen der ELGA GmbH und dem jeweiligen Gesundheitsdiensteanbieter besteht. Die gemeinsam für die Verarbeitung Verantwortlichen sind verpflichtet, die betroffenen Personen darüber in Kenntnis zu setzen. Der Abschluss neuer Vereinbarungen ist unzulässig.

§ 4b. (1) Die ELGA GmbH ist für den Pilotbetrieb der eHealth-Anwendung „Elektronischer Impfpass“ verantwortlich.

(2) Der ELGA GmbH obliegen folgende aus der DSGVO resultierende Pflichten:

1. 1. Information der betroffenen Personen gemäß den Art. 13 und 14 DSGVO durch Veröffentlichung einer Datenschutzinformation auf der Website der ELGA GmbH,
2. 2. Weiterleitung von Anträgen gemäß Art. 16 DSGVO an den für die Speicherung verantwortlichen Gesundheitsdiensteanbieter oder an die Bezirksverwaltungsbehörde (§ 24c Abs. 3 GTelG 2012),
3. 3. Sicherstellung der Datensicherheit hinsichtlich des zentralen Impfregisters sowie der ELGA-Komponenten gemäß § 24f GTelG 2012 (Abs. 3),
4. 4. Wahrnehmung der Meldepflicht gemäß Art. 33 DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten im zentralen Impfregister oder bei den ELGA-Komponenten gemäß § 24f GTelG 2012 aufgetreten ist sowie
5. 5. Zurverfügungstellung des wesentlichen Inhalts der Pflichtenaufteilung auf der Website der ELGA GmbH.

(3) Die ELGA GmbH hat auf Basis eines IT-Sicherheitskonzeptes alle gemäß Art. 32 DSGVO getroffenen Datensicherheitsmaßnahmen zu dokumentieren. Diese Dokumentation ist dem für das Gesundheitswesen zuständigen Bundesminister binnen vier Wochen zu übermitteln.

§ 4c. (1) Der jeweilige Gesundheitsdiensteanbieter ist gemäß § 24c Abs. 3 GTelG 2012 für die Speicherung, Aktualisierung, Stornierung und Nachtragung der Angaben gemäß § 24c Abs. 2 Z 2 GTelG 2012 verantwortlich.

(2) Dem jeweiligen Gesundheitsdiensteanbieter obliegen folgende aus der DSGVO resultierende Pflichten:

1. 1. Information der betroffenen Personen gemäß den Art. 13 und 14 DSGVO durch Verweis auf die Datenschutzinformation auf der Website der ELGA-GmbH (§ 4b Abs. 2 Z 1),
2. 2. Wahrnehmung von Anträgen auf Berichtigung gemäß Art. 16 DSGVO,
3. 3. Sicherstellung der Datensicherheit hinsichtlich der Verarbeitungsvorgänge gemäß § 24c Abs. 3 Satz 1 GTelG 2012 sowie
4. 4. Wahrnehmung der Meldepflicht gemäß Art. 33 DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten bei den Verarbeitungsvorgängen gemäß § 24c Abs. 3 Satz 1 GTelG 2012 aufgetreten ist.

§ 4d. (1) Sowohl der ELGA GmbH, als auch dem jeweiligen Gesundheitsdiensteanbieter obliegen folgende aus der DSGVO resultierende Pflichten:

1. 1. Information der betroffenen Personen gemäß Art. 12 Abs. 4 DSGVO, wenn die ELGA GmbH oder der Gesundheitsdiensteanbieter aufgrund von deren Anträgen nicht tätig werden,
2. 2. Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO sowie
3. 3. Zusammenarbeit mit der Aufsichtsbehörde gemäß Art. 31 DSGVO.

(2) Gemäß § 24c Abs. 8 GTelG 2012 ist keine gesonderte Datenschutz-Folgeabschätzung für die eHealth-Anwendung „Elektronischer Impfpass“ durchzuführen.

§ 4e. Die ELGA GmbH ist Anlaufstelle gemäß Art. 26 Abs. 1 DSGVO.“

7. Dem Text des § 5 wird die Absatzbezeichnung „(1)“ vorangestellt; folgender Abs. 2 wird angefügt:

„(2) § 1, § 4 Abs. 1 bis 2, § 4a samt Überschrift sowie die §§ 4b bis 4e in der Fassung der Verordnung BGBl. II Nr. 35/2021 treten mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt in Kraft und § 4 Abs. 3 tritt mit Ablauf des Tages der Kundmachung der Verordnung BGBl. II Nr. 35/2021 außer Kraft.“