35. Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz, mit der die eHealth-Verordnung geändert wird (eHealth-Verordnungsnovelle 2021)
Auf Grund des § 28 Abs. 2a Z 2 des Gesundheitstelematikgesetzes 2012 (GTelG 2012), BGBl. I Nr. 111/2012, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 115/2020, wird verordnet:Auf Grund des Paragraph 28, Absatz 2 a, Ziffer 2, des Gesundheitstelematikgesetzes 2012 (GTelG 2012), Bundesgesetzblatt Teil eins, Nr. 111 aus 2012,, zuletzt geändert durch das Bundesgesetz Bundesgesetzblatt Teil eins, Nr. 115 aus 2020,, wird verordnet:
Die Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz, mit der nähere Regelungen zur eHealth-Anwendung Elektronischer Impfpass getroffen werden (eHealth-Verordnung – eHealthV), BGBl. II Nr. 449/2020, wird wie folgt geändert:Die Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz, mit der nähere Regelungen zur eHealth-Anwendung Elektronischer Impfpass getroffen werden (eHealth-Verordnung – eHealthV), Bundesgesetzblatt Teil 2, Nr. 449 aus 2020,, wird wie folgt geändert:
1.Novellierungsanordnung 1, § 1 lautet:Paragraph eins, lautet:
㤠1.Paragraph eins,
Gegenstand dieser Verordnung sind
nähere Regelungen zur eHealth-Anwendung Elektronischer Impfpass gemäß dem 2. Unterabschnitt des 5. Abschnitts des GTelG 2012 sowie
die Aufteilung der Pflichten gemäß Art. 4 Z 7 in Verbindung mit Art. 26 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 127 vom 23.05.2018 S. 2, (im Folgenden: DSGVO) zwischen der ELGA GmbH und dem jeweiligen Gesundheitsdiensteanbieter als gemeinsam für die Verarbeitung Verantwortliche gemäß § 27 Abs. 17 in Verbindung mit § 24c Abs. 3 GTelG 2012.“die Aufteilung der Pflichten gemäß Artikel 4, Ziffer 7, in Verbindung mit Artikel 26, der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 Sitzung 1, in der Fassung der Berichtigung ABl. Nr. L 127 vom 23.05.2018 Sitzung 2, (im Folgenden: DSGVO) zwischen der ELGA GmbH und dem jeweiligen Gesundheitsdiensteanbieter als gemeinsam für die Verarbeitung Verantwortliche gemäß Paragraph 27, Absatz 17, in Verbindung mit Paragraph 24 c, Absatz 3, GTelG 2012.“
2.Novellierungsanordnung 2, § 4 Abs. 1 lautet:Paragraph 4, Absatz eins, lautet:
„(1)Absatz einsBeginnend mit dem Inkrafttreten dieser Verordnung haben die Gesundheitsdiensteanbieter jedenfalls die COVID-19- und influenzabezogenen Angaben gemäß § 24c Abs. 2 Z 2 GTelG 2012 im zentralen Impfregister zu speichern und dürfen diese Angaben für die in § 24d Abs. 2 GTelG 2012 genannten Zwecke verarbeitet werden. Angaben zu anderen Impfungen dürfen gespeichert und zu den Zwecken gemäß § 24d Abs. 2 GTelG 2012 verarbeitet werden.“Beginnend mit dem Inkrafttreten dieser Verordnung haben die Gesundheitsdiensteanbieter jedenfalls die COVID-19- und influenzabezogenen Angaben gemäß Paragraph 24 c, Absatz 2, Ziffer 2, GTelG 2012 im zentralen Impfregister zu speichern und dürfen diese Angaben für die in Paragraph 24 d, Absatz 2, GTelG 2012 genannten Zwecke verarbeitet werden. Angaben zu anderen Impfungen dürfen gespeichert und zu den Zwecken gemäß Paragraph 24 d, Absatz 2, GTelG 2012 verarbeitet werden.“
3.Novellierungsanordnung 3, In § 4 wird nach Abs. 1 folgender Abs. 1a eingefügt:In Paragraph 4, wird nach Absatz eins, folgender Absatz eins a, eingefügt:
„(1a)Absatz eins aGesundheitsdiensteanbieter dürfen die seit dem 27. Dezember 2020 verabreichten und schriftlich dokumentierten COVID-19-Impfungen, die nicht im zentralen Impfregister gespeichert sind, gemäß § 24c Abs. 4 GTelG 2012 nachtragen.“Gesundheitsdiensteanbieter dürfen die seit dem 27. Dezember 2020 verabreichten und schriftlich dokumentierten COVID-19-Impfungen, die nicht im zentralen Impfregister gespeichert sind, gemäß Paragraph 24 c, Absatz 4, GTelG 2012 nachtragen.“
4.Novellierungsanordnung 4, In § 4 Abs. 2 entfällt die Wortfolge „an der Pilotierung teilnehmenden“.In Paragraph 4, Absatz 2, entfällt die Wortfolge „an der Pilotierung teilnehmenden“.
5.Novellierungsanordnung 5, § 4 Abs. 3 entfällt.Paragraph 4, Absatz 3, entfällt.
6.Novellierungsanordnung 6, Nach § 4 werden folgender § 4a samt Überschrift sowie folgende §§ 4b bis 4e eingefügt:Nach Paragraph 4, werden folgender Paragraph 4 a, samt Überschrift sowie folgende Paragraphen 4 b bis 4e eingefügt:
„Aufteilung der Pflichten gemäß Art. 26 DSGVO„Aufteilung der Pflichten gemäß Artikel 26, DSGVO
§ 4a.Paragraph 4 a,
Die Aufteilung der Pflichten gemäß § 4b bis § 4e findet Anwendung, soweit nicht bereits eine Vereinbarung gemäß Art. 26 DSGVO zwischen der ELGA GmbH und dem jeweiligen Gesundheitsdiensteanbieter besteht. Die gemeinsam für die Verarbeitung Verantwortlichen sind verpflichtet, die betroffenen Personen darüber in Kenntnis zu setzen. Der Abschluss neuer Vereinbarungen ist unzulässig. Die Aufteilung der Pflichten gemäß Paragraph 4 b bis Paragraph 4 e, findet Anwendung, soweit nicht bereits eine Vereinbarung gemäß Artikel 26, DSGVO zwischen der ELGA GmbH und dem jeweiligen Gesundheitsdiensteanbieter besteht. Die gemeinsam für die Verarbeitung Verantwortlichen sind verpflichtet, die betroffenen Personen darüber in Kenntnis zu setzen. Der Abschluss neuer Vereinbarungen ist unzulässig.
§ 4b.Paragraph 4 b,
(1)Absatz einsDie ELGA GmbH ist für den Pilotbetrieb der eHealth-Anwendung „Elektronischer Impfpass“ verantwortlich.
(2)Absatz 2Der ELGA GmbH obliegen folgende aus der DSGVO resultierende Pflichten:
Information der betroffenen Personen gemäß den Art. 13 und 14 DSGVO durch Veröffentlichung einer Datenschutzinformation auf der Website der ELGA GmbH,Information der betroffenen Personen gemäß den Artikel 13 und 14 DSGVO durch Veröffentlichung einer Datenschutzinformation auf der Website der ELGA GmbH,
Weiterleitung von Anträgen gemäß Art. 16 DSGVO an den für die Speicherung verantwortlichen Gesundheitsdiensteanbieter oder an die Bezirksverwaltungsbehörde (§ 24c Abs. 3 GTelG 2012),Weiterleitung von Anträgen gemäß Artikel 16, DSGVO an den für die Speicherung verantwortlichen Gesundheitsdiensteanbieter oder an die Bezirksverwaltungsbehörde (Paragraph 24 c, Absatz 3, GTelG 2012),
Sicherstellung der Datensicherheit hinsichtlich des zentralen Impfregisters sowie der ELGA-Komponenten gemäß § 24f GTelG 2012 (Abs. 3),Sicherstellung der Datensicherheit hinsichtlich des zentralen Impfregisters sowie der ELGA-Komponenten gemäß Paragraph 24 f, GTelG 2012 (Absatz 3,),
Wahrnehmung der Meldepflicht gemäß Art. 33 DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten im zentralen Impfregister oder bei den ELGA-Komponenten gemäß § 24f GTelG 2012 aufgetreten ist sowieWahrnehmung der Meldepflicht gemäß Artikel 33, DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Artikel 34, DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten im zentralen Impfregister oder bei den ELGA-Komponenten gemäß Paragraph 24 f, GTelG 2012 aufgetreten ist sowie
Zurverfügungstellung des wesentlichen Inhalts der Pflichtenaufteilung auf der Website der ELGA GmbH.
(3)Absatz 3Die ELGA GmbH hat auf Basis eines IT-Sicherheitskonzeptes alle gemäß Art. 32 DSGVO getroffenen Datensicherheitsmaßnahmen zu dokumentieren. Diese Dokumentation ist dem für das Gesundheitswesen zuständigen Bundesminister binnen vier Wochen zu übermitteln.Die ELGA GmbH hat auf Basis eines IT-Sicherheitskonzeptes alle gemäß Artikel 32, DSGVO getroffenen Datensicherheitsmaßnahmen zu dokumentieren. Diese Dokumentation ist dem für das Gesundheitswesen zuständigen Bundesminister binnen vier Wochen zu übermitteln.
§ 4c.Paragraph 4 c,
(1)Absatz einsDer jeweilige Gesundheitsdiensteanbieter ist gemäß § 24c Abs. 3 GTelG 2012 für die Speicherung, Aktualisierung, Stornierung und Nachtragung der Angaben gemäß § 24c Abs. 2 Z 2 GTelG 2012 verantwortlich.Der jeweilige Gesundheitsdiensteanbieter ist gemäß Paragraph 24 c, Absatz 3, GTelG 2012 für die Speicherung, Aktualisierung, Stornierung und Nachtragung der Angaben gemäß Paragraph 24 c, Absatz 2, Ziffer 2, GTelG 2012 verantwortlich.
(2)Absatz 2Dem jeweiligen Gesundheitsdiensteanbieter obliegen folgende aus der DSGVO resultierende Pflichten:
Information der betroffenen Personen gemäß den Art. 13 und 14 DSGVO durch Verweis auf die Datenschutzinformation auf der Website der ELGA-GmbH (§ 4b Abs. 2 Z 1),Information der betroffenen Personen gemäß den Artikel 13 und 14 DSGVO durch Verweis auf die Datenschutzinformation auf der Website der ELGA-GmbH (Paragraph 4 b, Absatz 2, Ziffer eins,),
Wahrnehmung von Anträgen auf Berichtigung gemäß Art. 16 DSGVO,Wahrnehmung von Anträgen auf Berichtigung gemäß Artikel 16, DSGVO,
Sicherstellung der Datensicherheit hinsichtlich der Verarbeitungsvorgänge gemäß § 24c Abs. 3 Satz 1 GTelG 2012 sowieSicherstellung der Datensicherheit hinsichtlich der Verarbeitungsvorgänge gemäß Paragraph 24 c, Absatz 3, Satz 1 GTelG 2012 sowie
Wahrnehmung der Meldepflicht gemäß Art. 33 DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten bei den Verarbeitungsvorgängen gemäß § 24c Abs. 3 Satz 1 GTelG 2012 aufgetreten ist.Wahrnehmung der Meldepflicht gemäß Artikel 33, DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Artikel 34, DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten bei den Verarbeitungsvorgängen gemäß Paragraph 24 c, Absatz 3, Satz 1 GTelG 2012 aufgetreten ist.
§ 4d.Paragraph 4 d,
(1)Absatz einsSowohl der ELGA GmbH, als auch dem jeweiligen Gesundheitsdiensteanbieter obliegen folgende aus der DSGVO resultierende Pflichten:
Information der betroffenen Personen gemäß Art. 12 Abs. 4 DSGVO, wenn die ELGA GmbH oder der Gesundheitsdiensteanbieter aufgrund von deren Anträgen nicht tätig werden,Information der betroffenen Personen gemäß Artikel 12, Absatz 4, DSGVO, wenn die ELGA GmbH oder der Gesundheitsdiensteanbieter aufgrund von deren Anträgen nicht tätig werden,
Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO sowieErstellung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Artikel 30, Absatz eins, DSGVO sowie
Zusammenarbeit mit der Aufsichtsbehörde gemäß Art. 31 DSGVO.Zusammenarbeit mit der Aufsichtsbehörde gemäß Artikel 31, DSGVO.
(2)Absatz 2Gemäß § 24c Abs. 8 GTelG 2012 ist keine gesonderte Datenschutz-Folgeabschätzung für die eHealth-Anwendung „Elektronischer Impfpass“ durchzuführen.Gemäß Paragraph 24 c, Absatz 8, GTelG 2012 ist keine gesonderte Datenschutz-Folgeabschätzung für die eHealth-Anwendung „Elektronischer Impfpass“ durchzuführen.
§ 4e.Paragraph 4 e,
Die ELGA GmbH ist Anlaufstelle gemäß Art. 26 Abs. 1 DSGVO.“ Die ELGA GmbH ist Anlaufstelle gemäß Artikel 26, Absatz eins, DSGVO.“
7.Novellierungsanordnung 7, Dem Text des § 5 wird die Absatzbezeichnung „(1)“ vorangestellt; folgender Abs. 2 wird angefügt:Dem Text des Paragraph 5, wird die Absatzbezeichnung „(1)“ vorangestellt; folgender Absatz 2, wird angefügt:
„(2)Absatz 2§ 1, § 4 Abs. 1 bis 2, § 4a samt Überschrift sowie die §§ 4b bis 4e in der Fassung der Verordnung BGBl. II Nr. 35/2021 treten mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt in Kraft und § 4 Abs. 3 tritt mit Ablauf des Tages der Kundmachung der Verordnung BGBl. II Nr. 35/2021 außer Kraft.“Paragraph eins,, Paragraph 4, Absatz eins bis 2, Paragraph 4 a, samt Überschrift sowie die Paragraphen 4 b bis 4e in der Fassung der Verordnung Bundesgesetzblatt Teil 2, Nr. 35 aus 2021, treten mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt in Kraft und Paragraph 4, Absatz 3, tritt mit Ablauf des Tages der Kundmachung der Verordnung Bundesgesetzblatt Teil 2, Nr. 35 aus 2021, außer Kraft.“
Anschober