Bundesrecht konsolidiert: Gesamte Rechtsvorschrift für eHealth-Verordnung, Fassung vom 04.02.2023

§ 0

Langtitel

Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz, mit der nähere Regelungen zur eHealth-Anwendung Elektronischer Impfpass getroffen werden (eHealth-Verordnung – eHealthV)
StF: BGBl. II Nr. 449/2020

Präambel/Promulgationsklausel

Auf Grund des § 28 Abs. 2a Z 2 lit. a und h des Gesundheitstelematikgesetzes 2012 (GTelG 2012), BGBl. I Nr. 111/2012, zuletzt geändert durch BGBl. I Nr. 115/2020, wird verordnet:

§ 1

Text

Gegenstand

§ 1.

Gegenstand dieser Verordnung sind

  1. 1.
    nähere Regelungen zur eHealth-Anwendung Elektronischer Impfpass gemäß dem 2. Unterabschnitt des 5. Abschnitts des GTelG 2012 sowie
  2. 2.
    die Aufteilung der Pflichten gemäß Art. 4 Z 7 in Verbindung mit Art. 26 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 127 vom 23.05.2018 S. 2, (im Folgenden: DSGVO) zwischen der ELGA GmbH und dem jeweiligen Gesundheitsdiensteanbieter als gemeinsam für die Verarbeitung Verantwortliche gemäß § 27 Abs. 17 in Verbindung mit § 24c Abs. 3 GTelG 2012.

§ 2

Text

Standards für Inhalt, Struktur und Format

§ 2.
  1. (1) Standards für Inhalt, Struktur und Format der gemäß § 24c Abs. 2 Z 2 GTelG 2012 im zentralen Impfregister zu speichernden Angaben sowie die in der zusammenfassenden Darstellung gemäß § 24d Abs. 2 Z 1 GTelG 2012 ersichtlichen Daten sind im Implementierungsleitfaden e-Impfpass (Version 1) in der Anlage festgelegt.
  2. (2) Angaben gemäß § 24c Abs. 2 Z 2 GTelG 2012 und Daten gemäß § 24d Abs. 2 Z 1 GTelG 2012 haben alle Felder in der angegebenen Kardinalität zu enthalten, die in dem Implementierungsleitfaden mit den Konformitätskriterien „Mandatory“ (M), „Required“ (R) und „Fixed“ (F) bezeichnet sind.
  3. (3) Aktualisierungen des Implementierungsleitfadens gemäß Abs. 1, welche die Konformitätskriterien „Mandatory“ (M), „Required“ (R) oder „Fixed“ (F) betreffen („Hauptversionen“), sind im Rahmen dieser Verordnung kundzumachen. Andere Aktualisierungen („Nebenversionen“) dürfen ohne Kundmachung in einer Verordnung unter www.gesundheit.gv.at veröffentlicht und verwendet werden.
  4. (4) Der Implementierungsleitfaden gemäß Abs. 1 und dessen Aktualisierungen gemäß Abs. 3, deren Prüfsumme sowie ihre eindeutigen Kennungen (§ 10 Abs. 5 GTelG 2012) sind von dem für das Gesundheitswesen zuständigen Bundesminister unter www.gesundheit.gv.at zu veröffentlichen.

§ 3

Text

Standards für Terminologien

§ 3.
  1. (1) Terminologien, aktualisierte Terminologien sowie ihre eindeutige Kennung (§ 10 Abs. 5 GTelG 2012) sind als kontrollierte Vokabulare in elektronischer Form von dem für das Gesundheitswesen zuständigen Bundesminister unter www.gesundheit.gv.at zu veröffentlichen.
  2. (2) Sofern eine Verpflichtung gemäß § 2 Abs. 2 besteht, sind die dafür erforderlichen Terminologien verpflichtend zu verwenden.

§ 4

Text

Pilotierungsphase

§ 4.
  1. (1) Beginnend mit dem Inkrafttreten dieser Verordnung haben die Gesundheitsdiensteanbieter jedenfalls die COVID-19- und influenzabezogenen Angaben(Anm.1) sowie Angaben betreffend Affenpocken gemäß § 24c Abs. 2 Z 2 GTelG 2012 im zentralen Impfregister zu speichern und dürfen diese Angaben für die in § 24d Abs. 2 GTelG 2012 genannten Zwecke verarbeitet werden. Angaben zu anderen Impfungen dürfen gespeichert und zu den Zwecken gemäß § 24d Abs. 2 GTelG 2012 verarbeitet werden.

    (Anm.: Abs. 1a aufgehoben durch BGBl. II Nr. 112/2021)

  2. (2) Ab dem Zeitpunkt gemäß Abs. 1 haben die Gesundheitsdiensteanbieter die technisch-organisatorischen Spezifikationen gemäß § 2 und § 3 anzuwenden.
  3. (3) Impfungen gegen Affenpocken, die zum Zeitpunkt der Verabreichung der Impfung mangels technischer Verfügbarkeit nicht im eImpfpass dokumentiert werden können, sind vom impfenden Gesundheitsdiensteanbieter bis spätestens 20. August 2022 im eImpfpass nachzutragen.

(_________

Anm. 1: Z 1 der Novelle BGBl. II Nr. 285/2022 lautet: „In § 4 Abs. 1 wird nach der Wortfolge „COVID-19- und influenzabezogene Angaben“ die Wortfolge „sowie Angaben betreffend Affenpocken“ eingefügt.“ Offensichtlich gemeint: „… nach der Wortfolge „COVID-19- und influenzabezogenen Angaben“ …“.)

§ 4a

Text

Aufteilung der Pflichten gemäß Art. 26 DSGVO

§ 4a.

Die Aufteilung der Pflichten gemäß § 4b bis § 4e findet Anwendung, soweit nicht bereits eine Vereinbarung gemäß Art. 26 DSGVO zwischen der ELGA GmbH und dem jeweiligen Gesundheitsdiensteanbieter besteht. Die gemeinsam für die Verarbeitung Verantwortlichen sind verpflichtet, die betroffenen Personen darüber in Kenntnis zu setzen. Der Abschluss neuer Vereinbarungen ist unzulässig.

§ 4b

Text

§ 4b.
  1. (1) Die ELGA GmbH ist für den Pilotbetrieb der eHealth-Anwendung „Elektronischer Impfpass“ verantwortlich.
  2. (2) Der ELGA GmbH obliegen folgende aus der DSGVO resultierende Pflichten:
    1. 1.
      Information der betroffenen Personen gemäß den Art. 13 und 14 DSGVO durch Veröffentlichung einer Datenschutzinformation auf der Website der ELGA GmbH,
    2. 2.
      Weiterleitung von Anträgen gemäß Art. 16 DSGVO an den für die Speicherung verantwortlichen Gesundheitsdiensteanbieter oder an die Bezirksverwaltungsbehörde (§ 24c Abs. 3 GTelG 2012),
    3. 3.
      Sicherstellung der Datensicherheit hinsichtlich des zentralen Impfregisters sowie der ELGA-Komponenten gemäß § 24f GTelG 2012 (Abs. 3),
    4. 4.
      Wahrnehmung der Meldepflicht gemäß Art. 33 DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten im zentralen Impfregister oder bei den ELGA-Komponenten gemäß § 24f GTelG 2012 aufgetreten ist sowie
    5. 5.
      Zurverfügungstellung des wesentlichen Inhalts der Pflichtenaufteilung auf der Website der ELGA GmbH.
  3. (3) Die ELGA GmbH hat auf Basis eines IT-Sicherheitskonzeptes alle gemäß Art. 32 DSGVO getroffenen Datensicherheitsmaßnahmen zu dokumentieren. Diese Dokumentation ist dem für das Gesundheitswesen zuständigen Bundesminister binnen vier Wochen zu übermitteln.

§ 4c

Text

§ 4c.
  1. (1) Der jeweilige Gesundheitsdiensteanbieter ist gemäß § 24c Abs. 3 GTelG 2012 für die Speicherung, Aktualisierung, Stornierung und Nachtragung der Angaben gemäß § 24c Abs. 2 Z 2 GTelG 2012 verantwortlich.
  2. (2) Dem jeweiligen Gesundheitsdiensteanbieter obliegen folgende aus der DSGVO resultierende Pflichten:
    1. 1.
      Information der betroffenen Personen gemäß den Art. 13 und 14 DSGVO durch Verweis auf die Datenschutzinformation auf der Website der ELGA-GmbH (§ 4b Abs. 2 Z 1),
    2. 2.
      Wahrnehmung von Anträgen auf Berichtigung gemäß Art. 16 DSGVO,
    3. 3.
      Sicherstellung der Datensicherheit hinsichtlich der Verarbeitungsvorgänge gemäß § 24c Abs. 3 Satz 1 GTelG 2012 sowie
    4. 4.
      Wahrnehmung der Meldepflicht gemäß Art. 33 DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten bei den Verarbeitungsvorgängen gemäß § 24c Abs. 3 Satz 1 GTelG 2012 aufgetreten ist.

§ 4d

Text

§ 4d.
  1. (1) Sowohl der ELGA GmbH, als auch dem jeweiligen Gesundheitsdiensteanbieter obliegen folgende aus der DSGVO resultierende Pflichten:
    1. 1.
      Information der betroffenen Personen gemäß Art. 12 Abs. 4 DSGVO, wenn die ELGA GmbH oder der Gesundheitsdiensteanbieter aufgrund von deren Anträgen nicht tätig werden,
    2. 2.
      Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO sowie
    3. 3.
      Zusammenarbeit mit der Aufsichtsbehörde gemäß Art. 31 DSGVO.
  2. (2) Gemäß § 24c Abs. 8 GTelG 2012 ist keine gesonderte Datenschutz-Folgeabschätzung für die eHealth-Anwendung „Elektronischer Impfpass“ durchzuführen.

§ 4e

Text

§ 4e.

Die ELGA GmbH ist Anlaufstelle gemäß Art. 26 Abs. 1 DSGVO.

§ 5

Text

Inkrafttreten

§ 5.
  1. (1) Diese Verordnung tritt mit Ablauf des Tages ihrer Kundmachung im Bundesgesetzblatt in Kraft.
  2. (2) § 1, § 4 Abs. 1 bis 2, § 4a samt Überschrift sowie die §§ 4b bis 4e in der Fassung der Verordnung BGBl. II Nr. 35/2021 treten mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt in Kraft und § 4 Abs. 3 tritt mit Ablauf des Tages der Kundmachung der Verordnung BGBl. II Nr. 35/2021 außer Kraft.
  3. (3) § 4 Abs. 1a tritt mit Ablauf des Tages der Kundmachung der Verordnung BGBl. II Nr. 112/2021 außer Kraft.
  4. (4) § 4 Abs. 1 und 3 tritt mit dem der Kundmachung der Verordnung BGBl. II Nr. 285/2022 folgenden Tag in Kraft.

§ 6

Text

Notifikationshinweis

§ 6.

Diese Verordnung wurde unter Einhaltung der Bestimmungen der Richtlinie (EU) 2015/1535 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, ABl. Nr. L 241 vom 17.09.2015 S. 1, notifiziert (Notifikationsnummer: 2020/0615/A).

Anl. 1

Text

Anlage

CDA
Implementierungsleitfaden

HL7 Implementation Guide for CDAR R2:
e-Impfpass

(Anlage als PDF dokumentiert)

Begleitende Dokumente

Anlagen
CDA Implementierungsleitfaden