BUNDESGESETZBLATT

FÜR DIE REPUBLIK ÖSTERREICH

Jahrgang 2008

Ausgegeben am 4. Juni 2008

Teil I

77. Bundesgesetz:

Änderung des Medizinproduktegesetzes und des Bundesgesetzes über die Gesundheit Österreich GmbH

(NR: GP XXIII RV 504 AB 531 S. 59. BR: AB 7943 S. 756.)

77. Bundesgesetz, mit dem das Medizinproduktegesetz und das Bundesgesetz über die Gesundheit Österreich GmbH geändert werden

Der Nationalrat hat beschlossen:

Artikel 1

Änderung des Medizinproduktegesetzes

Das Medizinproduktegesetz, BGBl. Nr. 657/1996, zuletzt geändert durch BGBl. I Nr. 153/2005 und die Bundesministeriengesetz-Novelle 2007, BGBl. I Nr. 6, wird wie folgt geändert:

1. Der Einleitungsteil in § 70 Abs. 1 lautet:

„Angehörige eines gesetzlich geregelten Gesundheitsberufes, Gewerbeberechtigte, die berufsmäßig zum Betreiben oder zur Anwendung eines Medizinprodukts befugt sind, Leiter von einschlägigen Prüf-, Überwachungs- und Zertifizierungsstellen und technische Sicherheitsbeauftragte von Krankenanstalten haben Informationen über Medizinprodukte im Hinblick auf“

2. § 70 Abs. 5 zweiter Satz entfällt.

3. Nach § 72 wird folgender § 72a eingefügt:

§ 72a. (1) Besteht der begründete Verdacht, dass durch ein fehlerhaftes Medizinprodukt ein Patient einen Gesundheitsschaden erlitten hat oder getötet wurde, so ist die Einrichtung des Gesundheitswesens verpflichtet, bei der Vorgehensweise nach § 72 die Rechtsposition des Patienten oder allfälliger Hinterbliebener im Hinblick auf die Bedeutung des Medizinprodukts für die Durchsetzung allfälliger Haftungsansprüche zu wahren.

(2) Vereinbarungen, durch die Einrichtungen des Gesundheitswesens an der Erfüllung ihrer Pflichten gemäß Abs. 1 gehindert werden, sind nichtig.“

4. § 73 samt Überschrift lautet:

„Herzschrittmacher-, ICD-, Looprecorder-Register

§ 73. (1) Die Gesundheit Österreich GmbH ist berechtigt,

1.

zum Zweck des Schutzes der Gesundheit und Sicherheit von Patienten, Anwendern oder Dritten und zur Abwehr von Risken im Zusammenhang mit Implantationen von Herzschrittmachern, implantierbaren Defibrillatoren und Loop-Recordern,

2.

zum Zweck der Medizinproduktevigilanz und Marktüberwachung im Zusammenhang mit Herzschrittmachern, implantierbaren Defibrillatoren und Loop-Recordern,

3.

zum Zweck der qualitätsgesicherten Behandlung im Zusammenhang mit den entsprechenden Implantationen,

4.

zum Zweck der Qualitätssicherung von Herzschrittmachern, implantierbaren Defibrillatoren und Loop-Recordern,

5.

zum Zweck der Statistik als Grundlage für Planung, Qualitätssicherung und Qualitätsberichterstattung im österreichischen Gesundheitswesen und

6.

zu wissenschaftlichen Zwecken

ein Register für Herzschrittmacher, implantierbare Defibrillatoren und Loop-Recordern in Form eines Informationsverbundsystems zu führen. Die Gesundheit Österreich GmbH ist sowohl Betreiber als auch Auftraggeber des Registers, weitere Auftraggeber sind jene Einrichtungen des Gesundheitswesens, die Daten gemäß Abs. 3 übermitteln.

(2) In dem Register werden folgende Datenarten verarbeitet:

1.

Daten              über die implantierende/behandelnde Gesundheitseinrichtung (Bezeichnung der implantierenden/behandelnden Einrichtung bzw. Name des behandelnden Arztes, Krankenhausnummer, Kontaktdaten),

2.

Daten zur Patientenidentifikation (Name, Geschlecht, Geburtsdatum, Sozialversicherungsnummer, Kontaktdaten, bereichsspezifisches Personenkennzeichen),

3.

gegebenenfalls Sterbedaten (Datum, Todesursache, Autopsiestatus),

4.

relevante klinische Daten zu Anamnese, aktuellem Gesundheitszustand und Indikation (Vorintervention, Symptome, Ätiologie, präoperativer Herzrhythmus),

5.

technische, klinische, organisatorische und zeitliche Daten zum Versorgungsprozess (Operateur, Implantationsdaten der Medizinprodukte und der dazugehörigen Sonden, Datum der Implantation, Lokalisation der Medizinprodukte, Zugang, Sekundärprophylaxe),

6.

technische Daten zum Implantat, spezifische Implantatparameter, Daten zur individuellen Implantateinstellung (Modell, Hersteller und Seriennummer der Medizinprodukte und der dazugehörigen Sonden, Implantatparameter), und

7.

technische, klinische, organisatorische, zeitliche und ereignisbezogene Daten zur Nachsorge (technisch und klinische Kontrolldaten der implantierten Medizinprodukte und der dazugehörigen Sonden, Funktionszustand, Datum und Indikation der Kontrolle, Komplikationen, Explantationsdatum, Explantationsgrund).

(3) Die implantierenden/behandelnden Gesundheitseinrichtungen sind nach Maßgabe des Abs. 4 verpflichtet, die in Abs. 2 genannten Datenarten der Gesundheit Österreich GmbH personenbezogen online zu übermitteln.

(4) Die Übermittlung ist nur zulässig, wenn die Betroffenen über den Zweck der Datenanwendung informiert wurden und der Datenverwendung für die Zwecke des Herzschrittmacher-, ICD-, oder Looprecorder-Registers ausdrücklich zugestimmt haben. Wird bei einem Folgekontakt die Zustimmung verweigert, so ist der Betroffene darüber aufzuklären, dass der direkte Personenbezug unumkehrbar gelöscht wird und die Daten nicht mehr für seine Behandlungszwecke verwendet werden können. Die Gesundheit Österreich GmbH ist zu informieren, die den direkten Personenbezug umgehend unumkehrbar zu löschen hat.

(5) Die Erteilung von Zugriffsberechtigungen für Übermittlungen und Datenverwendungen durch Einrichtungen des Gesundheitswesens ist durch die Gesundheit Österreich GmbH nachvollziehbar zu dokumentieren. Bei der Erteilung von Zugriffsberechtigungen durch Einrichtungen des Gesundheitswesens ist darauf zu achten, dass Zugriffsrechte stets nur in jenem Umfang gewährt werden, als dies für einen Zweck gemäß Abs. 1 konkret notwendig ist. Die Erteilung der Zugriffsberechtigung hat sich auf konkrete Personen zu beziehen, deren eindeutige Identität und Umfang der Berechtigung der Gesundheit Österreich GmbH nachzuweisen ist.

(6) Bei der Datenverarbeitung gemäß Abs. 1 und 2 ist zur Patientenidentifikation die Verwendung des Namens und des bereichsspezifischen Personenkennzeichens GH und AS (§ 10 Abs. 2 E-Government-Gesetz, BGBl. I Nr. 10/2004) zulässig. Das bereichsspezifische Personenkennzeichen AS darf nur in verschlüsselter Form verwendet und gespeichert werden. Der direkte Personenbezug ist vom Betreiber unverzüglich unumkehrbar zu löschen, sobald er für die Zwecke nach Abs. 1 Z 1 und 3 nicht mehr erforderlich ist.

(7) Die Gesundheit Österreich GmbH ist berechtigt, bei der Bundesanstalt Statistik Österreich Informationen zum Todeszeitpunkt und zur Todesursache von Personen anzufordern, deren Daten im Register verarbeitet sind.

(8) Der Geschäftsführer der Gesundheit Österreich GmbH hat sicherzustellen, dass Identität und Rolle der Zugriffsberechtigten bei jedem Zugriff dem Stand der Technik entsprechend nachgewiesen und protokolliert werden. Er muss sicherstellen, dass geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen getroffen werden, um eine Vernichtung oder Veränderung der Daten durch Programmstörungen (Viren) zu verhindern, um eine Vernichtung, Veränderung oder Abfrage der Daten des Registers durch unberechtigte Benutzer oder Systeme zu verhindern. Weiters muss er sicherstellen, dass alle durchgeführten Verwendungsvorgänge, wie insbesondere Eintragungen, Änderungen, Abfragen und Übermittlungen, nachvollziehbar sind. Er hat ein Datensicherheitskonzept zu erstellen, das für die Mitarbeiter der Gesundheit Österreich GmbH verbindlich ist.

(9) Die Vertraulichkeit der Datenübermittlung ist durch dem Stand der Technik entsprechende verschlüsselte Übermittlungsverfahren zu gewährleisten.

(10) Die Gesundheit Österreich GmbH hat geeignete technische und organisatorische Maßnahmen vorzusehen, um die Richtigkeit der übermittelten Daten zu gewährleisten.

(11) Jeder Zugriff auf die im Register verarbeiteten oder zu verarbeitenden Daten durch die Gesundheit Österreich GmbH darf - mit Ausnahme einer Auskunftserteilung nach § 50 Datenschutzgesetz 2000 - nur in indirekt personenbezogener Form erfolgen, für wissenschaftliche Zwecke (Abs. 1 Z 6) darf der Zugriff nur in anonymisierter Form erfolgen.

(12) Die an den Registern teilnehmenden Einrichtungen des Gesundheitswesens dürfen

1.

für die Zwecke des Abs. 1 Z 3 auf alle diese Person betreffenden Daten im Register auch in personenbezogener Form zugreifen, wenn dies im Rahmen einer konkreten Behandlungssituation der jeweiligen Person erforderlich ist,

a)

mit ausdrücklicher Zustimmung der betroffenen Person, oder

b)

wenn die Einholung der Zustimmung unmöglich ist, im lebenswichtigen Interesse des Betroffenen, und

2.

für wissenschaftliche Zwecke (Abs. 1 Z 6) in anonymisierter Form auf die im Register verarbeiteten Daten zugreifen.

(13) Das Bundesamt für Sicherheit im Gesundheitswesen ist für Zwecke der Medizinproduktevigilanz berechtigt, auf die im Register verarbeiteten Daten in personenbezogener Form zuzugreifen, sofern dies im Einzelfall zum Schutz der Gesundheit und Sicherheit von Patienten und zur Abwehr von ernsten Risken notwendig ist. Ansonsten ist das Bundesamt für Sicherheit im Gesundheitswesen für Zwecke der Medizinproduktevigilanz und Marktüberwachung und für Zwecke der Qualitätssicherung von Medizinprodukten berechtigt, auf die Daten im Register in indirekt personenbezogener Form zuzugreifen.

(14) Der Geschäftsführer der Gesundheit Österreich GmbH ist verpflichtet, die Zugriffsberechtigung für die einzelnen Benutzer der Gesundheit Österreich GmbH individuell zuzuweisen. Die Zugriffsberechtigten der Gesundheit Österreich GmbH sind über die Bestimmungen gemäß § 15 Datenschutzgesetz 2000, BGBl. I Nr. 165/1999, und das Datensicherheitskonzept zu belehren. Diesen Zugriffsberechtigten ist ihre Zugriffsberechtigung zu entziehen, wenn sie diese zur weiteren Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder sie die Daten nicht entsprechend ihrer Zweckbestimmung verwenden.

(15) Der Geschäftsführer der Gesundheit Österreich GmbH hat durch organisatorische und technische Vorkehrungen sicherzustellen, dass der Zutritt zu Räumen, in denen sich der Datenbankserver befindet, grundsätzlich nur Zugriffsberechtigten der Gesundheit Österreich GmbH möglich ist.

(16) Wird der Datenbankserver aus dem Bereich der Gesundheit Österreich GmbH entfernt, hat der Geschäftsführer der Gesundheit Österreich GmbH sicherzustellen, dass eine unberechtigte Verwendung ausgeschlossen ist.

(17) Die In-Verkehr-Bringer von Medizinprodukten, die im Herzschrittmacher-, ICD-, Looprecorder-Register geführt werden, sind verpflichtet, die für Zwecke des Registers erforderlichen technischen Daten ihrer Implantate der Gesundheit Österreich GmbH in elektronischer Form zur Verfügung zu stellen.

(18) Die Gesundheit Österreich GmbH trifft für alle Auftraggeber die Meldepflicht gemäß §§ 17f Datenschutzgesetz 2000.“

5. Nach § 73 werden folgende §§ 73a und 73b samt Überschriften eingefügt:

„Implantatregister

§ 73a. (1) Die Gesundheit Österreich GmbH ist berechtigt,

1.

zum Zweck des Schutzes der Gesundheit und Sicherheit von Patienten, Anwendern oder Dritten und zur Abwehr von Risken von implantierbaren Medizinprodukten,

2.

zum Zweck der Medizinproduktevigilanz und Marktüberwachung von implantierbaren Medizinprodukten,

3.

zum Zweck der Qualitätssicherung von implantierbaren Medizinprodukten,

4.

zum Zweck der Statistik als Grundlage für Planung, Qualitätssicherung und Qualitätsberichterstattung im österreichischen Gesundheitswesen und

5.

zu wissenschaftlichen Zwecken

Implantatregister für aktive implantierbare Medizinprodukte, Weichteilimplantate, cardiovaskuläre, neurologische und orthopädische Implantate zu führen.

(2) In den Registern können folgende Datenarten verarbeitet werden:

1.

Patientenidentifikation (Geburtsjahr, Geschlecht, bereichsspezifisches Personenkennzeichen),

2.

Daten über die implantierende Gesundheitseinrichtung, insbesondere zu deren Identifikation,

3.

relevante klinische Daten zu Anamnese, aktuellem Gesundheitszustand und Indikation,

4.

technische, klinische, organisatorische und zeitliche Daten zum Versorgungsprozess,

5.

Daten zur Ergebnismessung (Outcome),

6.

technische Daten zum Implantat, spezifische Implantatparameter, Daten zur individuellen Implantateinstellung, und

7.

technische, klinische, organisatorische, zeitliche und ereignisbezogene Daten zur Nachsorge.

(3) Die implantierenden/behandelnden Einrichtungen des Gesundheitswesens sind, wenn dies zum Schutz der Gesundheit und Sicherheit von Patienten erforderlich ist, verpflichtet, die im Abs. 2 genannten und für Zwecke der Registerführung benötigten Daten der Gesundheit Österreich GmbH personenbezogen auch online zu übermitteln. Die Erteilung von Zugriffsberechtigungen für Übermittlungen und Datenverwendungen an Einrichtungen des Gesundheitswesens ist durch die Gesundheit Österreich GmbH nachvollziehbar zu dokumentieren.

(4) Der Bundesminister für Gesundheit, Familie und Jugend hat die Einrichtung von Implantatregistern und die spezifischen Datensätze für die einzelnen Register durch Verordnung festzulegen. In dieser Verordnung sind auch die konkreten Verarbeitungszwecke und die dem jeweiligen Verarbeitungszweck entsprechenden Zugriffsberechtigungen festzulegen.

(5) Personenbezogene Daten sind unverzüglich zu verschlüsseln. Bei der Datenverarbeitung gemäß Abs. 1 und 2 ist zur Patientenidentifikation nur die Verwendung des bereichsspezifischen Personenkennzeichens GH und AS (§ 10 Abs. 2 E-Government-Gesetz, BGBl. I Nr. 10/2004) zulässig. Das bereichsspezifische Personenkennzeichen AS darf nur in verschlüsselter Form verwendet und gespeichert werden. Der direkte Personenbezug ist unverzüglich nach Umrechnung unumkehrbar zu löschen.

(6) Der indirekte Personenbezug ist zu löschen, sobald er für die Zwecke nach Abs. 1 nicht mehr erforderlich ist. Die Gesundheit Österreich GmbH ist berechtigt, bei der Bundesanstalt Statistik Österreich Informationen zum Todeszeitpunkt und zur Todesursache von Personen anzufordern, deren Daten in einem Implantatregister verarbeitet sind.

(7) Die Vertraulichkeit der Datenübermittlung ist durch dem Stand der Technik entsprechende verschlüsselte Übermittlungsverfahren zu gewährleisten.

(8) Der Geschäftsführer der Gesundheit Österreich GmbH hat sicherzustellen, dass die eindeutige Identität und Rolle der Zugriffsberechtigten bei jedem Zugriff dem Stand der Technik entsprechend nachgewiesen und protokolliert werden. Er muss sicherstellen, dass geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen getroffen werden, um eine Vernichtung oder Veränderung der Daten durch Programmstörungen (Viren) zu verhindern, und um eine Vernichtung, Veränderung oder Abfrage der Daten des Registers durch unberechtigte Benutzer oder Systeme zu verhindern. Weiters muss er sicherstellen, dass alle durchgeführten Verwendungsvorgänge, wie insbesondere Eintragungen, Änderungen, Abfragen und Übermittlungen, nachvollziehbar sind. Er hat ein Datensicherheitskonzept zu erstellen, das für die Mitarbeiter der Gesundheit Österreich GmbH verbindlich ist.

(9) Die an den Registern teilnehmenden Einrichtungen des Gesundheitswesens dürfen auf Daten in den Registern für wissenschaftliche Zwecke in anonymisierter Form zugreifen.

(10) Jeder Zugriff auf die in den Registern verarbeiteten oder zu verarbeitenden Daten durch die Gesundheit Österreich GmbH darf nur für Zwecke des Abs. 1 erfolgen.

(11) Das Bundesamt für Sicherheit im Gesundheitswesen ist berechtigt, auf die in den Registern verarbeiteten Daten in indirekt personenbezogener Form zuzugreifen, wenn dies zum Zweck des Schutzes der Gesundheit und Sicherheit von Patienten, zur Abwehr von Risken und zum Zweck der Medizinproduktevigilanz und Marktüberwachung notwendig ist.

(12) Der Geschäftsführer der Gesundheit Österreich GmbH ist verpflichtet, die Zugriffsberechtigung für die einzelnen Benutzer der Gesundheit Österreich GmbH individuell zuzuweisen. Die Zugriffsberechtigten der Gesundheit Österreich GmbH sind über die Bestimmungen gemäß § 15 Datenschutzgesetz 2000 und das Datensicherheitskonzept zu belehren. Diesen Zugriffsberechtigten ist ihre Zugriffsberechtigung zu entziehen, wenn sie diese zur weiteren Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder sie die Daten nicht entsprechend ihrer Zweckbestimmung verwenden.

(13) Der Geschäftsführer der Gesundheit Österreich GmbH hat durch organisatorische und technische Vorkehrungen sicherzustellen, dass der Zutritt zu Räumen, in denen sich der Datenbankserver befindet, grundsätzlich nur Zugriffsberechtigten der Gesundheit Österreich GmbH möglich ist.

(14) Wird der Datenbankserver aus dem Bereich der Gesundheit Österreich GmbH entfernt, hat der Geschäftsführer der Gesundheit Österreich GmbH sicherzustellen, dass eine unberechtigte Verwendung ausgeschlossen ist.

(15) Die In-Verkehr-Bringer von Implantaten, die in Registern nach Abs. 1 geführt werden, sind verpflichtet, die für Zwecke des Registers erforderlichen technischen Daten ihrer Implantate der Gesundheit Österreich GmbH in elektronischer Form zur Verfügung zu stellen.

Verfolgbarkeit von Medizinprodukten

§ 73b. Der Bundesminister für Gesundheit, Familie und Jugend hat, soweit dies im Hinblick auf den Schutz der Gesundheit und Sicherheit von Patienten, Anwendern oder Dritten und die Abwehr von Risken erforderlich ist, unter Bedachtnahme auf Arten, Gruppen oder Klassen von Medizinprodukten mit erhöhtem Risikopotential durch Verordnung für das In-Verkehr-Bringen von Medizinprodukten Verantwortliche und Einrichtungen des Gesundheitswesens zu geeigneten Vorsorgen und Maßnahmen im Hinblick auf die Verfolgbarkeit von Medizinprodukten zu verpflichten und dabei Festlegungen zu treffen über

1.

die Arten, Gruppen oder Klassen von Medizinprodukten, die von den Anforderungen an die Verfolgbarkeit erfasst sind,

2.

die produkt- oder produktgruppenspezifischen Anforderungen hinsichtlich der Verfolgbarkeit sowie hinsichtlich Art, Inhalt, Spezifität und Verfügbarkeit der diesbezüglich erforderlichen Aufzeichnungen, und

3.

die Art und Weise der Einrichtung geeigneter Implantatregister in Einrichtungen des Gesundheitswesens und die dafür erforderlichen Aufzeichnungen.“

6. § 75 lautet:

§ 75. Besteht der begründete Verdacht, dass

1.

ein Medizinprodukt die Gesundheit oder die Sicherheit der Patienten, Anwender oder Dritter auch bei sachgemäßer Implantation, Errichtung, Instandhaltung oder seiner Zweckbestimmung entsprechender Verwendung über ein nach den Erkenntnissen der medizinischen Wissenschaft vertretbares Maß gefährden kann, oder

2.

ein Medizinprodukt die grundlegenden Anforderungen im Sinne der §§ 8, 9, einer Verordnung gemäß § 10 oder zutreffendenfalls die Anforderungen des § 11 nicht erfüllt, oder

3.

ein Medizinprodukt sonstige Mängel aufweist, die zu einer unvertretbaren Gefährdung von Patienten, Anwendern oder Dritten führen können, oder

4.

im Rahmen der Entwicklung, Herstellung oder Endkontrolle eines Medizinproduktes Mängel aufgetreten sind oder auftreten, die zu einer unvertretbaren Gefährdung von Patienten, Anwendern oder Dritten führen können,

so hat das Bundesamt für Sicherheit im Gesundheitswesen erforderliche Bewertungen vorzunehmen, Maßnahmen gemäß § 72 zu überwachen, erforderliche Untersuchungen durchzuführen oder zu veranlassen oder die Person oder Einrichtung, die das Medizinprodukt in Verkehr bringt, anwendet, in Betrieb nimmt oder betreibt, zu veranlassen, das Medizinprodukt von einer benannten Stelle, einer sonst geeigneten akkreditierten Stelle oder von einem Sachverständigen prüfen zu lassen und ihm die Berichte und Ergebnisse vorzulegen. Die Stellen oder Sachverständigen sind im Einvernehmen mit dem Bundesamt für Sicherheit im Gesundheitswesen auszuwählen.“

7. Im § 90 Abs. 2 entfällt die Wortfolge „oder staatlich autorisierte“.

8. § 117 Abs. 2 lautet:

„(2) Vor Erlassung von Verordnungen nach diesem Bundesgesetz haben die nach Abs. 1 zuständigen Bundesminister einen Beirat zu hören, dem neben Sachverständigen auf dem Gebiet der zu regelnden Materie jedenfalls jeweils ein Vertreter des Bundesministeriums für Wirtschaft und Arbeit, des Bundesministeriums für Soziales und Konsumentenschutz, der Österreichischen Ärztekammer, der Österreichischen Zahnärztekammer, der Bundesarbeitskammer, der Wirtschaftskammer Österreich, der Österreichischen Apothekerkammer, des Hauptverbandes der österreichischen Sozialversicherungsträger, der Österreichischen Agentur für Gesundheit und Ernährungssicherheit GmbH, Geschäftsbereich PharmMed, und des Österreichischen Seniorenrates angehören. Weiters sind die nach den landesgesetzlichen Ausführungsbestimmungen zu § 11e des Bundesgesetzes über Krankenanstalten und Kuranstalten (KAKuG) bestehenden Patientenvertretungen berechtigt, einen Vertreter zu entsenden.“

9. § 117 wird folgender Abs. 3 angefügt:

„(3) Den Vorsitz im Beirat gemäß Abs. 2 führt ein Bediensteter des Bundesministeriums für Gesundheit, Familie und Jugend, die Tätigkeit des Beirats wird nach einer vom Bundesminister für Gesundheit, Familie und Jugend zu erlassenden Geschäftsordnung geführt. In dieser ist jedenfalls vorzusehen, dass in Fällen besonderer Dringlichkeit oder minderer Bedeutung eine Befassung des Beirats im Umlaufweg erfolgen kann. Im Einvernehmen mit dem Vorsitzenden können die Vertreter gemäß Abs. 2 weitere Experten beiziehen.“

Artikel 2

Änderung des Bundesgesetzes über die Gesundheit Österreich GmbH

Das Bundesgesetz über die Gesundheit Österreich GmbH (GÖGG), BGBl. I Nr. 132/2006, zuletzt geändert durch die Bundesministeriengesetz-Novelle 2007, BGBl. I Nr. 6, wird wie folgt geändert:

Nach § 15 wird folgender § 15a samt Überschrift eingefügt:

„Qualitätsregister

§ 15a. (1) Die Gesundheit Österreich GmbH ist berechtigt,

1.

zum Zweck der Statistik als Grundlage für Planung, Qualitätssicherung und Qualitätsberichterstattung im österreichischen Gesundheitswesen und

2.

für wissenschaftliche Zwecke

im Zusammenhang mit bestimmten Indikationen oder Behandlungsmethoden Qualitätsregister (§ 4 Abs. 2 Z 3) zu führen.

(2) In den Registern können folgende Datenarten verarbeitet werden:

1.

Patientenidentifikation (Geburtsjahr, Geschlecht, bereichsspezifisches Personenkennzeichen),

2.

Daten über die behandelnde Gesundheitseinrichtung, insbesondere zu deren Identifikation sowie Strukturinformationen,

3.

relevante klinische Daten zu Anamnese, aktuellem Gesundheitszustand und Indikation,

4.

technische, klinische, organisatorische und zeitliche Daten zum Versorgungsprozess,

5.

Daten zur Ergebnismessung (Outcome), und

6.

technische, klinische, organisatorische, zeitliche und ereignisbezogene Daten zur Nachsorge.

(3) Der Bundesminister für Gesundheit, Familie und Jugend/Die Bundesministerin für Gesundheit, Familie und Jugend hat die Einrichtung eines Qualitätsregisters und die spezifischen Datensätze für die einzelnen Register durch Verordnung festzulegen. In dieser Verordnung sind auch die konkreten Verarbeitungszwecke und die dem jeweiligen Verarbeitungszweck entsprechenden Zugriffsberechtigungen festzulegen.

(4) Die Träger von Krankenanstalten und in Betracht kommende Angehörige gesetzlich geregelter Gesundheitsberufe sind ermächtigt, die für Zwecke der Registerführung benötigten Daten der Gesundheit Österreich GmbH personenbezogen auch online zu übermitteln. Die Erteilung von Zugriffsberechtigungen für Übermittlungen und Datenverwendungen an die Träger der Krankenanstalten und an in Betracht kommende Angehörige von gesetzlich geregelten Gesundheitsberufen ist durch die Gesundheit Österreich GmbH nachvollziehbar zu dokumentieren.

(5) Personenbezogene Daten sind unverzüglich zu verschlüsseln. Bei der Datenverarbeitung gemäß Abs. 1 und 2 ist zur Patientenidentifikation nur die Verwendung des bereichsspezifischen Personenkennzeichens GH und AS (§ 10 Abs. 2 E-Government-Gesetz, BGBl. I Nr. 10/2004) zulässig. Das bereichsspezifische Personenkennzeichen AS darf nur in verschlüsselter Form verwendet und gespeichert werden. Der direkte Personenbezug ist unverzüglich nach Umrechnung unumkehrbar zu löschen.

(6) Der indirekte Personenbezug ist zu löschen, sobald er für die Zwecke nach Abs. 1 nicht mehr erforderlich ist. Die Gesundheit Österreich GmbH ist berechtigt, bei der Bundesanstalt Statistik Österreich Informationen zum Todeszeitpunkt und zur Todesursache von Personen anzufordern, deren Daten in einem Register verarbeitet sind.

(7) Die Vertraulichkeit der Datenübermittlung ist durch dem Stand der Technik entsprechende verschlüsselte Übermittlungsverfahren zu gewährleisten.

(8) Der Geschäftsführer der Gesundheit Österreich GmbH hat sicherzustellen, dass die eindeutige Identität und Rolle der Zugriffsberechtigten bei jedem Zugriff dem Stand der Technik entsprechend nachgewiesen und protokolliert werden. Er muss sicherstellen, dass geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen getroffen werden, um eine Vernichtung oder Veränderung der Daten durch Programmstörungen (Viren) zu verhindern, und um eine Vernichtung, Veränderung oder Abfrage der Daten des Registers durch unberechtigte Benutzer oder Systeme zu verhindern. Weiters muss er sicherstellen, dass alle durchgeführten Verwendungsvorgänge, wie insbesondere Eintragungen, Änderungen, Abfragen und Übermittlungen, nachvollziehbar sind. Er hat ein Datensicherheitskonzept zu erstellen, das für die Mitarbeiter der Gesundheit Österreich GmbH verbindlich ist.

(9) Jeder Zugriff auf die in den Registern verarbeiteten oder zu verarbeitenden Daten durch die Gesundheit Österreich GmbH darf nur für Zwecke des Abs. 1 erfolgen.

(10) Die an den Registern teilnehmenden Krankenanstalten und Angehörige von in Betracht kommenden gesetzlich geregelten Gesundheitsberufen sowie die Länder dürfen auf Daten in den Registern für wissenschaftliche Zwecke in anonymisierter Form zugreifen.

(11) Der Geschäftsführer der Gesundheit Österreich GmbH ist verpflichtet, die Zugriffsberechtigung für die einzelnen Benutzer der Gesundheit Österreich GmbH individuell zuzuweisen. Die Zugriffsberechtigten sind über die Bestimmungen gemäß § 15 Datenschutzgesetz 2000 und das Datensicherheitskonzept zu belehren. Diesen Zugriffsberechtigten ist ihre Zugriffsberechtigung zu entziehen, wenn sie diese zur weiteren Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder sie die Daten nicht entsprechend ihrer Zweckbestimmung verwenden.

(12) Der Geschäftsführer der Gesundheit Österreich GmbH hat durch organisatorische und technische Vorkehrungen sicherzustellen, dass der Zutritt zu Räumen, in denen sich der Datenbankserver befindet, grundsätzlich nur Zugriffsberechtigten der Gesundheit Österreich GmbH möglich ist.

(13) Wird der Datenbankserver aus dem Bereich der Gesundheit Österreich GmbH entfernt, hat der Geschäftsführer der Gesundheit Österreich GmbH sicherzustellen, dass eine unberechtigte Verwendung ausgeschlossen ist.“

Fischer

Gusenbauer