BUNDESGESETZBLATT
FÜR DIE REPUBLIK ÖSTERREICH

Jahrgang 2021

Ausgegeben am 27. Jänner 2021

Teil II

35. Verordnung:

eHealth-Verordnungsnovelle 2021

35. Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz, mit der die eHealth-Verordnung geändert wird (eHealth-Verordnungsnovelle 2021)

Auf Grund des Paragraph 28, Absatz 2 a, Ziffer 2, des Gesundheitstelematikgesetzes 2012 (GTelG 2012), Bundesgesetzblatt Teil eins, Nr. 111 aus 2012,, zuletzt geändert durch das Bundesgesetz Bundesgesetzblatt Teil eins, Nr. 115 aus 2020,, wird verordnet:

Die Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz, mit der nähere Regelungen zur eHealth-Anwendung Elektronischer Impfpass getroffen werden (eHealth-Verordnung – eHealthV), Bundesgesetzblatt Teil 2, Nr. 449 aus 2020,, wird wie folgt geändert:

Novellierungsanordnung 1, Paragraph eins, lautet:

Paragraph eins,

Gegenstand dieser Verordnung sind

  1. Ziffer eins
    nähere Regelungen zur eHealth-Anwendung Elektronischer Impfpass gemäß dem 2. Unterabschnitt des 5. Abschnitts des GTelG 2012 sowie
  2. Ziffer 2
    die Aufteilung der Pflichten gemäß Artikel 4, Ziffer 7, in Verbindung mit Artikel 26, der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 127 vom 23.05.2018 S. 2, (im Folgenden: DSGVO) zwischen der ELGA GmbH und dem jeweiligen Gesundheitsdiensteanbieter als gemeinsam für die Verarbeitung Verantwortliche gemäß Paragraph 27, Absatz 17, in Verbindung mit Paragraph 24 c, Absatz 3, GTelG 2012.“

Novellierungsanordnung 2, Paragraph 4, Absatz eins, lautet:

  1. Absatz einsBeginnend mit dem Inkrafttreten dieser Verordnung haben die Gesundheitsdiensteanbieter jedenfalls die COVID-19- und influenzabezogenen Angaben gemäß Paragraph 24 c, Absatz 2, Ziffer 2, GTelG 2012 im zentralen Impfregister zu speichern und dürfen diese Angaben für die in Paragraph 24 d, Absatz 2, GTelG 2012 genannten Zwecke verarbeitet werden. Angaben zu anderen Impfungen dürfen gespeichert und zu den Zwecken gemäß Paragraph 24 d, Absatz 2, GTelG 2012 verarbeitet werden.“

Novellierungsanordnung 3, In Paragraph 4, wird nach Absatz eins, folgender Absatz eins a, eingefügt:

  1. Absatz eins aGesundheitsdiensteanbieter dürfen die seit dem 27. Dezember 2020 verabreichten und schriftlich dokumentierten COVID-19-Impfungen, die nicht im zentralen Impfregister gespeichert sind, gemäß Paragraph 24 c, Absatz 4, GTelG 2012 nachtragen.“

Novellierungsanordnung 4, In Paragraph 4, Absatz 2, entfällt die Wortfolge „an der Pilotierung teilnehmenden“.

Novellierungsanordnung 5, Paragraph 4, Absatz 3, entfällt.

Novellierungsanordnung 6, Nach Paragraph 4, werden folgender Paragraph 4 a, samt Überschrift sowie folgende Paragraphen 4 b bis 4e eingefügt:

„Aufteilung der Pflichten gemäß Artikel 26, DSGVO

Paragraph 4 a,

Die Aufteilung der Pflichten gemäß Paragraph 4 b bis Paragraph 4 e, findet Anwendung, soweit nicht bereits eine Vereinbarung gemäß Artikel 26, DSGVO zwischen der ELGA GmbH und dem jeweiligen Gesundheitsdiensteanbieter besteht. Die gemeinsam für die Verarbeitung Verantwortlichen sind verpflichtet, die betroffenen Personen darüber in Kenntnis zu setzen. Der Abschluss neuer Vereinbarungen ist unzulässig.

Paragraph 4 b,

  1. Absatz einsDie ELGA GmbH ist für den Pilotbetrieb der eHealth-Anwendung „Elektronischer Impfpass“ verantwortlich.
  2. Absatz 2Der ELGA GmbH obliegen folgende aus der DSGVO resultierende Pflichten:
    1. Ziffer eins
      Information der betroffenen Personen gemäß den Artikel 13 und 14 DSGVO durch Veröffentlichung einer Datenschutzinformation auf der Website der ELGA GmbH,
    2. Ziffer 2
      Weiterleitung von Anträgen gemäß Artikel 16, DSGVO an den für die Speicherung verantwortlichen Gesundheitsdiensteanbieter oder an die Bezirksverwaltungsbehörde (Paragraph 24 c, Absatz 3, GTelG 2012),
    3. Ziffer 3
      Sicherstellung der Datensicherheit hinsichtlich des zentralen Impfregisters sowie der ELGA-Komponenten gemäß Paragraph 24 f, GTelG 2012 (Absatz 3,),
    4. Ziffer 4
      Wahrnehmung der Meldepflicht gemäß Artikel 33, DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Artikel 34, DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten im zentralen Impfregister oder bei den ELGA-Komponenten gemäß Paragraph 24 f, GTelG 2012 aufgetreten ist sowie
    5. Ziffer 5
      Zurverfügungstellung des wesentlichen Inhalts der Pflichtenaufteilung auf der Website der ELGA GmbH.
  3. Absatz 3Die ELGA GmbH hat auf Basis eines IT-Sicherheitskonzeptes alle gemäß Artikel 32, DSGVO getroffenen Datensicherheitsmaßnahmen zu dokumentieren. Diese Dokumentation ist dem für das Gesundheitswesen zuständigen Bundesminister binnen vier Wochen zu übermitteln.

Paragraph 4 c,

  1. Absatz einsDer jeweilige Gesundheitsdiensteanbieter ist gemäß Paragraph 24 c, Absatz 3, GTelG 2012 für die Speicherung, Aktualisierung, Stornierung und Nachtragung der Angaben gemäß Paragraph 24 c, Absatz 2, Ziffer 2, GTelG 2012 verantwortlich.
  2. Absatz 2Dem jeweiligen Gesundheitsdiensteanbieter obliegen folgende aus der DSGVO resultierende Pflichten:
    1. Ziffer eins
      Information der betroffenen Personen gemäß den Artikel 13 und 14 DSGVO durch Verweis auf die Datenschutzinformation auf der Website der ELGA-GmbH (Paragraph 4 b, Absatz 2, Ziffer eins,),
    2. Ziffer 2
      Wahrnehmung von Anträgen auf Berichtigung gemäß Artikel 16, DSGVO,
    3. Ziffer 3
      Sicherstellung der Datensicherheit hinsichtlich der Verarbeitungsvorgänge gemäß Paragraph 24 c, Absatz 3, Satz 1 GTelG 2012 sowie
    4. Ziffer 4
      Wahrnehmung der Meldepflicht gemäß Artikel 33, DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Artikel 34, DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten bei den Verarbeitungsvorgängen gemäß Paragraph 24 c, Absatz 3, Satz 1 GTelG 2012 aufgetreten ist.

Paragraph 4 d,

  1. Absatz einsSowohl der ELGA GmbH, als auch dem jeweiligen Gesundheitsdiensteanbieter obliegen folgende aus der DSGVO resultierende Pflichten:
    1. Ziffer eins
      Information der betroffenen Personen gemäß Artikel 12, Absatz 4, DSGVO, wenn die ELGA GmbH oder der Gesundheitsdiensteanbieter aufgrund von deren Anträgen nicht tätig werden,
    2. Ziffer 2
      Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Artikel 30, Absatz eins, DSGVO sowie
    3. Ziffer 3
      Zusammenarbeit mit der Aufsichtsbehörde gemäß Artikel 31, DSGVO.
  2. Absatz 2Gemäß Paragraph 24 c, Absatz 8, GTelG 2012 ist keine gesonderte Datenschutz-Folgeabschätzung für die eHealth-Anwendung „Elektronischer Impfpass“ durchzuführen.

Paragraph 4 e,

Die ELGA GmbH ist Anlaufstelle gemäß Artikel 26, Absatz eins, DSGVO.“

Novellierungsanordnung 7, Dem Text des Paragraph 5, wird die Absatzbezeichnung „(1)“ vorangestellt; folgender Absatz 2, wird angefügt:

  1. Absatz 2Paragraph eins,, Paragraph 4, Absatz eins bis 2, Paragraph 4 a, samt Überschrift sowie die Paragraphen 4 b bis 4e in der Fassung der Verordnung Bundesgesetzblatt Teil 2, Nr. 35 aus 2021, treten mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt in Kraft und Paragraph 4, Absatz 3, tritt mit Ablauf des Tages der Kundmachung der Verordnung Bundesgesetzblatt Teil 2, Nr. 35 aus 2021, außer Kraft.“

Anschober