Bundesrecht konsolidiert: Gesamte Rechtsvorschrift für Gesundheitstelematikgesetz, Fassung vom 31.12.2012

§ 0

Langtitel

Bundesgesetz betreffend Datensicherheitsmaßnahmen beim elektronischen Verkehr mit Gesundheitsdaten und Einrichtung eines Informationsmanagement (Gesundheitstelematikgesetz - GTelG)
StF: BGBl. I Nr. 179/2004 (NR: GP XXII RV 693 AB 711 S. 90. BR: AB 7175 S. 717.)

Präambel/Promulgationsklausel

Inhaltsverzeichnis

1. Abschnitt: Gegenstand und Begriffsbestimmungen

§ 1 Gegenstand

§ 2 Begriffsbestimmungen

2. Abschnitt: Datensicherheit beim elektronischen Gesundheitsdatenaustausch

§ 3 Nachweis von Identität und Rolle

§ 4 Identität

§ 5 Rolle

§ 6 Vertraulichkeit

§ 7 Integrität

§ 8 Dokumentation

3. Abschnitt: Informationsmanagement

§ 9 eHealth-Verzeichnisdienst

§ 10 Inhalte

§ 11 Aufnahme

§ 12 Registrierungsverfahren

§ 13 Registrierungsstellen

§ 14 Monitoring

§ 15 Qualitätssicherung gesundheitsbezogener Web-Informationen

§ 16 Informationsdienst

4. Abschnitt: Schlussbestimmungen

§ 17 Verwaltungsstrafbestimmungen

§ 18 In-Kraft-Treten

§ 19 Übergangsbestimmungen

§ 20 Erlassung und In-Kraft-Treten von Verordnungen

§ 21 Verweisungen

§ 22 Vollziehung

§ 1

Text

1. Abschnitt
Gegenstand und Begriffsbestimmungen

Gegenstand

§ 1.

(1) Mit diesem Bundesgesetz werden ergänzende Datensicherheitsbestimmungen für den elektronischen Verkehr mit Gesundheitsdaten festgelegt sowie ein Informationsmanagement für Angelegenheiten der Gesundheitstelematik eingerichtet.

(2) Ziele dieses Bundesgesetzes sind, durch bundeseinheitliche Mindeststandards die Datensicherheit beim elektronischen Verkehr mit Gesundheitsdaten anzuheben sowie die für die Entwicklung und Steuerung der Gesundheitstelematik im internationalen Kontext notwendigen Informationsgrundlagen zu schaffen bzw. zu verbreitern.

(3) Die gesetzlichen Regelungen über die Zulässigkeit von Datenverwendungen, über die Rechte der Betroffenen sowie über den Rechtsschutz bleiben durch dieses Bundesgesetz unberührt.

§ 2

Text

Begriffsbestimmungen

§ 2.

Im Sinne dieses Bundesgesetzes bedeuten

1.

Gesundheitsdaten: direkt personenbezogene Daten gemäß § 4 Z 1 DSG 2000 über die physische oder psychische Befindlichkeit eines Menschen, einschließlich der im Zusammenhang mit der Erhebung der Ursachen für diese Befindlichkeit sowie der medizinischen Vorsorge oder Versorgung, der Pflege, der Verrechnung von Gesundheitsdienstleistungen oder der Versicherung von Gesundheitsrisken erhobenen Daten. Dazu gehören insbesondere Daten die

a)

die geistige Verfassung,

b)

die Struktur, die Funktion oder den Zustand des Körpers oder Teile des Körpers,

c)

die gesundheitsrelevanten Lebensgewohnheiten oder Umwelteinflüsse,

d)

die verordneten oder bezogenen Arzneimittel, Heilbehelfe oder Hilfsmittel,

e)

die Diagnose-, Therapie- oder Pflegemethoden oder

f)

die Art, die Anzahl, die Dauer oder die Kosten von Gesundheitsdienstleistungen oder gesundheitsbezogene Versicherungsdienstleistungen betreffen.

2.

Gesundheitsdiensteanbieterin/Gesundheitsdiensteanbieter:

Auftraggeberinnen/Auftraggeber und Dienstleisterinnen/Dienstleister gemäß DSG 2000, deren regelmäßige Verwendung von Gesundheitsdaten Bestandteil ihrer Erwerbstätigkeit, ihres Betriebszwecks oder ihres Dienstleistungsangebotes ist.

3.

Elektronischer Gesundheitsdatenaustausch: die Weitergabe von oder die Einräumung von Zugriffsrechten auf im Rahmen automationsunterstützter Datenanwendungen verwendeter Gesundheitsdaten mittels kommunikationstechnologischer Einrichtungen durch eine Gesundheitsdiensteanbieterin/einen Gesundheitsdiensteanbieter und zwar sowohl an Auftraggeberinnen/Auftraggeber (§ 4 Z 4 DSG 2000) als auch an Dienstleisterinnen/Dienstleister (§ 4 Z 5 DSG 2000).

4.

Rolle: Klassifizierung von Gesundheitsdiensteanbieterinnen/Gesundheitsdiensteanbietern nach der Art ihrer Erwerbstätigkeit, ihres Betriebszwecks oder ihres Dienstleistungsangebotes.

§ 3

Text

2. Abschnitt
Datensicherheit beim elektronischen Gesundheitsdatenaustausch

Nachweis von Identität und Rolle

§ 3.

Werden im elektronischen Verkehr zwischen Gesundheitsdiensteanbieterinnen/Gesundheitsdiensteanbietern Gesundheitsdaten weitergegeben oder Zugriffsrechte darauf eingeräumt, so darf dies nur geschehen, wenn Identität und Rolle der Empfängerin/des Empfängers oder jener Gesundheitsdiensteanbieterin/jenes Gesundheitsdiensteanbieters, die/der ein eingeräumtes Zugriffsrecht auf Gesundheitsdaten in Anspruch nehmen will, nachgewiesen sind. Die Nachweise sind nach Maßgabe der §§ 4 und 5 in elektronischer Form zu erbringen und zu prüfen.

§ 4

Text

Identität

§ 4.

(1) Der Nachweis der Identität ist durch Vorlage einer elektronischen Bescheinigung (Zertifikat), mit der die in Übereinstimmung mit den §§ 3 bis 6 E-Government-Gesetz festgestellte Identität der Gesundheitsdiensteanbieterin/des Gesundheitsdiensteanbieters bestätigt wird, zu erbringen und zu prüfen. Das Zertifikat muss den gemäß § 7 Abs. 5 festgelegten Mindestanforderungen entsprechen.

(2) Der Nachweis gemäß Abs. 1 kann unterbleiben, wenn die Gesundheitsdiensteanbieterin/der Gesundheitsdiensteanbieter in den eHealth-Verzeichnisdienst eingetragen ist und dies von der/vom die Gesundheitsdaten weitergebenden oder den Zugriff darauf einräumenden Gesundheitsdiensteanbieterin/Gesundheitsdiensteanbieter durch Einsichtnahme in den eHealth-Verzeichnisdienst überprüft wird.

(3) Wird der elektronische Gesundheitsdatenaustausch ausschließlich programmgesteuert abgewickelt, ist – abweichend von Abs. 1 und 2 – der Nachweis der Identität mittels Serverzertifikaten zu erbringen und programmgesteuert zu prüfen. Serverzertifikate müssen den gemäß § 7 Abs. 5 festgelegten Mindestanforderungen entsprechen.

(4) Wird im Rahmen des elektronischen Gesundheitsdatenaustausches eine Datenanwendung direkt aus der Entfernung bedient und ist der Nachweis bzw. die Prüfung der Identität gemäß Abs. 1 oder 2 im Einzelfall aus technischen oder wirtschaftlichen Gründen unzweckmäßig, ist die Identität im Zuge der Implementierung der Zugangsberechtigung nachzuweisen und zu prüfen. Während des Bestehens der Zugangsberechtigung ist die Identität in periodischen Abständen zu prüfen.

(5) Für die Prüfung der Identität im Rahmen des elektronischen Gesundheitsdatenaustausches während einer bestehenden Zugangsberechtigung gemäß Abs. 4 haben Gesundheitsdiensteanbieterinnen/Gesundheitsdiensteanbieter den Grund, die Periodizität, die einen Monat nicht übersteigen darf, die bei der Prüfung einzuhaltende Vorgangsweise sowie die Mechanismen zur Sicherstellung und Kontrolle ihrer Durchführung zu dokumentieren.

§ 5

Text

Rolle

§ 5.

(1) Die Bundesministerin für Gesundheit und Frauen/Der Bundesminister für Gesundheit und Frauen hat die für den elektronischen Gesundheitsdatenaustausch in Betracht kommenden Rollen sowie jene Stellen, die die Zuordnung von Rollen zu einer Gesundheitsdiensteanbieterin/einem Gesundheitsdiensteanbieter authentisch bestätigen, mit Verordnung festzulegen.

(2) Der Nachweis der Rolle ist durch Vorlage einer elektronischen Bescheinigung (Zertifikat) einer gemäß Abs. 1 festgelegten Stelle zu erbringen und zu prüfen. Das Zertifikat muss den gemäß § 7 Abs. 5 festgelegten Mindestanforderungen entsprechen.

(3) Der Nachweis gemäß Abs. 2 kann unterbleiben, wenn die Gesundheitsdiensteanbieterin/der Gesundheitsdiensteanbieter in den eHealth-Verzeichnisdienst eingetragen ist und die Rolle von der/vom die Gesundheitsdaten weitergebenden oder den Zugriff darauf einräumenden Gesundheitsdiensteanbieterin/Gesundheitsdiensteanbieter durch Einsichtnahme in den eHealth-Verzeichnisdienst überprüft wird.

(4) Wird der elektronische Gesundheitsdatenaustausch ausschließlich programmgesteuert abgewickelt und ist der Nachweis und die Prüfung der Rolle im Einzelfall aus technischen oder wirtschaftlichen Gründen unzweckmäßig, hat der Nachweis bzw. die Prüfung der Rolle der Empfängerin/des Empfängers der Gesundheitsdaten vor der erstmaligen Durchführung des Gesundheitsdatenaustausches zu erfolgen. Im laufenden Betrieb ist die Rolle in periodischen Abständen zu prüfen.

(5) Wird im Rahmen des elektronischen Gesundheitsdatenaustausches eine Datenanwendung direkt aus der Entfernung bedient und ist der Nachweis und die Prüfung der Rolle im Einzelfall aus technischen oder wirtschaftlichen Gründen unzweckmäßig, hat der Nachweis und die Prüfung der Rolle vor der Implementierung der Zugangsberechtigung zur Datenanwendung zu erfolgen. Während des Bestehens der Zugangsberechtigung ist die Rolle in periodischen Abständen zu prüfen.

(6) Für die Prüfung der Rolle im Rahmen des elektronischen Gesundheitsdatenaustausches im laufenden Betrieb gemäß Abs. 4 oder während einer bestehenden Zugangsberechtigung gemäß Abs. 5 haben Gesundheitsdiensteanbieterinnen/Gesundheitsdiensteanbieter den Grund, die Periodizität, die einen Monat nicht übersteigen darf, die bei der Prüfung einzuhaltende Vorgangsweise sowie die Mechanismen zur Sicherstellung und Kontrolle ihrer Durchführung zu dokumentieren.

§ 6

Text

Vertraulichkeit

§ 6.

(1) Unbeschadet der für die Verwendung personenbezogener Daten nach dem DSG 2000 bestehenden Datensicherheitsvorschriften haben Gesundheitsdiensteanbieterinnen/Gesundheitsdiensteanbieter beim elektronischen Gesundheitsdatenaustausch über ein Medium, das nicht ihrem ausschließlichen Zugriff unterliegt, von ihnen verschiedene Dritte von der Kenntnisnahme von Gesundheitsdaten durch inhaltliche Verschlüsselung der Daten auszuschließen. Zur inhaltlichen Verschlüsselung sind kryptographische Verfahren einzusetzen, die nach dem jeweiligen Stand der Technik mit wirtschaftlich vernünftigem Aufwand nicht kompromittiert werden können.

(2) Die Verschlüsselung hat auf den Anlagen der Absenderin/des Absenders zu erfolgen, die Entschlüsselung auf den Anlagen der Empfängerin/des Empfängers der Gesundheitsdaten.

§ 7

Text

Integrität

§ 7.

(1) Die Integrität (Unverfälschtheit) von weiterzugebenden Gesundheitsdaten ist durch Verwendung elektronischer Signaturen, die den gemäß Abs. 5 festgelegten Mindestanforderungen entsprechen müssen, nachzuweisen bzw. zu prüfen.

(2) Die Verwendung elektronischer Signaturen gemäß Abs. 1 kann unterbleiben, wenn der elektronische Gesundheitsdatenaustausch ausschließlich programmgesteuert oder durch direkte Bedienung einer Datenanwendung aus der Entfernung erfolgt. Gegebenenfalls haben Gesundheitsdiensteanbieterinnen/Gesundheitsdiensteanbieter, die den programmgesteuerten Gesundheitsdatenaustausch durchführen sowie Gesundheitsdiensteanbieterinnen/Gesundheitsdiensteanbieter, die Rechte zur Bedienung ihrer Datenanwendung aus der Entfernung einräumen, die Gründe und die von ihnen getroffenen Maßnahmen, die ein vergleichbares Datensicherheitsniveau gewährleisten müssen sowie die Mechanismen zur Sicherstellung und Kontrolle ihrer Einhaltung zu dokumentieren.

(3) Das Anbringen elektronischer Signaturen kann automationsunterstützt erfolgen.

(4) Im Fall einer fehlgeschlagenen Signaturprüfung dürfen die empfangenen Gesundheitsdaten nicht verwendet werden.

(5) Die qualitativen Mindestanforderungen für Zertifikate gemäß den §§ 4 und 5, für die Verschlüsselung gemäß § 5 sowie für elektronische Signaturen sind von der Bundesministerin für Gesundheit und Frauen/vom Bundesminister für Gesundheit und Frauen mit Verordnung festzulegen.

§ 8

Text

Dokumentation

§ 8.

(1) Die von Gesundheitsdiensteanbieterinnen/Gesundheitsdiensteanbietern für den elektronischen Gesundheitsdatenaustausch in ihrem internen Bereich getroffenen Datensicherheitsmaßnahmen einschließlich wirksamer Mechanismen zur Kontrolle und Sicherstellung ihrer Einhaltung sind in den innerorganisatorischen Datenschutz- bzw. Datensicherheitsvorschriften gemäß den geltenden Vorschriften, insbesondere gemäß § 14 DSG 2000, zu dokumentieren.

(2) Gesundheitsdiensteanbieterinnen/Gesundheitsdiensteanbieter, die den Dokumentationspflichten gemäß § 4 Abs. 4, § 5 Abs. 4 oder Abs. 5 oder § 7 Abs. 2 unterliegen, haben der Bundesministerin für Gesundheit und Frauen/dem Bundesminister für Gesundheit und Frauen oder einer/einem von ihr/ihm beauftragten Dritten über die gemäß § 4 Abs. 5, § 5 Abs. 6 oder § 7 Abs. 2 zu dokumentierenden Regelungen sowie über die Art, den Umfang und die Ergebnisse der in diesem Zusammenhang durchgeführten Kontrollen auf Verlangen Auskunft zu geben.

§ 9

Text

3. Abschnitt
Informationsmanagement

eHealth-Verzeichnisdienst

§ 9.

(1) Die Bundesministerin für Gesundheit und Frauen/Der Bundesminister für Gesundheit und Frauen kann zur Förderung des elektronischen Gesundheitsdatenaustausches, zur Verbesserung des Zugangs zu Informationen über gesundheitsbezogene Dienste sowie zu Planungs- und Berichtszwecken einen eHealth-Verzeichnisdienst einrichten.

(2) Der eHealth-Verzeichnisdienst hat insbesondere für die in § 10 bezeichneten Daten eine nach unterschiedlichen Kriterien gestaltete Suchfunktion, die die Auffindbarkeit von Informationen über Gesundheitsdiensteanbieterinnen/Gesundheitsdiensteanbietern gewährleistet, zu enthalten.

(3) Der Zugriff auf die im eHealth-Verzeichnisdienst enthaltenen Daten ist auf die in den eHealth-Verzeichnisdienst aufgenommenen Gesundheitsdiensteanbieterinnen/Gesundheitsdiensteanbieter, die Registrierungsstellen sowie mit der Gesundheitsverwaltung betrauten Einrichtungen des öffentlichen Rechts einzuschränken. Bei der technischen Ausgestaltung der Suchfunktion sind darüber hinaus wirksame Mechanismen zur Verhinderung des Missbrauchs von Daten zu implementieren.

(4) Der eHealth-Verzeichnisdienst nimmt am Replikationsmechanismus mit anderen Verzeichnisdiensten nicht teil. Die Bundesministerin für Gesundheit und Frauen/Der Bundesminister für Gesundheit und Frauen kann jedoch mit Verordnung, die insbesondere den Zeitpunkt für den Beginn der Replikation sowie die dafür erforderlichen technischen Umstände zu enthalten hat, eine solche Teilnahme vorsehen.

(5) Im eHealth-Verzeichnisdienst eingetragene Gesundheitsdiensteanbieterinnen/Gesundheitsdiensteanbieter sowie Registrierungsstellen sind berechtigt, die im eHealth-Verzeichnisdienst gespeicherten Daten auf ihren Anlagen zu speichern (Spiegelung bzw. Replikation). Diese Daten dürfen ausschließlich zum Zweck des elektronischen Gesundheitsdatenaustausches und zur Sicherstellung der Aktualität und Richtigkeit des eHealth-Verzeichnisdienstes verwendet werden und sind regelmäßig, längstens jedoch innerhalb von zwei Wochen, zu aktualisieren.

(6) Die Bundesministerin für Gesundheit und Frauen/Der Bundesminister für Gesundheit und Frauen kann mit Verordnung nähere Bestimmungen über die in den eHealth-Verzeichnisdienst aufzunehmenden Daten, das Registrierungsverfahren sowie über die Führung des eHealth-Verzeichnisdienstes erlassen.

§ 10

Text

Inhalte

§ 10.

(1) In den eHealth-Verzeichnisdienst sind insbesondere folgende Daten aufzunehmen:

1.

Name oder Bezeichnung sowie eindeutige elektronische Identifikation (§ 8 E-GovG) der Gesundheitsdiensteanbieterin/des Gesundheitsdiensteanbieters,

2.

Angaben zur postalischen und elektronischen Erreichbarkeit,

3.

die eindeutige Kennung (OID) und den symbolischen Bezeichner,

4.

die Rolle(n) der Gesundheitsdiensteanbieterin/des Gesundheitsdiensteanbieters,

5.

Angaben zur geografischen Lokalisierung der Gesundheitsdiensteanbieterin/des Gesundheitsdiensteanbieters,

6.

die elektronische Adresse, an der die zur Verschlüsselung von Gesundheitsdaten erforderlichen Angaben aufgefunden werden können,

7.

die Bezeichnung jener Stelle(n), die die Zuordnung der Rolle(n) zum Gesundheitsdiensteanbieter bestätigt hat (haben),

8.

das Datum der Registrierung und der letzten Berichtigung sowie die Bezeichnung der Registrierungsstelle, die diese Verzeichniseintragungen durchgeführt hat.

(2) Die eindeutige Kennung (Abs. 1 Z 3) ist anhand der ÖNORM A 2642, „Kommunikation offener Systeme, Verfahren zur Registrierung von Informationsobjekten in Österreich“ vom 1. März 1997, aus der Kennung (OID) des Bundesministeriums für Gesundheit und Frauen abzuleiten.

(3) Ergänzend zu den gemäß Abs. 1 bereits aufgenommenen Daten können organisatorischen Untergliederungen einer Gesundheitsdiensteanbieterin/eines Gesundheitsdiensteanbieters in den eHealth-Verzeichnisdienst aufgenommen werden, wenn diese am elektronischen Gesundheitsdatenaustausch teilnehmen und die/der organisatorisch übergeordnete

Gesundheitsdiensteanbieterin/Gesundheitsdiensteanbieter zustimmt. Diesbezüglich sind in den eHealth-Verzeichnisdienst die Angaben gemäß Abs. 1 und 2 mit der Maßgabe aufzunehmen, dass die eindeutige Kennung der organisatorischen Untergliederung aus der Kennung der/des organisatorisch übergeordneten Gesundheitsdiensteanbieterin/Gesundheitsdiensteanbieters abzuleiten ist.

(4) In den Verzeichnisdienst können darüber hinaus zusätzliche Daten über die betreffende Gesundheitsdiensteanbieterin/den betreffenden Gesundheitsdiensteanbieter oder die von ihr/ihm angebotenen gesundheitsbezogenen elektronischen Dienste aufgenommen werden. Diese Zusatzinformationen müssen sich auf die nähere Beschreibung ihres/seines rollenspezifischen Dienstleistungsangebots beziehen oder Informationen darstellen, die für das Auffinden oder die Inanspruchnahme eines elektronischen Dienstes erforderlich sind.

§ 11

Text

Aufnahme

§ 11.

(1) Die Aufnahme in den eHealth-Verzeichnisdienst erfolgt ausschließlich auf Antrag einer Gesundheitsdiensteanbieterin/eines Gesundheitsdiensteanbieters und ist kostenlos. Sofern der Gesundheitsdiensteanbieterin/dem Gesundheitsdiensteanbieter Kosten für die Erbringung allenfalls geforderter Nachweise erwachsen, hat sie/er diese selbst zu tragen.

(2) Die Angaben der Gesundheitsdiensteanbieterin/des Gesundheitsdiensteanbieters unterliegen der Wahrheitspflicht. Diese gilt auch für Umstände, die eine spätere Berichtigung des eHealth-Verzeichnisdienstes erfordern.

(3) Der Antrag der Gesundheitsdiensteanbieterin/des Gesundheitsdiensteanbieters hat die in § 10 Abs. 1 Z 1, Z 2, Z 4 und Z 6 bezeichneten Daten zu enthalten. Ferner hat die Gesundheitsdiensteanbieterin/der Gesundheitsdiensteanbieter den gemäß § 10 Abs. 2 vorgesehenen symbolischen Bezeichner anzugeben, wenn dieser von der Bezeichnung gemäß § 10 Abs. 1 Z 1 abweicht. Gesundheitsdiensteanbieterinnen/Gesundheitsdiensteanbieter, die ihre rollenspezifischen Gesundheitsdienstleistungen nicht im Inland erbringen, haben darüber hinaus jene Stelle anzugeben, die nach den für sie geltenden Rechtsvorschriften zur Bestätigung der Rolle autorisiert ist.

(4) Kann die Gesundheitsdiensteanbieterin/der Gesundheitsdiensteanbieter ihre/seine Rolle anhand der Verordnung gemäß § 5 Abs. 1 nicht bestimmen, hat sie/er die für die Ermittlung der Registrierungsstelle zweckdienlichen Umstände (Berufsbezeichnung, rechtliche Stellung, Beschreibung der von ihr/ihm erbrachten gesundheitsbezogenen Dienstleistungen) zu erläutern.

(5) Berichtigungs- oder Ergänzungsanträge haben, sofern sie nicht auf Veranlassung durch die Registrierungsstelle durchgeführt werden, neben den zu berichtigenden Daten die zugewiesene Kennung (OID) zu enthalten.

§ 12

Text

Registrierungsverfahren

§ 12.

(1) Die Registrierungsstelle hat die Angaben der Gesundheitsdiensteanbieterin/des Gesundheitsdiensteanbieters auf Vollständigkeit und Plausibilität in geeigneter Weise zu überprüfen und sich von ihrer/seiner Identität zu überzeugen. Sofern sie nicht zur authentischen Zuordnung der angegebenen Rolle befugt ist, hat sie die Bestätigung der befugten Stelle anzufordern oder deren Vorlage von der Gesundheitsdiensteanbieterin/vom Gesundheitsdiensteanbieter zu verlangen. Sind die Angaben unvollständig oder fehlerhaft, ist die Gesundheitsdiensteanbieterin/der Gesundheitsdiensteanbieter unter Angabe der Gründe zur Verbesserung aufzufordern. Ist der Verbesserungsversuch erfolglos, ist die Aufnahme in den eHealth-Verzeichnisdienst (Registrierung) formlos abzulehnen.

(2) Bei der Registrierung von Gesundheitsdiensteanbieterinnen/Gesundheitsdiensteanbietern, die ihre gesundheitsbezogenen Dienstleistungen nicht im Inland erbringen, hat die Registrierungsstelle die Gleichwertigung der angegebenen Rolle mit einer in der Verordnung gemäß § 5 Abs. 1 festgelegten Rolle zu prüfen und die gegebenenfalls erforderlichen Erhebungen durchzuführen.

(3) Gelangt die Registrierungsstelle trotz ergänzender Erhebungen gemäß Abs. 2 zur Auffassung, dass die Voraussetzungen für die Registrierung nicht zweifelsfrei gegeben sind, hat sie die Registrierung an die Bundesministerin für Gesundheit und Frauen/den Bundesminister für Gesundheit und Frauen abzutreten. Die Bundesministerin für Gesundheit und Frauen/Der Bundesminister für Gesundheit und Frauen hat nach Prüfung der Unterlagen und allfälligen weiteren Erhebungen die Registrierung durchzuführen oder mangels Vorliegens der Voraussetzungen formlos abzulehnen.

(4) Die Registrierung ist nach Ablauf von drei Jahren ab Registrierung oder ab der letzten Berichtigung einer Registrierung zu sperren, wenn nicht innerhalb dieses Zeitraums entweder von der Gesundheitsdiensteanbieterin/vom Gesundheitsdiensteanbieter oder von der Registrierungsstelle aufgrund eigener Wahrnehmungen eine Aktualisierung des Datenbestandes erfolgt ist. Nach Ablauf von weiteren zwei Jahren ist die Registrierung zu löschen, wenn auch innerhalb dieses Zeitraums keine Aktualisierung erfolgt ist. Die Registrierungsstelle hat ferner aufgrund eines entsprechenden Antrages einer Gesundheitsdiensteanbieterin/eines Gesundheitsdiensteanbieters die Registrierung unverzüglich zu löschen.

(5) Die Gesundheitsdiensteanbieterin/Der Gesundheitsdiensteanbieter ist von der Registrierungsstelle über die erfolgte Registrierung oder über die Sperre unter Angabe der für sie/ihn vergebenen Kennung (OID) sowie unter Anschluss einer Information über die Verpflichtung zur Aktualisierung des Datenbestandes bzw. die mit der Unterlassung verbundenen Folgen formlos zu verständigen. Ferner ist die Gesundheitsdiensteanbieterin/der Gesundheitsdiensteanbieter von der Registrierungsstelle über eine antragsgemäße Löschung formlos zu informieren.

§ 13

Text

Registrierungsstellen

§ 13.

(1) Die Bundesministerin für Gesundheit und Frauen/Der Bundesminister für Gesundheit und Frauen kann auf Antrag natürliche oder juristische Personen vertraglich ermächtigen, Registrierungen im eHealth-Verzeichnisdienst durchzuführen. Der Antrag kann auf einen regionalen oder rollenspezifischen Tätigkeitsbereich als Registrierungsstelle eingeschränkt werden. Eine Ermächtigung ist nur zulässig, wenn die Antragstellerin/der Antragsteller ihre/seine personelle und technische Leistungsfähigkeit zur Durchführung der Registrierungen und Berichtigungen glaubhaft macht und sich verpflichtet

1.

eine allfällige Beendigung der Registrierungstätigkeit der Bundesministerin für Gesundheit und Frauen/dem Bundesminister für Gesundheit und Frauen drei Monate im Vorhinein anzuzeigen und

2.

die ihr/ihm als Registrierungsstelle obliegenden Aufgaben kostenlos zu erbringen.

(2) In der Ermächtigung hat die Bundesministerin für Gesundheit und Frauen/der Bundesminister für Gesundheit und Frauen den Umfang der Berechtigungen der Antragstellerin/des Antragstellers für die Tätigkeit als Registrierungsstelle zu bezeichnen.

(3) Die Bundesministerin für Gesundheit und Frauen/Der Bundesminister für Gesundheit und Frauen hat die Registrierungsstellen sowie den Umfang ihrer Ermächtigung auf geeignete Weise zu veröffentlichen.

§ 14

Text

Monitoring

§ 14.

(1) Die Bundesministerin für Gesundheit und Frauen/Der Bundesminister für Gesundheit und Frauen hat die Nutzung von Informations- und Kommunikationstechnologien unter Bedachtnahme auf die Anforderungen des europäischen Umfelds zu beobachten und ihre Auswirkungen im österreichischen Gesundheitswesen zu analysieren. Hiezu ist ein bundesweites und Sektoren übergreifendes Berichtswesen einzurichten, das auf der Basis standardisierter Vorgaben insbesondere Auskünfte über

1.

die Verfügbarkeit von technischer Infrastruktur einschließlich der Kommunikationsinfrastruktur,

2.

die Art und den Umfang der eingesetzten gesundheitstelematischen Anwendungen und Verfahren,

3.

die Art und das Volumen des elektronischen Gesundheitsdatenaustausches und

4.

die ökonomischen Rahmenbedingungen der Gesundheitstelematik ermöglicht.

Die Art und der Umfang der damit verbundenen Erhebungen können auf Grund rollenspezifischer Besonderheiten mit unterschiedlichem Detaillierungsgrad festgelegt werden.

(2) Zur Gewährleistung eines zweckmäßigen Berichtswesens ist die Bundesministerin für Gesundheit und Frauen/der Bundesminister für Gesundheit und Frauen berechtigt, die im eHealth-Verzeichnisdienst gespeicherten Daten auszuwerten und zu verwenden.

(3) Die gemäß Abs. 1 und 2 erhobenen Daten sind in einem Bericht über den Status der Gesundheitstelematik in Österreich zusammenzufassen. Die Bundesministerin für Gesundheit und Frauen/Der Bundesminister für Gesundheit und Frauen ist berechtigt, die Ergebnisse dieses Berichts auch für die Berichterstattung an Einrichtungen der Europäischen Union oder an andere internationale Organisationen zu verwenden.

(4) Die Bundesministerin für Gesundheit und Frauen/Der Bundesminister für Gesundheit und Frauen kann ferner den Einsatz von Informations- und Kommunikationstechnologien im Gesundheitswesen, insbesondere hinsichtlich der damit verbundenen gesellschaftspolitischen Implikationen, ihres Einflusses auf die Versorgungsqualität der Bevölkerung und hinsichtlich ihrer volkswirtschaftlichen Auswirkungen (Einfluss auf Effektivität und Effizienz des Gesundheitswesens), evaluieren. Die Evaluierungsmaßnahmen können auf im Einzelfall festzulegende Fragestellungen eingeschränkt werden.

(5) Die Gesundheitsdiensteanbieterinnen/Gesundheitsdiensteanbieter sowie die Einrichtungen der Gesundheitsverwaltung sind verpflichtet, den Berichtspflichten gemäß Abs. 1 im festgelegten Umfang bzw. in der festgelegten Periodizität zu entsprechen und die im Rahmen von Evaluierungsmaßnahmen gemäß Abs. 4 erforderlichen Auskünfte zu erteilen oder die verlangten Unterlagen zur Verfügung zu stellen.

§ 15

Text

Qualitätssicherung gesundheitsbezogener Web-Informationen

§ 15.

(1) Erachtet die Bundesministerin für Gesundheit und Frauen/der Bundesminister für Gesundheit und Frauen einen diesbezüglichen Bedarf als gegeben, kann sie/er als Orientierungshilfe für Informationssuchende Leitlinien für die Beurteilung der Qualität von im Internet angebotenen gesundheitsbezogenen Informationen veröffentlichen.

(2) Diese Leitlinien haben neben der Darstellung der Qualitätskriterien die Einrichtung eines Beschwerdemanagement vorzusehen. Die Leitlinien sowie allfällige Ergebnisse im Rahmen des Beschwerdemanagement sind im Informationsdienst zu veröffentlichen.

(3) Vom Anwendungsbereich der Leitlinien auszunehmen sind gesundheitsbezogene Informationsangebote, die anhand vergleichbarer Qualitätskriterien zertifiziert (qualitätsgeprüft) sind. Die in Betracht kommenden Qualitätskriterien sowie die diesbezüglichen Dienstleisterinnen/Dienstleister sind auf geeignete Weise zu veröffentlichen.

§ 16

Text

Informationsdienst

§ 16.

(1) Die Bundesministerin für Gesundheit und Frauen/Der Bundesminister für Gesundheit und Frauen kann zur Verbesserung der Informationsgrundlagen über die Gesundheitstelematik einen öffentlich zugänglichen, internetgestützten Informationsdienst einrichten.

(2) In den Informationsdienst können insbesondere Darstellungen über gesundheitstelematische Verfahren oder Methoden (beste Praktiken) sowie weiterführende Hinweise dazu aufgenommen werden, wenn diese Informationen geeignet erscheinen, den Informations- oder Wissensstand über die Verwendung von Informations- und Kommunikationstechnologien im Gesundheitswesen zu verbessern.

(3) In den Informationsdienst können ferner Informationen über die von Gesundheitsdiensteanbieterinnen/Gesundheitsdiensteanbietern entwickelten oder von anerkannten Standardisierungseinrichtungen zur Verwendung empfohlene Informationsobjekte (zB Kodierungsschemata bzw. Code-Listen), Beschreibungen standardisierter technischer Verfahren oder Kommunikationsdienste aufgenommen werden.

(4) Wird ein Informationsdienst eingerichtet, sind in ihm die Ergebnisse des Berichtswesens und der Evaluierungen gemäß § 14 sowie die Berichte an Einrichtungen der Europäischen Union oder internationale Organisationen aufzunehmen. Andernfalls sind diese Unterlagen in anderer geeigneter elektronischer Form zu veröffentlichen.

(5) Enthalten Veröffentlichungen im Informationsdienst personenbezogene Daten oder werden dadurch sonstige Rechte, wie etwa Urheberrechte, berührt, bedarf die Veröffentlichung der Zustimmung der/des Betroffenen oder der Inhaberin/des Inhabers dieser Rechte.

§ 17

Text

4. Abschnitt
Schlussbestimmungen

Verwaltungsstrafbestimmungen

§ 17.

(1) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 5.000 Euro zu ahnden ist, wer beim elektronischen Gesundheitsdatenaustausch

1.

es entgegen der Bestimmungen der §§ 3 bis 5 unterlässt, die Nachweise der Identität und der Rolle zu erbringen oder diese Nachweise zu prüfen oder

2.

entgegen der Bestimmungen des § 6 die Verschlüsselung von Gesundheitsdaten unterlässt oder hiezu Methoden und Verfahren verwendet, die den qualitativen Anforderungen gemäß § 7 Abs. 5 nicht entsprechen oder

3.

entgegen der Bestimmungen des § 7 keine elektronische Signatur verwendet oder eine elektronische Signatur verwendet, die den qualitativen Anforderungen nicht entspricht oder Gesundheitsdaten trotz fehlgeschlagener Signaturprüfung weitergibt oder verwendet.

(2) Eine Verwaltungsübertretung gemäß Abs. 1 ist nicht strafbar, wenn die Tat zur Abwendung einer gegenwärtigen oder unmittelbar drohenden Gefahr für das Leben einer/eines Dritten oder zur Abwendung einer gegenwärtigen oder unmittelbar drohenden Gefahr einer erheblichen Beeinträchtigung der physischen oder psychischen Integrität einer/eines Dritten begangen wurde.

(3) Sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 50.000 Euro zu ahnden ist, wer entgegen der Bestimmung des § 9 Abs. 5 Daten oder Teile dieser Daten für andere Zwecke verwendet.

(4) Zuständig für Entscheidungen nach Abs. 1 bis 3 ist jene Behörde, in deren Sprengel die Verwaltungsübertretung begangen wurde.

§ 18

Text

In-Kraft-Treten

§ 18.

(1) Dieses Bundesgesetz tritt mit 1. Jänner 2005 in Kraft.

(2) Die §§ 17 Abs. 1 und 19 Abs. 2 in der Fassung BGBl. I Nr. 23/2008 treten mit 1. Jänner 2008 in Kraft.

(3) Die §§ 17 Abs. 1 und 19 Abs. 2 in der Fassung BGBl. I Nr. 36/2009 treten mit 1. Jänner 2009 in Kraft.

(4) Die §§ 17 Abs. 1 und 19 in der Fassung des Bundesgesetzes, BGBl. I Nr. 103/2010, treten mit 1. Jänner 2011 in Kraft.

§ 19

Text

Übergangsbestimmungen

§ 19.

(1) Sind Nachweis oder Prüfung von Identität, Rollen oder Integrität nach den Bestimmungen des 2. Abschnitts, insbesondere mangels vorhandener technischer Infrastruktur nicht zumutbar, dürfen Gesundheitsdaten nur weitergegeben werden, wenn zumindest die Identitäten und maßgeblichen Rollen der an der Weitergabe beteiligten Gesundheitsdiensteanbieter gegenseitig durch

1.

persönlichen Kontakt oder

2.

telefonischen Kontakt oder

3.

Vertragsbestimmungen oder

4.

Abfrage elektronischer Verzeichnisse

a)

der Österreichischen Ärztekammer oder

b)

der Österreichischen Zahnärztekammer oder

c)

des Österreichischen Hebammengremiums oder

d)

der Österreichischen Apothekerkammer oder

e)

des Hauptverbandes der österreichischen Sozialversicherungsträger oder

f)

des Bundesministers für Gesundheit

bestätigt sind.

(2) In den Fällen des Abs. 1 Z 1 und 2 sind vor der erstmaligen Weitergabe der Gesundheitsdaten zwischen den beteiligten Gesundheitsdiensteanbietern

1.

Datum und Art der Kontaktaufnahme,

2.

die vollständigen Namen und maßgeblichen Rollen der an der Weitergabe beteiligten Gesundheitsdiensteanbieter,

3.

die Angaben zur Erreichbarkeit der Gesundheitsdiensteanbieter sowie

4.

die an der Kontaktaufnahme beteiligten natürlichen Personen

zu dokumentieren. Die Angaben zur Erreichbarkeit sind laufend aktuell zu halten.

(3) Die Weitergabe von Gesundheitsdaten darf unter den Voraussetzungen des Abs. 1 Z 1 bis 3 ausnahmsweise auch per Fax erfolgen, wenn

1.

die Faxanschlüsse (einschließlich Ausdruckmöglichkeiten zu Faxanschlüssen, die in EDV-Anlagen installiert sind) vor unbefugtem Zugang und Gebrauch geschützt sind,

2.

die Rufnummern, insbesondere die verspeicherten Rufnummern, regelmäßig, insbesondere nach Veränderungen der technischen Einrichtung sowie nach der Neuinstallation von Faxgeräten, nachweislich auf ihre Aktualität geprüft werden,

3.

automatische Weiterleitungen, außer an die jeweiligen Gesundheitsdiensteanbieter selbst, deaktiviert sind,

4.

die vom Gerät unterstützten Sicherheitsmechanismen genützt werden und

5.

allenfalls verfügbare Fernwartungsfunktionen nur für die vereinbarte Dauer der Fernwartung aktiviert sind.

(4) Die erleichterten Bedingungen nach Abs. 1 und 3 können nicht in Anspruch genommen werden, wenn die Verwendung von Gesundheitsdaten entsprechend den Bestimmungen des 2. Abschnitts mit Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit (§ 14 Abs. 1 DSG 2000) zumutbar ist.

(5) Der Bundesminister für Gesundheit ist ermächtigt, nach Anhörung der jeweiligen gesetzlichen oder allfälligen sonstigen betroffenen Interessensvertretungen, unter Berücksichtigung des Abs. 4, mit Verordnung für bestimmte Gesundheitsdiensteanbieter jeweils den Zeitpunkt festzulegen, ab dem die Weitergabe von Gesundheitsdaten unter den erleichterten Bedingungen des Abs. 1 und 3 jedenfalls nicht mehr zulässig ist.

(6) Bei der Weitergabe von Gesundheitsdaten gelten die erleichterten Bedingungen nach Abs. 1 und 3 für alle beteiligten Gesundheitsdiensteanbieter, wenn für zumindest einen der beteiligten Gesundheitsdiensteanbieter die erleichterten Bedingungen nach Abs. 1 und 3 gelten.

(7) Bis zum 31. Dezember 2015 ist § 6 nicht auf die Weitergabe von Gesundheitsdaten per Funk zum Zwecke der Einsatzorganisation bei Rettungsdiensten anzuwenden.

§ 20

Text

Erlassung und In-Kraft-Treten von Verordnungen

§ 20.

Verordnungen auf Grund dieses Bundesgesetzes in seiner jeweiligen Fassung dürfen bereits von dem Tag an erlassen werden, der der Kundmachung der durchzuführenden Gesetzesbestimmungen folgt; sie dürfen jedoch nicht vor den durchzuführenden Gesetzesbestimmungen in Kraft treten.

§ 21

Text

Verweisungen

§ 21.

Soweit in diesem Bundesgesetz auf Bestimmungen anderer Bundesgesetze verwiesen wird, sind diese in der jeweils geltenden Fassung anzuwenden.

§ 22

Text

Vollziehung

§ 22.

Mit der Vollziehung dieses Bundesgesetzes ist die Bundesministerin für Gesundheit und Frauen/der Bundesminister für Gesundheit und Frauen betraut.