§ 6c.

(1) Der Dachverband hat

1. 1. die von den Leistungserbringerinnen und Leistungserbringern aus dem extramuralen ambulanten Bereich mit Kassenverträgen auf Grundlage der Honorarordnungen der Träger der Sozialversicherung und der Krankenfürsorgeanstalten dokumentierten medizinischen Leistungen auf einen von der/vom für das Gesundheitswesen zuständigen Bundesministerin/Bundesminister herausgegebenen Leistungskatalog überzuleiten,
2. 2. als Auftragsverarbeiter der Bundesministerin/des Bundesministers für Gesundheit und Frauen im Wege der bei ihm eingerichteten Pseudonymisierungsstelle (gemäß § 31 Abs. 4 Z 10 Allgemeines Sozialversicherungsgesetz, BGBl. Nr. 189/1955, in der jeweils geltenden Fassung) innerhalb einer den Anforderungen des Datenschutzes und der Datensicherheit entsprechenden technischen Infrastruktur mittels des von der Bundesministerin/vom Bundesminister für Gesundheit und Frauen zur Verfügung gestellten Hardware Security Moduls (HSM)

1. a) aus dem bPK GHGD der Patientin/des Patienten ein nicht rückrechenbares Pseudonym,
2. b) für den extramuralen ambulanten Bereich aus dem Objektidentifikator (OID) des/der Leistungserbringers/Leistungserbringerin im eHealth-Verzeichnisdienst (eHVD) durch Einweg-Ableitung eine nicht rückrechenbare LeistungserbringerID,
3. c) für den extramuralen ambulanten Bereich aus der laufenden Abrechnungs- bzw. Laufnummer durch Einweg-Ableitung eine nicht rückrechenbare DatensatzID und
4. d) für den intramuralen ambulanten Bereich aus der Aufnahmezahl durch Einweg-Ableitung eine nicht rückrechenbare DatensatzID

1. zu generieren und zu verschlüsseln.

1. 3. Der Dachverband hat weiters als Auftragsverarbeiter der/des für das Gesundheitswesen zuständigen Bundesministerin/Bundesministers für Gesundheit und Frauen folgende Daten an die/den für das Gesundheitswesen zuständigen Bundesministerin/Bundesminister zu übermitteln:

1. a) verschlüsseltes bPK GH der Patientinnen/Patienten, das einem Bereich zugeordnet ist, in dem der Dachverband nicht zur Vollziehung berufen ist,
2. b) verschlüsseltes bPK SV der Patientinnen/Patienten, das einem Bereich zugeordnet ist, in dem die Bundesministerin/der Bundesminister für Gesundheit und Frauen nicht zur Vollziehung berufen ist,
3. c) verschlüsseltes bPK AS der Patientinnen/Patienten, das einem Bereich zugeordnet ist, in dem die Bundesministerin/der Bundesminister für Gesundheit und Frauen nicht zur Vollziehung berufen ist,
4. d) Nummer des selbständigen Ambulatoriums, sofern es sich bei einem/einer Leistungserbringer/in um eine nicht-bettenführende Krankenanstalt handelt.

1. 4. Der Dachverband hat weiters zu jedem Kontakt einer Patientin/eines Patienten, der bei einer/einem ärztlicher/ärztlichem Leistungserbringerin/Leistungserbringer aus dem extramuralen ambulanten Bereich erfolgte, eine Diagnosendokumentation gemäß § 6 Abs. 1 an die/den für das Gesundheitswesen zuständigen Bundesministerin/Bundesminister zu übermitteln.

(2) Der Dachverband hat der/dem für das Gesundheitswesen zuständigen Bundesministerin/Bundesminister die Daten gemäß Abs. 1 für den extramuralen ambulanten Bereich für das erste Quartal bis 31. Oktober des laufenden Jahres, für das erste Halbjahr bis 31. Jänner des folgenden Jahres, für die ersten drei Quartale bis 30. April des folgenden Jahres sowie für das vorangegangene Kalenderjahr bis zum 31. Juli des laufenden Jahres zu übermitteln. Bei der Übermittlung der genannten Daten für den extramuralen ambulanten Bereich ohne Kassenvertrag fungiert der Dachverband als Auftragsverarbeiter der/des für das Gesundheitswesen zuständigen Bundesministerin/Bundesministers. Der Dachverband hat der/dem für das Gesundheitswesen zuständigen Bundesministerin/Bundesminister gemäß Abs. 1 für den intramuralen ambulanten Bereich für das erste Quartal bis 30. Juni des laufenden Jahres, für das erste Halbjahr bis 30. September des laufenden Jahres, für die ersten drei Quartale bis 31. Dezember des laufenden Jahres sowie für das vorangegangene Kalenderjahr bis 31. März des laufenden Jahres zu übermitteln. Für die Zuordnung der Datensätze ist jeweils das Kontaktdatum (Ereignisdatum) maßgeblich.

(3) Der technische Prozess zur Generierung der Pseudonyme ist so zu gestalten, dass keine Möglichkeit des Zugriffes auf die automatisierten Verarbeitungen im HSM während des Pseudonymisierungsvorgangs gemäß Abs. 1 Z 2 besteht.

(4) Die erstmalige Konfiguration des HSM hat in den Räumlichkeiten der beim Hauptverband (datenschutzrechtlicher Auftragsverarbeiter) eingerichteten Pseudonymisierungsstelle unter Anwesenheit einer Vertreterin/eines Vertreters des datenschutzrechtlichen Verantwortlichen (Bundesministeriums für Gesundheit und Frauen) und unter der Aufsicht einer Bestätigungsstelle gemäß § 7 SVG zu erfolgen. Der gesamte Vorgang ist zu protokollieren.

(5) Nach der erstmaligen Konfiguration gemäß Abs. 4 ist die Sicherungskopie der verwendeten kryptografischen Schlüssel an eine Bestätigungsstelle gemäß § 7 SVG zu übergeben und von dieser sicher und geheim zu verwahren. Die Sicherungskopie darf ausschließlich zu folgenden Zwecken und nur mit Zustimmung des Bundesministeriums für Gesundheit und Frauen verwendet werden:

1. 1. für die Wiederherstellung der Konfiguration eines HSM im Störungsfall sowie
2. 2. für Konfigurationen zusätzlicher erforderlicher HSM (Erweiterungsfall).

• Diese Konfigurationen haben in den Räumlichkeiten der beim Dachverband eingerichteten Pseudonymisierungsstelle unter Anwesenheit einer Vertreterin/eines Vertreters des Bundesministeriums für Gesundheit und Frauen und unter der Aufsicht einer Bestätigungsstelle gemäß § 7 SVG zu erfolgen. Der gesamte Vorgang ist zu protokollieren.

(6) Die Mitarbeiterinnen und Mitarbeiter der Pseudonymisierungsstelle sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Tatsachen verpflichtet. Die Pflicht besteht auch nach Beendigung ihrer Tätigkeit. Insbesondere ist für die Einhaltung der Datenverarbeitungsgrundsätze gemäß Art. 5 der DSGVO und die Sicherheit der Verarbeitung gemäß Art. 32 der DSGVO zu sorgen.

(7) Die Mitarbeiterinnen und Mitarbeiter der Pseudonymisierungsstelle müssen über ihre nach den innerorganisatorischen Datenschutzvorschriften, einschließlich der Datensicherheitsvorschriften, bestehenden Pflichten belehrt werden. Über die Verschwiegenheitsverpflichtung sind die Mitarbeiterinnen und Mitarbeiter vor Aufnahme ihrer Tätigkeit nachweislich zu informieren.

(8) Die Einhaltung des Datenschutzes im Rahmen der Pseudonymisierung und der damit zusammenhängenden Prozesse muss durch einen/eine unabhängigen/unabhängige externen/externe Gutachter/Gutachterin bei regelmäßigen Audits geprüft und bestätigt werden. Für die Durchführung der Audits gilt Folgendes:

1. 1. Ein erstes Audit ist im Zuge der erstmaligen Konfiguration des HSM und weitere Audits sind regelmäßig, zumindest aber alle zwei Jahre durchzuführen.
2. 2. Die beim Dachverband eingerichtete Pseudonymisierungsstelle hat die Durchführung der Audits durch eigenes Personal zu unterstützen und dafür Sorge zu tragen, dass der/die externe Gutachter/Gutachterin Zugriff auf alle für die Durchführung der Audits notwendigen Informationen erhält.
3. 3. Die Auswahl und die Beauftragung des/der externen Gutachters/Gutachterin erfolgen durch das Bundesministerium für Gesundheit und Frauen.
4. 4. Der/Die externe Gutachter/Gutachterin darf vom verwendeten kryptografischen Schlüssel keine Kenntnis erlangen.

Zuletzt aktualisiert am

04.01.2024

Gesetzesnummer

10011011

Dokumentnummer

NOR40258950