Einrichtung und Betrieb des Suchtmittelregisters und des bundesweiten Substitutionsregisters
§ 25.
(1) Die Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz hat das Suchtmittelregister und das bundesweite Substitutionsregister jeweils als elektronisches Register einzurichten und zu betreiben und ist Verantwortliche gemäß Art. 4 Z 7 DSGVO dieser Register. Das Bundesministerium für Gesundheit hat im Hinblick auf die im § 24 Z 1 bis 2 genannten Zwecke
- 1. die nach § 24a Abs. 2 und 2a sowie Abs. 3 Z 1 bis 4 und 6 bis 8 gemeldeten Daten in das Suchtmittelregister,
- 2. die nach § 24b Abs. 1 gemeldeten Daten in das bundesweite Substitutionsregister
- einzutragen und für Zwecke der Auskunfterteilung gemäß § 26 evident zu halten. Soweit Daten ausschließlich für statistische und wissenschaftliche Untersuchungen erforderlich sind (§ 24a Abs. 3 Z 5, § 24b Abs. 2), sind diese unmittelbar nach erfolgter Meldung in das Statistik-Register (Abs. 14) überzuführen und ist jeder direkte oder indirekte Personenbezug aus dem Suchtmittelregister oder dem bundesweiten Substitutionsregister zu löschen.
(2) Die Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz kann das Suchtmittelregister oder das bundesweite Substitutionsregister jeweils in Form einer gemeinsamen Verantwortung gemäß Art. 4 Z 7 in Verbindung mit Art. 26 Abs. 1 DSGVO einrichten und betreiben und ist auch in diesem Fall Verantwortliche gemäß Art. 4 Z 7 DSGVO. Im Fall einer solchen gemeinsamen Verantwortung sind weitere Verantwortliche jene Behörden, die dem Register Daten online übermitteln oder daraus personenbezogene Daten online abfragen. Das sind
- 1. hinsichtlich des Suchtmittelregisters
- a) die Bezirksverwaltungsbehörden als Verwaltungsstrafbehörden bezüglich der Daten gemäß § 24a Abs. 2a, und
- b) die Bezirksverwaltungsbehörden als Gesundheitsbehörden bezüglich der Daten gemäß § 24a Abs. 2 und 3,
- 2. hinsichtlich des bundesweiten Substitutionsregisters die Bezirksverwaltungsbehörden als Gesundheitsbehörden bezüglich der Daten gemäß § 24b.
- Die Erfüllung von Informations-, Auskunfts-, Berichtigungs- und Löschungspflichten sowie sonstiger Pflichten nach der DSGVO obliegt neben der Bundesministerin für Arbeit, Soziales, Gesundheit und Konsumentenschutz jedem Verantwortlichen hinsichtlich jener Daten, die im Zusammenhang mit den von ihm geführten Verfahren oder den von ihm gesetzten Maßnahmen verarbeitet wurden.
(3) Das Bundesministerium für Gesundheit kann die Online-Übermittlung der Daten
- 1. gemäß § 24a Abs. 2a durch die meldepflichtigen Bezirksverwaltungsbehörden als Verwaltungsstrafbehörden,
- 2. gemäß § 24a Abs. 3 oder § 24b durch die meldepflichtigen Bezirksverwaltungsbehörden als Gesundheitsbehörden bestimmen.
(4) Das Bundesministerium für Gesundheit kann bestimmen, dass die Übermittlung von Daten aus den in Abs. 1 genannten Registern an die Bezirksverwaltungsbehörden als Gesundheitsbehörden (§ 26 Abs. 2 Z 1, Abs. 4) dadurch erfolgt, dass den Behörden der Online-Zugriff auf die im betreffenden Register gespeicherten Daten gewährt wird (Online-Abfrage).
(5) Der Online-Zugriff darf den Bezirksverwaltungsbehörden als Gesundheitsbehörden auf das Suchtmittelregister oder auf das bundesweite Substitutionsregister nur unter der Voraussetzung eingeräumt werden, dass die betreffende Behörde
- 1. sämtliche Anforderungen an die Identifikation, Authentifizierung und Autorisierung (Abs. 6) der Person, die die online Daten übermitteln oder abfragen soll, nachgewiesen hat,
- 2. den Namen und die Rolle der Person, die online Daten übermittelt oder abfragt, und den Zeitpunkt des Online-Vorgangs mitprotokolliert,
- 3. die Online-Übermittlung oder Online-Abfrage erst nach eindeutiger Identifikation jener Person, deren Daten übermittelt oder abgefragt werden, auf Grund eines bereichsspezifischen Personenkennzeichens (§§ 9 und 13 Abs. 2 des EGovernment-Gesetzes, BGBl. I Nr. 10/2004) erfolgt.
(6) Im Sinne des Abs. 5 Z 1 ist
- 1. Identifikation der Vorgang gemäß § 2 Abs. Z 4 E-GovG,
- 2. Authentifizierung der Vorgang gemäß § 2 Abs. Z 6 E-GovG,
- 3. Autorisierung das von der auf das Suchtmittelregister oder das bundesweite Substitutionsregister zugriffsberechtigten Behörde oder Stelle, die der zugreifenden Person Zugriffsrechte auf bestimmte Datenanwendungen einräumt, für den Zugriff auf das betreffende Register bestätigte Rechteprofil der zugreifenden Person.
(7) Der Bundesminister oder die Bundesministerin für Gesundheit hat sicherzustellen, dass
- 1. alle durchgeführten Verarbeitungsvorgänge, wie insbesondere Dateneintragungen, änderungen, –zugriffe und abfragen, nachvollziehbar sind,
- 2. ein Zugriff unbefugter Personen auf die Register und die darin erfassten Daten ausgeschlossen ist,
- 3. Zugriffsberechtigungen zu den Registern nur in jenem Umfang gewährt werden, als dies für Zwecke der Übermittlung von Daten oder des Zugriffs auf Daten notwendig ist, und
- 4. Rollen festzulegen die sicherstellen, dass die auf das Register zugreifende Person nur zu den für den Zweck des Datenzugriffs relevanten Teilen des Registers Zugang erlangt.
(8) Personen, die auf personenbezogene Daten zugreifen, haben sich von der Übereinstimmung zwischen der Person, über die Daten abgefragt werden sollen, und der Person, auf deren Daten im jeweiligen Register zugegriffen wird, zu überzeugen.
(Anm.: Abs. 9 aufgehoben durch BGBl. I Nr. 144/2015)
(10) Das Bundesministerium für Gesundheit darf auf die direkt personenbezogenen Daten des Suchtmittelregisters und des bundesweiten Substitutionsregisters zugreifen, soweit dies
- 1. zur Erfüllung der Informations-, Auskunfts-, Berichtigungs- und Löschungspflichten sowie sonstiger Pflichten nach der DSGVO erforderlich ist,
- 2. zur Datenübermittlung im Rahmen eines Ersuchens der gemäß § 26 Abs. 2 Z 1 und Abs. 4 berechtigten Bezirksverwaltungsbehörde als Gesundheitsbehörde erforderlich ist,
- 3. im Falle der Meldungen gemäß § 24a Abs. 2a zur Vollziehung der den Verkehr und die Gebarung mit Suchtmitteln und Drogenausgangsstoffen regelnden Vorschriften erforderlich ist.
- Die Absätze 5 bis 8 sind anzuwenden.
(11) Das Bundesministerium für Gesundheit hat die personenbezogenen Daten längstens nach Ablauf von fünf Jahren ab Einlangen der Daten aus dem Suchtmittelregister zu löschen.
(12) Bei der Verarbeitung personenbezogener Daten des 4. Hauptstückes sind die Rechte und Pflichten gemäß Art. 13, 14, 18 und 21 DSGVO ausgeschlossen.
(13) Das Bundesministerium für Gesundheit hat
- 1. nach Einlangen einer Meldung, wonach die Behandlung einer Person bei einem Arzt beendet worden ist, oder
- 2. nach Bekanntwerden des Todes der Behandelten,
- die diesen Behandelten betreffenden Daten aus dem bundesweiten Substitutionsregister zu löschen. Die Löschung hat im Fall der Z 1 längstens nach Ablauf von sechs Monaten ab Einlangen der Meldung über die Beendigung der Behandlung zu erfolgen, sofern nicht innerhalb dieser Frist eine Meldung einlangt, dass die Behandlung durch einen anderen Arzt fortgesetzt wird. Im Fall der Z 2 sind die Daten unverzüglich nach Bekanntwerden des Todes des Behandelten zu löschen.
(14) Die Verpflichtung zur Löschung gemäß Abs. 11 und 13 besteht nicht, soweit die Daten für die Auswertung gemäß § 24d erforderlich sind und ausschließlich in pseudonymisierter Form verarbeitet werden. Zu diesem Zweck ist ein eigenes Statistik-Register mit ausschließlich pseudonymisierten Daten zu führen, in das die Daten der Register gemäß §§ 24a und 24b nach der Ersetzung der Identifikationsdaten durch das nicht-rückführbar verschlüsselte bereichsspezifische Personenkennzeichen des Eingetragenen zu übernehmen sind. Nicht der Pseudonymisierung unterliegen das Geschlecht, Geburtsjahr, der Geburtsstaat, die Staatsbürgerschaft und der Bezirk, in dem der Eingetragene gemeldet ist. Das Bundesministerium für Gesundheit hat für alle Auswertungen aus dem Statistik-Register eigens einen Auftragsverarbeiter heranzuziehen, dem unter keinen Umständen Zugriff auf die Register gemäß §§ 24a oder 24b eingeräumt werden darf. Der Auftragsverarbeiter stellt dem Bundesministerium für Gesundheit ausschließlich die anonymisierten Auswertungsergebnisse zur Verfügung.
Schlagworte
Datenänderung, Datenabfrage
Zuletzt aktualisiert am
21.06.2018
Gesetzesnummer
10011040
Dokumentnummer
NOR40203915
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)