BGBl II 253/2017

253. Verordnung des Bundesministers für Arbeit, Soziales und Konsumentenschutz, mit der die Verordnung über die Gesundheitsüberwachung am Arbeitsplatz (VGÜ 2014) geändert wird

Auf Grund der §§ 52a, 56 und 59 des Bundesgesetzes über Sicherheit und Gesundheitsschutz bei der Arbeit (ArbeitnehmerInnenschutzgesetz - ASchG), BGBl. Nr. 450/1994, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 126/2017, wird vom Bundesminister für Arbeit, Soziales und Konsumentenschutz verordnet:

Die Verordnung des Bundesministers für Arbeit, Soziales und Konsumentenschutz über die Gesundheitsüberwachung am Arbeitsplatz (VGÜ 2014), BGBl. II Nr. 27/1997, zuletzt geändert durch die Verordnung BGBl. II Nr. 179/2016, wird wie folgt geändert:

1. Der Titel der Verordnung lautet: „Verordnung über die Gesundheitsüberwachung am Arbeitsplatz 2017 (VGÜ 2017)“

2. Dem § 6 Abs. 7 werden folgende Absätze 7a bis 7c angefügt:

„(7a) Die Übermittlung von Befund und Beurteilung kann gemäß § 52a ASchG elektronisch über verschlüsselte Verbindungen (zumindest TLS 1.2, AES mit mindestens 128 Bit Verschlüsselung sowie RSA mit mindestens 2048 Bit Austausch) erfolgen

1. 1. über die Webapplikation „Eignungs- und Folgeuntersuchung“ der Arbeitsinspektion oder
2. 2. durch Übermittlung der Daten in den Vorgaben der Arbeitsinspektion entsprechender strukturierter Form (XML-Datenformat).

(7b) Der/die untersuchende Arzt/Ärztin hat Befund und Beurteilung, sofern die Übermittlung elektronisch gemäß Abs. 7a erfolgt, mit einer qualifizierten elektronischen Signatur zu versehen.

(7c) Zur Gewährleistung der Datensicherheit sind für die Arbeitsinspektion folgende Maßnahmen zu treffen:

1. 1. Es ist sicherzustellen, dass der Zugriff auf Befund und Beurteilung im Sinn des § 53 ASchG nur dem arbeitsinspektionsärztlichen Dienst und der Abteilung für Arbeitsmedizin im Zentral-Arbeitsinspektorat möglich ist. Die für die IT der Arbeitsinspektion zuständige Organisationseinheit hat für den Betrieb Zugriff auf die Daten zum Zweck der Bereitstellung sowie für Wartung und Pflege des Systems.
2. 2. Die Zugriffsberechtigungen für die Benutzer/innen sind individuell zuzuweisen und zu dokumentieren. Die Zugriffsberechtigten sind über die Bestimmungen nach § 6 Datenschutzgesetz 2000, BGBl. I Nr. 165/1999, über den Inhalt dieser Verordnung sowie über das Datensicherheitskonzept nach Z 7 zu belehren.
3. 3. Zugriffsberechtigte sind von der weiteren Benutzung ihrer Zugriffsberechtigung auszuschließen, wenn sie diese zur weiteren Erfüllung der ihnen übertragenen Aufgaben nicht mehr benötigen oder sie die Daten nicht entsprechend ihrer Zweckbestimmung verwenden.
4. 4. Der Zugang zu den Serverräumen des Zentral-Arbeitsinspektorates ist ausschließlich den Mitarbeiter/innen der für die IT der Arbeitsinspektion zuständigen Organisationseinheit sowie deren Vorgesetzten in aufsteigender Linie gestattet. Sind Service- und Wartungsarbeiten erforderlich, kann auch anderen Personen der Zugang zu den Serverräumen gewährt werden. Diese Personen sind von den Mitarbeiter/innen der für die IT der Arbeitsinspektion zuständigen Organisationseinheit während ihrer Tätigkeit im Serverraum zu beaufsichtigen. Ist es erforderlich, dass externen Personen zu Räumen mit einer Zugriffsmöglichkeit auf die Daten Zutritt zu gewähren ist, so ist jedenfalls sicherzustellen, dass eine Einsichtnahme in die Daten durch diese nicht möglich ist.
5. 5. Es ist sicherzustellen, dass geeignete, dem jeweiligen Stand der Technik entsprechende Vorkehrungen getroffen werden, um eine Vernichtung, Veränderung oder Abfrage der Daten durch unberechtigte Benutzer/innen oder Systeme zu verhindern.
6. 6. Alle durchgeführten Verarbeitungsvorgänge, wie insbesondere Eintragungen, Änderungen, Abfragen und Übermittlungen sind im notwendigen Ausmaß zu protokollieren. Diese Daten sind zehn Jahre lang aufzubewahren. Am Jahresende des zehnten Jahres sind diese zu löschen. Wurde die Aufbewahrungsfrist auf Grund einer arbeitsmedizinischen Begründung über die zehn-Jahresfrist hinaus verlängert, so sind die Protokolldaten zu diesen Einzelfällen entsprechend der festgelegten Frist aufzubewahren.
7. 7. Es ist ein Datensicherheitskonzept zu erstellen, in dem sämtliche Datensicherheitsmaßnahmen für den Betrieb sowie für die Aufbewahrung der Daten anzuordnen sind. Das Datensicherheitskonzept ist für alle Benutzer/innen, die Zugriff auf die Daten haben, verbindlich.“

3. § 6 Abs. 9 entfällt.

4. Dem § 11 wird folgender Abs. 15 angefügt:

„(15) Der Titel der Verordnung und § 6 Abs. 7a bis 7c in der Fassung BGBl. II Nr. 253/2017 treten mit dem der Kundmachung folgenden Monatsersten in Kraft. Gleichzeitig tritt § 6 Abs. 9 außer Kraft.“