100. Bundesgesetz, mit dem das Epidemiegesetz 1950 und das COVID-19-Maßnahmengesetz geändert werden
Der Nationalrat hat beschlossen:
Artikel 1
Änderung des Epidemiegesetzes 1950
Das Epidemiegesetz 1950 (EpiG), BGBl. Nr. 186/1950, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 64/2021, wird wie folgt geändert:
1. In der Überschrift des § 2 entfällt der Punkt.
2. In § 4 Abs. 1 entfällt die Wortfolge „sowie zu Impfdaten aus dem zentralen Impfregister“.
3. § 4 Abs. 3a lautet:
„(3a) Die ELGA GmbH ist berechtigt, auf Anforderung des für das Gesundheitswesen zuständigen Bundesministers die im zentralen Impfregister gespeicherten Daten über COVID-19-Impfungen einschließlich des bPK-GH an ihn zu übermitteln. Für die Übermittlung dieser Daten gilt § 6 des Gesundheitstelematikgesetzes 2012 - GTelG 2012, BGBl. I Nr. 111/2012. Die Anforderung des für das Gesundheitswesen zuständigen Bundesministers hat zu enthalten:
- 1. die Konkretisierung, welche der in § 24c Abs. 2 Z 2 lit a bis c GTelG 2012 bezeichneten Daten(kategorien) zu übermitteln sind,
- 2. die Angabe, ob und gegebenenfalls welche zielgruppenspezifische, altersgruppenspezifische oder geografische Einschränkung der zu übermittelnden Daten vorzunehmen ist und
- 3. die Periodizität der Datenübermittlung.
Der für das Gesundheitswesen zuständige Bundesminister ist berechtigt, die ihm von der ELGA GmbH übermittelten Daten mit dem Register zu verknüpfen und dürfen diese Daten zum Zweck des Ausbruchs- und Krisenmanagements, wie etwa für die Ermittlung von Impfdurchbrüchen, von Ausbruchsclustern oder für die Kontaktpersonennachverfolgung, verarbeitet werden. Die betroffenen Personen haben nach Maßgabe der technischen Verfügbarkeit das Recht, elektronisch im Wege des Zugangsportals (§ 23 GTelG 2012) Auskunft (Art. 15 DSGVO) über die sie betreffenden Protokolldaten (Abs. 9) zu erhalten. Das Auskunftsrecht kann durch die betroffenen Personen hinsichtlich der sie betreffenden Protokolldaten auch zumindest monatlich gegenüber dem für das Gesundheitswesen zuständigen Bundesminister geltend gemacht werden.“
4. In § 4 Abs. 4 Z 3 entfällt der zweite Beistrich am Ende der Ziffer.
5. § 4 Abs. 6 lautet:
„(6) Jede Verarbeitung der im Register gespeicherten Daten darf nur in Vollziehung dieses Bundesgesetzes, in Vollziehung des Tuberkulosegesetzes sowie in Vollziehung des Zoonosengesetzes, BGBl. I Nr. 128/2005, erfolgen. Eine Übermittlung der nach den Bestimmungen dieses Bundesgesetzes verarbeiteten personenbezogenen Daten an Dritte und eine Weiterverarbeitung der personenbezogenen Daten zu anderen Zwecken ist nicht zulässig, soweit nicht in diesem Bundesgesetz ausdrücklich anderes bestimmt ist.“
6. § 4 Abs. 7 vorletzter Satz entfällt.
7. § 4 Abs. 18 bis 24 entfällt.
8. In § 4a Abs. 1 wird nach der Wort- und Zeichenfolge „§ 4 Abs. 3“ die Wort- und Zeichenfolge „ und Abs. 3a“ eingefügt.
9. In § 4a Abs. 6 wird nach der Wort- und Zeichenfolge „ „Statistik Österreich“ “ der Klammerausdruck „(Bundesanstalt)“ eingefügt und folgender Satz angefügt:
„Der für das Gesundheitswesen zuständige Bundesminister ist berechtigt, die mit dem vbPK-AS versehenen COVID-19-bezogenen Daten des Statistik-Registers zum Zweck der Erstellung von Statistiken im Zusammenhang mit der epidemiologischen Überwachung sowie dem Monitoring der Wirksamkeit der Maßnahmen in Bezug auf die Bekämpfung von COVID-19 mit einem konkreten, näher zu bezeichnenden Auftrag an die Bundesanstalt zu übermitteln und die Bundesanstalt erstellt aus den ihr übermittelten Daten die Statistik (§ 4 in Verbindung mit § 23 Abs. 1 Z 1 des Bundesstatistikgesetzes 2000, BGBl. I Nr. 163/1999). “
10. § 4b samt Überschrift lautet:
„Zertifikate im Zusammenhang mit SARS-CoV-2
§ 4b. (1) Zum Nachweis der Durchführung eines Tests auf eine Infektion mit SARS-CoV-2, einer überstandenen Infektion mit SARS-CoV-2 und einer empfangenen Schutzimpfung gegen COVID-19 können folgende Zertifikate herangezogen werden:
- 1. ein Testzertifikat (§ 4c) über ein mittels NAAT- oder RAT-Test ermitteltes negatives SARS-CoV-2-Testergebnis oder
- 2. ein Genesungszertifikat (§ 4d) über den Umstand, dass die Person von einer mittels NAAT-Test oder mittels einer gemäß § 4d Abs. 4 festgelegten Testmethode nachgewiesenen SARS-CoV-2-Infektion genesen ist oder
- 3. ein Impfzertifikat (§ 4e) über eine erfolgte COVID-19-Schutzimpfung.
(2) Im Sinne des Abs. 1 Z 1 und 2 ist
- 1. „NAAT-Test“ ein molekularer Nukleinsäure-Amplifikationstest, insbesondere Verfahren der Reverse-Transkriptase-Polymerase-Kettenreaktion (RT-PCR), der schleifenvermittelten isothermalen Amplifikation (LAMP) und der transkriptionsvermittelten Amplifikation (TMA), die zum Nachweis des Vorhandenseins der SARS-CoV-2-Ribonukleinsäure (RNS) verwendet werden;
- 2. „RAT-Test“ ein Antigen-Schnelltest, nämlich Verfahren, die auf dem Nachweis viraler Proteine (Antigene) unter Verwendung eines Immuntests mit Seitenstrom-Immunoassay beruhen und in weniger als 30 Minuten zu einem Ergebnis führen; der für das Gesundheitswesen zuständige Bundesminister hat die jeweils aktuelle Liste der anerkannten Testmethoden bzw. -produkte auf der Webseite des Ressorts zu veröffentlichen;
- 3. „Antikörpertest“ ein laborgestützter Test, der an Blutproben (Serum, Plasma oder Vollblut) durchgeführt wird und darauf abzielt festzustellen, ob eine Person Antikörper gegen SARS-CoV-2 entwickelt hat, unabhängig davon, ob sie Symptome aufwies oder nicht; Der für das Gesundheitswesen zuständige Bundesminister hat die jeweils aktuelle Liste der anerkannten Testmethoden bzw. -produkte auf der Webseite des Ressorts zu veröffentlichen.
(3) Zum Zweck der Ausstellung und der Bereitstellung von Zertifikaten gemäß Abs. 1 hat der für das Gesundheitswesen zuständige Bundesminister als datenschutzrechtlich Verantwortlicher (Art. 4 Z 7 DSGVO) ein elektronisches Service („EPI-Service“) einzurichten und zu betreiben. Er kann sich dazu eines Auftragsverarbeiters bedienen.
(4) Die Ausstellung der Zertifikate hat nach Maßgabe der technischen Verfügbarkeit des EPI-Service und der dafür erforderlichen Daten in Form eines QR-Codes zu erfolgen, der
- 1. die jeweils notwendigen Daten nach den §§ 4c Abs. 1, 4d Abs. 1 oder 4e Abs. 1 enthält,
- 2. mit den auf europäischer Ebene allenfalls festgelegten inhaltlichen und technischen Vorgaben interoperabel ist und
- 3. die Überprüfung von Authentizität, Gültigkeit und Integrität des Zertifikats ermöglicht.
(5) Die Bereitstellung der Zertifikate hat mittels QR-Code und im PDF-Format zu erfolgen, wobei das PDF-Format neben dem QR-Code alle Daten des QR-Codes in menschenlesbarer Form zu enthalten hat. Die Feldbezeichnungen der Daten und allfällige Zusatzinformationen sind in deutscher und englischer Sprache anzugeben. Der für das Gesundheitswesen zuständige Bundesminister kann mit Verordnung Änderungen von Feldbezeichnungen vornehmen und nähere Vorgaben zur Gewährleistung der Barrierefreiheit festlegen.
(6) Die Ausstellung der Zertifikate und die Bereitstellung hat für die sie betreffende Person oder für ihre Vertretung kostenlos zu erfolgen. Dies gilt auch für die Bereitstellung von gedruckten Zertifikaten durch berechtigte Stellen.
(7) Der für das Gesundheitswesen zuständige Bundesminister hat:
- 1. den Landeshauptleuten als datenschutzrechtlich Verantwortliche (Art. 4 Z 7 DSGVO) den Abruf von Zertifikaten oder von Verweisen auf Zertifikate aus dem EPI-Service zum Zweck der elektronischen Weitergabe an die betroffenen Personen zu ermöglichen, wobei Abrufe ausschließlich mittels bereichsspezifischem Personenkennzeichen Gesundheit (bPK-GH) und über ein gesichertes Netzwerk erfolgen dürfen. Jede über das für die elektronische Weitergabe von Zertifikaten oder Verweisen an Betroffene unbedingt erforderliche Ausmaß hinausgehende Verarbeitung von Daten ist unzulässig.
- 2. eine Portalverbundanwendung bereitzustellen, die es
- a) Gemeinden, Bezirksverwaltungsbehörden und der ELGA-Ombudsstelle als datenschutzrechtlich Verantwortliche (Art. 4 Z 7 DSGVO) ermöglicht, einer anfordernden Person Zertifikate (Abs. 1) ) sowie
- b) den Kundenservicestellen der Österreichischen Gesundheitskasse als datenschutzrechtlich Verantwortliche (Art. 4 Z 7 DSGVO) ermöglicht, einer anfordernden Person das Impfzertifikat (Abs. 1 Z 3)
in gedruckter Form zur Verfügung zu stellen. Zertifikate dürfen in gedruckter Form und auf Anforderung auch an die Vertretung der betroffenen Person ausgefolgt werden. Jede über das für den Druck von Zertifikaten unbedingt erforderliche Ausmaß hinausgehende Verarbeitung von Daten ist unzulssig.
- in gedruckter Form zur Verfügung zu stellen. Zertifikate dürfen in gedruckter Form und auf Anforderung auch an die Vertretung der betroffenen Person ausgefolgt werden. Jede über das für den Druck von Zertifikaten unbedingt erforderliche Ausmaß hinausgehende Verarbeitung von Daten ist unzulssig.
- 3. für Bürgerinnen und Bürger die Möglichkeit zur Einsichtnahme, zum Druck und zum Download von Zertifikaten im Wege des Zugangsportals (§ 23 GTelG 2012) zu schaffen; Die Authentifizierung der Bürgerinnen und Bürger hat gemäß § 3 E-GovG zu erfolgen.
(8) Ein fehlerhaftes Genesungs- oder Impfzertifikat ist auf Grund einer Information der sie betreffenden Person von dem für das Gesundheitswesen zuständigen Bundesminister vor Ablauf seiner Gültigkeitsdauer zu widerrufen. Der für das Gesundheitswesen zuständige Bundesminister hat eine Stelle zu benennen, die Informationen über fehlerhafte Zertifikate entgegennimmt. Die benannte Stelle hat die Art des Fehlers zu erheben, für die Behebung des Fehlers zu sorgen und gegebenenfalls die Neuausstellung und Bereitstellung des Zertifikats binnen fünf Arbeitstagen an die betroffene Person zu veranlassen. Widerrufene Zertifikate sind unverzüglich im EPI-Service zu löschen.
(9) Die Verarbeitung von Daten gemäß Abs. 1 durch den für das Gesundheitswesen zuständigen Bundesminister ist außer zu den in den §§ 4b bis 4f genannten Zwecken, ausschließlich zur Fehlersuche und Fehlerbehebung sowie für statistische Auswertungen zulässig.
(10) Die für die Umsetzung der §§ 4b bis 4e erforderlichen Mittel sind den genannten Rechtsträgern aus dem COVID-19-Krisenbewältigungsfonds zu ersetzen.“
11. § 4c samt Überschrift lautet:
„Testzertifikat
§ 4c. (1) Das Testzertifikat hat folgende Daten zu enthalten:
- 1. Nachname(n) und Vorname(n) der getesteten Person, in dieser Reihenfolge,
- 2. Geburtsdatum der getesteten Person,
- 3. Zielkrankheit oder -erreger, auf die oder den die Person getestet wurde, ausschließlich lautend auf „COVID-19“ (umfasst auch „SARS-CoV-2“ oder dessen Varianten),
- 4. Art des Tests,
- 5. Bezeichnung des Tests (optional bei NAAT-Tests),
- 6. Bezeichnung des Herstellers des Tests (optional bei NAAT-Tests),
- 7. Datum und Uhrzeit der Probenahme,
- 8. Testergebnis,
- 9. Bezeichnung des Testzentrums oder der testenden Einrichtung (optional bei RAT-Tests),
- 10. Bezeichnung des Staates, in dem der Test durchgeführt wurde,
- 11. Bezeichnung des Ausstellers des Testzertifikats,
- 12. eindeutige Kennung des Testzertifikats.
(2) Die Daten gemäß Abs. 1 Z 1 bis 9 sowie - falls verfügbar - die Sozialversicherungsnummer der getesteten Person sind von den Einrichtungen, die SARS-CoV-2-Tests im Sinne des § 4b Abs. 2 auswerten, das sind insbesondere Teststellen und Labore, unter Einhaltung des § 6 GTelG 2012 elektronisch in standardisierter Form an den für das Gesundheitswesen zuständigen Bundesminister zu übermitteln. Dabei sind die in § 4 Abs. 12 bis 14 vorgesehenen Datensicherheitsmaßnahmen zu ergreifen. Der für das Gesundheitswesen zuständige Bundesminister ermittelt aus den übermittelten Daten im Wege der Abfrage des Patientenindex (§ 4 in Verbindung mit § 18 GTelG 2012) oder - im Falle des Fehlens der Sozialversicherungsnummer - im Wege der Stammzahlenregisterbehörde das bereichsspezifische Personenkennzeichen Gesundheit (bPK-GH) und erstellt das Testzertifikat. Das Testzertifikat in den gemäß § 4b Abs. 5 festgelegten Formaten sowie das bPK-GH sind im EPI-Service zu speichern. Teststellen dürfen das Testzertifikat für die getestete Person ausdrucken; zu diesem Zweck darf ihnen das Testzertifikat vom für das Gesundheitswesen zuständigen Bundesminister übermittelt werden. Die Teststellen sind berechtigt, das Testzertifikat zu diesem Zweck in personenbezogener Form zu verarbeiten.
(3) Im Anwendungsbereich des § 4c sind der für das Gesundheitswesen zuständige Bundesminister und die übermittelnden Einrichtungen gemeinsam Verantwortliche im Sinne des Art. 4 Z 7 in Verbindung mit Art. 26 DSGVO:
- 1. Der für das Gesundheitswesen zuständige Bundesminister ist verantwortlich für die Einrichtung und den Betrieb des EPI-Service (§ 4b Abs. 3) und für die Ausstellung und Bereitstellung der Testzertifikate gemäß § 4b Abs. 1 Z 1. Ihm obliegen folgende aus der DSGVO resultierende Pflichten:
- a) Wahrnehmung von Anträgen gemäß Art. 15 DSGVO, sofern sie das EPI-Service betreffen;
- b) Sicherstellung der Datensicherheit hinsichtlich des EPI-Service;
- c) Wahrnehmung der Meldepflicht gemäß Art. 33 DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten im EPI-Service aufgetreten ist;
- d) Zurverfügungstellung des wesentlichen Inhalts der Pflichtenaufteilung in geeigneter Weise.
- 2. Die Einrichtungen, die SARS-CoV-2-Tests im Sinne des § 4b Abs. 2 auswerten, sind verantwortlich für die Ermittlung und Übermittlung der Testergebnisse. Ihnen obliegen folgende aus der DSGVO resultierende Pflichten:
- a) Information der betroffenen Personen gemäß Art. 13 DSGVO in geeigneter Weise;
- b) Wahrnehmung von Anträgen auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO) und Einschränkung der Verarbeitung (Art. 18 DSGVO) hinsichtlich jener Daten, die von der jeweiligen Einrichtung verarbeitet werden;
- c) unverzügliche Benachrichtigung des für das Gesundheitswesen zuständigen Bundesministers über jede erfolgte Berichtigung oder Löschung oder Einschränkung der Verarbeitung (Art. 19 DSGVO) hinsichtlich jener Daten, die von der jeweiligen Einrichtung verarbeitet werden;
- d) Sicherstellung der Datensicherheit hinsichtlich der Ermittlung und Übermittlung der Daten, die die jeweilige Einrichtung verarbeitet;
- e) Wahrnehmung der Meldepflicht gemäß Art. 33 DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten bei der Ermittlung oder Übermittlung der Daten aufgetreten ist.
- 3. Sowohl dem für das Gesundheitswesen zuständigen Bundesminister als auch den Einrichtungen, die SARS-CoV-2-Tests im Sinne des § 4b Abs. 2 auswerten, obliegen folgende aus der DSGVO resultierende Pflichten:
- a) Verweis an den zuständigen Verantwortlichen, wenn eine betroffene Person unter Nachweis ihrer Identität ein Recht nach der DSGVO gegenüber einem unzuständigen Verantwortlichen wahrnimmt, wobei die betroffene Person entsprechend anzuleiten ist;
- b) Information der betroffenen Personen gemäß Art. 12 Abs. 4 DSGVO, wenn aufgrund von deren Anträgen kein Tätigwerden erfolgt;
- c) Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO sowie
- d) Zusammenarbeit mit der Aufsichtsbehörde gemäß Art. 31 DSGVO.
(4) Der für das Gesundheitswesen zuständige Bundesminister kann auf Grund neuer wissenschaftlicher Erkenntnisse oder Festlegungen auf europäischer Ebene mit Verordnung die Gültigkeitsdauer von Testzertifikaten gemäß Abs. 1 sowie deren Berechnungsmethode festlegen oder ändern.
(5) Sämtliche Daten im EPI-Service sind eine Woche ab dem Datum der Probenahme zu löschen.“
12. Nach § 4c werden folgende §§ 4d bis 4f samt Überschriften eingefügt:
„Genesungszertifikat
§ 4d. (1) Das Genesungszertifikat hat folgende Daten zu enthalten:
- 1. Nachname(n) und Vorname(n) der getesteten Person, in dieser Reihenfolge,
- 2. Geburtsdatum der getesteten Person,
- 3. Krankheit oder Erreger, von der oder dem die Person genesen ist, ausschließlich lautend auf „COVID-19“ (umfasst auch „SARS-CoV-2“ oder dessen Varianten),
- 4. Datum des ersten positiven NAAT-Testergebnisses,
- 5. Bezeichnung des Staates, in dem der Test durchgeführt wurde,
- 6. Bezeichnung des Ausstellers des Genesungszertifikats,
- 7. Gültigkeitsbeginn des Genesungszertifikats,
- 8. Gültigkeitsende des Genesungszertifikats,
- 9. eindeutige Kennung des Genesungszertifikats.
(2) Der für das Gesundheitswesen zuständige Bundesminister hat die Daten gemäß Abs. 1 Z 1 bis 4 sowie die Sozialversicherungsnummer aus dem Register gemäß § 4 und das bereichsspezifische Personenkennzeichen Gesundheit (bPK-GH) im Wege der Abfrage des Patientenindex (§ 4 in Verbindung mit § 18 GTelG 2012) oder - im Falle des Fehlens der Sozialversicherung - im Wege der Stammzahlenregisterbehörde zu ermitteln. Die ELGA GmbH hat für den Fall, dass Antikörpertests als Grundlage für die Ausstellung von Genesungszertifikaten festgelegt werden (Abs. 4), die für die Ausstellung von Genesungszertifikaten erforderlichen Daten gemäß Abs. 1 Z 1 bis 3 und 5 sowie das bPK-GH aus dem zentralen Impfregister (§ 24c GTelG 2012) zu ermitteln und dem für das Gesundheitswesen zuständigen Bundesminister unter Einhaltung des § 6 GTelG 2012 sowie der technisch-organisatorischen Vorgaben (Schnittstellendefinition) zu übermitteln. Genesungszertifikate sind vom für das Gesundheitswesen zuständigen Bundesminister auf Anforderung von Betroffenen auszustellen.
(3) Das Genesungszertifikat darf frühestens am elften Tag ab dem Datum des ersten positiven NAAT-Testergebnisses ausgestellt werden, seine Gültigkeitsdauer darf 180 Tage, gerechnet ab dem Datum des ersten positiven NAAT-Testergebnisses, nicht übersteigen.
(4) Mit Verordnung kann der für das Gesundheitswesen zuständige Bundesminister auf Grund neuer wissenschaftlicher Erkenntnisse oder diesbezüglicher Festlegungen auf europäischer Ebene bestimmen:
- 1. abweichende Ausstellungsfristen bzw. Gültigkeitsdauern,
- 2. dass, gegebenenfalls ab welchem Zeitpunkt und unter welchen Voraussetzungen weitere Testmethoden, insbesondere Antikörpertests, als Grundlage für die Ausstellung von Genesungszertifikaten verwendet werden dürfen.
(5) Das Genesungszertifikat in den gemäß § 4b Abs. 5 festgelegten Formaten sowie das bPK-GH sind im EPI-Service zu speichern.
(6) Sämtliche Daten im EPI-Service sind eine Woche nach Gültigkeitsende des Genesungszertifikats zu löschen.
Impfzertifikat
§ 4e. (1) Das Impfzertifikat hat folgende Daten zu enthalten:
- 1. Nachname(n) und Vorname(n) der geimpften Person in dieser Reihenfolge,
- 2. Geburtsdatum der geimpften Person,
- 3. Krankheit oder Erreger, gegen die oder den die Person geimpft ist, ausschließlich lautend auf „COVID-19“ (umfasst auch „SARS-CoV-2“ oder dessen Varianten),
- 4. Impfstoff/Prophylaxe (generische Beschreibung des Impfstoffs oder seiner Komponenten),
- 5. Impfarzneimittel (Bezeichnung des Impfstoffs gemäß Zulassung),
- 6. Zulassungsinhaber oder Hersteller des Impfstoffs,
- 7. Nummer der Impfdosis und die Gesamtanzahl der Impfdosen einer Impfserie,
- 8. Datum der letzten Impfung der Impfserie,
- 9. Bezeichnung des Staates, in dem die Impfung durchgeführt wurde,
- 10. Bezeichnung des Ausstellers des Impfzertifikats,
- 11. eindeutige Kennung des Impfzertifikats.
(2) Die ELGA GmbH hat die für die Ausstellung von Impfzertifikaten erforderlichen Daten gemäß Abs. 1 Z 1 bis 8, die Chargennummer des verabreichten Impfstoffs sowie das bPK-GH aus dem zentralen Impfregister (§ 24c GTelG 2012) zu ermitteln und dem für das Gesundheitswesen zuständigen Bundesminister unter Einhaltung des § 6 GTelG 2012 sowie der technisch-organisatorischen Vorgaben (Schnittstellendefinition) zu übermitteln.
(3) Mit Verordnung kann der für das Gesundheitswesen zuständige Bundesminister auf Grund neuer wissenschaftlicher Erkenntnisse oder diesbezüglicher Festlegungen auf europäischer Ebene einen abweichenden Ausstellungszeitpunkt oder die Gültigkeitsdauer und deren Berechnungsmethode für Impfzertifikate festlegen.
(4) Das Impfzertifikat in den gemäß § 4b Abs. 5 festgelegten Formaten sowie das bPK-GH werden im EPI-Service gespeichert. Impfstellen dürfen einer geimpften Person das Impfzertifikat ausdrucken, wofür ihnen das Impfzertifikat vom für das Gesundheitswesen zuständigen Bundesminister übermittelt werden darf. Zu diesem Zweck sind die Impfstellen berechtigt, das Impfzertifikat in personenbezogener Form zu verarbeiten.
(5) Der für das Gesundheitswesen zuständige Bundesminister hat das Impfzertifikat im PDF-Format samt bPK-GH der ELGA GmbH zur Speicherung im zentralen Impfregister zu übermitteln. Die ELGA GmbH hat das Impfzertifikat im zentralen Impfregister zu speichern und jenen Personen, bei denen zum Zeitpunkt des Inkrafttretens dieser Bestimmung die Impfserie abgeschlossen wurde, eine gedruckte Fassung des Impfzertifikats (PDF-Format) zur Verfügung zu stellen. Die ELGA GmbH hat eine für die Speicherung des Impfzertifikats im zentralen Impfregister sowie für den Druck und Versand von Impfzertifikaten beschränkte spezifische Zugriffsberechtigung im Sinne des § 24f Abs. 4 GTelG 2012.
(6) Bürgerinnen und Bürger können auf das Impfzertifikat auch im Wege des § 24e Abs. 1 Z 1 GTelG 2012 zugreifen. Niedergelassene Ärztinnen und Ärzte im Sinne des § 24c Abs. 2 Z 1 GTelG 2012, sowie Apotheken gemäß § 1 Apothekengesetz, RGBl. Nr. 5/1907, dürfen die im zentralen Impfregister verfügbar gemachten Impfzertifikate für die Bürgerinnen und Bürger ausdrucken und haben hierfür eine spezifische Zugriffsberechtigung im Sinne des § 24f Abs. 4 GTelG 2012.
(7) Sämtliche Daten im EPI-Service sind ein Jahr nach Übermittlung des Impfzertifikats an das zentrale Impfregister zu löschen.
Verarbeitung der Nachweise durch Überprüfende
§ 4f. (1) Überprüfende (§ 1 Abs. 5b Z 1 bis 3 des COVID-19-Maßnahmengesetzes - COVID-19-MG, BGBl. I Nr. 12/2020) dürfen Zertifikate gemäß § 4b Abs. 1 zum Zweck ihrer Verifizierung verarbeiten. Die Authentifizierung der Überprüfenden hat zu unterbleiben.
(2) Die Identifizierung einer Person durch Überprüfende hat anhand eines amtlichen Lichtbildausweises oder einer elektronischen Vorzeigemethode, die jedenfalls das kryptographisch gesicherte Bild aus einem amtlichen Lichtbildausweis der Person zu enthalten hat, zu erfolgen.
(3) Die Verifizierung von Zertifikaten durch Überprüfende darf ausschließlich auf dem Endgerät des Überprüfenden („offline“) erfolgen und hat die Signaturprüfung, aus der die syntaktische und inhaltliche Korrektheit sowie die zeitliche Gültigkeit hervorzugehen hat, zu umfassen.
(4) Elektronische Anwendungen zur Verifizierung von Zertifikaten gemäß §§ 4c bis 4e haben - ausgenommen bei ihrer Verwendung beim Grenzübertritt - die bereitgestellten Zertifikatsdaten für Überprüfende eingeschränkt darzustellen, nämlich mit Nachname(n), Vorname(n) und dem Geburtsdatum der Person, für die das Zertifikat ausgestellt wurde, sowie text- und farbcodiert entweder mit
- 1. „gültig“ (grün hinterlegt), wenn ein zeitlich gültiges Test-, Genesungs- oder ein Impfzertifikat verfügbar ist, oder
- 2. „ungültig“ (rot hinterlegt), wenn kein zeitlich gültiges oder kein verifizierbares Zertifikat verfügbar ist.
(5) Elektronische Anwendungen zur Verifizierung von Zertifikaten dürfen folgende zusätzliche Informationen über die Ursache des Rückgabewerts „ungültig“ (rot hinterlegt) der/dem Überprüfenden bereitstellen:
- 1. „Gültigkeitsdauer abgelaufen“,
- 2. „QR-Code fehlerhaft“,
- 3. „Signaturprüfung fehlgeschlagen“.
(6) Sofern eine elektronische Anwendung zur Verifizierung von Zertifikaten den quelloffenen Prüfmechanismus nicht unverändert verwendet, ist dem für das Gesundheitswesen zuständigen Bundesminister der geänderte Source Code offen zu legen. Vorgefundene Mängel sind unverzüglich zu beheben. Der für das Gesundheitswesen zuständige Bundesminister hat den Zugang zum quelloffenen Code für die Verifizierung von Zertifikaten auf geeignete Weise zu veröffentlichen.
(7) Jede über das für die Verifizierung von Zertifikaten unbedingt erforderliche Ausmaß hinausgehende Verarbeitung von Daten durch Überprüfende ist unzulässig.“
13. In § 5 Abs. 4 wird vor der Zeichenfolge „(5)“ ein Absatz eingefügt.
14. In § 5a Abs. 1 wird nach der Wortfolge „kann der Landeshauptmann“ die Wortfolge „als datenschutzrechtlicher Verantwortlicher (Art. 4 Z 7 DSGVO)“ eingefügt.
15. Der Klammerausdruck in § 5a Abs. 2 Z 1 lautet:
„(Vor- und Zuname, Geschlecht, Geburtsdatum; die Sozialversicherungsnummer, falls verfügbar)“
16. § 5a Abs. 7 und 8 lauten:
„(7) Screeningprogramme gemäß Abs. 1 können auch zum Zweck der Erlangung eines Testergebnisses durchgeführt werden, um die auf Grund dieses Bundesgesetzes oder des COVID-19-MG verordneten Voraussetzungen oder Auflagen zu erfüllen.
(8) Der Durchführende des Screeningprogramms hat der betroffenen Person einen Nachweis über das Ergebnis des Tests auszustellen. Dieser Nachweis ist der betroffenen Person entweder in gedruckter oder in elektronischer Form - sofern möglich unverzüglich - zur Verfügung zu stellen. Wird dieser Nachweis nicht in Form eines Testzertifikats (§ 4c) bereitgestellt, kann der für das Gesundheitswesen zuständige Bundesminister mit Verordnung nähere Bestimmungen über Form und Inhalt festlegen. In dieser Verordnung sind jedenfalls die in den Nachweis aufzunehmenden Daten anhand der Datenkategorien gemäß § 5b Abs. 3 zu konkretisieren. Die Daten sind vom Durchführenden des Screeningprogramms unverzüglich nach Bereitstellung des Nachweises für die betroffene Person zu löschen. Gesetzlich vorgesehene Aufbewahrungs- bzw. Dokumentationspflichten bleiben davon unberührt. Die Verarbeitung der Daten zu anderen Zwecken als zur Erstellung und Bereitstellung des Testzertifikats oder des Testnachweises ist unzulässig.“
17. § 25a Abs. 2 Z 3 lautet:
- „3. Wohn- und Aufenthaltsadresse, falls zutreffend,“
18. § 25a Abs. 2 Z 10 lautet:
- „10. Vorliegen eines ärztlichen Zeugnisses oder eines der in § 4b genannten Zertifikate.“
19. § 28a Abs. 1 wird folgender Satz angefügt:
„Organe nach § des 12b Grenzkontrollgesetzes - GrekoG, BGBl. Nr. 435/1996, haben bei der Ausübung der ihnen nach § 12a GrekoG zukommenden Befugnisse die nach diesem Bundesgesetz zuständigen Behörden und Organe über deren Ersuchen bei der Ausübung ihrer gemäß § 25 beschriebenen Aufgaben zu unterstützen.“
20. In § 28d Abs. 1 Z 5 entfällt das Wort „und“, in Z 6 wird nach der Zeichenfolge „BGBl. I Nr. 96/1998,“ das Wort „ und“ eingefügt und nach Z 6 folgende Z 7 angefügt:
- „7. Angehörige des tierärztlichen Berufes gemäß dem Bundesgesetz über den Tierarzt und seine berufliche Vertretung (Tierärztegesetz), BGBl. Nr. 16/1975,“
21. Dem § 28d Abs. 1 wird folgender Satz angefügt:
„Die nach dieser Bestimmung tätigen Personen sind unbeschadet sonstiger Verschwiegenheitspflichten zur Verschwiegenheit über die im Rahmen ihrer Tätigkeit anvertrauten oder bekannt gewordenen Geheimnisse verpflichtet.“
22. Dem § 50 wird folgender Abs. 23 angefügt:
„(23) Die Überschrift zu § 2, § 4 Abs. 1, Abs. 4 Z 3, Abs. 6 und Abs. 7, § 4a Abs. 1 und Abs. 6, § 5 Abs. 4, § 5a Abs. 1, Abs. 2 Z 1, Abs. 7 und Abs. 8, § 25a Abs. 2 Z 3 und Z 10, § 28a Abs. 1 sowie § 28d Abs. 1 in der Fassung des Bundesgesetzes BGBl. I Nr. 100/2021 treten mit dem der Kundmachung folgenden Tag in Kraft; gleichzeitig tritt § 4 Abs. 18 bis 24 außer Kraft. § 4 Abs. 3a sowie §§ 4b bis 4f samt Überschriften treten mit 4. Juni 2021 in Kraft. §§ 4b bis 4f samt Überschriften treten mit Ablauf des 30. Juni 2022 außer Kraft.“
Artikel 2
Änderung des COVID-19-Maßnahmengesetzes
Das COVID-19-Maßnahmengesetz (COVID-19-MG), BGBl. I Nr. 12/2020, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 33/2021, wird wie folgt geändert:
1. In § 1 entfällt Abs. 5b und die bisherigen Abs. 5c bis 5f erhalten die Absatzbezeichnungen „(5b)“ bis „(5e)“.
2. In § 1 Abs. 5b (neu) wird die Wortfolge „einen Testnachweis gemäß Abs. 5b“ durch die Wortfolge „ein Testzertifikat nach § 4c des Epidemiegesetzes 1950“ ersetzt.
3. Dem § 1 Abs. 5b (neu) wird folgender Satz angefügt:
„Dies gilt auch für Zertifikate nach § 4b Abs. 1 des Epidemiegesetzes 1950, BGBl. I Nr. 186/1950.“
4. § 1 Abs. 5c (neu) wird in Z 1 der Beistrich durch das Wort „oder“ ersetzt; die Z 3 enfällt und die Z 2 lautet:
- „2. einer überstandenen Infektion mit SARS-CoV-2,“
5. In § 1 Abs. 5d (neu) wird die Wortfolge „grundsätzlich geeignet sind, eine Gleichstellung im Sinne von Abs. 5d zu rechtfertigen.“ durch die Wortfolge „geeignet sind, eine grundsätzliche Gleichstellung im Sinne von Abs. 5c zu rechtfertigen.“ ersetzt.
6. In § 1 Abs. 5d (neu) wird folgender dritter Satz eingefügt:
„Bei Vorliegen einer ärztlichen Bestätigung über eine überstandene Infektion mit SARS-CoV-2, eines Absonderungsbescheides, der wegen einer Infektion des Bescheidadressaten mit SARS-CoV-2 erlassen wurde oder eines durchgeführten Tests, der das Vorhandensein von Antikörpern gegen eine Infektion mit SARS-CoV-2 bestätigt, ist von einer grundsätzlichen Gleichstellung auszugehen.“
7. In § 1 Abs. 5d (neu) wird die Wort- und Zeichenfolge „Abs. 5c“ durch die Wort- und Zeichenfolge „Abs. 5b“ ersetzt.
8. In § 1 Abs. 5e (neu) wird die Wort- und Zeichenfolge „Abs. 5d“ durch die Wort- und Zeichenfolge „Abs. 5c“ und die Wort- und Zeichenfolge „Abs. 5e“ durch die Wort- und Zeichenfolge „Abs. 5d“ ersetzt.
9. In § 1 werden nach Abs. 5e (neu) folgende Abs. 5f (neu) und 5g angefügt:
„(5f) Die in § 4b Abs. 1 Z 1 bis 3 des Epidemiegesetzes 1950 genannten Zertifikate können als Nachweis eines negativen Tests auf SARS-CoV-2, einer Schutzimpfung gegen COVID-19 oder einer überstandenen Infektion mit SARS-CoV-2 herangezogen werden.
(5g) Der für das Gesundheitswesen zuständige Bundesminister kann durch Verordnung nähere Vorschriften über die Form des Nachweises eines negativen Tests auf SARS-CoV-2, einer Schutzimpfung gegen COVID-19 oder einer überstandenen Infektion mit SARS-CoV-2 erlassen. Der Nachweis darf die in § 4c Abs. 1, § 4d Abs. 1 und § 4e Abs. 1 des Epidemiegesetzes 1950 genannten Daten enthalten.“
10. Dem § 9 wird folgender Abs. 3 angefügt:
„(3) Aufsichtsorgane gemäß §§ 24ff des Lebensmittelsicherheits- und Verbraucherschutzgesetzes - LMSVG, BGBl. I Nr. 151/2005, Organe der zur Vollziehung der gewerberechtlichen Vorschiften zuständigen Behörden und Organe der Arbeitsinspektion sind im Rahmen ihrer dienstlichen Aufgaben zur Überprüfung von in einer Verordnung nach diesem Bundesgesetz als Auflage oder Voraussetzung vorgesehenen Präventionskonzepten, vor Ort, berechtigt.“
11. In § 11 Abs. 3 wird das Wort „denen“ durch das Wort „der“ ersetzt.
12. Dem § 13 wird folgender Abs. 12 angefügt:
„(12) § 1 Abs. 5a bis 5g, § 9 sowie § 11 Abs. 3 in der Fassung des Bundesgesetzes BGBl. I Nr. 100/2021 treten mit dem der Kundmachung folgenden Tag in Kraft.“
Van der Bellen
Kurz
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)