BGBl II 11/2025

11. Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz, mit der die Gesundheitstelematikverordnung 2013 und die ELGA-Verordnung 2015 geändert und die ELGA-und eHealth-Supporteinrichtungsverordnung sowie die eHealth-Verordnung 2025 neu erlassen wird (Gesundheitstelematik-Anpassungsverordnung 2025)

Auf Grund der § 28, § 28a und § 28b des Gesundheitstelematikgesetzes 2012, BGBl. I Nr. 111/2012, zuletzt geändert durch das Bundesgesetz BGBl. I Nr 105/2024, wird verordnet:

Inhaltsverzeichnis

Artikel 1 Änderung der Gesundheitstelematikverordnung 2013

Artikel 2 Änderung der ELGA-Verordnung 2015

Artikel 3 Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz über die Einrichtung einer ELGA- und eHealth-Supporteinrichtung (ELGA- und eHealth-Supporteinrichtungsverordnung – SupE-V)

Artikel 4 Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz über nähere Regelungen zur eHealth-Anwendung Elektronischer Impfpass (eHealth-Verordnung 2024 – eHealthV 2025)

Artikel 1

Änderung der Gesundheitstelematikverordnung 2013

Die Gesundheitstelematikverordnung 2013 (GTelV 2013), BGBl. II Nr. 506/2013, wird wie folgt geändert:

1. § 1 Abs. 1 Z 3 entfällt.

2. In § 1 Abs. 1 Z 5 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

3. Die Überschrift des 2. Abschnitts lautet:

„Rollen für Gesundheitsdiensteanbieter“

4. § 2 samt Überschrift lautet:

„Rollen

§ 2. (1) Bei der elektronischen Verarbeitung von Gesundheitsdaten und genetischen Daten (Art. 4 Z 15 und 13 DSGVO) haben Gesundheitsdiensteanbieter gemäß § 2 Z 2 GTelG 2012 ausschließlich die in der Anlage definierten Rollen zu verwenden. Gesundheitsdiensteanbieter, die in mehreren Rollen tätig werden, haben jeweils die auf den konkreten Verarbeitungsvorgang zutreffende Rolle zu verwenden.

(2) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin kann im Internet sowie über die Elektronische Verlautbarungs- und Informationsplattform des Bundes (EVI) gemäß § 5 WZEVI-Gesetz, BGBl. I Nr. 46/2023, eine nähere Beschreibung der in der Anlage genannten Rollen veröffentlichen, in der insbesondere einzelne Rollen erläutert oder Abgrenzungen der Rollen vorgenommen werden.“

5. § 3 Abs. 1 und 2 lauten:

„(1) Verantwortliche (Art. 4 Z 7 DSGVO) oder Auftragsverarbeiter (Art. 4 Z 8 DSGVO), die zur Auffassung kommen, dass ihre Tätigkeit weder einer Rolle nach Teil 1 noch nach Teil 2 der Anlage zugeordnet werden kann, haben bei dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin die Eintragung einer neuen Rolle zu beantragen. Die Antragstellung kann in elektronischer Form erfolgen.

(2) Für Anträge gemäß Abs. 1 ist ein entsprechendes Formular zu verwenden, das von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin in geeigneter Weise zur Verfügung zu stellen ist.“

6. In § 3 Abs. 3 Z 1, Z 2 und Z 4 wird jeweils die Wort- und Zeichenfolge „Antragstellerin/des Antragstellers“ durch die Wendung „antragstellenden Person“ ersetzt.

7. In § 3 Abs. 3 Z 8 entfällt im Klammerausdruck die Ziffer „1“.

8. In § 3 Abs. 3 wird am Ende der Z 9 das Wort „sowie“ durch einen Beistrich ersetzt.

9. In § 3 Abs. 3 Z 10 wird die Wort- und Zeichenfolge „Auftraggeber oder Dienstleister gemäß § 4 DSG 2000“ durch die Wort- und Zeichenfolge „Verantwortliche oder Auftragsverarbeiter (Art. 4 Z 7 und 8 DSGVO)“ ersetzt und es wird am Ende der Punkt durch das Wort „sowie“ ersetzt.

10. Dem § 3 Abs. 3 wird folgender Z 11 angefügt:

1. „11. sofern der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin die zuständige Registrierungsstelle gemäß § 9 Abs. 3 GTelG 2012 ist, die in § 10 Abs. 1 GTelG 2012 genannten Daten für die Eintragung in den eHealth-Verzeichnisdienst.“

11. In § 3 Abs. 4 wird die Wortfolge „Die Registrierungsstellen haben“ durch die Wortfolge „Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat“, die Wort- und Zeichenfolge „Anlage 1“ durch das Wort „Anlage“ und die Wortfolge „Sie können“ durch die Wortfolge „Er oder sie kann“ ersetzt.

12. § 3 Abs. 5 entfällt.

13. In § 3 Abs. 6 wird die Wortfolge „Der Bundesminister für Gesundheit“ durch die Wortfolge „Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin“ ersetzt und am Ende des Einleitungsteiles entfällt der Doppelpunkt.

14. In § 3 Abs. 7 wird die Wortfolge „hat der Bundesminister für Gesundheit“ durch das Wort „sind“ ersetzt.

15. § 4 samt Überschrift entfällt.

16. In § 5 Abs. 1 entfällt am Ende der Punkt und es werden folgende Z 1 bis 3 angefügt:

1. „1. durch Übermittlung aus Registern (§ 6),
2. 2. durch Meldung (§ 7) oder
3. 3. durch Übermittlung an den für das Gesundheitswesen zuständigen Bundesminister oder die zuständige Bundesministerin (§ 8).“

17. In § 5 Abs. 2 und Abs. 5 wird jeweils die Wortfolge „Bundesminister für Gesundheit“ durch die Wortfolge „für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin“ ersetzt.

18. § 5 Abs. 3 lautet:

„(3) Die Spezifikation gemäß Abs. 2 hat für vereinfachte Meldungen gemäß § 9 Abs. 3 Z 2 lit. a in Verbindung mit Abs. 4 GTelG 2012

1. 1. nähere Bestimmungen über
   1. a) die Art und den Umfang der hinsichtlich der Organisationseinheiten zu meldenden Daten und
   2. b) die von den Gesundheitsdiensteanbietern zu übernehmenden Daten

      zu enthalten sowie

1. 2. das Vorschlagsrecht der Gesundheitsdiensteanbieter zu den Angaben gemäß § 10 Abs. 1 Z 6 GTelG 2012 in Bezug auf die Organisationseinheiten zu berücksichtigen.“

19. § 6 Abs. 1 lautet:

„(1) Die Registrierungsstellen gemäß § 9 Abs. 3 Z 1 GTelG 2012 haben dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin die in § 10 Abs. 1 GTelG 2012 genannten Daten von allen im jeweiligen Register gemäß § 9 Abs. 3 Z 1 lit. a bis i GTelG 2012 eingetragenen Gesundheitsdiensteanbietern zu übermitteln. Die Übermittlung hat von Montag bis Freitag zu erfolgen.“

20. § 6 Abs. 3 entfällt.

21. § 7 Abs. 1 lautet:

„(1) Die Registrierungsstellen gemäß § 9 Abs. 3 Z 2 GTelG 2012 haben dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin die in § 10 Abs. 1 GTelG 2012 genannten Daten der ihrem jeweiligen Wirkungsbereich zugeordneten Gesundheitsdiensteanbieter zu übermitteln. Die Übermittlung hat zumindest einmal monatlich, bei Wegfall der Berechtigung zur Wahrnehmung der Rolle jedoch unverzüglich, zu erfolgen.“

22. § 7 Abs. 3 entfällt.

23. § 8 samt Überschrift lautet:

„Eintragung durch Übermittlung an den für das Gesundheitswesen zuständigen Bundesminister oder die zuständige Bundesministerin

§ 8. (1) Gesundheitsdiensteanbieter, für die gemäß § 9 Abs. 3 Z 3 GTelG 2012 der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin die zuständige Registrierungsstelle ist, haben die für die Eintragung erforderlichen Daten gemäß § 10 Abs. 1 GTelG 2012 diesem oder dieser zu übermitteln. Jede Änderung dieser Daten, insbesondere der Wegfall der Berechtigung zur Wahrnehmung der Rolle, ist dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin unverzüglich zu übermitteln.

(2) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat vor der erstmaligen Eintragung in den eHealth-Verzeichnisdienst die ihm oder ihr von dem Gesundheitsdiensteanbieter übermittelten Daten auf Vorliegen aller Voraussetzungen für die Eintragungen zu prüfen. Liegen die Voraussetzungen für die Eintragung vor, ist der Gesundheitsdiensteanbieter von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin in den eHealth-Verzeichnisdienst einzutragen. Liegen die Voraussetzungen für die Eintragung nicht vor, ist über die nicht vorgenommene Eintragung ein Bescheid zu erlassen.

(3) Beabsichtigt der Gesundheitsdiensteanbieter mit der Eintragung in den eHealth-Verzeichnisdienst auch die Eintragung in den Gesundheitsdiensteanbieterindex (§ 19 GTelG 2012), so hat er bei der Übermittlung der Daten gemäß Abs. 1 anzugeben, dass es sich bei ihm um einen ELGA-Gesundheitsdiensteanbieter (§ 2 Z 10 GTelG 2012) handelt und ist dies ausführlich zu begründen. Die Eintragung in den Gesundheitsdiensteanbieterindex setzt die Eintragung in den eHealth-Verzeichnisdienst voraus.“

24. In der Überschrift des § 9 wird das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

25. In § 9 Abs. 1 wird die Wortfolge „Bundesminister für Gesundheit“ durch die Wortfolge „für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin“ ersetzt und das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

26. In § 9 Abs. 2 wird die Wortfolge „beim Bundesminister für Gesundheit“ durch die Wortfolge „bei dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin“ ersetzt und das Wort „Verwendung“ durch das Wort „Verarbeitung“ ersetzt.

27. In § 9 Abs. 3 wird die Wortfolge „Bundesminister für Gesundheit“ durch die Wortfolge „für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin“ ersetzt.

28. § 10 samt Überschrift lautet:

„Veröffentlichungen

§ 10. Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat die in dieser Verordnung vorgesehenen Veröffentlichungen im Internet im Öffentlichen Gesundheitsportal Österreichs (§ 12a GTelG 2012) unter www.gesundheit.gv.at vorzunehmen.“

29. Dem § 11 werden folgende Abs. 3 und 4 angefügt:

„(3) § 1 Abs. 1 Z 5, die Überschrift des 2. Abschnitts, § 2, § 3 Abs. 1 und 2, Abs. 3 Z 1, 2, 4, 8 und 9 bis 11, Abs. 4, 6 und 7, § 5 Abs. 1 Z 1 bis 3 und Abs. 2 bis 4, § 6 Abs. 1, § 7 Abs. 1, § 8 samt Überschrift, die Überschrift zu § 9, § 9 und § 10 sowie die Anlage in der Fassung der Verordnung BGBl. II Nr. 11/2025 treten mit dem der Kundmachung folgenden Tag in Kraft; gleichzeitig treten § 1 Abs. 1 Z 3, § 3 Abs. 5, § 4 samt Überschrift, § 6 Abs. 3, § 7 Abs. 3 und die Anlage 2 außer Kraft.

(4) Für Medizinproduktehersteller (Teil 2 Z 34 der Anlage) ist § 2 Abs. 1 bis 31. Juli 2026 nicht anzuwenden.“

30. Die bisherige Anlage 1 enthält die Bezeichnung „Anlage“ und es entfällt die Anlage 2.

31. In der Anlage wird in Teil 1 nach der Z 3 folgende Z 3a eingefügt:

1. „3a. Fachärztin/Facharzt, unter Beifügung der gemäß Ärztinnen-/Ärzte-Ausbildungsordnung 2015 (ÄAO 2015), BGBl. II Nr. 147/2015, zutreffenden Berufsbezeichnung (Sonderfach in runden Klammern)“

32. In der Anlage werden in Teil 1 nach der Z 4 folgende Z 4a und 4b eingefügt:

1. „4a. Turnusärztin/Turnusarzt
2. 4b. Ärztin/Arzt mit partiellem Berufszugang“

33. Teil 1 Z 19 der Anlage lautet:

1. „19. Diplomierte Gesundheits- und Krankenpflegerin/Diplomierter Gesundheits- und Krankenpfleger“

33a. Teil 1 Z 20 und Z 21 entfallen.

34. Dem Teil 1 der Anlage werden folgende Z 24 bis Z 26 angefügt:

1. „24. Pflegeassistenz
2. 25. Pflegefachassistenz
3. 26. Operationstechnische Assistenz“

35. In der Anlage wird in Teil 2 nach der Z 25 folgende Z 25a eingefügt:

1. „25a. eHealth-Servicestelle“

36. Dem Teil 2 der Anlage werden folgende Z 33 bis Z 39 angefügt:

1. „33. Primärversorgungseinheit
2. 34. Medizinproduktehersteller
3. 35. Gesundheitsberatung 1450
4. 36. Ärztlicher Bereitschaftsdienst
5. 36a. Ärztebereitstellungsdienst gemäß § 45 Abs. 3 Ärztegesetz 1998 (ÄrzteG 1998), BGBl. I Nr. 169/1998
6. 37. Telemedizinischer Dienst
7. 38. National Contact Point (NCP)
8. 39. Schulgesundheitspflege“

Artikel 2

Änderung der ELGA-Verordnung 2015

Die ELGA-Verordnung 2015 (ELGA-VO 2015), BGBl. II Nr. 106/2015, zuletzt geändert durch die ELGA-Verordnungsnovelle 2022, BGBl. II Nr. 339/2023, wird wie folgt geändert:

1. Dem Verordnungstext wird folgendes Inhaltsverzeichnis vorangestellt:

„Inhaltsverzeichnis

​

2. § 1 samt Überschrift lautet:

„Gegenstand

§ 1. Gegenstand dieser Verordnung ist die Implementierung und Weiterentwicklung der Elektronischen Gesundheitsakte (ELGA), insbesondere durch die Festlegung

1. 1. des Beginns der Speicherverpflichtung für ELGA-Gesundheitsdiensteanbieter,
2. 2. der wechselwirkungsrelevanten, nicht verschreibungspflichtigen Arzneimittel,
3. 3. von Standards für Struktur und Format von ELGA-Gesundheitsdaten,
4. 4. der Mindestanforderungen für den Inhalt eines Aushanges bei ELGA-Gesundheitsdiensteanbietern,
5. 5. der Betreiber des Berechtigungs- und Protokollierungssystems sowie
6. 6. der Sicherheitsanforderungen für ELGA.“

3. In der Überschrift zu § 2 wird vor dem Wort „Begriffsbestimmungen“ das Wort „Technische“ eingefügt.

4. In § 2 Z 2 wird in den lit. a bis c jeweils der Punkt durch einen Beistrich ersetzt.

5. In § 2 entfallen Z 5 und 6 und Z 2a erhält die Bezeichnung „3.“, Z 3 die Bezeichnung „4.“, Z 3a die Bezeichnung „5.“, Z 3b die Bezeichnung „6.“ und Z 4 die Bezeichnung „7.“ und Z 7 erhält die Bezeichnung „8.“.

6. Dem § 2 werden folgende Z 9 und 10 angefügt:

1. „ 9. „Objekt-Identifikator“ („OID“): die eindeutige Kennung gemäß § 10 Abs. 1 Z 6 in Verbindung mit Abs. 5 GTelG 2012.
2. 10. „kontrolliertes Vokabular“: eine Sammlung klar definierter Begriffe ohne Synonyme oder Mehrdeutigkeiten.“

7. Die Überschrift des 2. Abschnitts lautet:

„Speicherverpflichtungen“

8. Die §§ 3 bis 9 samt jeweiliger Überschrift lauten:

„Grundsätze der Speicherverpflichtung

§ 3. (1) Die ELGA-Gesundheitsdiensteanbieter sind nach Maßgabe dieser Verordnung gemäß § 13 Abs. 3 GTelG 2012 zur Speicherung von ELGA-Gesundheitsdaten verpflichtet. Die Speicherverpflichtung besteht nur, sofern sich aus den §§ 15 Abs. 2 und 16 Abs. 2 Z 2 GTelG 2012 nichts anderes ergibt.

(2) Speicherverpflichtungen für Krankenanstalten:

1. 1. Für Krankenanstalten gemäß § 1 KAKuG, die über Landesgesundheitsfonds abgerechnet werden, private Krankenanstalten gemäß § 1 Abs. 2 PRIKRAF-G und Krankenanstalten, die gemäß § 24 Abs. 2 ASVG von der Allgemeinen Unfallversicherungsanstalt betriebenen werden, gelten folgende Speicherverpflichtungen:
2. a) Speicherung von Entlassungsbriefen (§ 13 Abs. 3 Z 1 GTelG 2012);
3. b) Speicherung von Laborbefunden (§ 13 Abs. 3 Z 2 GTelG 2012);
4. c) Speicherung von Befunden der bildgebenden Diagnostik (§ 13 Abs. 3 Z 3 GTelG 2012);
5. d) Speicherung von Pathologiebefunden (§ 13 Abs. 3 Z 7 in Verbindung mit § 28a Abs. 1 Z 2 lit. a sublit. aa GTelG 2012) und
6. e) Speicherung von sonstigen fachärztlichen Befunden im Rahmen ambulanter Behandlungen (§ 13 Abs. 3 Z 7 in Verbindung mit § 28a Abs. 1 Z 2 lit. a sublit. bb GTelG 2012.

1. 2. Selbstständige Ambulatorien gemäß § 2 Abs. 1 Z 5 KAKuG, deren Leistungsspektrum Aufgaben der ärztlichen Berufe im Sinne des § 2 Z 10 GTelG 2012 umfasst, speichern Medikationsdaten bei deren Verordnung.

(3) Speicherverpflichtungen für Angehörige des ärztlichen Berufes im niedergelassenen Bereich:

1. 1. Für freiberufliche Fachärzte und Fachärztinnen des Sonderfachs Medizinisch-Chemische Labordiagnostik und des Sonderfachs Klinische Mikrobiologie und Hygiene gilt eine Verpflichtung für die Speicherung von Laborbefunden (§ 13 Abs. 3 Z 2 GTelG 2012).
2. 2. Für freiberufliche Fachärzte und Fachärztinnen des Sonderfaches Radiologie gilt eine Verpflichtung für die Speicherung von Befunden der bildgebenden Diagnostik (§ 13 Abs. 3 Z 3 GTelG 2012).
3. 3. Die Verpflichtung zur Speicherung von Medikationsdaten bei der Verordnung (§ 13 Abs. 3 Z 4 GTelG 2012) gilt für folgende Ärzte und Ärztinnen:
   1. a) Ärztinnen und Ärzte der Allgemeinmedizin,
   2. b) Fachärztinnen und Fachärzte einer der internistischen Sonderfächer im Sinne des § 15 Abs. 1 Z 11 Ärztinnen-/Ärzte-Ausbildungsordnung 2015,
   3. c) Fachärztinnen und Fachärzte einer der folgenden Sonderfächer:
      1. aa) Augenheilkunde und Optometrie,
      2. bb) Frauenheilkunde und Geburtshilfe,
      3. cc) Hals-, Nasen- und Ohrenheilkunde,
      4. dd) Haut- und Geschlechtskrankheiten,
      5. ee) Kinder- und Jugendheilkunde,
      6. ff) Kinder- und Jugendpsychiatrie,
      7. gg) Kinder- und Jugendpsychiatrie und Psychotherapeutische Medizin,
      8. hh) Lungenkrankheiten,
      9. ii) Neurologie,
      10. jj) Neurologie und Psychiatrie,
      11. kk) Orthopädie und Orthopädische Chirurgie,
      12. ll) Orthopädie und Traumatologie,
      13. mm) Psychiatrie,
      14. nn) Psychiatrie und Neurologie,
      15. oo) Psychiatrie und Psychotherapeutische Medizin,
      16. pp) Urologie und
      17. qq) Anästhesiologie und Intensivmedizin und
   1. d) Fachärztinnen und Fachärzte einer der Chirurgischen Sonderfächer im Sinne des § 15 Abs. 1 Z 5 Ärztinnen-/Ärzte-Ausbildungsordnung 2015.

1. 4. Für hausapothekenführende Ärzte und Ärztinnen gilt eine Verpflichtung zur Speicherung von Medikationsdaten bei der Abgabe (§ 13 Abs. 3 Z 5 GTelG 2012).
2. 5. Für freiberufliche Fachärzte und Fachärztinnen der Klinisch-Pathologischen Sonderfächer im Sinne des § 15 Abs. 1 Z 15 Ärztinnen-/Ärzte-Ausbildungsordnung 2015 gilt eine Verpflichtung zur Speicherung von Pathologiebefunden (§ 13 Abs. 3 Z 7 in Verbindung mit § 28a Abs. 1 Z 2 lit. a sublit. aa GTelG 2012).
3. 6. Für freiberufliche Fachärzte und Fachärztinnen gilt eine Verpflichtung zur Speicherung von sonstigen fachärztlichen Befunden (§ 13 Abs. 3 Z 7 in Verbindung mit § 28a Abs. 1 Z 2 lit. a sublit. bb GTelG 2012).
4. 7. Die Verpflichtungen gemäß Z 1 bis Z 6 gelten
   1. a) jeweils auch bei Ausübung des ärztlichen Berufes in der Form einer Zusammenarbeit als selbstständig berufsbefugte Gruppenpraxis und
   2. b) auch für Ärzte und Ärztinnen, die bei den dort genannten freiberuflichen Ärzten und Ärztinnen angestellt sind.

(4) Speicherverpflichtungen für Öffentliche Apotheken: Für Öffentliche Apotheken gemäß § 1 des Apothekengesetzes, RGBl. Nr. 5/1907 („Öffentliche Apotheken“) gilt eine Verpflichtung zur Speicherung von Medikationsdaten bei der Abgabe (§ 13 Abs. 3 Z 5 GTelG 2012).

(5) Speicherverpflichtungen für Einrichtungen der Pflege: Für stationäre Pflegeeinrichtungen und Einrichtungen der mobilen Pflege gilt eine Verpflichtung zur Speicherung des Pflegesituationsberichts (§ 13 Abs. 3 Z 6 GTelG 2012).

Beginn der Speicherverpflichtung

§ 4. (1) Als Beginn der Speicherverpflichtung gilt der 1. Jänner 2026, sofern in dieser Verordnung oder in § 27 GTelG 2012 kein früherer Zeitpunkt genannt ist.

(2) ELGA-Gesundheitsdiensteanbieter dürfen bereits vor dem für sie geltenden Verpflichtungstermin ELGA-Gesundheitsdaten in ELGA speichern.

(3) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat den ELGA-Gesundheitsdiensteanbietern oder den jeweiligen gesetzlichen Interessensvertretungen in geeigneter Weise eine Übersicht der jeweils für sie geltenden Verpflichtungstermine zur Verfügung zu stellen.

Speicherung von Entlassungsbriefen und sonstigen Befunden (§ 13 Abs. 3 Z 1 und Z 7 GTelG 2012)

§ 5. (1) Speicherung durch Krankenanstalten:

1. 1. Ab Inkrafttreten dieser Verordnung sind die in § 3 Abs. 2 Z 1 genannten Krankenanstalten zur Speicherung von Entlassungsbriefen gemäß § 13 Abs. 3 Z 1 GTelG 2012 verpflichtet.
2. 2. Ab 1. Jänner 2028 sind die in § 3 Abs. 2 Z 1 genannten Krankenanstalten zur Speicherung von Pathologiebefunden gemäß § 13 Abs. 3 Z 7 in Verbindung mit § 28a Abs. 1 Z 2 lit. a sublit. aa GTelG 2012 verpflichtet.
3. 3. Ab 1. Jänner 2030 sind die in § 3 Abs. 2 Z 1 genannten Krankenanstalten zur Speicherung von sonstigen fachärztlichen Befunden im Rahmen ambulanter Behandlungen gemäß § 13 Abs. 3 Z 7 in Verbindung mit § 28a Abs. 1 Z 2 lit. a sublit. bb GTelG 2012 verpflichtet.

(2) Speicherung durch Angehörige des ärztlichen Berufes im niedergelassenen Bereich:

1. 1. Ab 1. Jänner 2028 sind die Fachärzte und Fachärztinnen der Klinisch-Pathologischen Sonderfächer im Sinne des § 15 Abs. 1 Z 15 Ärztinnen-/Ärzte-Ausbildungsordnung 2015 zur Speicherung von Pathologiebefunden gemäß § 13 Abs. 3 Z 7 in Verbindung mit § 28a Abs. 1 Z 2 lit. a sublit. aa GTelG 2012 verpflichtet.
2. 2. Ab 1. Jänner 2030 sind freiberufliche Fachärzte und Fachärztinnen zur Speicherung von sonstigen fachärztlichen Befunden im Rahmen ambulanter Behandlungen gemäß § 13 Abs. 3 Z 7 in Verbindung mit § 28a Abs. 1 Z 2 lit. a sublit. bb GTelG 2012 verpflichtet.

(3) Die Verpflichtungstermine nach Abs. 2 erstrecken sich nicht

1. 1. auf Vertragsärztinnen und Vertragsärzte mit Ausnahme von Gruppenpraxen deren Einzelvertrag aufgrund der im anzuwendenden Gesamtvertrag festgelegten Altersgrenze innerhalb von vier Jahren ab dem gemäß Abs. 2 anzuwendenden Verpflichtungszeitpunkt jedenfalls endet und
2. 2. auf Ärztinnen und Ärzte, die nicht in einem Vertragsverhältnis zu einem Träger der gesetzlichen Sozialversicherung stehen, sofern eine Abwägung nach § 49 Abs. 7 Ärztegesetz 1998 (ÄrzteG 1998), BGBl. I Nr. 169/1998, ergibt, dass damit ein unverhältnismäßiger Aufwand verbunden wäre.

Speicherung von Laborbefunden und Befunden der bildgebenden Diagnostik (§ 13 Abs. 3 Z 2 und Z 3 GTelG 2012)

§ 6. (1) Speicherung durch Krankenanstalten:

1. 1. Ab Inkrafttreten dieser Verordnung sind die in § 3 Abs. 2 Z 1 genannten Krankenanstalten zur Speicherung von Laborbefunden gemäß § 13 Abs. 3 Z 2 GTelG 2012 und zur Speicherung von Befunden der bildgebenden Diagnostik gemäß § 13 Abs. 3 Z 3 GTelG 2012, jeweils im Rahmen der ambulanten Behandlung, verpflichtet.
2. 2. Ab 1. Jänner 2026 sind die in § 3 Abs. 2 Z 1 genannten Krankenanstalten zur Speicherung von Laborbefunden gemäß § 13 Abs. 3 Z 2 GTelG 2012 und zur Speicherung von Befunden der bildgebenden Diagnostik gemäß § 13 Abs. 3 Z 3 GTelG 2012, jeweils im von ambulanten, stationären und telemedizinischen Behandlungen, verpflichtet.

(2) Speicherung durch Angehörige des ärztlichen Berufes im niedergelassenen Bereich:

1. 1. Ab 1. Juli 2025 sind die freiberuflichen Fachärzte und Fachärztinnen des Sonderfachs Medizinisch-Chemische Labordiagnostik und des Sonderfachs Klinische Mikrobiologie und Hygiene (§ 3 Abs. 3 Z 1) zur Speicherung von Laborbefunden gemäß § 13 Abs. 3 Z 2 GTelG 2012 verpflichtet.
2. 2. Ab 1. Juli 2025 sind die freiberuflichen Fachärzte und Fachärztinnen des Sonderfaches Radiologie (§ 3 Abs. 3 Z 2) zur Speicherung von Befunden der bildgebenden Diagnostik gemäß § 13 Abs. 3 Z 3 GTelG 2012 verpflichtet.

(3) Die Verpflichtungstermine nach Abs. 2 erstrecken sich nicht

1. 1. auf Vertragsärztinnen und Vertragsärzte mit Ausnahme von Gruppenpraxen deren Einzelvertrag aufgrund der im anzuwendenden Gesamtvertrag festgelegten Altersgrenze innerhalb von vier Jahren ab dem gemäß Abs. 2 anzuwendenden Verpflichtungszeitpunkt jedenfalls endet und
2. 2. auf Ärztinnen und Ärzte, die nicht in einem Vertragsverhältnis zu einem Träger der gesetzlichen Sozialversicherung stehen, sofern eine Abwägung nach § 49 Abs. 7 ÄrzteG 1998 ergibt, dass damit ein unverhältnismäßiger Aufwand verbunden wäre.

(4) Unter telemedizinischer Behandlung im Sinne dieser Bestimmung versteht man eine örtlich und/oder zeitlich asynchron, im Einklang mit berufsrechtlichen Vorschriften erbrachte Behandlung. Dazu zählen insbesondere Telekonsultation, Telekonferenz, Teletherapie, Telechirurgie, Teleradiologie und Telepathologie.

Speicherung von Medikationsdaten (§ 13 Abs. 3 Z 4 und Z 5 GTelG 2012)

§ 7. (1) Speicherung durch Krankenanstalten: Ab Inkrafttreten dieser Verordnung (Rechtsvorschrift) speichern die in § 3 Abs. 2 Z 2 genannten selbstständigen Ambulatorien Medikationsdaten bei deren Verordnung (Rezept).

(2) Speicherung durch Angehörige des ärztlichen Berufs im niedergelassenen Bereich:

1. 1. Ab Inkrafttreten dieser Verordnung (Rechtsvorschrift) sind die in § 3 Abs. 3 Z 3 genannten Angehörigen des ärztlichen Berufs, mit Ausnahme der in lit. c sublit. qq und lit. d Genannten, die in einem Vertragsverhältnis zu einem Träger der gesetzlichen Sozialversicherung gemäß § 341 oder § 343a ASVG stehen, zur Speicherung von Medikationsdaten bei deren Verordnung (Rezept) gemäß § 13 Abs. 3 Z 4 GTelG 2012 verpflichtet.
2. 2. Ab 1. Jänner 2026 sind die in § 3 Abs. 3 Z 3 genannten Angehörigen des ärztlichen Berufs, die nicht von Z 1 umfasst sind, zur Speicherung von Medikationsdaten bei der Verordnung (Rezept) gemäß § 13 Abs. 3 Z 4 GTelG 2012 verpflichtet.
3. 3. Ab 1. Jänner 2026 sind hausapothekenführende Ärzte und Ärztinnen zur Speicherung von Medikation bei der Abgabe gemäß § 13 Abs. 3 Z 5 GTelG 2012 verpflichtet.

(3) Die Verpflichtungstermine nach Abs. 2 erstrecken sich nicht auf Ärztinnen und Ärzte, die nicht in einem Vertragsverhältnis zu einem Träger der gesetzlichen Sozialversicherung stehen, sofern eine Abwägung nach § 49 Abs. 7 ÄrzteG 1998 ergibt, dass damit ein unverhältnismäßiger Aufwand verbunden wäre.

(4) Speicherung durch Öffentliche Apotheken: Ab Inkrafttreten dieser Verordnung sind Öffentliche Apotheken gemäß § 3 Abs. 4 zur Speicherung von Medikation bei der Abgabe § 13 Abs. 3 Z 5 GTelG 2012 verpflichtet.

Speicherung des Pflegesituationsberichts (§ 13 Abs. 3 Z 6 GTelG 2012)

§ 8. Ab 1. Jänner 2026 sind die in § 3 Abs. 5 genannten Einrichtungen der Pflege zur Speicherung des Pflegesituationsberichts gemäß § 13 Abs. 3 Z 6 GTelG 2012 verpflichtet.

Vorliegen der technischen Voraussetzungen

§ 9. (1) Die Speicherung der in den §§ 5 bis 8 genannten ELGA-Gesundheitsdaten gilt unter der Voraussetzung, dass die Nutzung der ELGA-Komponenten (§ 24 GTelG 2012) zur Verarbeitung von ELGA-Gesundheitsdaten technisch möglich ist.

(2) Die ELGA-Gesundheitsdiensteanbieter haben das Vorliegen der technischen Voraussetzungen für die Nutzung der ELGA-Komponenten zur Verarbeitung von ELGA-Gesundheitsdaten jedenfalls mit 1. Jänner 2026 sicherzustellen. Sie kommen ihrer Verpflichtung auch dann nach, wenn sie mit Dritten einen Umsetzungstermin bis spätestens 31. Dezember 2028 vertraglich ausdrücklich vereinbaren, an welchem die technischen Voraussetzungen für die Nutzung der ELGA-Komponenten, insbesondere hinsichtlich der ELGA-Interoperabilitätsstufe „EIS Full Support“ vorliegen werden.

(3) Bei der Verpflichtung zur Sicherstellung des Vorliegens der technischen Voraussetzungen gemäß Abs. 2 ist für Angehörige des ärztlichen Berufs § 49 Abs. 7 ÄrzteG 1998 zu berücksichtigen.“

9. Der 3. Abschnitt wird nach § 9 eingefügt und erhält folgende Überschrift:

„Wechselwirkungsrelevante, nicht verschreibungspflichtige Arzneimittel“

10. Die §§ 10 bis 12 samt jeweiliger Überschrift lauten:

„OTC-Liste

§ 10. (1) OTC-Arzneimittel sind von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin am Öffentlichen Gesundheitsportal Österreichs (§ 12a GTelG 2012) unter www.gesundheit.gv.at als OTC-Liste zu veröffentlichen.

(2) Die OTC-Liste ist den ELGA-Gesundheitsdiensteanbietern zu Erfüllung der Speicherverpflichtung gemäß § 13 Abs. 3 GTelG 2012 in geeigneter Weise zur Verfügung zu stellen.

Aktualisierung der OTC-Liste

§ 11. (1) Führen andere als auf der OTC-Liste genannten Arzneimittel zu Wechselwirkungen, so hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin die OTC-Liste zu aktualisieren und die aktualisierte Liste gemäß § 10 zu veröffentlichen.

(2) Arzneimittel, die auf der aktualisierten OTC-Liste neu enthalten sind, müssen spätestens 6 Monate ab dem Zeitpunkt der Veröffentlichung gemäß § 10 als ELGA-Gesundheitsdaten in ELGA gespeichert werden.

OTC-Beratungsgremium

§ 12. (1) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin kann sich zur Erstellung und Aktualisierung der OTC-Liste der Österreichischen Agentur für Gesundheit und Ernährungssicherheit (AGES) bedienen.

(2) Die AGES hat ein Beratungsgremium („OTC-Beratungsgremium“) einzurichten, dem insbesondere Vertreter/innen

1. 1. der Österreichischen Ärztekammer,
2. 2. der Österreichischen Zahnärztekammer,
3. 3. der Österreichischen Apothekerkammer,
4. 4. der Bundeskammer der gewerblichen Wirtschaft in ihrer Eigenschaft als gesetzliche Vertretung der Hersteller sowie
5. 5. der österreichischen Sozialversicherung

   angehören.“

11. Der 4. Abschnitt wird nach § 12 eingefügt und erhält folgende Überschrift:

„Standards für Struktur und Format von ELGA-Gesundheitsdaten“

12. § 13 samt Überschrift lautet:

„ELGA-Interoperabilitätsstufe

§ 13. Die ELGA-Interoperabilitätsstufe „EIS Full Support“ gilt als Mindeststandard für

1. 1. die medizinischen Dokumente gemäß § 2 Z 9 lit. a sublit. aa bis cc GTelG 2012, nämlich
   1. a) Entlassungsbriefe,
   2. b) Laborbefunde und
   3. c) Befunde der bildgebenden Diagnostik einschließlich allfälliger Bilddaten sowie

1. 2. Medikationsdaten gemäß § 2 Z 9 lit. b GTelG 2012.“

13. Die Paragraphenüberschrift zu § 14 lautet:

„Standards für Struktur und Format von Medikationsdaten“

14. § 14 Abs. 1 lautet:

„(1) Datensätze zur Verordnung und Abgabe von Arzneimitteln (Medikationsdaten gemäß § 2 Z 9 lit. b GTelG 2012) haben die in § 15 genannten Angaben zu enthalten.“

15. § 14 Abs. 4 und 5 entfällt.

16. § 15 samt Überschrift lautet:

„Datensätze zur Verordnung und Abgabe von Arzneimitteln

§ 15. (1) Datensätze zu Medikationsdaten gemäß § 2 Z 9 lit. b GTelG 2012 haben jedenfalls folgende Angaben zu enthalten:

1. 1. die Identität der ELGA-Teilnehmer/innen, an die das Arzneimittel verordnet bzw. abgegeben wird, durch Verarbeitung entsprechender eindeutiger Identifikatoren des Patientenindex gemäß § 18 GTelG 2012,
2. 2. die Identität des tatsächlich verordnenden bzw. abgebenden ELGA-Gesundheitsdiensteanbieters durch Verarbeitung entsprechender eindeutiger Identifikatoren des Gesundheitsdiensteanbieterindex gemäß § 19 GTelG 2012,
3. 3. den Handelsnamen oder den Wirkstoff,
4. 4. die Verordnungs-ID als eindeutigen, maschinell erhobenen und maschinell lesbaren Identifikator der Verordnung sowie
5. 5. die Abgabe-ID als eindeutigen, maschinell erhobenen Identifikator der Abgabe.

(2) Datensätze zu Medikationsdaten gemäß § 2 Z 9 lit. b GTelG 2012, die sich auf die Verordnung von Arzneimittel beziehen, dürfen über Abs. 1 hinaus folgende Angaben enthalten:

1. 1. Angaben zur Dauer der Gültigkeit und Abgabewiederholung der Verordnung,
2. 2. die Einnahmeregeln zum Zeitpunkt der Verordnung,
3. 3. die verordnete Packungsanzahl sowie
4. 4. nach der Art der jeweiligen Arzneimittelverordnung erforderliche, der Patientin/dem Patienten mitgeteilte Zusatzinformationen.

(3) Datensätze zu Medikationsdaten gemäß § 2 Z 9 lit. b GTelG 2012, die sich auf die Abgabe von Arzneimittel beziehen, dürfen über Abs. 1 hinaus folgende Angaben enthalten:

1. 1. die Einnahmeregeln zum Zeitpunkt der Abgabe,
2. 2. die abgegebene Packungsanzahl sowie
3. 3. nach der Art der jeweiligen Arzneimittelabgabe erforderliche, der Patientin/dem Patienten mitgeteilte Zusatzinformationen.“

17. In § 16 Abs. 1 wird im Einleitungsteil der Klammerausdruck „(§ 2 Z 9 lit. a und b GTelG 2012)“ durch die Wort- und Zeichenfolge „gemäß § 2 Z 9 lit. a und b GTelG 2012“ ersetzt und in Z 5 der Klammerausdruck „(Version 2.06)“ durch den Klammerausdruck „(Version 3)“.

18. § 16 Abs. 3 lautet:

„(3) Die Implementierungsleitfäden gemäß Abs. 1, deren Prüfsummen sowie ihre OID sind von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin am Öffentlichen Gesundheitsportal Österreichs (§ 12a GTelG 2012) unter www.gesundheit.gv.at zu veröffentlichen.“

19. § 16 Abs. 7 entfällt.

20. § 17 samt Überschrift lautet:

„Terminologien

§ 17. (1) Für die Verarbeitung von ELGA-Gesundheitsdaten gemäß § 2 Z 9 GTelG 2012 sind die gemäß Abs. 2 veröffentlichten Terminologien zu verwenden.

(2) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat

1. 1. die für die Verarbeitung von ELGA-Gesundheitsdaten zu verwendenden Terminologien sowie
2. 2. die OID der zu verwendenden Terminologien

   als kontrollierte Vokabulare in elektronischer Form am Öffentlichen Gesundheitsportal Österreichs (§ 12a GTelG 2012) unter www.gesundheit.gv.at zu veröffentlichen.

(3) Sind Terminologien zu aktualisieren, so hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin diese gemäß Abs. 2 zu veröffentlichen.“

21. Die §§ 17a bis 17k entfallen.

22. Die Überschrift des 5. Abschnitts lautet:

„Aushang zu den ELGA-Teilnehmer/innenrechten“

23. Die §§ 18 und 19 samt jeweiliger Überschrift lauten:

„Pflicht zur Information

§ 18. (1) Ab dem jeweils für sie gültigen Verpflichtungstermin haben die ELGA-Gesundheitsdiensteanbieter (§ 2 Z 10 GTelG 2012) die ELGA-Teilnehmer/innen gemäß § 16 Abs. 4 GTelG 2012 mittels eines verständlichen, gut sichtbaren und leicht zugänglichen Aushanges („ELGA-Aushang“) zu informieren.

(2) Der ELGA-Aushang ist von den ELGA-Gesundheitsdiensteanbietern (§ 2 Z 10 GTelG 2012) in jenen Bereichen ihrer Räumlichkeiten zu platzieren, in denen sich die ELGA-Teilnehmer/innen anmelden.

(3) Die gesetzlichen Interessenvertretungen der ELGA-Gesundheitsdiensteanbieter haben den ELGA-Aushang den jeweiligen ELGA-Gesundheitsdiensteanbietern rechtzeitig, spätestens ab dem jeweils gültigen Verpflichtungstermin, zur Verfügung zu stellen.

(4) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat

1. 1. den ELGA-Gesundheitsdiensteanbietern gemäß § 2 Z 10 lit. a, lit. c und lit. d GTelG 2012, sowie gemäß § 2 Z 10 lit. e GTelG 2012, sofern es sich dabei um stationäre Einrichtungen handelt, entsprechende Muster (Anlage 1 bis 4) sowie
2. 2. ein allgemeines Muster (Anlage 5)

   für den ELGA-Aushang zur Verfügung zu stellen und kann diese Muster jeweils auch am Öffentlichen Gesundheitsportal Österreichs (§ 12a GTelG 2012) unter www.gesundheit.gv.at zur Verfügung stellen.

(5) Werden die gemäß Abs. 4 zur Verfügung gestellten Muster aktualisiert, haben die ELGA-Gesundheitsdiensteanbieter, die diese Muster-Aushänge verwenden, den aktualisierten ELGA-Aushang spätestens drei Monate nach der Aktualisierung zu verwenden.

Anforderungen an den ELGA-Aushang

§ 19. (1) Für den ELGA-Aushang gilt Folgendes:

1. 1. Der ELGA-Aushang hat die Überschrift „Information für Patientinnen und Patienten“ sowie das ELGA-Logo zu enthalten.
2. 2. Für die Überschrift und das ELGA-Logo sind die für andere Anschläge bei dem jeweiligen ELGA-Gesundheitsdiensteanbieter übliche Schreibweise, Schriftgröße sowie Aufmachung zu verwenden.
3. 3. Anpassungen an den jeweiligen Außenauftritt („Corporate Design“) des ELGA-Gesundheitsdiensteanbieters sind zulässig.

(2) Der ELGA-Aushang hat jedenfalls Folgendes zu enthalten:

1. 1. Information über die Möglichkeit über das Zugangsportal und
   1. a) über die ELGA-Ombudsstelle eine persönliche Information über die in ELGA gespeicherten ELGA-Gesundheitsdaten sowie Protokolldaten sowie
   2. b) über die eHealth-Servicestelle Auskunft gemäß Art. 15 DSGVO über die in ELGA gespeicherten ELGA-Gesundheitsdaten

      zu erhalten,

1. 2. Information darüber, dass ELGA-Teilnehmer/innen über das Zugangsportal oder über die ELGA-Ombudsstelle individuelle Zugriffsberechtigungen für ELGA festlegen können,
2. 3. Information über die Möglichkeit, einen ELGA-Gesundheitsdiensteanbieter des Vertrauens festzulegen und
3. 4. Information darüber, dass der Teilnahme an ELGA situativ widersprochen werden kann („situatives Opt-out“) sowie die daraus resultierenden Folgen.“

24. Der 6. Abschnitt wird nach § 19 eingefügt und erhält folgende Überschrift:

„Betreiberfestlegungen“

25. Die Paragraphenüberschrift zu § 20 entfällt.

26. Nach § 20 wird folgender 7. Abschnitt eingefügt:

„7. Abschnitt

Sicherheitsanforderungen für ELGA“

27. § 21 samt Überschrift lautet:

„Zeitliche Verfügbarkeit

§ 21. (1) Die Betreiber von ELGA-Komponenten haben

1. 1. die Komponentenverfügbarkeit (§ 2 Z 3)
   1. a) während der Kernzeit (Abs. 2) zu gewährleisten, wobei eine Nicht-Verfügbarkeit von maximal elf Stunden pro Kalendervierteljahr zulässig ist,
   2. b) außerhalb der Kernzeit (Abs. 2) in hohem Maße sicherzustellen,

1. 2. auf Störungen unverzüglich zu reagieren, wobei Störungen außerhalb der Kernzeit jedenfalls im nächsten Kernzeitfenster bearbeitet werden müssen,
2. 3. auf sonstige Anfragen so schnell wie möglich zu reagieren,
3. 4. zu gewährleisten, dass der Zeitraum zwischen zwei Wiederherstellungspunkten so gering wie möglich ist, jedenfalls aber 30 Stunden nicht übersteigt und
4. 5. die Wiederherstellung gesicherter Daten mindestens einmal jährlich zu testen; dies ist gemäß § 8 GTelG 2012 zu dokumentieren.

(2) Im Sinne dieser Verordnung versteht man unter Kernzeit

1. 1. ab Inkrafttreten dieser Verordnung bis 30. Juni 2025 die Zeit an einem Werktag
   1. a) zwischen 8:30 Uhr und 16:30 Uhr von Montag bis Donnerstag und
   2. b) zwischen 8:30 Uhr und 13:30 Uhr an einem Freitag, und

1. 2. ab 1. Juli 2025 die Zeit an einem Werktag
   1. a) zwischen 7:00 Uhr und 17:00 Uhr von Montag bis Freitag und
   2. b) zwischen 8:00 und 12:00 Uhr am 24. und 31. Dezember.“

28. § 21a entfällt.

29. § 22 erhält die Bezeichnung „§ 32“ und § 23 erhält die Bezeichnung „§ 33“.

30. Die §§ 22 und 23 (neu) samt jeweiliger Überschrift lauten:

„Sicherheitsanforderungen und Zugriffsschutz

§ 22. (1) Zur Gewährleistung eines hohen Niveaus an Sicherheit und eines Zugriffsschutzes haben die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) die Sicherheitsanforderungen gemäß § 23 bis § 30 einzuhalten und die Einhaltung dieser Sicherheitsanforderungen laufend zu überwachen.

(2) Abs. 1 gilt auch für all jene Dienste, die zur Kommunikation zwischen den ELGA-Komponenten erforderlich sind.

Für die Informationssicherheit beauftragte Person

§ 23. (1) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben aus ihren jeweiligen Mitarbeiter/innen für die Informationssicherheit beauftragte Person zu benennen.

(2) Im Falle von Sicherheitszwischenfällen und -problemen, die direkt oder indirekt eine Gefährdung von ELGA bedingen können, haben

1. 1. die Mitarbeiter/innen der Betreiber von ELGA-Komponenten diese Sicherheitszwischenfälle und -probleme unmittelbar an die für die Informationssicherheit beauftragte Person zu melden und
2. 2. hat die für die Informationssicherheit beauftragte Person diese Information im Falle der Notwendigkeit direkt an die für die Informationssicherheit beauftragte Person anderer Betreiber von ELGA-Komponenten zu übermitteln.

(3) Die Betreiber von ELGA-Komponenten dürfen

1. 1. Warnungen vor Sicherheitslücken sowie
2. 2. Lösungsansätze zur Schließung von Sicherheitslücken

auch mit Koordinationsnetzen zur IT-Sicherheit, die von Verantwortlichen (Art. 4 Z 7 DSGVO) des öffentlichen Bereichs betrieben werden, austauschen.“

31. Nach § 23 werden folgende §§ 24 bis 31 samt jeweiliger Überschrift eingefügt:

„Risikomanagement

§ 24. (1) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben ein Risikomanagement (Abs. 2) einzuhalten.

(2) Das Risikomanagement umfasst insbesondere:

1. 1. die Erfassung von Sicherheitsrisiken,
2. 2. die Bewertung von Sicherheitsrisiken,
3. 3. die angemessene Reaktion auf Sicherheitsrisiken sowie
4. 4. die Dokumentation der Reaktion gemäß § 8 GTelG 2012.

Sicherheitsanforderungen an Prozesse

§ 25. (1) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben am Ticket-System der Serviceline (§ 14 der ELGA- und eHealth-Supporteinrichtungsverordnung (SupE-V), BGBl. II Nr. 11/2025) teilzunehmen. Die Serviceline hat auf eine möglichst effiziente Abwicklung zu achten.

(2) Die Betreiber von ELGA-Komponenten haben die Betriebsprozesse zur

1. 1. Erfassung von IT-Sicherheitszwischenfällen,
2. 2. Reaktion auf IT-Sicherheitsprobleme,
3. 3. Änderung der technischen Infrastruktur von ELGA-Komponenten,
4. 4. Eingliederung und Ausrollung neuer Software,
5. 5. Authentifizierung von Benutzern und Benutzerinnen sowie
6. 6. Aufrechterhaltung der Betriebskontinuität

   gemäß § 8 GTelG 2012 zu dokumentieren.

Technische Sicherheitsanforderungen

§ 26. (1) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben

1. 1. die Aktualität der für die Zwecke von ELGA eingesetzten Software sicherzustellen,
2. 2. durch das Ergreifen von geeigneten technischen Maßnahmen sicherzustellen, dass die von ihnen übermittelten Daten frei von Viren oder anderer Schadsoftware sind,
3. 3. die Ausführungsbestimmungen der in Abs. 2 angeführten Zertifikate gemäß § 8 GTelG 2012 zu dokumentieren und
4. 4. die zeitliche Synchronität der ELGA-Komponenten zu gewährleisten.

(2) Bei der Übermittlung von ELGA-Gesundheitsdaten an Betreiber von ELGA-Komponenten dürfen von ELGA-Gesundheitsdiensteanbietern (§ 2 Z 10 GTelG 2012) und übermittelten Betreibern von ELGA-Komponenten ausschließlich die von dem empfangenen Betreiber von ELGA-Komponenten zur Verfügung gestellten Zertifikate verwendet werden.

(3) Zu entsorgende Datenträger und Unterlagen sind so zu zerstören, dass sie nicht mehr gelesen werden können. Die verwendete Methode ist gemäß § 8 GTelG 2012 zu dokumentieren.

(4) Endgeräte, über die ELGA genutzt werden kann, sind vor unbefugtem Zugang und Gebrauch zu schützen.

Sicherheitsanforderungen an die Authentifizierung

§ 27. (1) Zur Sicherstellung der bereits erfolgten Authentifizierung dürfen Sicherheitstoken (§ 2 Z 5) verarbeitet werden.

(2) Sicherheitstoken gemäß Abs. 1 dürfen folgende Datenarten umfassen:

1. 1. die eindeutige Kennung des Softwareservices, das den Sicherheitstoken ausgestellt hat,
2. 2. das Datum sowie den Zeitpunkt der Identitätsfeststellung,
3. 3. das bereichsspezifische Personenkennzeichen Gesundheit („bPK-GH“) oder die OID des ELGA-Gesundheitsdiensteanbieters,
4. 4. das bPK-GH oder eine eindeutige Kennung der ELGA-Teilnehmerin/des ELGA-Teilnehmers,
5. 5. die Qualität der Identifikation sowie
6. 6. den Status des Sicherheitstokens.

(3) Sicherheitstoken dürfen nicht länger gültig sein als

1. 1. vier Stunden in Netzen gemäß § 6 Abs. 1 Z 1 GTelG 2012 und
2. 2. 20 Minuten in allen anderen Netzen.

Sicherheitsanforderungen für Testumgebungen

§ 28. (1) Testsysteme sind von Produktivsystemen zu trennen. Die Haltung von Produktivsystemen zu Zwecken der Fehlerbehebung sowie zur Sicherung der Datenqualität und Betriebsstabilität ist zulässig.

(2) Die Verarbeitung von personenbezogenen Echtdaten von ELGA-Teilnehmer/innen zur Verwendung von ELGA zu Testzwecken ist unzulässig.

Bauliche Sicherheitsanforderungen

§ 29. Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben eine dem Stand der Technik entsprechende Überwachung aller Zutrittsmöglichkeiten zu Räumlichkeiten, in denen sich technische Infrastruktur von ELGA-Komponenten (§ 24 GTelG 2012) befindet, sicherzustellen und einen angemessenen baulichen und technischen Einbruchschutz für diese Räumlichkeiten vorzusehen.

Sicherheitsanforderungen an das Personal

§ 30. (1) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben

1. 1. ihre Mitarbeiter/innen über die einschlägigen Rechtsvorschriften zu belehren,
2. 2. technisch zu gewährleisten, dass es keine Verarbeitung von ELGA-Gesundheitsdaten außerhalb der zulässigen Rollen gibt,
3. 3. bei der Vergabe von Benutzerberechtigungen sicherzustellen, dass Mitarbeiter/inne/n nicht einander ausschließende Rollen zugeteilt werden und
4. 4. bei Austritt und Wechsel von Mitarbeiter/inne/n dafür zu sorgen, dass eine vollständige Rücksetzung der Berechtigungen erfolgt.

(2) Die Mitarbeiter/innen der Betreiber von ELGA-Komponenten sind vor Aufnahme ihrer Tätigkeit schriftlich über das Datengeheimnis gemäß § 6 DSG zu informieren. Dieses Datengeheimnis gilt auch über die Beendigung der Tätigkeit der Mitarbeiter/innen hinaus.

(3) Bei Beendigung der Tätigkeit sind allfällige Betriebsmittel, die ELGA-Gesundheitsdaten enthalten können, zurückzustellen.

(4) Bei der Übermittlung von Authentifizierungsdaten haftet derjenige, der die Authentifizierungsdaten übermittelt hat.

Meldung

§ 31. (1) Betreiber von Datenspeichern und Verweisregistern haben vor Aufnahme des Betriebes dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin eine Meldung zu erstatten. Der Meldung ist ein IT-Sicherheitskonzept (§ 8 GTelG 2012) anzuschließen.

(2) Die Meldung gemäß Abs. 1 hat

1. 1. die Angaben gemäß § 10 Abs. 1 Z 1 bis 4 und 10 GTelG 2012 sowie
2. 2. den Namen und die Kontaktdaten der von dem Betreiber berechtigten Personen, die die Ausstellung von Zertifikaten gemäß § 26 Abs. 2 im Namen des Betreibers beantragen dürfen,

zu enthalten.

(3) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat den Betreibern von Datenspeichern und Verweisregistern den Betrieb oder die Fortsetzung des Betriebs mittels Bescheid zu untersagen, wenn die Voraussetzungen dieser Verordnung nicht eingehalten werden.“

32. Nach § 31 wird folgender 8. Abschnitt eingefügt:

„8. Abschnitt

Schlussbestimmungen“

33. In § 32 (neu) wird nach Abs. 1e folgender Abs. 1f eingefügt:

„(1f) In der Fassung der Verordnung BGBl. II Nr. 11/2025 treten mit dem 1. April 2025

1. 1. in Kraft das Inhaltsverzeichnis, die Überschrift zu § 2, § 2 Z 2 bis lit. b, lit. c bis e, Z 3 (neu) bis 8 (neu) und Z 9, der 2. und 3. Abschnitt (neu), die Überschrift des 4. Abschnitts, § 13 samt Überschrift, die Überschrift zu § 14, § 14 Abs. 1, § 15 samt Überschrift, § 16 Abs. 1 und 3, § 17 samt Überschrift, der 5. Abschnitt (neu), die Überschrift des 6. Abschnitts, der 7. und 8. Abschnitt (neu) sowie die Anlagen, und
2. 2. außer Kraft § 2 Z 5 und 6, § 14 Abs. 4 und 5, § 16 Abs. 7, § 17a bis § 17k samt Überschriften, die Überschrift zu § 20 und § 21a.“

34. Die Anlagen 1 bis 4 werden durch folgende neuen Anlagen 1 bis 4 ersetzt und es wird die Anlage 5 ergänzt:

„Anlage 1

Anlage 2

Anlage 3

Anlage 4

Anlage 5

“

Artikel 3

Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz über die Einrichtung einer ELGA- und eHealth-Supporteinrichtung (ELGA- und eHealth-Supporteinrichtungsverordnung – SupE-V)

Auf Grund des § 28a Abs. 1 Z 7 des Gesundheitstelematikgesetzes 2012 (GTelG 2012), BGBl. I Nr. 111/2012, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 105/2024, wird verordnet:

Inhaltsverzeichnis

​

1. Abschnitt

Allgemeine Bestimmungen

Gegenstand

§ 1. Gegenstand dieser Verordnung sind die Einrichtung der ELGA- und eHealth-Supporteinrichtung (§ 17 GTelG 2012), die Festlegung der von ihren einzelnen Bereichen wahrzunehmenden Aufgaben sowie nähere Regelungen für die Wahrnehmung dieser Aufgaben.

Begriffsbestimmungen

§ 2. Im Sinne dieser Verordnung sind:

1. 1. „Dachverband“: Dachverband der Sozialversicherungsträger gemäß § 30 Allgemeines Sozialversicherungsgesetz (ASVG), BGBl. Nr. 189/1955;
2. 2. „Mitarbeiter/innen der ELGA- und eHealth-Supporteinrichtung“: Mitarbeiter/innen der jeweils für die Erfüllung der Aufgaben der einzelnen Bereiche (§ 3 Abs. 2) herangezogenen Auftragsverarbeiter (Art. 4 Z 8 der Datenschutz-Grundverordnung [DSGVO]), nämlich:
   1. a) „Mitarbeiter/innen der ELGA-Ombudsstelle“: Mitarbeiter/innen der mit den Aufgaben der ELGA-Ombudsstelle gemäß § 5 Abs. 3 betrauten Einrichtungen;
   2. b) „Mitarbeiter/innen der eHealth-Servicestelle“: Mitarbeiter/innen der mit den Aufgaben der eHealth-Servicestelle gemäß § 9 Abs. 3 betrauten Einrichtungen;
   3. c) „Mitarbeiter/innen der Widerspruchstelle“: Mitarbeiter/innen der mit den Aufgaben der Widerspruchstelle gemäß § 10 Abs. 2 betrauten Einrichtungen;
   4. d) „Mitarbeiter/innen der Serviceline“: Mitarbeiter/innen der mit den Aufgaben der Serviceline gemäß § 14 Abs. 2 betrauten Einrichtungen;

1. 3. „Widerspruchsmanagement“: Beratung über Widersprüche gemäß § 15 Abs. 2 und Widerrufe gemäß § 15 Abs. 4 GTelG 2012 sowie deren Rechtsfolgen, die Zusendung der Widerspruchsformulare sowie die Auskunftserteilung über den Bearbeitungsstatus.

2. Abschnitt

ELGA- und eHealth-Supporteinrichtung

Aufgaben der ELGA- und eHealth-Supporteinrichtung

§ 3. (1) Die ELGA- und eHealth-Supporteinrichtung unterstützt

1. 1. betroffene Personen und Gesundheitsdiensteanbieter hinsichtlich ELGA und eHealth-Angelegenheiten
2. 2. die ELGA-Systempartner (§ 2 Z 11 GTelG 2012) bei der Weiterentwicklung von ELGA und eHealth-Angelegenheiten und
3. 3. den für das Gesundheitswesen zuständigen Bundesminister oder die zuständige Bundesministerin im Rahmen des Datenqualitätsmanagements gemäß § 24h GTelG 2012.

(2) Zur Erfüllung der in Abs. 1 genannten Aufgaben besteht die ELGA- und eHealth-Supporteinrichtung aus der

1. 1. ELGA-Ombudsstelle (3. Abschnitt),
2. 2. eHealth-Servicestelle (4. Abschnitt),
3. 3. Widerspruchstelle (5. Abschnitt) und
4. 4. Serviceline (6. Abschnitt).

(3) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin ist als datenschutzrechtlich Verantwortlicher (Art. 4 Z 7 DSGVO) ermächtigt, sich zur Erfüllung der in dieser Verordnung festgelegten Aufgaben der einzelnen Bereiche der ELGA- und eHealth-Supporteinrichtung jeweils unterschiedlichen Auftragsverarbeitern (Art. 4 Z 8 DSGVO) zu bedienen.

(4) Die betroffenen Personen können ihre Rechte gemäß § 15 Abs. 2 und 4, § 16 Abs. 1 und § 24e Abs. 3 GTelG 2012 auch über das Zugangsportal (§ 23 GTelG 2012) wahrnehmen.

(5) Die in Abs. 2 genannten Stellen der ELGA- und eHealth-Supporteinrichtung haben einander bei der Erfüllung ihrer jeweiligen Aufgaben gegenseitig zu unterstützen, wobei die eHealth-Servicestelle als Koordinationsstelle dient.

(6) Die ELGA- und eHealth-Supporteinrichtung ist Gesundheitsdiensteanbieter gemäß § 2 Z 2 GTelG 2012, aber kein ELGA-Gesundheitsdiensteanbieter gemäß § 2 Z 10 GTelG 2012 und kein eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 GTelG 2012.

Mitarbeiter/innen der ELGA- und eHealth-Supporteinrichtung

§ 4. (1) Die Mitarbeiter/innen der ELGA- und eHealth-Supporteinrichtung sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Tatsachen, auch über die Beendigung ihrer Tätigkeit bei der ELGA- und eHealth-Supporteinrichtung hinaus, verpflichtet. Die Einhaltung der Verschwiegenheitspflicht ist vor Aufnahme der Tätigkeit bei der ELGA- und eHealth-Supporteinrichtung schriftlich zu bestätigen.

(2) Die Mitarbeiter/innen der ELGA- und eHealth-Supporteinrichtung sind vor Aufnahme ihrer Tätigkeit über die innerorganisatorischen Datenschutz- und Datensicherheitsvorschriften zu informieren. Der Erhalt dieser Information ist schriftlich zu bestätigen.

(3) Die schriftlichen Bestätigungen gemäß Abs. 1 und 2 sind dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin auf dessen oder deren Verlangen vorzulegen.

3. Abschnitt

ELGA-Ombudsstelle

Aufgaben der ELGA-Ombudsstelle

§ 5. (1) Die Aufgaben der ELGA-Ombudsstelle sind insbesondere

1. 1. die Information, die Beratung und die Unterstützung betroffener Personen bei ELGA- und eHealth-Angelegenheiten, insbesondere im Zusammenhang mit Datenschutz und bei der Durchsetzung von ELGA-Teilnehmer/innenrechten, und
2. 2. die Unterstützung der ELGA-Systempartner bei der Weiterentwicklung der ELGA-Teilnehmer/innenrechte und der Sicherstellung des Datenschutzes bei ELGA- und eHealth-Angelegenheiten.

(2) Die ELGA-Ombudsstelle hat den betroffenen Personen Auskünfte binnen der in Art. 12 Abs. 3 DSGVO festgelegten Frist zu erteilen. Anfragen, die nicht von dem Aufgabenbereich der ELGA-Ombudsstelle umfasst sind, sind von dieser an die richtige Stelle im Sinne des § 6 Abs. 1 Allgemeines Verwaltungsverfahrensgesetz 1991 (AVG), BGBl. Nr. 51/1991, zu verweisen.

(3) Nimmt der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin die Aufgaben gemäß Abs. 1 nicht selbst wahr, so kann er oder sie zur Erfüllung dieser Aufgaben eine oder mehrere von den Ländern gemäß § 11e Krankenanstalten- und Kuranstaltengesetz (KAKuG), BGBl. Nr. 1/1957, eingerichteten Patientenvertretungen als Auftragsverarbeiter (Art. 4 Z 8 DSGVO) heranziehen. Die zivil- und datenschutzrechtlichen Details dieser Auftragsverarbeitung sind mittels Vereinbarung gemäß Art. 17 Bundes-Verfassungsgesetz (B-VG), BGBl. Nr. 1/1930, und Art. 28 DSGVO vorzusehen.

Mitarbeiter/innen der ELGA-Ombudsstelle

§ 6. (1) Die Mitarbeiter/innen der ELGA-Ombudsstelle dürfen auf Verlangen der betroffenen Personen für diese gemäß § 5 Abs. 3 E-Government-Gesetz (E-GovG), BGBl. I Nr. 10/2004, vertretungsweise handeln. Die Stammzahlenregisterbehörde hat auf Antrag des Mitarbeiters/der Mitarbeiterin der ELGA-Ombudsstelle an Stelle der Stammzahl, ein bPK-GH des oder der Vertretenen zur Verfügung zu stellen.

(2) Die Mitarbeiter/innen der ELGA-Ombudsstelle haben über einschlägige Rechtskenntnisse zu verfügen, wobei der Abschluss eines rechtswissenschaftlichen Studiums nicht vorausgesetzt wird.

(3) Die Mitarbeiter/innen der ELGA-Ombudsstelle dürfen nur dann tätig werden, wenn sie von einer betroffenen Person für einen konkreten Fall beauftragt wurden und sie deren Identität gemäß § 8 überprüft haben.

Koordinierungsstelle

§ 7. (1) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat in seinem oder ihrem Bundesministerium eine Koordinierungsstelle einzurichten, die als Ansprechsstelle für die Mitarbeiter/innen der ELGA-Ombudsstelle in den Angelegenheiten der ELGA-Ombudsstelle dient.

(2) Die Koordinierungsstelle hat jährlich einen Tätigkeitsbericht der ELGA-Ombudsstelle für das vorangegangene Kalenderjahr zu erstellen und eine Koordinierungssitzung für die Mitarbeiter/innen der ELGA-Ombudsstelle durchzuführen. Die Koordinierungssitzung hat zumindest einmal jährlich stattzufinden und im Bedarfsfall sind auch weitere Stakeholder einzubeziehen.

(3) Die Mitarbeiter/innen der ELGA-Ombudsstelle haben

1. 1. bei der Erstellung des jährlichen Tätigkeitsberichts mitzuwirken, wofür die einzelnen Beiträge der gemäß § 5 Abs. 3 herangezogenen Auftragsverarbeiter bis zum 31. März des Berichtsjahres an die Koordinierungsstelle zu übermitteln sind,
2. 2. an den von der Koordinierungsstelle durchgeführten Koordinierungssitzungen teilzunehmen, und
3. 3. die Wochen- und Monatsstatistiken zu erfassen und an die Koordinierungsstelle zu übermitteln.

(4) Die Modalitäten der Teilnahme an der Koordinierungssitzung gemäß Abs. 3 Z 2 hat die Koordinierungsstelle festzulegen.

(5) Der Tätigkeitsbericht gemäß Abs. 2 ist den ELGA-Systempartnern sowie den gemäß § 5 Abs. 3 herangezogenen Auftragsverarbeitern zu übermitteln und auf der Website des Bundesministeriums zu veröffentlichen.

Überprüfung der Identität der betroffenen Personen

§ 8. (1) Die betroffenen Personen (Abs. 2) oder deren gesetzliche oder bevollmächtige Vertreter/innen (Abs. 3) haben den Mitarbeiter/innen der ELGA-Ombudsstelle die eindeutige Identität nachzuweisen.

(2) Die betroffenen Personen haben der ELGA-Ombudsstelle ihre eindeutige Identität

1. 1. persönlich durch Vorsprache und Vorlage eines amtlichen Lichtbildausweises, oder
2. 2. schriftlich auf dem Postweg
   1. a) unter Angabe des Namens, allfälliger akademischer Grade, des Geschlechts, des Geburtsdatums sowie der Telefonnummer, Anschrift oder E-Mail-Adresse der betroffenen Person, und
   2. b) mit beigeschlossener Kopie eines amtlichen Lichtbildausweises und
   3. c) eigenhändig unterschriebenem Antrag, oder

1. 3. elektronisch mittels E-ID (§ 2 Z 10 E-GovG)

   nachzuweisen.

(3) Die Vertreter/innen der betroffenen Personen haben der ELGA-Ombudsstelle sowohl ihre eindeutige Identität, als auch die der von ihnen vertretenen Personen

1. 1. persönlich durch Vorsprache des Vertreters/der Vertreterin und Vorlage eines amtlichen Lichtbildausweises
   1. a) des Vertreters/der Vertreterin und
   2. b) der vertretenen Person, oder

1. 2. schriftlich auf dem Postweg
   1. a) unter Angabe des Namens, allfälliger akademischer Grade, des Geschlechts, des Geburtsdatums sowie der Telefonnummer, Anschrift oder E-Mail-Adresse des Vertreters/der Vertreterin, und
   2. b) mit beigeschlossener Kopie eines amtlichen Lichtbildausweises
      1. aa) des Vertreters/der Vertreterin und
      2. bb) der vertretenen Person sowie
   1. c) eigenhändig unterschriebenem Antrag des Vertreters/der Vertreterin, oder

1. 3. elektronisch mittels E-ID (§ 2 Z 10 E-GovG) des Vertreters/der Vertreterin und Übermittlung einer Kopie der vertretenen Person

nachzuweisen.

(4) Die Vertreter/innen der betroffenen Personen haben der ELGA-Ombudsstelle das Bestehen einer gesetzlichen oder bevollmächtigen Vertretungsbefugnis nachzuweisen.

(5) Die Mitarbeiter/innen der ELGA-Ombudsstelle dürfen Auskünfte über die in ELGA und in den eHealth-Angelegenheiten gespeicherten Daten nur erteilen, wenn die eindeutige Identität gemäß Abs. 2 und 3 sowie das Bestehen einer allfälligen Vertretungsbefugnis gemäß Abs. 4 im Vier-Augen-Prinzip festgestellt wurde. Aus innerorganisatorischen Gründen darf von diesem Vier-Augen-Prinzip kurzzeitig abgegangen werden. Die Gründe hiefür sind von der ELGA-Ombudsstelle zu dokumentieren.

(6) Ist den Mitarbeiter/innen der ELGA-Ombudsstelle die Einhaltung des Vier-Augen-Prinzips gemäß Abs. 5 regelmäßig nicht möglich, so hat die die ELGA-Ombudsstelle die Überprüfung der eindeutigen Identität gemäß Abs. 2 und 3 sowie das Bestehen einer allfälligen Vertretungsbefugnis gemäß Abs. 4 mittels eines adäquaten innerorganisatorischen und schriftlich festgelegten Kontrollmechanismus die Durchführung der Identitätsfeststellungen gemäß Abs. 1 zu kontrollieren und sicherzustellen.

(7) Über die Überprüfung der eindeutigen Identität gemäß Abs. 2 und 3 und die Durchführung eines innerorganisatorischen Kontrollmechanismus gemäß Abs. 6 hat die ELGA-Ombudsstelle schriftliche Aufzeichnungen zu führen. Diese Aufzeichnungen sind von der Koordinierungsstelle gemäß § 7 Abs. 2 Z 4 regelmäßig risikobasierten Kontrollen zu unterziehen.

4. Abschnitt

eHealth-Servicestelle

§ 9. (1) Die Aufgaben der eHealth-Servicestelle sind

1. 1. die Information und Unterstützung betroffener Personen bei ELGA- und eHealth-Angelegenheiten, insbesondere die Wahrnehmung von Auskunftsbegehren gemäß Art. 15 DSGVO hinsichtlich der in ELGA und im eImpfpass gespeicherten Daten, wobei sie sich hier im Sinne des § 3 Abs. 5 der Unterstützung der anderen Stellen der ELGA- und eHealth-Supporteinrichtung bedienen kann,
2. 2. das Datenqualitätsmanagement gemäß § 24h GTelG 2012, sowie
3. 3. die Unterstützung der ELGA-Systempartner bei der Weiterentwicklung der Rechte der betroffenen Personen und der Sicherstellung des Datenschutzes bei ELGA- und eHealth-Angelegenheiten

(2) Die eHealth-Servicestelle hat den betroffenen Personen Auskünfte binnen der in Art. 12 Abs. 3 DSGVO festgelegten Frist zu erteilen, soweit in einem Materiengesetz keine kürzere Frist vorgesehen ist.

(3) Nimmt der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin die Aufgaben gemäß Abs. 1 nicht selbst wahr, so ist er oder sie ermächtigt, zur Erfüllung dieser Aufgaben eine Gesellschaft als Auftragsverarbeiterin (Art. 4 Z 8 DSGVO) heranzuziehen, deren alleinige Eigentümerin die Republik Österreich, vertreten durch den für das Gesundheitswesen zuständigen Bundesminister oder die zuständige Bundesministerin, ist. Die Details dieser Auftragsverarbeitung sind mittels Vereinbarung Art. 28 DSGVO vorzusehen.

5. Abschnitt

Widerspruchstelle

Aufgaben der Widerspruchstelle

§ 10. (1) Die Aufgaben der Widerspruchstelle sind

1. 1. die Bearbeitung von Widersprüchen gegen die Teilnahme an ELGA gemäß § 15 Abs. 2 GTelG 2012,
2. 2. die Bearbeitung von Widerrufen gemäß § 15 Abs. 4 GTelG 2012 und
3. 3. die Unterstützung der ELGA-Systempartner bei der Verbesserung des Widerspruchverfahrens.

(2) Zur Erfüllung der Aufgaben gemäß Abs. 1 hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin gemäß § 31d Abs. 3 ASVG den Dachverband als Auftragsverarbeiter (Art. 4 Z 8 DSGVO) heranzuziehen. Die Details dieser Auftragsverarbeitung sind mittels Vereinbarung Art. 28 DSGVO vorzusehen. Der Dachverband nimmt die Aufgaben der Widerspruchstelle im übertragenen Wirkungsbereich wahr und ist an die Weisung des für das Gesundheitswesen zuständigen Bundesministers oder der zuständigen Bundesministerin gebunden.

Widersprüche gegen die ELGA-Teilnahme

§ 11. (1) Widersprüche gegen die Teilnahme an ELGA sind ausdrücklich zu erklären.

(2) Betroffene Personen, die beabsichtigen, der Teilnahme an ELGA zu widersprechen, können ihren Widerspruch

1. 1. elektronisch über das Zugangsportal (§ 23 GTelG 2012), oder
2. 2. elektronisch durch Übermittlung des mit qualifizierter elektronischer Signatur versehenem Widerspruchsformulars (Abs. 3) an die Widerspruchstelle oder
3. 3. postalisch durch Übermittlung des eigenhändig unterfertigten Widerspruchformulars (Abs. 3) unter Beifügung einer Kopie eines amtlichen Lichtbildausweises an die Widerspruchstelle

   einbringen. Das Widerspruchsformular ist von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin in geeigneter Weise (Abs. 4) zur Verfügung zu stellen.

(3) Am Widerspruchsformular sind von den betroffenen Personen gemäß Abs. 2 folgende Angaben zu machen:

1. 1. Erklärung, ob sich der Widerspruch auf alle oder auf einzelne Arten von ELGA-Gesundheitsdaten gemäß § 2 Z 9 GTelG 2012 bezieht,
2. 2. der Name, das Geschlecht, das Geburtsdatum und der Geburtsort der betroffenen Person,
3. 3. die Sozialversicherungsnummer der betroffenen Person, soweit vorhanden,
4. 4. die Anschrift der betroffenen Person sowie
5. 5. die Telefonnummer oder die E-Mail-Adresse der betroffenen Person und
6. 6. im Falle einer gesetzlichen oder bevollmächtigten Vertretung
   1. a) der Name, das Geschlecht, das Geburtsdatum und der Geburtsort des Vertreters/der Vertreterin,
   2. b) die Sozialversicherungsnummer des Vertreters/der Vertreterin, soweit vorhanden,
   3. c) die Anschrift des Vertreters/der Vertreterin oder die Angaben gemäß § 33 Abs. 1 Zustellgesetz (ZustG), BGBl. Nr. 200/1982, und
   4. d) die Telefonnummer oder die E-Mail-Adresse des Vertreters/der Vertreterin.

      Im Falle einer gesetzlichen oder bevollmächtigten Vertretung kann auf die Angaben gemäß Z 4 und 5 verzichtet werden. Die Vertreter/innen der betroffenen Personen haben Widerspruchstelle das Bestehen einer gesetzlichen oder bevollmächtigen Vertretungsbefugnis nachzuweisen.

(4) Die betroffenen Personen gemäß Abs. 2 erhalten das Widerspruchsformular

1. 1. online über das Öffentliche Gesundheitsportal Österreichs (§ 12a GTelG 2012) unter www.gesundheit.gv.at oder
2. 2. postalisch auf telefonische oder schriftliche Anforderung bei der Serviceline (§ 14).

(5) Widersprüche, die

1. 1. gemäß Abs. 2 Z 1 über das Zugangsportal eingebracht wurden, entfalten unmittelbar nach der Einbringung und
2. 2. gemäß Abs. 2 Z 2 und 3 durch Übermittlung des Widerspruchsformulars an die Widerspruchstelle eingebracht wurden, entfalten durch Eintragung des Widerspruchs durch die Widerspruchstelle

   ihre Rechtswirkung. Die Widerspruchstelle hat den betroffenen Personen die Eintragung gemäß Abs. 2 Z 2 und Z 3 zu bestätigen.

(6) Bei Zweifeln über die Identität einer betroffenen Person gemäß Abs. 2 sind die Bestimmungen des AVG anzuwenden. Zur Überprüfung der Identität sind gemäß § 17 E-GovG die Angaben zu verwenden, die in den nach den Regeln der Amtshilfe (Art. 22 B-VG) zur Verfügung stehenden Registern enthalten sind.

(7) Erklärungen, die nicht zu einer Eintragung eines Widerspruchs gegen die Teilnahme an ELGA durch die Widerspruchstelle führen, sind mittels Bescheid abzuweisen.

Widerrufe von Widersprüchen gegen die ELGA-Teilnahme

§ 12. (1) Widerrufe von Widersprüchen gegen die Teilnahme an ELGA sind ausdrücklich zu erklären.

(2) Betroffene Personen, die beabsichtigen, den Widerspruch gegen die Teilnahme an ELGA zu widerrufen, können ihren Widerruf

1. 1. elektronisch über das Zugangsportal (§ 23 GTelG 2012), oder
2. 2. elektronisch durch Übermittlung des mit qualifizierter elektronischer Signatur versehenem Widerspruchsformulars (Abs. 3) an die Widerspruchstelle oder
3. 3. postalisch durch Übermittlung des eigenhändig unterfertigten Widerspruchformulars (Abs. 3) unter Beifügung einer Kopie eines amtlichen Lichtbildausweises an die Widerspruchstelle

   erklären.

(3) Für Widerrufe von Widersprüchen gegen die Teilnahme an ELGA gemäß Abs. 2 Z 1 und Z 2 ist das Widerspruchsformular gemäß § 11 Abs. 3 zu verwenden. Darin sind von den betroffenen Personen gemäß Abs. 2 folgende Angaben zu machen:

1. 1. Erklärung über den Umfang des Widerrufs von dem Widerspruch gegen die ELGA-Teilnahme;
2. 2. die Angaben gemäß § 11 Abs. 3 Z 2 bis 6.

   Im Falle einer gesetzlichen oder bevollmächtigten Vertretung kann auf die Angaben gemäß § 11 Abs. 3 Z 4 und 5 verzichtet werden. Die Vertreter/innen der betroffenen Personen haben der Widerspruchstelle das Bestehen einer gesetzlichen oder bevollmächtigen Vertretungsbefugnis nachzuweisen.

(4) Widerrufe von Widersprüchen gegen die Teilnahme an ELGA, die

1. 1. gemäß Abs. 2 Z 1 über das Zugangsportal eingebracht wurden, entfalten unmittelbar nach der Einbringung und
2. 2. gemäß Abs. 1 Z 2 und 3 durch Übermittlung des Widerspruchsformulars an die Widerspruchstelle eingebracht wurden, entfalten durch Eintragung des Widerrufs des Widerspruchs gegen die Teilnahme an ELGA durch die Widerspruchstelle

   ihre Rechtswirkung. Die Widerspruchstelle hat den betroffenen Personen die Eintragung gemäß Abs. 2 Z 2 und Z 3 zu bestätigen.

(5) § 11 Abs. 6 und 7 findet auch bei der Eintragung von Widerrufen von Widersprüchen gegen die Teilnahme an ELGA Anwendung.

Mitarbeiter/innen der Widerspruchstelle

§ 13. (1) Die Mitarbeiter/innen der Widerspruchstelle dürfen nur tätig werden, wenn ihre eindeutige Identität (§ 2 Z 2 E-GovG) festgestellt wurde.

(2) Die Mitarbeiter/innen der Widerspruchstelle haben keinen Zugriff auf die ELGA-Gesundheitsdaten der betroffenen Personen. Der Dachverband hat dies durch organisatorische und technische Maßnahmen sicherzustellen.

6. Abschnitt

Serviceline

§ 14. (1) Die Aufgaben der Serviceline sind

1. 1. die Beantwortung von allgemeinen und technischen Anfragen von betroffenen Personen zu ELGA und zu eHealth-Angelegenheiten,
2. 2. das Widerspruchsmanagement gemäß § 2 Z 3, sofern es nicht in den Aufgabenbereich der Widerspruchstelle fällt,
3. 3. die Beantwortung allgemeiner Anfragen von Gesundheitsdiensteanbietern zu ELGA und zu eHealth-Angelegenheiten und
4. 4. die Unterstützung von ELGA-Gesundheitsdiensteanbietern bei technischen Fragen im Zusammenhang mit ELGA.

(2) Zur Erfüllung der Aufgaben gemäß Abs. 1 hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin gemäß § 31d Abs. 3 ASVG den Dachverband als Auftragsverarbeiter (Art. 4 Z 8 DSGVO) heranzuziehen. Die Details dieser Auftragsverarbeitung sind mittels Vereinbarung Art. 28 DSGVO vorzusehen. Der Dachverband nimmt die Aufgaben der Serviceline im übertragenen Wirkungsbereich wahr und ist an die Weisung des für das Gesundheitswesen zuständigen Bundesministers oder die zuständige Bundesministerin gebunden.

(3) Die Mitarbeiter/innen der Serviceline haben keinen Zugriff auf die ELGA-Gesundheitsdaten der betroffenen Personen. Der Dachverband hat dies durch organisatorische und technische Maßnahmen sicherzustellen.

7. Abschnitt

Schlussbestimmungen

In- und Außerkrafttreten

§ 15. Diese Verordnung tritt mit 1. April 2025 in Kraft.

Artikel 4

Verordnung des Bundesministers für Soziales, Gesundheit, Pflege und Konsumentenschutz über nähere Regelungen zur eHealth-Anwendung Elektronischer Impfpass (eHealth-Verordnung 2025 – eHealthV 2025)

Auf Grund des § 28b Abs. 2 des Gesundheitstelematikgesetzes 2012 (GTelG 2012), BGBl. I Nr. 111/2012, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 105/2024, wird verordnet:

Inhaltsverzeichnis

​

1. Abschnitt

Allgemeine Bestimmungen

Gegenstand

§ 1. Gegenstand dieser Verordnung sind nähere Regelungen zur eHealth-Anwendung Elektronischer Impfpass (eImpfpass) gemäß dem 2. Unterabschnitt des 5. Abschnitts des GTelG 2012, insbesondere

1. 1. zu den Zeitpunkten und Voraussetzungen, ab und unter denen die Angaben gemäß § 24c Abs. 2 GTelG 2012 im zentralen Impfregister zu speichern sind,
2. 2. zu den spezifischen Zugriffsberechtigungen auf das zentrale Impfregister gemäß § 24c in Verbindung mit § 24f Abs. 4 GTelG 2012,
3. 3. zur Aufteilung der Pflichten gemäß Art. 26 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 074 vom 04.03.2021 S. 35, (im Folgenden: DSGVO) für die gemäß § 24b Abs. 3 gemeinsamen Verantwortlichen des eImpfpasses sowie
4. 4. zu den Zeiten von Pilot-, Voll- und Übergangsbetrieb sowie zur jeweils einzuhaltenden Vorgehensweise.

2. Abschnitt

Standards für Inhalt, Struktur, Format und Terminologien

Standards für Inhalt, Struktur und Format

§ 2. (1) Standards für Inhalt, Struktur und Format der gemäß § 24c Abs. 2 GTelG 2012 im zentralen Impfregister zu speichernden Angaben sowie die in der zusammenfassenden Darstellung gemäß § 24d Abs. 2 Z 1 GTelG 2012 ersichtlichen Daten sind im Implementierungsleitfaden e-Impfpass (Version 2.0.0) in der Anlage festgelegt.

(2) Angaben gemäß § 24c Abs. 2 GTelG 2012 und Daten gemäß § 24d Abs. 2 Z 1 GTelG 2012 haben alle Felder in der angegebenen Kardinalität zu enthalten, die in dem Implementierungsleitfaden mit den Konformitätskriterien „Mandatory“ (M), „Required“ (R) und „Fixed“ (F) bezeichnet sind.

(3) Aktualisierungen des Implementierungsleitfadens gemäß Abs. 1, welche die Konformitätskriterien „Mandatory“ (M), „Required“ (R) oder „Fixed“ (F) betreffen („Hauptversionen“), sind im Rahmen dieser Verordnung kundzumachen. Andere Aktualisierungen („Nebenversionen“) dürfen ohne Kundmachung in einer Verordnung unter www.impfen.gv.at veröffentlicht und verwendet werden.

(4) Der Implementierungsleitfaden gemäß Abs. 1 und dessen Aktualisierungen gemäß Abs. 3, deren Prüfsumme sowie ihre eindeutigen Kennungen (§ 10 Abs. 5 GTelG 2012) sind von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin unter www.gesundheit.gv.at und www.impfen.gv.at zu veröffentlichen.

Standards für Terminologien

§ 3. (1) Terminologien, aktualisierte Terminologien sowie ihre eindeutige Kennung (§ 10 Abs. 5 GTelG 2012) sind als kontrollierte Vokabulare in elektronischer Form von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin unter www.gesundheit.gv.at und unter www.impfen.gv.at zu veröffentlichen.

(2) Sofern eine Verpflichtung gemäß § 2 Abs. 2 besteht, sind die dafür erforderlichen Terminologien verpflichtend zu verwenden.

3. Abschnitt

Speicherverpflichtungen

Allgemeine Speicherverpflichtung

§ 4. (1) eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a GTelG 2012 haben die Angaben gemäß § 24c Abs. 2 Z 1 GTelG 2012 betreffend COVID-19, Influenza, Affenpocken und Humane Papillomaviren (HPV) im zentralen Impfregister zu speichern.

(2) Über Abs. 1 hinaus dürfen

1. 1. eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a die Angaben gemäß § 24c Abs. 2 Z 1 in Verbindung mit Abs. 3 GTelG 2012 zu anderen als in Abs. 1 genannten Erkrankungen und
2. 2. eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. b die Angaben gemäß § 24c Abs. 2 Z 2 zu den in § 5 Abs. 2 genannten Erkrankungen

   im zentralen Impfregister speichern. Die im zentralen Impfregister gespeicherten Daten dürfen zu den Zwecken gemäß § 24d Abs. 2 GTelG 2012 verarbeitet werden.

(3) Die eImpf-Gesundheitsdiensteanbieter haben die technisch-organisatorischen Spezifikationen gemäß § 2 und § 3 anzuwenden.

Voraussetzungen für die Speicherung von Antikörperbestimmungen

§ 5. (1) eImpf-Gesundheitsdiensteanbieter sind gemäß § 24c Abs. 3 GTelG 2012 unter den Voraussetzungen dieser Bestimmung zur Speicherung von Antikörperbestimmungen verpflichtet.

(2) Von den eImpf-Gesundheitsdiensteanbietern dürfen nur Antikörperbestimmungen im zentralen Impfregister gespeichert werden, die sich auf folgende Erkrankungen beziehen:

1. 1. Diphtherie,
2. 2. Masern,
3. 3. Röteln,
4. 4. Hepatitis A,
5. 5. Hepatitis B,
6. 6. Polio,
7. 7. Tetanus,
8. 8. Varizellen und
9. 9. Tollwut.

(3) eImpf-Gesundheitsdiensteanbieter, die Angehörige des ärztlichen Berufes gemäß § 3 Ärztegesetz 1998 (ÄrzteG 1998), BGBl. I Nr. 169/1998 oder Amtsärzte und Amtsärztinnen, einschließlich Militärärzte und Militärärztinnen (§ 41 ÄrzteG 1998) sind, dürfen über die in Abs. 1 genannten Erkrankungen hinaus auch Antikörperbestimmungen zu anderen Erkrankungen im zentralen Impfregister speichern, wenn dies im Einzelfall medizinisch indiziert ist. Die Beurteilung, ob ein solcher Einzelfall vorliegt, obliegt dem Angehörigen des ärztlichen Berufs.

(4) Antikörperbestimmungen, die sich auf die in Abs. 1 genannten Erkrankungen oder auf Einzelfälle gemäß Abs. 2 beziehen, werden lebenslang gespeichert. Nach Ablauf der Speicherdauer werden die Angaben zu den Antikörperbestimmungen aus dem zentralen Impfregister gemäß § 24c Abs. 5 Z 2 GTelG 2012 gelöscht.

Voraussetzungen für die Speicherung von Impfsettings

§ 6. (1) Die eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a haben für die Speicherung des Impfsettings gemäß § 24c Abs. 2 folgende Auswahlmöglichkeiten:

1. 1. „Bildungseinrichtung“,
2. 2. „Arbeitsplatz/Betrieb“,
3. 3. „Wohnbereich“,
4. 4. „Betreute Wohneinrichtung“,
5. 5. „Krankenhaus inkl. Kur- und Rehaeinrichtungen“,
6. 6. „Ordination“,
7. 7. „Öffentliche Impfstelle“ und
8. 8. „Öffentliche Impfstraße/Impfbus“.

(2) eImpf-Gesundheitsdiensteanbieter haben jenes Impfsetting zu wählen, das bei der Zusammenschau aller im zentralen Impfregister gespeicherten Angaben am ehesten der Lebensrealität entspricht.

4. Abschnitt

Spezifische Zugriffsberechtigungen

1. Unterabschnitt

Spezifische Zugriffsberechtigungen auf das zentrale Impfregister

Grundsätze des Zugriffs auf das zentrale Impfregister

§ 7. (1) Die Speicherung von Daten im zentralen Impfregister oder die Verarbeitung der im zentralen Impfregister gespeicherten Daten ohne spezifische Zugriffsberechtigung ist unzulässig.

(2) Die spezifischen Zugriffsberechtigungen auf das zentrale Impfregister gemäß § 24f Abs. 4 in Verbindung mit § 21 Abs. 4 GTelG 2012 umfassen Zugriffe auf das zentrale Impfregister

1. 1. für den Betrieb, die Wartung und die technische Weiterentwicklung des eImpfpasses gemäß § 24b Abs. 1 GTelG 2012 (§ 8),
2. 2. zur Gesundheitsvorsorge (§ 9),
3. 3. zur Wahrnehmung der Rechte von Bürger/innen gemäß § 24e GTelG 2012 (§ 10),
4. 4. zum Krisenmanagement (§ 11) sowie
5. 5. zum Datenqualitätsmanagement gemäß § 24h GTelG 2012, für Auswertungen gemäß § 24g GTelG 2012 und für die Abrechnung im Rahmen von Impfprogrammen (§ 12).

(3) Die spezifischen Zugriffsberechtigungen gemäß Abs. 2 umfassen

1. 1. schreibende Zugriffe, wenn die Verarbeitung auf eine Speicherung oder Änderung des Datensatzes eingeschränkt ist, und
2. 2. lesende Zugriffe, wenn die Speicherung oder Änderung des Datensatzes unzulässig ist.

(4) Die spezifischen Zugriffsberechtigungen können lesend oder schreibend oder lesend und schreibend sein.

(5) Spezifische Zugriffsberechtigungen führen zu keiner Ausweitung des Berufsrechts.

Spezifische Zugriffsberechtigungen für den Betrieb, die Wartung und die technische Weiterentwicklung des eImpfpasses

§ 8. (1) Die spezifischen Zugriffsberechtigungen für den Betrieb, die Wartung und die technische Weiterentwicklung des eImpfpasses umfassen insbesondere Zugriffe zur

1. 1. Löschung der im zentralen Impfregister gespeicherten Daten (Abs. 2),
2. 2. Stornierung der im zentralen Impfregister gespeicherten Daten (Abs. 3),
3. 3. Bereitstellung des jeweils aktuellen Impfplan Österreichs (Abs. 4),
4. 4. Bereitstellung von elektronischen Schnittstellen (Abs. 5),
5. 5. automatisierten Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich (Abs. 6).

(2) Eine spezifische Zugriffsberechtigung zur Löschung der im zentralen Impfregister gespeicherten Daten gemäß § 24c Abs. 5 GTelG 2012 hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin.

(3) Eine spezifische Zugriffsberechtigung zur Stornierung der im zentralen Impfregister gespeicherten Daten gemäß § 28b Abs. 6 GTelG 2012 hat die ELGA GmbH.

(4) Eine spezifische Zugriffsberechtigung zur Bereitstellung des jeweils aktuellen Impfplan Österreichs gemäß § 24c Abs. 6 Z 1 GTelG 2012 hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin.

(5) Eine spezifische Zugriffsberechtigung zur Bereitstellung von elektronischen Schnittstellen gemäß § 24c Abs. 6 Z 2 GTelG 2012 hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin.

(6) Eine spezifische Zugriffsberechtigung zur automatisierten Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich gemäß § 24d Abs. 2 Z 3 GTelG 2012 hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin.

(7) Über Abs. 1 Z 1 bis Z 5 hinaus besteht eine spezifische Zugriffsberechtigung für den für das Gesundheitswesen zuständigen Bundesminister oder die zuständige Bundesministerin und für die ELGA GmbH dann, wenn dieser Zugriff für die Inbetriebhaltung oder Wartung des eImpfpasses unbedingt erforderlich ist. Ein Zugriff ist insbesondere dann unbedingt erforderlich, wenn er der Abwehr von Gefahr für Leib und Leben einer betroffenen Person dient.

Spezifische Zugriffsberechtigung zur Gesundheitsvorsorge

§ 9. (1) Die spezifischen Zugriffsberechtigungen zur Gesundheitsvorsorge umfassen Zugriffe zur

1. 1. Speicherung der Angaben im zentralen Impfregister (Abs. 2),
2. 2. Nachtragung von Impfungen (Abs. 3),
3. 3. Vidierung von selbsteingetragenen Impfungen (Abs. 4) und
4. 4. Durchführung der Impf-Anamnese (Abs. 6) und
5. 5. Impfberatung (Abs. 5).

(2) Eine spezifische Zugriffsberechtigung zur Speicherung der Angaben gemäß § 24c Abs. 2 GTelG 2012 haben die eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 GTelG 2012.

(3) Eine spezifische Zugriffsberechtigung zur Nachtragung von Impfungen gemäß § 24c Abs. 4 GTelG 2012 haben

1. 1. eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a GTelG 2012, ausgenommen diplomierte Gesundheits- und Krankenpfleger/innen, und
2. 2. Apotheken gemäß § 1 des Apothekengesetzes, RGBl. Nr. 5/1907.

(4) Eine spezifische Zugriffsberechtigung zur Vidierung von selbsteingetragenen Impfungen gemäß § 24c Abs. 4 Z 2 GTelG 2012 haben

1. 1. eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a GTelG 2012, ausgenommen diplomierte Gesundheits- und Krankenpfleger/innen, und
2. 2. Apotheken gemäß § 1 des Apothekengesetzes.

(5) Eine spezifische Zugriffsberechtigung zur Durchführung der Impfberatung haben eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a GTelG 2012.

(6) Eine spezifische Zugriffsberechtigung zur Vornahme einer Impf-Anamnese haben

1. 1. eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a GTelG 2012, ausgenommen diplomierte Gesundheits- und Krankenpfleger/innen,
2. 2. Apotheken gemäß § 1 des Apothekengesetzes und
3. 3. die Gesundheitsberatung 1450 gemäß § 2 Z 10 lit. g GTelG 2012.

Spezifische Zugriffsberechtigungen zur Wahrnehmung der Rechte der Bürger/innen

§ 10. (1) Abweichend von § 7 Abs. 1 benötigen Bürger/innen für den Zugriff auf das zentrale Impfregister zur Ausübung ihrer Rechte gemäß § 24e GTelG 2012 und Kapitel III der DSGVO keine spezifische Zugriffsberechtigung.

(2) Die spezifischen Zugriffsberechtigungen zur Wahrnehmung der Rechte der Bürger/innen umfassen Zugriffe zur

1. 1. Wahrnehmung des Rechts auf Auskunft gemäß Art. 15 DSGVO (Abs. 3),
2. 2. Wahrnehmung des Rechts auf Berichtigung gemäß Art. 16 DSGVO (Abs. 4),
3. 3. Wahrnehmung des Rechts auf Mitteilung gemäß Art. 19 DSGVO (Abs. 5),
4. 4. Selbsteintragung von Impfungen (Abs. 6) und
5. 5. Bearbeitungen von persönlichen Anliegen, Informationen und Beschwerden im Zusammenhang mit dem eImpfpass (Abs. 7).

(3) Eine spezifische Zugriffsberechtigung zur Wahrnehmung des Rechts auf Auskunft gemäß Art. 15 DSGVO hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin als ELGA- und eHealth-Supporteinrichtung.

(4) Eine spezifische Zugriffsberechtigung zur Wahrnehmung des Rechts auf Berichtigung gemäß Art. 16 DSGVO haben

1. 1. der jeweilige eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 GTelG 2012,
2. 2. Amtsärzte und Amtsärztinnen und
3. 3. die jeweilige Apotheke gemäß § 1 des Apothekengesetzes für die von ihr nachgetragenen oder vidierten Impfungen.

(5) Eine spezifische Zugriffsberechtigung zur Wahrnehmung des Rechts auf Mitteilung gemäß Art. 19 DSGVO im Sinne des § 24e Abs. 4 GTelG 2012 haben

1. 1. der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin und
2. 2. die ELGA GmbH.

(6) Eine spezifische Zugriffsberechtigung zur Selbsteintragung von Impfungen gemäß § 24e Abs. 6 GTelG 2012 hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin.

(7) Eine spezifische Zugriffsberechtigung zur Bearbeitungen von persönlichen Anliegen, Informationen und Beschwerden im Zusammenhang mit dem eImpfpass hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin als ELGA- und eHealth-Supporteinrichtung.

Spezifische Zugriffsberechtigungen zum Krisenmanagement

§ 11. (1) Die spezifischen Zugriffsberechtigungen zum Krisenmanagement umfassen Zugriffe

1. 1. im Rahmen des Ausbruchsmanagements in Zusammenhang mit anzeigepflichtigen Krankheiten gemäß § 1 EpiG und im Rahmen der Pharmakovigilanz gemäß den §§ 75 ff des Arzneimittelgesetzes (AMG), BGBl. Nr. 185/1983, und
2. 2. zur Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich gemäß § 24d Abs. 2 Z 5 GTelG 2012.

(2) Eine spezifische Zugriffsberechtigung für die in Abs. 1 genannten Zwecke haben

1. 1. der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin,
2. 2. die Landeshauptleute in ihrem jeweiligen gesetzlichen Wirkungsbereich und
3. 3. die Bezirksverwaltungsbehörden in ihrem jeweiligen gesetzlichen Wirkungsbereich.

(3) Die spezifische Zugriffsberechtigung gemäß Abs. 1 Z 2 umfasst auch die erforderliche Auswertung der im zentralen Impfregister gespeicherten Daten zur Erstellung und Aussendung der Impferinnerungsschreiben.

Sonstige spezifische Zugriffsberechtigungen

§ 12. (1) Die sonstigen spezifischen Zugriffsberechtigungen umfassen Zugriffe

1. 1. im Rahmen des Datenqualitätsmanagements (Abs. 2),
2. 2. für Auswertungen (Abs. 3) und
3. 3. für die Abrechnung von Impfprogrammen (Abs. 4).

(2) Eine spezifische Zugriffsberechtigung für das Datenqualitätsmanagement gemäß § 24h GTelG 2012 hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin als ELGA- und eHealth-Supporteinrichtung.

(3) Eine spezifische Zugriffsberechtigung für Auswertungen gemäß § 24g GTelG 2012 haben

1. 1. der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin,
2. 2. die Landeshauptleute in ihrem jeweiligen gesetzlichen Wirkungsbereich und
3. 3. die Bezirksverwaltungsbehörden in ihrem jeweiligen gesetzlichen Wirkungsbereich.

(4) Eine spezifische Zugriffsberechtigung für die Abrechnung von Impfprogrammen gemäß § 24d Abs. 2 Z 6 GTelG 2012 haben

1. 1. der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin,
2. 2. die Landeshauptleute in ihrem jeweiligen gesetzlichen Wirkungsbereich,
3. 3. die Bezirksverwaltungsbehörden in ihrem jeweiligen gesetzlichen Wirkungsbereich,
4. 4. die eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a GTelG 2012,
5. 5. die Österreichische Gesundheitskasse, die Sozialversicherungsanstalt der Selbstständigen und die Versicherungsanstalt öffentlich Bediensteter, Eisenbahnen und Bergbau sowie
6. 6. die Rechtsträger von Krankenfürsorgeeinrichtungen.

2. Unterabschnitt

Umfang der spezifischen Zugriffsberechtigungen

Umfang der spezifischen Zugriffsberechtigungen des für das Gesundheitswesen zuständigen Bundesministers oder der zuständigen Bundesministerin

§ 13. (1) Die spezifischen Zugriffsberechtigungen gemäß § 8 umfassen für den für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin

1. 1. einen schreibenden Zugriff für die Zwecke gemäß § 8 Abs. 1 Z 1, Z 3 und Z 4 sowie
2. 2. einen schreibenden und lesenden Zugriff für die Zwecke gemäß § 8 Abs. 1 Z 5 und Abs. 7.

(2) Die spezifischen Zugriffsberechtigungen gemäß § 10 umfassen für den für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin

1. 1. einen schreibenden Zugriff für die Zwecke gemäß § 10 Abs. 2 Z 3 und Z 4,
2. 2. einen lesenden Zugriff für den Zweck gemäß § 10 Abs. 2 Z 5, soweit es die Bearbeitung von persönlichen Anliegen betrifft, als ELGA- und eHealth-Supporteinrichtung (ELGA-Ombudsstelle) und
3. 3. einen lesenden Zugriff für die Zwecke gemäß § 10 Abs. 2 Z 1 und Z 5, soweit es die Bearbeitung von Informationen und Beschwerden betrifft, als ELGA- und eHealth-Supporteinrichtung (eHealth-Servicestelle).

(3) Die spezifischen Zugriffsberechtigungen gemäß § 11 umfassen für den für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin einen lesenden Zugriff für die Zwecke gemäß § 11 Abs. 1, soweit es sich auf das bundesweite Krisenmanagement bezieht.

(4) Die spezifischen Zugriffsberechtigungen gemäß § 12 umfassen für den für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin

1. 1. einen lesenden Zugriff für die Zwecke gemäß § 12 Abs. 1 Z 1 und 2 sowie
2. 2. einen schreibenden und lesenden Zugriff für den Zweck gemäß § 12 Abs. 1 Z 3.

(5) Die spezifischen Zugriffsberechtigungen für die Zwecke gemäß § 8 Abs. 1 und § 10 Abs. 2 Z 3 besteht für den für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin ab dem in § 31 Abs. 3 genannten Zeitpunkt für den Beginn des Übergangsbetriebs.

Umfang der spezifischen Zugriffsberechtigungen der ELGA GmbH

§ 14. (1) Die spezifischen Zugriffsberechtigungen gemäß § 8 umfassen für die ELGA GmbH

1. 1. einen schreibenden Zugriff für die Zwecke gemäß § 8 Abs. 1 Z 2 sowie
2. 2. einen schreibenden und lesenden Zugriff für die Zwecke gemäß § 8 Abs. 7.

(2) Die spezifische Zugriffsberechtigung gemäß § 10 umfassen für die ELGA GmbH einen schreibenden Zugriff für den Zweck gemäß § 10 Abs. 2 Z 3.

(3) Die spezifischen Zugriffsberechtigungen für die Zwecke gemäß § 8 Abs. 1 und § 10 Abs. 2 Z 3 besteht für die ELGA GmbH ab Inkrafttreten dieser Verordnung bis zu dem in § 30 genannten Zeitpunkt.

Umfang der spezifischen Zugriffsberechtigungen der eImpf-Gesundheitsdiensteanbieter

§ 15. (1) Die spezifischen Zugriffsberechtigungen gemäß § 9 umfassen

1. 1. für eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a GTelG 2012
   1. a) einen schreibenden Zugriff für die Zwecke gemäß § 9 Abs. 1 Z 1 bis Z 3 und
   2. b) einen lesenden Zugriff für den Zweck gemäß § 9 Abs. 1 Z 4 und 5 sowie

1. 2. für eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. b GTelG 2012 einen schreibenden Zugriff für den Zweck gemäß § 9 Abs. 1 Z 1.

(2) Die spezifischen Zugriffsberechtigungen gemäß § 10 und § 12 umfassen für den jeweiligen eImpf-Gesundheitsdiensteanbieter einen schreibenden und lesenden Zugriff für den Zweck gemäß § 10 Abs. 2 Z 2 und § 12 Abs. 1 Z 3.

Umfang der spezifischen Zugriffsberechtigungen der Öffentlichen Apotheken

§ 16. (1) Die spezifischen Zugriffsberechtigungen gemäß § 9 umfassen für Apotheken gemäß § 1 des Apothekengesetzes

1. 1. einen schreibenden Zugriff für den Zweck gemäß § 9 Abs. 1 Z 1,
2. 2. einen lesenden Zugriff für den Zweck gemäß § 9 Abs. 1 Z 4 und
3. 3. einen schreibenden und lesenden Zugriff für den Zweck gemäß § 9 Abs. 1 Z 2 und 3.

(2) Die spezifischen Zugriffsberechtigungen gemäß § 10 umfassen für die jeweilige Apotheke gemäß § 1 des Apothekengesetzes einen schreibenden und lesenden Zugriff für den Zweck gemäß § 10 Abs. 2 Z 2, soweit es die von ihr nachgetragenen Impfungen betrifft.

Umfang der spezifischen Zugriffsberechtigungen der Landeshauptleute

§ 17. (1) Die spezifischen Zugriffsberechtigungen gemäß § 11 umfassen für die Landeshauptleute einen lesenden Zugriff für die Zwecke gemäß § 11 Abs. 1 Z 1 und Z 2, soweit es sich auf ihren jeweiligen Wirkungsbereich bezieht.

(2) Die spezifischen Zugriffsberechtigungen gemäß § 12 umfassen für die Landeshauptleute

1. 1. einen lesenden Zugriff für den Zweck gemäß § 12 Abs. 1 Z 2 sowie
2. 2. einen schreibenden und lesenden Zugriff für den Zweck gemäß § 12 Abs. 1 Z 3.

Umfang der spezifischen Zugriffsberechtigungen der Bezirksverwaltungsbehörden

§ 18. (1) Die spezifischen Zugriffsberechtigungen gemäß § 10 umfassen für Amtsärzte und Amtsärztinnen einen schreibenden und lesenden Zugriff für den Zweck gemäß § 10 Abs. 2 Z 2.

(2) Die spezifischen Zugriffsberechtigungen gemäß § 11 umfassen für die Bezirksverwaltungsbehörden einen lesenden Zugriff für die Zwecke gemäß § 11 Abs. 1 Z 1, soweit es sich auf ihren jeweiligen Wirkungsbereich bezieht.

(3) Die spezifischen Zugriffsberechtigungen gemäß § 12 umfassen für die Bezirksverwaltungsbehörden

1. 1. einen lesenden Zugriff für den Zweck gemäß § 12 Abs. 1 Z 2 sowie
2. 2. einen schreibenden und lesenden Zugriff für den Zweck gemäß § 12 Abs. 1 Z 3.

Umfang der spezifischen Zugriffsberechtigung der Sozialversicherung und der Rechtsträger von Krankenfürsorgeeinrichtungen

§ 19. (1) Die spezifischen Zugriffsberechtigungen gemäß § 12 umfassen einen lesenden Zugriff für den Zweck gemäß § 12 Abs. 4 Z 5 für

1. 1. die Österreichische Gesundheitskasse,
2. 2. die Sozialversicherungsanstalt der Selbstständigen sowie
3. 3. die Versicherungsanstalt öffentlich Bediensteter, Eisenbahnen und Bergbau.

(2) Die spezifischen Zugriffsberechtigungen gemäß § 12 umfasst einen lesenden Zugriff für den Zweck gemäß § 12 Abs. 4 Z 6 für die Rechtsträger von Krankenfürsorgeeinrichtungen.

Umfang der spezifischen Zugriffsberechtigung der Gesundheitsberatung 1450

§ 20. Die spezifische Zugriffsberechtigung gemäß § 9 umfasst einen lesenden Zugriff für den Zweck gemäß § 9 Abs. 1 Z 4 für die Gesundheitsberatung 1450.

5. Abschnitt

Aufteilung der Pflichten gemäß Art. 26 DSGVO

Pflichten der gemeinsamen Verantwortlichen

§ 21. (1) Den in § 24b Abs. 3 GTelG 2012 genannten gemeinsamen Verantwortlichen des eImpfpasses obliegen jeweils die in den § 22 bis § 29 zugewiesenen sowie die in Abs. 2 genannten aus der DSGVO resultierende Pflichten gemäß Art. 26 DSGVO.

(2) Hinsichtlich der von ihnen zu verantwortenden Datenverarbeitungstätigkeiten obliegen den gemeinsamen Verantwortlichen gemäß § 24b Abs. 3 Z 1 bis Z 6 GTelG 2012 jeweils folgende Pflichten:

1. 1. Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO,
2. 2. Zusammenarbeit mit der Aufsichtsbehörde gemäß Art. 31 DSGVO,
3. 3. Sicherstellung der Datensicherheit,
4. 4. Wahrnehmung der Meldepflicht gemäß Art. 33 DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten in ihrem Verantwortungsbereich aufgetreten ist,
5. 5. Durchführung einer Datenschutz-Folgenabschätzung, sofern dies aufgrund von Art. 35 DSGVO notwendig ist,
6. 6. Weiterleitung von Anträgen gemäß Abs. 3 an die eHealth-Servicestelle und Information der betroffenen Person über die Weiterleitung sowie
7. 7. Information der betroffenen Personen gemäß Art. 12 Abs. 4 DSGVO, wenn aufgrund von deren Anträgen kein Tätigwerden erfolgt.

(3) Anträge von betroffenen Personen zur Ausübung von Rechten gemäß dem III. Kapitel der DSGVO sind von einem der in § 24b Abs. 3 GTelG 2012 genannten gemeinsamen Verantwortlichen innerhalb von 72 Stunden (wobei Feiertage, Samstage und Sonntage in diese Frist nicht einzurechnen sind) an die eHealth-Servicestelle (§ 17 Abs. 2 Z 2 GTelG 2012) zur Beantwortung weiterzuleiten, wenn

1. 1. die betroffene Person ihre Identität eindeutig nachgewiesen hat,
2. 2. das geltend gemachte Recht der betroffenen Person gemäß § 24e GTelG 2012 zusteht,
3. 3. kein anderer Grund für ein Nicht-Tätigwerden im Sinne des Art. 12 Abs. 4 DSGVO vorliegt und
4. 4. der von der betroffenen Person beanspruchte Verantwortliche für die Wahrnehmung des geltenden gemachten Rechts nicht zuständig ist.

Die Rolle des für das Gesundheitswesen zuständigen Bundesministers oder der zuständigen Bundesministerin

§ 22. (1) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat folgende Verarbeitungstätigkeiten zu verantworten:

1. 1. den Betrieb, die Wartung und die technische Weiterentwicklung des eImpfpasses gemäß § 24b Abs. 1 Z 2 GTelG 2012 in Verbindung mit § 30 und § 31 Abs. 3,
2. 2. die von ihm oder ihr vorgenommene Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich gemäß § 24d Abs. 2 Z 3 GTelG 2012,
3. 3. von ihm oder ihr vorgenommene Auswertungen von im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 4 in Verbindung mit § 24g GTelG 2012,
4. 4. das bundesweite Krisenmanagement gemäß § 24d Abs. 2 Z 5 GTelG 2012,
5. 5. die von ihm vorgenommenen Zugriffe für Zwecke der Abrechnung von Impfprogrammen gemäß § 24d Abs. 2 Z 6 GTelG 2012,
6. 6. das Datenqualitätsmanagement gemäß § 24d Abs. 2 Z 8 GTelG 2012 sowie
7. 7. die Selbsteintragung von Impfungen gemäß § 24e Abs. 6 GTelG 2012.

(2) Dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin obliegen folgende Pflichten:

1. 1. die Information, die Beratung und die Unterstützung betroffener Personen gemäß § 24e Abs. 8 in Verbindung mit § 17 Abs. 2 Z 1 GTelG 2012 als ELGA-Ombudsstelle,
2. 2. Information der betroffenen Personen gemäß Art. 13 DSGVO betreffend der eHealth-Anwendung eImpfpass in geeigneter Weise,
3. 3. Information der betroffenen Personen gemäß Art. 14 DSGVO über die von ihm oder ihr vorgenommenen Verarbeitungstätigkeiten in geeigneter Weise,
4. 4. die Wahrnehmung des Rechts auf Auskunft gemäß Art. 15 DSGVO in Verbindung mit § 24e Abs. 3 GTelG 2012,
5. 5. die Wahrnehmung des Rechts auf Mitteilung gemäß Art. 19 DSGVO im Sinne des § 24e Abs. 4 GTelG 2012 ab dem in § 31 Abs. 3 genannten Zeitpunkt,
6. 6. die Koordinierung der Beantwortung von Anträgen gemäß § 19 Abs. 3 und
7. 7. die Erteilung der Information gemäß § 24e Abs. 1 GTelG 2012.

Die Rolle der ELGA GmbH

§ 23. (1) Die ELGA GmbH hat den Betrieb, die Wartung und die technische Weiterentwicklung des eImpfpasses gemäß § 24b Abs. 1 Z 2 GTelG 2012 in Verbindung mit § 31 Abs. 2 und 3 zu verantworten.

(2) Der ELGA GmbH obliegt ab Inkrafttreten dieser Verordnung bis zu dem in § 30 genannten Zeitpunkt die Pflicht zur Wahrnehmung des Rechts auf Mitteilung gemäß Art. 19 DSGVO im Sinne des § 24e Abs. 4 GTelG 2012.

(3) Zur Sicherstellung der Datensicherheit gemäß § 21 Abs. 2 Z 3 hat die ELGA GmbH ein IT-Sicherheitskonzept zu erstellen, das sie dem für das Gesundheitswesen zuständigen Bundesminister auf dessen oder der zuständigen Bundesministerin auf deren Verlangen binnen vier Wochen vorzulegen hat.

Die Rolle der eImpf-Gesundheitsdiensteanbieter

§ 24. (1) Der jeweilige eImpf-Gesundheitsdiensteanbieter hat folgende Verarbeitungstätigkeiten zu verantworten:

1. 1. die von ihm vorgenommene Speicherung, Nachtragung und Vidierung der Angaben gemäß § 24c Abs. 2 GTelG 2012,
2. 2. die von ihm zu Beratungszwecken oder zur Impf-Anamnese vorgenommenen Zugriffe
   1. a) auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1 GTelG 2012 und
   2. b) auf die auf Basis dokumentierter Impfungen und des jeweils aktuellen Impfplans Österreich erstellten persönlichen Impfkalender gemäß § 24d Abs. 2 Z 2 GTelG 2012 sowie

1. 4. die von ihm vorgenommenen Zugriffe für Zwecke der Abrechnung von Impfprogrammen gemäß § 24d Abs. 2 Z 6 GTelG 2012.

(2) Dem eImpf-Gesundheitsdiensteanbieter obliegen folgende Pflichten:

1. 1. Hinweis auf die von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin zur Verfügung gestellte Datenschutzinformation gemäß Art. 13 DSGVO, sofern es sich um eImpf-Gesundheitsdiensteanbietern gemäß § 2 Z 18 lit. a GTelG 2012 handelt und
2. 2. Wahrnehmung des Rechts auf Berichtigung gemäß Art. 16 DSGVO in Verbindung mit § 24e Abs. 4 GTelG 2012.

Die Rolle der Öffentlichen Apotheken

§ 25. (1) Die jeweilige Apotheke gemäß § 1 des Apothekengesetzes hat folgende Verarbeitungstätigkeiten zu verantworten:

1. 1. die von ihr vorgenommene Nachtragung und Vidierung der Angaben gemäß § 24c Abs. 2 GTelG 2012 sowie
2. 2. die von ihr zur Impf-Anamnese vorgenommenen Zugriffe
   1. a) auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1 GTelG 2012 und
   2. b) auf die auf Basis dokumentierter Impfungen und des jeweils aktuellen Impfplans Österreich erstellten persönlichen Impfkalender gemäß § 24d Abs. 2 Z 2 GTelG 2012.

(2) Den Apotheken gemäß § 1 des Apothekengesetzes obliegen folgende Pflichten:

1. 1. Hinweis auf die von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin zur Verfügung gestellte Datenschutzinformation gemäß Art. 13 DSGVO und
2. 2. Wahrnehmung des Rechts auf Berichtigung gemäß Art. 16 DSGVO der von ihr nachgetragenen Angaben zu Impfungen.

Die Rolle der Landeshauptleute

§ 26. (1) Die Landeshauptleute haben in ihrem jeweiligen gesetzlichen Wirkungsbereich folgende Verarbeitungstätigkeiten zu verantworten:

1. 1. die von ihnen vorgenommenen Erinnerungen an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich gemäß § 24d Abs. 2 Z 3 GTelG 2012,
2. 2. die von ihnen vorgenommenen Auswertungen von im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 4 in Verbindung mit § 24g GTelG 2012,
3. 3. das von ihnen durchgeführte Krisenmanagement gemäß § 24d Abs. 2 Z 5 GTelG 2012,
4. 4. die von ihnen vorgenommene Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6 GTelG 2012.

(2) Den Landeshauptleuten obliegt die Pflicht zur Information der betroffenen Personen gemäß Art. 14 DSGVO über die von ihnen in ihrem gesetzlichen Wirkungsbereich vorgenommenen Verarbeitungstätigkeiten in geeigneter Weise.

Die Rolle der Bezirksverwaltungsbehörden

§ 27. (1) Die Bezirksverwaltungsbehörden haben in ihrem jeweiligen gesetzlichen Wirkungsbereich folgende Verarbeitungstätigkeiten zu verantworten:

1. 1. die von ihnen vorgenommenen Erinnerungen an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich gemäß § 24d Abs. 2 Z 3 GTelG 2012,
2. 2. die von ihnen vorgenommenen Auswertungen von im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 4 in Verbindung mit § 24g GTelG 2012,
3. 3. das von ihnen durchgeführte Krisenmanagement gemäß § 24d Abs. 2 Z 5 GTelG 2012 und
4. 4. die von ihnen vorgenommene Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6 GTelG 2012.

(2) Den Bezirksverwaltungsbehörden obliegt die Pflicht zur Information der betroffenen Personen gemäß Art. 14 DSGVO über die von ihnen in ihrem gesetzlichen Wirkungsbereich vorgenommenen Verarbeitungstätigkeiten in geeigneter Weise.

(3) Amtsärzten und Amtsärztinnen obliegt die Pflicht zur Wahrnehmung des Rechts auf Berichtigung gemäß Art. 16 DSGVO in Verbindung mit § 24e Abs. 4 GTelG 2012.

Die Rolle der Sozialversicherung und der Rechtsträger von Krankenfürsorgeeinrichtungen

§ 28. (1) Die Österreichische Gesundheitskasse, die Sozialversicherungsanstalt der Selbstständigen und die Versicherungsanstalt öffentlich Bediensteter, Eisenbahnen und Bergbau haben jeweils die von ihnen vorgenommenen Datenzugriffe und -verarbeitungen im Zuge der Abrechnung sowie Überprüfung der Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6 GTelG 2012 zu verantworten.

(2) Die Rechtsträger von Krankenfürsorgeeinrichtungen haben jeweils die von ihnen vorgenommenen Datenzugriffe und -verarbeitungen im Zuge der Abrechnung sowie Überprüfung der Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6 GTelG 2012 zu verantworten.

(3) Den in Abs. 1 und Abs. 2 Genannten obliegt jeweils die Pflicht zur Information der betroffenen Personen gemäß Art. 14 DSGVO über die von ihnen vorgenommen Verarbeitungstätigkeiten in geeigneter Weise.

Die Rolle der Gesundheitsberatung 1450

§ 29. (1) Die Gesundheitsberatung 1450 hat die jeweils von ihr zu Zwecken der Impf-Anamnese vorgenommenen Zugriffe auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1 GTelG 2012 zu verantworten.

(2) Der Gesundheitsberatung 1450 obliegt die Pflicht zur Information der betroffenen Personen gemäß Art. 14 DSGVO über die von ihnen vorgenommenen Verarbeitungstätigkeiten in geeigneter Weise.

6. Abschnitt

Betrieb des eImpfpasses

Aufnahme des Vollbetriebs

§ 30. Der Vollbetrieb der eHealth-Anwendung eImpfpass wird am 1. Jänner 2029 aufgenommen. Ab diesem Zeitpunkt betreibt der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin die eHealth-Anwendung eImpfpass gemäß § 24b Abs. 1 GTelG 2012 und verantwortet diese Datenverarbeitung. Er oder sie kann einen oder mehrere Auftragsverarbeiter heranziehen. Der für den Betrieb des zentralen Impfregisters herangezogene Auftragsverarbeiter ist auch Auftragsverarbeiter des jeweiligen eImpf-Gesundheitsdiensteanbieters gemäß § 2 Z 18 GTelG 2012 für die Speicherung der Angaben gemäß § 24c Abs. 2 GTelG 2012.

Pilot- und Übergangsbetrieb

§ 31. (1) Vor Aufnahme des Vollbetriebs ist die eHealth-Anwendung eImpfpass im Pilotbetrieb. Die Zeit des Übergangs von Pilotbetrieb auf Vollbetrieb (Übergangsbetrieb) ist Teil des Pilotbetriebs.

(2) Bis 30. September 2028 betreibt die ELGA GmbH gemäß § 24b Abs. 1 Z 2 GTelG 2012 alleine die eHealth-Anwendung eImpfpass und verantwortet alleine diese Verarbeitungstätigkeit. Die ELGA GmbH kann einen oder mehrere Auftragsverarbeiter heranziehen. Dieser oder diese Auftragsverarbeiter sind auch Auftragsverarbeiter des jeweiligen eImpf-Gesundheitsdiensteanbieters gemäß § 2 Z 18 GTelG 2012 für die Speicherung der Angaben gemäß § 24c Abs. 2 GTelG 2012.

(3) Im Zeitraum von 1. Oktober bis 31. Dezember 2028 (Übergangsbetrieb) betreiben der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin und die ELGA GmbH die eHealth-Anwendung eImpfpass gemeinsam und verantworten beide diese Verarbeitungstätigkeit.

Pflichten der ELGA GmbH

§ 32. (1) Die ELGA GmbH hat vor Aufnahme des Vollbetriebs für eine reibungslose Portierung von Software (Anwendung) und Daten (Impfregister) zu dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin zu sorgen.

(2) Die ELGA GmbH hat dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin bis 30. September 2028 alle für die Aufnahme des Vollbetriebs erforderlichen Dokumente und Informationen, einschließlich der Software, zu übergeben. Die ELGA GmbH hat die Daten direkt an den von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin genannten Auftragsverarbeiter zu übermitteln und dabei sicherzustellen, dass ein reibungsloser Wechsel des Auftragsverarbeiters für die eImpf-Gesundheitsdiensteanbieter erfolgt.

(3) Die ELGA GmbH hat bis 31. Dezember 2028 die Umsetzung aller in § 24d Abs. 2 GTelG 2012 genannter Funktionalitäten sicherzustellen. Treten Umstände ein, die die fristgerechte Umsetzung einer Funktionalität unmöglich machen, trifft die ELGA GmbH eine Warnpflicht gegenüber dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin. Diese Warnung hat bis längstens 30. September 2028 zu erfolgen und bewirkt eine Verlängerung der Umsetzungsfrist bis zum 30. Juni 2029. Die Umsetzung hat durch die ELGA GmbH zu erfolgen. Die verzögerte Umsetzung von Funktionalitäten steht der Aufnahme des Vollbetriebs nicht entgegen.

7. Abschnitt

Schlussbestimmungen

In- und Außerkrafttreten

§ 33. Diese Verordnung tritt mit dem der Kundmachung folgenden Tag in Kraft. Gleichzeitig treten die eHealth-Verordnung (eHealthV), BGBl. II Nr. 449/2020 und die Zugriffsberechtigungsverordnung (ZugriffsV), BGBl. II Nr. 300/2024 außer Kraft.

Übergangsbestimmungen

§ 34. (1) Der Implementierungsleitfaden e-Impfpass (Version 1) darf bis zu 13 Monate nach Inkrafttreten dieser Verordnung weiterverwendet werden. Nach 13 Monaten ab Inkrafttreten dieser Verordnung ist der Implementierungsleitfaden e-Impfpass (Version 2.0.0) zwingend zu verwenden.

(2) Abweichend von Abs. 1 sind aus dem Implementierungsleitfaden e-Impfpass (Version 2.0.0) die Datenfelder „Impfsetting als Pflichtfeld“ und „Impfprogramm zur Abrechnung“ binnen vier Monaten ab Inkrafttreten dieser Verordnung zwingend umzusetzen und zu verwenden.

Anlage

Anlage 1

Anlage 1: eHealthV 2025 Anlage