BGBl II 32/2026

32. Verordnung der Bundesministerin für Arbeit, Soziales, Gesundheit, Pflege und Konsumentenschutz über nähere Regelungen zur datenschutzrechtlichen Rollenverteilung in grenzüberschreitenden Gesundheitsanwendungen (MyHealth@EU-Rollenverteilungs-Verordnung – MH@EU-RVV)

Auf Grund des § 28c des Gesundheitstelematikgesetzes 2012 (GTelG 2012), BGBl. I Nr. 71/2025, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 94/2025 wird verordnet:

Inhaltsverzeichnis

​

1. Abschnitt

Allgemeine Bestimmungen

Gegenstand

§ 1. (1) Gegenstand dieser Verordnung sind nähere Regelungen gemäß dem 6. Abschnitt des GTelG 2012 zur Aufteilung der Pflichten gemäß Art. 26 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 074 vom 04.03.2021 S. 35, (im Folgenden: DSGVO) für die gemeinsamen Verantwortlichen

1. 1. des EU-Rezepts gemäß § 24r Abs. 2 GTelG 2012, sowie,
2. 2. der EU-Patientenkurzakte gemäß § 24u Abs. 2 GTelG 2012.

(2) Gemeinsame Verantwortlichkeit bedeutet die gesetzliche Benennung der Verantwortlichen unter Vorgabe von Zwecken und Mitteln der Verarbeitung gemäß § 24r Abs. 2 und § 24u Abs. 2 GTelG 2012 iVm Art. 4 Z 7 2. Fall DSGVO.

(3) Die gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO besteht so lange, wie die in Abs. 1 genannten Bestimmungen des 6. Abschnitts GTelG 2012 in Geltung stehen.

(4) Sämtliche Verarbeitungstätigkeiten der gemeinsamen Verantwortlichen haben ausschließlich innerhalb des EU- bzw. des EWR-Raums zu erfolgen. Eine Drittstaatenübermittlung im Sinne des Kapitels V DSGVO ist nicht zulässig.

(5) Die gemeinsam Verantwortlichen sind befugt, Auftragsverarbeiter zu bestellen, sofern deren Identität sowie der entsprechende Auftragsverarbeitungsvertrag den anderen Verantwortlichen vor Abschluss mitgeteilt wird und sichergestellt ist, dass der Auftragsverarbeiter die gegenständlichen Pflichten erfüllt.

Pflichten der gemeinsamen Verantwortlichen

§ 2. (1) Den in den § 1 genannten gemeinsamen Verantwortlichen obliegen jeweils die in den folgenden Abschnitten zugewiesenen sowie die in Abs. 2 genannten, aus der DSGVO resultierenden Pflichten gemäß Art. 26 DSGVO.

(2) Hinsichtlich der von ihnen zu verantwortenden Datenverarbeitungstätigkeiten obliegen den gemeinsamen Verantwortlichen jeweils folgende Pflichten:

1. 1. Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO,
2. 2. Zusammenarbeit mit der Aufsichtsbehörde gemäß Art. 31 DSGVO,
3. 3. Sicherstellung der Datensicherheit gemäß Art. 32 DSGVO,
4. 4. Wahrnehmung der Meldepflicht gemäß Art. 33 DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten in ihrem Verantwortungsbereich aufgetreten ist,
5. 5. Durchführung einer Datenschutz-Folgenabschätzung, sofern dies aufgrund von Art. 35 DSGVO notwendig ist,
6. 6. Weiterleitung von Anträgen gemäß Abs. 3 an die von der für das Gesundheitswesen zuständigen Bundesministerin oder dem Bundesminister gemäß § 17 GTelG 2012 eingerichtete ELGA- und eHealth-Supporteinrichtung und Information der betroffenen Person über die Weiterleitung sowie
7. 7. Information der betroffenen Personen gemäß Art. 12 Abs. 4 DSGVO, wenn aufgrund von deren Anträgen kein Tätigwerden erfolgt.

(3) Anträge von betroffenen Personen zur Ausübung von Rechten gemäß Kapitel III der DSGVO sind von einem der gemeinsamen Verantwortlichen innerhalb von 72 Stunden an die von der für das Gesundheitswesen zuständigen Bundesministerin oder dem zuständigen Bundesminister gemäß § 17 GTelG 2012 eingerichtete ELGA- und eHealth-Supporteinrichtung zur Beantwortung weiterzuleiten, wenn

1. 1. die betroffene Person ihre Identität eindeutig nachgewiesen hat,
2. 2. kein anderer Grund für ein Nicht-Tätigwerden im Sinne des Art. 12 Abs. 4 DSGVO vorliegt und
3. 3. der von der betroffenen Person beanspruchte Verantwortliche für die Wahrnehmung des geltenden gemachten Rechts nicht zuständig ist.

(4) Die im Rahmen des 6. Abschnitts GTelG 2012 verarbeiteten Daten sind im Falle des Außerkrafttretens der jeweiligen Bestimmungen unverzüglich zu löschen. Inwiefern der Löschung andere Rechtsgrundlagen entgegenstehen ist vom jeweiligen Verantwortlichen selbst zu bestimmen.

Die Rolle der für das Gesundheitswesen zuständigen Bundesministerin oder des zuständigen Bundesministers

§ 3. (1) Die für das Gesundheitswesen zuständige Bundesministerin oder der zuständige Bundesminister hat die Einrichtung und den Betrieb der Nationalen Kontaktstelle für digitale Gesundheit gemäß § 24j GTelG 2012 als allgemeine Verarbeitungstätigkeiten im Rahmen des 6. Abschnitts GTelG 2012 zu verantworten.

(2) Der für das Gesundheitswesen zuständigen Bundesministerin oder dem zuständigen Bundesminister obliegen folgende allgemeine Pflichten:

1. 1. die Entgegennahme und Umsetzung des Einverständnisses (Opt-In) gemäß § 24i Abs. 2 GTelG 2012 im Wege der gemäß § 17 GTelG 2012 eingerichteten ELGA- und eHealth-Supporteinrichtung,
2. 2. Information der betroffenen Personen gemäß Art. 13 DSGVO betreffend die grenzüberschreitenden Gesundheitsanwendungen,
3. 3. Information der betroffenen Personen gemäß Art. 14 DSGVO über die von ihr oder ihm vorgenommenen Verarbeitungstätigkeiten in geeigneter Weise,
4. 4. die Entgegennahme und Koordinierung von Betroffenenrechten gemäß Kapitel III der DSGVO im Wege der gemäß § 17 GTelG 2012 eingerichteten ELGA- und eHealth-Supporteinrichtung,
5. 5. die zentrale Wahrnehmung von Betroffenenrechten gemäß Kapitel III der DSGVO für die gemeinsamen Verantwortlichen im Wege der gemäß § 17 GTelG 2012 eingerichteten ELGA- und eHealth-Supporteinrichtung, sofern dies nicht ausschließlich den Aufgabenbereich eines einzelnen Verantwortlichen betrifft,
6. 6. die Weiterleitung von Anfragen, sofern kein Verantwortlicher seinen Sitz in Österreich hat gemäß § 24n Abs. 3 GTelG 2012 im Wege der Nationalen Kontaktstelle für digitale Gesundheit, sowie
7. 7. die Löschung der gespeicherten Protokolldaten (§ 24j Abs. 3 GTelG 2012).

2. Abschnitt

Rollenverteilung für elektronische Verschreibungen und elektronische Abgaben (EU-Rezept)

Die Rolle der für das Gesundheitswesen zuständigen Bundesministerin oder des zuständigen Bundesministers

§ 4. Die für das Gesundheitswesen zuständige Bundesministerin oder der zuständige Bundesminister hat folgende Verarbeitungstätigkeiten zu verantworten:

1. 1. die Einrichtung und den Betrieb der Nationalen Kontaktstelle für digitale Gesundheit gemäß § 24o Abs. 3 iVm § 24j GTelG 2012 für das EU-Rezept,
2. 2. die Weiterleitung von EU-Rezepten an Nationale Kontaktstellen für digitale Gesundheit in anderen MyHealth@EU-Mitgliedstaaten,
3. 3. die Weiterleitung von elektronischen Abgaben elektronischer Verschreibungen gemäß § 7 Abs. 1 Z 3 an Nationale Kontaktstellen für digitale Gesundheit in anderen MyHealth@EU-Mitgliedstaaten.

1. Unterabschnitt

Österreich als Herkunftsmitgliedstaat

Die Rolle des behandelnden Arztes oder der behandelnden Ärztin

§ 5. (1) Der jeweils behandelnde Arzt oder die jeweils behandelnde Ärztin hat die Verarbeitungstätigkeiten der Erstellung eines e-Rezepts gemäß § 31a ASVG, das in einem EU- oder EWR-Staat eingelöst werden soll, unter Erfüllung der inhaltlichen Vorgaben des § 3a Rezeptpflichtgesetz, BGBl. I Nr. 163/2019 in der jeweils geltenden Fassung, zu verantworten.

(2) Dem jeweils behandelnden Arzt oder der behandelnden Ärztin obliegen folgende Pflichten:

1. 1. Hinweis auf die von der für das Gesundheitswesen zuständigen Bundesministerin oder dem zuständigen Bundesminister zur Verfügung gestellte Datenschutzinformation gemäß Art. 13 DSGVO und
2. 2. Wahrnehmung der Betroffenenrechte gemäß Kapitel III der DSGVO, sofern diese unmittelbar und ausschließlich die Inhalte eines e-Rezepts gemäß Abs. 1 betreffen.

Die Rolle der für das Gesundheitswesen zuständigen Bundesministerin oder des zuständigen Bundesministers

§ 6. (1) Die für das Gesundheitswesen zuständige Bundesministerin oder der zuständige Bundesminister hat folgende Verarbeitungstätigkeiten zu verantworten, die durch den Dachverband der Sozialversicherungsträger im übertragenen Wirkungsbereich besorgt werden:

1. 1. die Einrichtung und den Betrieb der Anwendung EU-Rezept gemäß § 24o Abs. 1 GTelG 2012, sowie
2. 2. die Umwandlung eines gemäß § 5 Abs. 1 ausgestellten e-Rezepts in ein EU-Rezept gemäß § 24o GTelG 2012.

(2) Der für das Gesundheitswesen zuständige Bundesministerin oder dem zuständigen Bundesminister obliegen folgende Pflichten:

1. 1. Hinweis auf die von der für das Gesundheitswesen zuständigen Bundesministerin oder dem zuständigen Bundesminister zur Verfügung gestellte Datenschutzinformation gemäß Art. 13 DSGVO in geeigneter Form, und
2. 2. Wahrnehmung der Betroffenenrechte gemäß Kapitel III der DSGVO, sofern diese unmittelbar und ausschließlich die Umwandlung eines e-Rezepts in ein EU-Rezept gemäß Abs. 1 Z 2 betreffen.

2. Unterabschnitt

Österreich als Behandlungsmitgliedstaat

Die Rolle der behandelnden Apotheke

§ 7. (1) Die jeweils behandelnde Apotheke gemäß § 24q Abs. 1 GTelG 2012 hat folgende Verarbeitungstätigkeiten zu verantworten:

1. 1. Die Entgegennahme von elektronischen Verschreibungen anderer MyHealth@EU-Mitgliedstaaten im Wege der Nationalen Kontaktstelle für digitale Gesundheit,
2. 2. die Einlösung von elektronischen Verschreibungen anderer MyHealth@EU-Mitgliedstaaten zur Abgabe des jeweiligen Arzneimittels, sowie
3. 3. die Meldung der elektronischen Abgabe der elektronischen Verschreibungen anderer MyHealth@EU-Mitgliedstaaten an die Nationalen Kontaktstelle für digitale Gesundheit.

(2) Der jeweils behandelnden Apotheke obliegen folgende Pflichten:

1. 1. Hinweis auf die von der für das Gesundheitswesen zuständigen Bundesministerin oder dem zuständigen Bundesminister zur Verfügung gestellte Datenschutzinformation gemäß Art. 13 DSGVO in geeigneter Form, und
2. 2. Wahrnehmung der Betroffenenrechte gemäß Kapitel III der DSGVO, sofern diese unmittelbar und ausschließlich die Entgegennahme, Einlösung oder elektronische Abgabe der elektronischen Verschreibung gemäß Abs. 1 betreffen.

Die Rolle der für das Gesundheitswesen zuständige Bundesministerin oder dem zuständigen Bundesminister

§ 8. (1) Die für das Gesundheitswesen zuständige Bundesministerin oder dem zuständigen Bundesminister hat folgende Verarbeitungstätigkeiten zu verantworten, die durch den Dachverband der Sozialversicherungsträger im übertragenen Wirkungsbereich besorgt werden:

1. 1. die Einrichtung und den Betrieb einer Möglichkeit der geeigneten elektronischen Identifikation der in der jeweils behandelnden Apotheke tätigen, natürlichen Personen gemäß § 24q Abs. 2 GTelG 2012, sowie
2. 2. die Entgegennahme der Meldung von elektronischen Abgaben gemäß § 7 Abs. 1 Z 1 in der Funktion als Nationale Kontaktstelle für digitale Gesundheit gemäß § 4 Z 3.

(2) Der für das Gesundheitswesen zuständigen Bundesministerin oder dem zuständigen Bundesminister obliegt die Pflicht zur Wahrnehmung der Betroffenenrechte gemäß Kapitel III der DSGVO, sofern diese unmittelbar und ausschließlich die in Abs. 1 Z 1 genannte Verarbeitungstätigkeit betreffen.

3. Abschnitt

Rollenverteilung für die EU-Patientenkurzakte

Die Rolle der für das Gesundheitswesen zuständigen Bundesministerin oder des zuständigen Bundesministers

§ 9. Die für das Gesundheitswesen zuständige Bundesministerin oder der zuständige Bundesminister hat die Einrichtung und den Betrieb der Nationalen Kontaktstelle für digitale Gesundheit gemäß § 24s Abs. 2 iVm § 24j GTelG 2012 zu verantworten.

1. Unterabschnitt

Österreich als Behandlungsmitgliedstaat

Die Rolle des behandelnden Arztes oder der behandelnden Ärztin

§ 10. (1) Der jeweils behandelnde Arzt oder die behandelnde Ärztin hat die Verarbeitungstätigkeiten der Abfrage einer EU-Patientenkurzakte gemäß § 24t GTelG 2012 zu verantworten.

(2) Dem jeweils behandelnden Arzt oder der behandelnden Ärztin obliegen folgende Pflichten:

1. 1. Hinweis auf die von der für das Gesundheitswesen zuständigen Bundesministerin oder dem zuständigen Bundesminister zur Verfügung gestellte Datenschutzinformation gemäß Art. 13 DSGVO in geeigneter Form, und
2. 2. Wahrnehmung der Betroffenenrechte gemäß Kapitel III der DSGVO, sofern diese unmittelbar und ausschließlich Abruf einer EU-Patientenkurzakte gemäß Abs. 1 betreffen.

Die Rolle der für das Gesundheitswesen zuständigen Bundesministerin oder des zuständigen Bundesministers

§ 11. (1) Die für das Gesundheitswesen zuständige Bundesministerin oder der zuständige Bundesminister hat den Empfang einer EU-Patientenkurzakte aus einem anderen MyHealth@EU-Mitgliedstaat und die Zurverfügungstellung dieser an den jeweils behandelnden Arzt oder die behandelnde Ärztin in seiner oder ihrer Funktion als Nationale Kontaktstelle für digitale Gesundheit gemäß § 9 zu verantworten.

(2) Der für das Gesundheitswesen zuständigen Bundesministerin oder dem zuständigen Bundesminister obliegt die Pflicht zur Wahrnehmung der Betroffenenrechte gemäß Kapitel III der DSGVO, sofern diese unmittelbar und ausschließlich die in Abs. 1 genannte Verarbeitungstätigkeit betrifft.

4. Abschnitt

Schlussbestimmungen

In- und Außerkrafttreten

§ 12. Diese Verordnung tritt mit dem der Kundmachung folgenden Tag in Kraft.