VfGH G330/2015

Spruch:

Der Antrag wird zurückgewiesen.

Begründung

Begründung

Antrag und Vorverfahren

Der Antragsteller, ein Facharzt für Frauenheilkunde und Geburtshilfe, begehrt mit seinem auf Art140 Abs1 Z1 litc B‑VG gestützten Antrag, §3 Abs3 und Abs4, §4 Abs1 und Abs2, §5 Abs2, §6 Abs1, Abs2 und Abs3, §7 Abs1 und Abs2, §8 Abs1, §13 Abs2, Abs3 und Abs7, §14 Abs1 und Abs2, §18 Abs4, §20 Abs1, Abs2, Abs3 und Abs5, §21 Abs1 und Abs2 sowie §24 Abs1 Gesundheitstelematikgesetz 2012 (GTelG 2012), "jeweils in der geltenden Fassung", BGBl I 111/2012 idF BGBl I 83/2013, als verfassungswidrig aufzuheben.

Der Antragsteller macht geltend, dass Teile des GTelG 2012 in sein Grundrecht auf Datenschutz gemäß §1 DSG 2000 iVm Art8 EMRK eingreifen würden:

1.1. Der Antragsteller sei, sofern dies auf Grund seines Gesundheitszustandes notwendig ist, in Behandlung bei einem Arzt für Allgemeinmedizin oder Facharzt seines Vertrauens. Bisher seien seine Gesundheitsdaten – insbesondere seine Befunde, Medikamentenverschreibungen sowie alle Arztbriefe – von ihm selbst aufbewahrt worden und allenfalls einem Arzt zur Einsicht übergeben worden. Diese Gesundheitsdaten müssten in Hinkunft im ELGA-System gespeichert und vernetzt werden, damit allen nach dem GTelG 2012 Berechtigten im Rahmen der Einsichtspflicht ein elektronischer Zugriff auf die Gesundheitsdaten des Antragstellers ermöglicht werde. Patienten hätten bisher davon ausgehen können, dass dritte Personen ohne Zustimmung des Patienten vom Arzt keinen Zugriff auf ihre Gesundheitsdaten erhalten würden. Bis zum Inkrafttreten des GTelG 2012 sei der Antragsteller "Herr seiner Gesundheitsdaten" gewesen, das habe sich durch die angefochtenen gesetzlichen Bestimmungen geändert.

1.2. Durch die Speicherpflicht und die Vernetzung der gespeicherten Gesundheitsdaten, wie vom GTelG 2012 in den angefochtenen Bestimmungen angeordnet und näher geregelt, werde – ohne Hinzutreten einer gerichtlichen oder im Instanzenzug bekämpfbaren Entscheidung – in das verfassungsgesetzlich gewährleistete Recht auf Datenschutz eingegriffen.

1.3. Die Verwendung der Gesundheitsdaten sei zwar nur durch einen eingeschränkten Personenkreis zulässig (§14 GTelG 2012). Die normierten Einschränkungen seien datenschutzrechtlich allerdings unzureichend. So sei das Speichern und das Ermitteln von Gesundheitsdaten schon unter der Voraussetzung zulässig, dass der ELGA-Teilnehmer eindeutig identifiziert worden sei. Eine Zustimmung des Antragstellers sei dafür nicht notwendig. Das GTelG 2012 ordne in §13 Abs7 GTelG 2012 die Verwendung der Gesundheitsdaten sogar an.

1.4. Der Antragsteller sei über seine Gesundheitsdaten nicht mehr verfügungsberechtigt. Er könne weder über die Frage, ob überhaupt eine elektronische Speicherung ganz oder teilweise vorzunehmen sei, entscheiden, noch wo und mit welchen technischen und rechtlichen Sicherheitsvorkehrungen gespeichert werde, noch welche weitere Bearbeitung und Einsichten welchen Personen ganz oder teilweise erlaubt würden. Der Zugriff auf Daten sei auch zu weitgehend, da die Verwaltung von Gesundheitsdaten den Zugriff auf die personenbezogenen Gesundheitsdaten des Antragstellers erlaube. Außerdem erlaube §14 Abs2 GTelG 2012 jeden Zugriff, jede Verwendung und Verarbeitung sowie jede Speicherung von Gesundheitsdaten, sofern diese nicht "personenbezogen" erfolge. Das bedeute, dass Gesundheitsdaten des Antragstellers seit Inkrafttreten des GTelG 2012 gespeichert, verwendet und verarbeitet werden dürften, sofern nur der Name des Antragstellers gelöscht werde.

Teile des GTelG 2012 würden nach Ansicht des Antragstellers nicht nur in seine Rechte als Patient eingreifen, sondern auch in seine verfassungsgesetzlich gewährleisteten Rechte als Eigentümer seiner Facharztordination:

1.5. Der Antragsteller führe eine Praxis als Facharzt für Frauenheilkunde. Dadurch sei er laut Legaldefinition des §2 Z10 GTelG 2012 ein "ELGA Gesundheitsdiensteanbieter". In dieser Eigenschaft müsse der Antragsteller an dem Informationssystem "ELGA" teilnehmen.

1.6. Das GTelG 2012 verpflichte den Antragsteller als "ELGA Gesundheitsdiensteanbieter" unmittelbar zur Erstellung eines IT-Sicherheitskonzeptes und zur Dokumentation der Sicherheitsmaßnahmen. Dadurch werde der Antragsteller zur Anschaffung, Wartung und zum Update der erforderlichen Hard- und Software verpflichtet. Die Kosten hiefür würden vom Antragsteller selbst getragen. Das GTelG 2012 würde daher zu einer erheblichen finanziellen Belastung führen. Diese Verpflichtungen würden den Antragsteller unmittelbar – ohne gerichtliche oder verwaltungsbehördliche Entscheidung – treffen.

1.7. Der Antragsteller habe §6 GTelG 2012 zufolge die Vertraulichkeit der elektronischen Weitergabe von Gesundheitsdaten sicherzustellen. Die Vorschriften, die anordnen, wie eine sichere Weitergabe zu erfolgen habe, würden zu weiteren finanziellen Belastungen führen. Ein Verstoß gegen §6 GTelG 2012 sei gemäß §25 Abs1 Z4 GTelG 2012 als Verwaltungsübertretung strafbar.

1.8. In §13 Abs3 und §20 Abs1 GTelG 2012 werde der Antragsteller verpflichtet, die Daten zu speichern. Auch hiefür gäbe es keine Regelung der Kostentragung für die Speicherung und die Zurverfügungstellung der Speicherkapazität. Hinzu kämen weitere Kosten für die Implementierung des ELGA Systems, zB für IT-Einschulungen für die Ordinationshilfen.

1.9. Aus §13 Abs7 GTelG 2012 ergebe sich eine Verpflichtung, die Gesundheitsdaten der Patienten zu ermitteln. Auch dies sei eine unmittelbar auferlegte Verpflichtung für den Antragsteller und daher ein Eingriff in seine Rechtsstellung als Arzt und Eigentümer seiner Ordination.

1.10. Durch das ELGA System würden sich auch die Ordinationszeiten je Patient stark verlängern. Das würde sich aus den Dokumentations- und Ermittlungspflichten ergeben, die den Antragsteller als Arzt durch die Einführung des GTelG 2012 treffen würden. Diese notwendige erweiterte Ordinationszeit würde dem Antragsteller nicht ersetzt werden. Durch diese erhebliche Reduktion der wirtschaftlichen Leistungsfähigkeit der Ordination des Antragstellers würde ein verfassungswidriger Eingriff in die verfassungsgesetzlich gewährleisteten Rechte auf Unversehrtheit des Eigentums und auf Erwerbsausübungsfreiheit vorliegen.

1.11. Ein weiterer Eingriff in die Rechtsstellung des Antragstellers liege in der durch das GTelG 2012 bewirkten Erhöhung des Sorgfaltsmaßstabes für behandelnde Ärzte. Durch die Einführung des GTelG 2012 werde jeder Arzt verpflichtet, sämtliche ELGA Gesundheitsdaten seiner Patienten bei jeder Ordination aufzurufen und zu analysieren. Die bisherige "Bringschuld" der Patienten werde jetzt zu einer "Holschuld" des Arztes, wodurch die Haftung der behandelnden Ärzte erhöht werde. Die Erhöhung der Haftung werde aber durch kein zusätzliches Entgelt ausgeglichen, weswegen ein Eingriff in das Grundrecht auf Unversehrtheit des Eigentums stattfinde.

1.12. Das GTelG 2012 habe seit dem Inkrafttreten am 1. Jänner 2013 weitreichende Vorwirkungen, welche den Antragsteller schon jetzt erheblich belasten würden. Es würden Investitionskosten für Büroorganisation und die EDV-Infrastruktur entstehen. Dadurch wäre der Antragsteller unmittelbar durch das Inkrafttreten des GTelG 2012 betroffen.

1.13. §25 GTelG 2012 enthalte Verwaltungsstrafbestimmungen. Diese würden Verletzungen des §3 Abs3 GTelG 2012 hinsichtlich der technischen Gewährleistung dafür, dass es keine Verwendung von Gesundheitsdaten außerhalb der "zulässigen Rollen" gebe, ebenso unter Strafe stellen wie die Verletzung der Identifikationspflicht gemäß §4 GTelG 2012 und die Verletzung der Prüfungspflicht der "Rolle" von Gesundheitsdiensteanbietern gemäß §5 Abs1 GTelG 2012. Weiters werde die Verletzung der Datensicherheitsmaßnahmen zur Gewährleistung der Vertraulichkeit unter Strafe gestellt. Bedeutsam sei, dass die berechtigungslose Verwendung von ELGA Gesundheitsdaten nur bei Begehung durch ELGA-Gesundheitsdiensteanbieter strafbar sei, nicht aber wenn andere Personen diese Daten verwenden würden. So seien Angestellte oder Fremde, die sich durch das "Hacken" oder ähnliche Vorgehensweisen Zugang zu den Gesundheitsdaten verschaffen würden, straffrei.

1.14. Die Speicherungs- und Einsichtspflichten, die das bekämpfte Gesetz vorsehe, würden erst mit Wirksamkeit ab 1. Jänner 2015 bzw. ab 1. Juli 2016 angeordnet. Der Antragsteller sei aber bereits im Zeitpunkt der Einbringung seines Antrags im Juli 2015 durch die angefochtenen Bestimmungen aktuell und unmittelbar in seiner Rechtssphäre betroffen, da er bereits Vorkehrungen zu treffen habe, insbesondere für die Anschaffung von Hard- und Software, Schaffung von Speicherkapazität und für die Umstellung der Ordinationsorganisation.

1.15. Es gebe gegen die Akte der Gesetzgebung keinen Rechtsweg an die Datenschutzbehörde. Daher könne eine bekämpfbare Entscheidung dieser oder einer anderen Behörde mangels Zuständigkeit nicht ergehen.

In weiterer Folge beschreibt der Antragsteller die Eingriffe in seine Rechte durch die angefochtenen Bestimmungen:

1.16. §3 Abs3 GTelG 2012 ordne an, dass jeder Gesundheitsdiensteanbieter Gesundheitsdaten zu verwenden habe, wobei die Zulässigkeit der Datenverwendung durch Rollen abzubilden sei. Dabei habe der Gesundheitsdiensteanbieter technisch zu gewährleisten, dass es zu keiner Verwendung außerhalb der zulässigen Rollen käme. Dadurch sei der Antragsteller in zweifacher Hinsicht in seinen verfassungsgesetzlich gewährleisten Rechten verletzt. Einerseits als Patient, da der Gesetzgeber es Gesundheitsdiensteanbietern innerhalb ihrer Rolle erlaube, Gesundheitsdaten zu verwenden und dadurch in das gemäß §1 DSG 2000 verfassungsgesetzlich gewährleistete Recht eingreife, selbst zu bestimmen, wer in welcher Form Gesundheitsdaten verwende. Die technische Gewährleistungspflicht greife andererseits in die Rechtsstellung des Antragstellers als Facharzt und Eigentümer seiner Ordination ein, weil er erheblich investieren müsse, um die Gewährleistungspflicht des §3 Abs3 GTelG 2012 zu erfüllen.

1.17. §3 Abs4 GTelG 2012 regle die Voraussetzungen für die Weitergabe von Gesundheitsdaten durch Gesundheitsdiensteanbieter. Die Gesetzesbestimmung belaste den Antragsteller als Facharzt und Eigentümer seiner Ordination, da er dadurch sowohl die Identitätsprüfung seiner Patienten übernehmen müsse, als auch die Rollen der an der Weitergabe beteiligten Gesundheitsdiensteanbieter überprüfen bzw. einen Nachweis verlangen müsse. Außerdem müsse er die Vertraulichkeit der weitergegebenen Gesundheitsdaten und deren Integrität gewährleisten. Durch diese Pflichten würden erhebliche Belastungen auf den Ordinationsbetrieb zukommen. §3 Abs4 GTelG 2012 greife aber auch in die Rechtsstellung des Antragstellers als Patient ein, da eine Zustimmung zur Weitergabe der Gesundheitsdaten nicht erforderlich sei und das datenschutzrechtliche Selbstbestimmungsrecht hinsichtlich seiner Gesundheitsdaten beseitigt werde.

1.18. §4 Abs1 und Abs2 GTelG 2012 würden beschreiben, wie die Identitätsfeststellung hinsichtlich jener Personen, deren Gesundheitsdaten weitergegeben werden sollen, zu erfolgen hat. Die Bestimmungen griffen aus den zu §3 Abs4 GTelG 2012 genannten Gründen in die Rechtsstellung des Antragstellers ein.

1.19. §5 Abs2 GTelG 2012 stehe in direktem Zusammenhang mit §3 Abs3 GTelG 2012. Die Bestimmung schreibe vor, dass der Bundesminister für Gesundheit die in §3 Abs3 GTelG 2012 genannten Rollen mit Verordnung festzulegen habe. Daraus ergebe sich auch der direkte Zusammenhang zwischen den Normen.

1.20. §6 Abs1, Abs2 und Abs3 GTelG 2012 würden allgemein die Sicherstellung der Vertraulichkeit bei der elektronischen Weitergabe von Gesundheitsdaten betreffen. Nach Ansicht des Antragstellers hätten die Gesundheitsdiensteanbieter für den Schutz der Vertraulichkeit zu sorgen, ohne dass die öffentliche Hand oder die Sozialversicherungsträger die Kosten tragen würden. Dadurch würde ein direkter Eingriff in die Rechtsstellung des Antragstellers als Eigentümer seiner Facharztordination vorliegen. Da auch keine Zustimmung des Patienten zur Weitergabe der Daten verlangt werde, liege auch darin ein Eingriff in die Rechtsstellung des Antragstellers als Patient und Herr seiner Gesundheitsdaten.

1.21. §7 Abs1 und Abs2 GTelG 2012 würden den Nachweis und die Prüfung der Integrität elektronischer Gesundheitsdaten durch Verwendung fortgeschrittener oder qualifizierter elektronischer Signaturen regeln. Auf Grund des Zusammenhanges mit §3 Abs4 GTelG 2012 sei auch diese Bestimmung anzufechten.

1.22. §8 Abs1 GTelG 2012 fordere ausdrücklich die Schaffung eines IT‑Sicherheitskonzeptes und die Dokumentation aller Datensicherheitsmaßnahmen. Die Bestimmung verlange eine über den bisherigen Stand weit hinausgehende Dokumentationspflicht hinsichtlich der Datensicherheitsmaßnahmen, wodurch in die Rechtsstellung des Antragstellers als Eigentümer seiner Facharztordination eingegriffen werde.

1.23. §13 Abs2, Abs3 und Abs7 GTelG 2012 würden die Speicherpflicht und die Verwendungspflicht (Ermittlungspflicht) im Hinblick auf die ELGA-Gesundheitsdaten regeln. Dadurch würden für den Antragsteller als Facharzt Kosten anfallen und ein Zeitverlust eintreten, da die Ordinationszeiten verlängert würden. Die Ermittlungspflicht würde eine Erhöhung des Haftungsmaßstabes bewirken. Als Patient sei der Antragsteller in seinem verfassungsgesetzlich gewährleisteten Recht auf Datenschutz direkt beeinträchtigt, da die Speicherung und die Weitergabe ebenso wie die Verwendung der Gesundheitsdaten ohne Zustimmung zu erfolgen habe.

1.24. §14 Abs1 und Abs2 GTelG 2012 stünden mit §13 Abs2, Abs3 und Abs2 GTelG 2012 in direktem Zusammenhang. Sie würden weitere spezielle Bedingungen, unter welchen ELGA Gesundheitsdaten gespeichert und ermittelt werden dürfen, regeln. Der Antragsteller als Patient habe seine Verfügungsmacht über seine Gesundheitsdaten verloren, weil die Verwendung ohne seine konkrete Zustimmung erfolgen dürfe.

1.25. §18 Abs4 GTelG 2012 schaffe nähere Regelungen zu der den Gesundheitsdiensteanbietern und damit auch dem antragstellenden Facharzt auferlegten Verpflichtung zur Identitätsfeststellung.

1.26. Mit §20 Abs1, Abs2, Abs3 und Abs5 GTelG 2012 würden die Gesundheitsdiensteanbieter verpflichtet, die ELGA Gesundheitsdaten in geeigneten Datenspeichern, die sich im Gebiet der Europäischen Union befinden müssen, zu speichern. §20 Abs1 GTelG 2012 stehe mit §13 Abs3 GTelG 2012 in direktem Zusammenhang. Gemäß §20 Abs1 letzter Satz GTelG 2012 habe der ELGA Gesundheitsdiensteanbieter als Auftraggeber der Speicherung zu fungieren. Er müsse §20 Abs2 GTelG 2012 zufolge die Verweisdaten in Verweisregistern speichern, auch hier finde sich ein Verweis auf §13 Abs3 GTelG 2012, womit ein direkter Zusammenhang bestehen würde. §20 Abs3 GTelG 2012 verlange, dass die Gesundheitsdaten sowie elektronischen Verweise darauf dezentral für zehn Jahre zu speichern seien. Die elektronischen Verweise seien automatisch zu erstellen und hätten die in §20 Abs5 GTelG 2012 genannten Daten zu enthalten. Auch diese Bestimmung würde in die Rechtsstellung des Antragstellers als Facharzt und als Patient eingreifen.

1.27. Nach §21 Abs1 und Abs2 sei ein Berechtigungssystem einzurichten, das die Zugriffsberechtigungen verwalten soll. Ohne Zugangsberechtigung dürften die Gesundheitsdaten und Verweise nicht angezeigt werden. Auch Mitarbeiterinnen der ELGA-Ombudsstelle dürften auf die Daten zugreifen. Diese Regelungen würden in die Rechtsstellung des Antragstellers als Patient eingreifen, da die Einsicht in seine Gesundheitsdaten nicht von seiner Zustimmung abhängen würde.

1.28. Nach §24 Abs1 GTelG 2012 sei die Ermittlung der Gesundheitsdaten unentgeltlich. Dadurch würde der Antragsteller als Gesundheitsdiensteanbieter keine Kompensation und keinen Lastenausgleich erhalten.

In der Sache bringt der Antragsteller auf das Wesentliche zusammengefasst vor, dass durch die mit dem GTelG 2012 angeordnete Pflicht zur elektronischen Speicherung von gesundheitsbezogenen Daten und deren Vernetzung die von der Speicherung Betroffenen – zu denen auch der Antragsteller zähle – ihr Selbstbestimmungsrecht über diese sensiblen Daten verlören. Es fehle an einer verfassungsrechtlichen Gesetzgebungskompetenz des Bundes, auf die die Regelungen der angefochtenen Bestimmungen gestützt werden könnten. Die Bestimmungen würden in unzulässiger Weise in das Grundrecht auf Datenschutz (§1 Datenschutzgesetz 2000, Art8 EMRK) und insbesondere in die verfassungsgesetzlich gewährleisteten Rechte auf Unversehrtheit des Eigentums und auf Freiheit der Erwerbsbetätigung eingreifen.

1.29. Ein öffentliches Interesse iSd Art8 EMRK für den Eingriff in das Recht auf Datenschutz gemäß Art1 DSG 2000 würde nicht bestehen. Die Sammlung der Gesundheitsdaten der Bevölkerung habe nichts zu tun mit dem Schutz der Gesundheit oder der Verbesserung der Gesundheitsversorgung. So würden Gefahren im Datenschutz durch die Speicherung erst entstehen, Wechselwirkungen von Arzneimitteln könnten durch das System nicht verhindert werden und auch Einsparungen im Gesundheitswesen wären nicht die Folge von ELGA. Dem Antragsteller zufolge gebe es ein Interesse der medizinischen und pharmakologischen Forschung, der Pharmaindustrie und von Versicherungsunternehmern an den Gesundheitsdaten. Solche Interessen würden aber gerade dem Datenschutz zuwiderlaufen.

1.30. Durch die Einführung von ELGA würde dem Antragsteller zufolge das Grundrecht auf Datenschutz verletzt, da die Speicherung, Verwendung, Weitergabe und Einsicht in die Gesundheitsdaten nicht von der Zustimmung des Dateninhabers abhängen würde. Selbst wenn von einem ausreichend qualifizierten öffentlichen Interesse ausgegangen würde, sei damit nicht jeder Eingriff verfassungsrechtlich zulässig. Eine Opt-In Lösung wäre im Gegensatz zur Opt-Out Möglichkeit das gelindere Mittel zur Zielerreichung. Durch den Widerspruch gegen die Teilnahme (sogenanntes Opt-Out) an ELGA würde kein effektives Mittel zum Schutz der Geheimhaltungsinteressen an personenbezogenen Gesundheitsdaten bestehen, da hiedurch lediglich die Verweise gelöscht werden, nicht jedoch die gespeicherten Daten selbst. Außerdem bestehe die Gefahr, dass Hacker, Geheimdienste oder sonstige Unbefugte auf das System zugreifen könnten. Zwar sei nur ein eingeschränkter Kreis von Gesundheitsdiensteanbietern zur Verwendung der Daten berechtigt; der eingeschränkte Personenkreis umfasse aber mehr als 100.000 Personen.

1.31. Die angefochtenen Bestimmungen würden auch das verfassungsrechtlich gewährleistete Recht auf Unversehrtheit des Eigentums (Art5 StGG, Art1 1. ZPEMRK) und auf Freiheit der Erwerbsbetätigung (Art6 StGG) des Antragstellers verletzen, da insbesondere die finanzielle Last der Einführung von ELGA dem Antragsteller als Facharzt aufgebürdet werde, obwohl an der Sammlung der Gesundheitsdaten kein öffentliches Interesse bestehe.

1.32. Einige der angefochtenen Bestimmungen würden auch dem Legalitätsprinzip des Art18 B‑VG widersprechen, da die Bestimmungen so formuliert seien, dass ein Normunterworfener den Inhalt nicht verstehen könne.

1.33. Die Angelegenheiten des Gesundheitswesens seien in Gesetzgebung und Vollziehung Bundessache. Der elektronische Gesundheitsakt sei jedoch nicht Teil dieser Regelungskompetenz. Die Auslegung des Kompetenztatbestandes habe mittels Versteinerungstheorie zu erfolgen, da bei Einführung der Kompetenzen elektronische Speicher noch nicht vorhanden gewesen seien. Der Kompetenztatbestand "Gesundheitswesen" könne nicht für die gesetzliche Schaffung eines Datenspeichers herangezogen werden. Auch der Kompetenztatbestand des Datenschutzes sei für die Schaffung eines Datenspeichers nicht einschlägig. Damit fehle eine Kompetenz des Bundesgesetzgebers zur Erlassung der angefochtenen Bestimmungen.

Im Einzelnen werden Bedenken gegen folgende Bestimmungen des GTelG 2012 vorgetragen, die sich nacheinander unter entsprechenden Überschriften im Antrag finden: §3 Abs3 und Abs4, §4 Abs1 und Abs2, §5 Abs2, §6 Abs1, Abs2 und Abs3, §7 Abs1, §8 Abs1, §13 Abs2, Abs3 und Abs7, §14 Abs1 und Abs2, §18 Abs4, §20 Abs1, Abs2, Abs3 und Abs5, §21 Abs1 und Abs2 sowie §24 Abs1 GTelG 2012. Wörtlich werden die Bedenken zu §3 Abs3 und Abs4 leg. cit. wie folgt dargelegt:

"(1) Im ersten Satz des §3 Abs3 wird normiert, dass die Zulässigkeit, Gesundheitsdaten zu verwenden, 'mittels Rollen abzubilden' ist. Diese Bestimmung ist derart unverständlich, dass sie weder in den privatrechtlichen Beziehungen zwischen den Vertragspartnern des Behandlungsvertrags Klarheit darüber geben kann, wann es zulässig ist, Gesundheitsdaten zu verwenden, noch dass sie klarstellt, welche Grenzen bei der Verwendung von Gesundheitsdaten von Gesetzes wegen konkret und nachvollziehbar gesetzt sind. Diese Bestätigung widerspricht daher dem Determinierungsgebot des Art18 B‑VG.

(2) Der zweite Satz des §3 Abs3 stößt auf folgende verfassungsrechtliche Bedenken:

(3) Zunächst knüpft er an die abgebildeten Rollen des ersten Satzes an. Er normiert, dass Gesundheitsdiensteanbieter die Verwendung von Gesundheitsdaten außerhalb der 'zulässigen Rollen' verhindern müssen. Wie zum ersten Satz ausgeführt, ist aber sprachlich und inhaltlich unverständlich, welche Grenzen der Gesetzgeber tatsächlich normieren wollte.

(4) Erst im Zusammenhang mit §5 Abs2 (dazu siehe unten) überantwortet der Gesetzgeber ohne jede Determinierung die Definition der 'Rollen' dem Bundesminister für Gesundheit als Verordnungsgeber. Er legt nicht fest, welche Beschränkungen bei Verwendung der Gesundheitsdaten von Gesundheitsdiensteanbietern einzuhalten sind und welche unzulässige Verwendung Gesundheitsdiensteanbieter 'technisch' zu verhindern haben.

(5) §3 Abs3 ist daher zur Gänze in einer Art18 B‑VG widersprechenden Weise unbestimmt, weil diese Bestimmung weder von dem Bundesminister noch von den einzelnen Gesundheitsdiensteanbietern ausgelegt bzw. vollzogen werden können.

(6) Gegen die Verfassungsmäßigkeit des §3 Abs3 zweiter Satz spricht weiters: Allen Gesundheitsdiensteanbietern wird damit eine Verantwortung, nämlich jene zur Gewährleistung dafür, dass Gesundheitsdaten nur eingeschränkt verwendet werden dürfen, auferlegt. Einerseits verlangt der Gesetzgeber, dass ELGA-Gesundheitsdiensteanbieter die Gesundheitsdaten verwenden müssen (§13 Abs7), andererseits legt er jedem Gesundheitdiensteanbieter eine technische Gewährleistungspflicht auf, die inhaltlich durch den Verweis auf die 'Rollen' unbestimmt bleibt. In welchem Ausmaß die technische Gewährleistungspflicht des §3 Abs3 zweiter Satz der Verwendungspflicht des §13 Abs7 entspricht oder dieser widerspricht, lässt sich aus dem Gesetz nicht ableiten.

(7) Jedenfalls aber wird mit der technischen Gewährleistungspflicht jedem Gesundheitsdiensteanbieter eine Verpflichtung auferlegt, zu deren Erfüllung jeder Gesundheitsdiensteanbieter Investitionen in die IT-Infrastruktur des Betriebs des Gesundheitsdiensteanbieters vorzunehmen hat, um der Gewährleistungspflicht entsprechen zu können. Diese Gewährleistungspflicht zieht die Verpflichtung zur Anschaffung der notwendigen Hard- und Software nach sich und bewirkt daher einen Eingriff in das verfassungsgesetzlich gewährleistete Eigentumsrecht der Gesundheitsdiensteanbieter, also auch des Antragstellers.

(8) Ein derartiger Eingriff in die Rechtsstellung als Eigentümer der Facharztordination ist nicht von vornherein verfassungswidrig. Zu prüfen ist, ob es ein diesen Eingriff rechtfertigendes, übergeordnetes öffentliches Interesse gibt.

(9) Dazu hat der Antragsteller oben bereits ausgeführt (siehe Abschnitt E), dass für die Einführung des elektronischen Gesundheitsakts mit der Speicher-, Weitergabe- und Verwendungspflicht in Wahrheit kein nachvollziehbar begründetes öffentliches Interesse vorliegt. Es gibt keine sachliche Rechtfertigung für diesen Eingriff in die Rechtsstellung des Antragstellers bzw. aller Gesundheitsdiensteanbieter, welche die Einführung dieser Gewährleistungspflicht begründen könnte.

(10) Aber selbst wenn ein öffentliches Interesse an dem Aufbau des elektronischen Gesundheitsaktes angenommen wird, ist der Umstand zu beachten, dass die notwendigen Investitionen und betrieblichen Belastungen, welche mit der Einführung der technischen Gewährleistungspflicht verbunden sind, den Gesundheitsdiensteanbietern ohne jede Kompensation auferlegt werden. Gesundheitsdiensteanbieter sind verpflichtet, aus eigenen finanziellen Mitteln die erheblichen Investitionen zu finanzieren und zu bezahlen, die notwendig sind, um diese gesetzliche Gewährleistungspflicht (wie unbestimmt auch immer sie sein mag) zu erfüllen. Gesundheitsdiensteanbieter wie der Antragsteller werden daher mit dem zweiten Satz [des] §3 Abs3 dazu verpflichtet, ohne jede Kompensation eigene finanzielle Mittel für die Realisierung des elektronischen Gesundheitsakts auszugeben. In diesem Zusammenhang ist darauf zu verweisen, dass es sich keineswegs um minimale oder nur geringfügige Kostenbelastungen handelt, sondern dass diese, wie oben in Abschnitt C.2. ausgeführt, erheblich sind.

(11) Eine sachliche Begründung oder gar Rechtfertigung dafür, Gesundheitsdiensteanbieter mit diesen Kosten einseitig zu belasten, lässt sich nicht finden. Auch hier ist darauf zu verweisen, dass ein öffentliches Interesse an der umfassenden elektronischen Sammlung (fast) aller Gesundheitsdaten nicht vorliegt, der Eingriff daher verfassungsrechtlich nicht gerechtfertigt ist. In Wahrheit wurden Ärzte wie der Antragsteller mit den Kosten und Gewinnausfällen belastet, vor welchen der Gesetzgeber die ELGA Systempartner und die Patienten bzw. die Krankenkassen bewahren wollte (s. wieder VfGH G100/05).

(12) Dieselben Gründe, welche darlegen, dass §3 Abs3 zweiter Satz in verfassungswidriger Weise in das verfassungsgesetzlich gewährleistete Recht auf Eigentumschutz eingreift, lassen diese angefochtene Bestimmung auch im Lichte des verfassungsgesetzlich geschützten Rechts auf Erwerbsausübungsfreiheit als verfassungswidrig erscheinen. Auch hier gilt: Für den Eingriff in dieses Grundrecht liegt kein öffentliches Interesse und auch keine sachliche Rechtfertigung vor, ebenso wenig ist einzusehen, aus welchen Gründen private Gesundheitsdiensteanbieter dazu verpflichtet werden, im (vermeintlichen) öffentlichen Interesse Kostenbelastungen im Zusammenhang mit der technischen Gewährleistungspflicht und der Einführung des elektronischen Gesundheitsaktes allein zu tragen, wodurch der Betrieb ebenso wie die Betriebsorganisation erheblich belastet werden.

(13) §3 Abs4 ist aus folgenden Gründen als verfassungswidrig aufzuheben:

(14) Die verpflichtend angeordnerte Verwendung von Gesundheitsdaten (§13 Abs7) hat nicht nur die Speicherung der Gesundheitsdaten, sondern auch die Weitergabe in die Verweisregister des elektronischen Gesundheitsaktes zur Voraussetzung. §3 Abs4 normiert Verpflichtungen zu Lasten von Gesundheitsdiensteanbietern insofern, als der Gesetzgeber damit Voraussetzungen, unter welchen eine Weitergabe erfolgen "darf", festlegt.

( 15) Gesundheitsdiensteanbieter werden durch §3 Abs4 zur Prüfung der Identität der Personen, deren Gesundheitsdaten weitergegeben werden sollen, verpflichtet, weiters zur Prüfung der Identität jener unbekannten Personen, welche an der Weitergabe beteiligt sind. Außerdem wird Gesundheitsdiensteanbietern sowohl die Prüfung der 'Rollen' der an der Weitergabe beteiligten Gesundheitsdiensteanbieter auferlegt, als auch die Gewährleistung der 'Vertraulichkeit' der weitergegebenen Gesundheitsdaten und deren 'Integrität'.

(16) Um diese Voraussetzungen für eine gesetzeskonforme Weitergabe erfüllen zu können, müssen Gesundheitsdiensteanbieter notwendigerweise die entsprechenden Investitionen in ihre jeweilige IT-Infrastruktur auf sich nehmen. §4 setzt bei Prüfung der Identität elektronische Abgleiche voraus und verlangt daher die Einbindung der IT-Struktur der Gesundheitsdiensteanbieter, also die Schaffung entsprechender Hardware und Software. Ansonsten lassen sich die auferlegten Verpflichtungen zur Speicherung, Weitergabe und Verwendung der ELGA‑Gesundheitsdaten, wie sie unter anderem in §3 Abs4 normiert sind, nicht erfüllen.

(17) Im Zusammenhang mit der notwendigen Investition in die IT-Infrastruktur gilt daher das oben zu §3 Abs3 Ausgeführte. Auch in diesem Zusammenhang bleibt den Gesundheitsdiensteanbietern nichts anderes übrig, als erhebliche Investitionen (je nach bisheriger Ausstattung) zu finanzieren und zu bezahlen.

(18) Hinzu kommt aber noch: Die in §3 Abs4 vorgeschriebenen Überprüfungen bewirken einen erheblichen Zeitverlust bzw. bürokratischen Aufwand in der Ordination des Antragstellers (und in dem Betrieb jedes einzelnen Gesundheitsdiensteanbieters). Die Administration der Weitergabe unter den Voraussetzungen des §3 Abs4 ist nur mit erhebliche[m], die Ordinationszeit jedes einzelnen Patienten verlängernden Zeitaufwand möglich, wobei keinerlei Entgelt für den zeitlichen Mehraufwand gesetzlich vorgesehen ist. Weder die Investitionskosten noch der Einnahmenausfall durch die Verdünnung der Ordinationszeiten sollen den Gesundheitsdiensteanbietern abgegolten werden.

(19) Daraus ist ersichtlich, dass auch in Zusammenhang mit dieser Bestimmung ein schwerwiegender, sachlich nicht zu rechtfertigender Eingriff sowohl in das verfassungsgesetzlich geschützte Eigentumsrecht als auch in das verfassungsgesetzlich gewährleistete Recht auf Erwerbsausübungsfreiheit vorliegt.

(20) §3 Abs3 und Abs4 bewirken weiters einen verfassungsrechtlich nicht zu rechtfertigenden Eingriff in das verfassungsgesetzlich gewährleistete Recht auf Datenschutz (§1 DSG 2000 in Verbindung mit Art8 EMRK):

(21) Jeder Patient ist zunächst verfügungsberechtigt, und zwar allein verfügungsberechtigt hinsichtlich seiner Gesundheitsdaten. Wie auch an anderer Stelle dieses Antrags aus[ge]führt, beseitigen die angefochtenen Bestimmungen, insbesondere §3 Abs3 in Verbindung mit Abs4, die Verfügungsmacht jedes Patienten hinsichtlich seiner Gesundheitsdaten. Die angefochtenen Bestimmungen sehen davon ab, für die Verwendung von Gesundheitsdaten und für die Weitergabe von Gesundheitsdaten jeweils die konkrete Zustimmung des Patienten als unabdingbare Voraussetzung zu normieren. Die Speicherung, Weitergabe und Verwendung von Gesundheitsdaten jedes Patienten wird daher nicht mehr von dessen selbst bestimmter Entscheidung abhängig gemacht, sondern Gesundheitsdiensteanbietern als gesetzliche Verpflichtung auferlegt. Damit wird der Datenschutz hinsichtlich der besonders sensiblen Gesundheitsdaten jedes Patienten beseitigt.

(22) Dass die Regelung des Opt-Out (§§15, 16) daran nichts ändert, wurde bereits oben, im Abschnitt E, ausgeführt; auf diese Ausführungen wird verwiesen.

(23) Im Zusammenhang mit dem – insofern abgeschafften – Datenschutz verweist der Antragsteller daher darauf, dass die angefochtenen Bestimmungen die zentrale Vorbedingung der Zustimmung für jede Speicherung, Weitergabe, Bearbeitung und Verwendung von Gesundheitsdaten beseitigen, sodass jede derartige Speicherung, Weitergabe, Verwendung und Einsicht außerhalb der Verfügungsmacht des datenschutzrechtlich einzig Verfügungsberechtigten, des Patienten, ist. In Wahrheit wird damit – ohne öffentliches Interesse und ohne Rechtfertigung im Sinn des Art8 EMRK – der Datenschutz hinsichtlich der Gesundheitsdaten aufgehoben."

In ähnlicher Weise werden auch die Bedenken gegen die übrigen Bestimmungen dargelegt.

Die Bundesregierung erstattete eine Äußerung, in der sie beantragt, den Antrag als unzulässig zurückzuweisen, in eventu auszusprechen, dass die angefochtenen Bestimmungen nicht als verfassungswidrig aufgehoben werden.

1.34. Zu den Prozessvoraussetzungen bringt die Bundesregierung unter anderem wörtlich Folgendes vor:

"1. Zum Anfechtungsumfang:

Nach Auffassung der Bundesregierung ist der Antrag nicht richtig abgegrenzt:

1.1. Die Grenzen der Aufhebung einer auf ihre Verfassungsmäßigkeit hin zu prüfenden Gesetzesbestimmung sind, wie der Verfassungsgerichtshof sowohl für von Amts wegen als auch für auf Antrag eingeleitete Gesetzesprüfungsverfahren schon wiederholt dargelegt hat, notwendig so zu ziehen, dass einerseits der verbleibende Gesetzesteil nicht einen völlig veränderten Inhalt bekommt und dass andererseits die mit der aufzuhebenden Gesetzesstelle untrennbar zusammenhängenden Bestimmungen auch erfasst werden (vgl. VfSlg 13.965/1994 mwN, 16.542/2002, 16.911/2003, VfGH 21.02.2013, G45/12).

Dieser Grundposition folgend darf im Gesetzesprüfungsverfahren der Anfechtungsumfang der in Prüfung gezogenen Norm bei sonstiger Unzulässigkeit des Prüfungsantrags nicht zu eng gewählt werden (vgl. VfSlg 8.155/1977, 12.235/1989, 13.915/1994, 14.131/1995, 14.498/1996, 14.890/1997, 16.212/2002). Die Antragsteller haben all jene Normen anzufechten, welche für die Beurteilung der allfälligen Verfassungswidrigkeit der Rechtslage eine untrennbare Einheit bilden. Es ist Sache des Verfassungsgerichtshofes, darüber zu befinden, auf welche Weise eine solche Verfassungswidrigkeit beseitigt werden kann (vgl. VfSlg 16.756/2002, 19.496/2011). Der Umfang einer zu prüfenden und allenfalls aufzuhebenden Bestimmung ist derart abzugrenzen, dass einerseits nicht mehr aus dem Rechtsbestand ausgeschieden wird, als zur Beseitigung der zulässigerweise geltend gemachten Rechtswidrigkeit erforderlich ist, dass aber andererseits der verbleibende Teil keine Veränderung seiner Bedeutung erfährt; da beide Ziele gleichzeitig niemals vollständig erreicht werden können, ist in jedem Einzelfall abzuwägen, ob und inwieweit diesem oder jenem Ziel der Vorrang vor dem anderen gebührt (vgl. VfSlg 19.496/2011 mwN).

1.2. Vor diesem Hintergrund erweist sich der Antrag als zu weit gefasst:

Der Antrag richtet sich seinem Inhalt nach nur gegen ELGA. ELGA ist aber nur im 4. Abschnitt des GTeIG 2012 geregelt. Die angefochtenen §3 Abs3 und Abs4, §4 Abs1 und Abs2, §5 Abs2, §§6 f und §8 Abs1 GTeIG 2012 befinden sich im 2. Abschnitt über die Datensicherheit bei der elektronischen Weitergabe von Gesundheitsdaten und betreffen nicht bloß ELGA. Ihre Aufhebung wäre zur Beseitigung der ausschließlich gegen ELGA gerichteten verfassungsrechtlichen Bedenken nicht erforderlich.

Diese Bestimmungen des 2. Abschnitts stehen auch in keinem untrennbaren Zusammenhang mit dem 4. Abschnitt, was sich schon daran zeigt, dass die im 2. Abschnitt enthaltenen Regelungen betreffend die Datensicherheit bei der elektronischen Weitergabe von Gesundheitsdaten ihrem Inhalt nach bereits im GTeIG enthalten waren (vgl. dessen §§3 bis 8).

Die Bundesregierung verkennt nicht, dass nach der jüngeren Rechtsprechung des Verfassungsgerichtshofes ein zu weiter Anfechtungsumfang einen Antrag nicht per se unzulässig macht. Vielmehr führt eine zu weite Fassung des Antrags, ist dieser in der Sache begründet, allenfalls zu seiner teilweisen Abweisung, soweit die unmittelbare und aktuelle Betroffenheit durch alle vom Antrag erfassten Bestimmungen gegeben ist oder der Antrag mit solchen untrennbar zusammenhängende Bestimmungen erfasst (VfSlg 19.746/2013; VfGH 5.3.2014, G79/2013 ua., VfGH 11.3.2015, G208/2014). Umfasst der Antrag auch Bestimmungen, die den Antragsteller nicht unmittelbar und aktuell in seiner Rechtssphäre betreffen, führt dies — wenn die angefochtenen Bestimmungen insoweit trennbar sind — im Hinblick auf diese Bestimmungen zur partiellen Zurückweisung des Antrages (VfGH 9.12.2014, G73/2014; 11.12.2014, G119/2014 ua.; 11.3.2015, G208/2014).

Die Bundesregierung geht daher davon aus, dass der Antrag, soweit er sich gegen Bestimmungen des 2. Abschnitts des GTeIG 2012 richtet, zu weit gefasst ist, und der Antrag insoweit zurück‑ bzw. abzuweisen wäre.

1.3. Soweit sich der Antrag nur gegen einzelne Bestimmungen des 4. Abschnittes richtet, ist er hingegen zu eng gefasst, was beispielhaft an folgenden Bestimmungen dargelegt wird:

Der nicht angefochtene §13 Abs4 GTeIG 2012 betreffend die Speicherung allfälliger Bilddaten steht in einem untrennbaren Zusammenhang mit dem Recht bzw. der Verpflichtung von ELGA-Gesundheitsdiensteanbietern zur Speicherung von ELGA-Gesundheitsdaten gemäß dem angefochtenen §13 Abs2 und 3 GTeIG 2012.

Der nicht angefochtene §14 Abs3 GTeIG 2012, der eine Aufzählung von Personen und Einrichtungen enthält, denen die Verwendung von durch ELGA verfügbar gemachten ELGA-Gesundheitsdaten jedenfalls verboten ist, steht in einem untrennbaren Zusammenhang mit den Verwendungsbeschränkungen gemäß dem angefochtenen §14 Abs2 GTeIG 2012 […].

Der nicht angefochtene §16 GTeIG 2012 sieht in Abs2 das Recht der ELGA-Teil-nehmer/innen gegenüber den ELGA-Gesundheitsdiensteanbietern vor, 'die Aufnahme von Medikationsdaten (§2 Z9 litb) sowie von Verweisen auf ELGA-Gesundheitsdaten (§2 Z9 lita) gemäß §20 Abs2 erster Satz iVm. §13 Abs3 und 4 zu verlangen'. Bei Aufhebung des §13 Abs3 und 4 sowie §20 Abs2 verbliebe somit ein unvollziehbares Teilnehmerrecht in §16 Abs2 Z1 GTeIG 2012.

Die Aufhebung der angefochtenen Bestimmungen wäre bei gleichzeitigem Bestehenbleiben der nicht angefochtenen §§15 und 16 GTeIG 2012, die die zentralen Grundsätze der Teilnahme an ELGA sowie die Teilnehmerrechte regeln, nicht geeignet, die vom Antragsteller geltend gemachte Verfassungswidrigkeit zu beseitigen: So würde bspw das nach Auffassung des Antragstellers verfassungswidrige 'Opt-Out-Modell' weiterhin bestehen bleiben.

Bei Aufhebung des §13 Abs3 und 4 GTeIG 2012 wäre durch die Nichtanfechtung des §20 Abs4 GTeIG 2012 unklar, ob die Speicherpflicht für Medikationsdaten nun gänzlich entfallen sei oder unbenommen jeglicher Berufspflichten immer gelte.

Insgesamt würden aber alle nicht angefochtenen Bestimmungen des 4. Abschnitts (§13 Abs1, 4 bis 6, §14 Abs3 bis 5, §§15 bis 17, §18 Abs1 bis 3 und 5 bis 9, §19, §20 Abs4, §21 Abs3, §§22 f sowie §24 Abs2 GTeIG 2012) bei einer Aufhebung bloß der angefochtenen Bestimmungen zu einem unverständlichen und unvollziehbaren Torso.

Nach der Rechtsprechung des Verfassungsgerichtshofs ist auch ein Verweis auf aufgehobene Vorschriften zu eliminieren, wenn dieser Verweis die Norm unvollziehbar machen würde (VfSlg 16.678/2002). Der Antrag hätte schon deshalb auch die Aufhebung beispielsweise folgender Bestimmungen enthalten müssen:

- §15 Abs4 wegen Verweises auf §20 Abs2 GTeIG 2012,

- §16 Abs2 Z1 wegen Verweises auf §13 Abs3 sowie §20 Abs2 GTeIG 2012,

- §16a Abs3 wegen Verweises auf §18 Abs4 Z4 GTeIG 2012,

- §18 Abs6 wegen Verweises auf §14 Abs2 GTeIG 2012,

- §18 Abs7 wegen Verweises auf §21 Abs2 GTeIG 2012,

- §22 Abs7 wegen Verweises auf §20 Abs1 GTeIG 2012,

- §23 Abs2 Z1 wegen Verweises auf §18 Abs4 Z2 GTeIG 2012,

- §27 Abs2, 3, 4 und 6 wegen Verweises auf §13 Abs3 GTeIG 2012 sowie

- §28 Abs2 Z4 wegen Verweises auf §13 Abs2 und 3 GTeIG 2012.

1.4. Die Bundesregierung geht daher davon aus, dass der Antrag wegen eines zu engen Anfechtungsumfangs unzulässig ist.

2. Zur Darlegung der Bedenken:

2.1. Gemäß §62 Abs1 zweiter Satz VfGG hat der Antrag, ein Gesetz als verfassungswidrig aufzuheben, die gegen die Verfassungsmäßigkeit des Gesetzes sprechenden Bedenken im Einzelnen darzulegen. Dieses Erfordernis ist nach der ständigen Rechtsprechung des Verfassungsgerichtshofes nur dann erfüllt, wenn die Gründe der behaupteten Verfassungswidrigkeit — in überprüfbarer Art— präzise ausgebreitet werden, dh. dem Antrag mit hinreichender Deutlichkeit zu entnehmen ist, mit welcher Verfassungsbestimmung die bekämpfte Gesetzesstelle in Widerspruch stehen soll und welche Gründe für diese Annahme sprechen (vgl. VfSlg 11.150/1986, 11.888/1988, 13.710/1994, 13.851/1994 und 14.802/1997). Es ist nicht Aufgabe des Verfassungsgerichtshofes, pauschal vorgetragene Bedenken einzelnen Bestimmungen zuzuordnen und so — gleichsam stellvertretend — das Vorbringen für den Antragsteller zu präzisieren (vgl. VfSlg 17.099/2003, 17.102/2004, mwN).

2.2. Der Antragsteller legt konkrete Bedenken nicht gegen alle angefochtenen Regelungen des GTeIG 2012 im Einzelnen dar. So bringt der Antragsteller beispielsweise auf S 73 des Antrages vor, §18 Abs4 GTeIG 2012 sei 'unsachlich (Art7 B‑VG)', argumentiert schließlich aber bloß mit einem unzulässigen Eingriff in die Eigentums- und Erwerbsausübungsfreiheit. Auch an anderen Stellen des Antrags (s. unten Pkt. III.1.3.1.) genügt das Vorbringen den Anforderungen des 62 Abs1 VfGG nicht.

3. Zum aktuellen und unmittelbaren Eingriff in die Rechtssphäre:

3.1. Gemäß Art140 Abs1 Z1 litc B‑VG erkennt der Verfassungsgerichtshof über die Verfassungswidrigkeit eines Bundesgesetzes auf Antrag einer Person, die durch diese Verfassungswidrigkeit unmittelbar in ihren Rechten verletzt zu sein behauptet, sofern das angefochtene Gesetz ohne Fällung einer gerichtlichen Entscheidung und ohne Erlassung eines Bescheides für sie wirksam geworden ist. Voraussetzung der Antragslegitimation ist, dass das Gesetz in die Rechtssphäre des Antragstellers nachteilig eingreift und diese — im Falle der Verfassungswidrigkeit — verletzt. Die Anfechtungsbefugnis kommt dabei nur jenen Normadressaten zu, in deren Rechtssphäre das angefochtene Gesetz selbst tatsächlich unmittelbar eingreift. Ein derartiger Eingriff ist jedenfalls nur dann anzunehmen, wenn dieser nach Art und Ausmaß durch das Gesetz selbst eindeutig bestimmt ist, wenn er die (rechtlich geschützten) Interessen des Antragstellers nicht bloß potentiell, sondern aktuell beeinträchtigt und wenn dem Antragsteller kein anderer zumutbarer Weg zur Abwehr des — behaupteterweise — rechtswidrigen Eingriffs zur Verfügung steht (vgl. VfSlg 11.868/1988, 15.632/1999, 16.616/2002, 16.891/2003). Hierbei hat der Verfassungsgerichtshof vom Antragsvorbringen auszugehen und lediglich zu prüfen, ob die vom Antragsteller ins Treffen geführten Wirkungen solche sind, wie sie Art140 Abs1 Z1 litc B‑VG als Voraussetzung für die Antragslegitimation fordert (vgl. VfSlg 8594/1979, 10.353/1985, 11.730/1988).

Nach Auffassung der Bundesregierung liegen diese Voraussetzungen nicht vor:

3.2. Der Antragsteller nimmt seinen eigenen Angaben zufolge als Patient Gesundheitsdienstleistungen von ELGA-Gesundheitsdiensteanbietern in Anspruch und ist Facharzt für Frauenheilkunde, der in einem Vertragsverhältnis mit der Wiener Gebietskrankenkasse steht.

Er begründet seine Antragsberechtigung als Patient damit, dass durch die 'Speicherpflicht und die Vernetzung der gespeicherten Gesundheitsdaten', also durch die Verwendung seiner Gesundheitsdaten ohne seine Zustimmung, unmittelbar in sein verfassungsgesetzlich gewährleistetes Recht auf Datenschutz eingegriffen werde […].

Seine Antragsberechtigung als ELGA-Gesundheitsdiensteanbieter begründet er damit, dass er gemäß §8 Abs1 GTeIG 2012 zur Dokumentation von Datensicherheitsmaßnahmen und gemäß den §§13 Abs3 und 20 Abs1 GTeIG 2012 zur Speicherung von ELGA-Gesundheitsdaten verpflichtet sei, wozu er Hard- und Software anschaffen und Organisationsmaßnahmen treffen müsse […]. Außerdem habe er gemäß §6 GTeIG 2012 die Vertraulichkeit bei der elektronischen Weitergabe von Gesundheitsdaten sicherzustellen, was eine 'schwerwiegende, zusätzliche Belastung' und einen Eingriff in seine Rechtsstellung darstelle […]. Gemäß §13 Abs2 und 7 GTeIG 2012 sei er zur Ermittlung von ELGA‑Gesundheitsdaten im Wege von ELGA verpflichtet, was einen Eingriff in seine 'Rechtsstellung als Arzt und Eigentümer seiner Ordination' sowie in seine Vertragsautonomie gegenüber den Patienten bewirke und überdies zu einer ihm nicht abgegoltenen Verlängerung der Behandlungszeiten führe […]. Die genannte Verpflichtung bewirke auch eine Erhöhung seiner Sorgfaltspflichten, wodurch seine Haftung verschärft und in seine 'Rechtsstellung als Arzt' und in sein Recht auf Unversehrtheit des Eigentums eingegriffen werde […].

Die angefochtenen Bestimmungen des GTeIG 2012 würden schon jetzt 'die einfachgesetzliche Basis für die Speicherung und die zentrale Verknüpfung persönlicher Gesundheitsdaten' schaffen und anordnen, dass die ELGA-Gesund-heitsdiensteanbieter bereits ab Inkrafttreten des GTeIG 2012 (1. Jänner 2013) Vorbereitungen zur Datensammlung und zu Maßnahmen zur Umsetzung ihrer gesetzlichen Verpflichtungen treffen müssten […].

3.3.1. Das GTeIG 2012 ist mit 1. Jänner 2013 in Kraft getreten (§26 Abs1). Insoweit der Antragsteller als Patient von der verpflichtenden Speicherung von ELGA-Gesundheitsdaten gemäß §13 Abs3 GTeIG 2012 betroffen zu sein behauptet, besteht eine solche Verpflichtung noch nicht; sie gilt — mangels einer anderslautenden Verordnung gemäß §28 Abs2 Z4 GTeIG 2012 — gemäß §27 Abs2 bis 4 GTeIG 2012 für die ELGA-Gesundheitsdienstleister abgestuft erst ab 1. Dezember 2015 (vgl. §21 Abs1 ELGA-VO 2015), ab 1. Juli 2016 und ab 1. Jänner 2017 und jeweils abhängig von der technischen Möglichkeit der Nutzung von ELGA-Komponenten zur Verwendung von ELGA-Gesundheitsdaten (§21 Abs1 ELGA-VO 2015 regelt nur eine Verpflichtung für Krankenanstalten gemäß §3 Abs2b KAKuG, die über Landesgesundheitsfonds abgerechnet werden, die Allgemeine Unfallversicherungsanstalt, soweit sie gemäß §24 Abs2 ASVG Krankenanstalten betreibt, sowie Einrichtungen der Pflege gemäß §2 Z10 lite GTeIG 2012).

a) Der Antragsteller bringt vor, die zeitlichen Abstufungen würden nichts daran ändern, dass die angefochtenen Bestimmungen das gemäß §1 DSG bestehende 'Recht auf Zustimmung zur Speicherung, Verarbeitung und Weitergabe von Gesundheitsdaten' schon mit Inkrafttreten des GTeIG 2012 'im Grundsatz' beseitigen […]. Dies würde durch die 'Opt Out'-Möglichkeit gemäß §15 Abs2 GTeIG 2012 untermauert. Die Tatsache, dass der Antragsteller schon jetzt einen Widerspruch erklären könne, beeinträchtige seine aktuelle Rechtsstellung […].

Dem Antragsteller ist zum einen entgegenzuhalten, dass erst ab technischer Möglichkeit der Nutzung der ELGA-Komponenten zur Verwendung von ELGA‑Gesundheitsdaten die ELGA-Gesundheitsdaten des Antragstellers als Patient gemäß §13 Abs2 und 3 iVm. §27 Abs2 GTeIG 2012 von bestimmten ELGA-Gesundheitsdiensteanbietern gespeichert und verknüpft werden können bzw. müssen, sofern er der Teilnahme an ELGA nicht widersprochen hat. Zum anderen garantiert §1 DSG 2000 kein uneingeschränktes Zustimmungsrecht des Betroffenen zur Verwendung seiner personenbezogenen Daten (s. unten Pkt. III.1.4.2.). Weiters rügt der Antragsteller damit bloß einen potentiellen (zukünftigen) Eingriff in sein verfassungsgesetzlich gewährleistetes Recht auf Datenschutz: Entgegen dem Antragsvorbringen kann nämlich aus der Möglichkeit der Erklärung des Widerspruchs schon vor Eintritt der Speicherpflicht nicht geschlossen werden, dass ein Eingriff in das verfassungsgesetzlich gewährleistete Recht auf Datenschutz bereits vorliegt; der Gesetzgeber hat dadurch vielmehr für Betroffene die Möglichkeit geschaffen, einen solchen Eingriff von vornherein zu verhindern.

Selbst wenn man eine aktuelle Betroffenheit des Antragstellers als Patient durch die Widerspruchsmöglichkeit des §15 Abs2 GTeIG 2012 bejahte, könnte sich diese aber nur auf die Bestimmungen über den Widerspruch selbst und jene, die damit in unmittelbarem Zusammenhang stehen, beziehen, nicht aber auf die übrigen angefochtenen Bestimmungen des GTeIG 2012. Die Bestimmungen über den Widerspruch und die Teilnehmerrechte (§§15 f GTeIG 2012) hat der Antragsteller aber gerade nicht angefochten.

b) Als Facharzt mit Einzelvertrag gilt die Speicherverpflichtung für den Antragsteller frühestens ab 1. Juli 2016 (§27 Abs3 Z2 GTeIG 2012). Da das GTeIG 2012 derzeit noch keine Speicher- oder Ermittlungspflichten für Facharztbefunde vorsieht […], können für den Antragsteller derzeit durch ELGA weder eine Pflicht zur Speicherung und Ermittlung von Befunden noch Kosten dafür entstehen.

Der Antragsteller ist daher als Patient und als ELGA-Gesundheitsdiensteanbieter von der Speicherverpflichtung aktuell weder passiv noch aktiv betroffen. Das scheint dem Antragsteller auch bewusst zu sein, wenn er in seinem Antrag (S 15) davon spricht, dass seine Gesundheitsdaten 'in Hinkunft' im ELGA-System gespeichert und vernetzt werden müssten, bzw. wenn er (Antrag S 30) darauf hinweist, dass der von ihm behauptete Eingriff 'jetzt noch nicht schlagend' sei. Die Intention des Antrages scheint daher in einer abstrakten Überprüfung der Verfassungsmäßigkeit der angefochtenen Bestimmungen zu liegen. Damit wird aber ein aktueller Eingriff in die Rechtssphäre des Antragstellers als Patient und Arzt, die ihm eine Anfechtungsbefugnis nach Art140 Abs1 Z1 litc B‑VG verleihen würde, nicht begründet.

3.3.2. Der Antragsteller bringt weiters vor, das angefochtene Gesetz entfalte 'Vorwirkungen', weil er aufgrund der ihm auferlegten Verpflichtungen zum Aufrüsten seiner EDV-Ausstattung seiner Ordination verpflichtet sei. Er müsse die Datenverbindungen sicherstellen und entsprechende Investitionen in die Büroorganisation vornehmen (Antrag S 26 f und 32 f).

a) Nach ständiger Rechtsprechung des Verfassungsgerichtshofes kann eine Norm, die entweder überhaupt noch nicht in Kraft steht oder zumindest für den Antragsteller (nach seinen persönlichen Verhältnissen) noch nicht wirksam geworden ist, nicht bekämpft werden, es sei denn, sie äußert 'Vorwirkungen', die es als unzumutbar erscheinen lassen, mit der Anfechtung weiter zuzuwarten (vgl. VfSlg 11.402/1987, 15.773/2000).

b) In dem vom Antragsteller erwähnten Erkenntnis VfSlg 15.773/2000 ging es um Vorkehrungen administrativer, technischer oder sonstiger Art, die Kreditinstitute aufgrund einer gesetzlichen Inpflichtnahme zur Mitwirkung am Verfahren der Steuereinhebung schon vor dem Wirksamwerden des Gesetzes treffen mussten, um diese Pflichten ab einem bestimmten Stichtag erfüllen zu können. Der Verfassungsgerichtshof erkannte, dass dadurch bereits vor dem eigentlichen Anwendungszeitpunkt der Verpflichtung eine aktuelle Beeinträchtigung der Rechtssphäre der Kreditinstitute bewirkt werde, da es sich um 'umfang- und kostenmäßig ins Gewicht fallende und eine erhebliche Vorlaufzeit in Anspruch nehmende Vorbereitungen' handle. Eine vergleichbare Situation liegt hier aber nicht vor:

c) Auch die vom Antragsteller ins Treffen geführten zusätzlichen finanziellen Belastungen als ELGA-Gesundheitsdiensteanbieter begründen keine Vorwirkungen iSd. angeführten Rechtsprechung:

Der Antragsteller ist gemäß §3 Abs1 der Gesamtvertraglichen Vereinbarung zwischen der Bundeskurie der niedergelassenen Ärzte der Österreichischen Ärztekammer und dem Hauptverband der österreichischen Sozialversicherungsträger vom Dezember 2004 als Vertragsarzt 'verpflichtet, in der Ordination die für die Verwendung des e-card Systems notwendigen Voraussetzungen (insbesondere Hardware und Netzzugang) zu schaffen'. Diese IT-Infrastruktur kann der Antragsteller für die dezentrale Speicherung der ELGA-Gesundheitsdaten und der elektronischen Verweise nutzen (vgl. den Hinweis auf den 'Investitionsschutz' in RV 1936 BIgNR 24. GP 32; Aigner/Leisch, RdM 2013, 24). Vor diesem Hintergrund ist es nicht nachvollziehbar, warum (und in welcher Höhe; s. unten Pkt. III.2.2.) für ihn durch ELGA ins Gewicht fallende zusätzliche Kosten entstehen sollten. Es ist darauf hinzuweisen, dass das GTeIG 2012 — und somit auch dessen 4. Abschnitt — nur Anwendung findet, wenn elektronische Gesundheitsdaten verwendet werden (§1 Abs1 GTeIG 2012). Eine Pflicht zur Verwendung von IT wird durch das GTeIG 2012 aber nicht begründet.

Allfällige finanzielle Lasten hinsichtlich der Speicherverpflichtung von fachärzt-lichen Befunden wären außerdem nur unter der Voraussetzung der Erlassung einer Verordnung gemäß §28 Abs2 Z3 lita sublitbb GTeIG 2012 denkbar. Damit tritt dieser behauptete Eingriff in die Rechtssphäre des Antragstellers nicht unmittelbar durch die angefochtenen Gesetzesstellen ein, sondern kann erst durch eine aufgrund dieser Bestimmungen erlassene Verordnung bewirkt werden (vgl. VfSlg 13.596/1993).

3.3.3. Der Antragsteller argumentiert in diesem und in anderen Zusammenhängen (zB Antrag S 26 und S 30) auch, dass es durch das GTeIG 2012 zu einer Erhöhung der Sorgfaltspflichten und der Haftung der ELGA‑Gesundheitsdiensteanbieter komme und dass er deshalb Vorkehrungen treffen müsse. Dies ist unzutreffend: Durch das GTeIG 2012 werden weder Rechtsstellung der ELGA-Gesundheitsdiensteanbieter als Sachverständige iSd. §1299 ABGB noch deren Sorgfaltspflichten verändert (RV 1936 BIgNR 24. GP 30; Aigner/Leisch, RdM 2013/6, 25 f; Auer/Milisits/Reimer, aa0 Rz 208). Im Gegenteil: §13 Abs2 GTeIG 2012 sieht ausdrücklich die 'Berücksichtigung der jeweiligen Berufspflichten (§49 Abs1 ÄrzteG 1998; §10 Apothekenbetriebsordnung 2005, BGBl II Nr 65/2005)' vor. Von einem auf Grund geänderter Sorgfaltspflichten erhöhten Arbeitsanfall kann daher keine Rede sein. Die erwähnten Verhandlungen mit Haftpflichtversicherungsunternehmen werden durch ELGA nicht notwendig.

3.3.4. Zusammenfassend liegt daher der angebliche aktuelle und unmittelbare Eingriff in die Rechtssphäre des Antragstellers durch §13 Abs2, 3 und 7 sowie §20 Abs1 bis 3 und 5 GTeIG 2012 nicht vor.

3.4. Entgegen den Ausführungen des Antragstellers (Antrag S 35) muss ein Vertragsarzt schon bisher die Identität seiner Patienten bei Vorlage der e-card im Zweifelsfall kontrollieren (vgl. für Wien §23 Abs3 des Wr. Ärzte-Gesamtvertrages, avsv 114/2014; im Internet abrufbar […]) Der Arzt muss also schon bisher zumindest eine Plausibilitätskontrolle (etwa anhand des auf der e-card gespeicherten Geburtsdatums mit dem tatsächlichen geschätzten Alter des Patienten) durchführen und gegebenenfalls Identitätsnachweise verlangen, die der Versicherte gemäß §5 Abs11 der Musterkrankenordnung 2011, avsv 106/2011 (im Internet abrufbar […]), verpflichtet ist vorzulegen.

Die Identitätsprüfung von ELGA-Teilnehmer[n] gemäß §18 Abs4 GTeIG 2012 muss auch erst dann erfolgen, wenn eine Ermittlungs- und Speicherpflicht für den Antragsteller besteht, was — wie oben dargelegt — noch nicht der Fall ist. §4 Abs1 und 2 sowie §18 Abs4 GTeIG 2012 greifen daher nicht aktuell und unmittelbar in die Rechtssphäre des Antragstellers ein.

3.5. Nach der ständigen Rechtsprechung des Verfassungsgerichtshofes ist eine (unmittelbare) Anfechtung von Verordnungsermächtigungen, die sich an Verwaltungsorgane richten, grundsätzlich nicht zulässig, weil sie erst durch die Erlassung der konkreten Verordnung für deren Adressaten wirksam werden und dadurch allenfalls Eingriffe in die Rechtssphäre einer Person zu bewirken vermögen vgl. VfSlg 17.676/2005 mwN, 17.957/2006, VfSlg 19.639/2012). Eine Anfechtung der einer Verordnung zugrunde liegenden gesetzlichen Ermächtigung ist nur zulässig, wenn die — unmittelbar in die Rechtssphäre des Antragstellers eingreifende — Verordnung bereits erlassen wurde und gemeinsam mit der Verordnungsermächtigung angefochten wird (vgl. dazu insbesondere VfSlg 15.316/1998 mwN, 16.808/2003).

Die (bloße) Anfechtung des §5 Abs2 GTeIG 2012 ohne die zugrunde liegende Verordnung ist daher unzulässig.

Auch eine unmittelbar nachteilige Betroffenheit des Antragstellers durch §3 Abs3 und 4 GTeIG 2012 kann die Bundesregierung nicht erkennen.

3.6. Gesundheitsdiensteanbieter sind schon aufgrund des §14 DSG 2000 verpflichtet, Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. §§7 f GTeIG 2012 sehen lediglich bereichsspezifische Sondervorschriften für besonders schutzwürdige Daten — nämlich Gesundheitsdaten — vor und konkretisieren damit eine dem Grunde nach schon gemäß §14 DSG 2000 bestehende Verpflichtung. Dies trifft ebenso auf die Pflicht zur Wahrung der Vertraulichkeit gemäß §6 GTeIG 2012 zu, die sich bereits aus §1 Abs1 DSG 2000 ergibt. Insoweit liegt daher keine 'schwerwiegende, zusätzliche Belastung' bzw. kein Eingriff in die Rechtsstellung des Antragstellers vor, der nicht auch ohne die angefochtenen Bestimmungen bestehen würde.

3.7. Wie der Antragsteller zutreffend ausführt, stehen §14 Abs1 und 2 GTeIG 2012 in untrennbarem Zusammenhang mit §13 Abs2, 3 und 7 leg. cit. Der behauptete aktuelle und unmittelbare Eingriff in die Rechtssphäre des Antragstellers liegt daher […] nicht vor.

3.8. Die Bundesregierung merkt weiters an, dass §21 Abs1 GTeIG 2012 schon deshalb nicht in die Rechtsstellung des Antragstellers eingreifen kann, weil er sich lediglich an die ELGA-Systempartner richtet. Die in Abs2 Z1 leg. cit. festgelegte umfassende Zugriffsberechtigung von Ärzten greift nicht nachteilig in die Rechtssphäre des Antragstellers ein.

3.9. Eine unmittelbar nachteilige Betroffenheit des Antragstellers kann auch in §24 Abs1 GTeIG 2012 nicht erblickt werden. Durch die unentgeltliche Zurverfügungstellung der darin aufgezählten ELGA-Komponenten entstehen dem Antragsteller gerade keine zusätzlichen Kosten.

3.10. Die Bundesregierung geht daher davon aus, dass der Antrag auch aus diesen Gründen unzulässig ist.

4. Zum zumutbaren Umweg:

4.1. Der Verfassungsgerichtshof hat seit dem Beschluss VfSlg 8009/1977 in ständiger Rechtsprechung den Standpunkt vertreten, die Antragslegitimation nach Art140 Abs1 letzter Satz B‑VG setze voraus, dass durch die bekämpfte Bestimmung die (rechtlich geschützten) Interessen des Antragstellers nicht bloß potentiell, sondern aktuell beeinträchtigt werden müssen und dass der durch Art140 Abs1 B‑VG dem Einzelnen eingeräumte Rechtsbehelf dazu bestimmt ist, Rechtsschutz gegen verfassungswidrige Gesetze nur insoweit zu gewähren, als ein anderer zumutbarer Weg hiefür nicht zur Verfügung steht (vgl. VfSlg 11.803/1988, 13.871/1994, 15.343/1998, 16.722/2002, 16.867/2003).

4.2. Der Antragsteller begründet die Umwegsunzumutbarkeit damit, dass der Rechtsweg an die Datenschutzbehörde ausgeschlossen sei, da es sich um einen Akt der Gesetzgebung und um den 'privatrechtlichen Bereich'' handle […].

Die Bundesregierung geht hingegen davon aus, dass dem Antragsteller ein anderer zumutbarer Weg zur Geltendmachung seiner verfassungsrechtlichen Bedenken zur Verfügung steht:

4.3.1. Gemäß §5 Abs4 DSG 2000 ist das verfassungsgesetzlich gewährleistete Recht auf Datenschutz (mit Ausnahme des Rechts auf Auskunft, das vor der Datenschutzbehörde geltend zu machen ist) gegen Rechtsträger, die in Formen des Privatrechts eingerichtet sind, soweit sie nicht in Vollziehung der Gesetze tätig werden, auf dem Zivilrechtsweg geltend zu machen.

Dem Antragsteller, der auch einen Eingriff in seine Rechtssphäre als Patient behauptet, wäre es somit möglich und zumutbar, seine Betroffenenrechte im Hinblick auf die Verwendung seiner Gesundheitsdaten in ELGA entsprechend §5 Abs4 DSG 2000 vor Gericht (bzw. das Auskunftsrecht vor der Datenschutzbehörde) geltend zu machen und im Zuge dieses Verfahrens seine verfassungsrechtlichen Bedenken an den Verfassungsgerichtshof heranzutragen.

4.3.2. Der Antragsteller könnte vor allem der Teilnahme an ELGA widersprechen. Ein solcher Widerspruch ist seit Ablauf des 31. Dezember 2013 möglich (§27 Abs1 GTeIG 2012), kann also bereits vor der tatsächlichen Inbetriebnahme von ELGA wirksam erhoben werden (RV 1936 BIgNR 24. GP 35 f). Wird einem Widerspruch nicht entsprochen, hat der Hauptverband der österreichischen Sozialversicherungsträger (als Widerspruchstelle) gemäß §7 Abs5 ELGA-Verordnung 2015, BGBI. II Nr 106/2015, mit Bescheid zu entscheiden; der Antragsteller könnte auch einen Bescheid über das Wirksamwerden des Widerspruches verlangen. Gegen einen solchen Bescheid könnte er den Rechtsweg beschreiten und im Zuge dessen seine verfassungsrechtlichen Bedenken an den Verfassungsgerichtshof herantragen. Die Erklärung des Widerspruchs bzw. die Bekämpfung eines Bescheides, mit dem dem Widerspruch nicht entsprochen wird, ist dem Antragsteller jedenfalls zumutbar (vgl. VfSlg 19.533/2011).

5. Insgesamt erweist sich der Antrag nach Auffassung der Bundesregierung daher mangels Vorliegens der Prozessvoraussetzungen als unzulässig, weshalb er zurückzuweisen wäre. Für den Fall, dass der Verfassungsgerichtshof den Antrag dennoch für zulässig erachten sollte, nimmt die Bundesregierung im Folgenden zu den inhaltlichen Bedenken Stellung."

Der Antragsteller replizierte auf die Äußerung der Bundesregierung. Danach gelinge es der Bundesregierung in ihrer Äußerung nicht, die Unzulässigkeit des Antrages bzw. das Fehlen der Antraglegitimation aufzuzeigen. Der Antragsteller führt in der Replik auf das Wesentlichste zusammengefasst folgendes aus:

1.35. Die Bundesregierung halte den Anfechtungsumfang betreffend einzelne Bestimmungen des vierten Abschnittes des GTelG 2012 für zu weit. Angefochten seien jedoch die Eingriffsnormen, welche die gesetzliche Verpflichtung zur Speicherung, Weitergabe der Zugangsdaten und die Einsicht in die Gesundheitsdaten regeln. Sollten die angefochtenen Bestimmungen als verfassungswidrig aufgehoben werden, würde es keine gesetzliche Möglichkeit des Widerspruches benötigen (§§15, 16 GTelG 2012). Die Bundesregierung stelle den vierten Abschnitt des GTelG 2012 als komplett zusammenhängenden Gesetzestext dar, dies widerspreche insbesondere der – unter anderem gegenüber dem Antragsteller ergangenen – Entscheidung des Verfassungsgerichtshofes zu G140/2014 ua. vom 2. März 2015, in der die Anträge unter anderem wegen zu weiter Anfechtung zurückgewiesen wurden.

1.36. Der Antragsteller sei als Patient und Herr seiner Gesundheitsdaten zur Antragstellung legitimiert. Der Antragsteller habe seit dem Inkrafttreten der angefochtenen gesetzlichen Bestimmungen die Entscheidungsgewalt über seine Gesundheitsdaten verloren und dies würde einen Eingriff in das Grundrecht auf Datenschutz darstellen. Die bloße Möglichkeit des Widerspruches bei der Widerspruchsstelle ändere daran nichts. Der Eingriff in das Grundrecht erfolge auf Grund des Gesetzes unmittelbar, ohne Dazwischentreten behördlicher Entscheidungen. Der Widerspruch bewirke zwar eine Verbesserung der datenschutzrechtlichen Situation des Antragstellers als Patient, ändere aber nichts daran, dass jeder Patient zu einem aktiven Tun, nämlich zum Absenden einer entsprechenden Erklärung, veranlasst werde. Außerdem werde der Widerspruch erst mit jenem Datum wirksam, welches die Widerspruchsstelle auf ihrer Erledigung vermerke. Eingriffe in das Grundrecht vor dem Wirksamwerden könnten jedoch nicht verhindert werden. Ein Widerspruch würde auch nur die Zugangsdaten unkenntlich machen, die dezentral gespeicherten Daten müssten jedoch nicht gelöscht werden und die Verknüpfung mit dem zentralen Speicher bleibe technisch möglich. Solange ein gültiger Widerspruch bestehe, dürften keine für ELGA zugänglichen Verweise gespeichert werden. Die Speicherpflicht für Gesundheitsdaten würde allerdings weiterhin bestehen.

1.37. Der Antragsteller sei auch als Eigentümer seiner Facharztordination zur Antragstellung legitimiert. Die Bundesregierung behaupte in ihrer Äußerung, dass der Eingriff in die Grundrechte des Antragstellers nicht aktuell sei, weil die Speicherverpflichtung frühestens ab 1. Juli 2016 verordnet werde. Allerdings müsse die Infrastruktur für ELGA schon zum Zeitpunkt der Antragstellung geschaffen werden. Deshalb gebe es bereits Vorwirkungen, wodurch der Antragsteller bereits zu diesem Zeitpunkt rechtlich betroffen gewesen sei.

1.38. Ein zumutbarer Weg zur Geltendmachung der Verfassungswidrigkeit der angefochtenen Bestimmungen würde nach Ansicht des Antragstellers nicht bestehen. Eine Geltendmachung seiner Rechte nach dem DSG 2000 würde dem Antragsteller als Patient nicht offen stehen. Dafür müsste der Patient seinen behandelnden Arzt vor Gericht in Anspruch nehmen. Die Bundesregierung führe in ihrer Äußerung nicht aus, auf welches Klagebegehren sich der Antragsteller als Patient stützen solle, bei welchem die angefochtenen Bestimmungen präjudiziell wären. Der Antragsteller könne genauso wenig einen Bescheid über einen Widerspruch erwirken und auf diese Weise, nach Erschöpfung des Instanzenzuges, an den Verfassungsgerichtshof herantreten. Über den Widerspruch werde kein Bescheid erlassen. Eine positive Erledigung wäre mangels Beschwer vor dem Verfassungsgerichtshof nicht bekämpfbar. Ein negativer Bescheid wäre eigentlich nicht möglich, da in einem Verfahren über den Widerspruch nur die Authentizität des Patienten überprüft werde. Wäre der Weg über die Widerspruchsstelle zumutbar, dann seien nur jene Bestimmungen für eine Entscheidung der Widerspruchsstelle präjudiziell, die den Widerspruch betreffen, nicht jedoch die angefochtenen Bestimmungen, welche den Antragsteller als Eigentümer seiner Facharztordination betreffen würden.

Rechtslage

Die maßgeblichen Bestimmungen des Bundesgesetzes betreffend Datensicherheitsmaßnahmen bei der Verwendung elektronischer Gesundheitsdaten (Gesundheitstelematikgesetz 2012 – GTelG 2012), BGBl I 111/2012 idF BGBl I 83/2013, lauten (die angefochtenen Gesetzesbestimmungen sind hervorgehoben):

"1. Abschnitt

Allgemeine Bestimmungen

Gegenstand

§1. (1) Gegenstand dieses Bundesgesetzes ist das Verwenden (§4 Z8 des Datenschutzgesetzes 2000 [DSG 2000], BGBl I Nr 165/1999) personenbezogener elektronischer Gesundheitsdaten durch die Gesundheitsdiensteanbieter gemäß §2 Z2.

(2) Ziele dieses Bundesgesetzes sind:

1. durch bundeseinheitliche Mindeststandards die Datensicherheit bei Verwendung elektronischer Gesundheitsdaten in der gerichteten und ungerichteten Kommunikation auszubauen und Datenmissbrauch zu verhindern (2. Abschnitt),

2. die für die Entwicklung und Steuerung der Gesundheitstelematik notwendigen Informationsgrundlagen zu schaffen und zu verbreitern (3. Abschnitt) sowie

3. einheitliche Regelungen für die ungerichtete Kommunikation elektronischer Gesundheitsdaten, insbesondere in ELGA (§2 Z6), unter besonderer Berücksichtigung der:

a) Teilnehmer/innen/rechte (§16), wie insbesondere der Selbstbestimmung der ELGA-Teilnehmer/innen,

b) Überprüfung der Identität von Teilnehmer/inne/n (§18),

c) Überprüfung der Identität von ELGA-Gesundheitsdiensteanbietern (§19),

d) individuellen und generellen Zugriffsberechtigungen (§21) sowie

e) Dokumentation und Nachvollziehbarkeit der Verwendung von ELGA-Gesundheitsdaten (§22)

zu schaffen (4. Abschnitt).

(3) Sofern dieses Bundesgesetz keine besonderen Bestimmungen enthält, bleiben andere Rechtsvorschriften unberührt.

Begriffsbestimmungen

§2. Im Sinne dieses Bundesgesetzes bedeuten

1. 'Gesundheitsdaten': personenbezogene Daten gemäß §4 Z1 DSG 2000 über die physische oder psychische Befindlichkeit eines Menschen, einschließlich der im Zusammenhang mit der Erhebung der Ursachen für diese Befindlichkeit sowie der Vorsorge oder Versorgung, der Diagnose, Therapie- oder Pflegemethoden, der Pflege, der verordneten oder bezogenen Arzneimittel ('Medikationsdaten'), Heilbehelfe oder Hilfsmittel, der Verrechnung von Gesundheitsdienstleistungen oder der für die Versicherung von Gesundheitsrisiken erhobenen Daten.

2. 'Gesundheitsdiensteanbieter' ('GDA'): Auftraggeber oder Dienstleister gemäß §4 DSG 2000, die regelmäßig in einer Rolle nach der gemäß §28 Abs1 Z1 erlassenen Verordnung Gesundheitsdaten in elektronischer Form zu folgenden Zwecken verwenden:

a) medizinische Behandlung oder Versorgung oder

b) pflegerische Betreuung oder

c) Verrechnung von Gesundheitsdienstleistungen oder

d) Versicherung von Gesundheitsrisiken oder

e) Wahrnehmung von Patient/inn/en/rechten.

3. 'IT-Sicherheitskonzept': Summe aller Datensicherheitsmaßnahmen eines Gesundheitsdiensteanbieters, die zum Schutz von personenbezogenen Daten, insbesondere von sensiblen Daten, notwendig und angemessen im Sinne des §14 DSG 2000 sind.

4. 'Registrierungsstellen': jene Stellen, die die Verzeichnisse gemäß §9 Abs3 Z1 führen oder in §9 Abs3 Z2 und 3 angeführt sind.

5. 'Rolle': Klassifizierung von Gesundheitsdiensteanbietern nach der Art ihres Aufgabengebietes, ihrer Erwerbstätigkeit, ihres Betriebszweckes oder ihres Dienstleistungsangebotes.

6. 'Elektronische Gesundheitsakte' ('ELGA'): ein Informationssystem, das allen berechtigten ELGA-Gesundheitsdiensteanbietern (Z10) und ELGA-Teilnehmer/inne/n ELGA-Gesundheitsdaten (Z9) in elektronischer Form orts- und zeitunabhängig (ungerichtete Kommunikation) zur Verfügung stellt.

7. 'Datenspeicher' ('Repository'): technische Infrastruktur, die der Speicherung von ELGA-Gesundheitsdaten dient.

8. 'elektronische Verweise auf ELGA-Gesundheitsdaten': elektronische Informationen in ELGA zu Art und Speicherort von ELGA-Gesundheitsdaten.

9.'ELGA-Gesundheitsdaten' sind folgende personenbezogene Daten, die zur weiteren Behandlung, Betreuung oder Sicherung der Versorgungskontinuität von ELGA-Teilnehmer/inne/n wesentlich sein könnten und in ELGA verwendet werden dürfen:

a) medizinische Dokumente einschließlich allfälliger Bilddaten in standardisierter Form gemäß §28 Abs2 Z1, die Gesundheitsdaten gemäß Z1, mit Ausnahme von Daten, die ausschließlich die Verrechnung von Gesundheitsdienstleistungen oder gesundheitsbezogenen Versicherungsdienstleistungen betreffen, enthalten, wie:

aa) Entlassungsbriefe gemäß §24 Abs2 des Krankenanstalten- und Kuranstaltengesetzes (KAKuG), BGBl Nr 1/1957,

bb) Laborbefunde,

cc) Befunde der bildgebenden Diagnostik sowie

dd) weitere medizinische Befunde in Struktur und Format gemäß §28 Abs2 Z3 lita,

b) Medikationsdaten gemäß Z1 betreffend verschreibungspflichtige sowie nicht verschreibungspflichtige Arzneimittel ('e-Medikation'),

c) Patientenverfügungen (§2 Abs1 des Patientenverfügungs-Gesetzes, BGBl I Nr 55/2006),

d) Vorsorgevollmachten (§284f des Allgemeinen bürgerlichen Gesetzbuches, JGS. Nr 946/1811),

e) Daten aus den Registern gemäß §§73 und 73a des Medizinproduktegesetzes (MPG), BGBl Nr 657/1996, sowie

f) Patientendaten gemäß Art14 Abs2 litb subliti der Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung ('patient summary'),

wobei Geheimnisse gemäß §10 Abs4 KAKuG, Daten dieser Art, wenn sie von anderen Gesundheitsdiensteanbietern verwendet werden, sowie Aufzeichnungen über Ergebnisse gemäß §71a Abs2 des Gentechnikgesetzes (GTG), BGBl Nr 510/1994, keinesfalls ELGA-Gesundheitsdaten sind.

10. 'ELGA-Gesundheitsdiensteanbieter' ('ELGA-GDA') sind die folgenden Gesundheitsdiensteanbieter (Z2):

a) Angehörige des ärztlichen Berufes gemäß §3 des Ärztegesetzes 1998 (ÄrzteG 1998), BGBl I Nr 169/1998, auch bei Ausübung des ärztlichen Berufes in der Form einer Zusammenarbeit als selbstständig berufsbefugte Gruppenpraxis, ausgenommen:

aa) Ärzte und Ärztinnen, die Aufgaben des chef- und kontrollärztlichen Dienstes der Sozialversicherungsträger erfüllen,

bb) Ärzte und Ärztinnen, die die Grundlagen von Versicherungsverhältnissen sowie daraus resultierende Ansprüche zu beurteilen haben,

cc) Arbeitsmediziner/innen (§81 des ArbeitnehmerInnenschutzgesetzes, BGBl Nr 450/1994),

dd) Amtsärzte und Amtsärztinnen (§41 ÄrzteG 1998),

ee) Ärzte und Ärztinnen, die an der Feststellung der Eignung zum Wehrdienst mitwirken, sowie

ff) Schulärzte und Schulärztinnen (§66 des Schulunterrichtsgesetzes, BGBl Nr 472/1986),

b) Angehörige des zahnärztlichen Berufes (§5 des Zahnärztegesetzes [ZÄG], BGBl I Nr 126/2005), auch bei Ausübung des zahnärztlichen Berufes in der Form einer Zusammenarbeit als selbstständig berufsbefugte Gruppenpraxis, ausgenommen:

aa) Dentisten und Dentistinnen (§60 ZÄG),

bb) Amtszahnärzte und Amtszahnärztinnen (§32 ZÄG),

cc) Zahnärzte und Zahnärztinnen, die Aufgaben des chef- und kontrollärztlichen Dienstes der Sozialversicherungsträger erfüllen sowie

dd) Zahnärzte und Zahnärztinnen, die die Grundlagen von Versicherungsverhältnissen sowie daraus resultierende Ansprüche zu beurteilen haben,

c) Apotheken gemäß §1 des Apothekengesetzes, RGBl. Nr 5/1907,

d) Krankenanstalten gemäß §1 KAKuG, ausgenommen selbstständige Ambulatorien (§2 Abs1 Z5 KAKuG) im Aufgabenbereich der Arbeitsmedizin sowie

e) Einrichtungen der Pflege, deren Betrieb einer Melde-, Anzeige- oder Bewilligungspflicht nach bundes- oder landesgesetzlichen Vorschriften sowie der behördlichen Aufsicht oder Kontrolle unterliegt.

11. 'ELGA-Systempartner': der Bund, die Länder sowie der Hauptverband der österreichischen Sozialversicherungsträger (im Folgenden: Hauptverband).

12. 'ELGA-Teilnehmer/innen': natürliche Personen, die die Teilnahmevoraussetzungen des §15 erfüllen und für die daher elektronische Verweise auf sie betreffende ELGA-Gesundheitsdaten (Z9) aufgenommen werden dürfen.

13. 'Verweisregister' ('Registry'): ein Register, das im Rahmen von ELGA der Aufnahme von elektronischen Verweisen auf ELGA-Gesundheitsdaten (Z9) dient.

14. 'ELGA-Ombudsstelle': jene Stelle, die ELGA-Teilnehmer/innen bei der Wahrnehmung und Durchsetzung ihrer Rechte in Angelegenheiten von ELGA und in Angelegenheiten des Datenschutzes berät und unterstützt sowie die ELGA-Systempartner bei der Weiterentwicklung der Teilnehmer/innen/rechte und des Datenschutzes unterstützt.

15. 'Widerspruchstellen': jene Stellen, gegenüber denen ein genereller Widerspruch von ELGA-Teilnehmer/inne/n schriftlich abgegeben werden kann.

2. Abschnitt

Datensicherheit bei der elektronischen Weitergabe von Gesundheitsdaten

Grundsätze der Datensicherheit

§3. (1) Dieser Abschnitt gilt für alle Formen der elektronischen Weitergabe von Gesundheitsdaten (gerichtete und ungerichtete Kommunikation) durch Gesundheitsdiensteanbieter (§2 Z2).

(2) Abs4 Z3 bis 6 sowie die §§5 bis 7 sind auf die elektronische Weitergabe von Gesundheitsdaten innerhalb eines Gesundheitsdiensteanbieters nicht anzuwenden, wenn durch effektive und dem Stand der Technik entsprechende Datensicherheits- und Kontrollmaßnahmen unbefugte Dritte vom Zugriff auf Gesundheitsdaten und somit deren Kenntnisnahme ausgeschlossen werden können.

(3) Die Zulässigkeit Gesundheitsdaten zu verwenden ist mittels Rollen abzubilden. Gesundheitsdiensteanbieter haben technisch zu gewährleisten, dass es keine Verwendung von Gesundheitsdaten außerhalb der zulässigen Rollen gibt.

(4) Gesundheitsdiensteanbieter dürfen Gesundheitsdaten nur dann weitergeben, wenn

1. die Weitergabe zu einem in §9 DSG 2000 angeführten Zweck zulässig ist und

2. die Identität (§4) jener Personen, deren Gesundheitsdaten weitergegeben werden sollen, nachgewiesen ist und

3. die Identität (§4) der an der Weitergabe beteiligten Gesundheitsdiensteanbieter nachgewiesen ist und

4. die Rollen (§5) der an der Weitergabe beteiligten Gesundheitsdiensteanbieter nachgewiesen sind und

5. die Vertraulichkeit (§6) der weitergegebenen Gesundheitsdaten gewährleistet ist sowie

6. die Integrität (§7) der weitergegebenen Gesundheitsdaten gewährleistet ist.

Identität

§4. (1) Bei der Weitergabe von Gesundheitsdaten ist die Identität (§2 Z1 des E‑Government-Gesetzes [E-GovG], BGBl I Nr 10/2004) jener Personen, deren Gesundheitsdaten weitergegeben werden sollen, festzustellen.

(2) Bei ungerichteter Kommunikation haben darüber hinaus Nachweis und Prüfung der eindeutigen Identität (§2 Z2 E-GovG) von Personen, deren Gesundheitsdaten weitergegeben werden sollen, zu erfolgen.

(3) Der Patientenindex gemäß §18 kann zur Überprüfung der eindeutigen Identität (§2 Z2 E-GovG) von Personen, deren Gesundheitsdaten weitergegeben werden sollen, auch außerhalb von ELGA (4. Abschnitt) verwendet werden.

(4) Nachweis und Prüfung der eindeutigen Identität (§2 Z2 E-GovG) von Gesundheitsdiensteanbietern haben

1. durch Verwendung elektronischer Signaturen, die auf qualifizierte Zertifikate rückführbar sein müssen, sowie bereichsspezifische Personenkennzeichen (§9 E‑GovG) oder

2. durch elektronischen Abgleich mit dem eHealth-Verzeichnisdienst (§9) oder

3. durch elektronischen Abgleich mit dem Gesundheitsdiensteanbieterindex (§19)

zu erfolgen.

(5) Aus Gründen der Patient/inn/en/sicherheit ist die eindeutige Identität

1. von Personen, deren Gesundheitsdaten weitergegeben werden sollen, sowie

2. von Gesundheitsdiensteanbietern,

mit Hilfe der eindeutigen elektronischen Kennzeichen gemäß §8 E-GovG zu speichern.

(6) Zur Erleichterung der Identifikation im Tätigkeitsbereich Gesundheit (§9 Abs1 E-GovG) sind die §§14 und 15 E-GovG über die Verwendung der Bürgerkartenfunktion im privaten Bereich nicht anzuwenden. Stattdessen sind die Bestimmungen des E-GovG, die für Auftraggeber des öffentlichen Bereichs gelten, wie insbesondere die §§8 bis 13 E-GovG, sinngemäß anzuwenden. Dadurch steht den Gesundheitsdiensteanbietern insbesondere das Recht zu, die Ausstattung ihrer Datenanwendungen mit bPK gemäß §10 Abs2 E-GovG von der Stammzahlenregisterbehörde zu verlangen.

Rolle

§5. (1) Nachweis und Prüfung der Rolle von Gesundheitsdiensteanbietern haben gemäß §4 Abs4 zu erfolgen.

(2) Der Bundesminister für Gesundheit hat gemäß §28 Abs1 Z1 mit Verordnung diese Rollen festzulegen.

Vertraulichkeit

§6. (1) Die Vertraulichkeit bei der elektronischen Weitergabe von Gesundheitsdaten ist dadurch sicherzustellen, dass entweder

1. die elektronische Weitergabe von Gesundheitsdaten über Netzwerke durchgeführt wird, die entsprechend dem Stand der Technik in der Netzwerksicherheit gegenüber unbefugten Zugriffen abgesichert sind, indem sie zumindest

a) die Absicherung des Datenverkehrs durch kryptographische oder bauliche Maßnahmen,

b) den Netzzugang ausschließlich für eine geschlossene oder abgrenzbare Benutzer/innen/gruppe sowie

c) die Authentifizierung der Benutzer/innen

vorsehen, oder

2. Protokolle und Verfahren verwendet werden,

a) die die vollständige Verschlüsselung der Gesundheitsdaten bewirken und

b) deren kryptographische Algorithmen in der Verordnung gemäß §28 Abs1 Z2 angeführt sind.

(2) Bei der elektronischen Weitergabe von Gesundheitsdaten gemäß Abs1 Z2 dürfen die allenfalls von der Verschlüsselung ausgenommenen Informationen weder Hinweise auf die Betroffenen (§4 Z3 DSG 2000), deren Gesundheitsdaten weitergegeben werden, noch auf allfällige Authentifizierungsdaten enthalten.

(3) Es ist sicherzustellen, dass die Speicherung von Gesundheitsdaten in Datenspeichern, die einem Auftraggeber bedarfsorientiert von einem Betreiber bereitgestellt werden ('Cloud Computing'), nur dann erfolgt, wenn die Gesundheitsdaten mit einem dem aktuellen Stand der Technik entsprechenden Verfahren (Abs1 Z2) verschlüsselt worden sind.

Integrität

§7. (1) Nachweis und Prüfung der Integrität elektronischer Gesundheitsdaten haben durch die Verwendung fortgeschrittener oder qualifizierter elektronischer Signaturen gemäß §2 Z3 des Signaturgesetzes (SigG), BGBl I Nr 190/1999, zu erfolgen.

(2) Abs1 ist nicht auf die elektronische Weitergabe von Gesundheitsdaten zwischen Gesundheitsdiensteanbietern anzuwenden, wenn hiezu ein entsprechend dem Stand der Technik abgesichertes Netzwerk gemäß §6 Abs1 Z1 verwendet wird und der Zugang zu diesem Netzwerk ausschließlich für im Vorhinein bekannte Gesundheitsdiensteanbietern möglich ist.

IT-Sicherheitskonzept

§8. (1) Gesundheitsdiensteanbieter haben auf Basis eines IT-Sicherheitskonzeptes alle gemäß §14 DSG 2000 und den Bestimmungen dieses Bundesgesetzes getroffenen Datensicherheitsmaßnahmen zu dokumentieren. Aus dieser Dokumentation muss hervorgehen, dass sowohl der Zugriff als auch die Weitergabe der Daten ordnungsgemäß erfolgt und die Daten Unbefugten nicht zugänglich sind.

(2) Die Rechtsträger von Krankenanstalten sowie die Aufsichts- oder Kontrollbehörden von Einrichtungen der Pflege, die Österreichische Ärztekammer, die Österreichische Zahnärztekammer, das Hebammengremium, die Österreichische Apothekerkammer, die Wirtschaftskammer Österreich sowie der Hauptverband können standardisierte Formulare und Ausfüllhilfen für die Dokumentation gemäß Abs1 zur Unterstützung für jene Gesundheitsdiensteanbieter zur Verfügung stellen, für die sie als Registrierungsstelle gemäß §2 Z4 fungieren.

(3) Die Dokumentation gemäß Abs1 ist auf Verlangen des Bundesministers für Gesundheit diesem zu übermitteln.

3. Abschnitt

Informationsmanagement

Organisation des eHealth-Verzeichnisdienstes (eHVD)

§9. (1) Der Bundesminister für Gesundheit hat zur

1. Unterstützung der zulässigen Verwendung von Gesundheitsdaten in elektronischer Form,

2. Verbesserung der Information über gesundheitsbezogene Dienste sowie

3. Unterstützung von Planungsaktivitäten und für die Berichterstattung (§11)

einen eHealth-Verzeichnisdienst (eHVD) zu betreiben.

(2) Gesundheitsdiensteanbieter sind von den Registrierungsstellen in den eHVD einzutragen.

(3) Die Eintragung der in §10 Abs1 genannten Daten in den eHVD und deren Austragung aus dem eHVD erfolgt:

1. durch laufende elektronische Übermittlung aus:

a) der Ärzteliste gemäß §27 ÄrzteG 1998,

b) der Zahnärzteliste gemäß §11 ZÄG,

c) dem Hebammenregister gemäß §42 des Hebammengesetzes, BGBl Nr 310/1994,

d) dem Apothekenverzeichnis gemäß §2 Abs4 Z12 des Apothekerkammergesetzes 2001, BGBl I Nr 111/2001,

e) der Liste der klinischen Psychologen und Gesundheitspsychologen gemäß §16 des Psychologengesetzes, BGBl Nr 360/1990,

f) der Psychotherapeutenliste gemäß §17 des Psychotherapiegesetzes, BGBl Nr 361/1990,

g) der Musiktherapeutenliste gemäß §19 des Musiktherapiegesetzes, BGBl I Nr 93/2008, sowie

h) der Kardiotechnikerliste gemäß §19 des Kardiotechnikergesetzes, BGBl I Nr 96/1998 oder

2. aufgrund elektronischer Meldung

a) eines bereits in den eHVD eingetragenen Gesundheitsdiensteanbieters über ausschließlich eigene untergeordnete Organisationseinheiten,

b) der Landeshauptleute über die in ihrem Bundesland bzw. der Bezirksverwaltungsbehörden über die in ihrem Bezirk

aa) erteilten, geänderten und aufgehobenen Bewilligungen für Gesundheitsdiensteanbieter oder

bb) sonst angezeigten Tätigkeiten von Gesundheitsdiensteanbietern,

c) des Hauptverbandes über die in ihm zusammengeschlossenen Versicherungsträger sowie

d) der Rechtsträger von Krankenfürsorgeeinrichtungen oder

3. durch den Bundesminister für Gesundheit für alle übrigen Gesundheitsdiensteanbieter.

(4) Die Erleichterung der Meldung gemäß Abs3 Z2 lita darf von Gesundheitsdiensteanbietern, die keine natürlichen Personen sind, nur dann in Anspruch genommen werden, wenn sie ihre Organisationsstruktur intern abspeichern und gewährleistet ist, dass

1. diese Organisationsstruktur in jeweils aktueller Form vorliegt,

2. für alle erzeugten Gesundheitsdaten eine natürliche Person verantwortlich gemacht werden kann,

3. die gespeicherten Organisationsdaten nachträglich nicht spurlos verändert werden können und

4. der Zeitpunkt der Speicherung der Organisationsdaten nachweisbar bleibt und ebenfalls nachträglich nicht spurlos verändert werden kann.

(5) Die Registrierungsstellen haben die technischen und organisatorischen Voraussetzungen für

1. die Eintragung gemäß Abs3 sowie

2. die Klärung von Zweifelsfällen im Hinblick auf die Datenqualität

zu schaffen.

Daten des eHealth-Verzeichnisdienstes

§10. (1) In den eHVD sind folgende Daten aufzunehmen:

1. Name sowie akademische Grade oder Bezeichnung des Gesundheitsdiensteanbieters,

2. die Bezeichnung des Rechtsträgers, wenn der Gesundheitsdiensteanbieter keine natürliche Person ist,

3. Identifikatoren des Gesundheitsdiensteanbieters einschließlich der eindeutigen elektronischen Kennzeichen gemäß §8 E-GovG,

4. Angaben zur beruflichen, postalischen und elektronischen Erreichbarkeit des Gesundheitsdiensteanbieters,

5. die Rolle(n) sowie besondere Befugnisse oder Eigenschaften des Gesundheitsdiensteanbieters,

6. die eindeutige Kennung (OID) und den symbolischen Bezeichner,

7. die Staatsangehörigkeit des Gesundheitsdiensteanbieters,

8. die zur Verschlüsselung von Gesundheitsdaten erforderlichen Angaben oder die elektronische Adresse, an der diese Angaben aufgefunden werden können,

9. die Angabe, ob es sich um einen ELGA-Gesundheitsdiensteanbieter handelt,

10. Angaben zur geografischen Lokalisierung des Gesundheitsdiensteanbieters,

11. Angaben über das Leistungsangebot des Gesundheitsdiensteanbieters,

12. die Bezeichnung jener Registrierungsstelle gemäß §2 Z4, von der die Daten in den eHVD eingebracht wurden, und gegebenenfalls die Bezeichnung der Herkunftsquelle der Daten sowie

13. das Datum der Aufnahme der Daten in den eHVD sowie das Datum der letzten Berichtigung.

(2) Abweichend von Abs1 sind Angaben über die elektronische Erreichbarkeit (Abs1 Z4) und die Angaben zu Abs1 Z8 und 11 nur insoweit in den eHVD aufzunehmen, als sie von den Registrierungsstellen übermittelt werden.

(3) Die Angaben über besondere Befugnisse oder Eigenschaften gemäß Abs1 Z5 und zu Abs1 Z6, 9, 10, 12 und 13 sind vom Bundesminister für Gesundheit zu ergänzen.

(4) Für die eindeutige elektronische Identifikation von Gesundheitsdiensteanbietern (Abs1 Z3), die natürliche Personen sind, haben Registrierungsstellen bereichsspezifische Personenkennzeichen zu verwenden. Werden die bereichsspezifischen Personenkennzeichen von den Registrierungsstellen nicht zur Verfügung gestellt, sind dem Bundesminister für Gesundheit zusätzlich zu den Angaben gemäß Abs1 das Geburtsdatum, das Geschlecht sowie der Geburtsort des betreffenden Gesundheitsdiensteanbieters, falls letzterer verfügbar und zu Identifikationszwecken erforderlich ist, zu übermitteln.

(5) Die eindeutige Kennung gemäß Abs1 Z6 (OID und symbolischer Bezeichner) ist anhand der ÖNORM A2642, 'Informationstechnologie – Kommunikation offener Systeme, Verfahren zur Registrierung von Informationsobjekten in Österreich' vom 1. Jänner 2011 aus der Kennung (OID) des Bundesministeriums für Gesundheit abzuleiten. Die im Abs1 Z1 bis 7, 12 und 13 bezeichneten Daten dürfen vom Bundesminister für Gesundheit einem gegebenenfalls eingerichteten System für die Vergabe und Verwaltung von Objektidentifikatoren übermittelt werden.

(6) Die im eHVD enthaltenen Daten sind mit Ausnahme der Identifikatoren und der Staatsangehörigkeit des Gesundheitsdiensteanbieters (Abs1 Z3 und Z7) und jener Daten, die aufgrund bestehender Rechtsvorschriften von einer Veröffentlichung ausgenommen sind, öffentlich zugänglich und – soweit erforderlich – auch in englischer Sprache zur Verfügung zu stellen.

(7) Der Bundesminister für Gesundheit darf die im eHVD gemäß Abs1 Z1 bis 6, 8, 12 und 13 gespeicherten Daten Gesundheitsdiensteanbietern oder deren Dienstleistern im Umfang des nachzuweisenden Bedarfs übermitteln. Die Übermittlungsempfänger dürfen die Daten ausschließlich für Zwecke gemäß §9 Abs1 Z1 verwenden.

Monitoring

§11. (1) Der Bundesminister für Gesundheit kann zur Evaluierung der Nutzung und der Auswirkungen von Informations- und Kommunikationstechnologien im Gesundheitswesen – unter Bedachtnahme auf die Anforderungen des europäischen Umfeldes – ein bundesweites Berichtswesen einrichten, das auf der Basis standardisierter Vorgaben Auskünfte insbesondere über

1. die Verfügbarkeit von technischer Infrastruktur einschließlich der Kommunikationsinfrastruktur,

2. die Art und den Umfang der eingesetzten gesundheitstelematischen Anwendungen und Verfahren sowie

3. die ökonomischen Rahmenbedingungen der Gesundheitstelematik

ermöglicht.

(2) Die Art und der Umfang der damit verbundenen Erhebungen können aufgrund rollenspezifischer Besonderheiten mit unterschiedlichem Detaillierungsgrad festgelegt werden.

(3) Der Bundesminister für Gesundheit hat den Bericht gemäß Abs1 dem Nationalrat vorzulegen und ist berechtigt, die Ergebnisse dieses Berichts auch für die Berichterstattung an Einrichtungen der Europäischen Union oder an andere internationale Organisationen zu verwenden.

(4) Die Gesundheitsdiensteanbieter sowie alle sonstigen Stellen, die über Informationen über den Einsatz von Informations- und Kommunikationstechnologien im Gesundheitswesen verfügen, sind verpflichtet, zur Erstellung eines Berichts gemäß Abs1 die erforderlichen Auskünfte zu erteilen oder die verlangten Unterlagen zur Verfügung zu stellen.

Grundlagen der grenzüberschreitenden Gesundheitsversorgung

§12. Der Bundesminister für Gesundheit hat die Kontinuität der Behandlung und der Patient/inn/en/sicherheit grenzüberschreitend zu unterstützen und die dafür erforderlichen, insbesondere technischen Grundlagen, zu schaffen.

4. Abschnitt

Elektronische Gesundheitsakte (ELGA)

Allgemeine Bestimmungen zur Elektronischen Gesundheitsakte

§13. (1) Die Verwendung der Elektronischen Gesundheitsakte erfüllt ein wichtiges öffentliches Interesse gemäß Art8 Abs4 der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr L 281 vom 23.11.1995 S. 31. Dieses wichtige öffentliche Interesse an der Nutzung von ELGA ergibt sich insbesondere aus:

1. einer verbesserten, schnelleren Verfügbarkeit medizinischer Informationen, die zu einer Qualitätssteigerung diagnostischer und therapeutischer Entscheidungen sowie der Behandlung und Betreuung führt,

2. der Steigerung der Prozess- und Ergebnisqualität von Gesundheitsdienstleistungen,

3. dem Ausbau integrierter Versorgung und eines sektorenübergreifenden Nahtstellenmanagements im öffentlichen Gesundheitswesen,

4. der Aufrechterhaltung einer qualitativ hochwertigen, ausgewogenen und allgemein zugänglichen Gesundheitsversorgung,

5. der Stärkung der Patient/inn/en/rechte, insbesondere der Informationsrechte und dem Rechtsschutz gemäß DSG 2000 bei der Verwendung von personenbezogenen Daten sowie

6. einem Beitrag zur Wahrung des finanziellen Gleichgewichts des Systems der sozialen Sicherheit.

(2) ELGA-Gesundheitsdiensteanbieter haben zur Erfüllung der in §14 Abs2 genannten Zwecke das Recht, ELGA-Gesundheitsdaten in ELGA zu speichern und unter Berücksichtigung der jeweiligen Berufspflichten (z. B. §49 Abs1 ÄrzteG 1998; §10 Apothekenbetriebsordnung 2005, BGBl II Nr 65/2005) zu ermitteln, sofern in diesem Bundesgesetz nichts Anderes, etwa durch die Ausübung von ELGA-Teilnehmer/innen/rechten gemäß §16, festgelegt ist.

(3) Zur Sicherstellung der in Abs1 genannten Ziele sind in ELGA frühestens ab den in §27 Abs2 bis 6 genannten Zeitpunkten und spätestens ab dem Zeitpunkt gemäß §28 Abs2 Z4 zu speichern:

1. Entlassungsbriefe (§2 Z9 lita sublitaa) durch Krankenanstalten (§2 Z10 litd),

2. Laborbefunde (§2 Z9 lita sublitbb) durch Angehörige des ärztlichen Berufes (§2 Z10 lita), sofern diese Fachärzte/Fachärztinnen der Sonderfächer medizinisch-chemische Labordiagnostik oder Hygiene und Mikrobiologie sind, sowie durch Krankenanstalten (§2 Z10 litd) im Rahmen ambulanter Behandlung,

3. Befunde der bildgebenden Diagnostik durch Angehörige des ärztlichen Berufes (§2 Z10 lita), sofern diese Fachärzte/Fachärztinnen des Sonderfaches Radiologie sind, sowie durch Krankenanstalten (§2 Z10 litd) im Rahmen ambulanter Behandlung,

4. Medikationsdaten (§2 Z9 litb), insoweit sich diese auf Handelsname bzw. Wirkstoff beziehen, durch Angehörige des ärztlichen Berufes (§2 Z10 lita) bei der Verordnung,

5. Medikationsdaten (§2 Z9 litb), insoweit sich diese auf Handelsname bzw. Wirkstoff beziehen, durch Apotheken (§2 Z10 litc) und hausapothekenführende Ärzte/Ärztinnen bei der Abgabe,

6. weitere Befunde (§2 Z9 lita sublitdd) gemäß §28 Abs2 Z3 und 4.

(4) Allfällige Bilddaten (§2 Z9 lita) sind nur dann und nur in jenem Umfang in ELGA zu speichern, als dies der ELGA-Gesundheitsdiensteanbieter für erforderlich erachtet.

(5) Die ELGA-Systempartner haben unter Berücksichtigung der gebotenen Sicherheitsanforderungen ELGA so zur Verfügung zu stellen, dass die Anbindung von ELGA bei den ELGA-Teilnehmer/inne/n und den ELGA-Gesundheitsdiensteanbietern benutzer- und anwenderfreundlich, insbesondere durch einfach zu handhabende, effektive und für medizinische Kriterien optimierte Such- und Filterfunktionen, möglich ist.

(6) Die ELGA-Systempartner und die ELGA-Gesundheitsdiensteanbieter, gegebenenfalls vertreten durch die jeweilige gesetzliche Interessenvertretung, haben nach jeweiliger Betroffenheit, unter Beachtung der wirtschaftlichen Vertretbarkeit sowie dem Stand der Technik, Parameter, die für die Benutzer- und Anwenderfreundlichkeit von wesentlicher Bedeutung sind, gemeinsam festzulegen. Die dafür relevanten und technischen Fragen und Parameter sind vor der Festlegung mit der Wirtschaftskammer Österreich abzustimmen.

(7) Ist aus Gründen, die nicht vom ELGA-Gesundheitsdiensteanbieter verschuldet sind, im konkreten Einzelfall eine Verwendung von ELGA technisch nicht möglich oder ist durch den mit der Suche verbundenen Zeitaufwand das Leben oder die Gesundheit des ELGA-Teilnehmers/der ELGA-Teilnehmerin ernstlich gefährdet, ist der ELGA-Gesundheitsdiensteanbieter nicht verpflichtet, ELGA-Gesundheitsdaten im Wege von ELGA zu ermitteln.

Grundsätze der Datenverwendung

§14. (1) Die Verwendung (speichern und ermitteln) von ELGA-Gesundheitsdaten ist nur zulässig, wenn

1. die ELGA-Teilnehmer/innen (§15 Abs1) gemäß §18 eindeutig identifiziert wurden,

2. die ELGA-Gesundheitsdiensteanbieter oder die ELGA-Ombudsstelle gemäß §19 eindeutig identifiziert wurden und

3. die ELGA-Gesundheitsdiensteanbieter oder die ELGA-Ombudsstelle gemäß §21 zur Verwendung der ELGA-Gesundheitsdaten berechtigt sind.

(2) Die durch ELGA verfügbar gemachten ELGA-Gesundheitsdaten dürfen personenbezogen ausschließlich

1. zu Gesundheitszwecken gemäß §9 Z12 DSG 2000, ausgenommen für die Verwaltung von Gesundheitsdiensten, von

a) den/die ELGA-Teilnehmer/in behandelnden oder betreuenden ELGA-Gesundheitsdiensteanbietern,

b) ELGA-Gesundheitsdiensteanbietern, an die ein/eine ELGA-Teilnehmer/in zur Behandlung oder Betreuung von einem ELGA-Gesundheitsdiensteanbieter gemäß lita zugewiesen wurde sowie

c) Personen, die die in lita und b genannten ELGA-Gesundheitsdiensteanbieter bei der Ausübung ihrer Tätigkeit unterstützen und im konkreten Fall von diesen dazu angewiesen wurden oder

2. zur Wahrnehmung der Teilnehmer/innen/rechte gemäß §16 von

a) ELGA-Teilnehmer/inne/n,

b) deren gesetzlichen oder bevollmächtigten Vertreter/inne/n sowie

c) der ELGA-Ombudsstelle (§2 Z14)

verwendet werden.

(2a) Die Wahrnehmung der Teilnehmer/innen/rechte gemäß §16 steht ab Vollendung des 14. Lebensjahres (mündige Minderjährige) ausschließlich dem ELGA-Teilnehmer/der ELGA-Teilnehmerin zu.

(3) Das Verlangen, der Zugriff auf und die Verwendung von durch ELGA verfügbar gemachten ELGA-Gesundheitsdaten ist jedenfalls verboten:

1. Personen oder Einrichtungen, die weder ELGA-Gesundheitsdiensteanbieter (§2 Z10) noch ELGA-Ombudsstelle (§2 Z14) sind,

2. ELGA-Gesundheitsdiensteanbietern, die nicht in die Behandlung oder Betreuung eines ELGA-Teilnehmers/einer ELGA-Teilnehmerin eingebunden sind,

3. ELGA-Gesundheitsdiensteanbietern, wenn die Voraussetzungen des Abs1 nicht erfüllt sind,

4. der ELGA-Ombudsstelle, wenn sie nicht in die Beratung oder Unterstützung eines ELGA-Teilnehmers/einer ELGA-Teilnehmerin eingebunden ist,

5. Arbeitgeber/inne/n, Beschäftiger/innen, Personalberater/inne/n,

6. Versicherungsunternehmen,

7. Trägern der gesetzlichen Sozialversicherung sowie der Kranken- und Unfallfürsorgeanstalten, sofern sie nicht in die Behandlung oder Betreuung eines ELGA-Teilnehmers/einer ELGA-Teilnehmerin gemäß Abs2 und 3a eingebunden sind,

8. Verwaltungsbehörden und Gerichten sowie

9. sonstigen natürlichen und juristischen Personen, die nach diesem Bundesgesetz nicht ausdrücklich dazu berechtigt sind, sowie für alle Zwecke, die in diesem Bundesgesetz nicht ausdrücklich als zulässig bestimmt sind.

(3a) ELGA-Gesundheitsdiensteanbieter, die Arbeitgeber oder Beschäftiger und in die Behandlung oder Betreuung von ELGA-Teilnehmer/inne/n eingebunden sind, die ihre Arbeitnehmer/innen sind oder von ihnen beschäftigt werden, dürfen deren ELGA-Gesundheitsdaten nur dann verwenden, wenn sie

1. diese ELGA-Teilnehmer/innen zuvor ausdrücklich auf die Teilnehmer/innen/rechte gemäß §16 hingewiesen haben und

2. durch technische Mittel sichergestellt haben, dass innerhalb von ELGA-Gesundheitsdiensteanbietern nur Personen auf ELGA-Gesundheitsdaten zugreifen können, die in den konkreten Behandlungs- oder Betreuungsprozess des jeweiligen ELGA Teilnehmers/der jeweiligen ELGA-Teilnehmerin eingebunden sind.

(4) ELGA-Gesundheitsdiensteanbieter, die ELGA-Ombudsstelle sowie deren Dienstleister und Mitarbeiter/innen – das sind Arbeitnehmer/innen (Dienstnehmer/innen) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben ELGA-Gesundheitsdaten, die ihnen aufgrund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten.

(5) Der Bundesminister für Gesundheit nimmt in Vertretung für die ELGA-Gesundheitsdiensteanbieter die Meldepflicht gemäß §17 DSG 2000 wahr.

Grundsätze der ELGA-Teilnahme

§15. (1) ELGA-Teilnehmer/innen sind alle natürlichen Personen, die

1. im Patientenindex gemäß §18 erfasst sind und somit jedenfalls jene Personen, die in den Datenanwendungen des Hauptverbandes gemäß §31 Abs4 Z3 lita ASVG oder dem Ergänzungsregister gemäß §6 Abs4 E-GovG erfasst sind und

2. einer ELGA-Teilnahme nicht widersprochen haben (Abs2).

(2) Der Teilnahme an ELGA kann jederzeit generell widersprochen werden (Opt-out). Dabei ist anzugeben, ob sich dieser Widerspruch auf alle oder einzelne Arten von ELGA-Gesundheitsdaten (§2 Z9) beziehen soll. Dieser generelle Widerspruch kann

1. schriftlich gegenüber gemäß §28 Abs2 Z7 festzulegenden Widerspruchstellen abgegeben werden oder

2. elektronisch über das Zugangsportal (§23) erfolgen,

jedenfalls aber so, dass sowohl die eindeutige Identität der Person, die nicht an ELGA teilnehmen möchte, als auch die Authentizität der Mitteilung geprüft werden können. Der Widerspruch ist zu bestätigen. Der Bundesminister für Gesundheit hat durch Verordnung (§28 Abs2 Z7) Widerspruchstellen einzurichten. Dabei sind insbesondere nähere Regelungen für die Wahrnehmung ihrer Aufgaben und für die Sicherstellung der Teilnehmer/innen/rechte zu treffen.

(3) Alle bis zum Zeitpunkt des Widerspruchs gemäß Abs2 in den ELGA‑Verweisregistern vorhandenen und vom Widerspruch erfassten Verweise und ELGA-Gesundheitsdaten einschließlich Medikationsdaten sind zu löschen; falls das Löschen aufgrund anderer gesetzlicher Dokumentationsverpflichtungen oder §22 Abs5 Z1 ausgeschlossen ist, sind die Verweise für ELGA unzugänglich zu machen.

(4) Generelle Widersprüche (Opt-out) gemäß Abs2 können jederzeit widerrufen werden. Solange ein gültiger Widerspruch besteht, dürfen keine für ELGA zugänglichen Verweise auf ELGA-Gesundheitsdaten gemäß §20 Abs2 erster Satz gespeichert werden. Für Zeiten eines gültigen Widerspruchs gemäß Abs2 bzw. §16 Abs2 Z2 besteht kein Rechtsanspruch auf eine nachträgliche Aufnahme von Verweisen auf ELGA-Gesundheitsdaten.

Rechte der ELGA-Teilnehmer/innen

§16. (1) ELGA-Teilnehmer/innen haben elektronisch im Wege des Zugangsportals (§23) oder schriftlich gegenüber der ELGA-Ombudsstelle (§17) das Recht

1. Auskunft über die sie betreffenden ELGA-Gesundheitsdaten sowie Protokolldaten gemäß §22 Abs2 zu erhalten sowie

2. individuelle Zugriffsberechtigungen gemäß §21 Abs3 festzulegen, indem sie

a) elektronische Verweise und ELGA-Gesundheitsdaten einschließlich Medikationsdaten für ELGA-Gesundheitsdiensteanbieter ein- oder ausblenden sowie löschen; falls das Löschen aufgrund anderer gesetzlicher Dokumentationsverpflichtungen oder §22 Abs5 Z1 ausgeschlossen ist, sind die Verweise für ELGA unzugänglich zu machen, oder

b) Zeiträume für bestehende Zugriffsberechtigungen gemäß §18 Abs6 verkürzen oder

c) einen ELGA-Gesundheitsdiensteanbieter des besonderen Vertrauens mit dessen Zustimmung gemäß §18 Abs7 festlegen.

(2) ELGA-Teilnehmer/innen haben gegenüber den behandelnden oder betreuenden ELGA-Gesundheitsdiensteanbietern das Recht

1. die Aufnahme von Medikationsdaten (§2 Z9 litb) sowie von Verweisen auf ELGA-Gesundheitsdaten (§2 Z9 lita) gemäß §20 Abs2 erster Satz in Verbindung mit §13 Abs3 und 4 zu verlangen sowie

2. der Aufnahme von elektronischen Verweisen und ELGA-Gesundheitsdaten einschließlich einzelner Medikationsdaten für einen Behandlungs- oder Betreuungsfall zu widersprechen, sofern dies nicht aufgrund anderer gesetzlicher Dokumentationsverpflichtungen ausgeschlossen ist. Über dieses Recht ist der ELGA-Teilnehmer/die ELGA-Teilnehmerin insbesondere bei ELGA-Gesundheitsdaten, die sich auf

a) HIV-Infektionen,

b) psychische Erkrankungen,

c) Daten gemäß §71a Abs1 GTG oder

d) Schwangerschaftsabbrüche

beziehen, zu informieren.

(3) Personen, die

1. der Teilnahme an ELGA gemäß §15 Abs2 widersprechen oder

2. die ihnen zustehenden Teilnehmer/innen/rechte ausüben,

dürfen dadurch weder im Zugang zur medizinischen Versorgung noch hinsichtlich der Kostentragung Nachteile erleiden. Sie tragen jedoch die Verantwortung, wenn aus diesem Grund ein ELGA-Gesundheitsdiensteanbieter trotz Einhaltung seiner Sorgfaltspflichten von einem für die Behandlung oder Betreuung wesentlichen Umstand nicht Kenntnis erlangen kann. ELGA-Gesundheitsdiensteanbieter sind gegenüber ELGA-Teilnehmer/inne/n nicht zur Nachfrage über die Ausübung von Teilnehmer/innen/rechten verpflichtet.

(4) Die ELGA-Gesundheitsdiensteanbieter haben über die Bestimmungen der Abs1 bis 3 in Form eines leicht lesbaren, gut sichtbaren und zugänglichen Aushanges in ihren Räumlichkeiten zu informieren. Die gesetzlichen Interessenvertretungen für Angehörige von Gesundheitsberufen, die ihren Beruf als Gesundheitsdiensteanbieter freiberuflich ausüben, haben den Aushang im Rahmen ihres übertragenen Wirkungsbereiches den jeweiligen ELGA-Gesundheitsdiensteanbietern zur Verfügung zu stellen.

(5) Der Bundesminister für Gesundheit hat laufend Informationen über den aktuellen Stand von ELGA zu veröffentlichen und die Betroffenen über ihre Rechte zu informieren.

e-Medikation

§16a. (1) Der Hauptverband hat im übertragenen Wirkungsbereich als ELGA-Anwendung bis 31. Dezember 2014 ein Informationssystem über verordnete sowie abgegebene Arzneimittel einzurichten ('e-Medikation') und ab diesem Zeitpunkt zu betreiben. Das Informationssystem hat ELGA-Teilnehmer/inne/n und ELGA-Gesundheitsdiensteanbietern gemäß §2 Z10 unter Wahrung der Teilnehmer/innen/rechte gemäß §16 eine Übersicht über die für diesen ELGA-Teilnehmer/diese ELGA-Teilnehmerin verordneten sowie abgegebenen Arzneimittel anzubieten. Zu diesem Zweck haben ELGA-Gesundheitsdiensteanbieter entsprechend ihrer in diesem Bundesgesetz festgelegten Verpflichtungen die ELGA-Gesundheitsdaten gemäß §2 Z9 litb in diesem Informationssystem zu speichern, sofern dies nicht durch die Ausübung von Teilnehmer/innen/rechten ausgeschlossen ist. Die Prüfung von Wechselwirkungen erfolgt in der Eigenverantwortung der ELGA-Gesundheitsdiensteanbieter und ist nicht Gegenstand des Informationssystems.

(2) Der Betrieb des e-Medikationssystems darf nicht in die Erbringung von Leistungen der Behandlung oder Betreuung von ELGA-Teilnehmer/inne/n, insbesondere in die Therapiefreiheit der Ärztinnen und Ärzte, eingreifen.

(3) Erfolgt die Identifikation des ELGA-Teilnehmers/der ELGA-Teilnehmerin gemäß §18 Abs4 Z4, ist die Verwendung auf die Speicherung der Medikationsdaten eingeschränkt.

ELGA-Ombudsstelle

§17. (1) Die ELGA-Ombudsstelle (§2 Z14) ist vom Bundesminister für Gesundheit durch Verordnung (§28 Abs2 Z8) einzurichten. Dabei sind insbesondere nähere Regelungen für die Wahrnehmung der Aufgaben gemäß Abs2 und für die Sicherstellung der Rechte der ELGA-Teilnehmer/innen zu treffen.

(2) Der Bundesminister für Gesundheit hat die ELGA-Ombudsstelle zu betreiben. Aufgabe der ELGA-Ombudsstelle ist die Information, Beratung und Unterstützung Betroffener in Angelegenheiten im Zusammenhang mit ELGA, insbesondere bei der Durchsetzung von Teilnehmer/innen/rechten und in Angelegenheiten des Datenschutzes. In diesem Sinne hat die ELGA-Ombudsstelle als Anlaufstelle für den ELGA-Teilnehmer/die ELGA-Teilnehmerin auf Antrag binnen zwei Wochen alle Auskünfte zu erteilen, die notwendig sind, um den für die Verarbeitung seiner/ihrer Daten in ELGA verantwortlichen Auftraggeber festzustellen. Dabei sind die Mitarbeiter/innen der ELGA-Ombudsstelle in Ausübung ihrer Tätigkeit gegenüber dem Bundesminister für Gesundheit im Zusammenhang mit der Information, Beratung und Unterstützung weisungsfrei. Die Zugriffe der ELGA-Ombudsstelle auf ELGA-Gesundheitsdaten sind zu protokollieren. Die Zuständigkeiten der Datenschutzbehörde bleiben von dieser Bestimmung unberührt.

(3) Die ELGA-Ombudsstelle hat auch die ELGA-Systempartner bei der Weiterentwicklung der Teilnehmer/innen/rechte und des Datenschutzes zu unterstützen.

(4) Personen, die für die ELGA-Ombudsstelle tätig werden, dürfen in ELGA-Angelegenheiten auf Verlangen von ELGA-Teilnehmer/inne/n für diese gemäß §5 Abs3 E-GovG vertretungsweise handeln. Die Stammzahlenregisterbehörde hat auf Antrag der für die ELGA-Ombudsstelle tätigen Personen an Stelle der Stammzahl, ein bPK des/der Vertretenen zur Verfügung zu stellen.

Überprüfung der Identität von ELGA-Teilnehmer/inne/n

§18. (1) Der Hauptverband hat im übertragenen Wirkungsbereich einen Patientenindex einzurichten und zu betreiben. Dieser dient:

1. der Überprüfung der eindeutigen Identität (§2 Z2 E-GovG) natürlicher Personen im Rahmen von ELGA oder anderen eHealth-Anwendungen sowie

2. der Lokalisierung von Verweisregistern, in denen sich Verweise auf ELGA-Gesundheitsdaten dieser natürlichen Personen befinden können.

(2) Im Patientenindex sind folgende Daten natürlicher Personen zu verarbeiten:

1. Namensangaben:

a) Vorname(n)

b) Familien- oder Nachname

c) Geburtsname

d) akademische Grade

2. Personenmerkmale:

a) Geburtsdatum

b) Geburtsort, soweit verfügbar

c) Geschlecht

d) Sterbedatum, soweit verfügbar

e) Staatsangehörigkeit

3. Adressdaten

4. Identitätsdaten:

a) Sozialversicherungsnummer

b) lokale Patient/inn/en/kennungen

c) bPK-GH

d) über die Z1 bis 3 hinausgehenden Daten der europäischen Krankenversicherungskarte

e) sonstige staatliche Identifikatoren.

(3) Die Daten gemäß Abs2 sind vorrangig aus den Datenanwendungen des Hauptverbandes gemäß §31 Abs4 Z3 lita ASVG sowie dem Ergänzungsregister gemäß §6 Abs4 E-GovG zu ermitteln.

(4) Die Überprüfung der Identität der ELGA-Teilnehmer/innen (§14 Abs1 Z1) hat in elektronischer Form unter Mitwirkung des ELGA-Teilnehmers/der ELGA-Teilnehmerin zu erfolgen. Dabei sind die im Patientenindex gespeicherten Identitätsdaten mit den im Rahmen der Identifikation ermittelten Identitätsdaten zu vergleichen. Die Ermittlung der Identitätsdaten kann durch

1. eine elektronische Prüfung der Gültigkeit der e‑card und dem Auslesen von Daten der e‑card mittels e‑card-System (§§31a ff ASVG) oder

2. Verwenden einer Bürgerkarte (§2 Z10 E-GovG) oder

3. Verwenden von Identitätsdaten einer gemäß §4 Abs2 eindeutig identifizierten natürlichen Person, die bei einem ELGA-Gesundheitsdiensteanbieter gemäß §2 Z10 litd und e gespeichert sind wobei das IT-Sicherheitskonzept gemäß §8 die Überprüfung der Identität der ELGA-Teilnehmer/innen technisch abzusichern hat zum Zweck der Verwendung der ELGA-Gesundheitsdaten gemäß §14 Abs2 Z1 oder

4. Verwenden von Daten einer elektronischen oder sonst eindeutig identifizierbaren Verordnung oder Zuweisung (§14 Abs2 Z1 litb), sofern die Ermittlung der Identitätsdaten nicht gemäß Z1 bis 3 erfolgt,

erfolgen.

(5) Im Zuge der Ermittlung der Identitätsdaten mittels e‑card System (§§31a ff ASVG) ist im selben Arbeitsschritt, aber technisch von den Datenflüssen des ELSY (§§31a ff ASVG) getrennt, auch ein allfälliger Widerspruch gemäß §16 Abs2 Z2 zu dokumentieren.

(6) Die Überprüfung der Identität der ELGA-Teilnehmer/innen (Abs4) darf für den Zugriff und die Verwendung der ELGA-Gesundheitsdaten zu den in §14 Abs2 genannten Zwecken durch

1. ELGA-Gesundheitsdiensteanbieter gemäß §2 Z10 lita, b, d und e und die ELGA-Ombudsstelle gemäß §2 Z14 nicht länger als 28 Tage und

2. ELGA-Gesundheitsdiensteanbieter gemäß §2 Z10 litc nicht länger als zwei Stunden

zurückliegen.

(7) Abweichend von Abs6 kann ein ELGA-Teilnehmer/eine ELGA-Teilnehmerin einem oder mehreren ELGA-Gesundheitsdiensteanbieter des besonderen Vertrauens gemäß §2 Z10 lita, b, c und e in Verbindung mit §21 Abs2 mit dessen Zustimmung, eine Frist von bis zu 365 Tagen einräumen.

(8) Abgesehen von den Fällen gemäß §17 Abs4 dürfen Vertretungen von ELGA‑Teilnehmer/inne/n im elektronischen Verkehr ausschließlich gemäß §5 Abs1 E-GovG eingetragen werden, wobei:

1. an Stelle der Stammzahl ein bPK des ELGA-Teilnehmers/der ELGA‑Teilnehmerin einzutragen ist sowie

2. die Berechtigung zum Zugriff auf ELGA gesondert eingetragen werden muss.

(9) Zehn Jahre nach Kenntnis des Sterbedatums eines ELGA-Teilnehmers/einer ELGA-Teilnehmerin hat der Hauptverband die im Patientenindex gespeicherten Daten des/der Verstorbenen automatisch zu löschen.

Überprüfung der Identität von ELGA-Gesundheitsdiensteanbietern und der ELGA-Ombudsstelle

§19. (1) Zur Überprüfung der Identität von ELGA-Gesundheitsdiensteanbietern und der ELGA-Ombudsstelle ist vom Bundesminister für Gesundheit ein Gesundheitsdiensteanbieterindex einzurichten und zu betreiben. Die in den Gesundheitsdiensteanbieterindex aufzunehmenden Daten sind aus dem eHVD zu ermitteln und umfassen die Angaben gemäß §10 Abs1 Z1 bis 8.

(2) Die Identität von ELGA-Gesundheitsdiensteanbietern bzw. der ELGA‑Ombudsstelle ist durch Ermittlung der Daten gemäß §10 Abs1 Z1 bis 8 festzustellen, wobei die Ermittlung dieser Daten durch

1. geeignete Identifikationskarten des e‑card-Systems (§§31a ff ASVG) oder

2. Verwenden einer Bürgerkarte (§2 Z10 E-GovG) oder

3. Verwenden elektronischer Signaturen, die auf qualifizierte Zertifikate rückführbar sein müssen,

zu erfolgen hat.

(3) Die Überprüfung der gemäß Abs2 festgestellten Identität hat in elektronischer Form durch Abgleich der gemäß Abs2 ermittelten Daten mit den im Gesundheitsdiensteanbieterindex gespeicherten Daten zu erfolgen.

Speicherung von ELGA-Gesundheitsdaten

§20. (1) Sofern sich aus den §§15 Abs2 und 16 Abs2 Z2 nichts anderes ergibt, haben ELGA-Gesundheitsdienstanbieter ELGA-Gesundheitsdaten in gemäß §28 Abs2 Z5 geeigneten Datenspeichern, die sich im Gebiet der Europäischen Union befinden müssen, zu speichern (§13 Abs3). Bereits gespeicherte ELGA-Gesundheitsdaten dürfen nicht geändert werden. Treten Umstände hervor, die eine maßgebliche Änderung des Behandlungsverlaufs bedingen können, ist zusätzlich eine aktualisierte Version zu speichern. Auftraggeber für die Speicherung ist der jeweilige ELGA-Gesundheitsdiensteanbieter.

(2) Sofern sich aus den §§15 Abs2 und 16 Abs2 Z2 nichts Anderes ergibt, haben ELGA-Gesundheitsdienstanbieter in Verweisregistern, die sich im Gebiet der Europäischen Union befinden müssen, zu speichern (§13 Abs3). Dies gilt nicht in Fällen in denen ELGA-Teilnehmer/innen der Aufnahme von Verweisen widersprochen haben. Auftraggeber für die Speicherung ist der jeweilige ELGA-Gesundheitsdiensteanbieter.

(3) ELGA-Gesundheitsdaten sowie elektronische Verweise darauf sind dezentral für zehn Jahre, ungeachtet anderer gesetzlicher Dokumentationsverpflichtungen, zu speichern. Danach sind die elektronischen Verweise und ELGA-Gesundheitsdaten von den Betreibern der gemäß §28 Abs2 Z5 geeigneten Datenspeicher und Verweisregister für ELGA zu löschen; falls das Löschen aufgrund anderer gesetzlicher Dokumentationsverpflichtungen oder gemäß §22 Abs5 Z1 ausgeschlossen ist, sind die Verweise für ELGA unzugänglich zu machen.

(4) Abweichend von den Abs2 und 3 sind Medikationsdaten gemäß §2 Z9 litb

1. ohne Aufnahme elektronischer Verweise zentral in ELGA zu speichern sowie

2. ein Jahr ab Abgabe von dem für den technischen Betrieb Verantwortlichen automatisch zu löschen.

(5) Elektronische Verweise sind automatisch zu erstellen und haben zu enthalten:

1. Daten, die sich auf den/die ELGA-Teilnehmer/in beziehen:

a) das bPK-GH des ELGA-Teilnehmers/der ELGA-Teilnehmerin oder

b) lokale Patient/inn/en-Kennungen,

2. Daten, die sich auf den ELGA-Gesundheitsdiensteanbieter beziehen:

a) die eindeutige Kennung des ELGA-Gesundheitsdiensteanbieters, der für die Aufnahme der ELGA-Gesundheitsdaten verantwortlich ist,

b) die natürliche Person, die die ELGA-Gesundheitsdaten in ELGA gespeichert hat,

3. Daten, die sich auf die ELGA-Gesundheitsdaten beziehen:

a) den Speicherort der ELGA-Gesundheitsdaten,

b) die eindeutige Kennung der ELGA-Gesundheitsdaten,

c) Datum und Zeitpunkt der Erstellung der ELGA-Gesundheitsdaten,

d) den Hinweis auf allenfalls frühere Versionen dieser ELGA-Gesundheitsdaten,

e) sofern vorhanden, einen strukturierten Hinweis auf die medizinische Bezeichnung der ELGA-Gesundheitsdaten sowie

f) Datum und Zeitpunkt, an dem der elektronische Verweis auf ELGA‑Gesundheitsdaten in ein Verweisregister aufgenommen wurde.

Berechtigungssystem

§21. (1) Das Berechtigungssystem ist von den ELGA-Systempartnern einzurichten und zu betreiben. Es dient der Verwaltung der Zugriffsberechtigungen und der Steuerung der Zugriffe auf ELGA-Gesundheitsdaten. Ohne Zugriffsberechtigung dürfen weder ELGA-Gesundheitsdaten noch Verweise angezeigt werden.

(2) Aufgrund der generellen Zugriffsberechtigungen, die festlegen, welche standardmäßigen Zugriffe zulässig sind, dürfen:

1. Angehörige des ärztlichen Berufes (§2 Z10 lita) auf alle ELGA‑Gesundheitsdaten (§2 Z9),

2. Angehörige des zahnärztlichen Berufes (§2 Z10 litb) auf ELGA‑Gesundheitsdaten gemäß §2 Z9 lita und b,

3. Apotheken (§2 Z10 litc) auf Medikationsdaten gemäß §2 Z9 litb,

4. Krankenanstalten (§2 Z10 litd) auf alle ELGA-Gesundheitsdaten (§2 Z9),

5. Einrichtungen der Pflege (§2 Z10 lite) auf alle ELGA-Gesundheitsdaten (§2 Z9),

6. Vertreter/innen gemäß §14 Abs2 Z2 litb auf alle ELGA-Gesundheitsdaten (§2 Z9) sowie

7. Mitarbeiter/innen der ELGA-Ombudsstelle auf alle ELGA-Gesundheitsdaten (§2 Z9)

zugreifen.

(3) ELGA-Teilnehmer/innen dürfen mittels individueller Zugriffsberechtigungen:

1. im Rahmen der generellen Zugriffsberechtigungen elektronische Verweise und ELGA-Gesundheitsdaten einschließlich Medikationsdaten für ELGA-Gesundheitsdiensteanbieter ein- oder ausblenden sowie löschen, falls das Löschen aufgrund anderer gesetzlicher Dokumentationsverpflichtungen oder gemäß §22 Abs5 Z1 ausgeschlossen ist, sind die Verweise für ELGA unzugänglich zu machen, oder

2. Zeiträume für bestehende Zugriffsberechtigungen gemäß §18 Abs6 verkürzen oder

3. einen ELGA-Gesundheitsdiensteanbieter des besonderen Vertrauens mit dessen Zustimmung gemäß §18 Abs7 festlegen.

Protokollierungssystem

§22. (1) Das Protokollierungssystem ist von den ELGA-Systempartnern einzurichten und zu betreiben. Das Protokollierungssystem dient der Dokumentation und Nachvollziehbarkeit der Verwendung von ELGA-Gesundheitsdaten.

(2) Jede Verwendung von ELGA-Gesundheitsdaten im Rahmen von ELGA ist gemäß §14 DSG 2000 zu protokollieren mit:

1. Datum und Zeit der Verwendung,

2. der eindeutigen Protokoll-Transaktionsnummer,

3. Art des Verwendungsvorgangs,

4. der eindeutigen elektronischen Identität des ELGA‑Gesundheitsdiensteanbieters oder der ELGA-Ombudsstelle, der/die den Vorgang ausgelöst hat/haben,

5. dem Namen der natürlichen Person, die die ELGA-Gesundheitsdaten tatsächlich verwendet hat,

6. der eindeutigen Kennung der verwendeten ELGA-Gesundheitsdaten,

7. den Abfragekriterien sowie

8. den Fehlermeldungen bei sonstigen Abfragen, wenn sie zu Fehlermeldungen führen.

(3) Die Protokolldaten gemäß Abs2 sind drei Jahre nach Zugriff aufzubewahren und lesbar sowie verfügbar zu halten.

(4) ELGA-Teilnehmer/innen haben gemäß §16 Abs1 Z1 das Recht, Auskunft über die sich auf sie beziehenden Protokolldaten zu erhalten und diese zu verwenden. Die Darstellung dieser Protokollierungsdaten hat einfach und übersichtlich zu sein.

(5) Die Protokollierungsdaten gemäß Abs2 dürfen nicht personenbezogen verwendet werden, außer:

1. zur gerichtlichen oder außergerichtlichen Durchsetzung sowie Abwehr geltend gemachter rechtlicher Ansprüche oder

2. zur Sicherstellung einer Verwendung gemäß der Rollen (§5) oder

3. zur Information über die Aktualisierung von ELGA-Gesundheitsdaten oder

4. im Falle technischer Notwendigkeit oder

5. indirekt personenbezogen zur Optimierung und Evaluierung von ELGA.

(6) ELGA-Gesundheitsdiensteanbieter gemäß §2 Z10 lita und c haben das Recht, Auskunft über die Protokolldaten zu erhalten und zu verwenden, die sich auf die von ihnen getätigten Verwendungsvorgänge beziehen.

(7) Die ELGA-Systempartner haben ELGA so zu gestalten, dass Änderungen von ELGA-Gesundheitsdaten, die eine maßgebliche Änderung des Behandlungs- oder Betreuungsverlaufs bedingen können (§20 Abs1 dritter Satz), jenen ELGA-Gesundheitsdiensteanbietern, die auf die ELGA-Gesundheitsdaten in der nicht aktualisierten Fassung zugegriffen haben, in Übereinstimmung mit §21 Abs3 in ELGA zur Verfügung stehen.

Zugangsportal

§23. (1) Der Bundesminister für Gesundheit hat zur Bereitstellung qualitätsgesicherter gesundheitsbezogener Informationen für die Bevölkerung ein öffentlich zugängliches Gesundheitsportal zu betreiben.

(2) Dieses Gesundheitsportal ist das Zugangsportal von ELGA, das

1. die Überprüfung der eindeutigen Identität der ELGA-Teilnehmer/innen gemäß §18 Abs4 Z2 gewährleisten und

2. Funktionen zur Wahrung der Teilnehmer/innen/rechte gemäß §§15 und 16 anbieten

muss.

(3) ELGA-Gesundheitsdiensteanbieter dürfen über das Zugangsportal auf Gesundheitsdaten von ELGA-Teilnehmer/inne/n nur unter Einhaltung der Bestimmungen dieses Bundesgesetzes zugreifen.

(4) Das Gesundheitsportal kann den Zugang zu anderen gesundheitsbezogenen elektronischen Diensten anbieten.

Nutzungsrechte an ELGA

§24. (1) Zur Wahrung des finanziellen Gleichgewichts des Systems der sozialen Sicherheit ist die Nutzung der ELGA-Komponenten

1. Patientenindex (§18),

2. Gesundheitsdiensteanbieterindex (§19),

3. Verweisregister (§20),

4. Datenspeicher (§20),

5. Berechtigungssystem (§21),

6. Protokollierungssystem (§22) sowie

7. Zugangsportal (§23)

zur Ermittlung der durch ELGA verfügbar gemachten ELGA-Gesundheitsdaten gemäß §14 Abs2 unentgeltlich.

(2) Betreiber von Datenspeichern und Verweisregistern dürfen ungeachtet ihrer Rechtsform nicht als Dienstleister für ELGA ausgeschlossen werden, sobald sie die Voraussetzungen des §28 Abs2 erfüllen.

5. Abschnitt

Schlussbestimmungen

Verwaltungsstrafbestimmungen

§25. (1) Wer

1. es entgegen §3 Abs3 unterlässt, technisch zu gewährleisten, dass es keine Verwendung von Gesundheitsdaten außerhalb der zulässigen Rollen gibt oder

2. entgegen §4 die Identifikation von Personen, deren Gesundheitsdaten weitergegeben werden sollen, oder von Gesundheitsdiensteanbietern unterlässt oder

3. entgegen §5 Abs1 Nachweis oder Prüfung der Rolle von Gesundheitsdiensteanbietern unterlässt oder

4. entgegen §6 unterlässt, durch Datensicherheitsmaßnahmen die Vertraulichkeit von Gesundheitsdaten zu gewährleisten, oder

5. entgegen §7 Nachweis oder Prüfung der Integrität elektronischer Gesundheitsdaten unterlässt oder

6. entgegen §16 Abs3 Personen im Zugang zur medizinischen Versorgung oder hinsichtlich der Kostentragung schlechter stellt oder

7. die erleichterten Bedingungen gemäß §27 Abs10 oder 12 in Anspruch nimmt, ohne die Voraussetzungen dafür zu erfüllen, oder

8. als ELGA-Gesundheitsdiensteanbieter ELGA-Gesundheitsdaten vorsätzlich verwendet, ohne dazu berechtigt zu sein,

begeht, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, eine Verwaltungsübertretung und ist mit Geldstrafe bis zu 10 000 Euro zu bestrafen.

(2) Ebenso ist, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, zu bestrafen, wer

1. als Mitarbeiter/in der ELGA-Ombudsstelle ELGA-Gesundheitsdaten vorsätzlich verwendet, ohne dazu berechtigt zu sein, oder

2. als Bedienstete/r des Bundesministeriums für Gesundheit ELGA-Gesundheitsdaten verwendet, ohne dazu berechtigt zu sein.

(3) In den Fällen des Abs1 Z8 und des Abs2 ist auch der Versuch strafbar.

Inkrafttreten

§26. (1) Dieses Bundesgesetz tritt mit 1. Jänner 2013 in Kraft.

(2) Das Gesundheitstelematikgesetz, BGBl I Nr 179/2004, zuletzt geändert durch das Bundesgesetz BGBl I Nr 36/2010, tritt mit Ablauf des 31. Dezember 2012 außer Kraft.

Übergangsbestimmungen

§27. (1) Der Bundesminister für Gesundheit hat das Zugangsportal (§23), die Widerspruchstellen (§28 Abs2 Z7) sowie die ELGA-Ombudsstelle (§17) nach Maßgabe der technischen Verfügbarkeit bis 31. Dezember 2013 so zu errichten und zur Verfügung zu stellen, dass die Wahrnehmung der Teilnehmer/innen/rechte gewährleistet ist und zeitgerecht erfolgen kann. Ab diesem Zeitpunkt kann ELGA verwendet werden.

(2) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, gilt §13 Abs3 ab 1. Jänner 2015 für

1. Krankenanstalten gemäß §3 Abs2b KAKuG, die über Landesgesundheitsfonds abgerechnet werden,

2. die Allgemeine Unfallversicherungsanstalt, soweit sie gemäß §24 Abs2 ASVG Krankenanstalten betreibt, sowie

3. Einrichtungen der Pflege gemäß §2 Z10 lite,

soweit die Nutzung der ELGA-Komponenten (§24) zur Verwendung von ELGA‑Gesundheitsdaten technisch möglich ist.

(3) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, gilt ab 1. Juli 2016 §13 Abs3 für

1. Apotheken gemäß §1 des Apothekengesetzes,

2. freiberuflich tätige Ärzte und Ärztinnen,

3. Gruppenpraxen sowie

4. selbstständige Ambulatorien gemäß §3a KAKuG,

soweit die Nutzung der ELGA-Komponenten (§24) zur Verwendung von ELGA‑Gesundheitsdaten technisch möglich ist. Dies gilt jedoch nicht für freiberuflich tätige Ärzte und Ärztinnen, Gruppenpraxen sowie selbstständige Ambulatorien (§3a KAKuG) hinsichtlich der Verpflichtung gemäß §13 Abs3 Z4 und 6, wenn diese ELGA-Gesundheitsdiensteanbieter in keinem Vertragsverhältnis zu einem Träger der gesetzlichen Sozialversicherung stehen.

(4) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, gilt ab 1. Jänner 2017 §13 Abs3 für private Krankenanstalten gemäß §1 Abs2 des Privatkrankenanstalten-Finanzierungsfondsgesetzes (PRIKRAF-G), BGBl I Nr 165/2004, soweit die Nutzung der ELGA-Komponenten (§24) zur Verwendung von ELGA-Gesundheitsdaten technisch möglich ist.

(5) Ab 1. Jänner 2017 haben nach Maßgabe der technischen Verfügbarkeit

1. Patientenverfügungen,

2. Vorsorgevollmachten sowie

3. die medizinischen Register (§2 Z9 lite)

in ELGA zur Verfügung zu stehen.

(6) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, gilt ab 1. Jänner 2022 §13 Abs3 für

1. freiberuflich tätige Zahnärzte und Zahnärztinnen,

2. zahnärztliche Gruppenpraxen sowie

3. selbstständige Zahnambulatorien.

(7) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, hat spätestens mit 1. Jänner 2015 als Standard gemäß §28 Abs2 Z1 lita bis c eine Suche in den Dokumentenmetadaten über das Dokumentenregister jedenfalls möglich zu sein.

(8) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, ist spätestens mit 1. Jänner 2015 als Standard gemäß §28 Abs2 Z1 lita bis c entweder eine inhaltlich einheitliche Struktur und Gliederung, sodass Inhalte in medizinische Informationssysteme übernommen werden können, oder zumindest eine Vereinheitlichung der Gliederung der Inhalte, sicherzustellen.

(9) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, hat spätestens mit 1. Jänner 2018 als Standard gemäß §28 Abs2 Z1 lita bis c eine Codierung der Informationen in ELGA nach einheitlichen Vorgaben zu erfolgen, die von den ELGA-Systempartnern unter Mitwirkung gesetzlicher Interessenvertretungen, sofern diese in den von ihnen wahrzunehmenden Aufgaben betroffen sind, erarbeitet werden.

(10) Sind Nachweis oder Prüfung von Identität, Rollen oder Integrität nach den Bestimmungen des 2. Abschnitts (gerichtete und ungerichtete Kommunikation) insbesondere mangels vorhandener technischer Infrastruktur nicht zumutbar, dürfen Gesundheitsdaten nur weitergegeben werden, wenn zumindest die Identitäten und maßgeblichen Rollen der an der Weitergabe beteiligten Gesundheitsdiensteanbieter gegenseitig durch

1. persönlichen Kontakt oder

2. telefonischen Kontakt oder

3. Vertragsbestimmungen oder

4. Abfrage elektronischer Verzeichnisse

a) der Österreichischen Ärztekammer oder

b) der Österreichischen Zahnärztekammer oder

c) des Österreichischen Hebammengremiums oder

d) der Österreichischen Apothekerkammer oder

e) des Hauptverbands oder

f) des Bundesministeriums für Gesundheit

bestätigt sind.

(11) In den Fällen des Abs10 Z1 und 2 sind vor der erstmaligen Weitergabe der Gesundheitsdaten zwischen den beteiligten Gesundheitsdiensteanbietern

1. Datum und Art der Kontaktaufnahme,

2. die vollständigen Namen und maßgeblichen Rollen der an der Weitergabe beteiligten Gesundheitsdiensteanbieter,

3. die Angaben zur Erreichbarkeit der Gesundheitsdiensteanbieter sowie

4. die Angaben über die an der Kontaktaufnahme beteiligten natürlichen Personen

zu dokumentieren. Die Angaben zur Erreichbarkeit sind laufend aktuell zu halten.

(12) Die Weitergabe von Gesundheitsdaten darf unter den Voraussetzungen des Abs10 Z1 bis 3 ausnahmsweise auch per Fax erfolgen, wenn

1. die Faxanschlüsse (einschließlich Ausdruckmöglichkeiten zu Faxanschlüssen, die in EDV-Anlagen installiert sind) vor unbefugtem Zugang und Gebrauch geschützt sind,

2. die Rufnummern, insbesondere die verspeicherten Rufnummern, regelmäßig, insbesondere nach Veränderungen der technischen Einrichtung sowie nach der Neuinstallation von Faxgeräten nachweislich auf ihre Aktualität geprüft werden,

3. automatische Weiterleitungen, außer an die jeweiligen Gesundheitsdiensteanbieter selbst, deaktiviert sind,

4. die vom Gerät unterstützten Sicherheitsmechanismen genützt werden und

5. allenfalls verfügbare Fernwartungsfunktionen nur für die vereinbarte Dauer der Fernwartung aktiviert sind.

(13) Die erleichterten Bedingungen nach Abs10 und 12 können nicht in Anspruch genommen werden, wenn die Verwendung von Gesundheitsdaten entsprechend den Bestimmungen des 2. Abschnitts mit Bedachtnahme auf den Stand der technischen Möglichkeiten und auf die wirtschaftliche Vertretbarkeit (§14 Abs1 DSG 2000) zumutbar ist.

(14) Bei der Weitergabe von Gesundheitsdaten gelten die erleichterten Bedingungen nach Abs10 oder 12 für alle beteiligten Gesundheitsdiensteanbieter, wenn für zumindest einen der beteiligten Gesundheitsdiensteanbieter die jeweils erleichterten Bedingungen nach Abs10 oder 12 gelten.

(15) Bis zum 30. Juni 2016 ist §6 nicht auf die Weitergabe von Gesundheitsdaten per Funk zum Zwecke der Einsatzorganisation bei Rettungsdiensten anzuwenden.

Verordnungsermächtigungen und Weisungsrechte

§28. (1) Der Bundesminister für Gesundheit hat auf Grundlage dieses Gesetzes mit Verordnung festzulegen:

1. die Rollen von Gesundheitsdiensteanbietern, wobei die Anforderungen für die Festlegung zusätzlicher Rollen dem Bundesminister für Gesundheit von der jeweiligen Registrierungsstelle unter Anschluss

a) einer Beschreibung von Art und Umfang der ausgeübten Tätigkeiten,

b) der Voraussetzungen, die für die Ausübung dieser Tätigkeiten zu erfüllen sind,

c) der Bezeichnung jener Rechtsgrundlage, aus der sich die Berechtigung zur Berufsausübung ergibt, sowie

d) der Stelle, die darüber entscheidet,

zu übermitteln sind,

2. nach Anhörung einer Bestätigungsstelle gemäß §19 SigG, welche kryptographischen Algorithmen nach dem jeweiligen Stand der Netzwerksicherheit zur Verschlüsselung gemäß §6 geeignet sind sowie

3. die näheren Modalitäten der Eintragung gemäß §9, insbesondere die technischen Anforderungen, die Datenformate, die Periodizität der Aktualisierung der Daten und die einzuhaltenden Sicherheitsanforderungen.

(2) Der Bundesminister für Gesundheit hat auf Grundlage dieses Gesetzes mit Verordnung weiters für den 4. Abschnitt (ELGA) Folgendes festzulegen:

1. die Struktur, das Format sowie die Standards gemäß §27 Abs7, 8 und 9, die für

a) Entlassungsbriefe gemäß §2 Z9 lita sublitaa,

b) Laborbefunde gemäß §2 Z9 lita sublitbb,

c) Befunde der bildgebenden Diagnostik einschließlich allfälliger Bilddaten gemäß §2 Z9 lita sublitcc sowie

d) Medikationsdaten gemäß §2 Z9 litb

in ELGA zu verwenden sind, wobei international anerkannte Standards, die wirtschaftliche Vertretbarkeit sowie der Stand der technischen Möglichkeiten hinsichtlich des Detaillierungsgrades der Strukturen bei den betroffenen ELGA-Gesundheitsdiensteanbietern zu berücksichtigen sind,

2. welche wechselwirkungsrelevanten, nicht verschreibungspflichtigen Arzneimittel gemäß §2 Z9 litb zu erfassen sind,

3. die Struktur und das Format, die für

a) folgende Befundarten (§2 Z9 lita sublitdd):

aa) Pathologiebefunde durch Fachärzte/Fachärztinnen für Pathologie und Krankenanstalten im Rahmen ambulanter Behandlungen,

bb) sonstige fachärztliche Befunde im Rahmen ambulanter Behandlungen (Spitalsambulanz, selbstständige Ambulatorien, niedergelassener Facharztbereich) und

cc) ambulante Pflegeberichte sowie

b) automationsunterstützt erstellte Angaben gemäß Art14 Abs2 litb subliti der Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung (§2 Z9 litf)

in ELGA zu verwenden sind, wobei nach Abschluss eines einheitlichen Standardisierungsverfahrens unter Mitwirkung der ELGA-Systempartner sowie gesetzlicher Interessenvertretungen, sofern diese in den von ihnen wahrzunehmenden Aufgaben betroffen sind, Struktur und Format nach den Kriterien der Z1 festzulegen sind,

4. den jeweiligen Zeitpunkt, ab dem die in Z1 lita bis d sowie die in Z3 lita und b genannten Daten in ELGA gemäß §13 Abs2 und 3 in Verbindung mit Abs1 Z1 zu speichern bzw. zu ermitteln sind,

5. Standards für die Suchfunktion gemäß §13 Abs5, die zeitliche Verfügbarkeit, die Sicherheitsanforderungen und den Zugriffsschutz der für ELGA verwendeten Komponenten, wobei sichergestellt sein muss, dass Wartungsarbeiten protokolliert werden und dabei entweder nur verschlüsselte Daten eingesehen werden können oder ein Vier-Augen-Prinzip sichergestellt ist,

6. Umfang und Detaillierungsgrad der Information sowie Mindestanforderungen für den Inhalt des Aushanges gemäß §16 Abs4,

7. jene Stellen, gegenüber denen der Widerspruch gemäß §15 Abs2 zu erfolgen hat so rechtzeitig, dass der Teilnahme jedenfalls schon vor Inbetriebnahme von ELGA widersprochen werden kann und bei denen ELGA-Teilnehmer/innen Unterstützung bei der Wahrnehmung ihrer Teilnehmer/innen/rechte erhalten,

8. die Einrichtung einer ELGA-Ombudsstelle gemäß §17,

9. die Einrichtung von Terminals mit Portalfunktionalität (§23) sowie von Service-Centern durch die ELGA-Systempartner,

10. den Zeitpunkt, ab dem eine einheitliche Nomenklatur für ELGA‑Gesundheitsdaten (§2 Z9) verwendet werden muss,

11. den Betreiber des Berechtigungssystems gemäß §21 bzw. den Betreiber des Protokollierungssystems gemäß §22 sowie

12. den Beginn und das Ende von Testphasen für ELGA in Verbindung mit Z1, 3 und 4 samt einer allfälligen, unabhängigen Evaluierung.

(3) Vor Erlassung einer Verordnung gemäß Abs2 hat jedenfalls eine Anhörung der Rechtsträger von Krankenanstalten gemäß §3 Abs2b KAKuG, die über Landesgesundheitsfonds abgerechnet werden, der Allgemeinen Unfallversicherungsanstalt, soweit sie gemäß §24 Abs2 ASVG Krankenanstalten betreibt, der Österreichischen Ärztekammer, der Österreichischen Apothekerkammer, der Österreichischen Zahnärztekammer, der Wirtschaftskammer Österreich, des Hauptverbandes, der Arbeitsgemeinschaft der Patientenanwälte sowie der Länder zu erfolgen.

(4) Der Bundesminister für Gesundheit hat nach Anhörung der jeweiligen betroffenen gesetzlichen Interessenvertretungen, unter Berücksichtigung des §27 Abs13, mit Verordnung für bestimmte Gesundheitsdiensteanbieter jeweils den Zeitpunkt festzulegen, ab dem die Weitergabe von Gesundheitsdaten unter den erleichterten Bedingungen des §27 Abs10 und 12 jedenfalls nicht mehr zulässig ist.

(5) Bei der Vollziehung der §§16a und 18 ist der Hauptverband an die Weisungen des Bundesministers für Gesundheit gebunden.

Erlassung und Inkrafttreten von Verordnungen

§29. Verordnungen aufgrund dieses Bundesgesetzes dürfen bereits von dem Tag an erlassen werden, der der Kundmachung der durchzuführenden Gesetzesbestimmungen folgt; sie dürfen jedoch nicht vor den durchzuführenden Gesetzesbestimmungen in Kraft treten.

Verweisungen

§30. Verweist dieses Bundesgesetz auf andere Bundesgesetze, so sind diese – soweit nicht ausdrücklich anderes angeordnet wird – in ihrer jeweils geltenden Fassung anzuwenden.

Vollziehung

§31. Mit der Vollziehung dieses Bundesgesetzes ist der Bundesminister für Gesundheit betraut."

Zulässigkeit

Der Antrag ist unzulässig.

Gemäß Art140 Abs1 Z1 litc B‐VG erkennt der Verfassungsgerichtshof über die Verfassungswidrigkeit von Gesetzen auf Antrag einer Person, die unmittelbar durch diese Verfassungswidrigkeit in ihren Rechten verletzt zu sein behauptet, wenn das Gesetz ohne Fällung einer gerichtlichen Entscheidung oder ohne Erlassung eines Bescheides für diese Person wirksam geworden ist.

Voraussetzung der Antragslegitimation gemäß Art140 Abs1 Z1 litc B‑VG ist einerseits, dass der Antragsteller behauptet, unmittelbar durch das angefochtene Gesetz – im Hinblick auf dessen Verfassungswidrigkeit – in seinen Rechten verletzt worden zu sein, dann aber auch, dass das Gesetz für den Antragsteller tatsächlich, und zwar ohne Fällung einer gerichtlichen Entscheidung oder ohne Erlassung eines Bescheides wirksam geworden ist. Grundlegende Voraussetzung der Antragslegitimation ist, dass das Gesetz in die Rechtssphäre des Antragstellers nachteilig eingreift und diese – im Falle seiner Verfassungswidrigkeit – verletzt.

Gemäß §62 Abs1 erster Satz VfGG muss ein Gesetzesprüfungsantrag das Begehren enthalten, das – nach Auffassung des Antragstellers verfassungswidrige – Gesetz seinem gesamten Inhalt oder in bestimmten Stellen aufzuheben. Um das strenge Formerfordernis des ersten Satzes des §62 Abs1 VfGG zu erfüllen, muss – wie der Verfassungsgerichtshof in vielen Beschlüssen (zB VfSlg 11.888/1988, 12.062/1989, 12.263/1990, 14.040/1995, 14.634/1996) entschieden hat – die bekämpfte Gesetzesstelle genau und eindeutig bezeichnet werden. Es darf nicht offen bleiben, welche Gesetzesvorschrift oder welcher Teil einer Vorschrift nach Auffassung des Antragstellers tatsächlich aufgehoben werden soll.

Zur Darlegung von Bedenken gegen bestimmte Stellen des Gesetzes iSd §62 Abs1 VfGG reicht es nicht aus, pauschal "auf die … dargestellten verfassungsrechtlichen Bedenken" hinzuweisen (vgl. VfGH 2.3.2015, G140/2014, G159/2014). Wenn – wie im vorliegenden Fall – mehrere Bedenken vorgetragen werden und verschiedene Gesetzesstellen bzw. Verordnungen bekämpft werden, ist es auch Sache des Antragstellers, die jeweiligen Bedenken den verschiedenen Aufhebungsbegehren zuzuordnen (vgl. VfGH 5.3.2014, G79/2013 ua.). Obwohl der Antragsteller im Abschnitt E des Antrags einleitend vorbringt, sich hier mit den aufgezeigten Verfassungswidrigkeiten zu beschäftigen, entspricht die Darlegung von Bedenken im Einzelnen nicht den Erfordernissen des §62 Abs1 VfGG. Der Antrag wird einerseits a in der Eigenschaft des Arztes, andererseits in der Eigenschaft des Patienten gestellt. In diesem Fall trifft den Antragsteller die Pflicht, die Bedenken im Einzelnen deutlich darzulegen, da es nicht die Aufgabe des Verfassungsgerichtshofes ist, im Hinblick auf die beiden Eigenschaften des Antragstellers Bedenken zuzuordnen, um festzustellen, in welcher Eigenschaft bezogen auf welche Bestimmung welche verfassungsrechtlichen Bedenken geltend gemacht werden. Dem Antrag muss mit hinreichender Deutlichkeit entnehmbar sein, zu welcher Rechtsvorschrift die zur Aufhebung beantragte Norm in Widerspruch stehen soll und welche Gründe für diese These sprechen (VfSlg 14.802/1997, 17.752/2006; VfGH 10.12.2014, G57/2013). Ein komplexer Antrag wie der vorliegende müsste sohin eine genaue Zuordnung enthalten, in welcher Eigenschaft, also als Patient oder als Arzt, die jeweilige Bestimmung angefochten wird.

Da es der Antragsteller unterlassen hat, die notwendige Zuordnung der Bedenken unter Darlegung seiner Eigenschaft als antragstellender Arzt oder Patient vorzunehmen, erweist sich der Antrag – schon aus diesem Grund – insgesamt als unzulässig.

Ergebnis

Der Antrag ist daher zurückzuweisen.

Diese Entscheidung konnte gemäß §19 Abs4 VfGG ohne mündliche Verhandlung in nichtöffentlicher Sitzung getroffen werden.