TE Vfgh Beschluss 2019/6/14 G385/2018

Der Antrag wird zurückgewiesen.

Begründung

I.       Antrag

Mit dem auf Art140 Abs1 Z1 litc B-VG gestützten Antrag begehrt der Antragsteller, der Verfassungsgerichtshof möge,

"die angefochtenen Bestimmungen des Bundesgesetzes betreffend Datensicherheitsmaßnahmen bei der Verwendung elektronischer Gesundheitsdaten (Gesundheitstelematikgesetz 2012 – GTelG 2012) jeweils in der geltenden Fassung als verfassungswidrig aufheben, nämlich:

 §13 Abs2

 §13 Abs3

 §13 Abs7

 §20 Abs1, Abs2, Abs3 1. Satz, Abs4 und Abs5

 §21 Abs2

 §27 Abs3, 1. Satz."

II.      Rechtslage

§2, §13, §14, §15, §16, §20, §21 und §27 des Bundesgesetzes betreffend Datensicherheitsmaßnahmen bei der Verarbeitung elektronischer Gesundheitsdaten und genetischer Daten (Gesundheitstelematikgesetz 2012 – GTelG 2012), BGBl I 111/2012, idF BGBl I 37/2018 lauten (die angefochtenen Bestimmungen des §13 idF BGBl I 37/2018, des §20 idF BGBl I 37/2018, des §21 in der Stammfassung und des §27 idF BGBl I 37/2018 sind hervorgehoben):

"Begriffsbestimmungen

§2. Im Sinne dieses Bundesgesetzes bedeuten

1. 'Gesundheitsdaten': Gesundheitsdaten gemäß Art4 Z15 DSGVO.

1a. 'Genetische Daten': Genetische Daten gemäß Art4 Z13 DSGVO.

2. 'Gesundheitsdiensteanbieter' ('GDA'): Verantwortlicher oder Auftragsverarbeiter (Art4 Z7 und 8 DSGVO), die regelmäßig in einer Rolle nach der gemäß §28 Abs1 Z1 erlassenen Verordnung Gesundheitsdaten oder genetische Daten in elektronischer Form zu folgenden Zwecken verarbeiten:

a) medizinische Behandlung oder Versorgung oder

b) pflegerische Betreuung oder

c) Verrechnung von Gesundheitsdienstleistungen oder

d) Versicherung von Gesundheitsrisiken oder

e) Wahrnehmung von Patient/inn/en/rechten.

3. 'IT-Sicherheitskonzept': Summe aller Datensicherheitsmaßnahmen eines Gesundheitsdiensteanbieters, die zum Schutz von personenbezogenen Daten, insbesondere von besonderen Kategorien personenbezogener Daten, notwendig und angemessen im Sinne des Art32 DSGVO sind.

4. 'Registrierungsstellen': jene Stellen, die die Verzeichnisse gemäß §9 Abs3 Z1 führen oder in §9 Abs3 Z2 und 3 angeführt sind.

5. 'Rolle': Klassifizierung von Gesundheitsdiensteanbietern nach der Art ihres Aufgabengebietes, ihrer Erwerbstätigkeit, ihres Betriebszweckes oder ihres Dienstleistungsangebotes.

6. 'Elektronische Gesundheitsakte' ('ELGA'): ein Informationssystem, das allen berechtigten ELGA-Gesundheitsdiensteanbietern (Z10) und ELGA-Teilnehmer/inne/n ELGA-Gesundheitsdaten (Z9) in elektronischer Form orts- und zeitunabhängig (ungerichtete Kommunikation) zur Verfügung stellt.

7. 'Datenspeicher' ('Repository'): technische Infrastruktur, die der Speicherung von ELGA-Gesundheitsdaten dient.

8. 'elektronische Verweise auf ELGA-Gesundheitsdaten': elektronische Informationen in ELGA zu Art und Speicherort von ELGA-Gesundheitsdaten.

9. 'ELGA-Gesundheitsdaten': Folgende personenbezogene Daten, die zur weiteren Behandlung, Betreuung oder Sicherung der Versorgungskontinuität von ELGA-Teilnehmer/inne/n wesentlich sein könnten und in ELGA verarbeitet werden dürfen:

a) medizinische Dokumente einschließlich allfälliger Bilddaten in standardisierter Form gemäß §28 Abs2 Z1, die Gesundheitsdaten gemäß Z1 oder genetische Daten gemäß Z1a, mit Ausnahme von Daten, die ausschließlich die Verrechnung von Gesundheitsdienstleistungen oder gesundheitsbezogenen Versicherungsdienstleistungen betreffen, enthalten, wie:

aa) Entlassungsbriefe gemäß §24 Abs2 des Krankenanstalten- und Kuranstaltengesetzes (KAKuG), BGBl Nr 1/1957,

bb) Laborbefunde,

cc) Befunde der bildgebenden Diagnostik sowie

dd) weitere medizinische Befunde in Struktur und Format gemäß §28 Abs2 Z3 lita,

b) Medikationsdaten gemäß Z1 betreffend verschreibungspflichtige sowie nicht verschreibungspflichtige Arzneimittel ('e-Medikation'),

c) Patientenverfügungen (§2 Abs1 des Patientenverfügungs-Gesetzes, BGBl I Nr 55/2006),

d) Vorsorgevollmachten (§284f des Allgemeinen bürgerlichen Gesetzbuches, JGS. Nr 946/1811),

e) Daten aus den Registern gemäß §§73 und 73a des Medizinproduktegesetzes (MPG), BGBl Nr 657/1996, sowie

f) Patientendaten gemäß Art14 Abs2 litb subliti der Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung ('patient summary'),

wobei Geheimnisse gemäß §10 Abs4 KAKuG, Daten dieser Art, wenn sie von anderen Gesundheitsdiensteanbietern verwendet werden, sowie Aufzeichnungen über Ergebnisse gemäß §71a Abs2 des Gentechnikgesetzes (GTG), BGBl Nr 510/1994, keinesfalls ELGA-Gesundheitsdaten sind.

10. 'ELGA-Gesundheitsdiensteanbieter' ('ELGA-GDA') sind die folgenden Gesundheitsdiensteanbieter (Z2):

a) Angehörige des ärztlichen Berufes gemäß §3 des Ärztegesetzes 1998 (ÄrzteG 1998), BGBl I Nr 169/1998, auch bei Ausübung des ärztlichen Berufes in der Form einer Zusammenarbeit als selbstständig berufsbefugte Gruppenpraxis, ausgenommen:

aa) Ärzte und Ärztinnen, die Aufgaben des chef- und kontrollärztlichen Dienstes der Sozialversicherungsträger erfüllen,

bb) Ärzte und Ärztinnen, die die Grundlagen von Versicherungsverhältnissen sowie daraus resultierende Ansprüche zu beurteilen haben,

cc) Arbeitsmediziner/innen (§81 des ArbeitnehmerInnenschutzgesetzes, BGBl Nr 450/1994),

dd) Amtsärzte und Amtsärztinnen (§41 ÄrzteG 1998),

ee) Ärzte und Ärztinnen, die an der Feststellung der Eignung zum Wehrdienst mitwirken, sowie

ff) Schulärzte und Schulärztinnen (§66 des Schulunterrichtsgesetzes, BGBl Nr 472/1986),

b) Angehörige des zahnärztlichen Berufes (§5 des Zahnärztegesetzes [ZÄG], BGBl I Nr 126/2005), auch bei Ausübung des zahnärztlichen Berufes in der Form einer Zusammenarbeit als selbstständig berufsbefugte Gruppenpraxis, ausgenommen:

aa) Dentisten und Dentistinnen (§60 ZÄG),

bb) Amtszahnärzte und Amtszahnärztinnen (§32 ZÄG),

cc) Zahnärzte und Zahnärztinnen, die Aufgaben des chef- und kontrollärztlichen Dienstes der Sozialversicherungsträger erfüllen sowie

dd) Zahnärzte und Zahnärztinnen, die die Grundlagen von Versicherungsverhältnissen sowie daraus resultierende Ansprüche zu beurteilen haben,

c) Apotheken gemäß §1 des Apothekengesetzes, RGBl. Nr 5/1907,

d) Krankenanstalten gemäß §1 KAKuG, ausgenommen selbstständige Ambulatorien (§2 Abs1 Z5 KAKuG) im Aufgabenbereich der Arbeitsmedizin sowie

e) Einrichtungen der Pflege, deren Betrieb einer Melde-, Anzeige- oder Bewilligungspflicht nach bundes- oder landesgesetzlichen Vorschriften sowie der behördlichen Aufsicht oder Kontrolle unterliegt.

11. 'ELGA-Systempartner': der Bund, die Länder sowie der Hauptverband der österreichischen Sozialversicherungsträger (im Folgenden: Hauptverband).

12. 'ELGA-Teilnehmer/innen': natürliche Personen, die die Teilnahmevoraussetzungen des §15 erfüllen und für die daher elektronische Verweise auf sie betreffende ELGA-Gesundheitsdaten (Z9) aufgenommen werden dürfen.

13. 'Verweisregister' ('Registry'): ein Register, das im Rahmen von ELGA der Aufnahme von elektronischen Verweisen auf ELGA-Gesundheitsdaten (Z9) dient.

14. 'ELGA-Ombudsstelle': jene Stelle, die ELGA-Teilnehmer/innen bei der Wahrnehmung und Durchsetzung ihrer Rechte in Angelegenheiten von ELGA und in Angelegenheiten des Datenschutzes berät und unterstützt sowie die ELGA-Systempartner bei der Weiterentwicklung der Teilnehmer/innen/rechte und des Datenschutzes unterstützt.

15. 'Widerspruchstellen': jene Stellen, gegenüber denen ein genereller Widerspruch von ELGA-Teilnehmer/inne/n schriftlich abgegeben werden kann.

[…]

4. Abschnitt

Elektronische Gesundheitsakte (ELGA)

Allgemeine Bestimmungen zur Elektronischen Gesundheitsakte

§13. (1) Die Verwendung der Elektronischen Gesundheitsakte erfüllt ein erhebliches öffentliches Interesse gemäß Art9 Abs2 litg bis j der DSGVO. Dieses erhebliche öffentliche Interesse an der Nutzung von ELGA ergibt sich insbesondere aus:

1. einer verbesserten, schnelleren Verfügbarkeit medizinischer Informationen, die zu einer Qualitätssteigerung diagnostischer und therapeutischer Entscheidungen sowie der Behandlung und Betreuung führt,

2. der Steigerung der Prozess- und Ergebnisqualität von Gesundheitsdienstleistungen,

3. dem Ausbau integrierter Versorgung und eines sektorenübergreifenden Nahtstellenmanagements im öffentlichen Gesundheitswesen,

4. der Aufrechterhaltung einer qualitativ hochwertigen, ausgewogenen und allgemein zugänglichen Gesundheitsversorgung,

5. der Stärkung der Patient/inn/en/rechte, insbesondere der Informationsrechte und des Rechtsschutzes bei der Verarbeitung von personenbezogenen Daten sowie

6. einem Beitrag zur Wahrung des finanziellen Gleichgewichts des Systems der sozialen Sicherheit.

(2) ELGA-Gesundheitsdiensteanbieter haben zur Erfüllung der in §14 Abs2 genannten Zwecke das Recht, ELGA-Gesundheitsdaten in ELGA zu speichern und unter Berücksichtigung der jeweiligen Berufspflichten (z. B. §49 Abs1 ÄrzteG 1998; §10 Apothekenbetriebsordnung 2005, BGBl II Nr 65/2005) zu erheben, sofern in diesem Bundesgesetz nichts Anderes, etwa durch die Ausübung von ELGA-Teilnehmer/innen/rechten gemäß §16, festgelegt ist.

(3) Zur Sicherstellung der in Abs1 genannten Ziele sind in ELGA frühestens ab den in §27 Abs2 bis 6 genannten Zeitpunkten und spätestens ab dem Zeitpunkt gemäß §28 Abs2 Z4 zu speichern:

1. Entlassungsbriefe (§2 Z9 lita sublitaa) durch Krankenanstalten (§2 Z10 litd),

2. Laborbefunde (§2 Z9 lita sublitbb) durch Angehörige des ärztlichen Berufes (§2 Z10 lita), sofern diese Fachärzte/Fachärztinnen der Sonderfächer medizinisch-chemische Labordiagnostik oder Hygiene und Mikrobiologie sind, sowie durch Krankenanstalten (§2 Z10 litd) im Rahmen ambulanter Behandlung,

3. Befunde der bildgebenden Diagnostik durch Angehörige des ärztlichen Berufes (§2 Z10 lita), sofern diese Fachärzte/Fachärztinnen des Sonderfaches Radiologie sind, sowie durch Krankenanstalten (§2 Z10 litd) im Rahmen ambulanter Behandlung,

4. Medikationsdaten (§2 Z9 litb), insoweit sich diese auf Handelsname bzw Wirkstoff beziehen, durch Angehörige des ärztlichen Berufes (§2 Z10 lita) bei der Verordnung,

5. Medikationsdaten (§2 Z9 litb), insoweit sich diese auf Handelsname bzw Wirkstoff beziehen, durch Apotheken (§2 Z10 litc) und hausapothekenführende Ärzte/Ärztinnen bei der Abgabe,

6. weitere Befunde (§2 Z9 lita sublitdd) gemäß §28 Abs2 Z3 und 4.

(4) Allfällige Bilddaten (§2 Z9 lita) sind nur dann und nur in jenem Umfang in ELGA zu speichern, als dies der ELGA-Gesundheitsdiensteanbieter für erforderlich erachtet.

(5) Die ELGA-Systempartner haben unter Berücksichtigung der gebotenen Sicherheitsanforderungen ELGA so zur Verfügung zu stellen, dass die Anbindung von ELGA bei den ELGA-Teilnehmer/inne/n und den ELGA-Gesundheitsdiensteanbietern benutzer- und anwenderfreundlich, insbesondere durch einfach zu handhabende, effektive und für medizinische Kriterien optimierte Such- und Filterfunktionen, möglich ist.

(6) Die ELGA-Systempartner und die ELGA-Gesundheitsdiensteanbieter, gegebenenfalls vertreten durch die jeweilige gesetzliche Interessenvertretung, haben nach jeweiliger Zuständigkeit, unter Beachtung der wirtschaftlichen Vertretbarkeit sowie dem Stand der Technik, Parameter, die für die Benutzer- und Anwenderfreundlichkeit von wesentlicher Bedeutung sind, gemeinsam festzulegen. Die dafür relevanten und technischen Fragen und Parameter sind vor der Festlegung mit der Wirtschaftskammer Österreich abzustimmen.

(7) Ist aus Gründen, die nicht vom ELGA-Gesundheitsdiensteanbieter verschuldet sind, im konkreten Einzelfall eine Verwendung von ELGA technisch nicht möglich oder ist durch den mit der Suche verbundenen Zeitaufwand das Leben oder die Gesundheit des ELGA-Teilnehmers/der ELGA-Teilnehmerin ernstlich gefährdet, ist der ELGA-Gesundheitsdiensteanbieter nicht verpflichtet, ELGA-Gesundheitsdaten im Wege von ELGA zu erheben.

Grundsätze der Datenverarbeitung

§14. (1) Die Verarbeitung (Art4 Z2 DSGVO) von ELGA-Gesundheitsdaten ist nur zulässig, wenn

1. die ELGA-Teilnehmer/innen (§15 Abs1) gemäß §18 eindeutig identifiziert wurden,

2. die ELGA-Gesundheitsdiensteanbieter oder die ELGA-Ombudsstelle gemäß §19 eindeutig identifiziert wurden und

3. die ELGA-Gesundheitsdiensteanbieter oder die ELGA-Ombudsstelle gemäß §21 zur Verarbeitung der ELGA-Gesundheitsdaten berechtigt sind.

(2) Die durch ELGA verfügbar gemachten ELGA-Gesundheitsdaten dürfen personenbezogen ausschließlich

1. zu gemäß Art9 Abs2 lith DSGVO, ausgenommen für die Zwecke der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich sowie – unbeschadet der Fälle zulässiger Verarbeitung gemäß §14 Abs3a – ausgenommen für Zwecke der Arbeitsmedizin und die Beurteilung der Arbeitsfähigkeit des Beschäftigten, von

a) den/die ELGA-Teilnehmer/in behandelnden oder betreuenden ELGA-Gesundheitsdiensteanbietern,

b) ELGA-Gesundheitsdiensteanbietern, an die ein/eine ELGA-Teilnehmer/in zur Behandlung oder Betreuung von einem ELGA-Gesundheitsdiensteanbieter gemäß lita zugewiesen wurde sowie

c) Personen, die die in lita und b genannten ELGA-Gesundheitsdiensteanbieter bei der Ausübung ihrer Tätigkeit unterstützen und im konkreten Fall von diesen dazu angewiesen wurden oder

2. zur Wahrnehmung der Teilnehmer/innen/rechte gemäß §16 von

a) ELGA-Teilnehmer/inne/n,

b) deren gesetzlichen oder bevollmächtigten Vertreter/inne/n sowie

c) der ELGA-Ombudsstelle (§2 Z14)

verarbeitet werden.

(2a) Die Wahrnehmung der Teilnehmer/innen/rechte gemäß §16 steht ab Vollendung des 14. Lebensjahres (mündige Minderjährige) ausschließlich dem ELGA-Teilnehmer/der ELGA-Teilnehmerin zu.

(3) Das Verlangen, der Zugriff auf und die Verarbeitung von durch ELGA verfügbar gemachten ELGA-Gesundheitsdaten ist jedenfalls verboten:

1. Personen oder Einrichtungen, die weder ELGA-Gesundheitsdiensteanbieter (§2 Z10) noch ELGA-Ombudsstelle (§2 Z14) sind,

2. ELGA-Gesundheitsdiensteanbietern, die nicht in die Behandlung oder Betreuung eines ELGA-Teilnehmers/einer ELGA-Teilnehmerin eingebunden sind,

3. ELGA-Gesundheitsdiensteanbietern, wenn die Voraussetzungen des Abs1 nicht erfüllt sind,

4. der ELGA-Ombudsstelle, wenn sie nicht in die Beratung oder Unterstützung eines ELGA-Teilnehmers/einer ELGA-Teilnehmerin eingebunden ist,

5. Arbeitgeber/inne/n, Beschäftiger/innen, Personalberater/inne/n,

6. Versicherungsunternehmen,

7. Trägern der gesetzlichen Sozialversicherung sowie der Kranken- und Unfallfürsorgeanstalten, sofern sie nicht in die Behandlung oder Betreuung eines ELGA-Teilnehmers/einer ELGA-Teilnehmerin gemäß Abs2 und 3a eingebunden sind,

8. Verwaltungsbehörden und Gerichten sowie

9. sonstigen natürlichen und juristischen Personen, die nach diesem Bundesgesetz nicht ausdrücklich dazu berechtigt sind, sowie für alle Zwecke, die in diesem Bundesgesetz nicht ausdrücklich als zulässig bestimmt sind.

(3a) ELGA-Gesundheitsdiensteanbieter, die Arbeitgeber oder Beschäftiger und in die Behandlung oder Betreuung von ELGA-Teilnehmer/inne/n eingebunden sind, die ihre Arbeitnehmer/innen sind oder von ihnen beschäftigt werden, dürfen deren ELGA-Gesundheitsdaten nur dann verarbeiten, wenn sie

1. diese ELGA-Teilnehmer/innen zuvor ausdrücklich auf die Teilnehmer/innen/rechte gemäß §16 hingewiesen haben und

2. durch technische Mittel sichergestellt haben, dass innerhalb von ELGA-Gesundheitsdiensteanbietern nur Personen auf ELGA-Gesundheitsdaten zugreifen können, die in den konkreten Behandlungs- oder Betreuungsprozess des jeweiligen ELGA Teilnehmers/der jeweiligen ELGA-Teilnehmerin eingebunden sind.

(4) ELGA-Gesundheitsdiensteanbieter, die ELGA-Ombudsstelle sowie deren Auftragsverarbeiter (Art4 Z8 DSGVO) und Mitarbeiter/innen – das sind Arbeitnehmer/innen (Dienstnehmer/innen) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben ELGA-Gesundheitsdaten, die ihnen aufgrund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten.

(5) Die aufgrund dieses Abschnittes vorzunehmenden Datenverarbeitungen erfüllen die Voraussetzungen des Art35 Abs10 DSGVO für einen Entfall der Datenschutz-Folgenabschätzung, sodass insbesondere weder die ELGA-Systempartner noch die ELGA-Gesundheitsdiensteanbieter eine Datenschutz-Folgenabschätzung durchführen müssen.

Grundsätze der ELGA-Teilnahme

§15. (1) ELGA-Teilnehmer/innen sind alle natürlichen Personen, die

1. im Patientenindex gemäß §18 erfasst sind und somit jedenfalls jene Personen, die in den Datenverarbeitungen des Hauptverbandes gemäß §31 Abs4 Z3 lita ASVG oder dem Ergänzungsregister gemäß §6 Abs4 E-GovG erfasst sind und

2. einer ELGA-Teilnahme nicht widersprochen haben (Abs2).

(2) Der Teilnahme an ELGA kann jederzeit generell widersprochen werden (Opt-out). Dabei ist anzugeben, ob sich dieser Widerspruch auf alle oder einzelne Arten von ELGA-Gesundheitsdaten (§2 Z9) beziehen soll. Dieser generelle Widerspruch kann

1. schriftlich gegenüber gemäß §28 Abs2 Z7 festzulegenden Widerspruchstellen abgegeben werden oder

2. elektronisch über das Zugangsportal (§23) erfolgen,

jedenfalls aber so, dass sowohl die eindeutige Identität der Person, die nicht an ELGA teilnehmen möchte, als auch die Authentizität der Mitteilung geprüft werden können. Der Widerspruch ist zu bestätigen. Der Bundesminister für Gesundheit hat durch Verordnung (§28 Abs2 Z7) Widerspruchstellen einzurichten. Dabei sind insbesondere nähere Regelungen für die Wahrnehmung ihrer Aufgaben und für die Sicherstellung der Teilnehmer/innen/rechte zu treffen.

(3) Alle bis zum Zeitpunkt des Widerspruchs gemäß Abs2 in den ELGA-Verweisregistern vorhandenen und vom Widerspruch erfassten Verweise und ELGA-Gesundheitsdaten einschließlich Medikationsdaten sind zu löschen; falls das Löschen aufgrund anderer gesetzlicher Dokumentationsverpflichtungen oder §22 Abs5 Z1 ausgeschlossen ist, sind die Verweise für ELGA unzugänglich zu machen.

(4) Generelle Widersprüche (Opt-out) gemäß Abs2 können jederzeit widerrufen werden. Solange ein gültiger Widerspruch besteht, dürfen keine für ELGA zugänglichen Verweise auf ELGA-Gesundheitsdaten gemäß §20 Abs2 erster Satz gespeichert werden. Für Zeiten eines gültigen Widerspruchs gemäß Abs2 bzw §16 Abs2 Z2 besteht kein Rechtsanspruch auf eine nachträgliche Aufnahme von Verweisen auf ELGA-Gesundheitsdaten.

Rechte der ELGA-Teilnehmer/innen

§16. (1) ELGA-Teilnehmer/innen haben elektronisch im Wege des Zugangsportals (§23) oder schriftlich gegenüber der ELGA-Ombudsstelle (§17) das Recht

1. Auskunft über die sie betreffenden ELGA-Gesundheitsdaten sowie Protokolldaten gemäß §22 Abs2 zu erhalten sowie

2. individuelle Zugriffsberechtigungen gemäß §21 Abs3 festzulegen, indem sie

a) elektronische Verweise und ELGA-Gesundheitsdaten einschließlich Medikationsdaten für ELGA-Gesundheitsdiensteanbieter ein- oder ausblenden sowie löschen; falls das Löschen aufgrund anderer gesetzlicher Dokumentationsverpflichtungen oder §22 Abs5 Z1 ausgeschlossen ist, sind die Verweise für ELGA unzugänglich zu machen, oder

b) Zeiträume für bestehende Zugriffsberechtigungen gemäß §18 Abs6 verkürzen oder

c) einen ELGA-Gesundheitsdiensteanbieter des besonderen Vertrauens mit dessen Zustimmung gemäß §18 Abs7 festlegen.

(2) ELGA-Teilnehmer/innen haben gegenüber den behandelnden oder betreuenden ELGA-Gesundheitsdiensteanbietern das Recht

1. die Aufnahme von Medikationsdaten (§2 Z9 litb) sowie von Verweisen auf ELGA-Gesundheitsdaten (§2 Z9 lita) gemäß §20 Abs2 erster Satz in Verbindung mit §13 Abs3 und 4 zu verlangen sowie

2. der Aufnahme von elektronischen Verweisen und ELGA-Gesundheitsdaten einschließlich einzelner Medikationsdaten für einen Behandlungs- oder Betreuungsfall zu widersprechen, sofern dies nicht aufgrund anderer gesetzlicher Dokumentationsverpflichtungen ausgeschlossen ist. Über dieses Recht ist der ELGA-Teilnehmer/die ELGA-Teilnehmerin insbesondere bei ELGA-Gesundheitsdaten, die sich auf

a) HIV-Infektionen,

b) psychische Erkrankungen,

c) die in §71a Abs1 GTG genannten genetischen Daten oder

d) Schwangerschaftsabbrüche

beziehen, zu informieren.

(3) Personen, die

1. der Teilnahme an ELGA gemäß §15 Abs2 widersprechen oder

2. die ihnen zustehenden Teilnehmer/innen/rechte ausüben,

dürfen dadurch weder im Zugang zur medizinischen Versorgung noch hinsichtlich der Kostentragung Nachteile erleiden. Sie tragen jedoch die Verantwortung, wenn aus diesem Grund ein ELGA-Gesundheitsdiensteanbieter trotz Einhaltung seiner Sorgfaltspflichten von einem für die Behandlung oder Betreuung wesentlichen Umstand nicht Kenntnis erlangen kann. ELGA-Gesundheitsdiensteanbieter sind gegenüber ELGA-Teilnehmer/inne/n nicht zur Nachfrage über die Ausübung von Teilnehmer/innen/rechten verpflichtet.

(4) Die ELGA-Gesundheitsdiensteanbieter haben über die Bestimmungen der Abs1 bis 3 in Form eines leicht lesbaren, gut sichtbaren und zugänglichen Aushanges in ihren Räumlichkeiten zu informieren. Die gesetzlichen Interessenvertretungen für Angehörige von Gesundheitsberufen, die ihren Beruf als Gesundheitsdiensteanbieter freiberuflich ausüben, haben den Aushang im Rahmen ihres übertragenen Wirkungsbereiches den jeweiligen ELGA-Gesundheitsdiensteanbietern zur Verfügung zu stellen.

(5) Der Bundesminister für Gesundheit hat laufend Informationen über den aktuellen Stand von ELGA zu veröffentlichen und die betroffenen Personen (Art4 Z1 DSGVO) über ihre Rechte zu informieren.

[…]

Speicherung von ELGA-Gesundheitsdaten

§20. (1) Sofern sich aus den §§15 Abs2 und 16 Abs2 Z2 nichts anderes ergibt, haben ELGA-Gesundheitsdienstanbieter ELGA-Gesundheitsdaten in gemäß §28 Abs2 Z5 geeigneten Datenspeichern, die sich im Gebiet der Europäischen Union befinden müssen, zu speichern (§13 Abs3). Bereits gespeicherte ELGA-Gesundheitsdaten dürfen nicht geändert werden. Treten Umstände hervor, die eine maßgebliche Änderung des Behandlungsverlaufs bedingen können, ist zusätzlich eine aktualisierte Version zu speichern. Verantwortlicher (Art4 Z7 DSGVO) für die Speicherung ist der jeweilige ELGA-Gesundheitsdiensteanbieter.

(2) Sofern sich aus den §§15 Abs2 und 16 Abs2 Z2 nichts Anderes ergibt, haben ELGA-Gesundheitsdienstanbieter in Verweisregistern, die sich im Gebiet der Europäischen Union befinden müssen, zu speichern (§13 Abs3). Dies gilt nicht in Fällen in denen ELGA-Teilnehmer/innen der Aufnahme von Verweisen widersprochen haben. Verantwortlicher (Art4 Z7 DSGVO) für die Speicherung ist der jeweilige ELGA-Gesundheitsdiensteanbieter.

(3) ELGA-Gesundheitsdaten sowie elektronische Verweise darauf sind dezentral für zehn Jahre, ungeachtet anderer gesetzlicher Dokumentationsverpflichtungen, zu speichern. Danach sind die elektronischen Verweise und ELGA-Gesundheitsdaten von den Auftragsverarbeitern (Art4 Z8 DSGVO), die die gemäß §28 Abs2 Z5 geeigneten Datenspeicher und Verweisregister für ELGA betreiben, zu löschen; falls das Löschen aufgrund anderer gesetzlicher Dokumentationsverpflichtungen oder gemäß §22 Abs5 Z1 ausgeschlossen ist, sind die Verweise für ELGA unzugänglich zu machen.

(4) Abweichend von den Abs2 und 3 sind Medikationsdaten gemäß §2 Z9 litb

1. ohne Aufnahme elektronischer Verweise zentral in ELGA zu speichern sowie

2. ein Jahr ab Abgabe vom Auftragsverarbeiter (Art4 Z8 DSGVO) automatisch zu löschen.

(5) Elektronische Verweise sind automatisch zu erstellen und haben zu enthalten:

1. Daten, die sich auf den/die ELGA-Teilnehmer/in beziehen:

a) das bPK-GH des ELGA-Teilnehmers/der ELGA-Teilnehmerin oder

b) lokale Patient/inn/en-Kennungen,

2. Daten, die sich auf den ELGA-Gesundheitsdiensteanbieter beziehen:

a) die eindeutige Kennung des ELGA-Gesundheitsdiensteanbieters, der für die Aufnahme der ELGA-Gesundheitsdaten verantwortlich ist,

b) die natürliche Person, die die ELGA-Gesundheitsdaten in ELGA gespeichert hat,

3. Daten, die sich auf die ELGA-Gesundheitsdaten beziehen:

a) den Speicherort der ELGA-Gesundheitsdaten,

b) die eindeutige Kennung der ELGA-Gesundheitsdaten,

c) Datum und Zeitpunkt der Erstellung der ELGA-Gesundheitsdaten,

d) den Hinweis auf allenfalls frühere Versionen dieser ELGA-Gesundheitsdaten,

e) sofern vorhanden, einen strukturierten Hinweis auf die medizinische Bezeichnung der ELGA-Gesundheitsdaten sowie

f) Datum und Zeitpunkt, an dem der elektronische Verweis auf ELGA-Gesundheitsdaten in ein Verweisregister aufgenommen wurde.

Berechtigungssystem

§21. (1) Das Berechtigungssystem ist von den ELGA-Systempartnern einzurichten und zu betreiben. Es dient der Verwaltung der Zugriffsberechtigungen und der Steuerung der Zugriffe auf ELGA-Gesundheitsdaten. Ohne Zugriffsberechtigung dürfen weder ELGA-Gesundheitsdaten noch Verweise angezeigt werden.

(2) Aufgrund der generellen Zugriffsberechtigungen, die festlegen, welche standardmäßigen Zugriffe zulässig sind, dürfen:

1. Angehörige des ärztlichen Berufes (§2 Z10 lita) auf alle ELGA-Gesundheitsdaten (§2 Z9),

2. Angehörige des zahnärztlichen Berufes (§2 Z10 litb) auf ELGA-Gesundheitsdaten gemäß §2 Z9 lita und b,

3. Apotheken (§2 Z10 litc) auf Medikationsdaten gemäß §2 Z9 litb,

4. Krankenanstalten (§2 Z10 litd) auf alle ELGA-Gesundheitsdaten (§2 Z9),

5. Einrichtungen der Pflege (§2 Z10 lite) auf alle ELGA-Gesundheitsdaten (§2 Z9),

6. Vertreter/innen gemäß §14 Abs2 Z2 litb auf alle ELGA-Gesundheitsdaten (§2 Z9) sowie

7. Mitarbeiter/innen der ELGA-Ombudsstelle auf alle ELGA-Gesundheitsdaten (§2 Z9)

zugreifen.

(3) ELGA-Teilnehmer/innen dürfen mittels individueller Zugriffsberechtigungen:

1. im Rahmen der generellen Zugriffsberechtigungen elektronische Verweise und ELGA-Gesundheitsdaten einschließlich Medikationsdaten für ELGA-Gesundheitsdiensteanbieter ein- oder ausblenden sowie löschen, falls das Löschen aufgrund anderer gesetzlicher Dokumentationsverpflichtungen oder gemäß §22 Abs5 Z1 ausgeschlossen ist, sind die Verweise für ELGA unzugänglich zu machen, oder

2. Zeiträume für bestehende Zugriffsberechtigungen gemäß §18 Abs6 verkürzen oder

3. einen ELGA-Gesundheitsdiensteanbieter des besonderen Vertrauens mit dessen Zustimmung gemäß §18 Abs7 festlegen.

[…]

Übergangsbestimmungen

§27. (1) Der Bundesminister für Gesundheit hat das Zugangsportal (§23), die Widerspruchstellen (§28 Abs2 Z7) sowie die ELGA-Ombudsstelle (§17) nach Maßgabe der technischen Verfügbarkeit bis 31. Dezember 2013 so zu errichten und zur Verfügung zu stellen, dass die Wahrnehmung der Teilnehmer/innen/rechte gewährleistet ist und zeitgerecht erfolgen kann. Ab diesem Zeitpunkt kann ELGA verwendet werden.

(2) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, gilt §13 Abs3 ab 1. Jänner 2015 für

1. Krankenanstalten gemäß §3 Abs2b KAKuG, die über Landesgesundheitsfonds abgerechnet werden,

2. die Allgemeine Unfallversicherungsanstalt, soweit sie gemäß §24 Abs2 ASVG Krankenanstalten betreibt, sowie

3. Einrichtungen der Pflege gemäß §2 Z10 lite,

soweit die Nutzung der ELGA-Komponenten (§24) zur Verarbeitung von ELGA-Gesundheitsdaten technisch möglich ist.

(3) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, gilt ab 1. Juli 2016 §13 Abs3 für

1. Apotheken gemäß §1 des Apothekengesetzes,

2. freiberuflich tätige Ärzte und Ärztinnen,

3. Gruppenpraxen sowie

4. selbstständige Ambulatorien gemäß §3a KAKuG,

soweit die Nutzung der ELGA-Komponenten (§24) zur Verarbeitung von ELGA-Gesundheitsdaten technisch möglich ist. Dies gilt jedoch nicht für freiberuflich tätige Ärzte und Ärztinnen, Gruppenpraxen sowie selbstständige Ambulatorien (§3a KAKuG) hinsichtlich der Verpflichtung gemäß §13 Abs3 Z4 und 6, wenn diese ELGA-Gesundheitsdiensteanbieter in keinem Vertragsverhältnis zu einem Träger der gesetzlichen Sozialversicherung stehen.

(4) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, gilt ab 1. Jänner 2017 §13 Abs3 für private Krankenanstalten gemäß §1 Abs2 des Privatkrankenanstalten-Finanzierungsfondsgesetzes (PRIKRAF-G), BGBl I Nr 165/2004, soweit die Nutzung der ELGA-Komponenten (§24) zur Verarbeitung von ELGA-Gesundheitsdaten technisch möglich ist.

(5) Ab 1. Jänner 2017 haben nach Maßgabe der technischen Verfügbarkeit

1. Patientenverfügungen,

2. Vorsorgevollmachten sowie

3. die medizinischen Register (§2 Z9 lite)

in ELGA zur Verfügung zu stehen.

(6) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, gilt ab 1. Jänner 2022 §13 Abs3 für

1. freiberuflich tätige Zahnärzte und Zahnärztinnen,

2. zahnärztliche Gruppenpraxen sowie

3. selbstständige Zahnambulatorien.

(7) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, hat spätestens mit 1. Jänner 2015 als Standard gemäß §28 Abs2 Z1 lita bis c eine Suche in den Dokumentenmetadaten über das Dokumentenregister jedenfalls möglich zu sein.

(8) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, ist spätestens mit 1. Jänner 2015 als Standard gemäß §28 Abs2 Z1 lita bis c entweder eine inhaltlich einheitliche Struktur und Gliederung, sodass Inhalte in medizinische Informationssysteme übernommen werden können, oder zumindest eine Vereinheitlichung der Gliederung der Inhalte, sicherzustellen.

(9) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, hat spätestens mit 1. Jänner 2018 als Standard gemäß §28 Abs2 Z1 lita bis c eine Codierung der Informationen in ELGA nach einheitlichen Vorgaben zu erfolgen, die von den ELGA-Systempartnern unter Mitwirkung zuständiger gesetzlicher Interessenvertretungen erarbeitet werden.

(10) Sind Nachweis oder Prüfung von Identität, Rollen oder Integrität nach den Bestimmungen des 2. Abschnitts (gerichtete und ungerichtete Kommunikation) insbesondere mangels vorhandener technischer Infrastruktur nicht zumutbar, dürfen Gesundheitsdaten und genetische Daten nur übermittelt werden, wenn zumindest die Identitäten und maßgeblichen Rollen der an der Übermittlung beteiligten Gesundheitsdiensteanbieter gegenseitig durch

1. persönlichen Kontakt oder

2. telefonischen Kontakt oder

3. Vertragsbestimmungen oder

4. Abfrage elektronischer Verzeichnisse

a) der Österreichischen Ärztekammer oder

b) der Österreichischen Zahnärztekammer oder

c) des Österreichischen Hebammengremiums oder

d) der Österreichischen Apothekerkammer oder

e) des Hauptverbands oder

f) des Bundesministeriums für Gesundheit

bestätigt sind.

(11) In den Fällen des Abs10 Z1 und 2 sind vor der erstmaligen Übermittlung der Gesundheitsdaten und genetischen Daten zwischen den beteiligten Gesundheitsdiensteanbietern

1. Datum und Art der Kontaktaufnahme,

2. die vollständigen Namen und maßgeblichen Rollen der an der Übermittlung beteiligten Gesundheitsdiensteanbieter,

3. die Angaben zur Erreichbarkeit der Gesundheitsdiensteanbieter sowie

4. die Angaben über die an der Kontaktaufnahme beteiligten natürlichen Personen

zu dokumentieren. Die Angaben zur Erreichbarkeit sind laufend aktuell zu halten.

(12) Die Übermittlung von Gesundheitsdaten und genetischen Daten darf unter den Voraussetzungen des Abs10 Z1 bis 3 ausnahmsweise auch per Fax erfolgen, wenn

1. die Faxanschlüsse (einschließlich Ausdruckmöglichkeiten zu Faxanschlüssen, die in EDV-Anlagen installiert sind) vor unbefugtem Zugang und Gebrauch geschützt sind,

2. die Rufnummern, insbesondere die verspeicherten Rufnummern, regelmäßig, insbesondere nach Veränderungen der technischen Einrichtung sowie nach der Neuinstallation von Faxgeräten nachweislich auf ihre Aktualität geprüft werden,

3. automatische Weiterleitungen, außer an die jeweiligen Gesundheitsdiensteanbieter selbst, deaktiviert sind,

4. die vom Gerät unterstützten Sicherheitsmechanismen genützt werden und

5. allenfalls verfügbare Fernwartungsfunktionen nur für die vereinbarte Dauer der Fernwartung aktiviert sind.

(13) Die erleichterten Bedingungen nach Abs10 und 12 können nicht in Anspruch genommen werden, wenn die nach dem 2. Abschnitt erforderlichen Maßnahmen im Hinblick auf den Stand der Technik und die Implementierungskosten (Art32 Abs1 DSGVO) zumutbar sind.

(14) Bei der Übermittlung von Gesundheitsdaten und genetischen Daten gelten die erleichterten Bedingungen nach Abs10 oder 12 für alle beteiligten Gesundheitsdiensteanbieter, wenn für zumindest einen der beteiligten Gesundheitsdiensteanbieter die jeweils erleichterten Bedingungen nach Abs10 oder 12 gelten.

(15) Bis zum 30. Juni 2016 ist §6 nicht auf die Übermittlung von Gesundheitsdaten und genetischen Daten per Funk zum Zwecke der Einsatzorganisation bei Rettungsdiensten anzuwenden."

III.    Antragsvorbringen und Vorverfahren

1.       Der Antragsteller legt seine Antragslegitimation sowie die Bedenken gegen die Verfassungskonformität der angefochtenen Bestimmungen wie folgt dar:

"Angefochtene Gesetzesbestimmungen

(1) […]

(2) […]

(3) Zentraler Grund der Verfassungswidrigkeit jeder einzelnen angefochtenen Gesetzesbestimmung ist die vom Gesetzgeber darin jeweils gesondert im Widerspruch zu §1 DSG normierte, als verfassungswidrig zu qualifizierende Beseitigung der Datenhoheit und der Datenherrschaft des Antragstellers durch Wegfall des Zustimmungserfordernisses des §1 Abs2 DSG und Verletzung des den einfachen Gesetzgeber bindenden Verhältnismäßigkeitsgebots, und der gleichzeitige verfassungswidrige Eingriff in das durch Art8 MRK geschützte Grundrecht auf Persönlichkeitsschutz.

(4) Angefochten werden in diesem Antrag, so wie zuvor, jene klar als angefochten bezeichneten und zitierten Gesetzesbestimmungen. Jede einzelne normiert den verfassungswidrigen Eingriff im Kern. Bestimmungen, mit welchen Ausnahmen oder gewisse Einschränkungen der verfassungswidrigen Gesetzesbestimmungen geschaffen werden (Zugangsregelung des §14, Opt-Out Regelungen der §§15 f), werden nicht angefochten, sie bilden keine untrennbare Einheit mit den jeweils angefochtenen Gesetzesbestimmungen.

Zum Beschluss des VfGH vom 24.9.2018 (G 137/2018-4):

(5) Im Hinblick auf die Begründung dieses Beschlusses sieht sich der Antragsteller zunächst zu folgenden Vorbemerkungen veranlasst:

a) Ebenso wie im zu G137/2018 protokollierten Antrag bringt der Antragsteller die Eingriffe durch die angefochtenen Gesetzesstellen und die jeweils zutreffenden Bedenken nur als Patient und Herr seiner Gesundheitsdaten vor, nie als Arzt oder Eigentümer einer Facharztordination. In den vorangegangenen Anträgen waren die Zuordnungen der Eingriffe zu den dargelegten Verfassungswidrigkeiten der jeweils angefochtenen Gesetzesstellen – entgegen der Begründung des Beschlusses unter 4. – stets klar und unmissverständlich ausgeführt und sind es auch in diesem Antrag.

b) Das Vorbringen in den Anträgen war nicht 'pauschal' oder 'stehsatzartig'. Dass die sehr konkreten Ausführungen zu den einzelnen angefochtenen verfassungswidrigen Gesetzesbestimmungen wiederholt werden, ist dem Umstand geschuldet, dass Verweise auf Ausführungen zu angefochtenen Gesetzesstellen unzulässig sind; daher mussten und müssen die Ausführungen wiederholt werden, soweit gegen die angefochtenen Bestimmungen dieselben Bedenken wie gegen andere angefochtene Bestimmungen bestehen.

c) §§14-16 GTeIG 2012 [In Folge sind alle erwähnten oder zitierten Gesetzesbestimmungen solche des GTeIG 2012.] waren nicht angefochten, wie aus dem letzten Antrag klar ersichtlich. Keine dieser Bestimmungen normiert die bekämpften verfassungswidrigen Eingriffe. Das Opt-Out (§§15-16 leg.cit.) enthält vor dem Hintergrund des den Gesetzgeber bindenden Verhältnismäßigkeits-prinzips ungenügende Ausnahmebestimmungen (Opt-Out statt Opt-In). §14 schützt die verfassungsgesetzlich gewährleisteten Rechte des Antragstellers, die jeweils durch die angefochtenen Gesetzesbestimmungen verletzt werden, nicht. Die Absätze 6.2 und 6.3 des Beschlusses sind daher vor dem Hintergrund der präzisen Ausführungen des Antragstellers zu den einzelnen angefochtenen Gesetzesbestimmungen nicht nachvollziehbar.

Anfechtung §13 Abs2 GTeIG 2012:

WORTLAUT DER ANGEFOCHTENEN GESETZESBESTIMMUNG:

(6) Angefochten wird §13 Abs2 idgF (BGBl I Nr 37/2018) zur Gänze:

'ELGA-Gesundheitsdiensteanbieter haben zur Erfüllung der in §14 Abs2 genannten Zwecke das Recht, ELGA-Gesundheitsdaten in ELGA zu speichern und unter Berücksichtigung der jeweiligen Berufspflichten (z. B. §49 Abs1 ÄrzteG 1998; §10 Apothekenbetriebsordnung 2005, BGBl II Nr 65/2005) zu erheben, sofern in diesem Bundesgesetz nichts Anderes, etwa durch die Ausübung von ELGA-Teilnehmer/innen/rechten gemäß §16, festgelegt ist.'

INKRAFTTRETEN

(7) Gemäß §26 Abs1 trat das GTeIG 2012 am 1. Jänner 2013 in Kraft. Es wurde zuletzt durch BGBl I Nr 37/2018, geringfügigst novelliert.

NORMINHALT

(8) §13 (2) räumt ELGA-Gesundheitsdiensteanbietern das Recht ein, persönliche Gesundheitsdaten von Patienten zu speichern und zu erheben, sofern dem nicht die Ausübung von ELGA-Teilnehmerrechten iSd §16 entgegensteht.

EINGRIFF IN DIE PRIVATSPHÄRE DES ANTRAGSTELLERS ALS PATIENT UND HERR SEINER GESUNDHEITSDATEN

(9) Die mit der angefochtenen Bestimmung neu geschaffenen Rechte entziehen dem Antragsteller sein Zustimmungsrecht und damit die durch §1 DSG und Art8 MRK geschützte Datenhoheit hinsichtlich seiner besonders sensiblen Gesundheitsdaten. Die neu geschaffenen Rechte des Speichern und Erhebens, gleichbedeutend mit dem Recht des Einsehens in die Gesundheitsdaten des Antragstellers, greifen in die durch §1 DSG und Art8 MRK verfassungsgesetzlich geschützte Rechtsstellung des Antragstellers als allein Verfügungsberechtigtem durch die normierte Beseitigung des Zustimmungserfordernisses des §1 Abs2 DSG hinsichtlich seiner Gesundheitsdaten in unverhältnismäßiger, daher verfassungswidriger Weise ein.

Bisherige Rechtslage:

(10) Der Antragsteller hatte – und hat – zweifellos ein schutzwürdiges Interesse an der Geheimhaltung seiner Gesundheitsdaten (§1 Abs1 DSG). Bis zum Inkrafttreten des GTelG 2012 war der Antragsteller im Sinn des §1 DSG mit 'Datenhoheit' ausgestatteter alleiniger Verfügungsberechtigter seiner Gesundheitsdaten, er konnte über Speicherung, bejahendenfalls über Speicherort und -form, Verwendung, Weitergabe, Einsichtsrechte und Löschung in Ausübung seines exklusiven Zustimmungsrechts zur Datenverwendung durch Dritte selbst bestimmen.

Rechtseinräumung neu: Speicherung / Vernetzung / Verwendung / Zugriff

(11) Alle Gesundheitsdaten des Antragstellers dürfen in Hinkunft ohne vorherige Zustimmung im ELGA-System gespeichert und vernetzt (in das Verweisregister aufgenommen) werden (s §13 Abs2), damit allen nach dem GTeIG 2012 Berechtigten im Rahmen der Einsichtspflicht (§13 Abs3 und 7) und zur Ausübung des Einsichtsrechts (§13 Abs2) und des Rechts gem. §21 Abs2 der (elektronische) Zugriff auf die Gesundheitsdaten des Antragstellers ermöglicht wird.

(12) Durch das Speicher- und Einsichtsrecht und die Vernetzung der gespeicherten Gesundheitsdaten, wie vom GTeIG 2012 in der angefochtenen Bestimmung (§13 Abs2) angeordnet und näher geregelt, wird – ohne Hinzutreten einer gerichtlichen oder im Instanzenzug bekämpfbaren Entscheidung – in das verfassungsgesetzlich gewährleistete Recht des Antragstellers auf Datenschutz eingegriffen, obwohl ihm zweifellos ein schutzwürdiges Interesse an seiner Datenhoheit über die besonders schutzwürdigen Gesundheitsdaten zuzubilligen ist (§1 DSG).

(13) Bisher konnte der Antragsteller die Speicherung, die Verwendung und den Zugriff (Einsicht) auf gespeicherte Gesundheitsdaten im Rahmen seiner vertraglichen Beziehung mit Arzt bzw Krankenanstalt vor dem Hintergrund der gesetzlichen Schweigepflicht (privat-) autonom regeln, er konnte im Einzelfall entscheiden, wem er die Speicherung, Weitergabe, Verarbeitung und Einsicht in seine Gesundheitsdaten gestattet und seine Zustimmung von Fall zu Fall erteilen oder verweigern. Mit Inkrafttreten des GTeIG 2012 wurde diese dem §1 DSG und dem Art8 MRK entsprechende Rechtslage auf den Kopf gestellt, weil die angefochtene Bestimmung die Speicherung und Einsicht in die Gesundheitsdaten des Antragstellers als Rechte der Gesundheitsdiensteanbieter normiert (§13 Abs2) und weil es über die Vernetzung allen ELGA-Anwendern das Recht auf Zugriff auf seine Gesundheitsdaten schafft.

(14) Das Recht, ELGA-Gesundheitsdaten zu speichern, zu verwenden, zu ermitteln und einzusehen steht den ELGA-Gesundheitsdiensteanbietern nun von Gesetzes wegen und unentziehbar zu (§13 Abs2, §21), es lässt sich durch vertragliche Vereinbarungen zwischen dem Patienten und dem behandelnden Arzt (ELGA-Gesundheitsdiensteanbieter) bzw der Krankenanstalt (ebenfalls ein ELGA-Gesundheitsdiensteanbieter) nicht mehr abbedingen.

(15) Der Verfassungsgerichtshof hat im Erkenntnis B1369/11 vom 11.10.2013 jedoch ausgesprochen, dass schutzwürdige Daten nur dann gespeichert und weitergegeben werden dürfen, wenn eine Zustimmung des Berechtigten vorliegt. Nur ganz ausnahmsweise und nur unter Berufung auf konkrete, lebenswichtige Interessen dürfen derartige Daten ohne Zustimmung weitergegeben werden, das Zustimmungserfordernis des §1 Abs2 DSG ist ohne Vorliegen derartiger Ausnahmen in jedem Fall beachtlich. Die angefochtene Gesetzesbestimmung des GTeIG 2012 ordnet im Gegensatz dazu generell die Speicherung und die Zurverfügungstellung aller Gesundheitsdaten ohne Zustimmung des Patienten an, ohne dass lebenswichtige Interessen des Patienten dadurch geschützt werden. ['Das Kriterium des 'lebenswichtigen Interesses' vermag für die ... vorgesehenen Grundrechtseingriffe keine verfassungsrechtliche Grundlage zu bieten; die Datenverwendung, die der Entwurf vorsieht, ist vom Vorliegen eines lebenswichtigen Interesses unabhängig.'; so Univ.Prof. Dr. Heinz Mayer in seinem Gutachten für die Ärztekammer zum Entwurf des GTeIG 2012.]

(16) Die Einwilligung oder Zustimmung des Antragsstellers als Patienten (ELGA-Teilnehmers) ist weder als Voraussetzung für die Speicherung noch für die Weitergabe noch für die Einsicht (Verwendung) und den Zugriff normiert. Das Speicher- und Einsichtsrecht und die Speicher-, Weitergabe- und Verwendungspflicht wären nur dann nicht als – verfassungswidrige – Eingriffe in die durch §1 DSG und durch Art8 MRK geschützte Rechtsstellung des Antragstellers zu qualifizieren, wenn vor jedem derartigen Eingriff die ausdrückliche Zustimmung des Patienten eingeholt werden müsste. Dies würde auch den Vorschriften der EU-DSGVO entsprechen, die bei viel unbedeutenderen Eingriffen die vorherige ausdrückliche Zustimmung verlangt.

(17) Die in §13 Abs2 als Recht der ELGA-Gesundheitsdiensteanbieter ausgestaltete Speicherung und Verwendung der Gesundheitsdaten, die Weitergabe und die Zugriffsmöglichkeiten stellen sohin einen dem Grundrecht auf Datenschutz widersprechenden Eingriff in die verfassungsgesetzlich durch §1 DSG und Art8 MRK geschützte Datenhoheit des Antragstellers dar (s zB G 76/12 v. 12.3.2013; B1369/11 v. 11.10.2012).

AKTUELLE WIRKSAMKEIT DES EINGRIFFS

(18) Das Gesetz trat am 1. Jänner 2013 in Kraft.

(19) Die angefochtenen Bestimmungen beseitigten schon per 1.1.2013 das sonst gem. §1 DSG bestehende Recht des Antragstellers auf Zustimmung zur Speicherung, Verarbeitung und Weitergabe von Gesundheitsdaten durch Dritte und sohin das Recht auf Untersagung der Speicherung, Weitergabe, Verarbeitung und Zugriff auf diese Daten, also auf Ausschluss Dritter von jedem Datenzugang. Dieser Eingriff droht nicht in der Zukunft, sondern ist bereits erfolgt.

(20) ELGA wird derzeit bereits großflächig in einigen Bezirken und in zahlreichen Krankenanstalten angewendet, die dazu verpflichtet wurden.

KEIN BESCHEID / URTEIL ZU ERWIRKEN

(21) Gegen Akte der Gesetzgebung (ieS) und gegen Tätigkeiten von Organen im Dienste der Gesetzgebung ist ein Rechtsweg an die Datenschutzbehörde (oder eine sonstige Behörde) ausgeschlossen (B 683/2013 v 3.10.2013 mit Hinweis auf VfSlg 19112/2010).

(22) Da die Datenschutzbehörde nicht zuständig ist, wenn Akte der Gesetzgebung betroffen sind, und ebenso nicht, wenn es sich um den privatrechtlichen Bereich – wie hier um den privatrechtlichen Bereich der Behandlungsverträge der Patienten mit Ärzten oder Krankenanstalten – handelt, kann eine bekämpfbare Entscheidung dieser oder einer anderen Behörde daher mangels Zuständigkeit nicht ergehen (VfSlg