Bundesrecht Verordnungen eHealth-Verordnung 2025

eHealth-Verordnung 2025

eHealthV 2025

In Kraft seit 29. Januar 2025

Up-to-date

Vorwort

1. Abschnitt

Allgemeine Bestimmungen

§ 1 Gegenstand

Gegenstand dieser Verordnung sind nähere Regelungen zur eHealth-Anwendung Elektronischer Impfpass (eImpfpass) gemäß dem 2. Unterabschnitt des 5. Abschnitts des GTelG 2012, insbesondere

1. zu den Zeitpunkten und Voraussetzungen, ab und unter denen die Angaben gemäß § 24c Abs. 2 GTelG 2012 im zentralen Impfregister zu speichern sind,

2. zu den spezifischen Zugriffsberechtigungen auf das zentrale Impfregister gemäß § 24c in Verbindung mit § 24f Abs. 4 GTelG 2012,

3. zur Aufteilung der Pflichten gemäß Art. 26 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 04.05.2016 S. 1, in der Fassung der Berichtigung ABl. Nr. L 074 vom 04.03.2021 S. 35, (im Folgenden: DSGVO) für die gemäß § 24b Abs. 3 gemeinsamen Verantwortlichen des eImpfpasses sowie

4. zu den Zeiten von Pilot-, Voll- und Übergangsbetrieb sowie zur jeweils einzuhaltenden Vorgehensweise.

2. Abschnitt

Standards für Inhalt, Struktur, Format und Terminologien

§ 2 Standards für Inhalt, Struktur und Format

(1) Standards für Inhalt, Struktur und Format der gemäß § 24c Abs. 2 GTelG 2012 im zentralen Impfregister zu speichernden Angaben sowie die in der zusammenfassenden Darstellung gemäß § 24d Abs. 2 Z 1 GTelG 2012 ersichtlichen Daten sind im Implementierungsleitfaden e-Impfpass (Version 2.0.0) in der Anlage festgelegt.

(2) Angaben gemäß § 24c Abs. 2 GTelG 2012 und Daten gemäß § 24d Abs. 2 Z 1 GTelG 2012 haben alle Felder in der angegebenen Kardinalität zu enthalten, die in dem Implementierungsleitfaden mit den Konformitätskriterien „Mandatory“ (M), „Required“ (R) und „Fixed“ (F) bezeichnet sind.

(3) Aktualisierungen des Implementierungsleitfadens gemäß Abs. 1, welche die Konformitätskriterien „Mandatory“ (M), „Required“ (R) oder „Fixed“ (F) betreffen („Hauptversionen“), sind im Rahmen dieser Verordnung kundzumachen. Andere Aktualisierungen („Nebenversionen“) dürfen ohne Kundmachung in einer Verordnung unter www.impfen.gv.at veröffentlicht und verwendet werden.

(4) Der Implementierungsleitfaden gemäß Abs. 1 und dessen Aktualisierungen gemäß Abs. 3, deren Prüfsumme sowie ihre eindeutigen Kennungen (§ 10 Abs. 5 GTelG 2012) sind von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin unter www.gesundheit.gv.at und www.impfen.gv.at zu veröffentlichen.

§ 3 Standards für Terminologien

(1) Terminologien, aktualisierte Terminologien sowie ihre eindeutige Kennung (§ 10 Abs. 5 GTelG 2012) sind als kontrollierte Vokabulare in elektronischer Form von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin unter www.gesundheit.gv.at und unter www.impfen.gv.at zu veröffentlichen.

(2) Sofern eine Verpflichtung gemäß § 2 Abs. 2 besteht, sind die dafür erforderlichen Terminologien verpflichtend zu verwenden.

3. Abschnitt

Speicherverpflichtungen

§ 4 Allgemeine Speicherverpflichtung

(1) eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a GTelG 2012 haben die Angaben gemäß § 24c Abs. 2 Z 1 GTelG 2012 betreffend COVID-19, Influenza, Affenpocken und Humane Papillomaviren (HPV) im zentralen Impfregister zu speichern.

(2) Über Abs. 1 hinaus dürfen

1. eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a die Angaben gemäß § 24c Abs. 2 Z 1 in Verbindung mit Abs. 3 GTelG 2012 zu anderen als in Abs. 1 genannten Erkrankungen und

2. eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. b die Angaben gemäß § 24c Abs. 2 Z 2 zu den in § 5 Abs. 2 genannten Erkrankungen

im zentralen Impfregister speichern. Die im zentralen Impfregister gespeicherten Daten dürfen zu den Zwecken gemäß § 24d Abs. 2 GTelG 2012 verarbeitet werden.

(3) Die eImpf-Gesundheitsdiensteanbieter haben die technisch-organisatorischen Spezifikationen gemäß § 2 und § 3 anzuwenden.

§ 5 Voraussetzungen für die Speicherung von Antikörperbestimmungen

(1) eImpf-Gesundheitsdiensteanbieter sind gemäß § 24c Abs. 3 GTelG 2012 unter den Voraussetzungen dieser Bestimmung zur Speicherung von Antikörperbestimmungen verpflichtet.

(2) Von den eImpf-Gesundheitsdiensteanbietern dürfen nur Antikörperbestimmungen im zentralen Impfregister gespeichert werden, die sich auf folgende Erkrankungen beziehen:

1. Diphtherie,

2. Masern,

3. Röteln,

4. Hepatitis A,

5. Hepatitis B,

6. Polio,

7. Tetanus,

8. Varizellen und

9. Tollwut.

(3) eImpf-Gesundheitsdiensteanbieter, die Angehörige des ärztlichen Berufes gemäß § 3 Ärztegesetz 1998 (ÄrzteG 1998), BGBl. I Nr. 169/1998 oder Amtsärzte und Amtsärztinnen, einschließlich Militärärzte und Militärärztinnen (§ 41 ÄrzteG 1998) sind, dürfen über die in Abs. 1 genannten Erkrankungen hinaus auch Antikörperbestimmungen zu anderen Erkrankungen im zentralen Impfregister speichern, wenn dies im Einzelfall medizinisch indiziert ist. Die Beurteilung, ob ein solcher Einzelfall vorliegt, obliegt dem Angehörigen des ärztlichen Berufs.

(4) Antikörperbestimmungen, die sich auf die in Abs. 1 genannten Erkrankungen oder auf Einzelfälle gemäß Abs. 2 beziehen, werden lebenslang gespeichert. Nach Ablauf der Speicherdauer werden die Angaben zu den Antikörperbestimmungen aus dem zentralen Impfregister gemäß § 24c Abs. 5 Z 2 GTelG 2012 gelöscht.

§ 6 Voraussetzungen für die Speicherung von Impfsettings

(1) Die eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a haben für die Speicherung des Impfsettings gemäß § 24c Abs. 2 folgende Auswahlmöglichkeiten:

1. „Bildungseinrichtung“,

2. „Arbeitsplatz/Betrieb“,

3. „Wohnbereich“,

4. „Betreute Wohneinrichtung“,

5. „Krankenhaus inkl. Kur- und Rehaeinrichtungen“,

6. „Ordination“,

7. „Öffentliche Impfstelle“ und

8. „Öffentliche Impfstraße/Impfbus“.

(2) eImpf-Gesundheitsdiensteanbieter haben jenes Impfsetting zu wählen, das bei der Zusammenschau aller im zentralen Impfregister gespeicherten Angaben am ehesten der Lebensrealität entspricht.

4. Abschnitt

Spezifische Zugriffsberechtigungen

1. Unterabschnitt

Spezifische Zugriffsberechtigungen auf das zentrale Impfregister

§ 7 Grundsätze des Zugriffs auf das zentrale Impfregister

(1) Die Speicherung von Daten im zentralen Impfregister oder die Verarbeitung der im zentralen Impfregister gespeicherten Daten ohne spezifische Zugriffsberechtigung ist unzulässig.

(2) Die spezifischen Zugriffsberechtigungen auf das zentrale Impfregister gemäß § 24f Abs. 4 in Verbindung mit § 21 Abs. 4 GTelG 2012 umfassen Zugriffe auf das zentrale Impfregister

1. für den Betrieb, die Wartung und die technische Weiterentwicklung des eImpfpasses gemäß § 24b Abs. 1 GTelG 2012 (§ 8),

2. zur Gesundheitsvorsorge (§ 9),

3. zur Wahrnehmung der Rechte von Bürger/innen gemäß § 24e GTelG 2012 (§ 10),

4. zum Krisenmanagement (§ 11) sowie

5. zum Datenqualitätsmanagement gemäß § 24h GTelG 2012, für Auswertungen gemäß § 24g GTelG 2012 und für die Abrechnung im Rahmen von Impfprogrammen (§ 12).

(3) Die spezifischen Zugriffsberechtigungen gemäß Abs. 2 umfassen

1. schreibende Zugriffe, wenn die Verarbeitung auf eine Speicherung oder Änderung des Datensatzes eingeschränkt ist, und

2. lesende Zugriffe, wenn die Speicherung oder Änderung des Datensatzes unzulässig ist.

(4) Die spezifischen Zugriffsberechtigungen können lesend oder schreibend oder lesend und schreibend sein.

(5) Spezifische Zugriffsberechtigungen führen zu keiner Ausweitung des Berufsrechts.

§ 8 Spezifische Zugriffsberechtigungen für den Betrieb, die Wartung und die technische Weiterentwicklung des eImpfpasses

(1) Die spezifischen Zugriffsberechtigungen für den Betrieb, die Wartung und die technische Weiterentwicklung des eImpfpasses umfassen insbesondere Zugriffe zur

1. Löschung der im zentralen Impfregister gespeicherten Daten (Abs. 2),

2. Stornierung der im zentralen Impfregister gespeicherten Daten (Abs. 3),

3. Bereitstellung des jeweils aktuellen Impfplan Österreichs (Abs. 4),

4. Bereitstellung von elektronischen Schnittstellen (Abs. 5),

5. automatisierten Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich (Abs. 6).

(2) Eine spezifische Zugriffsberechtigung zur Löschung der im zentralen Impfregister gespeicherten Daten gemäß § 24c Abs. 5 GTelG 2012 hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin.

(3) Eine spezifische Zugriffsberechtigung zur Stornierung der im zentralen Impfregister gespeicherten Daten gemäß § 28b Abs. 6 GTelG 2012 hat die ELGA GmbH.

(4) Eine spezifische Zugriffsberechtigung zur Bereitstellung des jeweils aktuellen Impfplan Österreichs gemäß § 24c Abs. 6 Z 1 GTelG 2012 hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin.

(5) Eine spezifische Zugriffsberechtigung zur Bereitstellung von elektronischen Schnittstellen gemäß § 24c Abs. 6 Z 2 GTelG 2012 hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin.

(6) Eine spezifische Zugriffsberechtigung zur automatisierten Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich gemäß § 24d Abs. 2 Z 3 GTelG 2012 hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin.

(7) Über Abs. 1 Z 1 bis Z 5 hinaus besteht eine spezifische Zugriffsberechtigung für den für das Gesundheitswesen zuständigen Bundesminister oder die zuständige Bundesministerin und für die ELGA GmbH dann, wenn dieser Zugriff für die Inbetriebhaltung oder Wartung des eImpfpasses unbedingt erforderlich ist. Ein Zugriff ist insbesondere dann unbedingt erforderlich, wenn er der Abwehr von Gefahr für Leib und Leben einer betroffenen Person dient.

§ 9 Spezifische Zugriffsberechtigung zur Gesundheitsvorsorge

(1) Die spezifischen Zugriffsberechtigungen zur Gesundheitsvorsorge umfassen Zugriffe zur

1. Speicherung der Angaben im zentralen Impfregister (Abs. 2),

2. Nachtragung von Impfungen (Abs. 3),

3. Vidierung von selbsteingetragenen Impfungen (Abs. 4) und

4. Durchführung der Impf-Anamnese (Abs. 6) und

5. Impfberatung (Abs. 5).

(2) Eine spezifische Zugriffsberechtigung zur Speicherung der Angaben gemäß § 24c Abs. 2 GTelG 2012 haben die eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 GTelG 2012.

(3) Eine spezifische Zugriffsberechtigung zur Nachtragung von Impfungen gemäß § 24c Abs. 4 GTelG 2012 haben

1. eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a GTelG 2012, ausgenommen diplomierte Gesundheits- und Krankenpfleger/innen, und

2. Apotheken gemäß § 1 des Apothekengesetzes, RGBl. Nr. 5/1907.

(4) Eine spezifische Zugriffsberechtigung zur Vidierung von selbsteingetragenen Impfungen gemäß § 24c Abs. 4 Z 2 GTelG 2012 haben

1. eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a GTelG 2012, ausgenommen diplomierte Gesundheits- und Krankenpfleger/innen, und

2. Apotheken gemäß § 1 des Apothekengesetzes.

(5) Eine spezifische Zugriffsberechtigung zur Durchführung der Impfberatung haben eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a GTelG 2012.

(6) Eine spezifische Zugriffsberechtigung zur Vornahme einer Impf-Anamnese haben

1. eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a GTelG 2012, ausgenommen diplomierte Gesundheits- und Krankenpfleger/innen,

2. Apotheken gemäß § 1 des Apothekengesetzes und

3. die Gesundheitsberatung 1450 gemäß § 2 Z 10 lit. g GTelG 2012.

§ 10 Spezifische Zugriffsberechtigungen zur Wahrnehmung der Rechte der Bürger/innen

(1) Abweichend von § 7 Abs. 1 benötigen Bürger/innen für den Zugriff auf das zentrale Impfregister zur Ausübung ihrer Rechte gemäß § 24e GTelG 2012 und Kapitel III der DSGVO keine spezifische Zugriffsberechtigung.

(2) Die spezifischen Zugriffsberechtigungen zur Wahrnehmung der Rechte der Bürger/innen umfassen Zugriffe zur

1. Wahrnehmung des Rechts auf Auskunft gemäß Art. 15 DSGVO (Abs. 3),

2. Wahrnehmung des Rechts auf Berichtigung gemäß Art. 16 DSGVO (Abs. 4),

3. Wahrnehmung des Rechts auf Mitteilung gemäß Art. 19 DSGVO (Abs. 5),

4. Selbsteintragung von Impfungen (Abs. 6) und

5. Bearbeitungen von persönlichen Anliegen, Informationen und Beschwerden im Zusammenhang mit dem eImpfpass (Abs. 7).

(3) Eine spezifische Zugriffsberechtigung zur Wahrnehmung des Rechts auf Auskunft gemäß Art. 15 DSGVO hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin als ELGA- und eHealth-Supporteinrichtung.

(4) Eine spezifische Zugriffsberechtigung zur Wahrnehmung des Rechts auf Berichtigung gemäß Art. 16 DSGVO haben

1. der jeweilige eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 GTelG 2012,

2. Amtsärzte und Amtsärztinnen und

3. die jeweilige Apotheke gemäß § 1 des Apothekengesetzes für die von ihr nachgetragenen oder vidierten Impfungen.

(5) Eine spezifische Zugriffsberechtigung zur Wahrnehmung des Rechts auf Mitteilung gemäß Art. 19 DSGVO im Sinne des § 24e Abs. 4 GTelG 2012 haben

1. der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin und

2. die ELGA GmbH.

(6) Eine spezifische Zugriffsberechtigung zur Selbsteintragung von Impfungen gemäß § 24e Abs. 6 GTelG 2012 hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin.

(7) Eine spezifische Zugriffsberechtigung zur Bearbeitungen von persönlichen Anliegen, Informationen und Beschwerden im Zusammenhang mit dem eImpfpass hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin als ELGA- und eHealth-Supporteinrichtung.

§ 11 Spezifische Zugriffsberechtigungen zum Krisenmanagement

(1) Die spezifischen Zugriffsberechtigungen zum Krisenmanagement umfassen Zugriffe

1. im Rahmen des Ausbruchsmanagements in Zusammenhang mit anzeigepflichtigen Krankheiten gemäß § 1 EpiG und im Rahmen der Pharmakovigilanz gemäß den §§ 75 ff des Arzneimittelgesetzes (AMG), BGBl. Nr. 185/1983, und

2. zur Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich gemäß § 24d Abs. 2 Z 5 GTelG 2012.

(2) Eine spezifische Zugriffsberechtigung für die in Abs. 1 genannten Zwecke haben

1. der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin,

2. die Landeshauptleute in ihrem jeweiligen gesetzlichen Wirkungsbereich und

3. die Bezirksverwaltungsbehörden in ihrem jeweiligen gesetzlichen Wirkungsbereich.

(3) Die spezifische Zugriffsberechtigung gemäß Abs. 1 Z 2 umfasst auch die erforderliche Auswertung der im zentralen Impfregister gespeicherten Daten zur Erstellung und Aussendung der Impferinnerungsschreiben.

§ 12 Sonstige spezifische Zugriffsberechtigungen

(1) Die sonstigen spezifischen Zugriffsberechtigungen umfassen Zugriffe

1. im Rahmen des Datenqualitätsmanagements (Abs. 2),

2. für Auswertungen (Abs. 3) und

3. für die Abrechnung von Impfprogrammen (Abs. 4).

(2) Eine spezifische Zugriffsberechtigung für das Datenqualitätsmanagement gemäß § 24h GTelG 2012 hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin als ELGA- und eHealth-Supporteinrichtung.

(3) Eine spezifische Zugriffsberechtigung für Auswertungen gemäß § 24g GTelG 2012 haben

1. der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin,

2. die Landeshauptleute in ihrem jeweiligen gesetzlichen Wirkungsbereich und

3. die Bezirksverwaltungsbehörden in ihrem jeweiligen gesetzlichen Wirkungsbereich.

(4) Eine spezifische Zugriffsberechtigung für die Abrechnung von Impfprogrammen gemäß § 24d Abs. 2 Z 6 GTelG 2012 haben

1. der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin,

2. die Landeshauptleute in ihrem jeweiligen gesetzlichen Wirkungsbereich,

3. die Bezirksverwaltungsbehörden in ihrem jeweiligen gesetzlichen Wirkungsbereich,

4. die eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a GTelG 2012,

5. die Österreichische Gesundheitskasse, die Sozialversicherungsanstalt der Selbstständigen und die Versicherungsanstalt öffentlich Bediensteter, Eisenbahnen und Bergbau sowie

6. die Rechtsträger von Krankenfürsorgeeinrichtungen.

2. Unterabschnitt

Umfang der spezifischen Zugriffsberechtigungen

§ 13 Umfang der spezifischen Zugriffsberechtigungen des für das Gesundheitswesen zuständigen Bundesministers oder der zuständigen Bundesministerin

(1) Die spezifischen Zugriffsberechtigungen gemäß § 8 umfassen für den für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin

1. einen schreibenden Zugriff für die Zwecke gemäß § 8 Abs. 1 Z 1, Z 3 und Z 4 sowie

2. einen schreibenden und lesenden Zugriff für die Zwecke gemäß § 8 Abs. 1 Z 5 und Abs. 7.

(2) Die spezifischen Zugriffsberechtigungen gemäß § 10 umfassen für den für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin

1. einen schreibenden Zugriff für die Zwecke gemäß § 10 Abs. 2 Z 3 und Z 4,

2. einen lesenden Zugriff für den Zweck gemäß § 10 Abs. 2 Z 5, soweit es die Bearbeitung von persönlichen Anliegen betrifft, als ELGA- und eHealth-Supporteinrichtung (ELGA-Ombudsstelle) und

3. einen lesenden Zugriff für die Zwecke gemäß § 10 Abs. 2 Z 1 und Z 5, soweit es die Bearbeitung von Informationen und Beschwerden betrifft, als ELGA- und eHealth-Supporteinrichtung (eHealth-Servicestelle).

(3) Die spezifischen Zugriffsberechtigungen gemäß § 11 umfassen für den für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin einen lesenden Zugriff für die Zwecke gemäß § 11 Abs. 1, soweit es sich auf das bundesweite Krisenmanagement bezieht.

(4) Die spezifischen Zugriffsberechtigungen gemäß § 12 umfassen für den für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin

1. einen lesenden Zugriff für die Zwecke gemäß § 12 Abs. 1 Z 1 und 2 sowie

2. einen schreibenden und lesenden Zugriff für den Zweck gemäß § 12 Abs. 1 Z 3.

(5) Die spezifischen Zugriffsberechtigungen für die Zwecke gemäß § 8 Abs. 1 und § 10 Abs. 2 Z 3 besteht für den für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin ab dem in § 31 Abs. 3 genannten Zeitpunkt für den Beginn des Übergangsbetriebs.

§ 14 Umfang der spezifischen Zugriffsberechtigungen der ELGA GmbH

(1) Die spezifischen Zugriffsberechtigungen gemäß § 8 umfassen für die ELGA GmbH

1. einen schreibenden Zugriff für die Zwecke gemäß § 8 Abs. 1 Z 2 sowie

2. einen schreibenden und lesenden Zugriff für die Zwecke gemäß § 8 Abs. 7.

(2) Die spezifische Zugriffsberechtigung gemäß § 10 umfassen für die ELGA GmbH einen schreibenden Zugriff für den Zweck gemäß § 10 Abs. 2 Z 3.

(3) Die spezifischen Zugriffsberechtigungen für die Zwecke gemäß § 8 Abs. 1 und § 10 Abs. 2 Z 3 besteht für die ELGA GmbH ab Inkrafttreten dieser Verordnung bis zu dem in § 30 genannten Zeitpunkt.

§ 15 Umfang der spezifischen Zugriffsberechtigungen der eImpf-Gesundheitsdiensteanbieter

(1) Die spezifischen Zugriffsberechtigungen gemäß § 9 umfassen

1. für eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. a GTelG 2012

a) einen schreibenden Zugriff für die Zwecke gemäß § 9 Abs. 1 Z 1 bis Z 3 und

b) einen lesenden Zugriff für den Zweck gemäß § 9 Abs. 1 Z 4 und 5 sowie

2. für eImpf-Gesundheitsdiensteanbieter gemäß § 2 Z 18 lit. b GTelG 2012 einen schreibenden Zugriff für den Zweck gemäß § 9 Abs. 1 Z 1.

(2) Die spezifischen Zugriffsberechtigungen gemäß § 10 und § 12 umfassen für den jeweiligen eImpf-Gesundheitsdiensteanbieter einen schreibenden und lesenden Zugriff für den Zweck gemäß § 10 Abs. 2 Z 2 und § 12 Abs. 1 Z 3.

§ 16 Umfang der spezifischen Zugriffsberechtigungen der Öffentlichen Apotheken

(1) Die spezifischen Zugriffsberechtigungen gemäß § 9 umfassen für Apotheken gemäß § 1 des Apothekengesetzes

1. einen schreibenden Zugriff für den Zweck gemäß § 9 Abs. 1 Z 1,

2. einen lesenden Zugriff für den Zweck gemäß § 9 Abs. 1 Z 4 und

3. einen schreibenden und lesenden Zugriff für den Zweck gemäß § 9 Abs. 1 Z 2 und 3.

(2) Die spezifischen Zugriffsberechtigungen gemäß § 10 umfassen für die jeweilige Apotheke gemäß § 1 des Apothekengesetzes einen schreibenden und lesenden Zugriff für den Zweck gemäß § 10 Abs. 2 Z 2, soweit es die von ihr nachgetragenen Impfungen betrifft.

§ 17 Umfang der spezifischen Zugriffsberechtigungen der Landeshauptleute

(1) Die spezifischen Zugriffsberechtigungen gemäß § 11 umfassen für die Landeshauptleute einen lesenden Zugriff für die Zwecke gemäß § 11 Abs. 1 Z 1 und Z 2, soweit es sich auf ihren jeweiligen Wirkungsbereich bezieht.

(2) Die spezifischen Zugriffsberechtigungen gemäß § 12 umfassen für die Landeshauptleute

1. einen lesenden Zugriff für den Zweck gemäß § 12 Abs. 1 Z 2 sowie

2. einen schreibenden und lesenden Zugriff für den Zweck gemäß § 12 Abs. 1 Z 3.

§ 18 Umfang der spezifischen Zugriffsberechtigungen der Bezirksverwaltungsbehörden

(1) Die spezifischen Zugriffsberechtigungen gemäß § 10 umfassen für Amtsärzte und Amtsärztinnen einen schreibenden und lesenden Zugriff für den Zweck gemäß § 10 Abs. 2 Z 2.

(2) Die spezifischen Zugriffsberechtigungen gemäß § 11 umfassen für die Bezirksverwaltungsbehörden einen lesenden Zugriff für die Zwecke gemäß § 11 Abs. 1 Z 1, soweit es sich auf ihren jeweiligen Wirkungsbereich bezieht.

(3) Die spezifischen Zugriffsberechtigungen gemäß § 12 umfassen für die Bezirksverwaltungsbehörden

1. einen lesenden Zugriff für den Zweck gemäß § 12 Abs. 1 Z 2 sowie

2. einen schreibenden und lesenden Zugriff für den Zweck gemäß § 12 Abs. 1 Z 3.

§ 19 Umfang der spezifischen Zugriffsberechtigung der Sozialversicherung und der Rechtsträger von Krankenfürsorgeeinrichtungen

(1) Die spezifischen Zugriffsberechtigungen gemäß § 12 umfassen einen lesenden Zugriff für den Zweck gemäß § 12 Abs. 4 Z 5 für

1. die Österreichische Gesundheitskasse,

2. die Sozialversicherungsanstalt der Selbstständigen sowie

3. die Versicherungsanstalt öffentlich Bediensteter, Eisenbahnen und Bergbau.

(2) Die spezifischen Zugriffsberechtigungen gemäß § 12 umfasst einen lesenden Zugriff für den Zweck gemäß § 12 Abs. 4 Z 6 für die Rechtsträger von Krankenfürsorgeeinrichtungen.

§ 20 Umfang der spezifischen Zugriffsberechtigung der Gesundheitsberatung 1450

Die spezifische Zugriffsberechtigung gemäß § 9 umfasst einen lesenden Zugriff für den Zweck gemäß § 9 Abs. 1 Z 4 für die Gesundheitsberatung 1450.

5. Abschnitt

Aufteilung der Pflichten gemäß Art. 26 DSGVO

§ 21 Pflichten der gemeinsamen Verantwortlichen

(1) Den in § 24b Abs. 3 GTelG 2012 genannten gemeinsamen Verantwortlichen des eImpfpasses obliegen jeweils die in den § 22 bis § 29 zugewiesenen sowie die in Abs. 2 genannten aus der DSGVO resultierende Pflichten gemäß Art. 26 DSGVO.

(2) Hinsichtlich der von ihnen zu verantwortenden Datenverarbeitungstätigkeiten obliegen den gemeinsamen Verantwortlichen gemäß § 24b Abs. 3 Z 1 bis Z 6 GTelG 2012 jeweils folgende Pflichten:

1. Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO,

2. Zusammenarbeit mit der Aufsichtsbehörde gemäß Art. 31 DSGVO,

3. Sicherstellung der Datensicherheit,

4. Wahrnehmung der Meldepflicht gemäß Art. 33 DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten in ihrem Verantwortungsbereich aufgetreten ist,

5. Durchführung einer Datenschutz-Folgenabschätzung, sofern dies aufgrund von Art. 35 DSGVO notwendig ist,

6. Weiterleitung von Anträgen gemäß Abs. 3 an die eHealth-Servicestelle und Information der betroffenen Person über die Weiterleitung sowie

7. Information der betroffenen Personen gemäß Art. 12 Abs. 4 DSGVO, wenn aufgrund von deren Anträgen kein Tätigwerden erfolgt.

(3) Anträge von betroffenen Personen zur Ausübung von Rechten gemäß dem III. Kapitel der DSGVO sind von einem der in § 24b Abs. 3 GTelG 2012 genannten gemeinsamen Verantwortlichen innerhalb von 72 Stunden (wobei Feiertage, Samstage und Sonntage in diese Frist nicht einzurechnen sind) an die eHealth-Servicestelle (§ 17 Abs. 2 Z 2 GTelG 2012) zur Beantwortung weiterzuleiten, wenn

1. die betroffene Person ihre Identität eindeutig nachgewiesen hat,

2. das geltend gemachte Recht der betroffenen Person gemäß § 24e GTelG 2012 zusteht,

3. kein anderer Grund für ein Nicht-Tätigwerden im Sinne des Art. 12 Abs. 4 DSGVO vorliegt und

4. der von der betroffenen Person beanspruchte Verantwortliche für die Wahrnehmung des geltenden gemachten Rechts nicht zuständig ist.

§ 22 Die Rolle des für das Gesundheitswesen zuständigen Bundesministers oder der zuständigen Bundesministerin

(1) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat folgende Verarbeitungstätigkeiten zu verantworten:

1. den Betrieb, die Wartung und die technische Weiterentwicklung des eImpfpasses gemäß § 24b Abs. 1 Z 2 GTelG 2012 in Verbindung mit § 30 und § 31 Abs. 3,

2. die von ihm oder ihr vorgenommene Erinnerung an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich gemäß § 24d Abs. 2 Z 3 GTelG 2012,

3. von ihm oder ihr vorgenommene Auswertungen von im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 4 in Verbindung mit § 24g GTelG 2012,

4. das bundesweite Krisenmanagement gemäß § 24d Abs. 2 Z 5 GTelG 2012,

5. die von ihm vorgenommenen Zugriffe für Zwecke der Abrechnung von Impfprogrammen gemäß § 24d Abs. 2 Z 6 GTelG 2012,

6. das Datenqualitätsmanagement gemäß § 24d Abs. 2 Z 8 GTelG 2012 sowie

7. die Selbsteintragung von Impfungen gemäß § 24e Abs. 6 GTelG 2012.

(2) Dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin obliegen folgende Pflichten:

1. die Information, die Beratung und die Unterstützung betroffener Personen gemäß § 24e Abs. 8 in Verbindung mit § 17 Abs. 2 Z 1 GTelG 2012 als ELGA-Ombudsstelle,

2. Information der betroffenen Personen gemäß Art. 13 DSGVO betreffend der eHealth-Anwendung eImpfpass in geeigneter Weise,

3. Information der betroffenen Personen gemäß Art. 14 DSGVO über die von ihm oder ihr vorgenommenen Verarbeitungstätigkeiten in geeigneter Weise,

4. die Wahrnehmung des Rechts auf Auskunft gemäß Art. 15 DSGVO in Verbindung mit § 24e Abs. 3 GTelG 2012,

5. die Wahrnehmung des Rechts auf Mitteilung gemäß Art. 19 DSGVO im Sinne des § 24e Abs. 4 GTelG 2012 ab dem in § 31 Abs. 3 genannten Zeitpunkt,

6. die Koordinierung der Beantwortung von Anträgen gemäß § 19 Abs. 3 und

7. die Erteilung der Information gemäß § 24e Abs. 1 GTelG 2012.

§ 23 Die Rolle der ELGA GmbH

(1) Die ELGA GmbH hat den Betrieb, die Wartung und die technische Weiterentwicklung des eImpfpasses gemäß § 24b Abs. 1 Z 2 GTelG 2012 in Verbindung mit § 31 Abs. 2 und 3 zu verantworten.

(2) Der ELGA GmbH obliegt ab Inkrafttreten dieser Verordnung bis zu dem in § 30 genannten Zeitpunkt die Pflicht zur Wahrnehmung des Rechts auf Mitteilung gemäß Art. 19 DSGVO im Sinne des § 24e Abs. 4 GTelG 2012.

(3) Zur Sicherstellung der Datensicherheit gemäß § 21 Abs. 2 Z 3 hat die ELGA GmbH ein IT-Sicherheitskonzept zu erstellen, das sie dem für das Gesundheitswesen zuständigen Bundesminister auf dessen oder der zuständigen Bundesministerin auf deren Verlangen binnen vier Wochen vorzulegen hat.

§ 24 Die Rolle der eImpf-Gesundheitsdiensteanbieter

(1) Der jeweilige eImpf-Gesundheitsdiensteanbieter hat folgende Verarbeitungstätigkeiten zu verantworten:

1. die von ihm vorgenommene Speicherung, Nachtragung und Vidierung der Angaben gemäß § 24c Abs. 2 GTelG 2012,

2. die von ihm zu Beratungszwecken oder zur Impf-Anamnese vorgenommenen Zugriffe

a) auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1 GTelG 2012 und

b) auf die auf Basis dokumentierter Impfungen und des jeweils aktuellen Impfplans Österreich erstellten persönlichen Impfkalender gemäß § 24d Abs. 2 Z 2 GTelG 2012 sowie

4. die von ihm vorgenommenen Zugriffe für Zwecke der Abrechnung von Impfprogrammen gemäß § 24d Abs. 2 Z 6 GTelG 2012.

(2) Dem eImpf-Gesundheitsdiensteanbieter obliegen folgende Pflichten:

1. Hinweis auf die von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin zur Verfügung gestellte Datenschutzinformation gemäß Art. 13 DSGVO, sofern es sich um eImpf-Gesundheitsdiensteanbietern gemäß § 2 Z 18 lit. a GTelG 2012 handelt und

2. Wahrnehmung des Rechts auf Berichtigung gemäß Art. 16 DSGVO in Verbindung mit § 24e Abs. 4 GTelG 2012.

§ 25 Die Rolle der Öffentlichen Apotheken

(1) Die jeweilige Apotheke gemäß § 1 des Apothekengesetzes hat folgende Verarbeitungstätigkeiten zu verantworten:

1. die von ihr vorgenommene Nachtragung und Vidierung der Angaben gemäß § 24c Abs. 2 GTelG 2012 sowie

2. die von ihr zur Impf-Anamnese vorgenommenen Zugriffe

a) auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1 GTelG 2012 und

b) auf die auf Basis dokumentierter Impfungen und des jeweils aktuellen Impfplans Österreich erstellten persönlichen Impfkalender gemäß § 24d Abs. 2 Z 2 GTelG 2012.

(2) Den Apotheken gemäß § 1 des Apothekengesetzes obliegen folgende Pflichten:

1. Hinweis auf die von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin zur Verfügung gestellte Datenschutzinformation gemäß Art. 13 DSGVO und

2. Wahrnehmung des Rechts auf Berichtigung gemäß Art. 16 DSGVO der von ihr nachgetragenen Angaben zu Impfungen.

§ 26 Die Rolle der Landeshauptleute

(1) Die Landeshauptleute haben in ihrem jeweiligen gesetzlichen Wirkungsbereich folgende Verarbeitungstätigkeiten zu verantworten:

1. die von ihnen vorgenommenen Erinnerungen an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich gemäß § 24d Abs. 2 Z 3 GTelG 2012,

2. die von ihnen vorgenommenen Auswertungen von im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 4 in Verbindung mit § 24g GTelG 2012,

3. das von ihnen durchgeführte Krisenmanagement gemäß § 24d Abs. 2 Z 5 GTelG 2012,

4. die von ihnen vorgenommene Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6 GTelG 2012.

(2) Den Landeshauptleuten obliegt die Pflicht zur Information der betroffenen Personen gemäß Art. 14 DSGVO über die von ihnen in ihrem gesetzlichen Wirkungsbereich vorgenommenen Verarbeitungstätigkeiten in geeigneter Weise.

§ 27 Die Rolle der Bezirksverwaltungsbehörden

(1) Die Bezirksverwaltungsbehörden haben in ihrem jeweiligen gesetzlichen Wirkungsbereich folgende Verarbeitungstätigkeiten zu verantworten:

1. die von ihnen vorgenommenen Erinnerungen an empfohlene Impfungen gemäß dem jeweils aktuellen Impfplan Österreich gemäß § 24d Abs. 2 Z 3 GTelG 2012,

2. die von ihnen vorgenommenen Auswertungen von im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 4 in Verbindung mit § 24g GTelG 2012,

3. das von ihnen durchgeführte Krisenmanagement gemäß § 24d Abs. 2 Z 5 GTelG 2012 und

4. die von ihnen vorgenommene Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6 GTelG 2012.

(2) Den Bezirksverwaltungsbehörden obliegt die Pflicht zur Information der betroffenen Personen gemäß Art. 14 DSGVO über die von ihnen in ihrem gesetzlichen Wirkungsbereich vorgenommenen Verarbeitungstätigkeiten in geeigneter Weise.

(3) Amtsärzten und Amtsärztinnen obliegt die Pflicht zur Wahrnehmung des Rechts auf Berichtigung gemäß Art. 16 DSGVO in Verbindung mit § 24e Abs. 4 GTelG 2012.

§ 28 Die Rolle der Sozialversicherung und der Rechtsträger von Krankenfürsorgeeinrichtungen

(1) Die Österreichische Gesundheitskasse, die Sozialversicherungsanstalt der Selbstständigen und die Versicherungsanstalt öffentlich Bediensteter, Eisenbahnen und Bergbau haben jeweils die von ihnen vorgenommenen Datenzugriffe und -verarbeitungen im Zuge der Abrechnung sowie Überprüfung der Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6 GTelG 2012 zu verantworten.

(2) Die Rechtsträger von Krankenfürsorgeeinrichtungen haben jeweils die von ihnen vorgenommenen Datenzugriffe und -verarbeitungen im Zuge der Abrechnung sowie Überprüfung der Abrechnung im Rahmen von Impfprogrammen gemäß § 24d Abs. 2 Z 6 GTelG 2012 zu verantworten.

(3) Den in Abs. 1 und Abs. 2 Genannten obliegt jeweils die Pflicht zur Information der betroffenen Personen gemäß Art. 14 DSGVO über die von ihnen vorgenommen Verarbeitungstätigkeiten in geeigneter Weise.

§ 29 Die Rolle der Gesundheitsberatung 1450

(1) Die Gesundheitsberatung 1450 hat die jeweils von ihr zu Zwecken der Impf-Anamnese vorgenommenen Zugriffe auf die zusammenfassende Darstellung der im zentralen Impfregister gespeicherten Daten gemäß § 24d Abs. 2 Z 1 GTelG 2012 zu verantworten.

(2) Der Gesundheitsberatung 1450 obliegt die Pflicht zur Information der betroffenen Personen gemäß Art. 14 DSGVO über die von ihnen vorgenommenen Verarbeitungstätigkeiten in geeigneter Weise.

6. Abschnitt

Betrieb des eImpfpasses

§ 30 Aufnahme des Vollbetriebs

Der Vollbetrieb der eHealth-Anwendung eImpfpass wird am 1. Jänner 2029 aufgenommen. Ab diesem Zeitpunkt betreibt der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin die eHealth-Anwendung eImpfpass gemäß § 24b Abs. 1 GTelG 2012 und verantwortet diese Datenverarbeitung. Er oder sie kann einen oder mehrere Auftragsverarbeiter heranziehen. Der für den Betrieb des zentralen Impfregisters herangezogene Auftragsverarbeiter ist auch Auftragsverarbeiter des jeweiligen eImpf-Gesundheitsdiensteanbieters gemäß § 2 Z 18 GTelG 2012 für die Speicherung der Angaben gemäß § 24c Abs. 2 GTelG 2012.

§ 31 Pilot- und Übergangsbetrieb

(1) Vor Aufnahme des Vollbetriebs ist die eHealth-Anwendung eImpfpass im Pilotbetrieb. Die Zeit des Übergangs von Pilotbetrieb auf Vollbetrieb (Übergangsbetrieb) ist Teil des Pilotbetriebs.

(2) Bis 30. September 2028 betreibt die ELGA GmbH gemäß § 24b Abs. 1 Z 2 GTelG 2012 alleine die eHealth-Anwendung eImpfpass und verantwortet alleine diese Verarbeitungstätigkeit. Die ELGA GmbH kann einen oder mehrere Auftragsverarbeiter heranziehen. Dieser oder diese Auftragsverarbeiter sind auch Auftragsverarbeiter des jeweiligen eImpf-Gesundheitsdiensteanbieters gemäß § 2 Z 18 GTelG 2012 für die Speicherung der Angaben gemäß § 24c Abs. 2 GTelG 2012.

(3) Im Zeitraum von 1. Oktober bis 31. Dezember 2028 (Übergangsbetrieb) betreiben der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin und die ELGA GmbH die eHealth-Anwendung eImpfpass gemeinsam und verantworten beide diese Verarbeitungstätigkeit.

§ 32 Pflichten der ELGA GmbH

(1) Die ELGA GmbH hat vor Aufnahme des Vollbetriebs für eine reibungslose Portierung von Software (Anwendung) und Daten (Impfregister) zu dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin zu sorgen.

(2) Die ELGA GmbH hat dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin bis 30. September 2028 alle für die Aufnahme des Vollbetriebs erforderlichen Dokumente und Informationen, einschließlich der Software, zu übergeben. Die ELGA GmbH hat die Daten direkt an den von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin genannten Auftragsverarbeiter zu übermitteln und dabei sicherzustellen, dass ein reibungsloser Wechsel des Auftragsverarbeiters für die eImpf-Gesundheitsdiensteanbieter erfolgt.

(3) Die ELGA GmbH hat bis 31. Dezember 2028 die Umsetzung aller in § 24d Abs. 2 GTelG 2012 genannter Funktionalitäten sicherzustellen. Treten Umstände ein, die die fristgerechte Umsetzung einer Funktionalität unmöglich machen, trifft die ELGA GmbH eine Warnpflicht gegenüber dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin. Diese Warnung hat bis längstens 30. September 2028 zu erfolgen und bewirkt eine Verlängerung der Umsetzungsfrist bis zum 30. Juni 2029. Die Umsetzung hat durch die ELGA GmbH zu erfolgen. Die verzögerte Umsetzung von Funktionalitäten steht der Aufnahme des Vollbetriebs nicht entgegen.

7. Abschnitt

Schlussbestimmungen

§ 33 In- und Außerkrafttreten

Diese Verordnung tritt mit dem der Kundmachung folgenden Tag in Kraft. Gleichzeitig treten die eHealth-Verordnung (eHealthV), BGBl. II Nr. 449/2020 und die Zugriffsberechtigungsverordnung (ZugriffsV), BGBl. II Nr. 300/2024 außer Kraft.

§ 34 Übergangsbestimmungen

(1) Der Implementierungsleitfaden e-Impfpass (Version 1) darf bis zu 13 Monate nach Inkrafttreten dieser Verordnung weiterverwendet werden. Nach 13 Monaten ab Inkrafttreten dieser Verordnung ist der Implementierungsleitfaden e-Impfpass (Version 2.0.0) zwingend zu verwenden.

(2) Abweichend von Abs. 1 sind aus dem Implementierungsleitfaden e-Impfpass (Version 2.0.0) die Datenfelder „Impfsetting als Pflichtfeld“ und „Impfprogramm zur Abrechnung“ binnen vier Monaten ab Inkrafttreten dieser Verordnung zwingend umzusetzen und zu verwenden.

Anlage

CDA Implementierungsleitfaden

Anl. 1

(Anm.: Anlage als PDF dokumentiert)

Anhänge

Anlage

PDF