Vorwort
1. Abschnitt
Allgemeine Bestimmungen
§ 2 Technische Begriffsbestimmungen
Im Sinne dieser Verordnung bedeuten:
1. „CDA“: Clinical Document Architecture, ein internationaler, auf XML basierender Standard für die Speicherung und die Übermittlung von Gesundheitsdaten.
2. „ELGA-Interoperabilitätsstufe“: das Ausmaß der Standardisierung und Vereinheitlichung von ELGA-Gesundheitsdaten, wobei mit
a) „EIS Basic“ jene ELGA-Interoperabilitätsstufe bezeichnet wird, bei der der Kopfteil von ELGA-Gesundheitsdaten standardkonform (Z 1) gemäß § 16 Abs. 1 strukturiert und codiert ist,
b) „EIS Structured“ jene ELGA-Interoperabilitätsstufe bezeichnet wird, bei der der Kopfteil standardkonform (Z 1) gemäß § 16 Abs. 1 strukturiert und codiert ist und die in den Hauptteil eingebundenen ELGA-Gesundheitsdaten eine einheitliche Gliederung der Inhalte aufweisen, die mit den Vorgaben von „EIS Enhanced“ oder „EIS Full Support“ übereinstimmt,
c) „EIS Enhanced“ jene ELGA-Interoperabilitätsstufe bezeichnet wird, bei der sowohl Kopfteil als auch Hauptteil von ELGA-Gesundheitsdaten standardkonform (Z 1) strukturiert sind, der Hauptteil jedoch nicht oder nicht vollständig gemäß § 16 Abs. 1 codiert ist,
d) „EIS Full Support“ jene ELGA-Interoperabilitätsstufe bezeichnet wird, bei der sowohl Kopfteil als auch Hauptteil von ELGA-Gesundheitsdaten standardkonform (Z 1) strukturiert sind und auch die im Hauptteil enthaltenen Informationen gemäß § 16 Abs. 1 vollständig codiert sind.
3. „Komponentenverfügbarkeit“: die Verfügbarkeit aller Funktionen einer ELGA-Komponente am Ausgang des Rechenzentrums des Betreibers.
2. Abschnitt
Speicherverpflichtungen
§ 3 Grundsätze der Speicherverpflichtung
(1) Die ELGA-Gesundheitsdiensteanbieter sind nach Maßgabe dieser Verordnung gemäß § 13 Abs. 3 GTelG 2012 zur Speicherung von ELGA-Gesundheitsdaten verpflichtet. Die Speicherverpflichtung besteht nur, sofern sich aus den §§ 15 Abs. 2 und 16 Abs. 2 Z 2 GTelG 2012 nichts anderes ergibt.
(2) Speicherverpflichtungen für Krankenanstalten:
1. Für Krankenanstalten gemäß § 1 KAKuG, die über Landesgesundheitsfonds abgerechnet werden, private Krankenanstalten gemäß § 1 Abs. 2 PRIKRAF-G und Krankenanstalten, die gemäß § 24 Abs. 2 ASVG von der Allgemeinen Unfallversicherungsanstalt betriebenen werden, gelten folgende Speicherverpflichtungen:
a) Speicherung von Entlassungsbriefen (§ 13 Abs. 3 Z 1 GTelG 2012);
b) Speicherung von Laborbefunden (§ 13 Abs. 3 Z 2 GTelG 2012);
c) Speicherung von Befunden der bildgebenden Diagnostik (§ 13 Abs. 3 Z 3 GTelG 2012);
d) Speicherung von Pathologiebefunden (§ 13 Abs. 3 Z 7 in Verbindung mit § 28a Abs. 1 Z 2 lit. a sublit. aa GTelG 2012) und
e) Speicherung von sonstigen fachärztlichen Befunden im Rahmen ambulanter Behandlungen (§ 13 Abs. 3 Z 7 in Verbindung mit § 28a Abs. 1 Z 2 lit. a sublit. bb GTelG 2012.
2. Selbstständige Ambulatorien gemäß § 2 Abs. 1 Z 5 KAKuG, deren Leistungsspektrum Aufgaben der ärztlichen Berufe im Sinne des § 2 Z 10 GTelG 2012 umfasst, speichern Medikationsdaten bei deren Verordnung.
§ 4 Beginn der Speicherverpflichtung
(1) Als Beginn der Speicherverpflichtung gilt der 1. Jänner 2026, sofern in dieser Verordnung oder in § 27 GTelG 2012 kein früherer Zeitpunkt genannt ist.
(2) ELGA-Gesundheitsdiensteanbieter dürfen bereits vor dem für sie geltenden Verpflichtungstermin ELGA-Gesundheitsdaten in ELGA speichern.
(3) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat den ELGA-Gesundheitsdiensteanbietern oder den jeweiligen gesetzlichen Interessensvertretungen in geeigneter Weise eine Übersicht der jeweils für sie geltenden Verpflichtungstermine zur Verfügung zu stellen.
§ 5 Speicherung von Entlassungsbriefen und sonstigen Befunden (§ 13 Abs. 3 Z 1 und Z 7 GTelG 2012)
(1) Speicherung durch Krankenanstalten:
1. Ab Inkrafttreten dieser Verordnung sind die in § 3 Abs. 2 Z 1 genannten Krankenanstalten zur Speicherung von Entlassungsbriefen gemäß § 13 Abs. 3 Z 1 GTelG 2012 verpflichtet.
2. Ab 1. Jänner 2028 sind die in § 3 Abs. 2 Z 1 genannten Krankenanstalten zur Speicherung von Pathologiebefunden gemäß § 13 Abs. 3 Z 7 in Verbindung mit § 28a Abs. 1 Z 2 lit. a sublit. aa GTelG 2012 verpflichtet.
3. Ab 1. Jänner 2030 sind die in § 3 Abs. 2 Z 1 genannten Krankenanstalten zur Speicherung von sonstigen fachärztlichen Befunden im Rahmen ambulanter Behandlungen gemäß § 13 Abs. 3 Z 7 in Verbindung mit § 28a Abs. 1 Z 2 lit. a sublit. bb GTelG 2012 verpflichtet.
(2) Speicherung durch Angehörige des ärztlichen Berufes im niedergelassenen Bereich:
1. Ab 1. Jänner 2028 sind die Fachärzte und Fachärztinnen der Klinisch-Pathologischen Sonderfächer im Sinne des § 15 Abs. 1 Z 15 Ärztinnen-/Ärzte-Ausbildungsordnung 2015 zur Speicherung von Pathologiebefunden gemäß § 13 Abs. 3 Z 7 in Verbindung mit § 28a Abs. 1 Z 2 lit. a sublit. aa GTelG 2012 verpflichtet.
2. Ab 1. Jänner 2030 sind freiberufliche Fachärzte und Fachärztinnen zur Speicherung von sonstigen fachärztlichen Befunden im Rahmen ambulanter Behandlungen gemäß § 13 Abs. 3 Z 7 in Verbindung mit § 28a Abs. 1 Z 2 lit. a sublit. bb GTelG 2012 verpflichtet.
(3) Die Verpflichtungstermine nach Abs. 2 erstrecken sich nicht
1. auf Vertragsärztinnen und Vertragsärzte mit Ausnahme von Gruppenpraxen deren Einzelvertrag aufgrund der im anzuwendenden Gesamtvertrag festgelegten Altersgrenze innerhalb von vier Jahren ab dem gemäß Abs. 2 anzuwendenden Verpflichtungszeitpunkt jedenfalls endet und
§ 6 Speicherung von Laborbefunden und Befunden der bildgebenden Diagnostik (§ 13 Abs. 3 Z 2 und Z 3 GTelG 2012)
(1) Speicherung durch Krankenanstalten:
1. Ab Inkrafttreten dieser Verordnung sind die in § 3 Abs. 2 Z 1 genannten Krankenanstalten zur Speicherung von Laborbefunden gemäß § 13 Abs. 3 Z 2 GTelG 2012 und zur Speicherung von Befunden der bildgebenden Diagnostik gemäß § 13 Abs. 3 Z 3 GTelG 2012, jeweils im Rahmen der ambulanten Behandlung, verpflichtet.
2. Ab 1. Jänner 2026 sind die in § 3 Abs. 2 Z 1 genannten Krankenanstalten zur Speicherung von Laborbefunden gemäß § 13 Abs. 3 Z 2 GTelG 2012 und zur Speicherung von Befunden der bildgebenden Diagnostik gemäß § 13 Abs. 3 Z 3 GTelG 2012, jeweils im von ambulanten, stationären und telemedizinischen Behandlungen, verpflichtet.
(2) Speicherung durch Angehörige des ärztlichen Berufes im niedergelassenen Bereich:
1. Ab 1. Juli 2025 sind die freiberuflichen Fachärzte und Fachärztinnen des Sonderfachs Medizinisch-Chemische Labordiagnostik und des Sonderfachs Klinische Mikrobiologie und Hygiene (§ 3 Abs. 3 Z 1) zur Speicherung von Laborbefunden gemäß § 13 Abs. 3 Z 2 GTelG 2012 verpflichtet.
2. Ab 1. Juli 2025 sind die freiberuflichen Fachärzte und Fachärztinnen des Sonderfaches Radiologie (§ 3 Abs. 3 Z 2) zur Speicherung von Befunden der bildgebenden Diagnostik gemäß § 13 Abs. 3 Z 3 GTelG 2012 verpflichtet.
(3) Die Verpflichtungstermine nach Abs. 2 erstrecken sich nicht
1. auf Vertragsärztinnen und Vertragsärzte mit Ausnahme von Gruppenpraxen deren Einzelvertrag aufgrund der im anzuwendenden Gesamtvertrag festgelegten Altersgrenze innerhalb von vier Jahren ab dem gemäß Abs. 2 anzuwendenden Verpflichtungszeitpunkt jedenfalls endet und
§ 7 Speicherung von Medikationsdaten (§ 13 Abs. 3 Z 4 und Z 5 GTelG 2012)
(1) Speicherung durch Krankenanstalten: Ab Inkrafttreten dieser Verordnung (Rechtsvorschrift) speichern die in § 3 Abs. 2 Z 2 genannten selbstständigen Ambulatorien Medikationsdaten bei deren Verordnung (Rezept).
(2) Speicherung durch Angehörige des ärztlichen Berufs im niedergelassenen Bereich:
1. Ab Inkrafttreten dieser Verordnung (Rechtsvorschrift) sind die in § 3 Abs. 3 Z 3 genannten Angehörigen des ärztlichen Berufs, mit Ausnahme der in lit. c sublit. qq und lit. d Genannten, die in einem Vertragsverhältnis zu einem Träger der gesetzlichen Sozialversicherung gemäß § 341 oder § 343a ASVG stehen, zur Speicherung von Medikationsdaten bei deren Verordnung (Rezept) gemäß § 13 Abs. 3 Z 4 GTelG 2012 verpflichtet.
2. Ab 1. Jänner 2026 sind die in § 3 Abs. 3 Z 3 genannten Angehörigen des ärztlichen Berufs, die nicht von Z 1 umfasst sind, zur Speicherung von Medikationsdaten bei der Verordnung (Rezept) gemäß § 13 Abs. 3 Z 4 GTelG 2012 verpflichtet.
3. Ab 1. Jänner 2026 sind hausapothekenführende Ärzte und Ärztinnen zur Speicherung von Medikation bei der Abgabe gemäß § 13 Abs. 3 Z 5 GTelG 2012 verpflichtet.
(3) Die Verpflichtungstermine nach Abs. 2 erstrecken sich nicht auf Ärztinnen und Ärzte, die nicht in einem Vertragsverhältnis zu einem Träger der gesetzlichen Sozialversicherung stehen, sofern eine Abwägung nach § 49 Abs. 7 ÄrzteG 1998 ergibt, dass damit ein unverhältnismäßiger Aufwand verbunden wäre.
(4) Speicherung durch Öffentliche Apotheken: Ab Inkrafttreten dieser Verordnung sind Öffentliche Apotheken gemäß § 3 Abs. 4 zur Speicherung von Medikation bei der Abgabe § 13 Abs. 3 Z 5 GTelG 2012 verpflichtet.
§ 8 Speicherung des Pflegesituationsberichts (§ 13 Abs. 3 Z 6 GTelG 2012)
Ab 1. Jänner 2026 sind die in § 3 Abs. 5 genannten Einrichtungen der Pflege zur Speicherung des Pflegesituationsberichts gemäß § 13 Abs. 3 Z 6 GTelG 2012 verpflichtet.
§ 9 Vorliegen der technischen Voraussetzungen
(1) Die Speicherung der in den §§ 5 bis 8 genannten ELGA-Gesundheitsdaten gilt unter der Voraussetzung, dass die Nutzung der ELGA-Komponenten (§ 24 GTelG 2012) zur Verarbeitung von ELGA-Gesundheitsdaten technisch möglich ist.
(2) Die ELGA-Gesundheitsdiensteanbieter haben das Vorliegen der technischen Voraussetzungen für die Nutzung der ELGA-Komponenten zur Verarbeitung von ELGA-Gesundheitsdaten jedenfalls mit 1. Jänner 2026 sicherzustellen. Sie kommen ihrer Verpflichtung auch dann nach, wenn sie mit Dritten einen Umsetzungstermin bis spätestens 31. Dezember 2028 vertraglich ausdrücklich vereinbaren, an welchem die technischen Voraussetzungen für die Nutzung der ELGA-Komponenten, insbesondere hinsichtlich der ELGA-Interoperabilitätsstufe „EIS Full Support“ vorliegen werden.
(3) Bei der Verpflichtung zur Sicherstellung des Vorliegens der technischen Voraussetzungen gemäß Abs. 2 ist für Angehörige des ärztlichen Berufs § 49 Abs. 7 ÄrzteG 1998 zu berücksichtigen.
3. Abschnitt
Wechselwirkungsrelevante, nicht verschreibungspflichtige Arzneimittel
§ 10 OTC-Liste
(1) OTC-Arzneimittel sind von dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin am Öffentlichen Gesundheitsportal Österreichs (§ 12a GTelG 2012) unter www.gesundheit.gv.at als OTC-Liste zu veröffentlichen.
(2) Die OTC-Liste ist den ELGA-Gesundheitsdiensteanbietern zu Erfüllung der Speicherverpflichtung gemäß § 13 Abs. 3 GTelG 2012 in geeigneter Weise zur Verfügung zu stellen.
§ 11 Aktualisierung der OTC-Liste
(1) Führen andere als auf der OTC-Liste genannten Arzneimittel zu Wechselwirkungen, so hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin die OTC-Liste zu aktualisieren und die aktualisierte Liste gemäß § 10 zu veröffentlichen.
(2) Arzneimittel, die auf der aktualisierten OTC-Liste neu enthalten sind, müssen spätestens 6 Monate ab dem Zeitpunkt der Veröffentlichung gemäß § 10 als ELGA-Gesundheitsdaten in ELGA gespeichert werden.
§ 12 OTC-Beratungsgremium
(1) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin kann sich zur Erstellung und Aktualisierung der OTC-Liste der Österreichischen Agentur für Gesundheit und Ernährungssicherheit (AGES) bedienen.
(2) Die AGES hat ein Beratungsgremium („OTC-Beratungsgremium“) einzurichten, dem insbesondere Vertreter/innen
1. der Österreichischen Ärztekammer,
2. der Österreichischen Zahnärztekammer,
3. der Österreichischen Apothekerkammer,
4. der Bundeskammer der gewerblichen Wirtschaft in ihrer Eigenschaft als gesetzliche Vertretung der Hersteller sowie
5. der österreichischen Sozialversicherung
angehören.
4. Abschnitt
Standards für Struktur und Format von ELGA-Gesundheitsdaten
§ 13 ELGA-Interoperabilitätsstufe
Die ELGA-Interoperabilitätsstufe „EIS Full Support“ gilt als Mindeststandard für
1. die medizinischen Dokumente gemäß § 2 Z 9 lit. a sublit. aa bis cc GTelG 2012, nämlich
a) Entlassungsbriefe,
b) Laborbefunde und
c) Befunde der bildgebenden Diagnostik einschließlich allfälliger Bilddaten sowie
2. Medikationsdaten gemäß § 2 Z 9 lit. b GTelG 2012.
§ 14 Standards für Struktur und Format von Medikationsdaten
(1) Datensätze zur Verordnung und Abgabe von Arzneimitteln (Medikationsdaten gemäß § 2 Z 9 lit. b GTelG 2012) haben die in § 15 genannten Angaben zu enthalten.
(2) Zum Zweck der Vollständigkeit und Eindeutigkeit der wechselwirkungsrelevanten Informationen bei Arzneispezialitäten reicht die Angabe des Handelsnamens, wenn Stärke und Darreichungsform miterfasst werden, aus. Andernfalls sind zusätzlich zum Handelsnamen sämtliche Wirkstoffe
1. bei Arzneispezialitäten mit deren ATC-Code (anatomisch-therapeutisch-chemisches Klassifikationssystem der Weltgesundheitsorganisation) und
2. bei magistralen Zubereitungen mit deren Bezeichnung
zu erfassen.
(3) Anstelle der Erfassung von Handelsnamen bzw. Wirkstoff gemäß Abs. 1 Z 3 ist auch die Erfassung des Arzneimittels anhand eines eindeutigen Ordnungsbegriffs zulässig, wenn dieser eine eindeutige und unverwechselbare Bezeichnung des Arzneimittels, seiner Wirkungsweise und seiner Packungsgröße zulässt, wie etwa der Pharmazentralnummer oder anderer, nicht-proprietärer Nomenklaturen. Dabei sind im Sinne der Interoperabilität nach Möglichkeit auch in anderen Mitgliedstaaten der Europäischen Union verwendbare Identifikatoren heranzuziehen. Der Dachverband der Sozialversicherungsträger hat die entsprechende Erfassungsmöglichkeit anzubieten.
(Anm.: Abs. 4 und 5 aufgehoben durch Art. 2 Z 15, BGBl. II Nr. 11/2025)
§ 15 Datensätze zur Verordnung und Abgabe von Arzneimitteln
(1) Datensätze zu Medikationsdaten gemäß § 2 Z 9 lit. b GTelG 2012 haben jedenfalls folgende Angaben zu enthalten:
1. die Identität der ELGA-Teilnehmer/innen, an die das Arzneimittel verordnet bzw. abgegeben wird, durch Verarbeitung entsprechender eindeutiger Identifikatoren des Patientenindex gemäß § 18 GTelG 2012,
2. die Identität des tatsächlich verordnenden bzw. abgebenden ELGA-Gesundheitsdiensteanbieters durch Verarbeitung entsprechender eindeutiger Identifikatoren des Gesundheitsdiensteanbieterindex gemäß § 19 GTelG 2012,
3. den Handelsnamen oder den Wirkstoff,
4. die Verordnungs-ID als eindeutigen, maschinell erhobenen und maschinell lesbaren Identifikator der Verordnung sowie
5. die Abgabe-ID als eindeutigen, maschinell erhobenen Identifikator der Abgabe.
(2) Datensätze zu Medikationsdaten gemäß § 2 Z 9 lit. b GTelG 2012, die sich auf die Verordnung von Arzneimittel beziehen, dürfen über Abs. 1 hinaus folgende Angaben enthalten:
1. Angaben zur Dauer der Gültigkeit und Abgabewiederholung der Verordnung,
2. die Einnahmeregeln zum Zeitpunkt der Verordnung,
3. die verordnete Packungsanzahl sowie
4. nach der Art der jeweiligen Arzneimittelverordnung erforderliche, der Patientin/dem Patienten mitgeteilte Zusatzinformationen.
§ 16 Implementierungsleitfäden
(1) Inhalt, Struktur, Format und Codierung von ELGA-Gesundheitsdaten gemäß § 2 Z 9 lit. a und b GTelG 2012 sind in den folgenden Implementierungsleitfäden festgelegt:
1. Allgemeiner CDA-Implementierungsleitfaden (Version 3),
2. Implementierungsleitfaden Entlassungsbrief Ärztlich (Version 2.06),
3. Implementierungsleitfaden Entlassungsbrief Pflege (Version 2.06),
4. Implementierungsleitfaden Labor- und Mikrobiologiebefund (Version 3),
5. Implementierungsleitfaden Befund bildgebender Diagnostik (Version 3),
6. Implementierungsleitfaden XDS Metadaten (Version 3),
7. Implementierungsleitfaden E-Medikation (Version 2.06),
8. Implementierungsleitfaden Pflegesituationsbericht (Version 2.06),
9. Implementierungsleitfaden Ambulanzbefund (Version 1),
10. Implementierungsleitfaden Telemonitoring-Episodenbericht (Version 1) sowie
11. Implementierungsleitfaden KOS (Version 1).
(2) Medizinische Dokumente und Medikationsdaten haben alle Felder zu enthalten, die in den Implementierungsleitfäden mit den Konformitätskriterien „Mandatory“ [M], „Required“ [R] oder „Fixed“ [F] bezeichnet sind und für die eine minimale Kardinalität von 1 angegeben ist. Die eingehaltene ELGA-Interoperabilitätsstufe ergibt sich aus der tatsächlichen Verwendung von Feldern, die in den Implementierungsleitfäden mit den Konformitätskriterien „Mandatory“ [M], „Required“ [R] oder „Fixed“ [F] bezeichnet sind.
§ 17 Terminologien
(1) Für die Verarbeitung von ELGA-Gesundheitsdaten gemäß § 2 Z 9 GTelG 2012 sind die gemäß Abs. 2 veröffentlichten Terminologien zu verwenden.
(2) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat
1. die für die Verarbeitung von ELGA-Gesundheitsdaten zu verwendenden Terminologien sowie
2. die OID der zu verwendenden Terminologien
als kontrollierte Vokabulare in elektronischer Form am Öffentlichen Gesundheitsportal Österreichs (§ 12a GTelG 2012) unter www.gesundheit.gv.at zu veröffentlichen.
(3) Sind Terminologien zu aktualisieren, so hat der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin diese gemäß Abs. 2 zu veröffentlichen.
5. Abschnitt
Aushang zu den ELGA-Teilnehmer/innenrechten
§ 18
Pflicht zur Information
(1) Ab dem jeweils für sie gültigen Verpflichtungstermin haben die ELGA-Gesundheitsdiensteanbieter (§ 2 Z 10 GTelG 2012) die ELGA-Teilnehmer/innen gemäß § 16 Abs. 4 GTelG 2012 mittels eines verständlichen, gut sichtbaren und leicht zugänglichen Aushanges („ELGA-Aushang“) zu informieren.
(2) Der ELGA-Aushang ist von den ELGA-Gesundheitsdiensteanbietern (§ 2 Z 10 GTelG 2012) in jenen Bereichen ihrer Räumlichkeiten zu platzieren, in denen sich die ELGA-Teilnehmer/innen anmelden.
(3) Die gesetzlichen Interessenvertretungen der ELGA-Gesundheitsdiensteanbieter haben den ELGA-Aushang den jeweiligen ELGA-Gesundheitsdiensteanbietern rechtzeitig, spätestens ab dem jeweils gültigen Verpflichtungstermin, zur Verfügung zu stellen.
(4) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat
1. den ELGA-Gesundheitsdiensteanbietern gemäß § 2 Z 10 lit. a, lit. c und lit. d GTelG 2012, sowie gemäß § 2 Z 10 lit. e GTelG 2012, sofern es sich dabei um stationäre Einrichtungen handelt, entsprechende Muster ( Anlage 1 bis 4 ) sowie
2. ein allgemeines Muster ( Anlage 5 )
für den ELGA-Aushang zur Verfügung zu stellen und kann diese Muster jeweils auch am Öffentlichen Gesundheitsportal Österreichs (§ 12a GTelG 2012) unter www.gesundheit.gv.at zur Verfügung stellen.
(5) Werden die gemäß Abs. 4 zur Verfügung gestellten Muster aktualisiert, haben die ELGA-Gesundheitsdiensteanbieter, die diese Muster-Aushänge verwenden, den aktualisierten ELGA-Aushang spätestens drei Monate nach der Aktualisierung zu verwenden.
§ 19 Anforderungen an den ELGA-Aushang
(1) Für den ELGA-Aushang gilt Folgendes:
1. Der ELGA-Aushang hat die Überschrift „Information für Patientinnen und Patienten“ sowie das ELGA-Logo zu enthalten.
2. Für die Überschrift und das ELGA-Logo sind die für andere Anschläge bei dem jeweiligen ELGA-Gesundheitsdiensteanbieter übliche Schreibweise, Schriftgröße sowie Aufmachung zu verwenden.
3. Anpassungen an den jeweiligen Außenauftritt („Corporate Design“) des ELGA-Gesundheitsdiensteanbieters sind zulässig.
(2) Der ELGA-Aushang hat jedenfalls Folgendes zu enthalten:
1. Information über die Möglichkeit über das Zugangsportal und
a) über die ELGA-Ombudsstelle eine persönliche Information über die in ELGA gespeicherten ELGA-Gesundheitsdaten sowie Protokolldaten sowie
b) über die eHealth-Servicestelle Auskunft gemäß Art. 15 DSGVO über die in ELGA gespeicherten ELGA-Gesundheitsdaten
zu erhalten,
2. Information darüber, dass ELGA-Teilnehmer/innen über das Zugangsportal oder über die ELGA-Ombudsstelle individuelle Zugriffsberechtigungen für ELGA festlegen können,
3. Information über die Möglichkeit, einen ELGA-Gesundheitsdiensteanbieter des Vertrauens festzulegen und
6. Abschnitt
Betreiberfestlegungen
§ 20
(1) Der Bundesrechenzentrum GmbH obliegt die Wartung und der Betrieb sowie die betriebliche Weiterentwicklung nachstehender zentraler ELGA-Services:
1. Berechtigungssystem (§ 21 GTelG 2012),
2. Protokollierungssystem (§ 22 GTelG 2012),
3. Gesundheitsdiensteanbieterindex (§ 19 GTelG 2012).
(2) Der Bundesrechenzentrum GmbH obliegt die Koordination und Steuerung des Betriebs der zentralen ELGA-Services.
(3) Der Bundesrechenzentrum GmbH obliegt die Erbringung unterstützender Dienstleistungen im Zusammenhang mit der Ausrollung und der systematischen Weiterentwicklung der ELGA.
(4) Sofern für die Nutzung der ELGA-Services gemäß Abs. 1 oder Leistungen gemäß den Abs. 2 und 3 Entgelte eingehoben werden, kann die Bundesrechenzentrum GmbH auch mit den Aufgaben der Verrechnungsstelle betraut werden.
(5) Art, Umfang und Dauer der jeweiligen Aufgabenstellung sowie der für die damit verbundenen Leistungen zu entrichtende Kostenersatz sind mittels vertraglicher Grundlage zu konkretisieren.
7. Abschnitt
Sicherheitsanforderungen für ELGA
§ 21 Zeitliche Verfügbarkeit
(1) Die Betreiber von ELGA-Komponenten haben
1. die Komponentenverfügbarkeit (§ 2 Z 3)
a) während der Kernzeit (Abs. 2) zu gewährleisten, wobei eine Nicht-Verfügbarkeit von maximal elf Stunden pro Kalendervierteljahr zulässig ist,
b) außerhalb der Kernzeit (Abs. 2) in hohem Maße sicherzustellen,
2. auf Störungen unverzüglich zu reagieren, wobei Störungen außerhalb der Kernzeit jedenfalls im nächsten Kernzeitfenster bearbeitet werden müssen,
3. auf sonstige Anfragen so schnell wie möglich zu reagieren,
4. zu gewährleisten, dass der Zeitraum zwischen zwei Wiederherstellungspunkten so gering wie möglich ist, jedenfalls aber 30 Stunden nicht übersteigt und
5. die Wiederherstellung gesicherter Daten mindestens einmal jährlich zu testen; dies ist gemäß § 8 GTelG 2012 zu dokumentieren.
(2) Im Sinne dieser Verordnung versteht man unter Kernzeit
1. ab Inkrafttreten dieser Verordnung bis 30. Juni 2025 die Zeit an einem Werktag
§ 22 Sicherheitsanforderungen und Zugriffsschutz
(1) Zur Gewährleistung eines hohen Niveaus an Sicherheit und eines Zugriffsschutzes haben die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) die Sicherheitsanforderungen gemäß § 23 bis § 30 einzuhalten und die Einhaltung dieser Sicherheitsanforderungen laufend zu überwachen.
(2) Abs. 1 gilt auch für all jene Dienste, die zur Kommunikation zwischen den ELGA-Komponenten erforderlich sind.
§ 23 Für die Informationssicherheit beauftragte Person
(1) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben aus ihren jeweiligen Mitarbeiter/innen für die Informationssicherheit beauftragte Person zu benennen.
(2) Im Falle von Sicherheitszwischenfällen und -problemen, die direkt oder indirekt eine Gefährdung von ELGA bedingen können, haben
1. die Mitarbeiter/innen der Betreiber von ELGA-Komponenten diese Sicherheitszwischenfälle und -probleme unmittelbar an die für die Informationssicherheit beauftragte Person zu melden und
2. hat die für die Informationssicherheit beauftragte Person diese Information im Falle der Notwendigkeit direkt an die für die Informationssicherheit beauftragte Person anderer Betreiber von ELGA-Komponenten zu übermitteln.
(3) Die Betreiber von ELGA-Komponenten dürfen
1. Warnungen vor Sicherheitslücken sowie
2. Lösungsansätze zur Schließung von Sicherheitslücken
auch mit Koordinationsnetzen zur IT-Sicherheit, die von Verantwortlichen (Art. 4 Z 7 DSGVO) des öffentlichen Bereichs betrieben werden, austauschen.
§ 24 Risikomanagement
(1) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben ein Risikomanagement (Abs. 2) einzuhalten.
(2) Das Risikomanagement umfasst insbesondere:
1. die Erfassung von Sicherheitsrisiken,
2. die Bewertung von Sicherheitsrisiken,
3. die angemessene Reaktion auf Sicherheitsrisiken sowie
4. die Dokumentation der Reaktion gemäß § 8 GTelG 2012.
§ 25 Sicherheitsanforderungen an Prozesse
(1) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben am Ticket-System der Serviceline (§ 14 der ELGA- und eHealth-Supporteinrichtungsverordnung (SupE-V), BGBl. II Nr. 11/2025) teilzunehmen. Die Serviceline hat auf eine möglichst effiziente Abwicklung zu achten.
(2) Die Betreiber von ELGA-Komponenten haben die Betriebsprozesse zur
1. Erfassung von IT-Sicherheitszwischenfällen,
2. Reaktion auf IT-Sicherheitsprobleme,
3. Änderung der technischen Infrastruktur von ELGA-Komponenten,
4. Eingliederung und Ausrollung neuer Software,
5. Authentifizierung von Benutzern und Benutzerinnen sowie
6. Aufrechterhaltung der Betriebskontinuität
gemäß § 8 GTelG 2012 zu dokumentieren.
§ 26 Technische Sicherheitsanforderungen
(1) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben
1. die Aktualität der für die Zwecke von ELGA eingesetzten Software sicherzustellen,
2. durch das Ergreifen von geeigneten technischen Maßnahmen sicherzustellen, dass die von ihnen übermittelten Daten frei von Viren oder anderer Schadsoftware sind,
3. die Ausführungsbestimmungen der in Abs. 2 angeführten Zertifikate gemäß § 8 GTelG 2012 zu dokumentieren und
4. die zeitliche Synchronität der ELGA-Komponenten zu gewährleisten.
(2) Bei der Übermittlung von ELGA-Gesundheitsdaten an Betreiber von ELGA-Komponenten dürfen von ELGA-Gesundheitsdiensteanbietern (§ 2 Z 10 GTelG 2012) und übermittelten Betreibern von ELGA-Komponenten ausschließlich die von dem empfangenen Betreiber von ELGA-Komponenten zur Verfügung gestellten Zertifikate verwendet werden.
(3) Zu entsorgende Datenträger und Unterlagen sind so zu zerstören, dass sie nicht mehr gelesen werden können. Die verwendete Methode ist gemäß § 8 GTelG 2012 zu dokumentieren.
(4) Endgeräte, über die ELGA genutzt werden kann, sind vor unbefugtem Zugang und Gebrauch zu schützen.
§ 27 Sicherheitsanforderungen an die Authentifizierung
(1) Zur Sicherstellung der bereits erfolgten Authentifizierung dürfen Sicherheitstoken (§ 2 Z 5) verarbeitet werden.
(2) Sicherheitstoken gemäß Abs. 1 dürfen folgende Datenarten umfassen:
1. die eindeutige Kennung des Softwareservices, das den Sicherheitstoken ausgestellt hat,
2. das Datum sowie den Zeitpunkt der Identitätsfeststellung,
3. das bereichsspezifische Personenkennzeichen Gesundheit („bPK-GH“) oder die OID des ELGA-Gesundheitsdiensteanbieters,
4. das bPK-GH oder eine eindeutige Kennung der ELGA-Teilnehmerin/des ELGA-Teilnehmers,
5. die Qualität der Identifikation sowie
6. den Status des Sicherheitstokens.
(3) Sicherheitstoken dürfen nicht länger gültig sein als
1. vier Stunden in Netzen gemäß § 6 Abs. 1 Z 1 GTelG 2012 und
2. 20 Minuten in allen anderen Netzen.
§ 28 Sicherheitsanforderungen für Testumgebungen
(1) Testsysteme sind von Produktivsystemen zu trennen. Die Haltung von Produktivsystemen zu Zwecken der Fehlerbehebung sowie zur Sicherung der Datenqualität und Betriebsstabilität ist zulässig.
(2) Die Verarbeitung von personenbezogenen Echtdaten von ELGA-Teilnehmer/innen zur Verwendung von ELGA zu Testzwecken ist unzulässig.
§ 29 Bauliche Sicherheitsanforderungen
Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben eine dem Stand der Technik entsprechende Überwachung aller Zutrittsmöglichkeiten zu Räumlichkeiten, in denen sich technische Infrastruktur von ELGA-Komponenten (§ 24 GTelG 2012) befindet, sicherzustellen und einen angemessenen baulichen und technischen Einbruchschutz für diese Räumlichkeiten vorzusehen.
§ 30 Sicherheitsanforderungen an das Personal
(1) Die Betreiber von ELGA-Komponenten (§ 24 GTelG 2012) haben
1. ihre Mitarbeiter/innen über die einschlägigen Rechtsvorschriften zu belehren,
2. technisch zu gewährleisten, dass es keine Verarbeitung von ELGA-Gesundheitsdaten außerhalb der zulässigen Rollen gibt,
3. bei der Vergabe von Benutzerberechtigungen sicherzustellen, dass Mitarbeiter/inne/n nicht einander ausschließende Rollen zugeteilt werden und
4. bei Austritt und Wechsel von Mitarbeiter/inne/n dafür zu sorgen, dass eine vollständige Rücksetzung der Berechtigungen erfolgt.
(2) Die Mitarbeiter/innen der Betreiber von ELGA-Komponenten sind vor Aufnahme ihrer Tätigkeit schriftlich über das Datengeheimnis gemäß § 6 DSG zu informieren. Dieses Datengeheimnis gilt auch über die Beendigung der Tätigkeit der Mitarbeiter/innen hinaus.
(3) Bei Beendigung der Tätigkeit sind allfällige Betriebsmittel, die ELGA-Gesundheitsdaten enthalten können, zurückzustellen.
(4) Bei der Übermittlung von Authentifizierungsdaten haftet derjenige, der die Authentifizierungsdaten übermittelt hat.
§ 31 Meldung
(1) Betreiber von Datenspeichern und Verweisregistern haben vor Aufnahme des Betriebes dem für das Gesundheitswesen zuständigen Bundesminister oder der zuständigen Bundesministerin eine Meldung zu erstatten. Der Meldung ist ein IT-Sicherheitskonzept (§ 8 GTelG 2012) anzuschließen.
(2) Die Meldung gemäß Abs. 1 hat
1. die Angaben gemäß § 10 Abs. 1 Z 1 bis 4 und 10 GTelG 2012 sowie
2. den Namen und die Kontaktdaten der von dem Betreiber berechtigten Personen, die die Ausstellung von Zertifikaten gemäß § 26 Abs. 2 im Namen des Betreibers beantragen dürfen,
zu enthalten.
(3) Der für das Gesundheitswesen zuständige Bundesminister oder die zuständige Bundesministerin hat den Betreibern von Datenspeichern und Verweisregistern den Betrieb oder die Fortsetzung des Betriebs mittels Bescheid zu untersagen, wenn die Voraussetzungen dieser Verordnung nicht eingehalten werden.
8. Abschnitt
Schlussbestimmungen
§ 32 In- und Außerkrafttreten
(1) Diese Verordnung tritt mit 15. Mai 2015 in Kraft.
(1a) § 2 Z 2a, 3a, 3b und 6, § 4 Abs. 6 und 8, § 11 Abs. 3, § 13 Abs. 1 Z 3 und 4 sowie Abs 1a bis 1c, § 16, § 17 Abs. 3, die §§ 17a bis 17k samt Überschriften, § 18 Abs. 5, § 19, § 21 Abs. 1a und 8, § 23 sowie die Anlage , in der Fassung der ELGA-Verordnungsnovelle 2015, BGBl. II Nr. 373/2015, treten mit 27. November 2015 in Kraft.
(1b) § 3 Abs. 1, § 8 Abs. 1 und 3, § 18 Abs. 5, § 21 Abs. 8, die Überschrift des § 21, § 21a sowie die Anlagen, in der Fassung der ELGA-Verordnungsnovelle 2017, BGBl. II Nr. 380/2017, treten mit dem auf den Tag der Kundmachung folgenden Tag in Kraft.
(1c) § 1 Z 2 lit. d bis f, § 2 Z 1, 3a und 4, § 5 Abs. 2, § 6 Abs. 1, § 8 Abs. 2 Z 4 und Abs. 3, § 9 Abs. 1, § 10 Abs. 1, § 12 Abs. 2, § 14 Abs. 1 Z 1, 2, 4 und 5, § 17 Abs. 3, § 17c Abs. 3, § 17f Abs. 2 und 3, § 17g Abs. 1, § 17j Abs. 1 Z 2, Abs. 2 und 4, § 20, § 21 Abs. 1 und 2 sowie § 21a Abs. 2, in der Fassung der ELGA-Verordnungsnovelle 2018, BGBl. II Nr. 54/2019, treten mit dem auf den Tag der Kundmachung folgenden Tag in Kraft.
(1d) § 2 Z 3 lit. f und g sowie Z 7, § 16 Abs. 1 Z 1 und 6 bis 10, Abs. 2 und 4 bis 7 sowie § 23 in der Fassung der Verordnung BGBl. II Nr. 35/2022 treten mit Ablauf des Tages ihrer Kundmachung im Bundesgesetzblatt in Kraft.
(1e) § 3 Abs. 1, § 5 Abs. 3, § 7 Abs. 5, § 8 Abs. 1 und 4, § 14 Abs. 3, § 16 Abs. 1 Z 4 und 9 bis 11, Abs. 5 und 7 sowie § 23 Abs. 3 in der Fassung der Verordnung BGBl. II Nr. 339/2023 treten mit Ablauf des Tages ihrer Kundmachung im Bundesgesetzblatt in Kraft.
(1f) In der Fassung der Verordnung BGBl. II Nr. 11/2025 treten mit dem 1. April 2025
1. in Kraft das Inhaltsverzeichnis, die Überschrift zu § 2, § 2 Z 2 bis lit. b, lit. c bis e, Z 3 (neu) bis 8 (neu) und Z 9, der 2. und 3. Abschnitt (neu), die Überschrift des 4. Abschnitts, § 13 samt Überschrift, die Überschrift zu § 14, § 14 Abs. 1, § 15 samt Überschrift, § 16 Abs. 1 und 3, § 17 samt Überschrift, der 5. Abschnitt (neu), die Überschrift des 6. Abschnitts, der 7. und 8. Abschnitt (neu) sowie die Anlagen, und
§ 33 Hinweis zur Notifikation
(1) Diese Verordnung wurde unter Einhaltung der Bestimmungen der Richtlinie 98/34/EG über ein Informationsverfahren auf dem Gebiet der Normen und technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, ABl. Nr. L 204 vom 21.07.1998 S. 37, zuletzt geändert durch die Richtlinie 2006/96/EG, ABl. Nr. L 363 vom 20.12.2006 S. 81, der Europäischen Kommission unter den Notifikationsnummern 2014/629/A und 2015/414/A, notifiziert.
(2) Die Verordnung BGBl. II Nr. 35/2022 wurde unter Einhaltung der Bestimmungen der Richtlinie (EU) 2015/1535 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, ABl. Nr. L 241 vom 17.09.2015 S. 1, notifiziert (Notifikationsnummer: 2021/0678/A).
(3) Die Verordnung BGBl. II Nr. 339/2023 wurde unter Einhaltung der Bestimmungen der Richtlinie (EU) 2015/1535 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften für die Dienste der Informationsgesellschaft, ABl. Nr. L 241 vom 17.09.2015 S. 1, notifiziert (Notifikationsnummer: 2023/0439/AT).
Anlage 1
Anl. 1
Anlage 2
Anl. 2
Anlage 3
Anl. 3
Anlage 4
Anl. 4
Anlage 5
Anl. 5
