G385/2018 – Verfassungsgerichtshof (VfGH) Entscheidung
Spruch
Der Antrag wird zurückgewiesen.
Begründung
I. Antrag
Mit dem auf Art140 Abs1 Z1 litc B VG gestützten Antrag begehrt der Antragsteller, der Verfassungsgerichtshof möge,
"die angefochtenen Bestimmungen des Bundesgesetzes betreffend Datensicherheitsmaßnahmen bei der Verwendung elektronischer Gesundheitsdaten (Gesundheitstelematikgesetz 2012 – GTelG 2012) jeweils in der geltenden Fassung als verfassungswidrig aufheben, nämlich:
§13 Abs2
§13 Abs3
§13 Abs7
§20 Abs1, Abs2, Abs3 1. Satz, Abs4 und Abs5
§21 Abs2
§27 Abs3, 1. Satz."
II. Rechtslage
§2, §13, §14, §15, §16, §20, §21 und §27 des Bundesgesetzes betreffend Datensicherheitsmaßnahmen bei der Verarbeitung elektronischer Gesundheitsdaten und genetischer Daten (Gesundheitstelematikgesetz 2012 – GTelG 2012), BGBl I 111/2012, idF BGBl I 37/2018 lauten (die angefochtenen Bestimmungen des §13 idF BGBl I 37/2018, des §20 idF BGBl I 37/2018, des §21 in der Stammfassung und des §27 idF BGBl I 37/2018 sind hervorgehoben):
"Begriffsbestimmungen
§2. Im Sinne dieses Bundesgesetzes bedeuten
1. 'Gesundheitsdaten': Gesundheitsdaten gemäß Art4 Z15 DSGVO.
1a. 'Genetische Daten': Genetische Daten gemäß Art4 Z13 DSGVO.
2. 'Gesundheitsdiensteanbieter' ('GDA'): Verantwortlicher oder Auftragsverarbeiter (Art4 Z7 und 8 DSGVO), die regelmäßig in einer Rolle nach der gemäß §28 Abs1 Z1 erlassenen Verordnung Gesundheitsdaten oder genetische Daten in elektronischer Form zu folgenden Zwecken verarbeiten:
a) medizinische Behandlung oder Versorgung oder
b) pflegerische Betreuung oder
c) Verrechnung von Gesundheitsdienstleistungen oder
d) Versicherung von Gesundheitsrisiken oder
e) Wahrnehmung von Patient/inn/en/rechten.
3. 'IT-Sicherheitskonzept': Summe aller Datensicherheitsmaßnahmen eines Gesundheitsdiensteanbieters, die zum Schutz von personenbezogenen Daten, insbesondere von besonderen Kategorien personenbezogener Daten, notwendig und angemessen im Sinne des Art32 DSGVO sind.
4. 'Registrierungsstellen': jene Stellen, die die Verzeichnisse gemäß §9 Abs3 Z1 führen oder in §9 Abs3 Z2 und 3 angeführt sind.
5. 'Rolle': Klassifizierung von Gesundheitsdiensteanbietern nach der Art ihres Aufgabengebietes, ihrer Erwerbstätigkeit, ihres Betriebszweckes oder ihres Dienstleistungsangebotes.
6. 'Elektronische Gesundheitsakte' ('ELGA'): ein Informationssystem, das allen berechtigten ELGA-Gesundheitsdiensteanbietern (Z10) und ELGA-Teilnehmer/inne/n ELGA-Gesundheitsdaten (Z9) in elektronischer Form orts- und zeitunabhängig (ungerichtete Kommunikation) zur Verfügung stellt.
7. 'Datenspeicher' ('Repository'): technische Infrastruktur, die der Speicherung von ELGA-Gesundheitsdaten dient.
8. 'elektronische Verweise auf ELGA-Gesundheitsdaten': elektronische Informationen in ELGA zu Art und Speicherort von ELGA-Gesundheitsdaten.
9. 'ELGA-Gesundheitsdaten': Folgende personenbezogene Daten, die zur weiteren Behandlung, Betreuung oder Sicherung der Versorgungskontinuität von ELGA-Teilnehmer/inne/n wesentlich sein könnten und in ELGA verarbeitet werden dürfen:
a) medizinische Dokumente einschließlich allfälliger Bilddaten in standardisierter Form gemäß §28 Abs2 Z1, die Gesundheitsdaten gemäß Z1 oder genetische Daten gemäß Z1a, mit Ausnahme von Daten, die ausschließlich die Verrechnung von Gesundheitsdienstleistungen oder gesundheitsbezogenen Versicherungsdienstleistungen betreffen, enthalten, wie:
aa) Entlassungsbriefe gemäß §24 Abs2 des Krankenanstalten- und Kuranstaltengesetzes (KAKuG), BGBl Nr 1/1957,
bb) Laborbefunde,
cc) Befunde der bildgebenden Diagnostik sowie
dd) weitere medizinische Befunde in Struktur und Format gemäß §28 Abs2 Z3 lita,
b) Medikationsdaten gemäß Z1 betreffend verschreibungspflichtige sowie nicht verschreibungspflichtige Arzneimittel ('e-Medikation'),
c) Patientenverfügungen (§2 Abs1 des Patientenverfügungs-Gesetzes, BGBl I Nr 55/2006),
d) Vorsorgevollmachten (§284f des Allgemeinen bürgerlichen Gesetzbuches, JGS. Nr 946/1811),
e) Daten aus den Registern gemäß §§73 und 73a des Medizinproduktegesetzes (MPG), BGBl Nr 657/1996, sowie
f) Patientendaten gemäß Art14 Abs2 litb subliti der Richtlinie 2011/24/EU über die Ausübung der Patientenrechte in der grenzüberschreitenden Gesundheitsversorgung ('patient summary'),
wobei Geheimnisse gemäß §10 Abs4 KAKuG, Daten dieser Art, wenn sie von anderen Gesundheitsdiensteanbietern verwendet werden, sowie Aufzeichnungen über Ergebnisse gemäß §71a Abs2 des Gentechnikgesetzes (GTG), BGBl Nr 510/1994, keinesfalls ELGA-Gesundheitsdaten sind.
10. 'ELGA-Gesundheitsdiensteanbieter' ('ELGA-GDA') sind die folgenden Gesundheitsdiensteanbieter (Z2):
a) Angehörige des ärztlichen Berufes gemäß §3 des Ärztegesetzes 1998 (ÄrzteG 1998), BGBl I Nr 169/1998, auch bei Ausübung des ärztlichen Berufes in der Form einer Zusammenarbeit als selbstständig berufsbefugte Gruppenpraxis, ausgenommen:
aa) Ärzte und Ärztinnen, die Aufgaben des chef- und kontrollärztlichen Dienstes der Sozialversicherungsträger erfüllen,
bb) Ärzte und Ärztinnen, die die Grundlagen von Versicherungsverhältnissen sowie daraus resultierende Ansprüche zu beurteilen haben,
cc) Arbeitsmediziner/innen (§81 des ArbeitnehmerInnenschutzgesetzes, BGBl Nr 450/1994),
dd) Amtsärzte und Amtsärztinnen (§41 ÄrzteG 1998),
ee) Ärzte und Ärztinnen, die an der Feststellung der Eignung zum Wehrdienst mitwirken, sowie
ff) Schulärzte und Schulärztinnen (§66 des Schulunterrichtsgesetzes, BGBl Nr 472/1986),
b) Angehörige des zahnärztlichen Berufes (§5 des Zahnärztegesetzes [ZÄG], BGBl I Nr 126/2005), auch bei Ausübung des zahnärztlichen Berufes in der Form einer Zusammenarbeit als selbstständig berufsbefugte Gruppenpraxis, ausgenommen:
aa) Dentisten und Dentistinnen (§60 ZÄG),
bb) Amtszahnärzte und Amtszahnärztinnen (§32 ZÄG),
cc) Zahnärzte und Zahnärztinnen, die Aufgaben des chef- und kontrollärztlichen Dienstes der Sozialversicherungsträger erfüllen sowie
dd) Zahnärzte und Zahnärztinnen, die die Grundlagen von Versicherungsverhältnissen sowie daraus resultierende Ansprüche zu beurteilen haben,
c) Apotheken gemäß §1 des Apothekengesetzes, RGBl. Nr 5/1907,
d) Krankenanstalten gemäß §1 KAKuG, ausgenommen selbstständige Ambulatorien (§2 Abs1 Z5 KAKuG) im Aufgabenbereich der Arbeitsmedizin sowie
e) Einrichtungen der Pflege, deren Betrieb einer Melde-, Anzeige- oder Bewilligungspflicht nach bundes- oder landesgesetzlichen Vorschriften sowie der behördlichen Aufsicht oder Kontrolle unterliegt.
11. 'ELGA-Systempartner': der Bund, die Länder sowie der Hauptverband der österreichischen Sozialversicherungsträger (im Folgenden: Hauptverband).
12. 'ELGA-Teilnehmer/innen': natürliche Personen, die die Teilnahmevoraussetzungen des §15 erfüllen und für die daher elektronische Verweise auf sie betreffende ELGA-Gesundheitsdaten (Z9) aufgenommen werden dürfen.
13. 'Verweisregister' ('Registry'): ein Register, das im Rahmen von ELGA der Aufnahme von elektronischen Verweisen auf ELGA-Gesundheitsdaten (Z9) dient.
14. 'ELGA-Ombudsstelle': jene Stelle, die ELGA-Teilnehmer/innen bei der Wahrnehmung und Durchsetzung ihrer Rechte in Angelegenheiten von ELGA und in Angelegenheiten des Datenschutzes berät und unterstützt sowie die ELGA-Systempartner bei der Weiterentwicklung der Teilnehmer/innen/rechte und des Datenschutzes unterstützt.
15. 'Widerspruchstellen': jene Stellen, gegenüber denen ein genereller Widerspruch von ELGA-Teilnehmer/inne/n schriftlich abgegeben werden kann.
[…]
4. Abschnitt
Elektronische Gesundheitsakte (ELGA)
Allgemeine Bestimmungen zur Elektronischen Gesundheitsakte
§13. (1) Die Verwendung der Elektronischen Gesundheitsakte erfüllt ein erhebliches öffentliches Interesse gemäß Art9 Abs2 litg bis j der DSGVO. Dieses erhebliche öffentliche Interesse an der Nutzung von ELGA ergibt sich insbesondere aus:
1. einer verbesserten, schnelleren Verfügbarkeit medizinischer Informationen, die zu einer Qualitätssteigerung diagnostischer und therapeutischer Entscheidungen sowie der Behandlung und Betreuung führt,
2. der Steigerung der Prozess- und Ergebnisqualität von Gesundheitsdienstleistungen,
3. dem Ausbau integrierter Versorgung und eines sektorenübergreifenden Nahtstellenmanagements im öffentlichen Gesundheitswesen,
4. der Aufrechterhaltung einer qualitativ hochwertigen, ausgewogenen und allgemein zugänglichen Gesundheitsversorgung,
5. der Stärkung der Patient/inn/en/rechte, insbesondere der Informationsrechte und des Rechtsschutzes bei der Verarbeitung von personenbezogenen Daten sowie
6. einem Beitrag zur Wahrung des finanziellen Gleichgewichts des Systems der sozialen Sicherheit.
(2) ELGA-Gesundheitsdiensteanbieter haben zur Erfüllung der in §14 Abs2 genannten Zwecke das Recht, ELGA-Gesundheitsdaten in ELGA zu speichern und unter Berücksichtigung der jeweiligen Berufspflichten (z. B. §49 Abs1 ÄrzteG 1998; §10 Apothekenbetriebsordnung 2005, BGBl II Nr 65/2005) zu erheben, sofern in diesem Bundesgesetz nichts Anderes, etwa durch die Ausübung von ELGA-Teilnehmer/innen/rechten gemäß §16, festgelegt ist.
(3) Zur Sicherstellung der in Abs1 genannten Ziele sind in ELGA frühestens ab den in §27 Abs2 bis 6 genannten Zeitpunkten und spätestens ab dem Zeitpunkt gemäß §28 Abs2 Z4 zu speichern:
1. Entlassungsbriefe (§2 Z9 lita sublitaa) durch Krankenanstalten (§2 Z10 litd),
2. Laborbefunde (§2 Z9 lita sublitbb) durch Angehörige des ärztlichen Berufes (§2 Z10 lita), sofern diese Fachärzte/Fachärztinnen der Sonderfächer medizinisch-chemische Labordiagnostik oder Hygiene und Mikrobiologie sind, sowie durch Krankenanstalten (§2 Z10 litd) im Rahmen ambulanter Behandlung,
3. Befunde der bildgebenden Diagnostik durch Angehörige des ärztlichen Berufes (§2 Z10 lita), sofern diese Fachärzte/Fachärztinnen des Sonderfaches Radiologie sind, sowie durch Krankenanstalten (§2 Z10 litd) im Rahmen ambulanter Behandlung,
4. Medikationsdaten (§2 Z9 litb), insoweit sich diese auf Handelsname bzw Wirkstoff beziehen, durch Angehörige des ärztlichen Berufes (§2 Z10 lita) bei der Verordnung,
5. Medikationsdaten (§2 Z9 litb), insoweit sich diese auf Handelsname bzw Wirkstoff beziehen, durch Apotheken (§2 Z10 litc) und hausapothekenführende Ärzte/Ärztinnen bei der Abgabe,
6. weitere Befunde (§2 Z9 lita sublitdd) gemäß §28 Abs2 Z3 und 4.
(4) Allfällige Bilddaten (§2 Z9 lita) sind nur dann und nur in jenem Umfang in ELGA zu speichern, als dies der ELGA-Gesundheitsdiensteanbieter für erforderlich erachtet.
(5) Die ELGA-Systempartner haben unter Berücksichtigung der gebotenen Sicherheitsanforderungen ELGA so zur Verfügung zu stellen, dass die Anbindung von ELGA bei den ELGA-Teilnehmer/inne/n und den ELGA-Gesundheitsdiensteanbietern benutzer- und anwenderfreundlich, insbesondere durch einfach zu handhabende, effektive und für medizinische Kriterien optimierte Such- und Filterfunktionen, möglich ist.
(6) Die ELGA-Systempartner und die ELGA-Gesundheitsdiensteanbieter, gegebenenfalls vertreten durch die jeweilige gesetzliche Interessenvertretung, haben nach jeweiliger Zuständigkeit, unter Beachtung der wirtschaftlichen Vertretbarkeit sowie dem Stand der Technik, Parameter, die für die Benutzer- und Anwenderfreundlichkeit von wesentlicher Bedeutung sind, gemeinsam festzulegen. Die dafür relevanten und technischen Fragen und Parameter sind vor der Festlegung mit der Wirtschaftskammer Österreich abzustimmen.
(7) Ist aus Gründen, die nicht vom ELGA-Gesundheitsdiensteanbieter verschuldet sind, im konkreten Einzelfall eine Verwendung von ELGA technisch nicht möglich oder ist durch den mit der Suche verbundenen Zeitaufwand das Leben oder die Gesundheit des ELGA-Teilnehmers/der ELGA-Teilnehmerin ernstlich gefährdet, ist der ELGA-Gesundheitsdiensteanbieter nicht verpflichtet, ELGA-Gesundheitsdaten im Wege von ELGA zu erheben.
Grundsätze der Datenverarbeitung
§14. (1) Die Verarbeitung (Art4 Z2 DSGVO) von ELGA-Gesundheitsdaten ist nur zulässig, wenn
1. die ELGA-Teilnehmer/innen (§15 Abs1) gemäß §18 eindeutig identifiziert wurden,
2. die ELGA-Gesundheitsdiensteanbieter oder die ELGA-Ombudsstelle gemäß §19 eindeutig identifiziert wurden und
3. die ELGA-Gesundheitsdiensteanbieter oder die ELGA-Ombudsstelle gemäß §21 zur Verarbeitung der ELGA-Gesundheitsdaten berechtigt sind.
(2) Die durch ELGA verfügbar gemachten ELGA-Gesundheitsdaten dürfen personenbezogen ausschließlich
1. zu gemäß Art9 Abs2 lith DSGVO, ausgenommen für die Zwecke der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich sowie – unbeschadet der Fälle zulässiger Verarbeitung gemäß §14 Abs3a – ausgenommen für Zwecke der Arbeitsmedizin und die Beurteilung der Arbeitsfähigkeit des Beschäftigten, von
a) den/die ELGA-Teilnehmer/in behandelnden oder betreuenden ELGA-Gesundheitsdiensteanbietern,
b) ELGA-Gesundheitsdiensteanbietern, an die ein/eine ELGA-Teilnehmer/in zur Behandlung oder Betreuung von einem ELGA-Gesundheitsdiensteanbieter gemäß lita zugewiesen wurde sowie
c) Personen, die die in lita und b genannten ELGA-Gesundheitsdiensteanbieter bei der Ausübung ihrer Tätigkeit unterstützen und im konkreten Fall von diesen dazu angewiesen wurden oder
2. zur Wahrnehmung der Teilnehmer/innen/rechte gemäß §16 von
a) ELGA-Teilnehmer/inne/n,
b) deren gesetzlichen oder bevollmächtigten Vertreter/inne/n sowie
c) der ELGA-Ombudsstelle (§2 Z14)
verarbeitet werden.
(2a) Die Wahrnehmung der Teilnehmer/innen/rechte gemäß §16 steht ab Vollendung des 14. Lebensjahres (mündige Minderjährige) ausschließlich dem ELGA-Teilnehmer/der ELGA-Teilnehmerin zu.
(3) Das Verlangen, der Zugriff auf und die Verarbeitung von durch ELGA verfügbar gemachten ELGA-Gesundheitsdaten ist jedenfalls verboten:
1. Personen oder Einrichtungen, die weder ELGA-Gesundheitsdiensteanbieter (§2 Z10) noch ELGA-Ombudsstelle (§2 Z14) sind,
2. ELGA-Gesundheitsdiensteanbietern, die nicht in die Behandlung oder Betreuung eines ELGA-Teilnehmers/einer ELGA-Teilnehmerin eingebunden sind,
3. ELGA-Gesundheitsdiensteanbietern, wenn die Voraussetzungen des Abs1 nicht erfüllt sind,
4. der ELGA-Ombudsstelle, wenn sie nicht in die Beratung oder Unterstützung eines ELGA-Teilnehmers/einer ELGA-Teilnehmerin eingebunden ist,
5. Arbeitgeber/inne/n, Beschäftiger/innen, Personalberater/inne/n,
6. Versicherungsunternehmen,
7. Trägern der gesetzlichen Sozialversicherung sowie der Kranken- und Unfallfürsorgeanstalten, sofern sie nicht in die Behandlung oder Betreuung eines ELGA-Teilnehmers/einer ELGA-Teilnehmerin gemäß Abs2 und 3a eingebunden sind,
8. Verwaltungsbehörden und Gerichten sowie
9. sonstigen natürlichen und juristischen Personen, die nach diesem Bundesgesetz nicht ausdrücklich dazu berechtigt sind, sowie für alle Zwecke, die in diesem Bundesgesetz nicht ausdrücklich als zulässig bestimmt sind.
(3a) ELGA-Gesundheitsdiensteanbieter, die Arbeitgeber oder Beschäftiger und in die Behandlung oder Betreuung von ELGA-Teilnehmer/inne/n eingebunden sind, die ihre Arbeitnehmer/innen sind oder von ihnen beschäftigt werden, dürfen deren ELGA-Gesundheitsdaten nur dann verarbeiten, wenn sie
1. diese ELGA-Teilnehmer/innen zuvor ausdrücklich auf die Teilnehmer/innen/rechte gemäß §16 hingewiesen haben und
2. durch technische Mittel sichergestellt haben, dass innerhalb von ELGA-Gesundheitsdiensteanbietern nur Personen auf ELGA-Gesundheitsdaten zugreifen können, die in den konkreten Behandlungs- oder Betreuungsprozess des jeweiligen ELGA Teilnehmers/der jeweiligen ELGA-Teilnehmerin eingebunden sind.
(4) ELGA-Gesundheitsdiensteanbieter, die ELGA-Ombudsstelle sowie deren Auftragsverarbeiter (Art4 Z8 DSGVO) und Mitarbeiter/innen – das sind Arbeitnehmer/innen (Dienstnehmer/innen) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis – haben ELGA-Gesundheitsdaten, die ihnen aufgrund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten.
(5) Die aufgrund dieses Abschnittes vorzunehmenden Datenverarbeitungen erfüllen die Voraussetzungen des Art35 Abs10 DSGVO für einen Entfall der Datenschutz-Folgenabschätzung, sodass insbesondere weder die ELGA-Systempartner noch die ELGA-Gesundheitsdiensteanbieter eine Datenschutz-Folgenabschätzung durchführen müssen.
Grundsätze der ELGA-Teilnahme
§15. (1) ELGA-Teilnehmer/innen sind alle natürlichen Personen, die
1. im Patientenindex gemäß §18 erfasst sind und somit jedenfalls jene Personen, die in den Datenverarbeitungen des Hauptverbandes gemäß §31 Abs4 Z3 lita ASVG oder dem Ergänzungsregister gemäß §6 Abs4 E-GovG erfasst sind und
2. einer ELGA-Teilnahme nicht widersprochen haben (Abs2).
(2) Der Teilnahme an ELGA kann jederzeit generell widersprochen werden (Opt-out). Dabei ist anzugeben, ob sich dieser Widerspruch auf alle oder einzelne Arten von ELGA-Gesundheitsdaten (§2 Z9) beziehen soll. Dieser generelle Widerspruch kann
1. schriftlich gegenüber gemäß §28 Abs2 Z7 festzulegenden Widerspruchstellen abgegeben werden oder
2. elektronisch über das Zugangsportal (§23) erfolgen,
jedenfalls aber so, dass sowohl die eindeutige Identität der Person, die nicht an ELGA teilnehmen möchte, als auch die Authentizität der Mitteilung geprüft werden können. Der Widerspruch ist zu bestätigen. Der Bundesminister für Gesundheit hat durch Verordnung (§28 Abs2 Z7) Widerspruchstellen einzurichten. Dabei sind insbesondere nähere Regelungen für die Wahrnehmung ihrer Aufgaben und für die Sicherstellung der Teilnehmer/innen/rechte zu treffen.
(3) Alle bis zum Zeitpunkt des Widerspruchs gemäß Abs2 in den ELGA-Verweisregistern vorhandenen und vom Widerspruch erfassten Verweise und ELGA-Gesundheitsdaten einschließlich Medikationsdaten sind zu löschen; falls das Löschen aufgrund anderer gesetzlicher Dokumentationsverpflichtungen oder §22 Abs5 Z1 ausgeschlossen ist, sind die Verweise für ELGA unzugänglich zu machen.
(4) Generelle Widersprüche (Opt-out) gemäß Abs2 können jederzeit widerrufen werden. Solange ein gültiger Widerspruch besteht, dürfen keine für ELGA zugänglichen Verweise auf ELGA-Gesundheitsdaten gemäß §20 Abs2 erster Satz gespeichert werden. Für Zeiten eines gültigen Widerspruchs gemäß Abs2 bzw §16 Abs2 Z2 besteht kein Rechtsanspruch auf eine nachträgliche Aufnahme von Verweisen auf ELGA-Gesundheitsdaten.
Rechte der ELGA-Teilnehmer/innen
§16. (1) ELGA-Teilnehmer/innen haben elektronisch im Wege des Zugangsportals (§23) oder schriftlich gegenüber der ELGA-Ombudsstelle (§17) das Recht
1. Auskunft über die sie betreffenden ELGA-Gesundheitsdaten sowie Protokolldaten gemäß §22 Abs2 zu erhalten sowie
2. individuelle Zugriffsberechtigungen gemäß §21 Abs3 festzulegen, indem sie
a) elektronische Verweise und ELGA-Gesundheitsdaten einschließlich Medikationsdaten für ELGA-Gesundheitsdiensteanbieter ein- oder ausblenden sowie löschen; falls das Löschen aufgrund anderer gesetzlicher Dokumentationsverpflichtungen oder §22 Abs5 Z1 ausgeschlossen ist, sind die Verweise für ELGA unzugänglich zu machen, oder
b) Zeiträume für bestehende Zugriffsberechtigungen gemäß §18 Abs6 verkürzen oder
c) einen ELGA-Gesundheitsdiensteanbieter des besonderen Vertrauens mit dessen Zustimmung gemäß §18 Abs7 festlegen.
(2) ELGA-Teilnehmer/innen haben gegenüber den behandelnden oder betreuenden ELGA-Gesundheitsdiensteanbietern das Recht
1. die Aufnahme von Medikationsdaten (§2 Z9 litb) sowie von Verweisen auf ELGA-Gesundheitsdaten (§2 Z9 lita) gemäß §20 Abs2 erster Satz in Verbindung mit §13 Abs3 und 4 zu verlangen sowie
2. der Aufnahme von elektronischen Verweisen und ELGA-Gesundheitsdaten einschließlich einzelner Medikationsdaten für einen Behandlungs- oder Betreuungsfall zu widersprechen, sofern dies nicht aufgrund anderer gesetzlicher Dokumentationsverpflichtungen ausgeschlossen ist. Über dieses Recht ist der ELGA-Teilnehmer/die ELGA-Teilnehmerin insbesondere bei ELGA-Gesundheitsdaten, die sich auf
a) HIV-Infektionen,
b) psychische Erkrankungen,
c) die in §71a Abs1 GTG genannten genetischen Daten oder
d) Schwangerschaftsabbrüche
beziehen, zu informieren.
(3) Personen, die
1. der Teilnahme an ELGA gemäß §15 Abs2 widersprechen oder
2. die ihnen zustehenden Teilnehmer/innen/rechte ausüben,
dürfen dadurch weder im Zugang zur medizinischen Versorgung noch hinsichtlich der Kostentragung Nachteile erleiden. Sie tragen jedoch die Verantwortung, wenn aus diesem Grund ein ELGA-Gesundheitsdiensteanbieter trotz Einhaltung seiner Sorgfaltspflichten von einem für die Behandlung oder Betreuung wesentlichen Umstand nicht Kenntnis erlangen kann. ELGA-Gesundheitsdiensteanbieter sind gegenüber ELGA-Teilnehmer/inne/n nicht zur Nachfrage über die Ausübung von Teilnehmer/innen/rechten verpflichtet.
(4) Die ELGA-Gesundheitsdiensteanbieter haben über die Bestimmungen der Abs1 bis 3 in Form eines leicht lesbaren, gut sichtbaren und zugänglichen Aushanges in ihren Räumlichkeiten zu informieren. Die gesetzlichen Interessenvertretungen für Angehörige von Gesundheitsberufen, die ihren Beruf als Gesundheitsdiensteanbieter freiberuflich ausüben, haben den Aushang im Rahmen ihres übertragenen Wirkungsbereiches den jeweiligen ELGA-Gesundheitsdiensteanbietern zur Verfügung zu stellen.
(5) Der Bundesminister für Gesundheit hat laufend Informationen über den aktuellen Stand von ELGA zu veröffentlichen und die betroffenen Personen (Art4 Z1 DSGVO) über ihre Rechte zu informieren.
[…]
Speicherung von ELGA-Gesundheitsdaten
§20. (1) Sofern sich aus den §§15 Abs2 und 16 Abs2 Z2 nichts anderes ergibt, haben ELGA-Gesundheitsdienstanbieter ELGA-Gesundheitsdaten in gemäß §28 Abs2 Z5 geeigneten Datenspeichern, die sich im Gebiet der Europäischen Union befinden müssen, zu speichern (§13 Abs3). Bereits gespeicherte ELGA-Gesundheitsdaten dürfen nicht geändert werden. Treten Umstände hervor, die eine maßgebliche Änderung des Behandlungsverlaufs bedingen können, ist zusätzlich eine aktualisierte Version zu speichern. Verantwortlicher (Art4 Z7 DSGVO) für die Speicherung ist der jeweilige ELGA-Gesundheitsdiensteanbieter.
(2) Sofern sich aus den §§15 Abs2 und 16 Abs2 Z2 nichts Anderes ergibt, haben ELGA-Gesundheitsdienstanbieter in Verweisregistern, die sich im Gebiet der Europäischen Union befinden müssen, zu speichern (§13 Abs3). Dies gilt nicht in Fällen in denen ELGA-Teilnehmer/innen der Aufnahme von Verweisen widersprochen haben. Verantwortlicher (Art4 Z7 DSGVO) für die Speicherung ist der jeweilige ELGA-Gesundheitsdiensteanbieter.
(3) ELGA-Gesundheitsdaten sowie elektronische Verweise darauf sind dezentral für zehn Jahre, ungeachtet anderer gesetzlicher Dokumentationsverpflichtungen, zu speichern. Danach sind die elektronischen Verweise und ELGA-Gesundheitsdaten von den Auftragsverarbeitern (Art4 Z8 DSGVO), die die gemäß §28 Abs2 Z5 geeigneten Datenspeicher und Verweisregister für ELGA betreiben, zu löschen; falls das Löschen aufgrund anderer gesetzlicher Dokumentationsverpflichtungen oder gemäß §22 Abs5 Z1 ausgeschlossen ist, sind die Verweise für ELGA unzugänglich zu machen.
(4) Abweichend von den Abs2 und 3 sind Medikationsdaten gemäß §2 Z9 litb
1. ohne Aufnahme elektronischer Verweise zentral in ELGA zu speichern sowie
2. ein Jahr ab Abgabe vom Auftragsverarbeiter (Art4 Z8 DSGVO) automatisch zu löschen.
(5) Elektronische Verweise sind automatisch zu erstellen und haben zu enthalten:
1. Daten, die sich auf den/die ELGA-Teilnehmer/in beziehen:
a) das bPK-GH des ELGA-Teilnehmers/der ELGA-Teilnehmerin oder
b) lokale Patient/inn/en-Kennungen,
2. Daten, die sich auf den ELGA-Gesundheitsdiensteanbieter beziehen:
a) die eindeutige Kennung des ELGA-Gesundheitsdiensteanbieters, der für die Aufnahme der ELGA-Gesundheitsdaten verantwortlich ist,
b) die natürliche Person, die die ELGA-Gesundheitsdaten in ELGA gespeichert hat,
3. Daten, die sich auf die ELGA-Gesundheitsdaten beziehen:
a) den Speicherort der ELGA-Gesundheitsdaten,
b) die eindeutige Kennung der ELGA-Gesundheitsdaten,
c) Datum und Zeitpunkt der Erstellung der ELGA-Gesundheitsdaten,
d) den Hinweis auf allenfalls frühere Versionen dieser ELGA-Gesundheitsdaten,
e) sofern vorhanden, einen strukturierten Hinweis auf die medizinische Bezeichnung der ELGA-Gesundheitsdaten sowie
f) Datum und Zeitpunkt, an dem der elektronische Verweis auf ELGA-Gesundheitsdaten in ein Verweisregister aufgenommen wurde.
Berechtigungssystem
§21. (1) Das Berechtigungssystem ist von den ELGA-Systempartnern einzurichten und zu betreiben. Es dient der Verwaltung der Zugriffsberechtigungen und der Steuerung der Zugriffe auf ELGA-Gesundheitsdaten. Ohne Zugriffsberechtigung dürfen weder ELGA-Gesundheitsdaten noch Verweise angezeigt werden.
(2) Aufgrund der generellen Zugriffsberechtigungen, die festlegen, welche standardmäßigen Zugriffe zulässig sind, dürfen:
1. Angehörige des ärztlichen Berufes (§2 Z10 lita) auf alle ELGA-Gesundheitsdaten (§2 Z9),
2. Angehörige des zahnärztlichen Berufes (§2 Z10 litb) auf ELGA-Gesundheitsdaten gemäß §2 Z9 lita und b,
3. Apotheken (§2 Z10 litc) auf Medikationsdaten gemäß §2 Z9 litb,
4. Krankenanstalten (§2 Z10 litd) auf alle ELGA-Gesundheitsdaten (§2 Z9),
5. Einrichtungen der Pflege (§2 Z10 lite) auf alle ELGA-Gesundheitsdaten (§2 Z9),
6. Vertreter/innen gemäß §14 Abs2 Z2 litb auf alle ELGA-Gesundheitsdaten (§2 Z9) sowie
7. Mitarbeiter/innen der ELGA-Ombudsstelle auf alle ELGA-Gesundheitsdaten (§2 Z9)
zugreifen.
(3) ELGA-Teilnehmer/innen dürfen mittels individueller Zugriffsberechtigungen:
1. im Rahmen der generellen Zugriffsberechtigungen elektronische Verweise und ELGA-Gesundheitsdaten einschließlich Medikationsdaten für ELGA-Gesundheitsdiensteanbieter ein- oder ausblenden sowie löschen, falls das Löschen aufgrund anderer gesetzlicher Dokumentationsverpflichtungen oder gemäß §22 Abs5 Z1 ausgeschlossen ist, sind die Verweise für ELGA unzugänglich zu machen, oder
2. Zeiträume für bestehende Zugriffsberechtigungen gemäß §18 Abs6 verkürzen oder
3. einen ELGA-Gesundheitsdiensteanbieter des besonderen Vertrauens mit dessen Zustimmung gemäß §18 Abs7 festlegen.
[…]
Übergangsbestimmungen
§27. (1) Der Bundesminister für Gesundheit hat das Zugangsportal (§23), die Widerspruchstellen (§28 Abs2 Z7) sowie die ELGA-Ombudsstelle (§17) nach Maßgabe der technischen Verfügbarkeit bis 31. Dezember 2013 so zu errichten und zur Verfügung zu stellen, dass die Wahrnehmung der Teilnehmer/innen/rechte gewährleistet ist und zeitgerecht erfolgen kann. Ab diesem Zeitpunkt kann ELGA verwendet werden.
(2) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, gilt §13 Abs3 ab 1. Jänner 2015 für
1. Krankenanstalten gemäß §3 Abs2b KAKuG, die über Landesgesundheitsfonds abgerechnet werden,
2. die Allgemeine Unfallversicherungsanstalt, soweit sie gemäß §24 Abs2 ASVG Krankenanstalten betreibt, sowie
3. Einrichtungen der Pflege gemäß §2 Z10 lite,
soweit die Nutzung der ELGA-Komponenten (§24) zur Verarbeitung von ELGA-Gesundheitsdaten technisch möglich ist.
(3) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, gilt ab 1. Juli 2016 §13 Abs3 für
1. Apotheken gemäß §1 des Apothekengesetzes,
2. freiberuflich tätige Ärzte und Ärztinnen,
3. Gruppenpraxen sowie
4. selbstständige Ambulatorien gemäß §3a KAKuG,
soweit die Nutzung der ELGA-Komponenten (§24) zur Verarbeitung von ELGA-Gesundheitsdaten technisch möglich ist. Dies gilt jedoch nicht für freiberuflich tätige Ärzte und Ärztinnen, Gruppenpraxen sowie selbstständige Ambulatorien (§3a KAKuG) hinsichtlich der Verpflichtung gemäß §13 Abs3 Z4 und 6, wenn diese ELGA-Gesundheitsdiensteanbieter in keinem Vertragsverhältnis zu einem Träger der gesetzlichen Sozialversicherung stehen.
(4) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, gilt ab 1. Jänner 2017 §13 Abs3 für private Krankenanstalten gemäß §1 Abs2 des Privatkrankenanstalten-Finanzierungsfondsgesetzes (PRIKRAF-G), BGBl I Nr 165/2004, soweit die Nutzung der ELGA-Komponenten (§24) zur Verarbeitung von ELGA-Gesundheitsdaten technisch möglich ist.
(5) Ab 1. Jänner 2017 haben nach Maßgabe der technischen Verfügbarkeit
1. Patientenverfügungen,
2. Vorsorgevollmachten sowie
3. die medizinischen Register (§2 Z9 lite)
in ELGA zur Verfügung zu stehen.
(6) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, gilt ab 1. Jänner 2022 §13 Abs3 für
1. freiberuflich tätige Zahnärzte und Zahnärztinnen,
2. zahnärztliche Gruppenpraxen sowie
3. selbstständige Zahnambulatorien.
(7) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, hat spätestens mit 1. Jänner 2015 als Standard gemäß §28 Abs2 Z1 lita bis c eine Suche in den Dokumentenmetadaten über das Dokumentenregister jedenfalls möglich zu sein.
(8) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, ist spätestens mit 1. Jänner 2015 als Standard gemäß §28 Abs2 Z1 lita bis c entweder eine inhaltlich einheitliche Struktur und Gliederung, sodass Inhalte in medizinische Informationssysteme übernommen werden können, oder zumindest eine Vereinheitlichung der Gliederung der Inhalte, sicherzustellen.
(9) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, hat spätestens mit 1. Jänner 2018 als Standard gemäß §28 Abs2 Z1 lita bis c eine Codierung der Informationen in ELGA nach einheitlichen Vorgaben zu erfolgen, die von den ELGA-Systempartnern unter Mitwirkung zuständiger gesetzlicher Interessenvertretungen erarbeitet werden.
(10) Sind Nachweis oder Prüfung von Identität, Rollen oder Integrität nach den Bestimmungen des 2. Abschnitts (gerichtete und ungerichtete Kommunikation) insbesondere mangels vorhandener technischer Infrastruktur nicht zumutbar, dürfen Gesundheitsdaten und genetische Daten nur übermittelt werden, wenn zumindest die Identitäten und maßgeblichen Rollen der an der Übermittlung beteiligten Gesundheitsdiensteanbieter gegenseitig durch
1. persönlichen Kontakt oder
2. telefonischen Kontakt oder
3. Vertragsbestimmungen oder
4. Abfrage elektronischer Verzeichnisse
a) der Österreichischen Ärztekammer oder
b) der Österreichischen Zahnärztekammer oder
c) des Österreichischen Hebammengremiums oder
d) der Österreichischen Apothekerkammer oder
e) des Hauptverbands oder
f) des Bundesministeriums für Gesundheit
bestätigt sind.
(11) In den Fällen des Abs10 Z1 und 2 sind vor der erstmaligen Übermittlung der Gesundheitsdaten und genetischen Daten zwischen den beteiligten Gesundheitsdiensteanbietern
1. Datum und Art der Kontaktaufnahme,
2. die vollständigen Namen und maßgeblichen Rollen der an der Übermittlung beteiligten Gesundheitsdiensteanbieter,
3. die Angaben zur Erreichbarkeit der Gesundheitsdiensteanbieter sowie
4. die Angaben über die an der Kontaktaufnahme beteiligten natürlichen Personen
zu dokumentieren. Die Angaben zur Erreichbarkeit sind laufend aktuell zu halten.
(12) Die Übermittlung von Gesundheitsdaten und genetischen Daten darf unter den Voraussetzungen des Abs10 Z1 bis 3 ausnahmsweise auch per Fax erfolgen, wenn
1. die Faxanschlüsse (einschließlich Ausdruckmöglichkeiten zu Faxanschlüssen, die in EDV-Anlagen installiert sind) vor unbefugtem Zugang und Gebrauch geschützt sind,
2. die Rufnummern, insbesondere die verspeicherten Rufnummern, regelmäßig, insbesondere nach Veränderungen der technischen Einrichtung sowie nach der Neuinstallation von Faxgeräten nachweislich auf ihre Aktualität geprüft werden,
3. automatische Weiterleitungen, außer an die jeweiligen Gesundheitsdiensteanbieter selbst, deaktiviert sind,
4. die vom Gerät unterstützten Sicherheitsmechanismen genützt werden und
5. allenfalls verfügbare Fernwartungsfunktionen nur für die vereinbarte Dauer der Fernwartung aktiviert sind.
(13) Die erleichterten Bedingungen nach Abs10 und 12 können nicht in Anspruch genommen werden, wenn die nach dem 2. Abschnitt erforderlichen Maßnahmen im Hinblick auf den Stand der Technik und die Implementierungskosten (Art32 Abs1 DSGVO) zumutbar sind.
(14) Bei der Übermittlung von Gesundheitsdaten und genetischen Daten gelten die erleichterten Bedingungen nach Abs10 oder 12 für alle beteiligten Gesundheitsdiensteanbieter, wenn für zumindest einen der beteiligten Gesundheitsdiensteanbieter die jeweils erleichterten Bedingungen nach Abs10 oder 12 gelten.
(15) Bis zum 30. Juni 2016 ist §6 nicht auf die Übermittlung von Gesundheitsdaten und genetischen Daten per Funk zum Zwecke der Einsatzorganisation bei Rettungsdiensten anzuwenden."
III. Antragsvorbringen und Vorverfahren
1. Der Antragsteller legt seine Antragslegitimation sowie die Bedenken gegen die Verfassungskonformität der angefochtenen Bestimmungen wie folgt dar:
"Angefochtene Gesetzesbestimmungen
(1) […]
(2) […]
(3) Zentraler Grund der Verfassungswidrigkeit jeder einzelnen angefochtenen Gesetzesbestimmung ist die vom Gesetzgeber darin jeweils gesondert im Widerspruch zu §1 DSG normierte, als verfassungswidrig zu qualifizierende Beseitigung der Datenhoheit und der Datenherrschaft des Antragstellers durch Wegfall des Zustimmungserfordernisses des §1 Abs2 DSG und Verletzung des den einfachen Gesetzgeber bindenden Verhältnismäßigkeitsgebots, und der gleichzeitige verfassungswidrige Eingriff in das durch Art8 MRK geschützte Grundrecht auf Persönlichkeitsschutz.
(4) Angefochten werden in diesem Antrag, so wie zuvor, jene klar als angefochten bezeichneten und zitierten Gesetzesbestimmungen. Jede einzelne normiert den verfassungswidrigen Eingriff im Kern. Bestimmungen, mit welchen Ausnahmen oder gewisse Einschränkungen der verfassungswidrigen Gesetzesbestimmungen geschaffen werden (Zugangsregelung des §14, Opt-Out Regelungen der §§15 f), werden nicht angefochten, sie bilden keine untrennbare Einheit mit den jeweils angefochtenen Gesetzesbestimmungen.
Zum Beschluss des VfGH vom 24.9.2018 (G 137/2018-4):
(5) Im Hinblick auf die Begründung dieses Beschlusses sieht sich der Antragsteller zunächst zu folgenden Vorbemerkungen veranlasst:
a) Ebenso wie im zu G137/2018 protokollierten Antrag bringt der Antragsteller die Eingriffe durch die angefochtenen Gesetzesstellen und die jeweils zutreffenden Bedenken nur als Patient und Herr seiner Gesundheitsdaten vor, nie als Arzt oder Eigentümer einer Facharztordination. In den vorangegangenen Anträgen waren die Zuordnungen der Eingriffe zu den dargelegten Verfassungswidrigkeiten der jeweils angefochtenen Gesetzesstellen – entgegen der Begründung des Beschlusses unter 4. – stets klar und unmissverständlich ausgeführt und sind es auch in diesem Antrag.
b) Das Vorbringen in den Anträgen war nicht 'pauschal' oder 'stehsatzartig'. Dass die sehr konkreten Ausführungen zu den einzelnen angefochtenen verfassungswidrigen Gesetzesbestimmungen wiederholt werden, ist dem Umstand geschuldet, dass Verweise auf Ausführungen zu angefochtenen Gesetzesstellen unzulässig sind; daher mussten und müssen die Ausführungen wiederholt werden, soweit gegen die angefochtenen Bestimmungen dieselben Bedenken wie gegen andere angefochtene Bestimmungen bestehen.
c) §§14-16 GTeIG 2012 [In Folge sind alle erwähnten oder zitierten Gesetzesbestimmungen solche des GTeIG 2012.] waren nicht angefochten, wie aus dem letzten Antrag klar ersichtlich. Keine dieser Bestimmungen normiert die bekämpften verfassungswidrigen Eingriffe. Das Opt-Out (§§15-16 leg.cit.) enthält vor dem Hintergrund des den Gesetzgeber bindenden Verhältnismäßigkeits-prinzips ungenügende Ausnahmebestimmungen (Opt-Out statt Opt-In). §14 schützt die verfassungsgesetzlich gewährleisteten Rechte des Antragstellers, die jeweils durch die angefochtenen Gesetzesbestimmungen verletzt werden, nicht. Die Absätze 6.2 und 6.3 des Beschlusses sind daher vor dem Hintergrund der präzisen Ausführungen des Antragstellers zu den einzelnen angefochtenen Gesetzesbestimmungen nicht nachvollziehbar.
Anfechtung §13 Abs2 GTeIG 2012:
WORTLAUT DER ANGEFOCHTENEN GESETZESBESTIMMUNG:
(6) Angefochten wird §13 Abs2 idgF (BGBl I Nr 37/2018) zur Gänze:
'ELGA-Gesundheitsdiensteanbieter haben zur Erfüllung der in §14 Abs2 genannten Zwecke das Recht, ELGA-Gesundheitsdaten in ELGA zu speichern und unter Berücksichtigung der jeweiligen Berufspflichten (z. B. §49 Abs1 ÄrzteG 1998; §10 Apothekenbetriebsordnung 2005, BGBl II Nr 65/2005) zu erheben, sofern in diesem Bundesgesetz nichts Anderes, etwa durch die Ausübung von ELGA-Teilnehmer/innen/rechten gemäß §16, festgelegt ist.'
INKRAFTTRETEN
(7) Gemäß §26 Abs1 trat das GTeIG 2012 am 1. Jänner 2013 in Kraft. Es wurde zuletzt durch BGBl I Nr 37/2018, geringfügigst novelliert.
NORMINHALT
(8) §13 (2) räumt ELGA-Gesundheitsdiensteanbietern das Recht ein, persönliche Gesundheitsdaten von Patienten zu speichern und zu erheben, sofern dem nicht die Ausübung von ELGA-Teilnehmerrechten iSd §16 entgegensteht.
EINGRIFF IN DIE PRIVATSPHÄRE DES ANTRAGSTELLERS ALS PATIENT UND HERR SEINER GESUNDHEITSDATEN
(9) Die mit der angefochtenen Bestimmung neu geschaffenen Rechte entziehen dem Antragsteller sein Zustimmungsrecht und damit die durch §1 DSG und Art8 MRK geschützte Datenhoheit hinsichtlich seiner besonders sensiblen Gesundheitsdaten. Die neu geschaffenen Rechte des Speichern und Erhebens, gleichbedeutend mit dem Recht des Einsehens in die Gesundheitsdaten des Antragstellers, greifen in die durch §1 DSG und Art8 MRK verfassungsgesetzlich geschützte Rechtsstellung des Antragstellers als allein Verfügungsberechtigtem durch die normierte Beseitigung des Zustimmungserfordernisses des §1 Abs2 DSG hinsichtlich seiner Gesundheitsdaten in unverhältnismäßiger, daher verfassungswidriger Weise ein.
Bisherige Rechtslage:
(10) Der Antragsteller hatte – und hat – zweifellos ein schutzwürdiges Interesse an der Geheimhaltung seiner Gesundheitsdaten (§1 Abs1 DSG). Bis zum Inkrafttreten des GTelG 2012 war der Antragsteller im Sinn des §1 DSG mit 'Datenhoheit' ausgestatteter alleiniger Verfügungsberechtigter seiner Gesundheitsdaten, er konnte über Speicherung, bejahendenfalls über Speicherort und -form, Verwendung, Weitergabe, Einsichtsrechte und Löschung in Ausübung seines exklusiven Zustimmungsrechts zur Datenverwendung durch Dritte selbst bestimmen.
Rechtseinräumung neu: Speicherung / Vernetzung / Verwendung / Zugriff
(11) Alle Gesundheitsdaten des Antragstellers dürfen in Hinkunft ohne vorherige Zustimmung im ELGA-System gespeichert und vernetzt (in das Verweisregister aufgenommen) werden (s §13 Abs2), damit allen nach dem GTeIG 2012 Berechtigten im Rahmen der Einsichtspflicht (§13 Abs3 und 7) und zur Ausübung des Einsichtsrechts (§13 Abs2) und des Rechts gem. §21 Abs2 der (elektronische) Zugriff auf die Gesundheitsdaten des Antragstellers ermöglicht wird.
(12) Durch das Speicher- und Einsichtsrecht und die Vernetzung der gespeicherten Gesundheitsdaten, wie vom GTeIG 2012 in der angefochtenen Bestimmung (§13 Abs2) angeordnet und näher geregelt, wird – ohne Hinzutreten einer gerichtlichen oder im Instanzenzug bekämpfbaren Entscheidung – in das verfassungsgesetzlich gewährleistete Recht des Antragstellers auf Datenschutz eingegriffen, obwohl ihm zweifellos ein schutzwürdiges Interesse an seiner Datenhoheit über die besonders schutzwürdigen Gesundheitsdaten zuzubilligen ist (§1 DSG).
(13) Bisher konnte der Antragsteller die Speicherung, die Verwendung und den Zugriff (Einsicht) auf gespeicherte Gesundheitsdaten im Rahmen seiner vertraglichen Beziehung mit Arzt bzw Krankenanstalt vor dem Hintergrund der gesetzlichen Schweigepflicht (privat-) autonom regeln, er konnte im Einzelfall entscheiden, wem er die Speicherung, Weitergabe, Verarbeitung und Einsicht in seine Gesundheitsdaten gestattet und seine Zustimmung von Fall zu Fall erteilen oder verweigern. Mit Inkrafttreten des GTeIG 2012 wurde diese dem §1 DSG und dem Art8 MRK entsprechende Rechtslage auf den Kopf gestellt, weil die angefochtene Bestimmung die Speicherung und Einsicht in die Gesundheitsdaten des Antragstellers als Rechte der Gesundheitsdiensteanbieter normiert (§13 Abs2) und weil es über die Vernetzung allen ELGA-Anwendern das Recht auf Zugriff auf seine Gesundheitsdaten schafft.
(14) Das Recht, ELGA-Gesundheitsdaten zu speichern, zu verwenden, zu ermitteln und einzusehen steht den ELGA-Gesundheitsdiensteanbietern nun von Gesetzes wegen und unentziehbar zu (§13 Abs2, §21), es lässt sich durch vertragliche Vereinbarungen zwischen dem Patienten und dem behandelnden Arzt (ELGA-Gesundheitsdiensteanbieter) bzw der Krankenanstalt (ebenfalls ein ELGA-Gesundheitsdiensteanbieter) nicht mehr abbedingen.
(15) Der Verfassungsgerichtshof hat im Erkenntnis B1369/11 vom 11.10.2013 jedoch ausgesprochen, dass schutzwürdige Daten nur dann gespeichert und weitergegeben werden dürfen, wenn eine Zustimmung des Berechtigten vorliegt. Nur ganz ausnahmsweise und nur unter Berufung auf konkrete, lebenswichtige Interessen dürfen derartige Daten ohne Zustimmung weitergegeben werden, das Zustimmungserfordernis des §1 Abs2 DSG ist ohne Vorliegen derartiger Ausnahmen in jedem Fall beachtlich. Die angefochtene Gesetzesbestimmung des GTeIG 2012 ordnet im Gegensatz dazu generell die Speicherung und die Zurverfügungstellung aller Gesundheitsdaten ohne Zustimmung des Patienten an, ohne dass lebenswichtige Interessen des Patienten dadurch geschützt werden. ['Das Kriterium des 'lebenswichtigen Interesses' vermag für die ... vorgesehenen Grundrechtseingriffe keine verfassungsrechtliche Grundlage zu bieten; die Datenverwendung, die der Entwurf vorsieht, ist vom Vorliegen eines lebenswichtigen Interesses unabhängig.'; so Univ.Prof. Dr. Heinz Mayer in seinem Gutachten für die Ärztekammer zum Entwurf des GTeIG 2012.]
(16) Die Einwilligung oder Zustimmung des Antragsstellers als Patienten (ELGA-Teilnehmers) ist weder als Voraussetzung für die Speicherung noch für die Weitergabe noch für die Einsicht (Verwendung) und den Zugriff normiert. Das Speicher- und Einsichtsrecht und die Speicher-, Weitergabe- und Verwendungspflicht wären nur dann nicht als – verfassungswidrige – Eingriffe in die durch §1 DSG und durch Art8 MRK geschützte Rechtsstellung des Antragstellers zu qualifizieren, wenn vor jedem derartigen Eingriff die ausdrückliche Zustimmung des Patienten eingeholt werden müsste. Dies würde auch den Vorschriften der EU-DSGVO entsprechen, die bei viel unbedeutenderen Eingriffen die vorherige ausdrückliche Zustimmung verlangt.
(17) Die in §13 Abs2 als Recht der ELGA-Gesundheitsdiensteanbieter ausgestaltete Speicherung und Verwendung der Gesundheitsdaten, die Weitergabe und die Zugriffsmöglichkeiten stellen sohin einen dem Grundrecht auf Datenschutz widersprechenden Eingriff in die verfassungsgesetzlich durch §1 DSG und Art8 MRK geschützte Datenhoheit des Antragstellers dar (s zB G 76/12 v. 12.3.2013; B1369/11 v. 11.10.2012).
AKTUELLE WIRKSAMKEIT DES EINGRIFFS
(18) Das Gesetz trat am 1. Jänner 2013 in Kraft.
(19) Die angefochtenen Bestimmungen beseitigten schon per 1.1.2013 das sonst gem. §1 DSG bestehende Recht des Antragstellers auf Zustimmung zur Speicherung, Verarbeitung und Weitergabe von Gesundheitsdaten durch Dritte und sohin das Recht auf Untersagung der Speicherung, Weitergabe, Verarbeitung und Zugriff auf diese Daten, also auf Ausschluss Dritter von jedem Datenzugang. Dieser Eingriff droht nicht in der Zukunft, sondern ist bereits erfolgt.
(20) ELGA wird derzeit bereits großflächig in einigen Bezirken und in zahlreichen Krankenanstalten angewendet, die dazu verpflichtet wurden.
KEIN BESCHEID / URTEIL ZU ERWIRKEN
(21) Gegen Akte der Gesetzgebung (ieS) und gegen Tätigkeiten von Organen im Dienste der Gesetzgebung ist ein Rechtsweg an die Datenschutzbehörde (oder eine sonstige Behörde) ausgeschlossen (B 683/2013 v 3.10.2013 mit Hinweis auf VfSlg 19112/2010).
(22) Da die Datenschutzbehörde nicht zuständig ist, wenn Akte der Gesetzgebung betroffen sind, und ebenso nicht, wenn es sich um den privatrechtlichen Bereich – wie hier um den privatrechtlichen Bereich der Behandlungsverträge der Patienten mit Ärzten oder Krankenanstalten – handelt, kann eine bekämpfbare Entscheidung dieser oder einer anderen Behörde daher mangels Zuständigkeit nicht ergehen (VfSlg 19.112/2010).
VERFASSUNGSWIDRIGKEIT / VERLETZUNG DES §1 DSG
(23) Gemäß §1 Abs2 DSG wäre die Verwendung – die Speicherung und die Einsicht gemäß dem durch §13 Abs2 neu geschaffenem Recht – im Fall des Vorliegens eines lebenswichtigen Interesses der Patienten zulässig. Die Speicherung und Verwendung von Gesundheitsdaten liegt aber zweifellos nicht im lebenswichtigen Interesse der Patienten.
(24) Die angefochtene Bestimmung dient auch nicht einem höherwertigen oder überwiegenden Interesse eines anderen im Sinn des §1 Abs2 DSG; ein derartiges Interesse liegt nicht vor. Die in §13 Abs1 (zur Klarstellung: nicht angefochten) aufgezählten, angeblich bestehenden öffentlichen Interessen wiegen nicht schwerer als die Interessen am Unterbleiben des Eingriffs in das verfassungsgesetzlich gewährleistete Recht auf Datenschutz [So auch Univ.-Prof. Dr. Heinz Mayer, a.a.O S 8.], ein überwiegendes berechtigtes Interesse eines anderen an den besonders schützenswerten Gesundheitsdaten ist nicht auszumachen.
(25) Gemäß §1 Abs2 DSG wäre ein derartiger gesetzlicher Eingriff daher nur dann verfassungsrechtlich zulässig, wenn er mit Zustimmung der Betroffenen i.S. von §1 Abs2 DSG erfolgt. Das verfassungsrechtliche Zustimmungserfordernis wird durch die angefochtene Gesetzesbestimmung jedoch gewollt beseitigt.
(26) Die Unterlassung eines Widerspruches i.S. von §§15, 16 stellt keine Zustimmung dar und vermag das verfassungsrechtliche Zustimmungserfordernis nicht zu ersetzen. ['Unter einer Zustimmung ist eine positive Willenserklärung, die ohne Zwang, für einen konkreten Fall und in Kenntnis der Sachlage die Verwendung der Daten gestattet (vgl Art2 lith Datenschutz-RL 95/46/EG; Duschanek , Rz 47 zu §1 DSG, in Korinek/Holoubek [Hrsg] österr Bundesverfassungsrecht).' Univ.-Prof. Dr. Heinz Mayer a.a.O.]
(27) Schon allein deswegen ist die angefochtene Bestimmung als verfassungswidrig aufzuheben.
VERFASSUNGSWIDRIGKEIT / VERLETZUNG VON Art8 MRK:
(28) Ein Eingriff in die durch das Grundrecht des §1 DSG geschützte Datenhoheit eines Patienten ist im Übrigen, wie sich aus dem Verweis ergibt, nur dann zulässig, wenn ein öffentliches Interesse im Sinn des Art8 MRK besteht. Was unter einem derartigen öffentlichen Interesse zu verstehen ist, definiert die MRK an dieser Stelle selbst. Ganz allgemein nennt Artikel 8 MRK ua den 'Schutz der Gesundheit' ein einen Eingriff in das geschützte Privatleben rechtfertigendes Rechtsgut.
(29) Der Eingriff in den verfassungsgesetzlich durch Art8 MRK geschützten Bereich der Privatsphäre wäre daher nur dann zulässig und verfassungskonform, wenn er dem Schutz der Gesundheit, also der Abwehr von Gefahren für die Gesundheit dient, etwa der Eindämmung der Ausbreitung von Seuchen oder anderer gesundheitlicher Gefahren für die Bevölkerung.
(30) Das wirtschaftliche Wohl des Landes hängt vom Bestehen oder Nichtbestehen der angefochtenen Gesetzesbestimmung und, ganz allgemein, des elektronischen Gesundheitsakts mit Speicherrechten und -pflichten, mit Einsichts- und Verwendungsrechten und -pflichten zweifellos nicht ab.
(31) Budgetäre Erwägungen, Einsparungen im Gesundheitswesen oder Effizienzsteigerungen in der Administration zu erzielen, rechtfertigen einen Eingriff in das verfassungsgesetzlich geschützte Recht auf Datenschutz für sich alleine ebenso wenig wie einen Eingriff in das Recht auf Schutz der Privatsphäre gemäß Art8 MRK.
Kein öffentliches Interesse i.S.d. Art8 MRK
(32) Das Speicher- und Einsichtsrecht des §13 Abs2 trägt nichts zu einer besseren oder effizienteren Gesundheitsversorgung bei. Mit der Speicherung laut angefochtener Gesetzesstelle in dem elektronischen Gesundheitsakt wird lediglich eine stetig wachsende Sammlung von Gesundheitsdaten vieler Patienten angelegt. Die durch §1 DSG und Art8 Abs2 MRK geforderte Abwägung der öffentlichen Interessen (oder berechtigter Interessen eines anderen) an einem Eingriff in das Grundrecht auf Datenschutz geht eindeutig zu Gunsten des Datenschutzes aus.
(33) Durch die Einräumung des Rechts auf Speicherung und Einsicht werden keine 'Patientenrechte' gestärkt, sondern die Verfügungsmacht der Patienten das Zustimmungsrecht des §1 Abs2 DSG, rechtlich und dann faktisch beseitigt. Die Normierung von gewissen Patientenrechten ist nur eine notwendige Folge der vom Gesetzgeber normierten Eingriffe in die verfassungsgesetzlich gewährleisteten Rechte des Antragstellers, deren Notwendigkeit erst durch den bekämpften gesetzlichen Eingriff geschaffen wurde. Die gesetzlich normierte Rechtseinräumung schafft erst die Gefahr, vor der einzelne Patientenrechte (ungenügend, s unten) schützen. [So auch Univ.-Prof. Dr. Heinz Mayer, a.a.O. S 5.] Die Stärkung von Patientenrechten kann sohin nicht als öffentliches Interesse an der angefochtenen Gesetzesbestimmung qualifiziert werden, der den Eingriff rechtfertigen könnte.
(34) Der durch das angefochtene Gesetz verfügte Wegfall des Zustimmungserfordernisses beseitigt daher in verfassungswidriger Weise den Datenschutz, ohne rechtfertigendes öffentliches Interesse, und greift in die verfassungsgesetzlich geschützte Privatsphäre ein.
Verhältnismäßigkeit und gelindestes Mittel
(35) Sollte ein öffentliches Interesse an den Speicher- und Einsichtsrechten und den entsprechenden Pflichten bejaht werden, bleibt vor dem Hintergrund des §1 Abs2 DSG zu prüfen, ob der Verhältnismäßigkeitsgrundsatz eingehalten wurde.
Opt-Out vs. Opt-In
(36) Dem Gesetzgeber standen gelindere Mittel zur Verfügung, um die (von dem Antragsteller bestrittenen) öffentlichen Interessen zu verwirklichen. Der Gesetzgeber hat in Missachtung des verfassungsgesetzlichen Verhältnismäßigkeitsprinzips nicht den geringst möglichen Eingriff gewählt:
(37) Der angefochtene §13 Abs2 verweist auf die Opt-Out Regelung des §16 Abs2. Die Opt-Out Regelungen schaffen Ausnahmen von den durch die angefochtenen Bestimmungen geschaffenen Rechten.
(38) §§15 Abs2 und 16 Abs2 stehen in keinem untrennbaren normativen Zusammenhang mit der angefochtenen Bestimmung. Nach der beantragten Aufhebung der angefochtenen Gesetzesbestimmung sind die Opt-Out Möglichkeiten nur teilweise obsolet; sie können bei einer Opt-in Regelung bestehen bleiben und Patienten die Möglichkeit eines nachträglichen Widerrufs einer zuvor erklärten Zustimmung gesetzlich sichern.
(39) Zweifellos wäre die gesetzliche Verankerung der vorherigen Zustimmung zur Speicherung, Weitergabe und Verwendung (Einsicht) (Opt-In) ein gelinderes Mittel zur Erreichung der vom Gesetzgeber angestrebten Ziele. Es ist kein nachvollziehbarer Grund ersichtlich, warum die Opt-In Lösung als gelinderes Mittel vom Gesetzgeber nicht generell verankert wurde. ['Es ist nicht ersichtlich, warum der Gesetzgeber statt des 'Opt-Out' nicht ein 'Opt-In' gewählt hat.' (Univ.-Prof. Dr. Heinz Mayer in seinem zweiten Gutachten, S 6.]
(40) ELGA könnte zweifellos und ohne Einschränkung auch dann eingesetzt werden, wenn jeder Patient bei Speicherung und Verwendung bzw Einsicht seine jeweilige Zustimmung erklären müsste, wie von §1 Abs2 DSG generell verlangt.
(41) Die Unterlassung eines Widerspruchs stellt keine vorweg erklärte Zustimmung des Patienten zur Speicherung, Einsicht und Weitergabe der Gesundheitsdaten dar.
(42) Es darf nicht verkannt werden, dass ein Opt-Out stets voraussetzt, dass der betroffene Patient mit seinen Gesundheitsdaten zuvor bereits erfasst ist; dieses Erfasstsein erfolgt, ohne dass er eine Dispositionsmöglichkeit über seine Daten hatte. Das Unterlassen des Opt-Out kann daher schon deshalb nicht als Zustimmung qualifiziert werden; es gilt darüber hinaus in diesem Zusammenhang das, was auch bei anderen Grundrechtseingriffen gilt: Wer Zwang duldet oder sich gegen solchen nicht zur Wehr setzt, erteilt der Zwangsausübung (hier: dem Eingriff) keine Zustimmung. [ Berka , Die Grundrechte [1999] Rz 178.] Die bloße Möglichkeit eines Opt-Out kann nicht gewährleisten, dass jeder Betroffene von den konkreten Umständen der Datenspeicherung und der Datenverwendung Kenntnis erlangt und in freier Willensentscheidung von seinem informationellen Selbstbestimmungsrecht Gebrauch macht. Wer zu einem Opt-Out gezwungen ist, hat die Herrschaft über seine Daten schon zuvor verloren.
(43) Zu beachten ist, dass die durch die angefochtene Gesetzesbestimmung verfügte Sammlung der Gesundheitsdaten in jedem Fall lückenhaft bleibt; je mehr Patienten ihren generellen oder situativen Widerspruch erklären, desto größer werden die Lücken. Eine lückenlose Speicherung der Gesundheitsdaten (als Folge der Speicherrechte oder -pflichten) ist von vornherein ausgeschlossen.
(44) Die Opt-Out Regelungen ändern auch aus folgendem Grund nichts an der unverhältnismäßigen und daher als verfassungswidrig angefochtenen Bestimmung: Das in §13 Abs2 eingeführte Recht zur Speicherung und zur Ermittlung der Gesundheitsdaten wird durch die Opt-Out Regelungen nicht beseitigt, ein Widerspruch gem. §15 Abs2 berührt die zu Lasten des Patienten eingeräumten Rechte gem. §13 Abs2 (und §21) nicht.
(45) Der in §15 vorgesehene Widerspruch gegen die 'Teilnahme' ist auch kein effektives Mittel zum Schutz der Geheimhaltungsinteressen an personenbezogenen Gesundheitsdaten.
(46) Der Widerspruch oder die Ausübung der Rechte gem. §16 Abs2 erfordern ein aktives Handeln der Patienten und v.a. das Wissen um die erfolgte Speicherung, verlangen also zur Sicherung der Grundrechte die Abfassung und Absendung von schriftlichen Erklärungen gegenüber der Widerspruchsstelle, was für viele Patienten eine unzumutbar hohe Anforderung und vom Gesetzgeber eingebaute Hürde darstellt.
(47) Hinzu kommt: Aufgrund eines Widerspruchs sind nur die Verweise zu löschen. Dies bedeutet nicht, dass die dezentral gespeicherten Gesundheitsdaten ebenso gelöscht werden müssen und können. Durch die Löschung des Verweises wird nur bewirkt, dass mit der Identifikation des Patienten keine Verbindung zu gespeicherten Daten hergestellt werden kann.
(48) Ein Widerspruch wendet sich daher nicht effektiv gegen die (erfolgte) Speicherung und bewirkt nicht die Löschung der nicht zentral gespeicherten Gesundheitsdaten.
(49) Die angefochtene Bestimmung ist daher auch wegen Verletzung des Verhältnismäßigkeitsprinzips als verfassungswidrig aufzuheben.
Judikatur zum Prinzip des 'gelindesten' Mittels:
(50) Der Verfassungsgerichtshof hat über derartige Eingriffe mehrfach entschieden, wie die folgende Zusammenstellung der Judikatur zeigt, er hat auch das vom Gesetzgeber zu beachtende Prinzip betont, dass ein Eingriff, der einem i.S. des Art8 MRK zulässigen Zweck dient, nur dann verfassungskonform ist, wenn er in der gelindesten Art vorgenommen wird.
• B1369/11 v 11.10.2012
Ein Eingriff in das verfassungsgesetzlich gewährleistete Geheimhaltungsrecht gem. §1 Abs2 DSG unter Berufung auf die lebenswichtigen Interessen des Betroffenen darf nur dann erfolgen, wenn eine Zustimmung nicht eingeholt werden kann.
• B2271/00 v 28.11.2001:
Dazu tritt nach dem DSG noch zusätzlich die Verdeutlichung des Verhältnismäßigkeitsprinzips für die Zulässigkeit gesetzlich vorgesehener Eingriffe einer staatlichen Behörde in das Grundrecht, weil dem letzten Satz des §1 Abs2 DSG zufolge auch für den Fall an sich gesetzlich zugelassener Beschränkungen der konkrete Eingriff in das Grundrecht unzulässig ist, wenn er nicht in der jeweils gelindesten, zum Ziel führenden Art vorgenommen wird.
• B62/09 – B180/09 v 1.12.2009, B1944/07 – B197/09, B218/09 v 9.12.2008 betr. videogestützte Abstandsmessung:
Eingriffe einer staatlichen Behörde in das Grundrecht auf Datenschutz sind nur aufgrund ausreichend präziser gesetzlicher Regelungen aus den Gründen des Art8 Abs2 MRK zulässig.
Die sich aus Art2 DSG ergebenden Grenzen der Datenerhebung und verwendung müssen §1 Abs2 letzter Satz DSG zufolge nach Maßgabe des Verhältnismäßigkeitsgrundsatzes – also verfassungskonform – bestimmt werden, sodass 'der Eingriff in das Grundrecht nur in der gelindesten, zum Ziel führenden Art vorgenommen' wird.
Zur Bedeutung des Erkenntnisses über Vorratsdatenspeicherung
(51) Die durch die oben bezeichneten Bestimmungen des GTeIG 2012 normierten Eingriffe in das Grundrecht auf Datenschutz und gemäß Art8 MRK sind noch weit gravierender als die vom Verfassungsgerichtshof mit sofortiger Wirkung aufgehobene Vorratsdatenspeicherung (G47/2012).
(52) Die Vorratsdatenspeicherung konnte mit einem eminenten öffentlichen Interesse begründet werden. Selbstverständlich gehört es zu den zentralen Staatsaufgaben, die Sicherheit vor schwerer Kriminalität und die Abwehr von Gefahren für das demokratische Gemeinwesen und den Rechtsstaat effizient zu gewährleisten. An diesem öffentlichen Interesse kann und konnte niemals Zweifel bestehen. Dennoch haben der Europäische Gerichtshof und der Verfassungsgerichtshof diese Regelungen aufgehoben.
(53) Im vorliegenden Fall ist die Sachlage anders. Wie ausgeführt, liegt kein öffentliches Interesse, jedenfalls kein erhebliches öffentliches Interesse an der durch die angefochtene Bestimmung bezweckten elektronische Speicherung und Verwendung (Einsicht) von Gesundheitsdaten vor.
(54) Die bloßen Verbindungsdaten, welche im Rahmen der Vorratsdatenspeicherung gespeichert werden mussten, sind wesentlich weniger sensibel als die dem besonderen Schutz unterworfenen Gesundheitsdaten. Dieser besondere Schutz, den Gesundheitsdaten genießen sollten, spricht dafür, die Grundsätze für die Aufhebung der gesetzlichen Bestimmungen zur Vorratsdatenspeicherung umso mehr auf diesen Fall anzuwenden.
Schlussfolgerung:
(55) Die angefochtene Bestimmung ist wegen der konkret dargelegten Bedenken als Verletzung der verfassungsrechtlich gewährleisteten Rechte auf Datenschutz (§1 DSG) und auf Schutz der Persönlichkeitsrechte (§1 DSG iVm Art8 MRK) zu qualifizieren und vom Verfassungsgerichtshof als verfassungswidrig aufzuheben.
Anfechtung §13 Abs3 GTeIG 2012:
WORTLAUT DER ANGEFOCHTENEN GESETZESBESTIMMUNG
(56) Angefochten wird §13 Abs3 idgF (BGBl I Nr 37/2018) zur Gänze:
'(3) Zur Sicherstellung der in Abs1 genannten Ziele sind in ELGA frühestens ab den in §27 Abs2 bis 6 genannten Zeitpunkten und spätestens ab dem Zeitpunkt gemäß §28 Abs2 Z4 zu speichern:
1. Entlassungsbriefe (§2 Z9 lita sublitaa) durch Krankenanstalten (§2 Z10 litd),
2. Laborbefunde (§2 Z9 lita sublitbb ) durch Angehörige des ärztlichen Berufes (§2 Z10 lita), sofern diese Fachärzte/Fachärztinnen der Sonderfächer medizinisch-chemische Labordiagnostik oder Hygiene und Mikrobiologie sind, sowie durch Krankenanstalten (§2 Z10 litd) im Rahmen ambulanter Behandlung,
3. Befunde der bildgebenden Diagnostik durch Angehörige des ärztlichen Berufes (§2 Z10 lita), sofern diese Fachärzte/Fachärztinnen des Sonderfaches Radiologie sind, sowie durch Krankenanstalten (§2 Z10 litd) im Rahmen ambulanter Behandlung,
4. Medikationsdaten (§2 Z9 litb), insoweit sich diese auf Handelsname bzw Wirkstoff beziehen, durch Angehörige des ärztlichen Berufes (§2 Z10 lita) bei der Verordnung,
5. Medikationsdaten (§2 Z9 litb), insoweit sich diese auf Handelsname bzw Wirkstoff beziehen, durch Apotheken (§2 Z10 litc) und hausapothekenführende Ärzte/Ärztinnen bei der Abgabe,
6. weitere Befunde (§2 Z9 lita sublitdd) gemäß §28 Abs2 Z3 und 4.'
INKRAFTTRETEN
(57) Sofern eine Verordnung (BGBl II 505/2013) nichts anderes bestimmt, gilt gem. §27 Abs2 und Abs3 die Speicherpflicht des §13 Abs3 (hinsichtlich Entlassungsbriefe, Laborbefunde, Befunde der bildgebenden Diagnostik, Medikationsdaten,...)
- für Krankenanstalten, AUVA, Pflegeeinrichtungen ab 1.1.2015
- für Apotheken, freiberufliche Ärzte, Gruppenpraxen, selbstständige Ambulatorien ab 1.7.2016
- für private Krankenanstalten ab 1.1.2017
- für freiberufliche Zahnärzte, zahnärztliche Gruppenpraxen und selbstständige Zahnambulatorien ab 1.1.2022.
(58) Für freiberufliche tätige Ärzte gilt die Speicherpflicht des §13 Abs3 ab 1.7.2016, jedoch mit der Einschränkung, 'soweit die Nutzung der ELGA-Komponenten (§24) zur Verwendung von ELGA-Gesundheitsdaten technisch möglich ist.' Das Inkrafttreten dieser Pflicht für freiberufliche Ärzte hat der Gesetzgeber sohin von technischen Gegebenheiten abhängig gemacht, ohne festzulegen, wer das Vorliegen der technischen Möglichkeit der Nutzung zur Verwendung verbindlich für alle Normunterworfenen bestimmen soll. Diese Bestimmung wird gesondert angefochten.
NORMINHALT
(59) §13 Abs3 normiert die alle ELGA-Gesundheitsdiensteanbieter treffende Verpflichtung, Gesundheitsdaten 'in ELGA [...] zu speichern'. Diese Bestimmung geht über die gesetzliche Rechtseinräumung des bereits angefochtenen §13 Abs2 hinaus.
(60) Mit Neuschaffung der Verpflichtung der ELGA Gesundheitsdiensteanbieter entzieht diese Bestimmung Patienten und dem Antragsteller ihr durch §1 DSG und Art8 MRK verfassungsgesetzlich geschütztes Zustimmungsrecht und damit das Recht auf Schutz ihrer besonders schützenswerten Gesundheitsdaten und ihrer Privatsphäre, indem es die Speicherpflicht ohne Rücksicht auf eine Zustimmung der Patienten anordnet.
(61) Die oben vorgebrachten Bedenken gegen die verfassungswidrige Rechtseinräumung laut §13 Abs2 gelten umso mehr gegen den hier angefochtenen §13 Abs3, der nicht anderen ein Recht zu Lasten der Patienten einräumt, sondern darüber hinausgehend die Speicherpflicht neu anordnet.
(62) Die Gründe für den Eingriff in die Rechtsstellung des Antragstellers als Patient werden daher im Folgenden so konkret dargelegt wie zu §13 Abs2, ebenso die konkreten Gründe für die Verfassungswidrigkeit dieser angefochtenen Gesetzesbestimmung.
EINGRIFF IN DIE PRIVATSPHÄRE DES ANTRAGSTELLERS ALS PATIENT UND HERR SEINER GESUNDHEITSDATEN
(63) Die mit der angefochtenen Bestimmung neu geschaffenen Pflichten entziehen dem Antragsteller sein Zustimmungsrecht und damit die durch §1 DSG und Art8 MRK geschützte Datenhoheit hinsichtlich seiner besonders sensiblen Gesundheitsdaten. Die neu geschaffene Verpflichtung des Speicherns der Daten des Antragstellers greift in die durch §1 DSG und Art8 MRK verfassungsgesetzlich geschützte Rechtsstellung des Antragstellers als allein Verfügungsberechtigtem durch die normierte Beseitigung des Zustimmungserfordernisses des §1 Abs2 DSG hinsichtlich seiner Gesundheitsdaten in unverhältnismäßiger, daher verfassungswidriger Weise ein.
Bisherige Rechtslage:
(64) Der Antragsteller hatte – und hat – zweifellos ein schutzwürdiges Interesse an der Geheimhaltung seiner Gesundheitsdaten (§1 Abs1 DSG). Bis zum Inkrafttreten des GTeIG 2012 war der Antragsteller im Sinn des §1 DSG mit 'Datenhoheit' ausgestatteter alleiniger Verfügungsberechtigter seiner Gesundheitsdaten, er konnte über Speicherung, bejahendenfalls über Speicherort und -form, Verwendung, Weitergabe, Einsichtsrechte und Löschung in Ausübung seines exklusiven Zustimmungsrechts zur Datenverwendung durch Dritte selbst bestimmen.
Verpflichtung neu: Speicherung / Vernetzung / Verwendung / Zugriff
(65) Alle in §13 Abs3 genannten Gesundheitsdaten des Antragstellers müssen in Hinkunft ohne dessen vorherige Zustimmung gespeichert werden, damit allen nach dem GTelG 2012 Berechtigten im Rahmen der Einsichtspflicht (§13 Abs7), zur Ausübung des Einsichtsrechts (§13 Abs2) und des Rechts gem. §21 Abs2 der (elektronische) Zugriff auf die Gesundheitsdaten des Antragstellers ermöglicht wird.
(66) Durch diese neu geschaffene Verpflichtung wird – ohne Hinzutreten einer gerichtlichen oder im Instanzenzug bekämpfbaren Entscheidung – in das verfassungsgesetzlich gewährleistete Recht des Antragstellers auf Datenschutz eingegriffen, obwohl ihm zweifellos ein schutzwürdiges Interesse an seiner Datenhoheit über seine besonders schutzwürdigen Gesundheitsdaten zuzubilligen ist (§1 DSG).
(67) Bisher konnte der Antragsteller die Speicherung seiner Gesundheitsdaten im Rahmen seiner vertraglichen Beziehung mit Arzt bzw Krankenanstalt vor dem Hintergrund der gesetzlichen Schweigepflicht (privat-) autonom regeln, er konnte im Einzelfall entscheiden, wem er die Speicherung seiner Gesundheitsdaten gestattet und seine Zustimmung von Fall zu Fall erteilen oder verweigern. Mit Inkrafttreten des GTeIG 2012 wurde diese dem §1 DSG und dem Art8 MRK entsprechende Rechtslage auf den Kopf gestellt, weil die angefochtene Bestimmung die Speicherung der Gesundheitsdaten gebietet, um über die Vernetzung allen ELGA-Anwendern das Recht auf Zugriff auf seine Gesundheitsdaten zu verschaffen.
(68) Diese Verpflichtung, die Gesundheitsdaten zu speichern, trifft alle ELGA-Gesundheitsdiensteanbieter. Sie lässt sich durch vertragliche Vereinbarungen zwischen dem Patienten und dem behandelnden Arzt (ELGA-Gesundheitsdiensteanbieter) bzw der Krankenanstalt (ebenfalls ein ELGA-Gesundheitsdiensteanbieter) nicht mehr einschränken.
(69) Der Verfassungsgerichtshof hat im Erkenntnis B1369/11 vom 11.10.2013 jedoch ausgesprochen, dass schutzwürdige Daten nur dann gespeichert und weitergegeben werden dürfen, wenn eine Zustimmung des Berechtigten vorliegt. Nur ganz ausnahmsweise und nur unter Berufung auf konkrete, lebenswichtige Interessen dürfen derartige Daten ohne Zustimmung gespeichert und weitergegeben werden, das Zustimmungserfordernis des §1 Abs2 DSG ist ohne Vorliegen derartiger Ausnahmen in jedem Fall beachtlich. Die angefochtene Gesetzesbestimmung des GTeIG 2012 ordnet im Gegensatz dazu generell die Speicherung und im Ergebnis die Zurverfügungstellung aller Gesundheitsdaten ohne Zustimmung des Patienten an, ohne dass lebenswichtige Interessen des Patienten dadurch geschützt werden. ['Das Kriterium des 'lebenswichtigen Interesses' vermag für die ... vorgesehenen Grundrechtseingriffe keine verfassungsrechtliche Grundlage zu bieten; die Datenverwendung, die der Entwurf vorsieht, ist vom Vorliegen eines lebenswichtigen Interesses unabhängig.'; so Univ.Prof. Dr. Heinz Mayer in seinem Gutachten zum Entwurf des GTeIG 2012.]
(70) Die Einwilligung oder Zustimmung des Antragsstellers als Patienten (ELGA-Teilnehmers) ist weder als Voraussetzung für die Speicherung noch für die Weitergabe noch für die Einsicht (Verwendung) und den Zugriff normiert. Die Speicherpflicht wäre nur dann nicht als – verfassungswidriger – Eingriff in die durch §1 DSG und durch Art8 MRK geschützte Rechtsstellung des Antragstellers zu qualifizieren, wenn vor jedem derartigen Eingriff die ausdrückliche Zustimmung des Patienten eingeholt werden müsste. Dies würde auch den Vorschriften der EU-DSGVO entsprechen, die bei viel unbedeutenderen Eingriffen die vorherige ausdrückliche Zustimmung verlangt.
(71) Die in §13 Abs3 als Pflicht der ELGA-Gesundheitsdiensteanbieter normierte Speicherung und Verwendung der Gesundheitsdaten stellt sohin einen dem Grundrecht auf Datenschutz widersprechenden Eingriff in die verfassungsgesetzlich durch §1 DSG und Art8 MRK geschützte Datenhoheit des Antragstellers dar (s zB G 76/12 v. 12.3.2013; B1369/11 v. 11.10.2012).
AKTUELLE WIRKSAMKEIT DES EINGRIFFS
(72) Das Gesetz trat am 1. Jänner 2013 in Kraft.
(73) Die angefochtene Bestimmung beseitigt schon per 1.1.2013 das sonst gem. §1 DSG bestehende Recht des Antragstellers auf Zustimmung zur Speicherung von Gesundheitsdaten durch Dritte und sohin das Recht auf Untersagung der Speicherung, Weitergabe, Verarbeitung und Zugriff auf diese Daten, also auf Ausschluss Dritter von jedem Datenzugang. Dieser Eingriff droht nicht in der Zukunft, sondern ist bereits erfolgt.
(74) ELGA wird derzeit bereits großflächig in einigen Bezirken und in zahlreichen Krankenanstalten angewendet, die dazu verpflichtet wurden.
KEIN BESCHEID / URTEIL ZU ERWIRKEN
(75) Gegen Akte der Gesetzgebung (ieS) und gegen Tätigkeiten von Organen im Dienste der Gesetzgebung ist ein Rechtsweg an die Datenschutzbehörde (oder eine sonstige Behörde) ausgeschlossen (B 683/2013 v 3.10.2013 mit Hinweis auf VfSlg 19112/2010).
(76) Da die Datenschutzbehörde nicht zuständig ist, wenn Akte der Gesetzgebung betroffen sind, und ebenso nicht, wenn es sich um den privatrechtlichen Bereich – wie hier um den privatrechtlichen Bereich der Behandlungsverträge der Patienten mit Ärzten oder Krankenanstalten – handelt, kann eine bekämpfbare Entscheidung dieser oder einer anderen Behörde daher mangels Zuständigkeit nicht ergehen (VfSlg 19.112/2010).
VERFASSUNGSWIDRIGKEIT / VERLETZUNG DES §1 DSG
(77) Gemäß §1 Abs2 DSG wäre die Speicherung der Gesundheitsdaten im ELGA nur im Fall des Vorliegens eines lebenswichtigen Interesses der Patienten zulässig. Die Speicherung und Verwendung von Gesundheitsdaten liegt aber zweifellos nicht im lebenswichtigen Interesse der Patienten.
(78) Die angefochtene Bestimmung dient auch nicht einem höherwertigen oder überwiegenden Interesse eines anderen im Sinn des §1 Abs2 DSG; ein derartiges Interesse liegt nicht vor. Die in §13 Abs1 (zur Klarstellung: nicht angefochten) aufgezählten, angeblich bestehenden öffentlichen Interessen wiegen nicht schwerer als die Interessen am Unterbleiben des Eingriffs in das verfassungsgesetzlich gewährleistete Recht auf Datenschutz [So auch Univ.-Prof. Dr. Heinz Mayer, a.a.O S 8.], ein überwiegendes berechtigtes Interesse eines anderen an den besonders schützenswerten Gesundheitsdaten ist nicht auszumachen.
(79) Gemäß §1 Abs2 DSG wäre ein derartiger gesetzlicher Eingriff daher nur dann verfassungsrechtlich zulässig, wenn er mit Zustimmung der Betroffenen i.S. von §1 Abs2 DSG erfolgt. Das verfassungsrechtliche Zustimmungserfordernis wird durch die angefochtene Gesetzesbestimmung jedoch gewollt beseitigt.
(80) Die Unterlassung eines Widerspruches i.S. von §§15, 16 stellt keine Zustimmung dar und vermag das verfassungsrechtliche Zustimmungserfordernis nicht zu ersetzen. ['Unter einer Zustimmung ist eine positive Willenserklärung, die ohne Zwang, für einen konkreten Fall und in Kenntnis der Sachlage die Verwendung der Daten gestattet (vgl Art2 lith Datenschutz-RL 95/46/EG; Duschanek , Rz 47 zu §1 DSG, in Korinek/Holoubek [Hrsg] Österr Bundesverfassungsrecht).' Univ.-Prof. Dr. Heinz Mayer a.a.O.]
(81) Schon allein deswegen ist die angefochtene Bestimmung als verfassungswidrig aufzuheben.
VERFASSUNGSWIDRIGKEIT / VERLETZUNG VON Art8 MRK:
(82) Ein Eingriff in die durch das Grundrecht des §1 DSG geschützte Datenhoheit eines Patienten ist im Übrigen, wie sich aus dem Verweis ergibt, nur dann zulässig, wenn ein öffentliches Interesse im Sinn des Art8 MRK besteht. Was unter einem derartigen öffentlichen Interesse zu verstehen ist, definiert die MRK an dieser Stelle selbst. Ganz allgemein nennt Artikel 8 MRK ua den 'Schutz der Gesundheit' ein einen Eingriff in das geschützte Privatleben rechtfertigendes Rechtsgut.
(83) Der Eingriff in den verfassungsgesetzlich durch Art8 MRK geschützten Bereich der Privatsphäre wäre daher nur dann zulässig und verfassungskonform, wenn er dem Schutz der Gesundheit, also der Abwehr von Gefahren für die Gesundheit dient, etwa der Eindämmung der Ausbreitung von Seuchen oder anderer gesundheitlicher Gefahren für die Bevölkerung.
(84) Das wirtschaftliche Wohl des Landes hängt vom Bestehen oder Nichtbestehen der angefochtenen Gesetzesbestimmung und, ganz allgemein, des elektronischen Gesundheitsakts mit Speicherrechten und -pflichten, mit Einsichts- und Verwendungsrechten und -pflichten zweifellos nicht ab.
(85) Budgetäre Erwägungen, Einsparungen im Gesundheitswesen oder Effizienzsteigerungen in der Administration zu erzielen, rechtfertigen einen Eingriff in das verfassungsgesetzlich geschützte Recht auf Datenschutz für sich alleine ebenso wenig wie einen Eingriff in das Recht auf Schutz der Privatsphäre gemäß Art8 MRK.
Kein öffentliches Interesse i.S.d. Art8 MRK
(86) Die Speicherpflicht gemäß §13 Abs3 trägt nichts zu einer besseren oder effizienteren Gesundheitsversorgung bei. Mit der Speicherung laut angefochtener Gesetzesstelle in dem elektronischen Gesundheitsakt wird lediglich eine stetig wachsende Sammlung von Gesundheitsdaten vieler Patienten angelegt. Die durch §1 DSG und Art8 Abs2 MRK geforderte Abwägung der öffentlichen Interessen (oder berechtigter Interessen eines anderen) an einem Eingriff in das Grundrecht auf Datenschutz geht eindeutig zu Gunsten des Datenschutzes aus.
(87) Durch die Schaffung der Verpflichtung der Speicherung werden keine 'Patientenrechte' gestärkt, sondern die Verfügungsmacht der Patienten, das Zustimmungsrecht des §1 Abs2 DSG, rechtlich und dann faktisch beseitigt. Die Normierung von gewissen Patientenrechten ist nur eine notwendige Folge der vom Gesetzgeber normierten Eingriffe in die verfassungsgesetzlich gewährleisteten Rechte des Antragstellers, deren Notwendigkeit erst durch den bekämpften gesetzlichen Eingriff geschaffen wurde. Die gesetzlich normierte Rechtseinräumung schafft erst die Gefahr, vor der einzelne Patientenrechte (ungenügend, s unten) schützen. [So auch Univ.-Prof. Dr. Heinz Mayer, a.a.O. S 5.] Die Stärkung von Patientenrechten kann sohin nicht als öffentliches Interesse an der angefochtenen Gesetzesbestimmung qualifiziert werden, der den Eingriff rechtfertigen könnte.
(88) Der durch das angefochtene Gesetz verfügte Wegfall des Zustimmungserfordernisses beseitigt daher in verfassungswidriger Weise den Datenschutz, ohne rechtfertigendes öffentliches Interesse, und greift in die verfassungsgesetzlich geschützte Privatsphäre ein.
Verhältnismäßigkeit und gelindestes Mittel
(89) Sollte ein öffentliches Interesse an der Speicherpflicht bejaht werden, bleibt vor dem Hintergrund des §1 Abs2 DSG zu prüfen, ob der Verhältnismäßigkeitsgrundsatz eingehalten wurde.
Opt-Out vs. Opt-In
(90) Dem Gesetzgeber standen gelindere Mittel zur Verfügung, um die (von dem Antragsteller bestrittenen) öffentlichen Interessen zu verwirklichen. Der Gesetzgeber hat in Missachtung des verfassungsgesetzlichen Verhältnismäßigkeitsprinzips nicht den geringst möglichen Eingriff gewählt:
(91) Die Opt-Out Regelungen schaffen keine Ausnahme von der durch die angefochtenen Bestimmungen geschaffenen Verpflichtung.
(92) Zweifellos wäre die gesetzliche Verankerung der vorherigen Zustimmung zur Speicherung (Opt-In) ein gelinderes Mittel zur Erreichung der vom Gesetzgeber angestrebten Ziele. Es ist kein nachvollziehbarer Grund ersichtlich, warum die Opt-In Lösung als gelinderes Mittel vom Gesetzgeber nicht generell verankert wurde. ['Es ist nicht ersichtlich, warum der Gesetzgeber statt des 'Opt-Out' nicht ein 'Opt-In' gewählt hat.' (Univ.-Prof. Dr. Heinz Mayer in seinem zweiten Gutachten, S 6.]
(93) ELGA könnte zweifellos und ohne Einschränkung auch dann eingesetzt werden, wenn jeder Patient vor oder bei Speicherung und Verwendung bzw Einsicht seine jeweilige Zustimmung erklären müsste, wie von §1 Abs2 DSG generell verlangt.
(94) Die Unterlassung eines Widerspruchs stellt keine vorweg erklärte Zustimmung des Patienten zur Speicherung der Gesundheitsdaten dar.
(95) Es darf nicht verkannt werden, dass ein Opt-Out stets voraussetzt, dass der betroffene Patient mit seinen Gesundheitsdaten zuvor bereits erfasst ist; dieses Erfasstsein erfolgt, ohne dass er eine Dispositionsmöglichkeit über seine Daten hatte. Das Unterlassen des Opt-Out kann daher schon deshalb nicht als Zustimmung qualifiziert werden; es gilt darüber hinaus in diesem Zusammenhang das, was auch bei anderen Grundrechtseingriffen gilt: Wer Zwang duldet oder sich gegen solchen nicht zur Wehr setzt, erteilt der Zwangsausübung (hier: dem Eingriff) keine Zustimmung. [ Berka , Die Grundrechte [1999] Rz 178.] Die bloße Möglichkeit eines Opt-Out kann nicht gewährleisten, dass jeder Betroffene von den konkreten Umständen der Datenspeicherung Kenntnis erlangt und in freier Willensentscheidung von seinem informationellen Selbstbestimmungsrecht Gebrauch macht. Wer zu einem Opt-Out gezwungen ist, hat die Herrschaft über seine Daten schon zuvor verloren.
(96) Zu beachten ist, dass die durch die angefochtene Gesetzesbestimmung verfügte Sammlung der Gesundheitsdaten in jedem Fall lückenhaft bleibt; je mehr Patienten ihren generellen oder situativen Widerspruch erklären, desto größer werden die Lücken. Eine lückenlose Speicherung der Gesundheitsdaten (als Folge der Speicherrechte oder -pflichten) ist von vornherein ausgeschlossen.
(97) Die Opt-Out Regelungen ändern auch aus folgendem Grund nichts an der unverhältnismäßigen und daher als verfassungswidrig angefochtenen Bestimmung: Die in §13 Abs3 eingeführte Pflicht zur Speicherung wird durch die Opt-Out Regelungen nicht beseitigt, ein Widerspruch gem. §15 Abs2 berührt die angefochtenen Pflichten nicht.
(98) Der in §15 vorgesehene Widerspruch gegen die 'Teilnahme' ist auch kein effektives Mittel zum Schutz der Geheimhaltungsinteressen an personenbezogenen Gesundheitsdaten, v.a. kein Schutz vor Speicherung.
(99) Der Widerspruch oder die Ausübung der Rechte gem. §16 Abs2 erfordern ein aktives Handeln der Patienten und v.a. das Wissen um die erfolgte Speicherung, verlangen also zur Sicherung der Grundrechte die Abfassung und Absendung von schriftlichen Erklärungen gegenüber der Widerspruchsstelle, was für viele Patienten eine unzumutbar hohe Anforderung und vom Gesetzgeber eingebaute Hürde darstellt.
(100) Hinzu kommt: Aufgrund eines Widerspruchs sind nur die Verweise zu löschen. Dies bedeutet nicht, dass die dezentral gespeicherten Gesundheitsdaten ebenso gelöscht werden müssen und können. Durch die Löschung des Verweises wird nur bewirkt, dass mit der Identifikation des Patienten keine Verbindung zu gespeicherten Daten hergestellt werden kann.
(101) Ein Widerspruch wendet sich daher nicht effektiv gegen die (erfolgte) Speicherung und bewirkt nicht die Löschung der nicht zentral gespeicherten Gesundheitsdaten, er beseitigt die angefochtene Pflicht nicht.
(102) Die angefochtene Bestimmung ist daher auch wegen Verletzung des Verhältnismäßigkeitsprinzips als verfassungswidrig aufzuheben.
Judikatur zum Prinzip des 'gelindesten' Mittels:
(103) Der Verfassungsgerichtshof hat über derartige Eingriffe mehrfach entschieden, wie die folgende Zusammenstellung der Judikatur zeigt, er hat auch das vom Gesetzgeber zu beachtende Prinzip betont, dass ein Eingriff, der einem i.S. des Art8 MRK zulässigen Zweck dient, nur dann verfassungskonform ist, wenn er in der gelindesten Art vorgenommen wird.
• B1369/11 v 11.10.2012
Ein Eingriff in das verfassungsgesetzlich gewährleistete Geheimhaltungsrecht gem. §1 Abs2 DSG unter Berufung auf die lebenswichtigen Interessen des Betroffenen darf nur dann erfolgen, wenn eine Zustimmung nicht eingeholt werden kann.
• B2271/00 v 28.11.2001:
Dazu tritt nach dem DSG noch zusätzlich die Verdeutlichung des Verhältnismäßigkeitsprinzips für die Zulässigkeit gesetzlich vorgesehener Eingriffe einer staatlichen Behörde in das Grundrecht, weil dem letzten Satz des §1 Abs2 DSG zufolge auch für den Fall an sich gesetzlich zugelassener Beschränkungen der konkrete Eingriff in das Grundrecht unzulässig ist, wenn er nicht in der jeweils gelindesten, zum Ziel führenden Art vorgenommen wird.
• B62/09 – B180/09 v 1.12.2009, B1944/07 – B197/09, B218/09 v 9.12.2008 betr. videogestützte Abstandsmessung:
Eingriffe einer staatlichen Behörde in das Grundrecht auf Datenschutz sind nur aufgrund ausreichend präziser gesetzlicher Regelungen aus den Gründen des Art8 Abs2 MRK zulässig.
Die sich aus Art2 DSG ergebenden Grenzen der Datenerhebung und verwendung müssen §1 Abs2 letzter Satz DSG zufolge nach Maßgabe des Verhältnismäßigkeitsgrundsatzes – also verfassungskonform – bestimmt werden, sodass 'der Eingriff in das Grundrecht nur in der gelindesten, zum Ziel führenden Art vorgenommen' wird.
Zur Bedeutung des Erkenntnisses über Vorratsdatenspeicherung
(104) Die durch die oben bezeichneten Bestimmungen des GTeIG 2012 normierten Eingriffe in das Grundrecht auf Datenschutz und gemäß Art8 MRK sind noch weit gravierender als die vom Verfassungsgerichtshof mit sofortiger Wirkung aufgehobene Vorratsdatenspeicherung (G47/2012).
(105) Die Vorratsdatenspeicherung konnte mit einem eminenten öffentlichen Interesse begründet werden. Selbstverständlich gehört es zu den zentralen Staatsaufgaben, die Sicherheit vor schwerer Kriminalität und die Abwehr von Gefahren für das demokratische Gemeinwesen und den Rechtsstaat effizient zu gewährleisten. An diesem öffentlichen Interesse kann und konnte niemals Zweifel bestehen. Dennoch haben der Europäische Gerichtshof und der Verfassungsgerichtshof diese Regelungen aufgehoben.
(106) Im vorliegenden Fall ist die Sachlage anders. Wie ausgeführt, liegt kein öffentliches Interesse, jedenfalls kein erhebliches öffentliches Interesse an der durch die angefochtene Bestimmung bezweckten elektronische Speicherung und Verwendung (Einsicht) von Gesundheitsdaten vor.
(107) Die bloßen Verbindungsdaten, welche im Rahmen der Vorratsdatenspeicherung gespeichert werden mussten, sind wesentlich weniger sensibel als die dem besonderen Schutz unterworfenen Gesundheitsdaten. Dieser besondere Schutz, den Gesundheitsdaten genießen sollten, spricht dafür, die Grundsätze für die Aufhebung der gesetzlichen Bestimmungen zur Vorratsdatenspeicherung umso mehr auf diesen Fall anzuwenden.
Schlussfolgerung:
(108) Die angefochtene Bestimmung ist wegen der konkret dargelegten Bedenken als Verletzung der verfassungsrechtlich gewährleisteten Rechte auf Datenschutz (§1 DSG) und auf Schutz der Persönlichkeitsrechte (§1 DSG iVm Art8 MRK) zu qualifizieren und vom Verfassungsgerichtshof als verfassungswidrig aufzuheben.
Anfechtung §13 Abs7 GTeIG 2012:
WORTLAUT DER ANGEFOCHTENEN GESETZESBESTIMMUNG
(109) Angefochten wird §13 Abs7 idgF (BGBl I Nr 37/2018) zur Gänze:
'Ist aus Gründen, die nicht vom ELGA-Gesundheitsdiensteanbieter verschuldet sind, im konkreten Einzelfall eine Verwendung von ELGA technisch nicht möglich oder ist durch den mit der Suche verbundenen Zeitaufwand das Leben oder die Gesundheit des ELGA-Teilnehmers/der ELGA-Teilnehmerin ernstlich gefährdet, ist der ELGA-Gesundheitsdiensteanbieter nicht verpflichtet, ELGA-Gesundheitsdaten im Wege von ELGA zu erheben.'
INKRAFTTRETEN
(110) Gemäß §26 Abs1 trat das GTeIG 2012 mit dieser angefochtenen Bestimmung am 1. Jänner 2013 in Kraft. Es wurde zuletzt mit BGBl I Nr 37/2018 geringfügigst novelliert.
NORMINHALT
(111) §13 Abs7 regelt die Ausnahme von der die ELGA-Gesundheitsdiensteanbieter treffenden Verpflichtung, stets ELGA Gesundheitsdaten im Wege von ELGA zu ermitteln, normiert also die Verpflichtung aller ELGA-Gesundheitsdiensteanbieter, ELGA Gesundheitsdaten jeweils zu erheben (einzusehen) und zu verwenden.
(112) Die angefochtene Bestimmung unterlässt es, die vorherige Zustimmung des Patienten zur Voraussetzung der Zulässigkeit der Einsicht in die ELGA-Gesundheitsdaten zu machen.
(113) Die folgenden Ausführungen sind mit den zu §13 Abs2 und 3 erstatteten weitestgehend identisch, weil §13 Abs7 in gleicher Weise unmittelbare Eingriffe in die Rechtsstellung der Antragsteller – wie in §13 Abs3 als Verpflichtung – normiert, die aus denselben Gründen verfassungswidrig sind. Diese Wiederholung ist zur Vermeidung von Verweisen erforderlich.
EINGRIFF IN DIE PRIVATSPHÄRE DES ANTRAGSTELLERS ALS PATIENT UND HERR SEINER GESUNDHEITSDATEN
(114) Die mit der angefochtenen Bestimmung neu geschaffenen Verpflichtungen entziehen dem Antragsteller sein Zustimmungsrecht und damit die durch §1 DSG und Art8 MRK geschützte Datenhoheit hinsichtlich seiner besonders sensiblen Gesundheitsdaten. Die neu geschaffenen Pflichten des Erhebens, gleichbedeutend mit der Pflicht des Einsehens in die Gesundheitsdaten des Antragstellers, greifen in die durch §1 DSG und Art8 MRK verfassungsgesetzlich geschützte Rechtsstellung des Antragstellers als allein Verfügungsberechtigtem durch die normierte Beseitigung des Zustimmungserfordernisses des §1 Abs2 DSG hinsichtlich seiner Gesundheitsdaten in unverhältnismäßiger, daher verfassungswidriger Weise ein.
Bisherige Rechtslage:
(115) Der Antragsteller hatte – und hat – zweifellos ein schutzwürdiges Interesse an der Geheimhaltung seiner Gesundheitsdaten (§1 Abs1 DSG). Bis zum Inkrafttreten des GTeIG 2012 war der Antragsteller im Sinn des §1 DSG mit 'Datenhoheit' ausgestatteter alleiniger Verfügungsberechtigter seiner Gesundheitsdaten, er konnte über Speicherung, bejahendenfalls über Speicherort und -form, Verwendung, Weitergabe, Einsichtsrechte und Löschung in Ausübung seines exklusiven Zustimmungsrechts zur Datenverwendung durch Dritte selbst bestimmen.
Verpflichtung neu: Erheben und Zugriff
(116) Durch die Ermittlungspflicht der in ELGA gespeicherten und vernetzten Gesundheitsdaten, wie vom GTeIG 2012 in der angefochtenen Bestimmung (§13 Abs7) angeordnet und näher geregelt, wird – ohne Hinzutreten einer gerichtlichen oder im Instanzenzug bekämpfbaren Entscheidung – in das verfassungsgesetzlich gewährleistete Recht des Antragstellers auf Datenschutz eingegriffen, obwohl ihm zweifellos ein schutzwürdiges Interesse an seiner Datenhoheit über die besonders schutzwürdigen Gesundheitsdaten zuzubilligen ist (§1 DSG).
(117) Bisher konnte der Antragsteller die Ermittlung, die Verwendung und den Zugriff (Einsicht) auf gespeicherte Gesundheitsdaten im Rahmen seiner vertraglichen Beziehung mit Arzt bzw Krankenanstalt vor dem Hintergrund der gesetzlichen Schweigepflicht (privat-) autonom regeln, er konnte im Einzelfall entscheiden, wem er die Ermittlung und Einsicht in seine Gesundheitsdaten gestattet und seine Zustimmung von Fall zu Fall erteilen oder verweigern. Mit Inkrafttreten des GTeIG 2012 wurde diese dem §1 DSG und dem Art8 MRK entsprechende Rechtslage auf den Kopf gestellt, weil die angefochtene Bestimmung die Pflicht zum Ermitteln und damit den Zugriff auf die Gesundheitsdaten des Antragstellers normiert (§13 Abs7).
(118) Die Verpflichtung, ELGA-Gesundheitsdaten zu erheben und einzusehen, trifft alle ELGA-Gesundheitsdiensteanbieter von Gesetzes wegen, es lässt sich durch vertragliche Vereinbarungen zwischen dem Patienten und dem behandelnden Arzt (ELGA-Gesundheitsdiensteanbieter) bzw der Krankenanstalt (ebenfalls ein ELGA-Gesundheitsdiensteanbieter) nicht einschränken.
(119) Der Verfassungsgerichtshof hat im Erkenntnis B1369/11 vom 11.10.2013 jedoch ausgesprochen, dass schutzwürdige Daten nur dann gespeichert und verwendet werden dürfen, wenn eine Zustimmung des Berechtigten vorliegt. Nur ganz ausnahmsweise und nur unter Berufung auf konkrete, lebenswichtige Interessen dürfen derartige Daten ohne Zustimmung verwendet werden, das Zustimmungserfordernis des §1 Abs2 DSG ist ohne Vorliegen derartiger Ausnahmen in jedem Fall beachtlich. Die angefochtene Gesetzesbestimmung des GTeIG 2012 ordnet im Gegensatz dazu generell die Speicherung und die Zurverfügungstellung aller Gesundheitsdaten ohne Zustimmung des Patienten an, ohne dass lebenswichtige Interessen des Patienten dadurch geschützt werden. ['Das Kriterium des 'lebenswichtigen Interesses' vermag für die ... vorgesehenen Grundrechtseingriffe keine verfassungsrechtliche Grundlage zu bieten; die Datenverwendung, die der Entwurf vorsieht, Ist vom Vorliegen eines lebenswichtigen Interesses unabhängig.'; so Univ.Prof. Dr. Heinz Mayer in einem Gutachten zum Entwurf des GTeIG 2012.]
(120) Die Einwilligung oder Zustimmung des Antragsstellers als Patienten (ELGA-Teilnehmers) ist weder als Voraussetzung für die Speicherung noch für die Weitergabe noch für die Verpflichtung (Verwendung) und den Zugriff normiert. Die Ermittlungspflicht wäre nur dann nicht als – verfassungswidriger – Eingriff in die durch §1 DSG und durch Art8 MRK geschützte Rechtsstellung des Antragstellers zu qualifizieren, wenn vor jedem derartigen Eingriff die ausdrückliche Zustimmung des Patienten eingeholt werden müsste. Dies würde auch den Vorschriften der EU-DSGVO entsprechen, die bei viel unbedeutenderen Eingriffen die vorherige ausdrückliche Zustimmung verlangt.
(121) Die in §13 Abs7 normierte Pflicht zur Ermittlung (Zugriff, Einsicht, Verwendung) der Gesundheitsdaten stellt sohin einen dem Grundrecht auf Datenschutz widersprechenden Eingriff in die verfassungsgesetzlich durch §1 DSG und Art8 MRK geschützte Datenhoheit des Antragstellers dar (s zB G76/12 v. 12.3.2013; B1369/11 v. 11.10.2012).
AKTUELLE WIRKSAMKEIT DES EINGRIFFS
(122) Das Gesetz trat am 1. Jänner 2013 in Kraft.
(123) Die angefochtenen Bestimmungen beseitigten schon per 1.1.2013 das sonst gem. §1 DSG bestehende Recht des Antragstellers auf Zustimmung zur Ermittlung und Verarbeitung von Gesundheitsdaten durch Dritte und sohin das Recht auf Untersagung der Speicherung, Weitergabe, Verarbeitung und Zugriff auf diese Daten, also auf Ausschluss Dritter von jedem Datenzugang. Dieser Eingriff droht nicht in der Zukunft, sondern ist bereits erfolgt.
(124) ELGA wird derzeit bereits großflächig in einigen Bezirken und in zahlreichen Krankenanstalten angewendet, die dazu verpflichtet wurden.
KEIN BESCHEID / URTEIL ZU ERWIRKEN
(125) Gegen Akte der Gesetzgebung (ieS) und gegen Tätigkeiten von Organen im Dienste der Gesetzgebung ist ein Rechtsweg an die Datenschutzbehörde (oder eine sonstige Behörde) ausgeschlossen (B683/2013 v 3.10.2013 mit Hinweis auf VfSlg 19112/2010).
(126) Da die Datenschutzbehörde nicht zuständig ist, wenn Akte der Gesetzgebung betroffen sind, und ebenso nicht, wenn es sich um den privatrechtlichen Bereich – wie hier um den privatrechtlichen Bereich der Behandlungsverträge der Patienten mit Ärzten oder Krankenanstalten – handelt, kann eine bekämpfbare Entscheidung dieser oder einer anderen Behörde daher mangels Zuständigkeit nicht ergehen (VfSlg 19.112/2010).
VERFASSUNGSWIDRIGKEIT / VERLETZUNG DES §1 DSG
(127) Gemäß §1 Abs2 DSG wäre die Verwendung – die Ermittlung und Einsicht gemäß der durch §13 Abs7 neu geschaffenen Pflicht – im Fall des Vorliegens eines lebenswichtigen Interesses der Patienten zulässig. Die Ermittlung von Gesundheitsdaten liegt aber zweifellos nicht im lebenswichtigen Interesse der Patienten.
(128) Die angefochtene Bestimmung dient auch nicht einem höherwertigen oder überwiegenden Interesse eines anderen im Sinn des §1 Abs2 DSG; ein derartiges Interesse liegt nicht vor. Die in §13 Abs1 (zur Klarstellung: nicht angefochten) aufgezählten, angeblich bestehenden öffentlichen Interessen wiegen nicht schwerer als die Interessen am Unterbleiben des Eingriffs in das verfassungsgesetzlich gewährleistete Recht auf Datenschutz [So auch Univ.-Prof. Dr. Heinz Mayer, a.a.O S 8.], ein überwiegendes berechtigtes Interesse eines anderen an den besonders schützenswerten Gesundheitsdaten ist nicht auszumachen.
(129) Gemäß §1 Abs2 DSG wäre ein derartiger gesetzlicher Eingriff daher nur dann verfassungsrechtlich zulässig, wenn er mit Zustimmung der Betroffenen i.S. von §1 Abs2 DSG erfolgt. Das verfassungsrechtliche Zustimmungserfordernis wird durch die angefochtene Gesetzesbestimmung jedoch gewollt beseitigt.
(130) Die Unterlassung eines Widerspruchs i.S. von §§15, 16 stellt keine Zustimmung dar und vermag das verfassungsrechtliche Zustimmungserfordernis nicht zu ersetzen. ['Unter einer Zustimmung ist eine positive Willenserklärung, die ohne Zwang, für einen konkreten Fall und in Kenntnis der Sachlage die Verwendung der Daten gestattet (vgl Art2 lith Datenschutz-RL 95/46/EG; Duschanek , Rz 47 zu §1 DSG, in Korinek/Holoubek [Hrsg] Österr Bundesverfassungsrecht).' Univ.-Prof. Dr. Heinz Mayer a.a.O.]
(131) Schon allein deswegen ist die angefochtene Bestimmung als verfassungswidrig aufzuheben.
VERFASSUNGSWIDRIGKEIT / VERLETZUNG VON Art8 MRK:
(132) Ein Eingriff in die durch das Grundrecht des §1 DSG geschützte Datenhoheit eines Patienten ist im Übrigen, wie sich aus dem Verweis ergibt, nur dann zulässig, wenn ein öffentliches Interesse im Sinn des Art8 MRK besteht. Was unter einem derartigen öffentlichen Interesse zu verstehen ist, definiert die MRK an dieser Stelle selbst. Ganz allgemein nennt Artikel 8 MRK ua den 'Schutz der Gesundheit' ein einen Eingriff in das geschützte Privatleben rechtfertigendes Rechtsgut.
(133) Der Eingriff in den verfassungsgesetzlich durch Art8 MRK geschützten Bereich der Privatsphäre wäre daher nur dann zulässig und verfassungskonform, wenn er dem Schutz der Gesundheit, also der Abwehr von Gefahren für die Gesundheit dient, etwa der Eindämmung der Ausbreitung von Seuchen oder anderer gesundheitlicher Gefahren für die Bevölkerung.
(134) Das wirtschaftliche Wohl des Landes hängt vom Bestehen oder Nichtbestehen der angefochtenen Gesetzesbestimmung und, ganz allgemein, des elektronischen Gesundheitsakts mit Speicherrechten und -pflichten, mit Einsichts- und Verwendungsrechten und -pflichten zweifellos nicht ab.
(135) Budgetäre Erwägungen, Einsparungen im Gesundheitswesen oder Effizienzsteigerungen in der Administration zu erzielen, rechtfertigen einen Eingriff in das verfassungsgesetzlich geschützte Recht auf Datenschutz für sich alleine ebenso wenig wie einen Eingriff in das Recht auf Schutz der Privatsphäre gemäß Art8 MRK.
Kein öffentliches Interesse i.S.d. Art8 MRK
(136) Die Ermittlungspflicht des §13 Abs7 trägt nichts zu einer besseren oder effizienteren Gesundheitsversorgung bei. Die durch §1 DSG und Art8 Abs2 MRK geforderte Abwägung der öffentlichen Interessen (oder berechtigter Interessen eines anderen) an einem Eingriff in das Grundrecht auf Datenschutz geht eindeutig zu Gunsten des Datenschutzes aus.
(137) Durch die Schaffung der Ermittlungspflicht werden keine 'Patientenrechte' gestärkt, sondern die Verfügungsmacht der Patienten, das Zustimmungsrecht des §1 Abs2 DSG, rechtlich und dann faktisch beseitigt. Die Normierung von gewissen Patientenrechten ist nur eine notwendige Folge der vom Gesetzgeber normierten Eingriffe in die verfassungsgesetzlich gewährleisteten Rechte des Antragstellers, deren Notwendigkeit erst durch den bekämpften gesetzlichen Eingriff geschaffen wurde. Die gesetzlich normierte Rechtseinräumung und die Pflichtenbegründung schaffen erst die Gefahr, vor der einzelne Patientenrechte (ungenügend, s unten) schützen. [So auch Univ.-Prof. Dr. Heinz Mayer, a.a.O. S 5.] Die Stärkung von Patientenrechten kann sohin nicht als öffentliches Interesse an der angefochtenen Gesetzesbestimmung qualifiziert werden, der den Eingriff rechtfertigen könnte.
(138) Der durch das angefochtene Gesetz verfügte Wegfall des Zustimmungserfordernisses beseitigt daher in verfassungswidriger Weise den Datenschutz, ohne rechtfertigendes öffentliches Interesse, und greift in die verfassungsgesetzlich geschützte Privatsphäre ein.
Verhältnismäßigkeit und gelindestes Mittel
(139) Sollte ein öffentliches Interesse an der Ermittlungspflicht bejaht werden, bleibt vor dem Hintergrund des §1 Abs2 DSG zu prüfen, ob der Verhältnismäßigkeitsgrundsatz eingehalten wurde.
Opt-Out vs. Opt-In
(140) Dem Gesetzgeber standen gelindere Mittel zur Verfügung, um die (von dem Antragsteller bestrittenen) öffentlichen Interessen zu verwirklichen. Der Gesetzgeber hat in Missachtung des verfassungsgesetzlichen Verhältnismäßigkeitsprinzips nicht den geringst möglichen Eingriff gewählt:
(141) Zweifellos wäre die gesetzliche Verankerung der vorherigen Zustimmung zur Ermittlung von Gesundheitsdaten (Opt-In) ein gelinderes Mittel zur Erreichung der vom Gesetzgeber angestrebten Ziele. Es ist kein nachvollziehbarer Grund ersichtlich, warum die Opt-In Lösung als gelinderes Mittel vom Gesetzgeber nicht generell verankert wurde. ['Es ist nicht ersichtlich, warum der Gesetzgeber statt des 'Opt-Out' nicht ein 'Opt-In' gewählt hat.' (Univ.-Prof. Dr. Heinz Mayer in seinem zweiten Gutachten, S 6.]
(142) ELGA könnte zweifellos und ohne Einschränkung auch dann eingesetzt werden, wenn jeder Patient bei Ermittlung bzw Einsicht seine jeweilige Zustimmung erklären müsste, wie von §1 Abs2 DSG generell verlangt.
(143) Die Unterlassung eines Widerspruchs stellt keine vorweg erklärte Zustimmung des Patienten zur Speicherung, Einsicht und Weitergabe der Gesundheitsdaten dar.
(144) Es darf nicht verkannt werden, dass ein Opt-Out stets voraussetzt, dass der betroffene Patient mit seinen Gesundheitsdaten zuvor bereits erfasst ist; dieses Erfasstsein erfolgt, ohne dass er eine Dispositionsmöglichkeit über seine Daten hatte. Das Unterlassen des Opt-Out kann daher schon deshalb nicht als Zustimmung qualifiziert werden; es gilt darüber hinaus in diesem Zusammenhang das, was auch bei anderen Grundrechtseingriffen gilt: Wer Zwang duldet oder sich gegen solchen nicht zur Wehr setzt, erteilt der Zwangsausübung (hier: dem Eingriff) keine Zustimmung. [ Berka , Die Grundrechte [1999] Rz 178.] Die bloße Möglichkeit eines Opt-Out kann nicht gewährleisten, dass jeder Betroffene von den konkreten Umständen der Datenspeicherung und der Datenverwendung Kenntnis erlangt und in freier Willensentscheidung von seinem informationellen Selbstbestimmungsrecht Gebrauch macht. Wer zu einem Opt-Out gezwungen ist, hat die Herrschaft über seine Daten schon zuvor verloren.
(145) Zu beachten ist, dass die durch die angefochtene Gesetzesbestimmung verfügte Sammlung der Gesundheitsdaten in jedem Fall lückenhaft bleibt; je mehr Patienten ihren generellen oder situativen Widerspruch erklären, desto größer werden die Lücken. Eine lückenlose Speicherung der Gesundheitsdaten (als Folge der Speicherrechte oder -pflichten) ist von vornherein ausgeschlossen.
(146) Die Opt-Out Regelungen ändern auch aus folgendem Grund nichts an der unverhältnismäßigen und daher als verfassungswidrig angefochtenen Bestimmung: Die in §13 Abs7 eingeführte Ermittlungspflicht wird durch die Opt-Out Regelungen nicht beseitigt, ein Widerspruch gem. §15 Abs2 berührt die angefochtenen Pflichten nicht.
(147) Der in §15 vorgesehene Widerspruch gegen die 'Teilnahme' ist auch kein effektives Mittel zum Schutz der Geheimhaltungsinteressen an personenbezogenen Gesundheitsdaten.
(148) Der Widerspruch oder die Ausübung der Rechte gem. §16 Abs2 erfordern ein aktives Handeln der Patienten und v.a. das Wissen um die erfolgte Speicherung, verlangen also zur Sicherung der Grundrechte die Abfassung und Absendung von schriftlichen Erklärungen gegenüber der Widerspruchsstelle, was für viele Patienten eine unzumutbar hohe Anforderung und vom Gesetzgeber eingebaute Hürde darstellt.
(149) Hinzu kommt: Aufgrund eines Widerspruchs sind nur die Verweise zu löschen. Dies bedeutet nicht, dass die dezentral gespeicherten Gesundheitsdaten ebenso gelöscht werden müssen und können. Durch die Löschung des Verweises wird nur bewirkt, dass mit der Identifikation des Patienten keine Verbindung zu gespeicherten Daten hergestellt werden kann.
(50) Ein Widerspruch wendet sich daher nicht effektiv gegen die Ermittlung gespeicherter Gesundheitsdaten und bewirkt nicht die Löschung der nicht zentral gespeicherten Gesundheitsdaten, er beseitigt die angefochtene Pflicht nicht.
(151) Die angefochtene Bestimmung ist daher auch wegen Verletzung des Verhältnismäßigkeitsprinzips als verfassungswidrig aufzuheben.
Judikatur zum Prinzip des 'gelindesten' Mittels:
(152) Der Verfassungsgerichtshof hat über derartige Eingriffe mehrfach entschieden, wie die folgende Zusammenstellung der Judikatur zeigt, er hat auch das vom Gesetzgeber zu beachtende Prinzip betont, dass ein Eingriff, der einem 1.S. des Art8 MRK zulässigen Zweck dient, nur dann verfassungskonform ist, wenn er in der gelindesten Art vorgenommen wird.
• B1369/11 v 11.10.2012
Ein Eingriff in das verfassungsgesetzlich gewährleistete Geheimhaltungsrecht gem. §1 Abs2 DSG unter Berufung auf die lebenswichtigen Interessen des Betroffenen darf nur dann erfolgen, wenn eine Zustimmung nicht eingeholt werden kann.
• B2271/00 v 28.11.2001:
Dazu tritt nach dem DSG noch zusätzlich die Verdeutlichung des Verhältnismäßigkeitsprinzips für die Zulässigkeit gesetzlich vorgesehener Eingriffe einer staatlichen Behörde in das Grundrecht, weil dem letzten Satz des §1 Abs2 DSG zufolge auch für den Fall an sich gesetzlich zugelassener Beschränkungen der konkrete Eingriff in das Grundrecht unzulässig ist, wenn er nicht in der jeweils gelindesten, zum Ziel führenden Art vorgenommen wird.
• B62/09 – B180/09 v 1.12.2009, B1944/07 – B197/09, B218/09 v 9.12.2008 betr. videogestützte Abstandsmessung:
Eingriffe einer staatlichen Behörde in das Grundrecht auf Datenschutz sind nur aufgrund ausreichend präziser gesetzlicher Regelungen aus den Gründen des Art8 Abs2 MRK zulässig.
Die sich aus Art2 DSG ergebenden Grenzen der Datenerhebung und verwendung müssen §1 Abs2 letzter Satz DSG zufolge nach Maßgabe des Verhältnismäßigkeitsgrundsatzes – also verfassungskonform – bestimmt werden, sodass 'der Eingriff in das Grundrecht nur in der gelindesten, zum Ziel führenden Art vorgenommen' wird.
Zur Bedeutung des Erkenntnisses über Vorratsdatenspeicherung
(153) Die durch die oben bezeichneten Bestimmungen des GTeIG 2012 normierten Eingriffe in das Grundrecht auf Datenschutz und gemäß Art8 MRK sind noch weit gravierender als die vom Verfassungsgerichtshof mit sofortiger Wirkung aufgehobene Vorratsdatenspeicherung (G47/2012).
(154) Die Vorratsdatenspeicherung konnte mit einem eminenten öffentlichen Interesse begründet werden. Selbstverständlich gehört es zu den zentralen Staatsaufgaben, die Sicherheit vor schwerer Kriminalität und die Abwehr von Gefahren für das demokratische Gemeinwesen und den Rechtsstaat effizient zu gewährleisten. An diesem öffentlichen Interesse kann und konnte niemals Zweifel bestehen. Dennoch haben der Europäische Gerichtshof und der Verfassungsgerichtshof diese Regelungen aufgehoben.
(155) Im vorliegenden Fall ist die Sachlage anders. Wie ausgeführt, liegt kein öffentliches Interesse, jedenfalls kein erhebliches öffentliches Interesse an der durch die angefochtene Bestimmung bezweckten elektronische Speicherung und Verwendung (Einsicht) von Gesundheitsdaten vor.
(156) Die bloßen Verbindungsdaten, welche im Rahmen der Vorratsdatenspeicherung gespeichert werden mussten, sind wesentlich weniger sensibel als die dem besonderen Schutz unterworfenen Gesundheitsdaten. Dieser besondere Schutz, den Gesundheitsdaten genießen sollten, spricht dafür, die Grundsätze für die Aufhebung der gesetzlichen Bestimmungen zur Vorratsdatenspeicherung umso mehr auf diesen Fall anzuwenden.
Schlussfolgerung:
(157) Die angefochtene Bestimmung ist wegen der konkret dargelegten Bedenken als Verletzung der verfassungsrechtlich gewährleisteten Rechte auf Datenschutz (§1 DSG) und auf Schutz der Persönlichkeitsrechte (§1 DSG iVm Art8 MRK) zu qualifizieren und vom Verfassungsgerichtshof als verfassungswidrig aufzuheben.
Anfechtung §20 Abs1, Abs2, 3 (teilweise), 4, 5 GTeIG 2012:
WORTLAUT DER ANGEFOCHTENEN GESETZESBESTIMMUNG
(158) Angefochten werden die im folgenden wiedergegebenen Absätze (1) – (5) des §20 idgF (BGBl I Nr 37/2018), im Absatz (3) nur der erste Satz:
'§20. (1) Sofern sich aus den §§15 Abs2 und 16 Abs2 Z2 nichts anderes ergibt, haben ELGA-Gesundheitsdienstanbieter ELGA-Gesundheitsdaten in gemäß §28 Abs2 Z5 geeigneten Datenspeichern, die sich im Gebiet der Europäischen Union befinden müssen, zu speichern (§13 Abs3). Bereits gespeicherte ELGA-Gesundheitsdaten dürfen nicht geändert werden. Treten Umstände hervor, die eine maßgebliche Änderung des Behandlungsverlaufs bedingen können, ist zusätzlich eine aktualisierte Version zu speichern. Verantwortlicher (Art4 Z7 DSGVO) für die Speicherung ist der jeweilige ELGA-Gesundheitsdiensteanbieter.
(2) Sofern sich aus den §§15 Abs2 und 16 Abs2 Z2 nichts Anderes ergibt, haben ELGA-Gesundheitsdienstanbieter in Verweisregistern, die sich im Gebiet der Europäischen Union befinden müssen, zu speichern (§13 Abs3). Dies gilt nicht in Fällen in denen ELGA-Teilnehmer/innen der Aufnahme von Verweisen widersprochen haben. Verantwortlicher (Art4 Z7 DSGVO) für die Speicherung ist der jeweilige ELGA-Gesundheitsdiensteanbieter.
(3) ELGA-Gesundheitsdaten sowie elektronische Verweise darauf sind dezentral für zehn Jahre, ungeachtet anderer gesetzlicher Dokumentationsverpflichtungen, zu speichern. [Rest wird nicht angefochten]
(4) Abweichend von den Abs2 und 3 sind Medikationsdaten gemäß §2 Z9 litb
1. ohne Aufnahme elektronischer Verweise zentral in ELGA zu speichern sowie
2. ein Jahr ab Abgabe vom Auftragsverarbeiter (Art4 Z8 DSGVO) automatisch zu löschen.
(5) Elektronische Verweise sind automatisch zu erstellen und haben zu enthalten:
1. Daten, die sich auf den/die ELGA-Teilnehmer/in beziehen:
a) das bPK-GH des ELGA-Teilnehmers/der ELGA-Teilnehmerin oder
b) lokale Patient/Inn/en-Kennungen,
2. Daten, die sich auf den ELGA-Gesundheitsdiensteanbieter beziehen:
a) die eindeutige Kennung des ELGA-Gesundheitsdiensteanbieters, der für die Aufnahme der ELGA-Gesundheitsdaten verantwortlich ist,
b) die natürliche Person, die die ELGA-Gesundheitsdaten in ELGA gespeichert hat,
3. Daten, die sich auf die ELGA-Gesundheitsdaten beziehen:
a) den Speicherort der ELGA-Gesundheitsdaten,
b) die eindeutige Kennung der ELGA-Gesundheitsdaten,
c) Datum und Zeitpunkt der Erstellung der ELGA-Gesundheitsdaten,
d) den Hinweis auf allenfalls frühere Versionen dieser ELGA-Gesundheitsdaten,
e) sofern vorhanden, einen strukturierten Hinweis auf die medizinische Bezeichnung der ELGA-Gesundheitsdaten sowie
f) Datum und Zeitpunkt, an dem der elektronische Verweis auf ELGA-Gesundheitsdaten in ein Verweisregister aufgenommen wurde.'
INKRAFTTRFTEN
(159) Gemäß §26 Abs1 trat das GTeIG 2012 mit dieser angefochtenen Bestimmung am 1. Jänner 2013 in Kraft. Es wurde zuletzt durch BGBl I Nr 37/2018, geringfügigst novelliert.
NORMINHALT
(160) §20 Abs1, erster, vorletzter und letzter Satz, sowie die Absätze 2-5, soweit angefochten, normieren die Speicherpflicht aller ELGA-Gesundheitsdiensteanbieter mit Bezugnahme auf §13 Abs3, aber weit detaillierter als §13 Abs3. Zu speichern ist in 'geeigneten' Datenspeichern in der EU (Abs1) und in 'Verweisregistern' (Abs2). Auftraggeber der Speicherung muss in jedem Fall der ELGA-Gesundheitsdiensteanbieter sein. Der Speicherort hat in der EU zu liegen, die Speicherung erfolgt in 'Verweisregistern'. Die Speicherung erfolgt für 10 Jahre. Die elektronischen Verweise haben automatisch zu erfolgen und die Inhalte des Abs(5) zu enthalten.
(161) Auch in dieser angefochtenen Bestimmung fehlt die Voraussetzung der vorherigen Zustimmung zur Speicherung, die der Antragsteller (Patient), dessen Gesundheitsdaten wie vorgeschrieben gespeichert werden müssen, erteilen müsste.
(162) Alle Ausführungen zu den durch §13 Abs3 bewirkten Eingriffen in die Rechtsstellungen des Antragstellers zu den Verfassungswidrigkeiten der Speicherpflicht gelten gleichermaßen für die angefochtenen Bestimmungen im §20, mit welchen die Speicherpflicht nochmals und detaillierter als in §13 Abs3 normiert wird. Da die neu geschaffene Speicherpflicht als solche verfassungswidrige Eingriffe normiert und bewirkt, werden bei Anfechtung der bezeichneten Stellen des §20 alle Ausführungen zu §13 Abs3 zur Vermeidung von Verweisen wiederholt:
EINGRIFF IN DIE PRIVATSPHÄRE DES ANTRAGSTELLERS ALS PATIENT UND HERR SEINER GESUNDHEITSDATEN
(163) Die mit der angefochtenen Bestimmung neu geschaffenen Pflichten entziehen dem Antragsteller sein Zustimmungsrecht und damit die durch §1 DSG und Art8 MRK geschützte Datenhoheit hinsichtlich seiner besonders sensiblen Gesundheitsdaten. Die neu geschaffenen Verpflichtungen des Speicherns der Daten des Antragstellers greifen in die durch §1 DSG und Art8 MRK verfassungsgesetzlich geschützte Rechtsstellung des Antragstellers als allein Verfügungsberechtigtem durch die normierte Beseitigung des Zustimmungserfordernisses des §1 Abs2 DSG hinsichtlich seiner Gesundheitsdaten in unverhältnismäßiger, daher verfassungswidriger Weise ein.
Bisherige Rechtslage:
(164) Der Antragsteller hatte – und hat – zweifellos ein schutzwürdiges Interesse an der Geheimhaltung seiner Gesundheitsdaten (§1 Abs1 DSG). Bis zum Inkrafttreten des GTeIG 2012 war der Antragsteller im Sinn des §1 DSG mit 'Datenhoheit' ausgestatteter alleiniger Verfügungsberechtigter seiner Gesundheitsdaten, er konnte über Speicherung, bejahendenfalls über Speicherort und -form, Verwendung, Weitergabe, Einsichtsrechte und Löschung in Ausübung seines exklusiven Zustimmungsrechts zur Datenverwendung durch Dritte selbst bestimmen.
Verpflichtung neu: Speicherung / Vernetzung / Verwendung / Zugriff
(165) Alle in §13 Abs3 genannten Gesundheitsdaten des Antragstellers müssen in Hinkunft ohne dessen vorherige Zustimmung gemäß §20 gespeichert werden, damit allen nach dem GTeIG 2012 Berechtigten im Rahmen der Einsichtspflicht (§13 Abs7), zur Ausübung des Einsichtsrechts (§13 Abs2) und des Rechts gem. §21 Abs2 der (elektronische) Zugriff auf die Gesundheitsdaten des Antragstellers ermöglicht wird.
(166) Durch diese neu geschaffene, gegenüber §13 Abs3 detailliertere Verpflichtung wird – ohne Hinzutreten einer gerichtlichen oder im Instanzenzug bekämpfbaren Entscheidung – in das verfassungsgesetzlich gewährleistete Recht des Antragstellers auf Datenschutz eingegriffen, obwohl ihm zweifellos ein schutzwürdiges Interesse an seiner Datenhoheit über seine besonders schutzwürdigen Gesundheitsdaten zuzubilligen ist (§1 DSG).
(167) Bisher konnte der Antragsteller die Speicherung seiner Gesundheitsdaten im Rahmen seiner vertraglichen Beziehung mit Arzt bzw Krankenanstalt vor dem Hintergrund der gesetzlichen Schweigepflicht (privat-) autonom regeln, er konnte im Einzelfall entscheiden, wem er die Speicherung seiner Gesundheitsdaten gestattet und seine Zustimmung von Fall zu Fall erteilen oder verweigern. Mit Inkrafttreten des GTeIG 2012 wurde diese dem §1 DSG und dem Art8 MRK entsprechende Rechtslage auf den Kopf gestellt, weil die angefochtene Bestimmung die Speicherung der Gesundheitsdaten gebietet, um über die Vernetzung allen ELGA-Anwendern das Recht auf Zugriff auf seine Gesundheitsdaten zu verschaffen.
(168) Diese Verpflichtung, die Gesundheitsdaten zu speichern, trifft alle ELGA-Gesundheitsdiensteanbieter. Sie lässt sich durch vertragliche Vereinbarungen zwischen dem Patienten und dem behandelnden Arzt (ELGA-Gesundheitsdiensteanbieter) bzw der Krankenanstalt (ebenfalls ein ELGA-Gesundheitsdiensteanbieter) nicht mehr einschränken.
(169) Der Verfassungsgerichtshof hat im Erkenntnis B1369/11 vom 11.10.2013 jedoch ausgesprochen, dass schutzwürdige Daten nur dann gespeichert und weitergegeben werden dürfen, wenn eine Zustimmung des Berechtigten vorliegt. Nur ganz ausnahmsweise und nur unter Berufung auf konkrete, lebenswichtige Interessen dürfen derartige Daten ohne Zustimmung gespeichert und weitergegeben werden, das Zustimmungserfordernis des §1 Abs2 DSG ist ohne Vorliegen derartiger Ausnahmen in jedem Fall beachtlich. Die angefochtene Gesetzesbestimmung des GTeIG 2012 ordnet im Gegensatz dazu generell die Speicherung und im Ergebnis die Zurverfügungstellung aller Gesundheitsdaten ohne Zustimmung des Patienten an, ohne dass lebenswichtige Interessen des Patienten dadurch geschützt werden. ['Das Kriterium des 'lebenswichtigen Interesses' vermag für die ... vorgesehenen Grundrechtseingriffe keine verfassungsrechtliche Grundlage zu bieten; die Datenverwendung, die der Entwurf vorsieht, ist vorn Vorliegen eines lebenswichtigen Interesses unabhängig.'; so Univ.Prof. Dr. Heinz Mayer in einem Gutachten zum Entwurf des GTeIG 2012.]
(170) Die Einwilligung oder Zustimmung des Antragsstellers als Patienten (ELGA-Teilnehmers) ist weder als Voraussetzung für die Speicherung noch für die Weitergabe noch für die Einsicht (Verwendung) und den Zugriff normiert. Die Speicherpflicht wäre nur dann nicht als – verfassungswidriger – Eingriff in die durch §1 DSG und durch Art8 MRK geschützte Rechtsstellung des Antragstellers zu qualifizieren, wenn vor jedem derartigen Eingriff die ausdrückliche Zustimmung des Patienten eingeholt werden müsste. Dies würde auch den Vorschriften der EU-DSGVO entsprechen, die bei viel unbedeutenderen Eingriffen die vorherige ausdrückliche Zustimmung verlangt.
(171) Die in §20 als Pflicht der ELGA-Gesundheitsdiensteanbieter normierte Speicherung und Verwendung der Gesundheitsdaten stellt sohin einen dem Grundrecht auf Datenschutz widersprechenden Eingriff in die verfassungsgesetzlich durch §1 DSG und Art8 MRK geschützte Datenhoheit des Antragstellers dar (s zB G76/12 v. 12.3.2013; B1369/11 v. 11.10.2012).
AKTUELLE WIRKSAMKEIT DES EINGRIFFS
(172) Das Gesetz trat am 1. Jänner 2013 in Kraft.
(173) Die angefochtene Bestimmung beseitigt schon per 1.1.2013 das sonst gem. §1 DSG bestehende Recht des Antragstellers auf Zustimmung zur Speicherung von Gesundheitsdaten durch Dritte und sohin das Recht auf Untersagung der Speicherung, Weitergabe, Verarbeitung und Zugriff auf diese Daten, also auf Ausschluss Dritter von jedem Datenzugang. Dieser Eingriff droht nicht in der Zukunft, sondern ist bereits erfolgt.
(174) ELGA wird derzeit bereits großflächig in einigen Bezirken und in zahlreichen Krankenanstalten angewendet, die dazu verpflichtet wurden.
KEIN BESCHEID / URTEIL ZU ERWIRKEN
(175) Gegen Akte der Gesetzgebung (ieS) und gegen Tätigkeiten von Organen im Dienste der Gesetzgebung ist ein Rechtsweg an die Datenschutzbehörde (oder eine sonstige Behörde) ausgeschlossen (B683/2013 v 3.10.2013 mit Hinweis auf VfSlg 19112/2010).
(176) Da die Datenschutzbehörde nicht zuständig ist, wenn Akte der Gesetzgebung betroffen sind, und ebenso nicht, wenn es sich um den privatrechtlichen Bereich – wie hier um den privatrechtlichen Bereich der Behandlungsverträge der Patienten mit Ärzten oder Krankenanstalten – handelt, kann eine bekämpfbare Entscheidung dieser oder einer anderen Behörde daher mangels Zuständigkeit nicht ergehen (VfSlg 19.112/2010).
VERFASSUNGSWIDRIGKEIT / VERLETZUNG DES §1 DSG
(177) Gemäß §1 Abs2 DSG wäre die Speicherung der Gesundheitsdaten im ELGA nur im Fall des Vorliegens eines lebenswichtigen Interesses der Patienten zulässig. Die Speicherung und Verwendung von Gesundheitsdaten liegt aber zweifellos nicht im lebenswichtigen Interesse der Patienten.
(178) Die angefochtene Bestimmung dient auch nicht einem höherwertigen oder überwiegenden Interesse eines anderen im Sinn des §1 Abs2 DSG; ein derartiges Interesse liegt nicht vor. Die in §13 Abs1 (zur Klarstellung: nicht angefochten) aufgezählten, angeblich bestehenden öffentlichen Interessen wiegen nicht schwerer als die Interessen am Unterbleiben des Eingriffs in das verfassungsgesetzlich gewährleistete Recht auf Datenschutz [So auch Univ.-Prof. Dr. Heinz Mayer, a.a.O S 8.], ein überwiegendes berechtigtes Interesse eines anderen an den besonders schützenswerten Gesundheitsdaten ist nicht auszumachen.
(179) Gemäß §1 Abs2 DSG wäre ein derartiger gesetzlicher Eingriff daher nur dann verfassungsrechtlich zulässig, wenn er mit Zustimmung der Betroffenen i.S. von §1 Abs2 DSG erfolgt. Das verfassungsrechtliche Zustimmungserfordernis wird durch die angefochtene Gesetzesbestimmung jedoch gewollt beseitigt.
(180) Die Unterlassung eines Widerspruches i.S. von §§15, 16 stellt keine Zustimmung dar und vermag das verfassungsrechtliche Zustimmungserfordernis nicht zu ersetzen. ['Unter einer Zustimmung ist eine positive Willenserklärung, die ohne Zwang, für einen konkreten Fall und in Kenntnis der Sachlage die Verwendung der Daten gestattet (vgl Art2 lith Datenschutz-RL 95/46/EG; Duschanek , Rz 47 zu §1 DSG, in Korinek/Holoubek [Hrsg] Österr Bundesverfassungsrecht).' Univ.-Prof. Dr. Heinz Mayer a.a.O.]
(181) Schon allein deswegen ist die angefochtene Bestimmung als verfassungswidrig aufzuheben.
VERFASSUNGSWIDRIGKEIT / VERLETZUNG VON Art8 MRK:
(182) Ein Eingriff in die durch das Grundrecht des §1 DSG geschützte Datenhoheit eines Patienten ist im Übrigen, wie sich aus dem Verweis ergibt, nur dann zulässig, wenn ein öffentliches Interesse im Sinn des Art8 MRK besteht. Was unter einem derartigen öffentlichen Interesse zu verstehen ist, definiert die MRK an dieser Stelle selbst. Ganz allgemein nennt Artikel 8 MRK ua den 'Schutz der Gesundheit' ein einen Eingriff in das geschützte Privatleben rechtfertigendes Rechtsgut.
(183) Der Eingriff in den verfassungsgesetzlich durch Art8 MRK geschützten Bereich der Privatsphäre wäre daher nur dann zulässig und verfassungskonform, wenn er dem Schutz der Gesundheit, also der Abwehr von Gefahren für die Gesundheit dient, etwa der Eindämmung der Ausbreitung von Seuchen oder anderer gesundheitlicher Gefahren für die Bevölkerung.
(184) Das wirtschaftliche Wohl des Landes hängt vom Bestehen oder Nichtbestehen der angefochtenen Gesetzesbestimmung und, ganz allgemein, des elektronischen Gesundheitsakts mit Speicherrechten und -pflichten, mit Einsichts- und Verwendungsrechten und -pflichten zweifellos nicht ab.
(185) Budgetäre Erwägungen, Einsparungen im Gesundheitswesen oder Effizienzsteigerungen in der Administration zu erzielen, rechtfertigen einen Eingriff in das verfassungsgesetzlich geschützte Recht auf Datenschutz für sich alleine ebenso wenig wie einen Eingriff in das Recht auf Schutz der Privatsphäre gemäß Art8 MRK.
Kein öffentliches Interesse i.S.d. Art8 MRK
(186) Die Speicherpflicht gemäß §20 trägt nichts zu einer besseren oder effizienteren Gesundheitsversorgung bei. Mit der Speicherung laut angefochtener Gesetzesstelle in dem elektronischen Gesundheitsakt wird lediglich eine stetig wachsende Sammlung von Gesundheitsdaten vieler Patienten angelegt. Die durch §1 DSG und Art8 Abs2 MRK geforderte Abwägung der öffentlichen Interessen (oder berechtigter Interessen eines anderen) an einem Eingriff in das Grundrecht auf Datenschutz geht eindeutig zu Gunsten des Datenschutzes aus.
(187) Durch die Schaffung der Verpflichtung der Speicherung werden keine 'Patientenrechte' gestärkt, sondern die Verfügungsmacht der Patienten, das Zustimmungsrecht des §1 Abs2 DSG, rechtlich und dann faktisch beseitigt. Die Normierung von gewissen Patientenrechten ist nur eine notwendige Folge der vom Gesetzgeber normierten Eingriffe in die verfassungsgesetzlich gewährleisteten Rechte des Antragstellers, deren Notwendigkeit erst durch den bekämpften gesetzlichen Eingriff geschaffen wurde. Die gesetzlich normierte Rechtseinräumung schafft erst die Gefahr, vor der einzelne Patientenrechte (ungenügend, s unten) schützen. [So auch Univ.-Prof. Dr. Heinz Mayer, a.a.O. S 5.] Die Stärkung von Patientenrechten kann sohin nicht als öffentliches Interesse an der angefochtenen Gesetzesbestimmung qualifiziert werden, der den Eingriff rechtfertigen könnte.
(188) Der durch das angefochtene Gesetz verfügte Wegfall des Zustimmungserfordernisses beseitigt daher in verfassungswidriger Weise den Datenschutz, ohne rechtfertigendes öffentliches Interesse, und greift in die verfassungsgesetzlich geschützte Privatsphäre ein.
Verhältnismäßigkeit und gelindestes Mittel
(189) Sollte ein öffentliches Interesse an der Speicherpflicht bejaht werden, bleibt vor dem Hintergrund des §1 Abs2 DSG zu prüfen, ob der Verhältnismäßigkeitsgrundsatz eingehalten wurde.
Opt-Out vs. Opt-In
(190) Dem Gesetzgeber standen gelindere Mittel zur Verfügung, um die (von dem Antragsteller bestrittenen) öffentlichen Interessen zu verwirklichen. Der Gesetzgeber hat in Missachtung des verfassungsgesetzlichen Verhältnismäßigkeitsprinzips nicht den geringst möglichen Eingriff gewählt:
(191) Die Opt-Out Regelungen schaffen keine Ausnahme von der durch die angefochtenen Bestimmungen geschaffenen Verpflichtung.
(192) Zweifellos wäre die gesetzliche Verankerung der vorherigen Zustimmung zur Speicherung (Opt-In) ein gelinderes Mittel zur Erreichung der vom Gesetzgeber angestrebten Ziele. Es ist kein nachvollziehbarer Grund ersichtlich, warum die Opt-In Lösung als gelinderes Mittel vom Gesetzgeber nicht generell verankert wurde. ['Es ist nicht ersichtlich, warum der Gesetzgeher statt des 'Opt-Out' nicht ein 'Opt-In' gewählt hat.' (Univ.-Prof. Dr. Heinz Mayer in seinem zweiten Gutachten, S 6.]
(193) ELGA könnte zweifellos und ohne Einschränkung auch dann eingesetzt werden, wenn jeder Patient vor oder bei Speicherung und Verwendung bzw Einsicht seine jeweilige Zustimmung erklären müsste, wie von §1 Abs2 DSG generell verlangt.
(194) Die Unterlassung eines Widerspruchs stellt keine vorweg erklärte Zustimmung des Patienten zur Speicherung der Gesundheitsdaten dar.
(195) Es darf nicht verkannt werden, dass ein Opt-Out stets voraussetzt, dass der betroffene Patient mit seinen Gesundheitsdaten zuvor bereits erfasst ist; dieses Erfasstsein erfolgt, ohne dass er eine Dispositionsmöglichkeit über seine Daten hatte. Das Unterlassen des Opt-Out kann daher schon deshalb nicht als Zustimmung qualifiziert werden; es gilt darüber hinaus in diesem Zusammenhang das, was auch bei anderen Grundrechtseingriffen gilt: Wer Zwang duldet oder sich gegen solchen nicht zur Wehr setzt, erteilt der Zwangsausübung (hier: dem Eingriff) keine Zustimmung. [ Berka , Die Grundrechte [1999] Rz 178.] Die bloße Möglichkeit eines Opt-Out kann nicht gewährleisten, dass jeder Betroffene von den konkreten Umständen der Datenspeicherung Kenntnis erlangt und in freier Willensentscheidung von seinem informationellen Selbstbestimmungsrecht Gebrauch macht. Wer zu einem Opt-Out gezwungen ist, hat die Herrschaft über seine Daten schon zuvor verloren.
(196) Zu beachten ist, dass die durch die angefochtene Gesetzesbestimmung verfügte Sammlung der Gesundheitsdaten in jedem Fall lückenhaft bleibt; je mehr Patienten ihren generellen oder situativen Widerspruch erklären, desto größer werden die Lücken. Eine lückenlose Speicherung der Gesundheitsdaten (als Folge der Speicherrechte oder -pflichten) ist von vornherein ausgeschlossen.
(197) Die Opt-Out Regelungen ändern auch aus folgendem Grund nichts an der unverhältnismäßigen und daher als verfassungswidrig angefochtenen Bestimmung: Die in §13 Abs3 eingeführte Pflicht zur Speicherung wird durch die Opt-Out Regelungen nicht beseitigt, ein Widerspruch gem. §15 Abs2 berührt die angefochtenen Pflichten nicht.
(198) Der in §15 vorgesehene Widerspruch gegen die 'Teilnahme' ist auch kein effektives Mittel zum Schutz der Geheimhaltungsinteressen an personenbezogenen Gesundheitsdaten, v.a. kein Schutz vor Speicherung.
(199) Der Widerspruch oder die Ausübung der Rechte gem. §16 Abs2 erfordern ein aktives Handeln der Patienten und v.a. das Wissen um die erfolgte Speicherung, verlangen also zur Sicherung der Grundrechte die Abfassung und Absendung von schriftlichen Erklärungen gegenüber der Widerspruchsstelle, was für viele Patienten eine unzumutbar hohe Anforderung und vom Gesetzgeber eingebaute Hürde darstellt.
(200) Hinzu kommt: Aufgrund eines Widerspruchs sind nur die Verweise zu löschen. Dies bedeutet nicht, dass die dezentral gespeicherten Gesundheitsdaten ebenso gelöscht werden müssen und können. Durch die Löschung des Verweises wird nur bewirkt, dass mit der Identifikation des Patienten keine Verbindung zu gespeicherten Daten hergestellt werden kann.
(201) Ein Widerspruch wendet sich daher nicht effektiv gegen die (erfolgte) Speicherung und bewirkt nicht die Löschung der nicht zentral gespeicherten Gesundheitsdaten, er beseitigt die angefochtene Pflicht nicht.
(202) Die angefochtene Bestimmung ist daher auch wegen Verletzung des Verhältnismäßigkeitsprinzips als verfassungswidrig aufzuheben.
Judikatur zum Prinzip des 'gelindesten' Mittels:
(203) Der Verfassungsgerichtshof hat über derartige Eingriffe mehrfach entschieden, wie die folgende Zusammenstellung der Judikatur zeigt, er hat auch das vom Gesetzgeber zu beachtende Prinzip betont, dass ein Eingriff, der einem i.S. des Art8 MRK zulässigen Zweck dient, nur dann verfassungskonform ist, wenn er in der gelindesten Art vorgenommen wird.
• B1369/11 v 11.10.2012
Ein Eingriff in das verfassungsgesetzlich gewährleistete Geheimhaltungsrecht gem. §1 Abs2 DSG unter Berufung auf die lebenswichtigen Interessen des Betroffenen darf nur dann erfolgen, wenn eine Zustimmung nicht eingeholt werden kann.
• B2271/00 v 28.11.2001:
Dazu tritt nach dem DSG noch zusätzlich die Verdeutlichung des Verhältnismäßigkeitsprinzips für die Zulässigkeit gesetzlich vorgesehener Eingriffe einer staatlichen Behörde in das Grundrecht, weil dem letzten Satz des §1 Abs2 DSG zufolge auch für den Fall an sich gesetzlich zugelassener Beschränkungen der konkrete Eingriff in das Grundrecht unzulässig ist, wenn er nicht in der jeweils gelindesten, zum Ziel führenden Art vorgenommen wird.
• B62/09 – B180/09 v 1.12.2009, B1944/07 – B197/09, B218/09 v 9.12.2008 betr. videogestützte Abstandsmessung:
Eingriffe einer staatlichen Behörde in das Grundrecht auf Datenschutz sind nur aufgrund ausreichend präziser gesetzlicher Regelungen aus den Gründen des Art8 Abs2 MRK zulässig.
Die sich aus Art2 DSG ergebenden Grenzen der Datenerhebung und verwendung müssen §1 Abs2 letzter Satz DSG zufolge nach Maßgabe des Verhältnismäßigkeitsgrundsatzes – also verfassungskonform – bestimmt werden, sodass 'der Eingriff in das Grundrecht nur in der gelindesten, zum Ziel führenden Art vorgenommen' wird.
Zur Bedeutung des Erkenntnisses über Vorratsdatenspeicherung
(204) Die durch die oben bezeichneten Bestimmungen des GTeIG 2012 normierten Eingriffe in das Grundrecht auf Datenschutz und gemäß Art8 MRK sind noch weit gravierender als die vom Verfassungsgerichtshof mit sofortiger Wirkung aufgehobene Vorratsdatenspeicherung (G47/2012).
(205) Die Vorratsdatenspeicherung konnte mit einem eminenten öffentlichen Interesse begründet werden. Selbstverständlich gehört es zu den zentralen Staatsaufgaben, die Sicherheit vor schwerer Kriminalität und die Abwehr von Gefahren für das demokratische Gemeinwesen und den Rechtsstaat effizient zu gewährleisten. An diesem öffentlichen Interesse kann und konnte niemals Zweifel bestehen. Dennoch haben der Europäische Gerichtshof und der Verfassungsgerichtshof diese Regelungen aufgehoben.
(206) Im vorliegenden Fall ist die Sachlage anders. Wie ausgeführt, liegt kein öffentliches Interesse, jedenfalls kein erhebliches öffentliches Interesse an der durch die angefochtene Bestimmung bezweckten elektronische Speicherung und Verwendung (Einsicht) von Gesundheitsdaten vor.
(207) Die bloßen Verbindungsdaten, welche im Rahmen der Vorratsdatenspeicherung gespeichert werden mussten, sind wesentlich weniger sensibel als die dem besonderen Schutz unterworfenen Gesundheitsdaten. Dieser besondere Schutz, den Gesundheitsdaten genießen sollten, spricht dafür, die Grundsätze für die Aufhebung der gesetzlichen Bestimmungen zur Vorratsdatenspeicherung umso mehr auf diesen Fall anzuwenden.
Schlussfolgerung:
(208) Die angefochtene Bestimmung ist wegen der konkret dargelegten Bedenken als Verletzung der verfassungsrechtlich gewährleisteten Rechte auf Datenschutz (§1 DSG) und auf Schutz der Persönlichkeitsrechte (§1 DSG iVm Art8 MRK) zu qualifizieren und vom Verfassungsgerichtshof als verfassungswidrig aufzuheben.
Anfechtung §21 Abs2 GTeIG 2012:
WORTLAUT DER ANGEFOCHTENEN GESETZESBESTIMMUNG
(241) Angefochten wird weiters der im folgenden wiedergegebene Absatz (2) des §21 idgF (BGBl I Nr 111/2012):
'(2) Aufgrund der generellen Zugriffsberechtigungen, die festlegen, welche standardmäßigen Zugriffe zulässig sind, dürfen:
1. Angehörige des ärztlichen Berufes (§2 Z10 lita) auf alle ELGA-Gesundheitsdaten (§2 Z9),
2. Angehörige des zahnärztlichen Berufes (§2 Z10 litb) auf ELGA-Gesundheitsdaten gemäß §2 Z9 lita und b,
3. Apotheken (§2 Z10 litc) auf Medikationsdaten gemäß §2 Z9 litb,
4. Krankenanstalten (§2 Z10 litd) auf alle ELGA-Gesundheitsdaten (§2 Z9),
5. Einrichtungen der Pflege (§2 Z10 lite) auf alle ELGA-Gesundheitsdaten (§2 Z9),
6. Vertreter/innen gemäß §14 Abs2 Z2 litb auf alle ELGA-Gesundheitsdaten (§2 Z9) sowie
7. Mitarbeiter/innen der ELGA-Ombudsstelle auf alle ELGA-Gesundheitsdaten (§2 Z9)
zugreifen.'
INKRAFTRETEN
(242) Gemäß §26 Abs1 trat das GTeIG 2012 mit dieser angefochtenen Bestimmung am 1. Jänner 2013 in Kraft.
NORMINHALT
(243) §21 Abs2 regelt den detaillierten Umfang der Berechtigungen von Ärzten, Zahnärzten, Apotheken, Krankenanstalten, Pflegeeinrichtungen und Mitarbeitern der ELGA Ombudsstelle, auf alle ELGA Gesundheitsdaten zuzugreifen. Nur bei Apotheken ist der Zugriff auf die (ELGA-)Medikationsdaten beschränkt.
(244) Diese Bestimmung spezifiziert die Rechte, die durch §13 Abs2 neu geschaffen wurden (arg.: 'dürfen'). Alle darin berechtigten Angehörigen der bezeichneten Berufsgruppen werden berechtigt, auf die in ELGA gespeicherten Gesundheitsdaten zuzugreifen, diese also einzusehen und zu verwenden.
(245) Gegen §21 Abs2 werden daher die Ausführungen zur Anfechtung des §13 Abs2, der diese Zugriffsberechtigung bereits normiert, zur Vermeidung von Verweisen, wiederholt.
EINGRIFF IN DIE PRIVATSPHÄRE DES ANTRAGSTELLERS ALS PATIENT UND HERR SEINER GESUNDHEITSDATEN
(246) Die mit der angefochtenen Bestimmung neu geschaffenen Rechte entziehen dem Antragsteller sein Zustimmungsrecht und damit die durch §1 DSG und Art8 MRK geschützte Datenhoheit hinsichtlich seiner besonders sensiblen Gesundheitsdaten. Die neu geschaffenen Rechte des Speichern und Ermittelns, gleichbedeutend mit dem Recht des Einsehens in die Gesundheitsdaten des Antragstellers, greifen in die durch §1 DSG und Art8 MRK verfassungsgesetzlich geschützte Rechtsstellung des Antragstellers als allein Verfügungsberechtigtem durch die normierte Beseitigung des Zustimmungserfordernisses des §1 Abs2 DSG hinsichtlich seiner Gesundheitsdaten in unverhältnismäßiger, daher verfassungswidriger Weise ein.
Bisherige Rechtslage:
(247) Der Antragsteller hatte – und hat – zweifellos ein schutzwürdiges Interesse an der Geheimhaltung seiner Gesundheitsdaten (§1 Abs1 DSG). Bis zum Inkrafttreten des GTeIG 2012 war der Antragsteller im Sinn des §1 DSG mit 'Datenhoheit' ausgestatteter alleiniger Verfügungsberechtigter seiner Gesundheitsdaten, er konnte über Speicherung, bejahendenfalls über Speicherort und -form, Verwendung, Weitergabe, Einsichtsrechte und Löschung in Ausübung seines exklusiven Zustimmungsrechts zur Datenverwendung durch Dritte selbst bestimmen.
Rechtseinräumung neu: Speicherung / Verletzung / Verwendung / Zugriff
(248) Alle Gesundheitsdaten des Antragstellers dürfen in Hinkunft ohne vorherige Zustimmung im ELGA-System gespeichert und vernetzt (in das Verweisregister aufgenommen) werden (s §13 Abs2), damit allen nach dem GTeIG 2012 Berechtigten im Rahmen der Einsichtspflicht (§13 Abs3 und 7) und zur Ausübung des Einsichtsrechts (§13 Abs2) und des Rechts gem. §21 Abs2 der (elektronische) Zugriff auf die Gesundheitsdaten des Antragstellers ermöglicht wird.
(249) Durch das Speicher- und Einsichtsrecht und die Vernetzung der gespeicherten Gesundheitsdaten, wie vom GTeIG 2012 in der angefochtenen Bestimmung (§21 Abs2) angeordnet und näher geregelt, wird – ohne Hinzutreten einer gerichtlichen oder im Instanzenzug bekämpfbaren Entscheidung – in das verfassungsgesetzlich gewährleistete Recht des Antragstellers auf Datenschutz eingegriffen, obwohl ihm zweifellos ein schutzwürdiges Interesse an seiner Datenhoheit über die besonders schutzwürdigen Gesundheitsdaten zuzubilligen ist (§1 DSG).
(250) Bisher konnte der Antragsteller die Speicherung, die Verwendung und den Zugriff (Einsicht) auf gespeicherte Gesundheitsdaten im Rahmen seiner vertraglichen Beziehung mit Arzt bzw Krankenanstalt vor dem Hintergrund der gesetzlichen Schweigepflicht (privat-) autonom regeln, er konnte im Einzelfall entscheiden, wem er die Speicherung, Weitergabe, Verarbeitung und Einsicht in seine Gesundheitsdaten gestattet und seine Zustimmung von Fall zu Fall erteilen oder verweigern. Mit Inkrafttreten des GTeIG 2012 wurde diese dem §1 DSG und dem Art8 MRK entsprechende Rechtslage auf den Kopf gestellt, weil die angefochtene Bestimmung die Speicherung und Einsicht in die Gesundheitsdaten des Antragstellers als Rechte der Gesundheitsdiensteanbieter normiert (§13 Abs2; §21 Abs2) und weil es über die Vernetzung allen ELGA-Anwendern das Recht auf Zugriff auf seine Gesundheitsdaten schafft.
(251) Das Recht, ELGA-Gesundheitsdaten zu speichern, zu verwenden, zu ermitteln und einzusehen steht den ELGA-Gesundheitsdiensteanbietern nun von Gesetzes wegen und unentziehbar zu (§13 Abs2, §21 Abs2), es lässt sich durch vertragliche Vereinbarungen zwischen dem Patienten und dem behandelnden Arzt (ELGA-Gesundheitsdiensteanbieter) bzw der Krankenanstalt (ebenfalls ein ELGA-Gesundheitsdiensteanbieter) nicht mehr abbedingen.
(252) Der Verfassungsgerichtshof hat im Erkenntnis B1369/11 vom 11.10.2013 jedoch ausgesprochen, dass schutzwürdige Daten nur dann gespeichert und weitergegeben werden dürfen, wenn eine Zustimmung des Berechtigten vorliegt. Nur ganz ausnahmsweise und nur unter Berufung auf konkrete, lebenswichtige Interessen dürfen derartige Daten ohne Zustimmung weitergegeben werden, das Zustimmungserfordernis des §1 Abs2 DSG ist ohne Vorliegen derartiger Ausnahmen in jedem Fall beachtlich. Die angefochtene Gesetzesbestimmung des GTeIG 2012 ordnet im Gegensatz dazu generell die Speicherung und die Zurverfügungstellung aller Gesundheitsdaten ohne Zustimmung des Patienten an, ohne dass lebenswichtige Interessen des Patienten dadurch geschützt werden. ['Das Kriterium des 'lebenswichtigen Interesses' vermag für die ... vorgesehenen Grundrechtseingriffe keine verfassungsrechtliche Grundlage zu bieten; die Datenverwendung, die der Entwurf vorsieht, ist vom Vorliegen eines lebenswichtigen Interesses unabhängig.'; so Univ.Prof. Dr. Heinz Mayer in einem Gutachten zum Entwurf des GTeIG 2012.]
(253) Die Einwilligung oder Zustimmung des Antragsstellers als Patienten (ELGA-Teilnehmers) ist weder als Voraussetzung für die Speicherung noch für die Weitergabe noch für die Einsicht (Verwendung) und den Zugriff normiert. Das Speicher- und Einsichtsrecht und die Speicher-, Weitergabe- und Verwendungspflicht wären nur dann nicht als – verfassungswidrige – Eingriffe in die durch §1 DSG und durch Art8 MRK geschützte Rechtsstellung des Antragstellers zu qualifizieren, wenn vor jedem derartigen Eingriff die ausdrückliche Zustimmung des Patienten eingeholt werden müsste. Dies würde auch den Vorschriften der EU-DSGVO entsprechen, die bei viel unbedeutenderen Eingriffen die vorherige ausdrückliche Zustimmung verlangt.
(254) Die in §13 Abs2 und §21 Abs2 als Recht der ELGA-Gesundheitsdiensteanbieter ausgestaltete Speicherung und Verwendung der Gesundheitsdaten, die Weitergabe und die Zugriffsmöglichkeiten stellen sohin einen dem Grundrecht auf Datenschutz widersprechenden Eingriff in die verfassungsgesetzlich durch §1 DSG und Art8 MRK geschützte Datenhoheit des Antragstellers dar (s zB G 76/12 v. 12.3.2013; B1369/11 v. 11.10.2012).
AKTUELLE WIRKSAMKEIT DES EINGRIFFS
(255) Das Gesetz trat am 1. Jänner 2013 in Kraft.
(256) Die angefochtenen Bestimmungen beseitigten schon per 1.1.2013 das sonst gem. §1 DSG bestehende Recht des Antragstellers auf Zustimmung zur Speicherung, Verarbeitung und Weitergabe von Gesundheitsdaten durch Dritte und sohin das Recht auf Untersagung der Speicherung, Weitergabe, Verarbeitung und Zugriff auf diese Daten, also auf Ausschluss Dritter von jedem Datenzugang. Dieser Eingriff droht nicht in der Zukunft, sondern ist bereits erfolgt.
(257) ELGA wird derzeit bereits großflächig in einigen Bezirken und in zahlreichen Krankenanstalten angewendet, die dazu verpflichtet wurden.
KEIN BESCHEID / URTEIL ZU ERWIRKEN
(258) Gegen Akte der Gesetzgebung (ieS) und gegen Tätigkeiten von Organen im Dienste der Gesetzgebung ist ein Rechtsweg an die Datenschutzbehörde (oder eine sonstige Behörde) ausgeschlossen (B683/2013 v 3.10.2013 mit Hinweis auf VfSlg 19112/2010).
(259) Da die Datenschutzbehörde nicht zuständig ist, wenn Akte der Gesetzgebung betroffen sind, und ebenso nicht, wenn es sich um den privatrechtlichen Bereich – wie hier um den privatrechtlichen Bereich der Behandlungsverträge der Patienten mit Ärzten oder Krankenanstalten – handelt, kann eine bekämpfbare Entscheidung dieser oder einer anderen Behörde daher mangels Zuständigkeit nicht ergehen (VfSlg 19.112/2010).
VERFASSUNGSWIDRIGKEIT / VERLETZUNG DES §1 DSG
(260) Gemäß §1 Abs2 DSG wäre die Verwendung – die Speicherung und die Einsicht gemäß dem durch §21 Abs2 neu geschaffenem Recht – im Fall des Vorliegens eines lebenswichtigen Interesses der Patienten zulässig. Die Speicherung und Verwendung von Gesundheitsdaten liegt aber zweifellos nicht im lebenswichtigen Interesse der Patienten.
(261) Die angefochtene Bestimmung dient auch nicht einem höherwertigen oder überwiegenden Interesse eines anderen im Sinn des §1 Abs2 DSG; ein derartiges Interesse liegt nicht vor. Die in §13 Abs1 (zur Klarstellung: nicht angefochten) aufgezählten, angeblich bestehenden öffentlichen Interessen wiegen nicht schwerer als die Interessen am Unterbleiben des Eingriffs in das verfassungsgesetzlich gewährleistete Recht auf Datenschutz [So auch Univ.-Prof. Dr. Heinz Mayer, a.a.O S 8.], ein überwiegendes berechtigtes Interesse eines anderen an den besonders schützenswerten Gesundheitsdaten ist nicht auszumachen.
(262) Gemäß §1 Abs2 DSG wäre ein derartiger gesetzlicher Eingriff daher nur dann verfassungsrechtlich zulässig, wenn er mit Zustimmung der Betroffenen i.S. von §1 Abs2 DSG erfolgt. Das verfassungsrechtliche Zustimmungserfordernis wird durch die angefochtene Gesetzesbestimmung jedoch gewollt beseitigt.
(263) Die Unterlassung eines Widerspruches i.S. von §§15, 16 stellt keine Zustimmung dar und vermag das verfassungsrechtliche Zustimmungserfordernis nicht zu ersetzen. ['Unter einer Zustimmung ist eine positive Willenserklärung, die ohne Zwang, für einen konkreten Fall und in Kenntnis der Sachlage die Verwendung der Daten gestattet (vgl Art2 lith Datenschutz-RL 95/46/EG; Duschanek , Rz 47 zu §1 DSG, in Korinek/Holoubek [Hrsg] Österr Bundesverfassungsrecht).' Univ.-Prof. Dr. Heinz Mayer a.a.O.]
(264) Schon allein deswegen ist die angefochtene Bestimmung als verfassungswidrig aufzuheben.
VERFASSUNGSWIDRIGKEIT / VERLETZUNG VON Art8 MRK:
(265) Ein Eingriff in die durch das Grundrecht des §1 DSG geschützte Datenhoheit eines Patienten ist im Übrigen, wie sich aus dem Verweis ergibt, nur dann zulässig, wenn ein öffentliches Interesse im Sinn des Art8 MRK besteht. Was unter einem derartigen öffentlichen Interesse zu verstehen ist, definiert die MRK an dieser Stelle selbst. Ganz allgemein nennt Artikel 8 MRK ua den 'Schutz der Gesundheit' ein einen Eingriff in das geschützte Privatleben rechtfertigendes Rechtsgut.
(266) Der Eingriff in den verfassungsgesetzlich durch Art8 MRK geschützten Bereich der Privatsphäre wäre daher nur dann zulässig und verfassungskonform, wenn er dem Schutz der Gesundheit, also der Abwehr von Gefahren für die Gesundheit dient, etwa der Eindämmung der Ausbreitung von Seuchen oder anderer gesundheitlicher Gefahren für die Bevölkerung.
(267) Das wirtschaftliche Wohl des Landes hängt vom Bestehen oder Nichtbestehen der angefochtenen Gesetzesbestimmung und, ganz allgemein, des elektronischen Gesundheitsakts mit Speicherrechten und -pflichten, mit Einsichts- und Verwendungsrechten und -pflichten zweifellos nicht ab.
(268) Budgetäre Erwägungen, Einsparungen im Gesundheitswesen oder Effizienzsteigerungen in der Administration zu erzielen, rechtfertigen einen Eingriff in das verfassungsgesetzlich geschützte Recht auf Datenschutz für sich alleine ebenso wenig wie einen Eingriff in das Recht auf Schutz der Privatsphäre gemäß Art8 MRK.
Kein öffentliches Interesse i.S.d. Art8 MRK
(269) Das Speicher- und Einsichtsrecht des §21 Abs2 trägt nichts zu einer besseren oder effizienteren Gesundheitsversorgung bei. Mit der Speicherung laut angefochtener Gesetzesstelle in dem elektronischen Gesundheitsakt wird lediglich eine stetig wachsende Sammlung von Gesundheitsdaten vieler Patienten angelegt. Die durch §1 DSG und Art8 Abs2 MRK geforderte Abwägung der öffentlichen Interessen (oder berechtigter Interessen eines anderen) an einem Eingriff in das Grundrecht auf Datenschutz geht eindeutig zu Gunsten des Datenschutzes aus.
(270) Durch die Einräumung des Rechts auf Speicherung und Einsicht werden keine 'Patientenrechte' gestärkt, sondern die Verfügungsmacht der Patienten das Zustimmungsrecht des §1 Abs2 DSG, rechtlich und dann faktisch beseitigt. Die Normierung von gewissen Patientenrechten ist nur eine notwendige Folge der vom Gesetzgeber normierten Eingriffe in die verfassungsgesetzlich gewährleisteten Rechte des Antragstellers, deren Notwendigkeit erst durch den bekämpften gesetzlichen Eingriff geschaffen wurde. Die gesetzlich normierte Rechtseinräumung schafft erst die Gefahr, vor der einzelne Patientenrechte (ungenügend, s unten) schützen. [So auch Univ.-Prof. Dr. Heinz Mayer, a.a.O. S 5.] Die Stärkung von Patientenrechten kann sohin nicht als öffentliches Interesse an der angefochtenen Gesetzesbestimmung qualifiziert werden, der den Eingriff rechtfertigen könnte.
(271) Der durch das angefochtene Gesetz verfügte Wegfall des Zustimmungserfordernisses beseitigt daher in verfassungswidriger Weise den Datenschutz, ohne rechtfertigendes öffentliches Interesse, und greift in die verfassungsgesetzlich geschützte Privatsphäre ein.
Verhältnismäßigkeit und gelindestes Mittel
(272) Sollte ein öffentliches Interesse an den Speicher- und Einsichtsrechten und den entsprechenden Pflichten bejaht werden, bleibt vor dem Hintergrund des §1 Abs2 DSG zu prüfen, ob der Verhältnismäßigkeitsgrundsatz eingehalten wurde.
Opt-Out vs. Opt-In
(273) Dem Gesetzgeber standen gelindere Mittel zur Verfügung, um die (von dem Antragsteller bestrittenen) öffentlichen Interessen zu verwirklichen. Der Gesetzgeber hat in Missachtung des verfassungsgesetzlichen Verhältnismäßigkeitsprinzips nicht den geringst möglichen Eingriff gewählt:
(274) Der angefochtene §21 Abs2 verweist nicht auf die Opt-Out Regelungen des §§15 und 16 Abs2.
(275) Zweifellos wäre die gesetzliche Verankerung der vorherigen Zustimmung zur Speicherung, Weitergabe und Verwendung (Einsicht) (Opt-In) ein gelinderes Mittel zur Erreichung der vom Gesetzgeber angestrebten Ziele. Es ist kein nachvollziehbarer Grund ersichtlich, warum die Opt-In Lösung als gelinderes Mittel vom Gesetzgeber nicht generell verankert wurde. ['Es ist nicht ersichtlich, warum der Gesetzgeber statt des 'Opt-Out' nicht ein 'Opt-In' gewählt hat.' (Univ-Prof. Dr. Heinz Mayer in seinem zweiten Gutachten, S 6.]
(276) ELGA könnte zweifellos und ohne Einschränkung auch dann eingesetzt werden, wenn jeder Patient bei Speicherung und Verwendung bzw Einsicht seine jeweilige Zustimmung erklären müsste, wie von §1 Abs2 DSG generell verlangt.
(277) Die Unterlassung eines Widerspruchs stellt keine vorweg erklärte Zustimmung des Patienten zur Speicherung, Einsicht und Weitergabe der Gesundheitsdaten dar.
(278) Es darf nicht verkannt werden, dass ein Opt-Out stets voraussetzt, dass der betroffene Patient mit seinen Gesundheitsdaten zuvor bereits erfasst ist; dieses Erfasstsein erfolgt, ohne dass er eine Dispositionsmöglichkeit über seine Daten hatte. Das Unterlassen des Opt-Out kann daher schon deshalb nicht als Zustimmung qualifiziert werden; es gilt darüber hinaus in diesem Zusammenhang das, was auch bei anderen Grundrechtseingriffen gilt: Wer Zwang duldet oder sich gegen solchen nicht zur Wehr setzt, erteilt der Zwangsausübung (hier: dem Eingriff) keine Zustimmung. [ Berka , Die Grundrechte [1999] Rz 178.] Die bloße Möglichkeit eines Opt-Out kann nicht gewährleisten, dass jeder Betroffene von den konkreten Umständen der Datenspeicherung und der Datenverwendung Kenntnis erlangt und in freier Willensentscheidung von seinem informationellen Selbstbestimmungsrecht Gebrauch macht. Wer zu einem Opt-Out gezwungen ist, hat die Herrschaft über seine Daten schon zuvor verloren.
(279) Zu beachten ist, dass die durch die angefochtene Gesetzesbestimmung verfügte Sammlung der Gesundheitsdaten in jedem Fall lückenhaft bleibt; je mehr Patienten ihren generellen oder situativen Widerspruch erklären, desto größer werden die Lücken. Eine lückenlose Speicherung der Gesundheitsdaten (als Folge der Speicherrechte oder -pflichten) ist von vornherein ausgeschlossen.
(280) Die Opt-Out Regelungen ändern auch aus folgendem Grund nichts an der unverhältnismäßigen und daher als verfassungswidrig angefochtenen Bestimmung: Das in §21 Abs2 eingeführte Recht auf Zugriff auf die Gesundheitsdaten wird durch die Opt-Out Regelungen nicht eingeschränkt, ein Widerspruch gem. §15 Abs2 berührt die zu Lasten des Patienten eingeräumten Rechte gem. §13 Abs2 und §21 Abs2 nicht.
(281) Der in §15 vorgesehene Widerspruch gegen die 'Teilnahme' ist auch kein effektives Mittel zum Schutz der Geheimhaltungsinteressen an personenbezogenen Gesundheitsdaten.
(282) Der Widerspruch oder die Ausübung der Rechte gem. §16 Abs2 erfordern ein aktives Handeln der Patienten und v.a. das Wissen um die erfolgte Speicherung, verlangen also zur Sicherung der Grundrechte die Abfassung und Absendung von schriftlichen Erklärungen gegenüber der Widerspruchsstelle, was für viele Patienten eine unzumutbar hohe Anforderung und vom Gesetzgeber eingebaute Hürde darstellt.
(283) Hinzu kommt: Aufgrund eines Widerspruchs sind nur die Verweise zu löschen. Dies bedeutet nicht, dass die dezentral gespeicherten Gesundheitsdaten ebenso gelöscht werden müssen und können. Durch die Löschung des Verweises wird nur bewirkt, dass mit der Identifikation des Patienten keine Verbindung zu gespeicherten Daten hergestellt werden kann.
(284) Ein Widerspruch wendet sich daher nicht effektiv gegen die (erfolgte) Speicherung und bewirkt nicht die Zugriffsmöglichkeit auf die nicht zentral gespeicherten Gesundheitsdaten.
(285) Die angefochtene Bestimmung ist daher auch wegen Verletzung des Verhältnismäßigkeitsprinzips als verfassungswidrig aufzuheben.
Judikatur zum Prinzip des 'gelindesten' Mittels:
(286) Der Verfassungsgerichtshof hat über derartige Eingriffe mehrfach entschieden, wie die folgende Zusammenstellung der Judikatur zeigt, er hat auch das vom Gesetzgeber zu beachtende Prinzip betont, dass ein Eingriff, der einem i.S. des Art8 MRK zulässigen Zweck dient, nur dann verfassungskonform ist, wenn er in der gelindesten Art vorgenommen wird.
• B1369/11 v 11.10.2012
Ein Eingriff in das verfassungsgesetzlich gewährleistete Geheimhaltungsrecht gem. §1 Abs2 DSG unter Berufung auf die lebenswichtigen Interessen des Betroffenen darf nur dann erfolgen, wenn eine Zustimmung nicht eingeholt werden kann.
• B2271/00 v 28.11.2001:
Dazu tritt nach dem DSG noch zusätzlich die Verdeutlichung des Verhältnismäßigkeitsprinzips für die Zulässigkeit gesetzlich vorgesehener Eingriffe einer staatlichen Behörde in das Grundrecht, weil dem letzten Satz des §1 Abs2 DSG zufolge auch für den Fall an sich gesetzlich zugelassener Beschränkungen der konkrete Eingriff in das Grundrecht unzulässig ist, wenn er nicht in der jeweils gelindesten, zum Ziel führenden Art vorgenommen wird.
• B62/09 – B180/09 v 1.12.2009, B1944/07 – B197/09, B218/09 v 9.12.2008 betr. videogestützte Abstandsmessung:
Eingriffe einer staatlichen Behörde in das Grundrecht auf Datenschutz sind nur aufgrund ausreichend präziser gesetzlicher Regelungen aus den Gründen des Art8 Abs2 MRK zulässig.
Die sich aus Art2 DSG ergebenden Grenzen der Datenerhebung und verwendung müssen §1 Abs2 letzter Satz DSG zufolge nach Maßgabe des Verhältnismäßigkeitsgrundsatzes - also verfassungskonform - bestimmt werden, sodass 'der Eingriff in das Grundrecht nur in der gelindesten, zum Ziel führenden Art vorgenommen' wird.
Zur Bedeutung des Erkenntnisses über Vorratsdatenspeicherung
(287) Die durch die oben bezeichneten Bestimmungen des GTeIG 2012 normierten Eingriffe in das Grundrecht auf Datenschutz und gemäß Art8 MRK sind noch weit gravierender als die vom Verfassungsgerichtshof mit sofortiger Wirkung aufgehobene Vorratsdatenspeicherung (G47/2012).
(288) Die Vorratsdatenspeicherung konnte mit einem eminenten öffentlichen Interesse begründet werden. Selbstverständlich gehört es zu den zentralen Staatsaufgaben, die Sicherheit vor schwerer Kriminalität und die Abwehr von Gefahren für das demokratische Gemeinwesen und den Rechtsstaat effizient zu gewährleisten. An diesem öffentlichen Interesse kann und konnte niemals Zweifel bestehen. Dennoch haben der Europäische Gerichtshof und der Verfassungsgerichtshof diese Regelungen aufgehoben.
(289) Im vorliegenden Fall ist die Sachlage anders. Wie ausgeführt, liegt kein öffentliches Interesse, jedenfalls kein erhebliches öffentliches Interesse an der durch die angefochtene Bestimmung bezweckten elektronische Speicherung und Verwendung (Einsicht) von Gesundheitsdaten vor.
(290) Die bloßen Verbindungsdaten, welche im Rahmen der Vorratsdatenspeicherung gespeichert werden mussten, sind wesentlich weniger sensibel als die dem besonderen Schutz unterworfenen Gesundheitsdaten. Dieser besondere Schutz, den Gesundheitsdaten genießen sollten, spricht dafür, die Grundsätze für die Aufhebung der gesetzlichen Bestimmungen zur Vorratsdatenspeicherung umso mehr auf diesen Fall anzuwenden.
Schlussfolgerung:
(291) Die angefochtene Bestimmung ist wegen der konkret dargelegten Bedenken als Verletzung der verfassungsrechtlich gewährleisteten Rechte auf Datenschutz (§1 DSG) und auf Schutz der Persönlichkeitsrechte (§1 DSG iVm Art8 MRK) zu qualifizieren und vom Verfassungsgerichtshof als verfassungswidrig aufzuheben.
Anfechtung §27 Abs3 1. Satz GTeIG 2012:
WORTLAUT DER ANGEFOCHTENEN GESETZESBESTIMMUNG
(292) Aus anderen Gründen wird der nachfolgend wiedergegebene erste Satz des §27 Abs3 idgF (BGBl Nr 37/2018) angefochten:
'(3) Sofern nicht eine Verordnung gemäß §28 Abs2 Z4 einen späteren Zeitpunkt bestimmt, gilt ab 1. Juli 2016 §13 Abs3 für
1. Apotheken gemäß §1 des Apothekengesetzes,
2. Freiberufliche tätige Ärzte und Ärztinnen,
3. Gruppenpraxen sowie
4. Selbstständige Ambulatorien gemäß §3a KAKuG,
soweit die Nutzung der ELGA-Komponenten (§24) zur Verwendung von ELGA-Gesundheitsdaten technisch möglich ist.'
INKRAFTTRETEN
(293) Gemäß §26 Abs1 trat das GTeIG 2012 am 1. Jänner 2013 in Kraft, es wurde 2018 geringfügigst novelliert.
(294) Der angefochtene erste Satz in Absatz 3 des §27 regelt das Inkrafttreten des GTeIG 2012 hinsichtlich der Speicherpflicht des §13 Abs3. Demnach gilt die Bestimmung ab 1.7.2016, jedoch nur 'soweit die Nutzung der ELGA-Komponenten (§24) zur Verwendung von ELGA-Gesundheitsdaten technisch möglich ist'.
Direkte Betroffenheit:
(295) Der Antragsteller ist als Patient von dieser Bestimmung direkt betroffen:
(296) Diese Inkrafttretensbestimmung sollte klar und rechtsstaatlich bestimmt regeln, ab welchem Zeitpunkt die Speicherpflicht des §13 Abs3 mit der damit einhergehenden Abschaffung seiner Datenhoheit hinsichtlich seiner Gesundheitsdaten in Kraft tritt.
(297) Die angefochtene Bestimmung betrifft den Antragsteller in seinen Rechten, weil die Frage, ob die verpflichtend angeordnete Speicherung der Gesundheitsdaten laut §13 Abs3 ab 1.7.2016 gilt oder mangels Vorliegens der 'technischen Voraussetzungen' nicht in Kraft getreten ist, von dem Antragsteller nicht festgestellt werden kann.
(298) Diese Bestimmung über das Inkrafttreten des §13 Abs3 ist für den Antragsteller als Patient direkt wirksam, ohne dass die Möglichkeit besteht, eine gerichtliche oder im Instanzenzug bekämpfbare behördliche Entscheidung darüber herbeizuführen.
Verletzung des Art18 B VG:
(299) Die hier angefochtene Bestimmung über das Inkrafttreten des §13 Abs3 verletzt Art18 B VG:
(300) Der Gesetzgeber hat im Sinn des Legalitätsprinzips selbst und für alle Normunterworfenen zweifelsfrei zu bestimmen, wann ein Bundesgesetz in Kraft tritt. Das Inkrafttreten hat datumsmäßig bestimmt und für jeden Normunterworfenen nachvollziehbar durch Einsicht in das Bundesgesetzblatt festgelegt zu werden.
(301) Die angefochtene Bestimmung macht das Inkrafttreten des §13 Abs3 nicht nur von einer Verordnung gemäß §28 Abs2 Z4 abhängig, sondern von dem von keinem Normunterworfenen feststellbaren Vorliegen der technischen Möglichkeit der Nutzung der ELGA-Komponenten zur Verwendung von ELGA-Gesundheitsdaten.
(302) Die Verordnung der Bundesministerin für Gesundheit zur Implantierung und Weiterentwicklung von ELGA (ELGA-VO 2015) enthält zeitlich und örtlich gestaffelte Termine für das Inkrafttreten (§21a Abs1 ELGA-VO 2015), hemmt aber das Inkrafttreten 'im Einzelfall', solange die Nutzung der ELGA-Komponenten 'technisch nicht möglich ist'. Damit steht aber für den Antragsteller noch immer nicht fest, ob §13 Abs3 schon gilt. §21a Abs3 macht diese Prüfung nicht einfacher, ebensowenig Abs4 dieser Verordnung. Die Rechtslage ist durch die räumliche, zeitliche, 'technische' sowie fachliche Zersplitterung völlig unübersichtlich.
(303) Dem Gesetz ist auch nicht zu entnehmen, welche vom Gesetzgeber dazu legitimierte Behörde das Vorliegen der technischen Möglichkeit verbindlich feststellt und in welchem Publikationsorgan die Feststellung und damit das Inkrafttreten zu verlautbaren ist. Die ELGA-VO 2015 normiert dazu nichts. Der Gesetzgeber hat nicht einmal festgelegt, welches Organ über den Zeitpunkt des Inkrafttretens (des Vorliegens der technischen Möglichkeit) bestimmen soll, ebensowenig, ob eine Verordnung des Bundesministers über das Inkrafttreten zu einem Zeitpunkt nach dem 1.7.2016 auch dann gilt und das Gesetz in Kraft setzt, wenn zu diesem späteren Zeitpunkt die technischen Voraussetzungen noch nicht vorliegen.
(304) Diese Bestimmung ist daher unspezifiziert und widerspricht dem Legalitätsprinzip des Art18 B VG ebenso wie den Verfassungsbestimmungen über die Kundmachung von Bundesgesetzen."
2. Die Bundesregierung erstattete eine Äußerung, in der sie auf ihr Vorbringen in den – der Äußerung beigefügten – Äußerungen zu den zu G36/2017, G234/2017 und G330/2015 protokollierten Verfahren verwies. In ihrer zum Fall G36/2017 erstatteten Äußerung führt die Bundesregierung, mit Relevanz für den vorliegenden Fall, in dem der Antragsteller seine aktuelle Betroffenheit ausdrücklich nur auf die Eigenschaft als Patient gründet, Folgendes zum Vorliegen der Prozessvoraussetzungen aus:
"[…]
II.
Zu den Prozessvoraussetzungen:
1. Zum Anfechtungsumfang:
Nach Auffassung der Bundesregierung ist der Antrag nicht richtig abgegrenzt:
1.1. Die Grenzen der Aufhebung einer auf ihre Verfassungsmäßigkeit hin zu prüfenden Gesetzesbestimmung sind, wie der Verfassungsgerichtshof sowohl für von Amts wegen als auch für auf Antrag eingeleitete Gesetzesprüfungsverfahren schon wiederholt dargelegt hat, notwendig so zu ziehen, dass einerseits der verbleibende Gesetzesteil nicht einen völlig veränderten Inhalt bekommt und dass andererseits die mit der aufzuhebenden Gesetzesstelle untrennbar zusammenhängenden Bestimmungen auch erfasst werden (vgl VfSlg 13.965/1994 mwN, 16.542/2002, 16.911/2003, VfGH 21.02.2013, G45/12).
Dieser Grundposition folgend darf im Gesetzesprüfungsverfahren der Anfechtungsumfang der in Prüfung gezogenen Norm bei sonstiger Unzulässigkeit des Prüfungsantrags nicht zu eng gewählt werden (vgl VfSlg 8.155/1977, 12.235/1989, 13.915/1994, 14.131/1995, 14.498/1996, 14.890/1997, 16.212/2002). Die Antragsteller haben all jene Normen anzufechten, welche für die Beurteilung der allfälligen Verfassungswidrigkeit der Rechtslage eine untrennbare Einheit bilden. Es ist Sache des Verfassungsgerichtshofes, darüber zu befinden, auf welche Weise eine solche Verfassungswidrigkeit beseitigt werden kann (vgl VfSlg 16.756/2002, 19.496/2011). Der Umfang einer zu prüfenden und allenfalls aufzuhebenden Bestimmung ist derart abzugrenzen, dass einerseits nicht mehr aus dem Rechtsbestand ausgeschieden wird, als zur Beseitigung der zulässigerweise geltend gemachten Rechtswidrigkeit erforderlich ist, dass aber andererseits der verbleibende Teil keine Veränderung seiner Bedeutung erfährt; da beide Ziele gleichzeitig niemals vollständig erreicht werden können, ist in jedem Einzelfall abzuwägen, ob und inwieweit diesem oder jenem Ziel der Vorrang vor dem anderen gebührt (vgl VfSlg 19.496/2011 mwN).
1.2. Soweit sich der Antrag (nur) gegen einzelne Bestimmungen des 4. Abschnittes des GTelG 2012 richtet, ist er zu eng gefasst, was beispielhaft an folgenden Bestimmungen dargelegt wird:
Der nicht angefochtene §13 Abs4 GTelG 2012 betreffend die Speicherung allfälliger Bilddaten steht in einem untrennbaren Zusammenhang mit dem Recht von ELGA-Gesundheitsdiensteanbietern zur Speicherung von ELGA-Gesundheitsdaten gemäß dem angefochtenen §13 Abs2 GTelG 2012.
[…]
Der nicht angefochtene §16 GTelG 2012 sieht in Abs2 das Recht der ELGA-Teil-nehmer/innen gegenüber den ELGA-Gesundheitsdiensteanbietern vor, 'die Aufnahme von Medikationsdaten (§2 Z9 litb) sowie von Verweisen auf ELGA-Gesundheitsdaten (§2 Z9 lita) gemäß §20 Abs2 erster Satz iVm. §13 Abs3 und 4 zu verlangen'. Bei Aufhebung des §13 Abs3 sowie des §20 Abs2 verbliebe somit ein unvollziehbares Teilnehmerrecht in §16 Abs2 Z1 GTelG 2012.
Die Aufhebung der angefochtenen Bestimmungen wäre bei gleichzeitigem Bestehenbleiben der nicht angefochtenen §§15 und 16 GTelG 2012, die die zentralen Grundsätze der Teilnahme an ELGA sowie die Teilnehmerrechte regeln, nicht geeignet, die vom Antragsteller geltend gemachte Verfassungswidrigkeit zu beseitigen: So würde beispielsweise das nach Auffassung des Antragstellers verfassungswidrige 'Opt-Out-Modell' weiterhin bestehen bleiben.
Insgesamt würden aber auch alle nicht angefochtenen Bestimmungen des 4. Abschnitts (§13 Abs1, Abs3 mit Ausnahme der Z4, Abs4 bis 6, §§14 bis 19, §20 Abs1 zweiter und dritter Satz, Abs3 zweiter Satz, §21 Abs1 und 3 sowie §§22 bis 24 GTelG 2012) bei einer Aufhebung bloß der angefochtenen Bestimmungen zu einem unverständlichen und unvollziehbaren Torso. So wäre etwa durch die Aufhebung des §20 GTelG 2012 mit Ausnahme des zweiten und dritten Satzes des Abs1 und des letzten Satzes des Abs3 leg. cit. völlig unklar, wann die elektronischen Verweise und ELGA-Gesundheitsdaten zu löschen sind.
Nach der Rechtsprechung des Verfassungsgerichtshofs ist auch ein Verweis auf aufgehobene Vorschriften zu eliminieren, wenn dieser Verweis die Norm unvollziehbar machen würde (VfSlg 16.678/2002). Der Antrag hätte schon deshalb auch die Aufhebung folgender Bestimmungen enthalten müssen:
§15 Abs4 wegen Verweises auf §20 Abs2 GTelG 2012,
§16 Abs2 Z1 wegen Verweises auf §13 Abs3 sowie §20 Abs2 GTelG 2012,
§18 Abs7 wegen Verweises auf §21 Abs2 GTelG 2012,
§22 Abs7 wegen Verweises auf §20 Abs1 GTelG 2012,
§28 Abs2 Z4 wegen Verweises auf §13 Abs2 GTelG 2012.
1.3. Die Bundesregierung geht daher davon aus, dass der Antrag wegen eines zu engen Anfechtungsumfangs unzulässig ist.
[…]
3. Zum aktuellen und unmittelbaren Eingriff in die Rechtssphäre:
3.1. Gemäß Art140 Abs1 Z1 litc B VG erkennt der Verfassungsgerichtshof über die Verfassungswidrigkeit eines Bundesgesetzes auf Antrag einer Person, die durch diese Verfassungswidrigkeit unmittelbar in ihren Rechten verletzt zu sein behauptet, sofern das angefochtene Gesetz ohne Fällung einer gerichtlichen Entscheidung und ohne Erlassung eines Bescheides für sie wirksam geworden ist. Voraussetzung der Antragslegitimation ist, dass das Gesetz in die Rechtssphäre des Antragstellers nachteilig eingreift und diese – im Falle der Verfassungswidrigkeit – verletzt. Die Anfechtungsbefugnis kommt dabei nur jenen Normadressaten zu, in deren Rechtssphäre das angefochtene Gesetz selbst tatsächlich unmittelbar eingreift. Ein derartiger Eingriff ist jedenfalls nur dann anzunehmen, wenn dieser nach Art und Ausmaß durch das Gesetz selbst eindeutig bestimmt ist, wenn er die (rechtlich geschützten) Interessen des Antragstellers nicht bloß potentiell, sondern aktuell beeinträchtigt und wenn dem Antragsteller kein anderer zumutbarer Weg zur Abwehr des – behaupteterweise – rechtswidrigen Eingriffs zur Verfügung steht (vgl VfSlg 11.868/1988, 15.632/1999, 16.616/2002, 16.891/2003). Hierbei hat der Verfassungsgerichtshof vom Antragsvorbringen auszugehen und lediglich zu prüfen, ob die vom Antragsteller ins Treffen geführten Wirkungen solche sind, wie sie Art140 Abs1 Z1 litc B VG als Voraussetzung für die Antragslegitimation fordert (vgl VfSlg 8594/1979, 10.353/1985, 11.730/1988).
Nach Auffassung der Bundesregierung liegen diese Voraussetzungen nicht vor:
3.2. Der Antragsteller nimmt seinen eigenen Angaben zufolge als Patient Gesundheitsdienstleistungen von ELGA-Gesundheitsdiensteanbietern in Anspruch und ist Facharzt für Frauenheilkunde, der in einem Vertragsverhältnis mit der Wiener Gebietskrankenkasse steht.
Er begründet seine Antragsberechtigung als Patient damit, dass durch die 'Speicherpflicht und die Vernetzung der gespeicherten Gesundheitsdaten', also durch die Verwendung seiner Gesundheitsdaten ohne seine Zustimmung, unmittelbar in sein verfassungsgesetzlich gewährleistetes Recht auf Datenschutz eingegriffen werde (Antrag S 10 ff).
[…]
3.3.1. Der Antragsteller kann aber weder als freiberuflicher Arzt noch als Patient solcher Ärzte von der (Verpflichtung zur) Speicherung von ELGA-Gesundheitsdaten betroffen sein, da eine solche Verpflichtung derzeit mangels technischer Möglichkeiten noch nicht besteht (vgl oben Pkt. I.4.).
Der Antragsteller bringt weiters vor, dass ungeachtet der zeitlichen Abstufungen betreffend das Wirksamwerden von ELGA sein Recht 'auf Zustimmung zur Speicherung, Verarbeitung und Weitergabe von Gesundheitsdaten' gemäß §1 DSG 2000 schon mit Inkrafttreten des GTelG 2012 beseitigt werde (vgl S 16 und 25 f des Antrages). Dies werde durch die 'Opt Out'-Möglichkeit gemäß §15 Abs2 GTelG 2012 untermauert. Die Tatsache, dass der Antragsteller schon jetzt einen Widerspruch erklären könne, beeinträchtige seine aktuelle Rechtsstellung (Antrag S 16).
Dem ist entgegenzuhalten, dass §1 DSG 2000 kein uneingeschränktes Zustimmungsrecht des Betroffenen zur Verwendung seiner personenbezogenen Daten garantiert (s schon Pkt. III.1.4.2. der Äußerung der Bundesregierung vom 1. September 2015, GZ: BKA-604.533/0006-V/5/2015). Weiters rügt der Antragsteller damit bloß einen potentiellen (zukünftigen) Eingriff in sein verfassungsgesetzlich gewährleistetes Recht auf Datenschutz: Entgegen dem Antragsvorbringen kann nämlich aus der Möglichkeit der Erklärung des Widerspruchs schon vor Eintritt der Speicherpflicht nicht geschlossen werden, dass ein Eingriff in das verfassungsgesetzlich gewährleistete Recht auf Datenschutz bereits vorliegt; der Gesetzgeber hat dadurch vielmehr für Betroffene die Möglichkeit geschaffen, einen solchen Eingriff von vornherein zu verhindern.
Selbst wenn man eine aktuelle Betroffenheit des Antragstellers als Patient durch die Widerspruchsmöglichkeit des §15 Abs2 GTelG 2012 bejahte, könnte sich diese aber nur auf die Bestimmungen über den Widerspruch selbst und jene, die damit in unmittelbarem Zusammenhang stehen, beziehen, nicht aber auf die übrigen angefochtenen Bestimmungen des GTelG 2012. Die Bestimmungen über den Widerspruch und die Teilnehmerrechte (§§15 f GTelG 2012) hat der Antragsteller aber gerade nicht angefochten.
Der Antragsteller ist daher als Patient und als ELGA-Gesundheitsdiensteanbieter von der Speicherverpflichtung aktuell weder passiv noch aktiv betroffen. Das scheint dem Antragsteller auch bewusst zu sein, wenn er in seinem Antrag (S 16) davon spricht, dass 'die technischen Voraussetzungen […] aber nicht vorliegen', bzw wenn er (Antrag S 25) darauf hinweist, dass der von ihm behauptete Eingriff 'noch nicht unmittelbar schlagend' sei. Die Intention des Antrages scheint daher in einer abstrakten Überprüfung der Verfassungsmäßigkeit der angefochtenen Bestimmungen zu liegen. Damit wird aber ein aktueller Eingriff in die Rechtssphäre des Antragstellers als Patient und Arzt, die ihm eine Anfechtungsbefugnis nach Art140 Abs1 Z1 litc B VG verleihen würde, nicht begründet.
[…]
3.5. Zusammenfassend liegt daher der behauptete aktuelle und unmittelbare Eingriff in die Rechtssphäre des Antragstellers durch §13 Abs2, 3 und 7 sowie §20 GTelG 2012 nicht vor.
3.6. Die Bundesregierung merkt weiters an, dass die im angefochtenen §21 Abs2 Z1 GTelG 2012 festgelegte Zugriffsberechtigung von Angehörigen des ärztlichen Berufes auf alle ELGA-Gesundheitsdaten nicht nachteilig in die Rechtssphäre des Antragstellers eingreift; von den übrigen Ziffern des §21 Abs2 GTelG 2012 kann der Antragsteller in seiner Eigenschaft als Arzt von vornherein nicht betroffen sein.
3.7. Die Bundesregierung geht daher davon aus, dass der Antrag auch aus diesen Gründen unzulässig ist.
4. Zum zumutbaren Umweg:
Hinsichtlich des zumutbaren Umwegs verweist die Bundesregierung auf Pkt. II.4. ihrer im Verfahren G330/2015 erstatteten, beiliegenden Äußerung vom 1. September 2015, GZ: BKA-604.533/0006-V/5/2015.
5. Insgesamt erweist sich der Antrag nach Auffassung der Bundesregierung daher mangels Vorliegens der Prozessvoraussetzungen als unzulässig, weshalb er zurückzuweisen wäre. Für den Fall, dass der Verfassungsgerichtshof den Antrag dennoch für zulässig erachten sollte, nimmt die Bundesregierung im Folgenden zu den inhaltlichen Bedenken Stellung.
[…]"
IV. Zur Zulässigkeit
1. Gemäß Art140 Abs1 Z1 litc B‐VG erkennt der Verfassungsgerichtshof über die Verfassungswidrigkeit von Gesetzen auf Antrag einer Person, die unmittelbar durch diese Verfassungswidrigkeit in ihren Rechten verletzt zu sein behauptet, wenn das Gesetz ohne Fällung einer gerichtlichen Entscheidung oder ohne Erlassung eines Bescheides für diese Person wirksam geworden ist.
Voraussetzung der Antragslegitimation gemäß Art140 Abs1 Z1 litc B VG ist einerseits, dass der Antragsteller behauptet, unmittelbar durch das angefochtene Gesetz – im Hinblick auf dessen Verfassungswidrigkeit – in seinen Rechten verletzt worden zu sein, dann aber auch, dass das Gesetz für den Antragsteller tatsächlich, und zwar ohne Fällung einer gerichtlichen Entscheidung oder ohne Erlassung eines Bescheides wirksam geworden ist. Grundlegende Voraussetzung der Antragslegitimation ist, dass das Gesetz in die Rechtssphäre des Antragstellers nachteilig eingreift und diese – im Falle seiner Verfassungswidrigkeit – verletzt.
Es ist darüber hinaus erforderlich, dass das Gesetz selbst tatsächlich in die Rechtssphäre des Antragstellers unmittelbar eingreift. Ein derartiger Eingriff ist nur dann anzunehmen, wenn dieser nach Art und Ausmaß durch das Gesetz selbst eindeutig bestimmt ist, wenn er die (rechtlich geschützten) Interessen des Antragstellers nicht bloß potentiell, sondern aktuell beeinträchtigt und wenn dem Antragsteller kein anderer zumutbarer Weg zur Abwehr des – behaupteterweise – rechtswidrigen Eingriffes zur Verfügung steht (VfSlg 11.868/1988, 15.632/1999, 16.616/2002, 16.891/2003).
2. Die Grenzen der Aufhebung einer auf ihre Verfassungsmäßigkeit zu prüfenden Gesetzesbestimmung sind, wie der Verfassungsgerichtshof sowohl für von Amts wegen als auch für auf Antrag eingeleitete Gesetzesprüfungsverfahren schon wiederholt dargelegt hat (VfSlg 13.965/1994 mwN, 16.542/2002, 16.911/2003), notwendig so zu ziehen, dass einerseits der verbleibende Gesetzesteil nicht einen völlig veränderten Inhalt bekommt und dass andererseits die mit der aufzuhebenden Gesetzesstelle untrennbar zusammenhängenden Bestimmungen auch erfasst werden.
Dieser Grundposition folgend hat der Verfassungsgerichtshof die Rechtsauffassung entwickelt, dass im Gesetzesprüfungsverfahren der Anfechtungsumfang der in Prüfung gezogenen Norm bei sonstiger Unzulässigkeit des Prüfungsantrages nicht zu eng gewählt werden darf (vgl VfSlg 16.212/2001, 16.365/2001, 18.142/2007, 19.496/2011, 20.154/2017). Der Antragsteller hat all jene Normen anzufechten, welche für die Beurteilung der allfälligen Verfassungswidrigkeit der Rechtslage eine untrennbare Einheit bilden. Es ist dann Sache des Verfassungsgerichtshofes, darüber zu befinden, auf welche Weise eine solche Verfassungswidrigkeit – sollte der Verfassungsgerichtshof die Auffassung des Antragstellers teilen – beseitigt werden kann (VfSlg 16.756/2002, 19.496/2011, 19.684/2012, 19.903/2014; VfGH 10.3.2015, G201/2014).
Unzulässig ist der Antrag etwa dann, wenn der im Falle der Aufhebung im begehrten Umfang verbleibende Teil einer Gesetzesstelle als sprachlich unverständlicher Torso inhaltsleer und unanwendbar wäre (VfSlg 16.279/2001, 19.413/2011, 20.082/2016; VfGH 19.6.2015, G211/2014; 7.10.2015, G444/2015), der Umfang der zur Aufhebung beantragten Bestimmungen so abgesteckt ist, dass die angenommene Verfassungswidrigkeit durch die Aufhebung gar nicht beseitigt würde (vgl zB VfSlg 18.891/2009, 19.933/2014), oder durch die Aufhebung bloßer Teile einer Gesetzesvorschrift dieser ein völlig veränderter, dem Gesetzgeber überhaupt nicht mehr zusinnbarer Inhalt gegeben würde (VfSlg 18.839/2009, 19.841/2014, 19.972/2015, 20.102/2016).
Unter dem Aspekt einer nicht trennbaren Einheit in Prüfung zu ziehender Vorschriften ergibt sich ferner, dass ein Prozesshindernis auch dann vorliegt, wenn es auf Grund der Bindung an den gestellten Antrag zu einer in der Weise isolierten Aufhebung einer Bestimmung käme, dass Schwierigkeiten bezüglich der Anwendbarkeit der im Rechtsbestand verbleibenden Vorschriften entstünden, und zwar in der Weise, dass der Wegfall der angefochtenen (Teile einer) Gesetzesbestimmung den verbleibenden Teil unverständlich oder auch unanwendbar werden ließe. Letzteres liegt dann vor, wenn nicht mehr mit Bestimmtheit beurteilt werden könnte, ob ein der verbliebenen Vorschrift zu unterstellender Fall vorliegt (VfSlg 16.869/2003 mwN).
Eine zu weite Fassung des Antrages macht diesen nicht in jedem Fall unzulässig. Zunächst ist ein Antrag nicht zu weit gefasst, soweit der Antragsteller solche Normen anficht, durch die seine (rechtlich geschützten) Interessen aktuell beeinträchtigt sind und die mit diesen in untrennbarem Zusammenhang stehen; dabei darf aber nach §62 Abs1 VfGG nicht offen bleiben, welche Gesetzesvorschrift oder welcher Teil einer Vorschrift nach Auffassung des Antragstellers aus welchem Grund aufgehoben werden soll (siehe mwN VfGH 2.3.2015, G140/2014 ua; vgl auch VfGH 10.12.2015, G639/2015; 15.10.2016, G103-104/2016 ua). Ist ein solcher Antrag in der Sache begründet, hebt der Verfassungsgerichtshof aber nur einen Teil der angefochtenen Bestimmungen als verfassungswidrig auf, so führt dies — wenn die sonstigen Prozessvoraussetzungen vorliegen — im Übrigen zur teilweisen Abweisung des Antrages (VfSlg 19.746/2013; VfGH 5.3.2014, G79/2013 ua).
Umfasst der Antrag auch Bestimmungen, durch die die (rechtlich geschützten) Interessen des Antragstellers nicht aktuell beeinträchtigt sind (insofern ist der Antrag zu weit gefasst), die mit (rechtlich geschützten) Interessen des Antragstellers aktuell beeinträchtigenden (und nach Auffassung des Antragstellers den Sitz der Verfassungswidrigkeit bildenden) Bestimmungen aber vor dem Hintergrund der Bedenken in einem Regelungszusammenhang stehen, so ist zu differenzieren: Sind diese Bestimmungen von den den Sitz der verfassungsrechtlichen Bedenken des Antragstellers bildenden, die (rechtlich geschützten) Interessen des Antragstellers aktuell beeinträchtigenden Bestimmungen offensichtlich trennbar, führt dies zur teilweisen Zurückweisung des Antrages. Umfasst der Antrag auch Bestimmungen, die mit den die (rechtlich geschützten) Interessen des Antragstellers aktuell beeinträchtigenden Bestimmungen in einem so konkreten Regelungszusammenhang stehen, dass es nicht von vornherein auszuschließen ist, dass ihre Aufhebung im Fall des Zutreffens der Bedenken erforderlich sein könnte (sind diese Bestimmungen also nicht offensichtlich trennbar), so ist der Antrag insgesamt zulässig (vgl VfSlg 20.111/2016). Dies gilt nach dem vorhin Gesagten aber keinesfalls dann, wenn Bestimmungen mitangefochten werden (etwa alle eines ganzen Gesetzes), gegen die gar keine konkreten Bedenken vorgebracht werden und zu denen auch kein konkreter Regelungszusammenhang dargelegt wird (VfSlg 19.894/2014; VfGH 29.9.2015, G324/2015; 15.10.2016, G183/2016 ua).
3. Der Antragsteller erachtet die angefochtenen Bestimmungen des Gesundheitstelematikgesetzes 2012 auf Grund eines Verstoßes gegen §1 DSG und Art8 EMRK als verfassungswidrig und legt seine verfassungsrechtlichen Bedenken im Wesentlichen wie folgt dar:
Im Hinblick auf §1 DSG liege die Verfassungswidrigkeit – zusammengefasst – darin, dass die angefochtenen Bestimmungen die "Datenhoheit" und die "Datenherrschaft" des Antragstellers über seine besonders sensiblen Gesundheitsdaten beseitigten und das Zustimmungserfordnis des §1 Abs2 DSG nicht beachteten. Während der Betroffene die Speicherung, die Verwendung und den Zugriff auf gespeicherte Gesundheitsdaten bisher im Rahmen seiner vertraglichen Beziehung mit dem Arzt bzw der Krankenanstalt – vor dem Hintergrund der gesetzlichen Schweigepflicht – autonom regeln habe können, würden die Daten auf Grundlage des Gesundheitstelematikgesetzes 2012 fortan ohne seine vorherige Zustimmung und ohne Hinzutreten einer gerichtlichen oder bekämpfbaren Entscheidung im ELGA-System gespeichert und vernetzt. Die Unterlassung eines Widerspruchs könne die erforderliche Zustimmung schon deshalb nicht ersetzen, weil das Opt-Out stets eine vorherige, nicht auf der Dispositionsbefugnis des Betroffenen beruhende Erfassung der Gesundheitsdaten voraussetze; da den ELGA-Gesundheitsdiensteanbietern das gesetzliche und unabdingbare Recht zukomme, ELGA-Gesundheitsdaten zu speichern, zu verwenden, zu ermitteln und einzusehen, bleibe in Hinkunft auch kein Raum mehr für besondere vertragliche Vereinbarungen. Die in §1 Abs2 DSG alternativ vorgesehenen Rechtfertigungsgründe des "lebenswichtigen Interesses" bzw des "überwiegenden Interesses eines anderen" könnten im Hinblick auf die Datenverarbeitung im Rahmen der Elektronischen Gesundheitsakte nicht zur Anwendung kommen, weil diese nicht vom Vorliegen eines lebenswichtigen Interesses abhänge und allfällige Interessen Dritter keinesfalls jenes an der Geheimhaltung der Gesundheitsdaten überwögen.
Überdies seien §1 DSG und Art8 EMRK nach Auffassung des Antragstellers dadurch verletzt, dass kein den Eingriff rechtfertigendes öffentliches Interesse erkennbar sei: Das Speicher- und Einsichtsrecht trage nichts zu einer besseren oder effizienteren Gesundheitsversorgung bei und führe keinesfalls zu einer Stärkung der Patientenrechte. Sollte dennoch ein solches öffentliches Interesse angenommen werden, erwiesen sich die Bestimmungen jedenfalls als unverhätnismäßig, denn dem Gesetzgeber stünden gelindere Mittel zur Verfügung, um diese öffentlichen Interessen zu verwirklichen. Insbesondere sei dabei nicht erkennbar, warum der Gesetzgeber nicht generell von der Maßgeblichkeit einer vorherigen Zustimmung des Betroffenen ausgegangen sei, also an Stelle des "Opt-Out" eine "Opt-In" Regelung verankert habe. Zweifellos hätte die Elektronische Gesundheitsakte auch in diesem Fall ohne Einschränkung eingesetzt werden können und zwar in keiner Weise "lückenhafter" als bei einer "Opt-Out"-Regelung. Des Weiteren sei auch zu berücksichtigen, dass das Speicherungs- und Einsichtsrecht gemäß §13 Abs2 GTelG 2012 durch das Opt-Out des Betroffenen gemäß §15 Abs2 leg.cit. nicht berührt werde, der Widerspruch nur den Verweis und nicht die dezentral gespeicherten Daten selbst betreffe und der Widerspruch sowie die Ausübung der Rechte gemäß §16 Abs2 leg.cit. das Wissen um die erfolgte Speicherung sowie die Abfassung und Absendung von schriftlichen Erklärungen gegenüber der Widerspruchsstelle forderten, was für viele Patienten unzumutbar hohe Anforderungen darstellten.
Davon abweichende Bedenken bringt der Antragsteller hinsichtlich der Bestimmung des §27 Abs3 erster Satz GTelG 2012 vor: Diese Bestimmung mache das Inkrafttreten des §13 Abs3 GTelG 2012 nicht nur von einer Verordnung gemäß §28 Abs2 Z4 leg.cit., sondern darüber hinaus auch vom – für keinen Rechtsunterworfenen erkennbaren – Vorliegen der technischen Möglichkeit der Nutzung der ELGA-Kompontenen zur Verwendung der ELGA-Gesundheitsdaten abhängig. Da auch die ELGA-Verordnung 2015 keine Präzisierung enthalte und nicht klar sei, ob ein bestimmtes Organ, und bejahendenfalls welches, das Inkrafttreten verbindlich festzustellen habe, sei der angefochtenen Bestimmung kein hinreichend determinierter Inhalt zu entnehmen, weshalb sie in Widerspruch zu Art18 B VG stehe.
Bei der Festlegung des Anfechtungsumfangs der mit dem Antrag angefochtenen Bestimmungen sah der Antragssteller – wie die Ausführungen im Antrag darlegen – bewusst davon ab, Einschränkungen der als verfassungswidrig erachteten Bestimmungen oder Ausnahmen hievon (wie insbesondere die §§14 ff. GTelG 2012) mitanzufechten, zumal derartige Bestimmungen seiner Auffassung nach in keinem untrennbaren Zusammenhang mit den angefochtenen Bestimmungen stünden. Der Antragsteller bezieht sich dabei insbesondere auf das "Opt-Out"-Recht gemäß §§15 f. GTelG 2012, welches "vor dem Hintergrund des den Gesetzgeber bindenden Verhältnismäßigkeitsprinzips ungenügende Ausnahmebestimmungen [enthält]", und auf §14 leg.cit., welcher "die verfassungsgesetzlich gewährleisteten Rechte des Antragstellers, die jeweils durch die angefochtenen Gesetzesbestimmungen verletzt werden, nicht [schützt]". Nach der Aufhebung der angefochtenen Bestimmungen könnten die "Opt-Out"-Regelungen "bei einer Opt-In Regelung bestehen bleiben und Patienten die Möglichkeit eines nachträglichen Widerrufs einer zuvor erklärten Zustimmung gesetzlich sichern".
4. Vor dem Hintergrund der vom Antragsteller dargelegten verfassungsrechtlichen Bedenken erweist sich der im Antrag gewählte Anfechtungsumfang als zu eng:
4.1. §14 GTelG 2012, BGBl I 111/2012, idF BGBl I 37/2018 legt – unter anderem – bestimmte grundlegende Zulässigkeitsvoraussetzungen für die Verarbeitung von ELGA-Gesundheitsdaten (§2 Z9 GTelG 2012) fest (§14 Abs1 GTelG 2012), bindet die personenbezogene Verarbeitung der durch die Elektronische Gesundheitsakte (§2 Z6 GTelG 2012) verfügbar gemachten ELGA-Gesundheitsdaten an bestimmte Zwecke (§14 Abs2 GTelG 2012), enthält bestimmte Verbote im Zusammenhang mit dem Verlangen, dem Zugriff auf und der Verarbeitung von durch die Elektronische Gesundheitsakte verfügbar gemachten ELGA-Gesundheitsdaten (§14 Abs3 GTelG 2012) und statuiert bestimmte Nutzungsbeschränkungen und Geheimhaltungspflichten im Zusammenhang mit ELGA-Gesundheitsdaten (§14 Abs3a und 4 GTelG 2012). Wie die Materialien zur Stammfassung des Gesetzes ausführen, handelt es sich bei dieser Regelung um die "zentrale Datenschutzbestimmung des 4. Abschnittes zur ELGA" (Erläut zur RV 1936 BlgNR 24. GP, 27).
Die in §14 Abs2 GTelG 2012 genannten Zwecke sind nach Auffassung des Gesetzgebers "[a]us Sicht des §1 Abs2 DSG 2000 […] unter 'überwiegende, berechtigte Interessen eines anderen' zu verstehen", mit der Konsequenz, dass "die beiden anderen verfassungsunmittelbaren Eingriffstatbestände 'Einwilligung des Betroffenen' und 'Schutz lebenswichtiger Interessen' […] von dieser Bestimmung unberührt [bleiben]" (Erläut zur RV 1936 BlgNR 24. GP, 28). Zur Erfüllung dieser in §14 Abs2 GTelG 2012 genannten Zwecke haben ELGA-Gesundheitsdienstanbieter (§2 Z2 GTelG 2012) gemäß §13 Abs2 GTelG 2012 das Recht, ELGA-Gesundheitsdaten in der Elektronischen Gesundheitsakte zu speichern und unter Berücksichtigung der jeweiligen Berufspflichten zu erheben, sofern das Gesundheitstelematikgesetz 2012 – wie dies etwa in §16 GTelG 2012 der Fall ist – nichts anderes festlegt. Darauf aufbauend nennt §13 Abs3 GTelG 2012 bestimmte Datenkategorien, die – frühestens ab den in §27 Abs2 bis 6 GTelG 2012 genannten Zeitpunkten und spätestens ab dem Zeitpunkt gemäß §28 Abs2 Z4 GTelG 2012 – durch die in dieser Bestimmung näher genannten ELGA-Gesundheitsdiensteanbieter (jedenfalls) zu speichern sind (vgl auch die Erläut zur RV 1936 BlgNR 24. GP, 27). Eine Ausnahme von der Verpflichtung der ELGA-Gesundheitsdiensteanbieter, ELGA-Gesundheitsdaten im Wege der Elektronischen Gesundheitsakte zu erheben, besteht gemäß §13 Abs7 GTelG 2012 dann, wenn aus Gründen, die nicht vom ELGA-Gesundheitsdiensteanbieter verschuldet sind, im konkreten Einzelfall eine Verwendung der Elektronischen Gesundheitsakte technisch nicht möglich ist oder durch den mit der Suche verbundenen Zeitaufwand das Leben oder die Gesundheit des ELGA-Teilnehmers ernstlich gefährdet wäre.
Diese Bestimmungen sind im Zusammenhang mit §15 GTelG 2012 zu sehen, welcher unter der Überschrift "Grundsätze der ELGA-Teilnahme" den Kreis jener Personen bestimmt, deren Daten in der Elektronischen Gesundheitsakte zu erfassen sind. §15 Abs2 GTelG 2012 bestimmt, dass "[d]er Teilnahme an ELGA [durch Mitteilung an näher bezeichnete Stellen oder über das Zugangsportal] jederzeit generell widersprochen werden [kann] (Opt-out)", und dabei anzugeben ist, "ob sich dieser Widerspruch auf alle oder einzelne Arten von ELGA-Gesundheitsdaten (§2 Z9) beziehen soll". Wird von diesem Recht Gebrauch gemacht, sind gemäß §15 Abs3 GTelG 2012 "[a]lle bis zum Zeitpunkt des Widerspruchs in den ELGA-Verweisregistern vorhandenen und vom Widerspruch erfassten Verweise und ELGA-Gesundheitsdaten einschließlich Medikationsdaten […] zu löschen; falls das Löschen aufgrund anderer gesetzlicher Dokumentationsverpflichtungen oder §22 Abs5 Z1 ausgeschlossen ist, sind die Verweise für ELGA unzugänglich zu machen." Solange ein gültiger Widerspruch besteht, dürfen gemäß §15 Abs4 GTelG 2012 "keine für ELGA zugänglichen Verweise auf ELGA-Gesundheitsdaten gemäß §20 Abs2 erster Satz gespeichert werden".
Über das in §15 Abs2 GTelG 2012 enthaltene Recht, seinen generellen Widerspruch zu erklären, hinaus (Erläut zur RV 1936 BlgNR 24. GP, 29) legt §16 GTelG 2012 weitere "Rechte der ELGA-Teilnehmer/innen" fest, wie etwa ein Auskunftsrecht "über die sie betreffenden ELGA-Gesundheitsdaten sowie Protokolldaten gemäß §22 Abs2" (§16 Abs1 Z1 GTelG 2012), das Recht, "individuelle Zugriffsberechtigungen gemäß §21 Abs3 festzulegen" (§16 Abs1 Z2 GTelG 2012), das Recht, "die Aufnahme von Medikationsdaten (§2 Z9 litb) sowie von Verweisen auf ELGA-Gesundheitsdaten (§2 Z9 lita) gemäß §20 Abs2 erster Satz in Verbindung mit §13 Abs3 und 4 zu verlangen" (§16 Abs2 Z1 GTelG 2012), oder das Recht, "der Aufnahme von elektronischen Verweisen und ELGA-Gesundheitsdaten einschließlich einzelner Medikationsdaten für einen Behandlungs- oder Betreuungsfall zu widersprechen, sofern dies nicht aufgrund anderer gesetzlicher Dokumentationsverpflichtungen ausgeschlossen ist" (§16 Abs2 Z2 GTelG 2012).
Sofern sich aus diesen Rechten gemäß §15 Abs2 und §16 Abs2 Z2 GTelG 2012 nichts anderes ergibt, haben ELGA-Gesundheitsdiensteanbieter die ELGA-Gesundheitsdaten in geeigneten Datenspeichern gemäß §28 Abs2 Z5 GTelG 2012 (§20 Abs1 GTelG 2012) und, sofern der ELGA-Teilnehmer der Aufnahme von Verweisen nicht widersprochen hat, in Verweisregistern zu speichern (§20 Abs2 GTelG 2012). Die Speicherung hat hiebei in Datenspeichern und Verweisregistern, welche sich im Gebiet der Europäischen Union befinden, dezentral und (ungeachtet anderer gesetzlicher Dokumentationsverpflichtungen) für zehn Jahre zu erfolgen (§20 Abs1, 2 und 3 GTelG 2012). Bereits gespeicherte ELGA-Daten dürfen nicht geändert werden und sind unter bestimmten Umständen – durch eine zusätzliche Version – zu aktualisieren (§20 Abs1 GTelG 2012).
4.2. Entgegen der im Antrag dargelegten Auffassung des Antragstellers wäre es – vor dem Hintergrund der vom Antragsteller erhobenen verfassungsrechtlichen Bedenken – jedenfalls erforderlich gewesen, auch das Widerspruchsrecht gemäß §15 Abs2 GTelG 2012 und die weiteren das Selbstbestimmungsrecht des Betroffenen garantierenden Rechte gemäß §16 leg.cit. mitanzufechten. Die Möglichkeit der Nichtteilnahme an der Elektronischen Gesundheitsakte (bzw einzelner Teile davon) bildet nämlich einen wesentlichen Aspekt bei der Prüfung, ob die Speicherungsermächtigungen bzw -verpflichtungen im Gesundheitstelematikgesetz 2012 den vom Antragsteller behaupteten unzulässigen Eingriff in die verfassungsgesetzlich gewährleisteten Rechte gemäß §1 DSG und Art8 EMRK darstellen. Hiebei ist auch davon auszugehen, dass sich die vom Antragsteller behauptete Verfassungswidrigkeit ohne Aufhebung der die zentralen Grundsätze der Teilnahme an der Elektronischen Gesundheitsakte sowie die Teilnehmerrechte regelnden Bestimmungen des §15 und §16 GTelG 2012 nicht (zur Gänze) beseitigen ließe.
Überdies geht der Verfassungsgerichtshof davon aus, dass jedenfalls auch die Sonderbestimmung zur Speicherung allfälliger Bilddaten (iSd §2 Z9 lita GTelG 2012) gemäß §13 Abs4 GTelG 2012 mitanzufechten gewesen wäre, zumal diese Vorschrift nicht getrennt von den übrigen Speicherungsermächtigungen bzw verpflichtungen in §13 Abs2 und 3 leg.cit. betrachtet werden kann und sich die vom Antragsteller behauptete Verfassungswidrigkeit bei einem Fortbestand des §13 Abs4 GTelG 2012 nicht restlos beseitigen ließe.
4.3. Bei diesem Ergebnis kann dahinstehen, ob noch weitere Bestimmungen des Gesundheitstelematikgesetzes 2012 in einem untrennbaren Zusammenhang zu den als verfassungswidrig erachteten Rechtsvorschriften stehen und damit ebenso mitangefochten werden hätten müssen.
5. Im Übrigen erweist sich der Antrag auch deshalb als unzulässig, weil dem Antragsteller ein zumutbarer anderer Weg zur Verfügung steht, auf dem die verfassungsrechtlichen Bedenken gegen die angefochtenen Bestimmungen an den Verfassungsgerichtshof herangetragen werden können:
Nach der geltenden Fassung des §24 Abs1 DSG (idF BGBl I 120/2017) hat jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung, gegen §1 DSG oder gegen Art2 des 1. Hauptstückes zum Datenschutzgesetz ("Durchführung der Datenschutz-Grundverordnung und ergänzende Regelungen") verstößt. Gegen die von der Datenschutzbehörde erlassenen Bescheide kann in der Folge gemäß §27 Abs1 DSG (idF BGBl I 120/2017) Beschwerde an das Bundesverwaltungsgericht erhoben werden.
Der Antragsteller – der den Antrag ausdrücklich "nur" als Patient und nicht als Arzt stellt – konnte diesen Weg beschreiten, um die Frage der Verfassungskonformität der angefochtenen Bestimmungen des Gesundheitstelematikgesetzes 2012 an den Verfassungsgerichtshof heranzutragen.
In diesem Zusammenhang ist auch darauf hinzuweisen, dass der Hauptverband der Sozialversicherungsträger gemäß §7 Abs5 der ELGA-Verordnung 2015 (BGBl II 106/2015) über Widersprüche, denen nicht entsprochen wird, mit Bescheid zu entscheiden hat. Dem Antragsteller wäre es wohl auch auf diesem Weg möglich, seine Bedenken gegen die Teilnahmeverpflichtung vor dem Verfassungsgerichtshof geltend zu machen.
V. Ergebnis
1. Der Antrag auf Aufhebung des §13 Abs2, 3 und 7, §20 Abs1, 2, 3 erster Satz, 4 und 5, §21 Abs2 und §27 Abs3 erster Satz des Gesundheitstelematikgesetzes 2012 ist daher zurückzuweisen.
2. Diese Entscheidung konnte gemäß §19 Abs4 VfGG ohne mündliche Verhandlung in nichtöffentlicher Sitzung getroffen werden.