FAQ Datenschutz und Datensicherheit

Für Gesundheitsdaten sieht die Datenschutz-Grundverordnung (DSGVO) vor, dass das Recht der Mitgliedsstaaten Regelungen zur Verarbeitung treffen darf, was in Bezug auf ELGA durch das Gesundheitstelematikgesetz 2012 (GTelG 2012) erfolgt. Nur wer ein „berechtigter“ Gesundheitsdiensteanbieter, also ein ELGA-Gesundheitsdiensteanbieter ( ELGA-GDA) ist, darf auf  ELGA-Gesundheitsdaten, also auf z.B. Entlassungsbriefe, Labor- und Röntgenbefunde oder Medikationsdaten, zugreifen. Überdies gilt die ärztliche Schweigepflicht selbstverständlich auch für die ELGA-GDA.

Für den Zugang zu den ELGA-Gesundheitsdaten wird der aktuell verfügbare höchste technische Sicherheitsstandard angewendet. Es ist technisch abgesichert, dass nur ELGA-GDA auf die ELGA-Gesundheitsdaten ihrer Patientinnen/Patienten zugreifen können, wenn ein aufrechtes Behandlungs- oder Betreuungsverhältnis technisch nachgewiesen wird. Dieser Nachweis erfolgt über die e-card-Infrastruktur bzw. über die elektronische Aufnahme. Sämtliche Zugriffe werden mitprotokolliert, um eine lückenlose Nachvollziehbarkeit zu gewährleisten. Die missbräuchliche Verarbeitung von ELGA-Gesundheitsdaten wird mit hohen Strafen sanktioniert.

Die e-Befunde sind bei jenen ELGA-GDA lokal gespeichert, bei denen sie entstanden sind. Für diese Form der dezentralen Datenhaltung ist die Speicherung in einem Hochsicherheitsrechenzentrum des jeweiligen ELGA-GDA oder seines IT-Dienstleisters vorgeschrieben. Die Datenhaltung bei der e-Medikation erfolgt hingegen zentral und technisch verschlüsselt. Für den Abruf der ELGA-Gesundheitsdaten werden höchstmögliche Sicherheitsstandards angewendet. So ist z.B. der Zugriff auf ELGA-Gesundheitsdaten im technischen Bereich nur nach dem Vier-Augen-Prinzip oder mit vergleichbaren technischen Sicherheitsmaßnahmen gestattet. Zudem erfolgt der Datentransport ausschließlich in verschlüsselter Form und in speziell für das Gesundheitswesen etablierten sicheren Gesundheitsnetzen. Zur Gewährleistung von Datenschutz und Datensicherheit bei ELGA arbeiten die Sicherheitsexpertinnen/-experten der beteiligten Organisationen eng zusammen.

Aufrechtes Behandlungs- oder Betreuungsverhältnis als Voraussetzung
Das ELGA-Berechtigungssystem kontrolliert und protokolliert jede Verarbeitung von ELGA. Ein Zugriff für ELGA-GDA auf die ELGA seiner Patientinnen/Patienten ist grundsätzlich nur bei einem aufrechten Behandlungs- bzw. Betreuungsverhältnis möglich, welches technisch nachgewiesen werden muss. Dies geschieht z.B. durch das Stecken der e-card und der Admin-Karte im niedergelassenen Bereich (z.B. Hausärztin/Hausarzt). Wenn ELGA-Teilnehmerinnen/ELGA-Teilnehmer selbst auf ihre eigene ELGA zugreifen wollen, müssen sie sich mit dem technisch derzeit sichersten digitalen Identitätsnachweis, nämlich via Bürgerkarte/Handy-Signatur,am ELGA-Portal (ELGA-Login rechts oben) anmelden.

Verschlüsselter Datentransport und Sicherheitsaudits
Der Datentransport erfolgt bei ELGA ausschließlich verschlüsselt. Sowohl die Kommunikation zwischen den ELGA-GDA als auch im gesamten ELGA-System muss über eigene Gesundheitsnetze (z.B. Healix, eHInet, GIN) erfolgen. Über diese technischen Sicherheitsmaßnahmen hinaus verpflichten sich alle an ELGA beteiligten Organisationen den Leitlinien des ELGA-Informationssicherheits-Managementsystems (ISMS) (siehe ELGA: Bausteine und Komponenten), das sich an internationalen Sicherheitsstandards orientiert (Normserie ISO 27000, BSI Grundschutz). Zielorientierte Sicherheitsleitfäden für verschiedene Zielgruppen gewährleisten angemessene Sicherheitsmaßnahmen bei den unterschiedlichen Betreiberinnen/Betreibern sowie den Nutzerinnen/Nutzern des Systems. Bei den Betreiberinnen/Betreibern von ELGA-Komponenten sind Sicherheitsaudits vorgesehen. Im operativen Betrieb existiert eine Zusammenarbeit mit CERT.at (Computer Emergency Response Team Austria).

Durch Authentifizierung des ELGA-GDA (z.B. wenn sich die Ärztin/der Arzt über die Ordinationskarte „Admin-Karte“ bei ELGA anmeldet oder die Apotheke über die Apothekenkarte „Admin-Karte“) und Nachweis des Behandlungs- oder Betreuungszusammenhanges (z.B. über Stecken der e-card durch die Patientin/den Patienten) prüft das System, ob sie/er an ELGA teilnimmt bzw. der ELGA-GDA für den Zugriff berechtigt ist. Hat die Patientin/der Patient keinen Widerspruch eingebracht („Opt-Out“), sucht das System eine Übersicht aller ELGA-Gesundheitsdaten, die nicht gesperrt wurden, aus den verschiedenen Datenspeichern (Repository) zusammen und zeigt diese gesammelt an. Jede Verwendung von ELGA – sei es von ELGA-Teilnehmerinnen/ELGA-Teilnehmern selbst oder von einem ELGA-GDA – wird dabei mitprotokolliert und somit dauerhaft nachvollziehbar gemacht.

Bei Verdacht auf Datenmissbrauch können sich die ELGA-Teilnehmerinnen/ELGA-Teilnehmer an die ELGA-Ombudsstelle wenden. Dort erhalten sie u.a. Informationen, Beratung und Unterstützung in Angelegenheiten des Datenschutzes rund um ELGA. Bei rechtswidrigem Verhalten, z.B. der missbräuchlichen Verarbeitung von ELGA-Gesundheitsdaten, drohen zudem Strafen zwischen mehreren 10.000 Euro und bis zu einem halben Jahr Freiheitsstrafe.

Standardmäßig haben niedergelassene Ärztinnen/Ärzte 28 Tage ab Nachweis des Behandlungs- oder Betreuungsverhältnisses (z.B. durch Nachweis im e-card-System) Zugriff auf Ihre ELGA-Gesundheitsdaten. Krankenanstalten und Pflegeeinrichtungen haben ab dem Zeitpunkt Ihrer Aufnahme bis 28 Tage nach Ihrer Entlassung Zugriff auf Ihre ELGA. Danach erlischt die Zugriffsberechtigung und wird erst bei erneutem Nachweis des Behandlungs- oder Betreuungsverhältnisses wieder aktiv. Apotheken haben lediglich zwei Stunden ab Identifikation und nur auf die Medikationsdaten Zugriff. 

Der Zeitraum von 28 Tagen ist für die Verarbeitung von ELGA-Gesundheitsdaten zum konkreten Behandlung- oder Betreuungsfall gedacht, z.B. wenn nach einem Krankenhausaufenthalt noch e-Befunde ausständig sind und noch in der ELGA verfügbar gemacht werden müssen. ELGA-Teilnehmerinnen/ELGA-Teilnehmer können aber die genannten Zugriffszeiträume für ELGA-GDA beliebig verkürzen oder mit deren Einverständnis auf bis zu ein Jahr verlängern. Die Zugriffszeiträume von Krankenanstalten können nicht verlängert werden.

E-Befunde werden – wie bisher auch – dort (dezentral) gespeichert, wo sie entstehen (z.B. Krankenhausträger, Ordination, Labor). Medikationsdaten werden in einer Datenbank beim Hauptverband der österreichischen Sozialversicherungsträger zentral und in verschlüsselter Form gespeichert. Die gesetzliche Speicherpflicht von e-Befunden in ELGA liegt bei zehn Jahren, für Medikationsdaten bei einem Jahr.

Die bei einem ELGA-GDA beim Speichern von ELGA-Gesundheitsdaten entstehenden Verknüpfungen (Verweise) mit ihrem Speicherort werden in einem Inhaltsverzeichnis (Verweisregister) eingetragen. Diese Inhaltsverzeichnisse befinden sich in den sogenannten ELGA-Bereichen. Sie zeigen, in welchen Speichersystemen der ELGA-GDA (z.B. Server von Spitälern, Praxen von Ärztinnen/Ärzten oder Labors) ELGA-Gesundheitsdaten zu einer bestimmten Person verfügbar sind. Der Abruf von ELGA-Gesundheitsdaten kann nur bei einem aufrechten Behandlungs- oder Betreuungsverhältnis durch einen berechtigten ELGA-GDA erfolgen. Unter Heranziehung der zentralen ELGA-Komponenten zur Überprüfung der Identität der Patientinnen/Patienten der ELGA-GDA sowie der Berechtigungsregeln werden somit bei einem berechtigten Zugriff auf ELGA die ELGA-Gesundheitsdaten, die verteilt gespeichert sind, patientenbezogen gebündelt und übersichtlich angezeigt.

Nein! ELGA ermöglicht es, vorhandene Befunde auch anderen, berechtigten ELGA-GDA zur Verfügung zu stellen. ELGA vernetzt also nur jene Daten, die bereits jetzt verteilt bei Gesundheitsdiensteanbietern vorhanden sind. Dieser Vernetzung kann jederzeit widersprochen werden, indem Sie sich entweder gänzlich oder von einzelnen ELGA-Anwendungen abmelden. Überdies haben Sie die Möglichkeit, einzelne e-Befunde bzw. die e-Medikationsliste zu sperren oder zu löschen. Die e-Medikationsliste kann nur gänzlich gesperrt oder gelöscht werden; einzelne Medikamente aus der Liste können nicht gesperrt oder gelöscht werden. Darüber hinaus können Sie ELGA-GDA den Zugriff auf Ihre Gesundheitsdaten verwehren. Eine genaue Auflistung, wer wann auf Ihre e-Befunde oder e-Medikationsliste zugegriffen hat, finden Sie in Ihrem ELGA-Protokoll.

Bereits jetzt müssen Befunde (Laboruntersuchungen etc.) erfasst und in den EDV-Systemen der Ersteller (z.B. Krankenanstalt) gespeichert werden – bei Krankenanstalten für 30 Jahre und im niedergelassenen Bereich zehn Jahre.

Nein. Die e-card dient ausschließlich als Identifikationsschlüssel, der im Rahmen einer Behandlung oder Betreuung durch das Stecken der e-card dem entsprechenden ELGA-GDA Zugriff auf ELGA-Gesundheitsdaten der/des konkreten Patientin/Patienten ermöglicht.

Im GTelG 2012 ist klar geregelt, wer auf ELGA-Gesundheitsdaten zugreifen darf: Es sind dies neben den Patientinnen/Patienten ausschließlich nur jene ELGA-GDA, die in einem Betreuungs- oder Behandlungsverhältnis mit der konkreten Patientin/dem konkreten Patienten stehen. Zudem darf die Patientin/der Patient keinen Widerspruch bezüglich seiner/ihrer ELGA-Teilnahme ausgeübt haben.

Grundsätzlich darf niemand auf ELGA-Gesundheitsdaten, der nicht vom Gesetz dazu ermächtigt ist. Im GTelG 2012 ist klar geregelt, wer auf ELGA-Gesundheitsdaten zugreifen darf und unter welchen Bedingungen: Es sind dies neben der Patientin/dem Patienten selbst ausschließlich nur jene ELGA-GDA, die die betreffende Patientin bzw. den betreffenden Patienten tatsächlich behandeln oder betreuen, sofern der Teilnahme an ELGA nicht widersprochen wurde. 

Daneben sind jedoch bestimmte Berufsgruppen ausdrücklich ausgeschlossen:

• Chefärztinnen/Chefärzte der gesetzliche Sozialversicherungen,
• Ärztinnen/Ärzte, die für private Versicherungen Untersuchungen durchführen,
• Behörden sowie Amtsärztinnen/Amtsärzte,
• Schulärztinnen/Schulärzte,
• Betriebsärztinnen/Betriebsärzte,
• Stellungsärztinnen/-ärzte des Bundesheeres sowie
• jene Ärztinnen/Ärzte, die durch die Patientin/den Patienten vom Zugriff ausgeschlossen wurden.

Alle Einstellungen und Berechtigungen, die die Patientin/der Patient zu Lebzeiten in der eigenen ELGA vorgenommen haben, bleiben auch nach dem Tod aufrecht, somit auch allfällige Zugriffsrechte für bevollmächtigte Vertreterinnen/Vertreter sowie für die ELGA-Ombudsstelle. Das heißt, für das behandelnde Krankenhaus bleibt die Zugriffsberechtigung standardmäßig ab dem Datum der „Entlassung“ noch für 28 Tage aufrecht und wird danach automatisch beendet (sofern die Patientin/der Patient diese Frist nicht noch zu Lebzeiten verkürzt hat). Bei stationären Aufenthalten ist beim Tod einer Patientin/eines Patienten hinsichtlich ELGA ein „Entlassungskontakt“ einzumelden. Im niedergelassenen Bereich kann für behandelnde oder betreuende ELGA-GDA („Vertrauensärztin/Vertrauensarzt“ oder „Vertrauensapotheke“) die Zugriffsberechtigung durch die Patientin/den Patienten zu Lebzeiten bis zu einem Jahr verlängert worden sein und erlischt danach automatisch.

Angehörige oder allfällige Erbinnen/Erben dürfen nicht auf die ELGA der/des Verstorbenen zugreifen, außer sie wurden vorab von der Patientin/dem Patienten für den Zugriff auf ihre/seine ELGA bevollmächtigt. Falls nahe Angehörige oder allfällige Erbinnen/Erben nach dem Tod einer Patientin/eines Patienten an den ELGA-GDA mit dem Ersuchen um Auskunft herantreten, wird der ELGA-GDA nach Abwägung der Interessen der Erbinnen/Erben bzw. nahen Angehörigen sowie der/des Verstorbenen im Einzelfall entscheiden, ob eine Herausgabe der ELGA-Gesundheitsdaten erfolgt oder nicht. Hier ändert sich durch ELGA nichts gegenüber dem bisherigen Umgang von ELGA-GDA mit der Dokumentation der Patientinnen/Patienten nach einem Todesfall. Als Entscheidungshilfe dienen die berechtigten Interessen der Erbinnen/Erben bzw. nahen Angehörigen einerseits sowie die Ehre der/des Verstorbenen bzw. Rechte Dritter.

Die zuständige Standesbehörde informiert in der Regel die Sozialversicherung über das Todesdatum. Dort wird dann einerseits die e-card der/des Verstorbenen gesperrt und andererseits das Sterbedatum im ELGA-Personenverzeichnis, dem Zentralen Patientenindex (Z-PI) eingetragen. Damit beginnt auch die Frist von zehn Jahren, nach deren Ablauf die im Z-Pi eingetragenen Patientendaten gelöscht werden.