4. UNTERABSCHNITT
Elektronisches Verwaltungssystem und Elektronische Gesundheitsakte
Grundlagen des Elektronischen Verwaltungssystems (ELSY)
§ 31a. (1) Der Hauptverband hat für den gesamten Vollzugsbereich der Sozialversicherung ein elektronisches Verwaltungssystem (im folgenden ELSY genannt) flächendeckend einzuführen und dessen Betrieb sicherzustellen. Das ELSY hat die Verwaltungsabläufe zwischen Versicherten, Dienstgebern, Vertragspartnern und diesen gleichgestellten Personen sowie Sozialversicherungsträgern zu unterstützen und ist so zu gestalten, daß die von den Sozialversicherungsträgern zu vollziehenden Gesetze weitgehend ohne papierschriftliche Unterlagen vollzogen werden können. Seine Bestandteile (Chipkarten, autorisierte Lesegeräte, Programme) sind verbindlich im Rahmen der jeweils vorgesehenen Aufgaben zu verwenden.
(2) Das ELSY hat Datenschutz und Datensicherheit zu gewährleisten. Die innerhalb des ELSY zu verwendenden Chipkarten sind bundesweit einheitlich und als Schlüsselkarten zu gestalten, die auch die Authentifizierung des Karteninhabers (der Karteninhaberin) im elektronischen Verkehr ermöglichen und dem (der) berechtigten Verwender(in) nach Einwilligung der betroffenen Person den Zugriff auf personenbezogene Daten, die bei anderen Stellen gespeichert sind, möglich machen. Die Schlüsselfunktion innerhalb des ELSY darf auch mit Hilfe der Funktion der Bürgerkarte (§ 2 Z 10 des E-Government-Gesetzes) ausgeführt werden. In diesem Fall wird eine allfällige Verwendungs- oder Vorlagepflicht der innerhalb des ELSY zu verwendenden Chipkarten hinsichtlich dieser Funktion durch die Verwendung der Bürgerkarte erfüllt. Wird die Bürgerkarte auf einer innerhalb des ELSY zu verwendenden Chipkarte aufgebracht, so dürfen die für die Bürgerkartenfunktion notwendigen Daten, insbesondere die Stammzahl des Karteninhabers (der Karteninhaberin), auf dieser Karte gespeichert werden. Die Anwendung einer innerhalb des ELSY zu verwendenden Chipkarte für die Bürgerkartenfunktion ist ein mit dem ELSY vereinbarer Zweck im Sinne des Abs. 4.
(3) Auf den innerhalb des ELSY zu verwendenden Chipkarten dürfen nur folgende Daten gespeichert werden:
| | | | | | | | | | |
1. | Angaben zur Person, für die die Chipkarte ausgestellt wurde: |
a) | Namen, Geburtsdatum, Geschlecht; |
b) | Versicherungsnummer (§ 31 Abs. 4 Z 1); |
2. | Bezeichnung des Chipkartenausstellers, Datum der Ausstellung und Chipkartennummer samt Gültigkeitskennzeichnung; |
3. | sonstige Daten, deren Speicherung bundesgesetzlich vorgesehen ist. |
Es ist Vorsorge zu treffen, dass der Zugang zu elektronisch gespeicherten personenbezogenen Daten mittels der innerhalb des ELSY zu verwendenden Chipkarten bis spätestens 31. Dezember 2010 durch PIN oder biometrische Merkmale abgesichert wird.
(4) Bestandteile des ELSY dürfen für andere als Sozialversicherungszwecke nur mit bundesgesetzlicher Ermächtigung und nur so weit verarbeitet werden, als dies mit dem Zweck des ELSY nicht unvereinbar (Art. 5 Abs. 1 lit. b DSGVO) ist. Zu Fragen der Unvereinbarkeit neuer Verarbeitungszwecke sowie zu Fragen der Speicherung von personenbezogenen Daten auf den innerhalb des ELSY zu verwendenden Chipkarten ist der Datenschutzrat unter Setzung einer angemessenen Frist anzuhören. Bestandteile des ELSY dürfen jedenfalls für folgende andere als Sozialversicherungszwecke verarbeitet werden:
| | | | | | | | | | |
1. | Prüfung von Ansprüchen gegen Krankenfürsorgeeinrichtungen nach
§ 2 Abs. 1 Z 2 B-KUVG; |
2. | Prüfung von Ansprüchen gegen Sozialhilfeträger nach landesgesetzlichen Vorschriften; |
3. | Auslesen der auf der e-card nach
§ 31a Abs. 3 Z 1 lit. a gespeicherten Daten; |
4. | Dokumentation eines Anspruches auf eine Pension aus einer gesetzlichen Pensionsversicherung oder einen Ruhe- und Versorgungsgenuss; |
5. | technische Unterstützung von Sicherheitsmaßnahmen (zB durch kryptografische Schlüssel) im Zusammenhang mit der Verarbeitung von Gesundheitsdaten im Sinne des Art. 4 Z 15 DSGVO. |
| | | | | | | | | | |
Der durch die Verarbeitung von Bestandteilen des ELSY für diese Zwecke entstehende Aufwand ist dem Hauptverband jeweils nach Maßgabe einer vertraglichen Regelung zu vergüten. |
(4a) Die Verarbeitung von Bestandteilen des ELSY durch Speichern und Auslesen von personenbezogenen Daten der e-card zu Zwecken nach Abs. 4 Z 3 und 4 darf jeweils nur auf ausdrückliches Verlangen des Karteninhabers/der Karteninhaberin erfolgen. Es ist verboten, einen Anspruch des Karteninhabers/der Karteninhaberin von der Verarbeitung von Bestandteilen des ELSY zu Zwecken nach Abs. 4 Z 3 und 4 abhängig zu machen oder inhaltlich zu beeinflussen; Abs. 6 zweiter Satz ist anzuwenden.
(5) Für Zwecke der medizinischen Versorgung des Karteninhabers (der Karteninhaberin) können auf ausdrückliches Verlangen des (der) Betroffenen jene medizinischen Daten auf den innerhalb des ELSY zu verwendenden Chipkarten gespeichert werden, die für den (die) Betroffene(n) im medizinischen Notfall von entscheidender Bedeutung sind (Notfallsdaten). Zur Eintragung, Änderung und Löschung von Notfallsdaten auf den Chipkarten sind nur entsprechend geschulte Personen auf der Grundlage gesicherter medizinischer Daten berechtigt; das Auslesen der auf den Chipkarten gespeicherten Notfallsdaten ist nur unter denselben Sicherheitsbedingungen möglich, die für ELSY-Anwendungen vorgesehen sind. Das Nähere ist durch Verordnung des Bundesministers für soziale Sicherheit und Generationen zu regeln.
(6) Das Erheben, Verlangen, Annehmen oder sonstige Verwerten von den auf den Chipkarten gespeicherten Notfallsdaten für andere Zwecke als jene der medizinischen Versorgung des Karteninhabers (der Karteninhaberin) ist verboten. Wer gegen dieses Verbot verstößt, begeht – sofern die Tat weder den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet noch nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist – eine Verwaltungsübertretung und ist von der Bezirksverwaltungsbehörde mit Geldstrafe bis zu 18 890 € zu bestrafen.
(7) Der Hauptverband hat nach Maßgabe der technischen Möglichkeiten den Krankenanstalten für deren Leistungserbringung und -verrechnung auf automationsunterstütztem Weg über das elektronische Verwaltungssystem (§ 31a) durch Verwendung der e-card Auskünfte zur Feststellung von Ansprüchen der Versicherten aus der Krankenversicherung zu erteilen. Die Krankenversicherungsträger haben die für diese Auskunftserteilung notwendigen Daten (Sozialversicherungsnummer, Vorname, Familienname, Titel, Geburtsdatum, Geschlecht, leistungszuständiger Sozialversicherungsträger, Versicherungsart, Geld- oder Sachleistungsberechtigung, Versichertenkategorie, Gebührenbefreiung) bereit zu stellen. Für Fälle, in denen in der Krankenanstalt keine e-card vorgelegt wird, ist ebenfalls eine gesicherte online-Prüfungsmöglichkeit von Versicherungsansprüchen mittels der Sozialversicherungsnummer, der Europäischen Krankenversicherungskarte oder eines gleichwertigen Anspruchsnachweises vorzusehen.
(8) Ab 1. Jänner 2020 ist auf allen ab diesem Zeitpunkt an Personen, die das 14. Lebensjahr vollendet haben, neu ausgegebenen oder ausgetauschten e-cards ein Lichtbild dauerhaft anzubringen, das den Karteninhaber/die Karteninhaberin erkennbar zeigt. Bis 31. Dezember 2023 sind alle e-cards, auf denen noch kein Lichtbild angebracht ist, auszutauschen. Zu diesem Zweck ist der Hauptverband ermächtigt, personenbezogene Daten wie Lichtbilder in der Reihenfolge
| | | | | | | | | | |
1. | aus den Beständen der Passbehörden (§§ 22a ff. Passgesetz 1992, BGBl. Nr. 839/1992), |
2. | aus den Beständen der mit der Registrierung des Elektronischen Identitätsnachweises – E-ID betrauten Behörden (§§ 4a und 4b E-Government-Gesetz – E-GovG, BGBl. I Nr. 10/2004), |
3. | aus den Beständen des Führerscheinregisters (§§ 16 ff. und 35 Führerscheingesetz – FSG, BGBl. I Nr. 120/1997) |
automationsunterstützt im Rahmen einer Online-Abfrage unter Verwendung des bereichsspezifischen Personenkennzeichens (bPK) nach § 9 E-GovG zu verarbeiten. Für die Verarbeitung der Bilddaten ist der Hauptverband Verantwortlicher nach Art. 4 Z 7 DSGVO. |
(9) Sofern in den Beständen nach Abs. 8 Z 1 bis 3 kein Lichtbild vorhanden ist, ist der Karteninhaber/die Karteninhaberin ab Vollendung des 14. Lebensjahres verpflichtet, das Lichtbild wahlweise im Rahmen eines der für die Bestände nach Z 1 bis 3 vorgesehenen behördlichen Verfahren beizubringen. Näheres, insbesondere Regeln für Bewilligungspflichten für die Leistungsinanspruchnahme bei einem/einer Vertragspartner/in im Falle einer Neuanmeldung zur Sozialversicherung, bei Ersatzausstellung einer e-card und bei systembedingtem Kartentausch wird durch die Krankenordnung geregelt. Der Hauptverband hat hiefür für alle Krankenversicherungsträger nach diesem oder einem anderen Bundesgesetz verbindliche Vorgaben im Wege der Musterkrankenordnung (§ 456 Abs. 2) zu erlassen.
(10) Nähere Bestimmungen über die Verwaltungsabläufe und die Kostentragung sowie Ausnahmen bezüglich der Pflicht ein Lichtbild beizubringen, wenn und solange dies aus besonders schwerwiegenden insbesondere gesundheitlichen Gründen im Einzelfall nicht zumutbar ist, werden durch Verordnung der Bundesregierung festgelegt. Die für die Umsetzung der Abs. 8 und 9 bis 31. Dezember 2023 erforderlichen Mittel sind dem Hauptverband vom Bundesminister für Finanzen aus dem allgemeinen Bundeshaushalt zusätzlich zur Verfügung zu stellen, wobei der Kostenersatz mit einem Betrag in Höhe von 5,6 Mio. € begrenzt ist.