Schon seit mehr als 10 Jahren gibt es besondere Regelungen zum Schutz von Gesundheitsdaten und genetischen Daten im
GesundheitstelematikG. Die Datenübermittlung erhielt seit 1.1.2025 eine "Neuregelung", die jedoch mE lange angekündigt war, sodass die Aufregung für mich nicht ganz nachvollziehbar
ist.
Gesundheitsdaten (und genetische Daten) sind besondere Daten iSd DSGVO und daher auch besonders
schützenswert. Eine (ungesicherte) Übermittlung der Daten birgt daher besondere Risken für die betroffenen Personen. Diese Risken sollen durch die in
§ 6 GTelG (Link mit den Fassungen seit 2005 (1) normierte "Vertraulichkeit" sichergestellt werden.
Die aktuellen Änderungen im GTelG wurde aus mehreren Gründen eingeführt:
1. Datenschutz und DSGVO-Konformität: Die Faxübertragung entspricht nicht mehr den Vorgaben der Datenschutz-Grundverordnung
(DSGVO), da keine Ende-zu-Ende-Verschlüsselung gewährleistet ist.
2. Technologische Veränderungen: Aufgrund von Änderungen in den Telefonnetzen werden Faxdaten nun paketweise über Internet-basierte
Netze transportiert, was die Sicherheit beeinträchtigt.
3. Sicherheitsrisiken: Es besteht die Gefahr, dass Gesundheitsdaten an falsche Nummern gesendet werden oder durch technische
Probleme an Dritte gelangen können.
4. Fehlende Empfangsbestätigung: Bei der Faxübertragung gibt es keine zuverlässige Bestätigung, ob die Daten beim richtigen
Empfänger angekommen sind.
5. Modernisierung des Gesundheitswesens: Die Gesetzesänderung zielt darauf ab, sicherere und effizientere Kommunikationsmethoden im
Gesundheitssektor zu etablieren.
Ärzte, Apotheken und andere Gesundheitsdienstleister sind nun verpflichtet, auf sichere Alternativen wie verschlüsselte
E-Mail-Kommunikation oder spezielle Gesundheitsportale umzusteigen, um die Vertraulichkeit und den Schutz von Patientendaten zu gewährleisten.
§ 6. GTelG (Vertraulichkeit)
(1) Die Vertraulichkeit bei der elektronischen Übermittlung von Gesundheitsdaten und
genetischen Daten ist dadurch sicherzustellen, dass entweder
1. die elektronische Übermittlung von Gesundheitsdaten und genetischen Daten über Netzwerke
durchgeführt wird, die entsprechend dem Stand der Technik in der Netzwerksicherheit gegenüber unbefugten Zugriffen abgesichert sind, indem sie zumindest
a) die Absicherung der Übermittlung von Daten durch kryptographische oder bauliche Maßnahmen,
b) den Netzzugang ausschließlich für eine geschlossene oder abgrenzbare Benutzer/innen/gruppe
sowie
c) die Authentifizierung der Benutzer/innenvorsehen, oder
2. Protokolle und Verfahren verwendet werden, die entsprechend dem Stand der Technik die vollständige
Verschlüsselung der Gesundheitsdaten und genetischen Daten bewirken.
(2) Bei der elektronischen Übermittlung von Gesundheitsdaten
und genetischen Daten gemäß Abs. 1 Z 2 dürfen die allenfalls von der Verschlüsselung ausgenommenen Informationen weder Hinweise auf die betroffenen Personen (Art. 4
Z 1 DSGVO), deren Gesundheitsdaten oder genetische Daten übermittelt werden, noch auf allfällige Authentifizierungsdaten enthalten.
(3) Es ist
sicherzustellen, dass die Speicherung von Gesundheitsdaten und genetischen Daten in Datenspeichern, die einem Verantwortlichen (Art. 4 Z 7 DSGVO) bedarfsorientiert von einem
Auftragsverarbeiter (Art. 4 Z 8 DSGVO) bereitgestellt werden („Cloud Computing“), nur dann erfolgt, wenn die Gesundheitsdaten und genetischen Daten mit einem dem aktuellen Stand
der Technik entsprechenden Verfahren (Abs. 1 Z 2) verschlüsselt worden sind.
Bis 31.12.2024 (Außerktrafttretensdatum, BGBl Nr. I 105/2024, ausgegeben am 19.7.2024) lautete
eine Übergangsbestimmung in § 27 (12) GTelG - zur sicheren Übermittlung von Gesundheitsdaten und genetischen Daten - wie folgt, und ermöglichte daher die Übermittlung per
Telefax:
(12) Die Übermittlung von Gesundheitsdaten
und genetischen Daten darf unter den Voraussetzungen des Abs. 10 Z 1 bis 3 (wobei mE der Bezug nicht korrekt war) ausnahmsweise auch per Fax
erfolgen, wenn
1. die Faxanschlüsse (einschließlich Ausdruckmöglichkeiten zu Faxanschlüssen, die in
EDV-Anlagen installiert sind) vor unbefugtem Zugang und Gebrauch geschützt sind,
2. die Rufnummern, insbesondere die verspeicherten Rufnummern, regelmäßig, insbesondere nach
Veränderungen der technischen Einrichtung sowie nach der Neuinstallation von Faxgeräten nachweislich auf ihre Aktualität geprüft werden,
3. automatische Weiterleitungen, außer an die jeweiligen Gesundheitsdiensteanbieter selbst,
deaktiviert sind,
4. die vom Gerät unterstützten Sicherheitsmechanismen genützt werden und
5. allenfalls verfügbare Fernwartungsfunktionen nur für die vereinbarte Dauer
der
Fernwartung aktiviert sind.
Rechtslage seit 1.1.2025
Diese Übergangsregelung wurde beseitigt; jedoch mE nicht ersatzlos, sondern durch § 27 Abs 20 GTelG mit Inkrafttreten 1. Jänner 2025
ersetzt!
Von 1. Jänner 2025 bis 30. Juni 2026 darf die Sicherstellung der
Vertraulichkeit von § 6 Abs. 1 Z 1 GTelG (siehe oben) abweichend erfolgen, wenn
a) die Voraussetzungen gemäß Z 1 erfüllt sind und
b) die Übermittlung der Gesundheitsdaten und genetischen Daten bis 31. Dezember 2024 in der
Regel per Fax erfolgte.
Kommentar schreiben