Pärchen bedient Laptop mit ELGA-Logo

Wie wird der Datenschutz bei ELGA gewährleistet?

Auch für ELGA gilt das Datenschutzgesetz (DSG 2000). Dieses gestattet unter bestimmten Bedingungen die Verwendung von (elektronischen) Gesundheitsdaten „zum Zweck der Gesundheitsvorsorge oder Gesundheitsbehandlung, der medizinischen Diagnostik und für die Verwaltung von Gesundheitsdiensten“.

Das ELGA-Gesetz als spezielle Gesetzesmaterie präzisiert die Bestimmungen des DSG 2000 für die Verwendung von elektronischen Gesundheitsdaten. So sind „ELGA-Gesundheitsdaten“ und „ELGA-Gesundheitsdiensteanbieter“ eindeutig im ELGA-Gesetz definiert. Nur wer ein „berechtigter“ Gesundheitsdiensteanbieter, also ein ELGA-Gesundheitsdiensteanbieter ist, darf auf ELGA-Gesundheitsdaten, also auf z.B. Entlassungsbriefe, Labor- und Röntgenbefunde oder Medikationsdaten, zugreifen. Eine Auflistung der ELGA-Gesundheitsdiensteanbieter finden Sie hier.

Überdies gilt die ärztliche Schweigepflicht selbstverständlich auch für die ELGA-GDA.

Wie ist die technische Sicherheit von ELGA gewährleistet?

Die e-Befunde entstehen bei den ELGA-Gesundheitsdiensteanbietern und werden in deren Verantwortungsbereich entweder in eigenen Hochsicherheitsrechenzentren oder in jenen ihrer Dienstleister gespeichert. Die Datenhaltung bei der e-Medikation erfolgt verschlüsselt. Der Zugriff auf Daten im technischen Bereich ist nur im 4-Augen-Prinzip oder mit vergleichbaren technischen Sicherheitsmaßnahmen gestattet. Zur Gewährleistung von Datenschutz und Datensicherheit bei ELGA müssen die Sicherheitsexpertinnen und –experten der beteiligten Organisationen eng zusammenarbeiten.

Aufrechtes Behandlungsverhältnis ist Voraussetzung
Das ELGA-Berechtigungssystem kontrolliert und protokolliert alle ELGA-Transaktionen. Ein Zugriff für Gesundheitsdiensteanbieter ist grundsätzlich nur bei einem aufrechten Behandlungs- bzw. Betreuungsverhältnis möglich, welches technisch nachgewiesen werden muss, z.B. durch das Stecken der e-card im niedergelassenen Bereich. Wenn Bürgerinnen und Bürger selbst auf ihre eigene ELGA zugreifen wollen, müssen sie sich mit dem technisch derzeit sichersten Identitätsnachweis im Internet, nämlich via Handysignatur bzw. Bürgerkarte am ELGA-Portal anmelden.

Verschlüsselter Datentransport und Sicherheits-Audits
Der Datentransport erfolgt bei ELGA ausschließlich verschlüsselt. Die Kommunikation zwischen den ELGA-Gesundheitsdiensteanbietern und im gesamten ELGA-System muss über eigene Gesundheitsnetze (Healix, eHInet, GIN, Corporate Networks) erfolgen.

Über diese technischen Sicherheitsmaßnahmen hinaus verpflichten sich alle an ELGA beteiligten Organisationen den Leitlinien des ELGA-Informationssicherheits-Managementsystems (ISMS), das sich an internationalen Sicherheitsstandards orientiert (Normserie ISO 27000, BSI Grundschutz). Zielorientierte Sicherheitsleitfäden für verschiedene Zielgruppen gewährleisten angemessene Sicherheitsmaßnahmen bei den unterschiedlichen Betreibern sowie den Nutzerinnen und Nutzern des Systems. Bei den Betreibern von ELGA-Komponenten sind Sicherheits-Audits vorgesehen. Im operativen Betrieb existiert eine Zusammenarbeit mit CERT.at (Computer Emergency Response Team Austria). Es gelten das Datenschutzgesetz und die gesetzlichen Ergänzungen im ELGA-Gesetz.

Wodurch ist sichergestellt, dass nur derjenige auf meine Gesundheitsdaten zugreift, der auch tatsächlich dazu berechtigt ist?

Durch Authentifizierung der Ärztin oder des Arztes (z.B., wenn sich die Ärztin oder der Arzt über die Ordinationskarte "Admin-Karte" bei ELGA anmeldet) und Nachweis des Behandlungs- oder Betreuungszusammenhanges (z.B. über Stecken der e-card durch die Patientin oder den Patienten) prüft das System, ob die Bürgerin oder der Bürger an ELGA teilnimmt bzw. die Ärztin oder der Arzt für den Zugriff berechtigt ist. Hat die Patientin oder der Patient keinen Widerspruch eingelegt (Opt-Out), sucht das System eine Übersicht aller Daten, die nicht gesperrt wurden, aus den verschiedenen Datenspeichern zusammen und zeigt diese an. Der ELGA-Gesundheitsdiensteanbieter hat dabei die Möglichkeit, die Übersicht über Filterkriterien einzuschränken (z.B. nur Laborbefunde, nur Medikationsübersicht, nur Befunde seit dem letzten Besuch dieses Patienten). Durch Anklicken eines Listeneintrages wird dieser dann angezeigt.

Jede Aktion – sei es von ELGA-Teilnehmerinnen und Teilnehmern selbst oder von einem ELGA-GDA – wird dabei mitprotokolliert.

Taste mit einem Schloss-Symbol für Datenschutz bzw Sicherheit.
Junge Ärztin betreut männlichen Patienten

Welche rechtlichen Schritte können ELGA-Teilnehmer im Fall von Datenmissbrauch unternehmen?

Bei Verdacht auf Datenmissbrauch können sich die Bürgerinnen und Bürger an die ELGA-Ombudsstelle wenden. Dort erhalten sie u.a. Information, Beratung und Unterstützung in Angelegenheiten des Datenschutzes rund um ELGA. Strafen in der Höhe von mehreren 10.000 Euro sind u.a. für nicht befugte Zugriffe bzw. bis zu einem halben Jahr Haft bei vorsätzlichem widerrechtlichen Verlangen von Gesundheitsdaten vorgesehen.

Wie lange haben Berechtigte Zugriff auf meine Daten – warum länger als mein Besuch dauert?

Laptop mit Befunden

Standardmäßig haben niedergelassene Ärztinnen und Ärzte 28 Tage ab Nachweis des Behandlungs- oder Betreuungsverhältnisses (Stecken der e-card und der Admin-Karte in der Ordination) Zugriff auf Ihre ELGA-Gesundheitsdaten. Krankenanstalten und Pflegeeinrichtungen haben ab dem Zeitpunkt Ihrer Aufnahme in das Spital oder in die Pflegeeinrichtung bis 28 Tage nach Ihrer Entlassung Zugriff auf Ihre ELGA. Danach erlischt die Zugriffsberechtigung und wird erst bei erneutem Nachweis des Behandlungs- oder Betreuungsverhältnisses wieder aktiv.

Der Zeitraum von 28 Tagen ist für den Abruf weiterer Informationen zum konkreten Behandlung- oder Betreuungsfall gedacht, z.B., wenn nach einem Krankenhausaufenthalt noch Befunde ausständig sind. Apotheken werden nur zwei Stunden auf die Medikationsdaten Zugriff haben. ELGA-Teilnehmerinnen und Teilnehmer können aber die genannten Zugriffsfristen für ELGA-Gesundheitsdiensteanbieter beliebig verkürzen oder mit deren Einverständnis auf bis zu ein Jahr verlängern. Die Zugriffsdauer von Krankenanstalten kann nicht verlängert werden.

Wo werden die ELGA-Gesundheitsdaten gespeichert?

ELGA-Gesundheitsdaten wie Entlassungsbriefe oder Befunde werden – wie bisher auch – dort gespeichert, wo sie entstehen (z. B. Spital, Ordination, Labor). Medikationsdaten werden in einer Datenbank beim Hauptverband der österreichischen Sozialversicherungsträger zentral und in verschlüsselter Form gespeichert.

Die gesetzliche Aufbewahrungspflicht von Befunden liegt im stationären Bereich bei 30 und im niedergelassenen Bereich bei 10 Jahren.

Wie funktioniert der Zugriff auf ELGA-Gesundheitsdaten?

Die bei einem ELGA-Gesundheitsdiensteanbieter (ELGA-GDA) beim Speichern von Gesundheitsdaten entstehenden Verknüpfungen (Verweise) mit ihrem Speicherort werden in einem Inhaltsverzeichnis (Verweisregister) eingetragen. Diese Inhaltsverzeichnisse befinden sich in den sogenannten ELGA-Bereichen. Sie zeigen, in welchen Speichersystemen der ELGA-GDA (z.B. Server von Spitälern, Arztpraxen oder Labors) ELGA-Gesundheitsinformationen zu einer bestimmten Person verfügbar sind. Der Abruf von ELGA-Gesundheitsdaten kann nur bei einem aufrechten Behandlungs- oder Betreuungsverhältnis durch einen berechtigten ELGA-GDA erfolgen. Unter Heranziehung der zentralen ELGA-Komponenten zur Überprüfung der Identität der Patientinnen und Patienten der ELGA-GDA sowie der Berechtigungsregeln werden somit bei einem berechtigten Zugriff auf ELGA die ELGA-Gesundheitsdaten, die verteilt bei verschiedenen ELGA-GDA gespeichert wurden, patientenbezogen gebündelt und übersichtlich für den Nutzer auf seinem Bildschirm angezeigt.

Werden Daten ohne mein Wissen für ELGA zur Verfügung gestellt?

Nein. Bereits jetzt müssen Befunde (Laboruntersuchungen, etc.) erfasst und in den EDV-Systemen der Ersteller (z.B. Spital) gespeichert werden – im Spitalsbereich 30 und im niedergelassenen Bereich 10 Jahre.

ELGA ermöglicht es, vorhandene Befunde auch anderen, berechtigten Gesundheitseinrichtungen zur Verfügung zu stellen. ELGA vernetzt also nur jene Daten, die bereits jetzt verteilt bei Gesundheitsdiensteanbietern vorhanden sind. Dieser Vernetzung kann jederzeit widersprochen werden, indem Sie sich entweder komplett oder von einzelnen ELGA-Funktionen abmelden. Überdies haben Sie die Möglichkeit, einzelne e-Befunde bzw. die Medikationsliste zu sperren/entsperren oder unwiderruflich zu löschen. Darüber hinaus können Sie ELGA-Gesundheitsdiensteanbietern den Zugriff auf Ihre Gesundheitsdaten verwehren. Eine genaue Auflistung, wer wann auf Ihre e-Befunde oder e-Mediaktionsliste zugegriffen hat, finden Sie in Ihrem ELGA-Protokoll.

Werden ELGA-Daten auf meine e-card gespeichert?

Nein. Die e-card dient ausschließlich als „Schlüssel“, damit die Ärztin bzw. der Arzt auf die Gesundheitsdaten ihrer behandelnden Patientinnen zugreifen können. Dafür müssen sowohl die e-card der Patientin bzw. des Patienten als auch die Admin-Karte der Ordination gesteckt sein.

Wer wird aller Zugriff auf meine Daten haben?

Im ELGA-Gesetz ist klar geregelt, wer auf ELGA-Gesundheitsdaten zugreifen darf: Es sind dies neben der Patientin bzw. dem Patienten selbst ausschließlich nur jene Ärztinnen und Ärzte bzw. ELGA-Gesundheitsdiensteanbieter, die tatsächlich gerade die betreffende Patientin bzw. den betreffenden Patienten behandeln oder betreuen. Zudem dürfen keine Widersprüche bezüglich der ELGA-Teilnahme deponiert worden sein.

Wer darf nicht auf ELGA-Gesundheitsdaten zugreifen?

  • Chefärztinnen und -ärzte der staatlichen Sozialversicherungen
  • Ärztinnen und Ärzte, die für private Versicherungen Untersuchungen durchführen
  • Behörden sowie Amtsärztinnen und Amtsärzte
  • Schulärztinnen und Schulärzte
  • Betriebsärztinnen und Betriebsärzte
  • Stellungsärztinnen und -ärzte des Bundesheeres
  • Jene Ärztinnen und Ärzte, die durch den Patienten vom Zugriff ausgeschlossen wurden

Was passiert nach dem Tod einer Patientin / eines Patienten mit ihrer / seiner ELGA?

Alle Einstellungen und Berechtigungen, die die Patientin bzw. der Patient zu Lebzeiten in der eigenen ELGA vorgenommen hat, bleiben auch nach dem Tod aufrecht, somit auch allfällige Zugriffsrechte für bevollmächtigte Vertreterinnen und Vertreter, sowie für die ELGA-Ombudsstelle. Die zuständige Standesbehörde informiert in der Regel die Sozialversicherung über das Todesdatum. Dort wird dann einerseits die e-card der bzw. des Verstorbenen gesperrt, und andererseits das Sterbedatum im ELGA-Personenverzeichnis, dem Zentralen Patientenindex (Z-PI) eingetragen. Damit beginnt auch die Frist von 10 Jahren, nach deren Ablauf die im Z-Pi eingetragenen Patientendaten zu löschen sind.  

Angehörige oder allfällige Erben dürfen nicht auf die ELGA der bzw. des Verstorbenen zugreifen, außer, sie wurden vorab von der Patientin bzw. dem Patienten für den Zugriff auf ihre bzw. seine ELGA bevollmächtigt. Falls nahe Angehörige oder allfällige Erben nach dem Tod eines Patienten an den Gesundheitsdienstanbieter (GDA), z.B. dem Spital, mit dem Ersuchen um Auskunft herantreten, wird dieses nach Abwägung der Interessen der Erben bzw. nahen Angehörigen sowie des Verstorben im Einzelfall entscheiden, ob eine Herausgabe der Daten erfolgen soll oder nicht. Hier ändert sich durch ELGA nichts gegenüber der bisherigen Gebarung der Krankenanstalten im Umgang mit der Patientendokumentation nach einem Todesfall. Als Entscheidungshilfe wird auf die berechtigten Interessen der Erben/nahen Angehörigen einerseits sowie die Ehre des Verstorbenen bzw. Rechte Dritter andererseits verwiesen.