Testzertifikat

§ 4c.

(1) Das Testzertifikat hat folgende Daten zu enthalten:

1. 1. Nachname(n) und Vorname(n) der getesteten Person, in dieser Reihenfolge,
2. 2. Geburtsdatum der getesteten Person,
3. 3. Zielkrankheit oder -erreger, auf die oder den die Person getestet wurde, ausschließlich lautend auf „COVID19“ (umfasst auch „SARSCoV2“ oder dessen Varianten),
4. 4. Art des Tests,
5. 5. Bezeichnung des Tests (optional bei NAATTests),
6. 6. Bezeichnung des Herstellers des Tests (optional bei NAATTests),
7. 7. Datum und Uhrzeit der Probenahme,
8. 8. Testergebnis,
9. 9. Bezeichnung des Testzentrums oder der testenden Einrichtung (optional bei RATTests),
10. 10. Bezeichnung des Staates, in dem der Test durchgeführt wurde,
11. 11. Bezeichnung des Ausstellers des Testzertifikats,
12. 12. eindeutige Kennung des Testzertifikats.

(2) Die Daten gemäß Abs. 1 Z 1 bis 9 sowie – falls verfügbar – die Sozialversicherungsnummer der getesteten Person sind von den Einrichtungen, die SARS‑CoV‑2-Tests im Sinne des § 4b Abs. 2 auswerten, das sind insbesondere Teststellen und Labore, unter Einhaltung des § 6 GTelG 2012 elektronisch in standardisierter Form an den für das Gesundheitswesen zuständigen Bundesminister zu übermitteln. Dabei sind die in § 4 Abs. 12 bis 14 vorgesehenen Datensicherheitsmaßnahmen zu ergreifen. Der für das Gesundheitswesen zuständige Bundesminister ermittelt aus den übermittelten Daten im Wege der Abfrage des Patientenindex (§ 4 in Verbindung mit § 18 GTelG 2012) oder – im Falle des Fehlens der Sozialversicherungsnummer – im Wege der Stammzahlenregisterbehörde das bereichsspezifische Personenkennzeichen Gesundheit (bPK‑GH) und erstellt das Testzertifikat. Das Testzertifikat in den gemäß § 4b Abs. 5 festgelegten Formaten sowie das bPK‑GH sind im EPI‑Service zu speichern. Teststellen dürfen das Testzertifikat für die getestete Person ausdrucken; zu diesem Zweck darf ihnen das Testzertifikat vom für das Gesundheitswesen zuständigen Bundesminister übermittelt werden. Die Teststellen sind berechtigt, das Testzertifikat zu diesem Zweck in personenbezogener Form zu verarbeiten.

(3) Im Anwendungsbereich des § 4c sind der für das Gesundheitswesen zuständige Bundesminister und die übermittelnden Einrichtungen gemeinsam Verantwortliche im Sinne des Art. 4 Z 7 in Verbindung mit Art. 26 DSGVO:

1. 1. Der für das Gesundheitswesen zuständige Bundesminister ist verantwortlich für die Einrichtung und den Betrieb des EPI-Service (§ 4b Abs. 3) und für die Ausstellung und Bereitstellung der Testzertifikate gemäß § 4b Abs. 1 Z 1. Ihm obliegen folgende aus der DSGVO resultierende Pflichten:

1. a) Wahrnehmung von Anträgen gemäß Art. 15 DSGVO, sofern sie das EPIService betreffen;
2. b) Sicherstellung der Datensicherheit hinsichtlich des EPIService;
3. c) Wahrnehmung der Meldepflicht gemäß Art. 33 DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten im EPIService aufgetreten ist;
4. d) Zurverfügungstellung des wesentlichen Inhalts der Pflichtenaufteilung in geeigneter Weise.

1. 2. Die Einrichtungen, die SARSCoV2-Tests im Sinne des § 4b Abs. 2 auswerten, sind verantwortlich für die Ermittlung und Übermittlung der Testergebnisse. Ihnen obliegen folgende aus der DSGVO resultierende Pflichten:

1. a) Information der betroffenen Personen gemäß Art. 13 DSGVO in geeigneter Weise;
2. b) Wahrnehmung von Anträgen auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO) und Einschränkung der Verarbeitung (Art. 18 DSGVO) hinsichtlich jener Daten, die von der jeweiligen Einrichtung verarbeitet werden;
3. c) unverzügliche Benachrichtigung des für das Gesundheitswesen zuständigen Bundesministers über jede erfolgte Berichtigung oder Löschung oder Einschränkung der Verarbeitung (Art. 19 DSGVO) hinsichtlich jener Daten, die von der jeweiligen Einrichtung verarbeitet werden;
4. d) Sicherstellung der Datensicherheit hinsichtlich der Ermittlung und Übermittlung der Daten, die die jeweilige Einrichtung verarbeitet;
5. e) Wahrnehmung der Meldepflicht gemäß Art. 33 DSGVO sowie Benachrichtigung der betroffenen Personen gemäß Art. 34 DSGVO, sofern die Verletzung des Schutzes personenbezogener Daten bei der Ermittlung oder Übermittlung der Daten aufgetreten ist.

1. 3. Sowohl dem für das Gesundheitswesen zuständigen Bundesminister als auch den Einrichtungen, die SARSCoV2-Tests im Sinne des § 4b Abs. 2 auswerten, obliegen folgende aus der DSGVO resultierende Pflichten:

1. a) Verweis an den zuständigen Verantwortlichen, wenn eine betroffene Person unter Nachweis ihrer Identität ein Recht nach der DSGVO gegenüber einem unzuständigen Verantwortlichen wahrnimmt, wobei die betroffene Person entsprechend anzuleiten ist;
2. b) Information der betroffenen Personen gemäß Art. 12 Abs. 4 DSGVO, wenn aufgrund von deren Anträgen kein Tätigwerden erfolgt;
3. c) Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO sowie
4. d) Zusammenarbeit mit der Aufsichtsbehörde gemäß Art. 31 DSGVO.

(4) Der für das Gesundheitswesen zuständige Bundesminister kann auf Grund neuer wissenschaftlicher Erkenntnisse oder Festlegungen auf europäischer Ebene mit Verordnung die Gültigkeitsdauer von Testzertifikaten gemäß Abs. 1 sowie deren Berechnungsmethode festlegen oder ändern.

(5) Sämtliche Daten im EPI‑Service sind eine Woche ab dem Datum der Probenahme zu löschen.

Schlagworte

Smartphone-Betriebssystem, Zielerreger

Zuletzt aktualisiert am

10.06.2022

Gesetzesnummer

10010265

Dokumentnummer

NOR40234494