§ 5a.

(1) Der Hauptverband als Dienstleister der Bundesministerin/des Bundesministers für Gesundheit und Frauen hat im Wege der bei ihm eingerichteten Pseudonymisierungsstelle (gemäß § 31 Abs. 4 Z 10 des Allgemeinen Sozialversicherungsgesetzes, BGBl. Nr. 189/1955, in der jeweils geltenden Fassung)

1. 1. innerhalb einer den Anforderungen des Datenschutzes und der Datensicherheit entsprechenden technischen Infrastruktur mittels des von der Bundesministerin/vom Bundesminister für Gesundheit und Frauen zur Verfügung gestellten Hardware Security Moduls (HSM) aus dem bPK GH-GD der Patientin/des Patienten ein nicht rückrechenbares Pseudonym zu generieren und zu verschlüsseln, wobei das bPK GH-GD einem Bereich zugeordnet ist, in dem der Hauptverband nicht zur Vollziehung berufen ist,
2. 2. aus der Aufnahmezahl durch Einweg-Ableitung eine nicht rückrechenbare Datensatz-ID zu bilden und
3. 3. die folgenden Daten für das erste Halbjahr bis 30. September des laufenden Jahres sowie für das vorangegangene Kalenderjahr bis 31. März des laufenden Jahres an die Bundesministerin/den Bundesminister für Gesundheit und Frauen zu übermitteln:

1. a) Verschlüsselte Pseudonyme der Patientinnen/Patienten gemäß Z 1,
2. b) Krankenanstaltennummer,
3. c) Datensatz-ID.

• Maßgeblich für die Zuordnung der Daten zu einer Datenmeldung ist das Aufnahmedatum.

(2) Der technische Prozess zur Generierung der Pseudonyme ist so zu gestalten, dass keine Möglichkeit des Zugriffes auf die automatisierten Verarbeitungen im HSM während des Pseudonymisierungsvorgangs gemäß Abs. 1 Z 1 besteht. Es ist sicherzustellen, dass der für die Generierung der Pseudonyme zu verwendende Algorithmus dem Bundesministerium für Gesundheit und Frauen und dem Hauptverband nicht bekannt ist und an einer unabhängigen dritten Stelle sicher verwahrt wird.

(3) Die erstmalige Konfiguration des HSM hat in den Räumlichkeiten der beim Hauptverband (datenschutzrechtlicher Dienstleister) eingerichteten Pseudonymisierungsstelle unter Anwesenheit einer Vertreterin/eines Vertreters des datenschutzrechtlichen Auftraggebers (Bundesministeriums für Gesundheit und Frauen) und unter der Aufsicht einer Bestätigungsstelle gemäß § 7 des Signatur- und Vertrauensdienstegesetzes (SVG), BGBl. I Nr. 50/2016, zu erfolgen. Der gesamte Vorgang ist zu protokollieren.

(4) Nach der erstmaligen Konfiguration gemäß Abs. 3 ist die Sicherungskopie der verwendeten kryptografischen Schlüssel an eine Bestätigungsstelle gemäß § 7 SVG zu übergeben und von dieser sicher und geheim zu verwahren. Die Sicherungskopie darf ausschließlich zu folgenden Zwecken und nur mit Zustimmung des Bundesministeriums für Gesundheit und Frauen verwendet werden:

1. 1. für die Wiederherstellung der Konfiguration eines HSM im Störungsfall sowie
2. 2. für Konfigurationen zusätzlicher erforderlicher HSM (Erweiterungsfall).

• Diese Konfigurationen haben in den Räumlichkeiten der beim Hauptverband eingerichteten Pseudonymisierungsstelle unter Anwesenheit einer Vertreterin/eines Vertreters des Bundesministeriums für Gesundheit und Frauen und unter der Aufsicht einer Bestätigungsstelle gemäß § 7 SVG zu erfolgen. Der gesamte Vorgang ist zu protokollieren.

(5) Die Mitarbeiterinnen und Mitarbeiter der Pseudonymisierungsstelle sind zur Verschwiegenheit über alle ihnen in Ausübung ihres Berufes anvertrauten oder bekannt gewordenen Tatsachen verpflichtet. Die Pflicht besteht auch nach Beendigung ihrer Tätigkeit. Insbesondere ist für die Einhaltung der Datenverwendungsgrundsätze gemäß § 6 DSG 2000 sowie der Datensicherheitsmaßnahmen gemäß § 14 DSG 2000 zu sorgen.

(6) Die Mitarbeiterinnen und Mitarbeiter der Pseudonymisierungsstelle müssen über ihre nach den innerorganisatorischen Datenschutzvorschriften, einschließlich der Datensicherheitsvorschriften, bestehenden Pflichten belehrt werden. Über die Verschwiegenheitsverpflichtung sind die Mitarbeiterinnen und Mitarbeiter vor Aufnahme ihrer Tätigkeit nachweislich zu informieren.

(7) Die Einhaltung des Datenschutzes im Rahmen der Pseudonymisierung und der damit zusammenhängenden Prozesse muss durch einen/eine unabhängigen/unabhängige externen/externe Gutachter/Gutachterin bei regelmäßigen Audits geprüft und bestätigt werden. Für die Durchführung der Audits gilt Folgendes:

1. 1. Ein erstes Audit ist im Zuge der erstmaligen Konfiguration des HSM und weitere Audits sind regelmäßig, zumindest aber alle zwei Jahre durchzuführen.
2. 2. Die beim Hauptverband der österreichischen Sozialversicherungsträger eingerichtete Pseudonymisierungsstelle hat die Durchführung der Audits durch eigenes Personal zu unterstützen und dafür Sorge zu tragen, dass der/die externe Gutachter/Gutachterin Zugriff auf alle für die Durchführung der Audits notwendigen Informationen erhält.
3. 3. Die Auswahl und die Beauftragung des/der externen Gutachters/Gutachterin erfolgen durch das Bundesministerium für Gesundheit und Frauen.
4. 4. Der/Die externe Gutachter/Gutachterin darf vom verwendeten kryptografischen Schlüssel keine Kenntnis erlangen.

Zuletzt aktualisiert am

21.06.2018

Gesetzesnummer

10011011

Dokumentnummer

NOR40190671