nachdem die Novelle des Gesundheitstelematik-Gesetzes (GTelG) nunmehr im Bundesgesetzblatt veröffentlicht wurde, ist das Ende der Fax-Übermittlung von Gesundheitsdaten durch Gesundheitsdiensteanbieter jetzt mit fixen Terminen versehen. 

Nachfolgend finden Sie eine kurze Zusammenfassung dessen, was sich aus den geänderten rechtlichen Bestimmungen ergibt:

Das effektive Ende der Zulässigkeit der Fax-Übermittlung ist der 31.12.2024 (dann tritt die bestehende Ausnahmebestimmung des § 27 Abs 12 GTelG außer Kraft).

Ab sofort bis zum 30.6.2026 ist in jenen Fällen, in denen bisher eine Fax-Übermittlung zulässig war, eine Übermittlung mittels Transportverschlüsselung zulässig (Anm.: TLS).

Ab dem 1.7.2026 muss die Übertragung in einer Form erfolgen, die eine Inhaltsverschlüsselung umfasst (bestehende Befundübermittlungsplattformen, S/MIME, Sepp-Mail, mit sicheren Methoden verschlüsselte Dokumente, …).

Die bisherige Formulierung in § 6 Abs. 1 Z 2 zur Verschlüsselung war etwas unklar, was die Art der Verschlüsselung betrifft. Es war insbesondere unklar, ob damit eine „Transportverschlüsselung oder eine Inhaltsverschlüsselung gemeint war. Die neue Formulierung des § 6 Abs 1 Z 2 GTelG ist hier eindeutig und bestimmt eine Inhaltsverschlüsselung.

Hier ein kurzer (kommentierter) Auszug aus dem aktualisierten Gesetzestext:

• 6. (1) Die Vertraulichkeit bei der elektronischen Übermittlung von Gesundheitsdaten und genetischen Daten ist dadurch sicherzustellen, dass […]

1. […]
2. Protokolle und Verfahren verwendet werden, die entsprechend dem Stand der Technik die vollständige Verschlüsselung der Gesundheitsdaten und genetischen Daten bewirken.

• 27 Abs 20 (NEUE Regeln für die Datenübermittlung anstatt FAX)

Für die Sicherstellung der Vertraulichkeit gemäß § 6 gilt bis 30. Juni 2026 Folgendes:

1. Bis 31. Dezember 2024 darf die Sicherstellung der Vertraulichkeit von § 6 Abs. 1 Z 1 abweichend erfolgen, wenn
   1. Protokolle und Verfahren verwendet werden, die die vollständige Verschlüsselung der Gesundheitsdaten und genetischen Daten bei deren Bereitstellung („Transportverschlüsselung“) bewirken,
   2. die Sicherstellung der Vertraulichkeit gemäß § 6 Abs. 1 Z 2 mangels vorhandender technischer Infrastruktur nicht zumutbar ist und
   3. an der Übermittlung der Gesundheitsdaten und genetischen Daten ausschließlich Gesundheitsdiensteanbieter beteiligt sind.
2. Von 1. Jänner 2025 bis 30. Juni 2026 darf die Sicherstellung der Vertraulichkeit von § 6 Abs. 1 Z 1 abweichend erfolgen, wenn
   1. die Voraussetzungen gemäß Z 1 erfüllt sind und
   2. die Übermittlung der Gesundheitsdaten und genetischen Daten bis 31. Dezember 2024 in der Regel per Fax erfolgte.
   3. Gelten für einen der an einer Übermittlung von Gesundheitsdaten und genetischen Daten beteiligten Gesundheitsdiensteanbieter die erleichterten Bedingungen gemäß Z 1 oder Z 2, so gelten diese für alle beteiligten Gesundheitsdiensteanbieter.
3. Die erleichterten Bedingungen gemäß Z 1 und Z 2
   1. dürfen für Cloud Computing (§ 6 Abs. 3) nicht in Anspruch genommen werden und (Anm: die Verschlüsselung von Gesundheitsdaten in der Cloud muss weiterhin mit einem Verfahren erfolgen, dass dem Stand der Technik entspricht – hierbei geht es insbesondere um die Verschlüsselung der Daten im Ruhezustand)
   2. gelten nur sofern Art. 3 Abs. 1 DSGVO eingehalten wird. (Anm: Verarbeitung im Rahmen einer Tätigkeit eines Verantwortlichen oder Auftragsverarbeiters mit Sitz in der EU