Nummer
BP-AT-005
Maßstab
1 : 1
Datum
2026-05-25
Rev.
A
Werkstatt 4notify · GesundheitFreigegeben
Bauplan BP-AT-005 von BP-AT-008 · Gesundheit
SMSE-Mail

ELGA-Patientenkommunikation mit Opt-out und ärztlicher Schweigepflicht

e-Medikation, e-Befund und Patientenbenachrichtigungen unter strikten Geheimhaltungsregeln

§ ADas Problem

Praxen, Krankenhäuser und Apotheken senden täglich Erinnerungen — und tun das zu oft schlampig. Eine SMS mit ’Ihr Befund Schilddrüsenkarzinom Verdacht ist verfügbar’ verstößt gleich gegen mehrere Normen: Verletzung der ärztlichen Schweigepflicht (§ 54 ÄrzteG), Verstoß gegen das GTelG (Opt-out-Recht nicht respektiert, da Patient eventuell nicht informiert sein will), und DSGVO-Verstoß durch unverhältnismäßige Datenoffenlegung. Korrekte Praxis: neutrale Benachrichtigung (’Ein Befund ist bereit. Bitte melden Sie sich in der Ordination') + sicherer Login-Pfad für die Details.

§ BHauptansicht

ELGA — die Elektronische Gesundheitsakte — ist seit 2015 in Österreich aktiv und umfasst zentral e-Medikation, e-Befund und seit 2024 erweiterte Module wie e-Impfpass. Der Zugang zum eigenen Gesundheitsdatenbestand ist über das ELGA-Portal (elga.gv.at) mit ID Austria möglich. Das ELGA-Gesetz (GTelG 2012) gibt einen Opt-out-Mechanismus vor — Patientinnen und Patienten sind automatisch teilnehmend, können aber jederzeit Teil- oder Vollwidersprüche eintragen. Für Benachrichtigungen rund um Gesundheitsereignisse (Termine, Befunde verfügbar, Impfungen fällig) gilt: minimale Datenweitergabe per SMS/E-Mail, keine medizinischen Inhalte im Klartext, und ein strenger Audit-Trail mit Bezug zur ELGA-Person-ID.

§ CMaterialliste
KanalPrimärer AnbieterFallback
Patient-SMS (neutral)BP-AT-002 SMS-RoutingE-Mail mit Login-Link
Login-Link mit ID AustriaOAuth2 → BRZ BKUDirekt-Login Ordination
Audit-Log ELGA-BezugPostgres + Hashed ELGA-Person-IDS3 EU-Central WORM
Widerspruchs-Check vor VersandELGA-Widerspruchsregister APILokale Cache mit Refresh 4h
§ DToleranzen
Pseudonymisierung Patientenname
100% (Initialen + Geb-Jahr max.)
Widerspruchsstatus-Aktualität
≤ 4Stunden
Audit Retention
30Jahre (Patientenakte)
SMS-Zeichen max
160GSM-7 (kein Unicode)
Reaktionszeit Widerspruch
≤ 30Tage (DSGVO)
§ ENormverweise
GTelG 2012 (Gesundheitstelematikgesetz)

Rechtsgrundlage für ELGA. Patienten haben jederzeit Recht auf Widerspruch (Teil- oder Vollwiderspruch). Datenverarbeiter müssen den Widerspruchsstatus vor jeder Verarbeitung prüfen.

§ 54 ÄrzteG (Ärztegesetz) — Schweigepflicht

Ärztinnen und Ärzte unterliegen einer berufsrechtlich verankerten Verschwiegenheitspflicht. Diese gilt auch für elektronische Kommunikationskanäle — Diagnose-Inhalte gehören nicht in unverschlüsselte SMS oder E-Mails.

DSGVO Art. 9 (besondere Datenkategorien)

Gesundheitsdaten gelten als besondere Kategorie. Verarbeitung ist nur mit ausdrücklicher Einwilligung oder explizitem Rechtstitel (Behandlungsvertrag, Notwehr) zulässig — bei Marketing ist sie praktisch ausgeschlossen.

ELGA-Vertraulichkeitsstufen

Befunde werden in Stufen kategorisiert (besondere Vertraulichkeit, normal, eingeschränkter Zugang). Benachrichtigungen müssen die Stufe respektieren — bei ’besondere Vertraulichkeit’ entfällt die externe Notifizierung ganz.

§ FBauschritte

Widerspruchsstatus vor jedem Versand prüfen

Bevor eine Benachrichtigung versendet wird, fragt 4notify das ELGA-Widerspruchsregister mit der ELGA-Person-ID ab. Bei Vollwiderspruch wird der Versand unterdrückt; bei Teilwiderspruch nach Bereich (e-Medikation / e-Befund / e-Impfpass) wird der Versand nur dann unterdrückt, wenn die Benachrichtigung in den widersprochenen Bereich fällt.

Inhalt neutralisieren, Link mit ID-Austria-Login

Die SMS oder E-Mail nennt nur die Art der Aktion (Befund verfügbar, Rezept fertig, Termin am 28.05.) ohne Diagnose-Inhalte. Der Link führt zum sicheren Patientenportal mit ID-Austria-Anmeldung; medizinische Details werden erst nach erfolgreichem Login gezeigt.

Pseudonymisierung in Audit-Logs

Patientennamen werden in Audit-Logs nicht im Klartext gespeichert. Stattdessen wird die ELGA-Person-ID gehasht (BLAKE2b mit gehaltenem Salt) und die letzten 8 Hex-Zeichen als Anzeige-Token verwendet. Bei Audit-Anfragen kann das Mapping über einen separat gehaltenen, mit KMS verschlüsselten Lookup wiederhergestellt werden.

Vertraulichkeitsstufe respektieren

Befunde mit Tag ’besondere Vertraulichkeit’ (z. B. psychiatrische Diagnosen, HIV-Tests, genetische Tests) werden grundsätzlich nicht extern signalisiert — die Information bleibt im ELGA-Portal und der Patient sieht sie beim nächsten Login dort. Diese Regel ist im Notification-Routing nicht abschaltbar.

§ GPrüfprotokoll

Testprotokoll: (1) Test-Patient mit Vollwiderspruch im ELGA-Sandbox setzen — Versuch, eine SMS zu senden, muss mit `objection_full` abgelehnt werden, ohne dass die Patientennummer im Klartext im Log auftaucht. (2) Test-Patient mit Teilwiderspruch auf ’e-Medikation’ — Termin-SMS muss durchgehen (Bereich e-Termin nicht widersprochen), Rezept-SMS muss abgelehnt werden. (3) Befund mit Tag ’besondere Vertraulichkeit’ anlegen — kein Versand, im Audit-Log Zeile `tier_block`. (4) Inhalt einer regulären SMS prüfen: kein Patient-Vorname, keine Diagnose, nur Login-Aufforderung. (5) Audit-Log-Eintrag enthält nur den pseudonymisierten Token, kein Klartext-Name.

§ HCode
bash
curl -X POST https://api.4notify.net/v1/health/notify \
  -H "Authorization: Bearer $API_KEY' \
  -H "Content-Type: application/json' \
  -d '{
    "elga_person_id_hashed': 'blake2b:f1a4c9e3b8d2…",
    "event_type': 'finding_available",
    "confidentiality_tier': 'normal",
    "channel': 'sms",
    "recipient': '+436641234567",
    "portal_login_url': 'https://praxis-wien.at/portal",
    "objection_check": true,
    "audit_purpose': 'elga_finding_notification"
  }'
§ IBeispielnachricht
SMS

Praxis Dr. Huber: Ein Befund ist bereit. Bitte über praxis-huber.at/portal mit ID Austria einsehen. Telefon 01 587 44 10.

§ JInbetriebnahme-Checkliste
  • ELGA-Widerspruchsregister-API integriert, Cache-Refresh ≤ 4 h
  • SMS/E-Mail-Vorlagen enthalten keine Diagnose-Inhalte (Reviews mit Datenschutzbeauftragter)
  • Login-Link führt zu ID-Austria-Authentifizierung, kein Magic-Link-Bypass
  • Pseudonymisierung Person-ID (BLAKE2b mit KMS-Salt) im Audit-Log
  • Vertraulichkeitsstufen-Block fest verdrahtet (nicht via Config abschaltbar)
  • Audit-Log-Retention: 30 Jahre (Patientenakte gemäß ÄrzteG)
Was 4notify anders macht

Statt nach Best-Effort zu pseudonymisieren, setzt 4notify die Vertraulichkeitsstufe in das Notification-Routing als nicht abschaltbare Pflichtprüfung — eine HIV-Befund-Benachrichtigung wird systemseitig blockiert, auch wenn der Bediener sie versehentlich auslöst.

§ KHäufige Fragen
Darf ich überhaupt eine Termin-Erinnerung als SMS senden?

Ja, sofern der Patient zugestimmt hat (Behandlungsvertrag deckt das in der Regel ab) und der Inhalt neutral bleibt. ’Erinnerung an Ihren Termin am 28.05. um 14:30, Ordination Dr. Huber’ ist zulässig — ’Erinnerung an Ihren MRT-Termin Wirbelsäule am 28.05.’ ist es nicht, da die Diagnose-Region offenbart wird.

Was ist mit Apotheken-Erinnerungen zur Medikamentenabholung?

Auch hier neutral bleiben: ’Ihr Rezept ist abholbereit. Apotheke Mariahilf, Mariahilfer Straße 88, 1070 Wien.’ Den Wirkstoff/Markennamen weglassen. Der Patient kennt den Inhalt seines Rezepts ohnehin; die SMS landet aber potenziell auf einem geteilten Familien-Handy.

Wie weisen wir die Einwilligung des Patienten nach?

Über den Consent-Ledger aus BP-AT-001 — der speichert die Einwilligung mit gehashter ELGA-Person-ID, Zweck (z. B. `appointment_reminder`), Kanal (`sms`) und der genauen Textvorlage. Bei DSB-Beschwerde kann der vollständige Verlauf rekonstruiert werden.

Konto kostenlos eröffnen

14 Tage, keine Kreditkarte. Deutschsprachiger Support.

§ LAndere Baupläne