Patientendaten unterliegen gesetzlichen Vorschriften – sowohl was die Zeiträume der Aufbewahrung betrifft, die bei mindestens zehn und maximal 30 Jahren liegen, als auch beim Schutz vor unbefugtem Zugriff. Was im vordigitalen Papierarchiv der abschließbare Aktenschrank gewährleistete, bedeutet im Zeitalter digitaler Datenspeicherung eine vielschichtige Herausforderung.

Im Rahmen einer Artikelserie beleuchtet "Der Allgemeinarzt" das Thema Praxis-EDV. Bisherige Themen waren unter anderem Softwarearchitektur, Netzanbindung, mobile Anwendungen, die Funktion von Servern, Telematik, Verschlüsselungstrojaner und die Besonderheiten des Software-Marktes.

Einem niedergelassenen Arzt wurde kürzlich in einem Beratungsgespräch mit einem Vertreter für Praxissoftware empfohlen, eine separate Archivierungssoftware zu erwerben. Begründet wurde diese Empfehlung damit, dass die normale elektronische Akte in der eigenen Praxissoftware nicht sicher sei – schließlich könne man an den Einträgen darin nachträglich Änderungen vornehmen, die im Falle eines Rechtsstreits nicht nachverfolgt werden könnten. Nun fragt sich der Arzt, ob er ein Archivsystem kaufen muss, um seine Patientendokumentation rechtssicher archivieren zu können.

Dokumentations- und Aufbewahrungspflichten

Um diese Frage beantworten zu können, muss man sich zunächst die rechtlichen Regelungen ansehen. Die ärztliche Dokumentations- und Aufbewahrungspflicht ergibt sich aus dem Bürgerlichen Gesetzbuch sowie aus dem Bundesmantelvertrag Ärzte (§ 57) und der Berufsordnung (§ 10), wobei die Anforderungen an die Dokumentation nur unbestimmt beschrieben werden. Mit den Änderungen des §§ 630 BGB durch das im Jahr 2013 eingeführte Patientenrechtegesetz [1] wird zusätzlich die sogenannte Revisionssicherheit elektronischer Patientenakten gefordert. Danach sind Berichtigungen und Änderungen von Eintragungen in der Patientenakte nur zulässig, wenn daneben der ursprüngliche Inhalt erkennbar bleibt und der Zeitpunkt der Änderungen dokumentiert ist. Dies ist insbesondere für elektronische Patientenakten von Bedeutung, da hier nachträgliche Änderungen nicht ohne weiteres als solche zu erkennen sind [2].

Um zu beurteilen, ob eine Software revisionssicher ist, muss man sich eigentlich nur fragen, wie schwer es beispielsweise wäre, einen Datensatz der Patientenakte spurlos aus der Datenbank verschwinden zu lassen. Die Datenbank eines Praxissystems kann man sich wie eine große Excel-Tabelle vorstellen, in der jederzeit Zeilen entfernt, Zeileninhalte geändert oder neue Zeilen hinzugefügt werden können. Einfache, nicht revisionssichere Datenbanken führen diese Änderungen ohne weiteres aus. Nachträglich lässt sich dann nicht mehr feststellen, dass ein ursprünglich vorhandener Eintrag gelöscht wurde.

Transaktionslogs protokollieren alle Änderungen

Um die Anforderungen des Patientenrechtegesetzes umzusetzen, haben viele Systeme ein "Logbuch" eingeführt, in dem alle Änderungen protokolliert werden. Über die Einträge in diesen sogenannten Transaktionslogs lässt sich dann nachvollziehen, ob, wann und von wem ein Datensatz erzeugt, verändert oder gelöscht wurde. Um einen Datensatz verschwinden zu lassen, muss hier nicht nur der eigentliche Eintrag aus der Datenbank gelöscht werden, sondern auch der Logbucheintrag, der dieses Löschen protokolliert. Mit etwas Erfahrung ist allerdings auch das nicht schwer – insbesondere dann, wenn die Logbücher auf dem gleichen Server gespeichert werden wie die eigentlichen Daten.

Ein neuer Datensatz für jede Änderung

Sehr viel schwieriger wird es, wenn eine andere Art der Datenbank verwendet wird, in der Datensätze nicht überschrieben werden. In diesen Systemen wird bei jeder Änderung ein neuer Datensatz angelegt, wodurch die gesamte Historie des Datensatzes nachvollziehbar wird. Hier müssten, um einen Datensatz komplett zu tilgen, seine gesamte Historie sowie alle begleitenden Protokolle gelöscht werden. Noch schwieriger wird es, wenn die Software und ihre eigentlichen Speichermedien getrennt werden, etwa durch Auslagerung der Datenbank auf Cloud-Server, die nicht mehr direkt im Zugriff der Praxis stehen. Um in einem solchen Szenario Daten zu löschen, müsste man den Administrator der Server dazu bewegen.

Für echte revisionssichere Systeme wird zudem gefordert, dass sie sogenannte WORM-Speichermedien ("Write once - read many") verwenden müssen. Das sind beispielsweise optische Speicher wie DVDs, die nur einmal beschrieben werden können. Um hier Daten verschwinden zu lassen, müssten zusätzlich noch die kompletten Speichermedien ausgetauscht werden [3].

PDFs und optische Medien

Wie ist nun die eingangs erwähnte Empfehlung des Vertreters für Praxissoftware zu beurteilen? Wenn angeblich Veränderungen an den in der Software gespeicherten Daten nachträglich nicht nachvollzogen werden können, sind Anforderungen des §§ 630 BGB durch die Praxissoftware selbst nicht erfüllt. Ob ein Archivierungssystem in diesem Fall die Revisionssicherheit der Dokumentation vollständig herstellen kann, hängt von seiner Funktionsweise ab.

Archivierungslösungen dienen normalerweise dazu, die Daten zu speichern und zu verwalten, die aus technischen Gründen nicht in der Datenbank der Praxissoftware selbst gespeichert werden können. Dabei handelt es sich in der Regel um die Resultate bildgebender Verfahren wie Sonographie oder Röntgen, um eingescannte Befunde oder Eingangs- und Ausgangspost. Um wirklich revisionssicher gespeichert zu werden, müssen diese Daten im Archivsystem versioniert abgelegt und auf optischen Speichermedien gesichert werden.

Um allerdings die Rechtssicherheit der kompletten Patientendokumentation zu gewährleisten, müssten neben Briefen und Bildern auch alle selbst erfassten Einträge der Patientenakte wie Leistungen, Diagnosen, Befunde oder Anamnesen in die Archivierung mit einbezogen werden. Dies kann im Zusammenspiel mit einem Archivsystem dadurch erreicht werden, dass täglich alle Änderungen der elektronischen Karteikarte in ein nicht veränderbares Format (beispielsweise eine PDF-Datei) überführt und dann regelmäßig als Dokument durch das Archivsystem auf optischen Medien gesichert werden.

Manipulationsschutz als organisatorische Aufgabe

Um wirklich als revisionssicher gelten zu können, reicht es nicht aus, die technischen Voraussetzungen zu schaffen [4]. Um Manipulationen auszuschließen, müssen daneben auch organisatorische Prozesse und Festlegungen wie etwa Zugriffsrechte und Regelungen zur geordneten Aufbewahrung der Speichermedien getroffen und eingehalten werden. Der Nachweis der Manipulationsfreiheit ist wichtig, denn im Fall der Fälle stellt sich die Frage, ob die archivierten Daten überhaupt vor Gericht verwertbar sind [5]. Analog zur aktuellen Rechtsprechung im Steuer- und Handelsrecht, nach der mangels medizinspezifischer Rechtsfassung beurteilt wird, hängt die Anerkennung als Beweismittel davon ab, mit welchen Mitteln ein archiviertes Dokument vor Manipulation geschützt wurde [6]. Im Zweifel prüft das Gericht, wer mit welchem plausiblen Motiv und mit welchen Mitteln das Originaldokument hätte fälschen oder verfälschen können bzw. mit welchen Verfahren das Dokument gescannt wurde und welche Maßnahmen zur Qualitätssicherung dabei berücksichtigt wurden [7].

Die Rechtsprechung hat sich bei diesem Thema bisher hauptsächlich mit der Beweiskraft gescannter Dokumente wie beispielsweise Rechnungen oder Bildbefunden beschäftigt. Es fehlen Erfahrungswerte darüber, ob Veränderungen an Daten über den Weg archivierter Dokumente gerichtsfest nachweisbar sind und wie groß der Aufwand ist, um diese aufzubereiten. Nicht fehlen darf schließlich der Hinweis, dass die archivierten Daten in der Regel im Klartext vorliegen und daher unbefugten Dritten wie IT-Dienstleistern nicht offenbart werden dürfen (Verstoß gegen § 203 StGB), auch wenn diese als Auftragsdatenverarbeiter vertraglich tätig werden [8].

Und wie lautet nun die abschließende Empfehlung? Um für gerichtliche Auseinandersetzungen gewappnet zu sein, gibt es, wenn die Praxissoftware selbst keine revisionssichere Datenspeicherung bietet, zwei Möglichkeiten. Entweder wird zusätzlich ein externes Archivsystem eingesetzt und durch entsprechende Prozesse und Verfahren nachweislich sichergestellt, dass die gespeicherten Daten nicht manipuliert wurden. In diesem Fall sollte man sich vom Anbieter genau erklären lassen, wie das gesamte Verfahren gestaltet sein muss und wie gerichtsfest der Nachweis von Datenänderungen erfolgen kann. Ob ein Archivsystem dann im individuellen Fall ein probates Mittel ist, mag jeder selbst beurteilen. Die Alternative ist, zu einem System zu wechseln, das von Haus aus Revisionssicherheit bietet.



Autor:

Alexander Wilms

Alexander Wilms betreut seit mehr als 15 Jahren die allgemeinärztliche Praxis seiner Frau in IT-Fragen und war maßgeblich an der Entwicklung von RED Medical, der ersten webbasierten Arztsoftware, beteiligt. Die Server stehen in einem deutschen Hochsicherheits-Rechenzentrum. Die Patientendaten werden ausschließlich verschlüsselt gespeichert. Die Software hat alle maßgeblichen Zertifizierungen der KBV und das Datenschutzgütesiegel des Unabhängigen Landesdatenschutzzentrums (ULD) und des TÜV Saarland.

Erschienen in: Der Allgemeinarzt, 2016; 38 (15) Seite 84-87