ArchivDeutsches Ärzteblatt21/2014Elektronische Datenverarbeitung: Leitfaden für die Praxis

POLITIK

Elektronische Datenverarbeitung: Leitfaden für die Praxis

Dtsch Arztebl 2014; 111(21): A-930 / B-796 / C-754

Krüger-Brand, Heike E.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Die dritte Fassung der „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ trägt neuen Anforderungen durch das Patientenrechtegesetz Rechnung.

Foto: Fotolia/Maksim Kabakou
Foto: Fotolia/Maksim Kabakou

Zuletzt hatten die Bundes­ärzte­kammer (BÄK) und die Kassenärztliche Bundesvereinigung (KBV) eine überarbeitete Fassung der „Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ im Mai 2008 veröffentlicht (www.aerzteblatt.de/plus1908). Der Hintergrund damals: Im Zuge der zunehmenden elektronischen Kommunikation und Vernetzung von Arztpraxen sollten die Ärzte dafür sensibilisiert werden, dass sie beim beruflichen EDV-Einsatz unter anderem aus strafrechtlichen und haftungsrechtlichen Gründen besondere Schutzvorkehrungen beachten müssen, um die Sicherheit der sensiblen Patientendaten jederzeit zu gewährleisten. Hinzu kam, dass die geplante sichere Tele­ma­tik­infra­struk­tur, die ein hohes Maß an Datensicherheit gewährleisten sollte, noch nicht verfügbar war.

Anzeige

Keine Übergangsphase

Sechs Jahre später hat sich an dieser Situation nichts Wesentliches geändert, auch wenn der elektronische Datenaustausch im Gesundheitswesen rasant weiter wächst und zum Beispiel immer mehr telemedizinische Verfahren Einzug in die medizinische Versorgung halten.

Der Grund für die neuerliche Aktualisierung der Empfehlungen (siehe die Bekanntgabe in diesem Heft) ist daher nicht in erster Linie der technischen Weiterentwicklung geschuldet, sondern: „Anlass für die Überarbeitung, die eine Arbeitsgruppe aus Vertretern von BÄK, KBV und Lan­des­ärz­te­kam­mern gemeinsam erarbeitet und mit den jeweiligen Rechtsabteilungen abgestimmt hat, war vor allem das Patientenrechtegesetz“, erläutert Dr. jur. Marlis Hübner, Leiterin der Rechtsabteilung bei der Bundes­ärzte­kammer.

Mit dem seit Februar 2013 geltenden Gesetz wird nämlich erstmals auch die elektronische Dokumentation der ärztlichen Behandlung gesetzlich geregelt. Nach § 630 f Abs. 1 Bürgerliches Gesetzbuch kann der Arzt die Patientenakte auch elektronisch führen, muss dann aber die Manipulationsfreiheit der Akte sicherstellen, indem er eine Software verwendet, die nachträgliche Änderungen automatisch kenntlich macht.

Als das Gesetz in Kraft trat, waren nur einzelne Praxisverwaltungssysteme (PVS) mit dieser Funktionalität ausgestattet. Doch einen Übergangszeitraum oder eine alternative Lösung hierfür sieht das Gesetz nicht vor. Verwendet eine Praxis daher ein nicht gesetzeskonformes PVS, etwa weil der PVS-Hersteller diese Funktionalität noch nicht integriert hat, trägt der Arzt das Risiko, dass er in einem Haftungsprozess in Beweisnot geraten kann, wenn der Kläger seine Dokumentation aus nachvollziehbaren Gründen anzweifelt. „Aus Sicht des Arztes ist es daher dringend geboten, so schnell wie möglich ein PVS einzusetzen, das über die zuvor beschriebene Funktionalität verfügt“, lautet daher die Empfehlung.

Das dürfte für betroffene Ärzte jedoch keine leicht zu nehmende Hürde sein. Denn für die meisten Ärzte kommt ein Systemwechsel zunächst nicht in Betracht, weil die Datenmigration von einem auf ein anderes PVS schwierig ist. Hinzu kommt, dass die Nachrüstung eines bestehenden Produktes programmiertechnisch aufwendig ist. Daher ist nicht ausgeschlossen, dass mancher PVS-Hersteller diese Situation ausnutzen könnte.

Technische Maßnahmen

Mit dem Aspekt der elektronischen Dokumentation befasst sich auch das von der Arbeitsgruppe erstellte Addendum zur Technischen Anlage aus dem Jahr 2008. Darin beschreibt sie organisatorische und technische Maßnahmen zur IT-Sicherheit, deren Umsetzung in der Übergangsphase dazu beitragen könnte, die Position des Arztes in einer gerichtlichen Auseinandersetzung zu verbessern. Allerdings „mit dem deutlichen Hinweis, dass dies keine 100-prozentig rechtssichere Lösung ist und wir keine Garantie geben können, dass ein Richter das genauso sehen wird“, betont Dr. jur. Bert-Sebastian Dörfer, Referent aus der Rechtsabteilung der BÄK.

Die technischen Maßnahmen, die in diesem Kontext empfohlen werden, darunter ein häufiges, am besten tägliches Backup und die Verwendung nicht veränderbarer Speichermedien wie CD- oder DVD-ROM, erfordern keine Mitarbeit des Herstellers. Das gilt auch für die qualifizierte elektronische Signatur: „Diese kann ein Dienstleister implementieren, der den Praxisbetrieb unterstützt. Er kann zum Beispiel scriptbasiert einmal am Tag eine Signatur oder einen Zeitstempel anfordern und auf das Backup aufbringen“, erläutert Dr. med. Georgios Raptis, Experte aus dem Telematikdezernat der BÄK. „Die Granularität dieser Maßnahmen ist allerdings nicht so fein, wie der Gesetzgeber das möchte, sondern das Problem der fehlenden Lückenlosigkeit zwischen den einzelnen Sicherungen bleibt dabei weiterhin bestehen.“

Ein weiterer Knackpunkt ist die Übernahme externer Dokumente in eine elektronisch geführte Patientenakte. Beispiele sind etwa Arztbriefe in Papierform. Der Empfänger kann diese zwar einscannen und in die eigene elektronische Dokumentation übernehmen. Juristen mahnen jedoch zur Zurückhaltung beim ersetzenden Scannen, denn: „Umstritten ist weiterhin, ob Arztbriefe in Papierform nach dem Scannen vernichtet werden können oder in Papierform aufbewahrt werden müssen“, heißt es in den Empfehlungen. Der Grund: Neben der unsicheren Rechtslage hinsichtlich der Vernichtung von Originaldokumenten kommt einem eingescannten Arztbrief vor Gericht ein geringerer Beweiswert zu als dem unterzeichneten Originaldokument.

Ersetzendes Scannen

Wer trotz der unsicheren Rechtslage ohne Aufbewahrung der Originaldokumente ausschließlich digital dokumentiert und archiviert, sollte zumindest bestimmte Sicherungsmaßnahmen durchführen. Die Basis dafür ist eine technische Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI, siehe Addendum, Kapitel 2). Wird ein sehr hoher Beweiswert der eingescannten Dokumente angestrebt, müssen nach der BSI-Richtlinie zusätzliche Anforderungen wie beispielsweise das Vieraugenprinzip oder der Einsatz qualifizierter elektronischer Signaturen und Zeitstempel beachtet werden. Dennoch gilt: „Die Unsicherheit im Hinblick auf das ersetzende Scannen können wir den Ärzten nicht nehmen“, so die Rechtsabteilung der Bundes­ärzte­kammer. Gegebenenfalls sollte der Arzt, der eine papierfreie Praxis führen will, sich hierzu beraten lassen.

Ein neuer Abschnitt der Empfehlungen widmet sich den besonderen Anforderungen hinsichtlich Schweigepflicht und Datenschutz, die sich ergeben können, wenn Ärzte in mehreren Bereichen ärztlich tätig sind. Hier muss unter anderem zwischen Zusammenschlüssen zur gemeinsamen Berufsausübung wie einer Gemeinschaftspraxis einerseits und Organisationsgemeinschaften wie etwa einer Praxis- oder Laborgemeinschaft andererseits unterschieden werden. Anders als im erstgenannten Fall gilt für letztere die ärztliche Schweigepflicht unter den Partnern der Gemeinschaft uneingeschränkt, weil es sich nicht um eine gemeinsame Berufsausübung handelt. Daher dürfen die EDV-Systeme keinen Zugriff auf die Daten des jeweils anderen Gemeinschaftspartners ermöglichen.

Zu den technischen Aspekten, die das Addendum neu aufgreift, zählt der Umgang mit externen Speichermedien. So ist die Nutzung fremder Speichermedien wie USB-Sticks in Verbindung mit dem Praxiscomputer nicht erlaubt. „Von außen kann der Arzt nicht erkennen, ob sich auf dem USB-Stick Schadsoftware befindet“, erläutert Raptis. Bereits durch bloßes Stecken könne diese den Rechner des Arztes infizieren, wie das Beispiel „Stuxnet“ im Jahr 2010 gezeigt habe.

Die interne Vernetzung der Praxis über das Stromnetz (Powerline) wird, ebenso wie die Nutzung von WLAN, nur mit besonderen Sicherheitsvorkehrungen empfohlen. Sicherer ist es, ein kabelgebundenes Netzwerk zu verwenden.

Während in der Technischen Anlage aus dem Jahr 2008 „Voice over IP“ noch als unsicher galt, stellen in den letzten Jahren immer mehr Telefongesellschaften ihre Kommunikationsnetze auf IP-Technologie um. „Voice over IP ist inzwischen Standard“, meint Raptis. Letztlich müsse sich der Arzt darauf verlassen können, dass die bei der Bundesnetzagentur registrierten Anbieter die Vertraulichkeit der Kommunikation nach dem Stand der Technik gewährleisteten.

Problematisch für den Austausch sensibler Patientendaten können dagegen Produkte von nichtregistrierten Anbietern wie etwa Skype sein. „Die Nutzung wäre nur dann zulässig, wenn der Arzt selbst für eine Verschlüsselung sorgt beziehungsweise ein Anbieter darlegen kann, dass er mit einer Verschlüsselung arbeitet und eine sichere Vernetzung garantiert“, erläutert Raptis.

Sicherheit in der Cloud

Kritisch sehen BÄK und KBV auch die Zunahme von Cloud-Lösungen im medizinischen Bereich. So ist die externe Sicherung von Patientendaten nur unter strengen Vorgaben zulässig, da der Dienstleister keinen Zugriff auf die Klartextdaten haben darf. Eine Auslagerung der Datenverarbeitung ist vor diesem Hintergrund nicht zulässig, denn: „Es gibt kein Verfahren, in dem ein Computerprogramm auf verschlüsselten Daten operieren kann. Das heißt per definitionem: Dort, wo die Datenverarbeitung erfolgt, liegen die Daten im Klartext. Wenn das Computerprogramm beim Anbieter läuft, hat dieser also technisch Zugriff auf die Klartextdaten“, betont Raptis.

Die externe Datenspeicherung verschlüsselter Daten ist dagegen zulässig. Sie wird inzwischen häufig etwa von Radiologen genutzt. Auch die Archivierung von älteren Datenbeständen in der Cloud ist möglich, vorausgesetzt, der Arzt hat entsprechende vertragliche Vereinbarungen mit dem Dienstleister getroffen, dass mittels Verschlüsselung und anderer vom BSI gelisteten Anforderungen ein unbefugter Zugriff des Dienstleisters auf die Daten ausgeschlossen ist.

Heike E. Krüger-Brand

Wo gibt es Änderungen?

Die Aktualisierung der Empfehlungen betrifft vor allem folgende Punkte:

  • Anforderungen an die elektronische Dokumentation nach dem Patientenrechtegesetz
  • Vernichtung von Originaldokumenten nach der Digitalisierung
  • Dokumentation und Schweigepflicht bei kooperativer Praxisausübung und ärztlicher Nebentätigkeit
  • Umfang des Einsichtnahmerechts des Patienten
  • Datenschutz bei der Übermittlung von Patientendaten.

Das Addendum ergänzt die Technische Anlage aus dem Jahr 2008 unter anderem um folgende Punkte:

  • Technische Empfehlungen zur elektronischen Dokumentation/Archivierung
  • Ersetzendes Scannen
  • Externe Speichermedien, Vernetzung über das Stromnetz, Einsatz von Chipkartenterminals und Konnektoren
  • Telefonie mit Voice over IP, Kryptographie, Cloud-Technologie.

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema

Anzeige