ArchivDeutsches Ärzteblatt47/2002Elektronische Dokumentation: Beweiskraft vor Gericht

THEMEN DER ZEIT

Elektronische Dokumentation: Beweiskraft vor Gericht

Bork, Reinhard; Stehle, Wolfgang

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS
Eine elektronisch signierte Patientenkarteikarte ermöglicht im Arzthaftungsprozess den Nachweis, dass die Dokumentation
nicht verändert wurde.

Einen Arzthaftungsprozess gewinnt der Arzt in der Regel dann, wenn er keinen Kunstfehler begangen hat und dies mit einer guten Dokumentation auch beweisen kann. Führt er eine schriftliche Patientenkartei, reicht für Letzteres die Vorlage der den Kläger betreffenden Karteikarte. Der Einwand, diese sei nachträglich verändert worden, lässt sich leicht entkräften, weil es nahezu unmöglich ist, das Dokument zu verfälschen, ohne dass dies sofort auffällt. Führt der Arzt hingegen eine elektronische Patientenkartei, ist die nachträgliche Veränderung der Daten ohne weiteres möglich. Dies ist vor Gericht problematisch für den Arzt, wenn er sich gegen die Behauptung wehren muss, die Dokumentation manipuliert zu haben. Zwar mag es mit großem technischen Aufwand gelingen, den umgekehrten Beweis – dass die Kartei verändert wurde – zu führen. Aber auch das würde auf technischen Zufällen beruhen. Der Nachweis, dass die Dokumentation nicht verändert wurde, ist hingegen auch durch Untersuchung einer Festplatte nicht möglich. Deshalb wird in den Richtlinien zur ärztlichen Dokumentation davor gewarnt, elektronische Medien zu verwenden. Gleichwohl steigt der Einsatz der Elektronik zur Verwaltung patientenbezogener Daten ständig an.
Die Lösung kann nicht darin bestehen, die elektronische Kartei quartalsweise auszudrucken und den Ausdruck von einer Praxishelferin unterschreiben zu lassen. Auch die Aufbewahrung des Ausdrucks bei einem Notar würde die Vorteile der elektronischen Dokumentation zunichte machen. Abhilfe verspricht hingegen die qualifizierte elektronische Signatur. Mit ihr kann das elektronische Dokument fälschungssicher gestaltet werden. Nachdem der Gesetzgeber mit dem „Gesetz zur Anpassung der Formvorschriften des Privatrechts an den modernen Geschäftsverkehr“ elektronisch signierte Dokumente mit Wirkung vom 1. August 2001 besonders geregelt hat, besteht Grund, anzunehmen, dass elektronisch signierte Patientenkarteien gerichtsfest sind. Es ist also davon auszugehen, dass die elektronische Dokumentation, wenn sie qualifiziert elektronisch signiert ist, gegen den Einwand der nachträglichen Veränderung geschützt ist.
Technische Bedingungen
Wird ein Text mit einer qualifizierten elektronischen Signatur versehen, geschieht dabei Folgendes:
Identität des Signierenden: Im „Normalfall“ der elektronischen Signatur lässt sich die Identität des Signierenden garantieren. Der Anwender muss sich dazu an ein von der Regulierungsbehörde zugelassenes Trustcenter wenden. Von dort erhält er einen nur einmal vorhandenen „privaten Schlüssel“. Texte, die mit diesem signiert wurden, stammen daher, wenn der Schlüssel nicht missbraucht wurde, vom Schlüsselinhaber. Verschlüsselt wird dabei nur der „Hash“ (siehe unten), nicht der signierte Text. Zu jedem privaten Schlüssel gibt es einen allgemein zugänglichen „öffentlichen Schlüssel“, mit dem jeder Empfänger der signierten Datei feststellen kann, wer den Text elektronisch signiert hat (Identitätsnachweis). Für das hier behandelte Problem kommt es jedoch nicht auf die Identität des Signierenden an, sondern nur darauf, dass die Patientendatei – ausweislich einer elektronischen Signatur – unverfälscht ist.
Unverfälschtheit der Daten: Mithilfe des „Hash-Wertes“ – einer aus dem Inhalt einer Nachricht errechneten Prüfziffer („Quersumme“) – lässt sich feststellen, ob Daten nachträglich verändert wurden. Eine vorsätzliche Änderung der Daten, die einerseits einen gewünschten Sinn ergibt und dabei andererseits denselben Hash erzeugt, ist nach heutigem Ermessen ausgeschlossen. Nur wenn der Text nach der Signatur unverändert geblieben ist, lässt sich der ursprüngliche Hash-Wert bei der Entschlüsselung zurückgewinnen. Neben der asymmetrischen Verschlüsselung ist der Hash das entscheidende Element für die elektronische Signatur. Der Hash-Wert wird einem zertifizierten Trustcenter übermittelt, dort mit einem Zeitstempel versehen, elektronisch signiert und an den Absender zurückgesandt. Dieser kann dann beweisen, dass seine Daten zu einem vom Trustcenter bestätigten Zeitpunkt einen bestimmten Hash ergeben haben und seither nicht mehr verändert wurden.
Grundsätzlich sind zwei Verfahrensweisen bei der qualifizierten elektronischen Signatur möglich: der Zeitstempel auf der Basis der jeweiligen Praxissoftware und die BDT-Sicherung.
Zeitstempel auf der Basis der jeweiligen Praxissoftware
Für das Verfahren des Zeitstempels auf Basis der Praxis-EDV muss der Hersteller der Praxissoftware die für die Karteikarte relevanten Dateien benennen. Diese werden dann gesichert. Hierfür ist zum Beispiel eine gebrannte CD-ROM geeignet, weil der Speicherplatz dafür in der Regel ausreicht und das Medium preiswert ist. Die Datendateien sollten hierbei zu einer Datei komprimiert werden, zum Beispiel mit der Software WinZip. Dies spart Speicherplatz, und es muss nur eine Datei zeitgestempelt werden.
Zeitstempel werden von verschiedenen zertifizierten Trustcentern angeboten. Das praktische Vorgehen ist in der Regel einfach. Auf einem Windows-System wird im Datei-Explorer ein zusätzlicher Menüpunkt von der installierten Software des Trustcenters angeboten. Wird er ausgewählt, erstellt die Software den Hash, baut eine Internetverbindung zum Trustcenter auf und liefert nach wenigen Sekunden den mit einem Zeitstempel und der elektronischen Unterschrift des Trustcenters versehenen Hash wieder zurück. Dieser muss dann mit den Daten archiviert werden.
Zusammen mit der Sicherung der Datendateien des Praxisprogramms kann dadurch bewiesen werden, dass die Sicherung nicht verändert wurde und dass sie nicht jünger ist als der vom Trustcenter an dem Hash angebrachte Zeitstempel, da eine jüngere Sicherung einen anderen Hash-Wert ergeben hätte und die Prüfung gescheitert wäre.
Ein Problem kann bei diesem Verfahren daraus entstehen, dass sich die Datenstruktur im Praxisprogramm durch Updates geändert hat und alte Dateien nicht mehr lesbar sind. Davor kann sich der Arzt schützen, indem er Sicherungen der Programmdateien alter Versionen aufbewahrt. Dies könnte zweckmäßigerweise sogar der Hersteller übernehmen.
BDT-Sicherung
Wenn man statt der programmspezifischen Datendateien die Karteikarte als BDT-(Behandlungsdatentäger-)Datei sichert, lässt sich das Versionsproblem umgehen. Das BDT-Format stellt eine herstellerübergreifende Metastruktur für elektronische Karteikarten dar, die dem Arzt bei einem Programmwechsel die Übertragung seiner Patienteninformationen in das neue Programm ermöglicht. Zwar ist auch die Struktur des BDT in der Vergangenheit geändert worden. Aber eine BDT-Sicherung ist gegebenenfalls auch in einem einfachen Text-Editor lesbar zu machen, ohne dass sie erneut in ein Praxisprogramm übertragen werden muss. Sollte es trotz der behaupteten BDT-Unterstützung zu Problemen kommen, greift die Gewährleistungspflicht gemäß BGB.
Die Verschlüsselung läuft wie beim Verfahren per Zeitstempel auf Basis der Praxissoftware ab. Von der BDT-Datei wird ein Hash erzeugt und dann an das Trustcenter geschickt, das den Zeitstempel anbringt.
Rechtliche Bewertung
Ausgangspunkt für die rechtliche Bewertung ist der neu gefasste § 292 a
Zivilprozessordnung (ZPO). Danach kann der Anschein der Echtheit einer in elektronischer Form (§ 126 a BGB) vorliegenden Willenserklärung, der sich aufgrund der Prüfung nach dem Signaturgesetz ergibt, nur durch Tatsachen erschüttert werden, die ernstliche Zweifel daran begründen, dass die Erklärung mit dem Willen des Signaturschlüsselinhabers abgegeben worden ist.
Anwendbarkeit: § 292 a ZPO verlangt eine elektronische Willenserklärung. Die Patientenkartei ist keine Willenserklärung, denn sie ist nicht auf die Herbeiführung von Rechtsfolgen gerichtet, sondern dient vielmehr dem Festhalten von Geschehnissen. Sie ist Aufzeichnung, nicht Erklärung. Der Paragraph kann daher nur analog angewandt werden. Eine solche Analogie ist indessen geboten. Der Gesetzgeber hat damit anerkannt, dass die qualifizierte elektronische Signatur dem signierten Text eine besondere Beweiskraft beimisst. Er hat das zwar nur für den Fall der elektronisch signierten Willenserklärung geregelt. Jedoch besteht kein Grund, für andere elektronisch signierte Texte anders zu entscheiden, denn der Schwerpunkt der Regelung liegt nicht bei der Willenserklärung, sondern bei der elektronischen Signatur.
Aus dem gleichen Grund ist es auch unerheblich, dass § 292 a ZPO nach der Einschätzung mancher Autoren den Erklärungsempfänger schützt, nicht jedoch den Erklärenden selbst. Die Norm akzeptiert den Anschein der Echtheit zugunsten desjenigen, der sich auf die Echtheit beruft. Das muss nicht unbedingt der Erklärungsempfänger sein, es kann auch der Erklärende selbst sein. Entscheidend ist, dass die qualifizierte elektronische Signatur den Anschein der Echtheit begründet.
Rechtsfolgen: Die elektronische Signatur begründet nach § 292 a ZPO für jeden signierten Text den „Anschein der Echtheit“. Beweisrechtlich bedeutet dies: Der Richter darf auf der Grundlage eines Anscheinsbeweises davon ausgehen, dass der elektronisch signierte Text echt – also unverfälscht – ist und vom Aussteller stammt. Dabei gilt der Inhaber des Signaturschlüssels als Aussteller.
Die Norm geht also davon aus, dass beide Funktionen der elektronischen Signatur genutzt worden sind und im Prozess eine Rolle spielen sollen: die Identität des Signierenden und die Unverfälschtheit der Daten. Für diesen Fall enthält das Gesetz keine unwiderlegbare Vermutung, sondern nur einen Anscheinsbeweis. Das bedeutet: Der Prozessgegner (der Patient) kann versuchen, die Überzeugung des Gerichts von der Echtheit des elektronisch signierten Dokuments zu erschüttern, indem er ernsthafte Zweifel begründet. Das ist ihm jedoch nur hinsichtlich des Umstandes erlaubt, dass die Signatur vom Berechtigten stammt. Der Patient kann also nur einwenden, es habe jemand den Signaturschlüssel ohne Zustimmung des Arztes verwendet (ein für den Arzthaftungsprozess in der Regel unergiebiger Einwand). Gelingt es dem Patienten, das Gericht in diesem Punkt zu verunsichern, muss der Arzt nachweisen, dass der Signaturschlüssel von (ihm als) dem Berechtigten stammt. Hingegen kann der Patient nicht einwenden, das elektronische Dokument sei verfälscht, weil dies bei einem elektronisch signierten Text technisch unmöglich ist.
Da es allein auf die Unverfälschtheit des Textes ankommt, beziehen die beiden Verfahren die Verwendung des privaten Schlüssels nicht mit ein, sondern beschränken sich auf Hash-Wert und Zeitstempel. Das ändert aber nichts an der Wirkung des § 292 a ZPO. Denn diese Norm akzeptiert gerade die Rolle des Hash-Wertes und lässt keinen Gegenbeweis zu. Dass sie darüber hinaus auch an die (eingeschränkte) Beweiswirkung des privaten Schlüssels anknüpft, bedeutet nicht, dass sie unanwendbar wäre, wenn ein privater Schlüssel nicht benutzt wird, gleichwohl aber ein Hash-Wert erstellt und damit die Fälschungssicherheit hergestellt ist.
Es stellt sich auch die Frage, wie häufig Sicherungskopien anzufertigen und mit einem Zeitstempel zu versehen sind. Sicher ist, dass die Dokumentation selbst in unmittelbarem Zusammenhang mit der Behandlung zu erfolgen hat. Davon zu unterscheiden ist die Frage, in welchen Abständen das Signaturverfahren zu erfolgen hat. Eine tägliche Sicherung scheidet aus. Empfehlenswert sind aber Signaturen in regelmäßigen Abständen – je kürzer, desto besser. Monatliche Sicherungen dürften noch ausreichen, wöchentliche wären vorzuziehen. Wenn der Patient dann im Arzthaftungsprozess einwendet, die elektronische Karteikarte sei zwischen der Behandlung/Dokumentation und der Sicherung geändert worden, muss er diesen Einwand bei regelmäßigen Sicherungen stets beweisen. Das muss jedenfalls so lange gelten, wie er nicht darlegen kann, dass der Arzt innerhalb des Sicherungsintervalls Anlass hatte, sich mit dem Fall im Hinblick auf einen möglichen Rechtsstreit zu befassen.
Kurze Sicherungsintervalle sind mit den beschriebenen Verfahren nicht beliebig erreichbar, weil diese zu einem großen, im Archiv zu bewältigenden Datenberg führen und häufige Zugriffe auf den Zeitstempeldienst des Trustcenters erfordern. In Einklang mit dem Signaturgesetz und der Signaturverordnung zeichnet sich indessen die Möglichkeit eines Offline-Zeitstempels ab. Ein zertifizierter Zeitstempelbaustein ermöglicht das Zeitstempeln der relevanten Daten durch den Anwender selbst vor Ort: Das Gerät verbindet sich in einem einstellbaren Zeitraum regelmäßig mit dem Trustcenter und hinterlegt dort die Zeitstempel. Eine Praxissoftware protokolliert sämtliche Schreibzugriffe auf die Patientenkartei zeitlich und ermöglicht die Rekonstruktion des Zustandes jeder Karteikarte zu beliebigen Zeitpunkten in der Vergangenheit. Eine solche Praxissoftware wird zurzeit entwickelt. Alternativ wäre eine solche Schreibprotokollierung auch auf der Ebene des Betriebssystems selbst vorstellbar.

zZitierweise dieses Beitrags:
Dtsch Arztebl 2002; 99: A 3164–3166 [Heft 47]

Anschrift für die Verfasser:
Prof. Dr. iur. Reinhard Bork
Schlüterstraße 28, 20146 Hamburg
Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema