Fachgerechte Archivierung der Patientendaten in der Arztpraxis
Einem niedergelassenen Arzt wurde kürzlich in einem Beratungsgespräch mit einem Vertreter für Praxissoftware empfohlen, eine separate Archivierungssoftware zu erwerben. Begründet wurde diese Empfehlung damit, dass die normale elektronische Akte in der eigenen Praxissoftware nicht sicher sei – schließlich könne man an den Einträgen darin nachträglich Änderungen vornehmen, die im Falle eines Rechtsstreits nicht nachverfolgt werden könnten. Nun fragt er sich, ob er ein Archivsystem kaufen muss, um eine revisionssichere Archivierung seiner Patientendaten zu gewährleisten.
Um diese Frage beantworten zu können, muss man sich zunächst die rechtlichen Regelungen ansehen. Die ärztliche Dokumentations- und Aufbewahrungspflicht ergibt sich aus dem Bürgerlichen Gesetzbuch sowie aus dem Bundesmantelvertrag Ärzte (§ 57) und der Berufsordnung (§ 10), wobei die Anforderungen an die Dokumentation in den verschiedenen Vorschriften nur unbestimmt beschrieben werden. Mit den Änderungen der §§ 630 BGB durch das im Jahr 2013 eingeführte Patientenrechtegesetz wird zusätzlich die sogenannte Revisionssicherheit elektronischer Patientenakten gefordert. Aber fangen wir am besten erstmal ganz vorne an.
Revisionssicherheit – was ist das genau?
Der Begriff der revisionssicheren Archivierung und Aktenführung kommt nicht aus dem Gesundheitswesen, sondern ursprünglich aus dem Handels- und Steuerrecht. Dementsprechend stammen die gängigsten Definitionen aus dem Handelsgesetzbuch, der Abgabenordnung oder den vom Bundesfinanzministerium veröffentlichten „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form“, kurz: GoBD. Die Kriterien für ein revisionssicheres System sind demnach:
- Nachvollziehbarkeit
- Vollständigkeit
- Richtigkeit
- Zeitgerechte Aufzeichnung
- Ordnung
- Unveränderbarkeit
Für Arztpraxen sind viele dieser Punkte aber nur eingeschränkt von Belang: Zwar werden auch 2024 immer noch eingescannte Papierdokumente in ein elektronisches Archiv bzw. direkt in die Praxissoftware übernommen, aber die meisten Daten – wie zum Beispiel Patientendaten, Leistungen oder die medizinische Dokumentation – entstehen nicht außerhalb des Systems, sondern in der Praxissoftware selbst.
Für Ärzte ist folglich vor allem der Punkt der Unveränderbarkeit von Bedeutung. Gemäß dem Patientenrechtegesetz sind Berichtigungen und Änderungen von Eintragungen in der elektronischen Patientenakte nur zulässig, wenn daneben der ursprüngliche Inhalt erkennbar bleibt und der Zeitpunkt der Änderungen dokumentiert ist. Dies ist insbesondere für elektronische Patientenakten von Bedeutung, da hier nachträgliche Änderungen nicht ohne weiteres als solche zu erkennen sind.
Patientendaten rechtssicher verwalten – mit der richtigen Praxissoftware
Um zu beurteilen, ob eine Software revisionssicher ist, muss man sich eigentlich nur fragen, wie schwer es beispielsweise wäre, einen Datensatz der Patientenakte spurlos aus der Datenbank verschwinden zu lassen. Die Datenbank eines Praxissystems kann man sich wie eine große Excel-Tabelle vorstellen, aus der jederzeit Zeilen entfernt, deren Zelleninhalte geändert oder in die neuen Zeilen hinzugefügt werden können. Einfache, nicht revisionssichere Datenbanken führen diese Änderungen ohne weiteres aus. Nachträglich lässt sich dann nicht mehr feststellen, dass ein ursprünglich vorhandener Eintrag gelöscht wurde. Um die Anforderungen des Patientenrechtegesetzes umzusetzen, haben viele Systeme ein „Logbuch“ eingeführt, in dem alle Änderungen protokolliert werden. Über die Einträge in diesen sogenannten Transaktionslogs lässt sich dann nachvollziehen, ob, wann und von wem ein Datensatz erzeugt, verändert oder gelöscht wurde. Um einen Datensatz verschwinden zu lassen, muss hier nicht nur der eigentliche Eintrag aus der Datenbank gelöscht werden, sondern auch der Logbucheintrag, der dieses Löschen protokolliert.
Sehr viel schwieriger wird es, wenn wie bei RED medical eine andere Art der Datenbank verwendet wird, in der Patientendatensätze nicht überschrieben werden. In diesen Systemen wird bei jeder Änderung ein neuer Datensatz angelegt, wodurch die gesamte Historie des Datensatzes nachvollziehbar wird. Hier müssten, um einen Datensatz komplett zu tilgen, seine gesamte Historie sowie alle begleitenden Protokolle gelöscht werden. Noch schwieriger wird es, wenn die Software und ihre Speichermedien getrennt werden, etwa durch Auslagerung der Datenbank in ein sicheres Rechenzentrum. Um in einem solchen Szenario Daten aus einer Patientenakte zu löschen, müsste man zusätzlich zu allen anderen Schwierigkeiten noch den Administrator der Server dazu bewegen zu kollaborieren.
Konkret heißt das: Ärzte benötigen ein System, das bei jeder Änderung eine neue Version des Datensatzes erzeugt, die auf ihren “Vorgänger” verweist. Anhand dieser Versionskette ist die Entstehung und der Verlauf einzelner Einträge in der Praxissoftware lückenlos nachweisbar. Und nicht nur das: Auch eine Manipulation des Datensatzes ist auf diese Weise so gut wie unmöglich, denn hierfür müsste nicht nur der entsprechende Eintrag aus der Datenbank gelöscht bzw. geändert werden, sondern auch die gesamte Datenhistorie sowie alle begleitenden Protokolle.
Für echte revisionssichere Datenspeicherungs-Systeme wird zudem gefordert, dass sie sogenannte WORM-Speichermedien (“Write once-read many”) verwenden müssen. Das sind beispielsweise optische Speicher wie DVDs, die nur einmal beschrieben werden können. Um hier Daten verschwinden zu lassen, müssten zusätzlich noch die kompletten Speichermedien vernichtet und ausgetauscht werden.
Wie ist nun die eingangs erwähnte Empfehlung des Vertreters für Praxissoftware zu beurteilen? Wenn angeblich Veränderungen an den in der Software gespeicherten Daten nachträglich nicht nachvollzogen werden können, sind Anforderungen des §§ 630 BGB durch die Praxissoftware selbst nicht erfüllt. Ob ein Archivierungssystem in diesem Fall die Revisionssicherheit der Dokumentation vollständig herstellen kann, hängt von seiner Funktionsweise ab.
Revisionssicherheit: Wann ist ein externes Archivierungssystem notwendig?
Archivierungslösungen dienen normalerweise dazu, die Daten zu speichern und zu verwalten, die aus technischen Gründen nicht in der Datenbank der Praxissoftware selbst gespeichert werden können. Dabei handelt es sich in der Regel um die Resultate bildgebender Verfahren wie Sonographie oder Röntgen oder eingescannte Befunde oder Eingangs- und Ausgangspost. Um wirklich revisionssicher gespeichert zu werden, müssen diese Daten im Archivsystem versioniert, abgelegt und auf optische Speichermedien gesichert werden.
Um allerdings die Rechtssicherheit der kompletten Patientendokumentation zu gewährleisten, müssten neben Briefen und Bildern auch alle selbst erfassten Einträge der Patientenakte wie Leistungen, Diagnosen, Befunde oder Anamnesen mit in die Archivierung mit einbezogen werden. Dies kann im Zusammenspiel mit einem Archivsystem dadurch erreicht werden, dass täglich alle Änderungen der elektronischen Karteikarte in ein nicht veränderbares Format (beispielsweise eine PDF-Datei) überführt und dann regelmäßig als Dokument durch das Archivsystem auf optischen Medien gesichert werden – eine Vorgehensweise, die in der Praxis wohl kaum handhabbar ist.
Das bedeutet: Um für gerichtliche Auseinandersetzungen gewappnet zu sein, ist eine revisionssichere Software unabdingbar. Wie diese Revisionssicherheit gewährleistet wird, ist abhängig vom System. So erfordern manche Systeme, die selbst nicht revisionssicher sind, den Einsatz einer externen Archivierungssoftware, in der die Patientendaten revisionssicher abgelegt werden können. Andere Systeme, wie RED medical, sind wiederum von Haus aus revisionssicher – was für die Praxis den Luxus mitbringt, sich nicht um eine weitere Lösung kümmern zu müssen und gegebenenfalls auch Kosten für diese zusätzliche Software einzusparen.
Archivierte Daten: Nachweis über Manipulationsfreiheit wichtig
Um wirklich als revisionssicher gelten zu können, reicht es aber nicht aus, die technischen Voraussetzungen zu schaffen. Um Manipulationen auszuschließen, müssen daneben auch organisatorische Prozesse und Festlegungen wie etwa Zugriffsrechte und Regelungen zur geordneten Aufbewahrung der Speichermedien getroffen und eingehalten werden. Der Nachweis der Manipulationsfreiheit ist wichtig, denn im Fall der Fälle stellt sich die Frage, ob die archivierten Daten überhaupt vor Gericht verwertbar sind. Analog zur aktuellen Rechtsprechung im Steuer- und Handelsrecht, nach der mangels medizinspezifischer Rechtsfassung beurteilt wird, hängt die Anerkennung als Beweismittel davon ab, mit welchen Mitteln ein archiviertes Dokument vor Manipulation geschützt wurde. Im Zweifel prüft das Gericht, wer mit welchem plausiblen Motiv und mit welchen Mitteln das Originaldokument hätte fälschen oder verfälschen können bzw. mit welchen Verfahren das Dokument gescannt wurde und welche Maßnahmen zur Qualitätssicherung dabei berücksichtigt wurden.
Die Rechtsprechung hat sich bei diesem Thema bisher hauptsächlich mit der Beweiskraft gescannter Dokumente wie beispielsweise Rechnungen oder Bildbefunden beschäftigt. Es fehlen Erfahrungswerte darüber, ob Veränderungen an Daten über den Weg archivierter Dokumente gerichtsfest nachweisbar sind und wie groß der Aufwand ist, um diese aufzubereiten. Nicht fehlen darf der Hinweis, dass die archivierten Daten in der Regel im Klartext vorliegen und daher unbefugten Dritten wie IT-Dienstleistern nicht offenbart werden dürfen (Verstoß gegen § 203 StGB), auch wenn diese als Auftragsdatenverarbeiter vertraglich tätig werden.
Fazit: Augen auf bei der Wahl der Praxissoftware
Und wie lautet nun die abschließende Empfehlung? Um für gerichtliche Auseinandersetzungen gewappnet zu sein, gibt es, wenn die Praxissoftware selbst keine revisionssichere Datenspeicherung bietet, zwei Möglichkeiten. Die schlechtere Alternative ist der Einsatz eines zusätzlichen externen Archivsystems, um Ihre Patientenakten abzulegen. Dabei sollte durch entsprechende Prozesse und Verfahren nachweislich sichergestellt werden, dass die gespeicherten Daten nicht manipuliert werden können. Die bessere Alternative ist, zu einem System wie RED medical zu wechseln, das von Haus aus Revisionssicherheit bietet.