Recht

Erhöhung der Beweiskraft

Die nachträgliche Veränderbarkeit der erstellten Dokumente muss ausgeschlossen werden. Dies ist bisher nur mithilfe einer so genannten qualifizierten elektronischen Signatur und mit einem qualifizierten elektronischen Zeitstempel möglich. Die elektronischen Daten werden hierzu mit Informationen verknüpft, mit denen der Unterzeichner identifiziert und die Integrität der elektronischen Information überprüft werden kann.

Sicherung des Inhalts der Datei

Aus der zu sichernden Datei wird mithilfe einer Signatursoftware ein bestimmter Hash-Wert erzeugt. Eine Reproduktion des Originaldokuments ist hieraus nicht möglich. Es handelt sich mehr um eine Art elektronischen Fingerabdruck des Dokuments. Nach dem heutigen Stand der Technik ist es nicht möglich, ein anderes Dokument mit exakt demselben Hash-Wert zu erstellen. Die Veränderung nur eines Zeichens (ein Komma, ein anderes Wort) führt zu einer Veränderung des Wertes. Hierdurch kann die Unveränderbarkeit des Dokumentes gesichert werden. Der bekannteste Algorithmus ist der Secure-Hash-Algorism (SHA-I) mit einer Länge von 160 Bit.

Absender

Wird ein solcher Hash-Wert erstellt, muss nun noch die Echtheit des Dokuments (d.h. der Aussteller ist auch wirklich derjenige, der angegeben wird) belegt werden, was mit einer elektronischen Signatur geschieht. Zur Unterzeichnung wird ein asymmetrisches Kryptografieverfahren genutzt. Das bekannteste, nämlich das RSA-Verfahren, überführt einen Klartext – in diesem Fall den Hash-Wert – unter Anwendung zweier Schlüsselpaare nach einem Algorithmus in einen geheimen Text. Jeder Kommunikationspartner besitzt hierzu ein Schlüsselpaar, einen öffentlichen und einen privaten Schlüssel. Der Absender einer Datei verschlüsselt die Daten mit dem öffentlichen Schlüssel eines Empfängers, der die Nachrichten dann mit seinem privaten Schlüssel entschlüsselt. Der öffentliche Schlüssel kann daher problemlos allen Kommunikationspartnern zur Verfügung gestellt werden, also auch dem Personal des (Zahn-)Arztes.

Die beiden Schlüssel stehen in einer mathematischen Beziehung zueinander, können aber praktisch nicht aus dem jeweils anderen abgeleitet werden. Der derart verschlüsselte Hash-Wert gilt im Rechtssinne als durch den Verwender der Signatur unterzeichnet. Es kann also festgestellt werden, dass ein Dokument, dem ein verschlüsselter und signierter Hash-Wert eindeutig zugeordnet werden kann, von jemandem erstellt wurde, der ebenso eindeutig identifiziert werden kann (hier der Zahnarzt).

Zeitpunkt der Erstellung

Es liegt mithin ein nicht mehr veränderbares Dokument mit einem bestimmten Absender vor. Wann dieses erstellt wurde, ist jedoch noch nicht erkennbar. Hierfür benötigt man noch einen so genannten elektronischen Zeitstempel. Dieser versieht den Hash-Wert mit einer eindeutigen Zeitangabe. Der Stempel wird von einer durch die Bundesnetzagentur geprüfte Institution vergeben, die die Echtheit des Erstellungsdatums versichert. Der Zeitstempel belegt damit, dass das Dokument spätestens zum angegebenen Zeitpunkt existierte, und der Hash-Wert beweist, dass das Dokument seitdem nicht mehr verändert wurde.

Anerkennung

Seit Einführung des Signaturgesetzes 2002 kann die Frage nach der Rechtssicherheit dieses Verfahrens eindeutig bejaht werden. Zu beachten sind die Nutzung einer qualifizierten Signatur und die penible Einhaltung der angegebenen Gültigkeitsdauer der Zertifikate. Diese Schlüssel verändern bzw. verbessern sich immer wieder, da die Angriffe hierauf immer ausgefeilter werden. Qualifizierte Signaturen dürfen fünf Jahre lang genutzt werden (§ 14 Abs. 3 Signaturverordnung, Ansprechpartner: sog. Trust-Händler, bspw. Signtrust, Deutsche Post AG).

Wegen der begrenzten Haltbarkeit müssen auch bereits signierte Dokumente nach Ablauf der Gültigkeitsdauer erneut gestempelt werden. Alternativ bietet das Fraunhofer-Institut für sichere Informationstechnologie (SIT, Darmstadt) das Forschungsprojekt ArchiSoft an, welches eine rechtlich anerkannte Langzeitaufbewahrung ermöglicht.

Durch die qualifizierte elektronische Signatur ist eine Gleichstellung mit privaten Urkunden möglich. Insbesondere wird der Anschein der Echtheit gewährleistet (§ 371a ZPO). In Bezug auf die zeitliche Erstellung ist diese sogar noch genauer als die handschriftliche Variante.

Sicherung der Daten

Die Daten müssen regelmäßig gegen Verlust gesichert werden, empfehlenswert wäre dies einmal pro Monat.

Eingehende Originaldokumente

Ein weiteres lösbares Problem sind die eingehenden Papierkorrespondenzen. Diese sind nicht vor Veränderungen vor der Digitalisierung geschützt. Daher wird vorgeschlagen, dass zu dem eingescannten Dokument ein qualifiziert signierter Vermerk beigefügt wird, der besagt, wer das Dokument zu welcher Zeit digitalisiert hat, und damit bekundet, dass die Kopie mit dem Original übereinstimmt. Hierdurch kommt es zwar nicht zu einer vollständigen Gleichstellung mit dem Original, aber doch zumindest zu einer starken Annäherung.

Datenschutz

Praxisinterne Regelungen müssen den Datenschutz gewährleisten. Insbesondere ist zu regeln, wer in welcher Weise Zugriff zu den Daten haben darf. Besonders wichtig ist dies bei der externen Wartung der Systeme (sog. Remote). Ein Zugriff sollte nur bei Bedarf ermöglicht werden. Des Weiteren sollte der Dienstleister zur eigenen Sicherheit eine entsprechende Verschwiegenheitserklärung unterschreiben.

Kontakt mit anderen (Zahn-)Ärzten

Muss ein Patient fachübergreifend behandelt werden (Schweigepflichtsentbindung des Patienten einholen!), ist beim Austausch vom Behandlungsdaten die unbefugte Einsicht Dritter zu verhindern. Auch hier bietet sich die elektronische Signatur an.

Fazit

Die Umstellung auf eine elektronische Behandlungsakte kann Zeit, Personal und Platz (und damit Geld) sparen. Allerdings muss zur Beweissicherung eine qualifizierte elektronische Signatur verwendet werden und die Daten der Patienten dürfen nicht der Gefahr der Preisgabe an Unbefugte ausgesetzt sein.

Zurück zu Teil 1:
Die papierlose Zahnarztpraxis – Teil 1

Teilen