Elektronische Unterschriften – Digitale Signaturen

Dienstag 9. April 2019

Elektronische Unterschriften und digitale Signaturen dürfen als gleichwertig zu handgeschriebenen Unterschriften („wet ink“) betrachtet werden.

Welche Voraussetzungen dafür erfüllt sein müssen, hängt vom Grad der zu erreichenden Verbindlichkeit und damit vom Dokument ab, das unterschrieben werden soll.

Dieser Artikel klärt,

  • wann Hersteller überhaupt eine Unterschrift benötigen,
  • unter welchen Umständen diese Unterschrift elektronisch erfolgen darf,
  • welcher Typ an elektronischer Unterschrift verlangt wird,
  • was der Unterschied zwischen einer elektronischen Unterschrift und einer digitalen Signatur ist und
  • wie sich das elektronische Signieren in der Praxis umsetzen lässt.

1. Wann benötigt man (überhaupt) eine Unterschrift?

a) Medizinprodukterichtlinie MDD

Die MDD erwähnt das Wort „Unterschrift“ nicht. Sie schreibt allerdings im Anhang II („EU-Konformitätserklärung“):

Der Hersteller bringt die CE-Kennzeichnung gemäß Artikel 17 an und stellt eine schriftliche Konformitätserklärung aus.

MDD, Anhang II

Das verstehen Behörden und benannte Stellen so, dass diese Erklärung einer Unterschrift bedarf.

b) Medizinprodukteverordnung MDR

Die MDR fordert explizit Unterschriften beispielsweise im Anhang IV zur „EU-Konformitätserklärung“:

„Die EU-Konformitätserklärung enthält alle folgenden Angaben: […]  Ort und Datum der Ausstellung der Erklärung, Name und Funktion des Unterzeichners sowie Angabe, für wen und in wessen Namen diese Person unterzeichnet hat, Unterschrift“.

MDR, Anhang IV

Hersteller müssen auch eine Unterschrift leisten, wenn sie bei einer benannten Stelle beantragen, eine Konformitätsbewertung durchzuführen. (Anhang VII „Von den benannten Stellen zu erfüllende Anforderungen“).

Bei klinischen Prüfungen fordert die MDR die Unterschriften der „Hauptprüfer“.

c) ISO 13485:2016

Die DIN EN ISO 13485:2016 erwähnt den Begriff „Unterschrift“ nicht. Allerdings verlangt sie in Kapitel 4.2.5 („Lenkung von Dokumenten“):

Ein dokumentiertes Verfahren muss die erforderlichen Lenkungsmaßnahmen festlegen, um:
a) Dokumente bezüglich ihrer Angemessenheit vor ihrer Herausgabe zu bewerten und zu genehmigen, […]

DIN EN ISO 13485:2016, Kapitel 4.2.5

Damit sind die Hersteller verpflichtet nachzuweisen, dass

  1. Dokumente geschrieben, bewertet und genehmigt werden,
  2. dies in dieser Reihenfolge geschieht,
  3. nicht die gleiche Person schreibt, bewertet und genehmigt und
  4. die Genehmigung vor der Herausgabe erfolgt.

Diese Anforderungen lassen sich nur durch eine Zuordnung des Dokuments und der Tätigkeiten zu einer Person und einem Datum für jede Tätigkeit erfüllen. Genau diese Zuordnung erfolgt durch eine Unterschrift.

Mit dieser Unterschrift drücken die Personen das Folgende aus:

  • Autorenschaft: „Ich verantworte den Inhalt und halte ihn für korrekt“
  • Bewertung / Review: „Der Inhalt wurde von mir nach festgelegten Kriterien geprüft und entspricht diesen“
  • Genehmigung / Freigabe: „Der Inhalt kann im weiteren Prozess benutzt werden (und ich habe die Befugnis, dies zu entscheiden)“
Weiterführende Informationen

Lesen Sie hier mehr zum Thema Dokumentenfreigaben und Vier-Augen-Prinzip.

Diese Anforderungen sind nachvollziehbar: Eine Systemspezifikation zu erstellen, bevor man die User Requirements erhoben und dokumentiert hat, ergibt meist wenig Sinn. Bevor ein Produkt in der Produktion vervielfältigt wird, muss das Design in Tests überprüft worden sein.

d) Zusammenfassung

Damit können wir zusammenfassen:

  1. Die Hersteller müssen Dokumente erstellen wie die technische Dokumentation und die Konformitätserklärung.
  2. Die Hersteller müssen diese Dokumente unterschreiben.
  3. Mit der Unterschrift erklären die Hersteller im Falle der Konformitätserklärung die Produktkonformität (und damit die Sicherheit des Produkts) und im Falle der technischen Dokumentation die Prozesskonformität.

2. Wann benötigt man elektronische Unterschriften?

Eine Pflicht, Dokumente elektronisch zu erstellen und einzureichen, gibt es (noch) nicht (überall). Allerdings wächst der Druck von Behörden und benannten Stellen, dies zu tun. Standardisierte elektronische Formate wie CDISC bei klinischen Prüfungen sind teilweise die einzige effiziente Form der Kommunikation.

Sobald Hersteller statt Papierdokumente elektronische Dokumente erzeugen, müssen sie die handgeschriebenen Unterschriften durch elektronische Unterschriften bzw. digitale Signaturen ersetzen.

3. Wann sind eine elektronische Unterschriften erlaubt?    

a) In Deutschland / Europa: BGB, VDG, eIDAS

Das Bürgerliche Gesetzbuch BGB gibt im §126 „Schriftform“ explizit die Erlaubnis handschriftliche Unterschriften durch elektronische Unterschriften zu ersetzen:

„… (3) Die schriftliche Form kann durch die elektronische Form ersetzt werden, wenn sich nicht aus dem Gesetz ein anderes ergibt. …“

BGB, §126

Bei gesetzlich vorgeschriebenen Unterschriften hängt das BGB die Latte noch etwas höher:

„(1) Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur versehen.

BGB §126a

Was eine „qualifizierte elektronische Signatur“ ist, regelt das Vertrauensdienstegesetz VDG (ehemals Signaturgesetz), welches die EU-Verordnung eIDAS (ehemals Signaturrichtlinie) umsetzt (s. Abb. 1).

Den rechtlichen Rahmen für eine elektronische Unterschrift bildet das Vertrauensdienstegesetz (VDG), da die EU-Verordnung eIDAS umsetzt und das Signaturgesetz ablöst, welches die ehemalige EU-Signaturrichtlinien umsetzte.
Abb. 1: Das Vertrauensdienstegesetz (VDG) setzt die EU-Verordnung eIDAS um und löst das Signaturgesetz ab, welches die ehemalige EU-Signaturrichtlinien umsetzte.

b) USA – FDA: 21 CFR part 11

Die FDA gestattet ebenfalls den Ersatz von schriftlichen durch elektronische Unterschriften. Die Unterschriften und die damit unterzeichneten Dokumente müssen dann den Anforderungen des 21 CFR part 11 genügen.

Die Anforderungen dieses administrativen Gesetzes gelten nur für Firmen, die mit der FDA kommunizieren bzw. der Behörde Dokumente vorlegen müssen z.B. während einer Inspektion.

Weiterführende Informationen

Lesen Sie hier mehr zum Thema 21 CFR part 11.

4. Welche Typen an elektronischen Unterschriften gibt es?

Die EU-Verordnung über elektronische Identifizierung und Vertrauensdienste (kurz eIDAS (910/2014)) unterscheidet drei Typen an elektronischen Unterschriften:

  1. Elektronische Signatur
  2. Fortgeschrittene elektronische Signatur
  3. Qualifizierte elektronische Signatur

a) Elektronische Signatur

Die eIDAS definiert eine elektronische Signatur wie folgt:

Definition: Elektronische Signatur
„„Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.““
eIDAS

Das Einfügen eines Unterschriften-Scans in ein Dokument ist ein Beispiel für eine elektronische Signatur. Ebenso ist die Signatur in einer E-Mail eine elektronische Signatur.

Diese Signatur stellt die schwächste Form des Nachweises statt, da weder sichergestellt ist, dass die Person selbst diese „Daten beigefügt oder logisch verbunden“ hat, noch lässt sich der Zeitpunkt dieses Beifügens nachvollziehen.

b) Fortgeschrittene elektronische Signatur

Die nächste Stufe sind die fortgeschrittenen elektronischen Signaturen.

Definition: fortgeschrittene elektronische Signatur
elektronische Signaturen nach Nummer 1, die
  1. eindeutig dem Unterzeichner zugeordnet sind,
  2. die Identifizierung des Unterzeichners ermöglichen,
  3. unter Verwendung elektronischer Signaturerstellungsdaten erstellt sind, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann, und
  4. so mit den auf diese Weise unterzeichneten Daten verbunden sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann
Quelle: eIDAS

Ein Beispiel für diesen Typ an elektronischen Unterschriften sind Versionsverwaltungssysteme wie SVN oder git:

Beim „Commit“ wird immer der Name der Person und der Zeitpunkt mit gespeichert. Durch seinen Benutzernamen und sein Passwort kann die Person identifiziert werden. Organisatorisch lässt sich sicherstellen, dass nur die Person selbst über diese „Credentials“ verfügt. Schließlich stellen Prüfsummen sicher, dass eine nachträgliche Veränderung der Daten nicht unbemerkt bliebe. Genau dazu sind Versionsverwaltungssysteme gedacht.

Aber auch fortgeschrittene elektronische Signaturen bieten die Möglichkeit der Manipulation:

  1. Wenn die organisatorischen Maßnahmen nicht wirksam sind, wäre es möglich, dass eine zweite Person den gleichen Namen verwendet oder dass sie Zugriff zu Zugangsdaten und damit die Identität der ersten Person erlangt.
  2. Durch ein Verändern der Systemzeit des Versionsverwaltungssystems ließe sich der Zeitstempel manipulieren.

Um diese Nachteile zu minimieren, bedarf es ggf. einem höheren „Integritätslevel“, der qualifizierten elektronischen Signatur.

c) Qualifizierte elektronische Signatur

Auch diesen Typ definiert eIDAS:

Definition: Qualifizierte elektronische Signatur
„Fortgeschrittene elektronische Signaturen nach Nummer 2, die
  1. von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurden und
  2. Auf einem qualifizierten Zertifikat für elektronische Signaturen beruhen
Quelle: eIDAS

Im Anhang II ergänzt die Verordnung:

„(3) Das Erzeugen oder Verwalten von elektronischen Signaturerstellungsdaten im Namen eines Unterzeichners darf nur von einem qualifizierten Vertrauensdiensteanbieter durchgeführt werden.“

Quelle: eIDAS

Zu diesen Anbietern zählen:

  • Bundesagentur für Arbeit
  • Bundesnotarkammer
  • Deutsche Post AG
  • D-Trust GmbH
  • Deutscher Sparkassen Verlag GmbH
  • Deutsche Telekom AG
  • DGN Deutsches Gesundheitsnetz Service GmbH
  • medisign GmbH

5. Welchen Typ an elektronischer Signatur benötigt man?

a) Risikobasierter Ansatz der ISO 13485:2016

Die ISO 13485:2016 spricht davon, dass Prozesse und die Validierung von Computersystemen risikobasiert erfolgen sollen. Diesen risikobasierten Ansatz gilt es, auch bei der Wahl des Typs an elektronischer Signatur anzuwenden.

Wenn es um Menschenleben geht (> Produktkonformität), wird man auf das höchste Niveau wählen. Wenn es um den Nachweis geht, dass man seinen Verfahrensanweisungen gefolgt ist (> Prozesskonformität), sollte eine fortgeschrittene elektronische Signatur genügen.

In anderen Worten: Eine Konformitätserklärung sollten Hersteller von Hand („wet ink“) oder mit einer qualifizierten elektronischen Signatur unterschreiben. Bei Spezifikationen, Testberichte u.ä. genügt eine fortgeschrittene elektronische Signatur.

b) Rechtliche Anforderungen in Europa

Die eIDAS stellt explizit klar:

„(1) Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.“

eIDAS

c) Rechtliche Anforderungen in den USA

Der 21 CFR part 11 unterscheidet die elektronische und die digitale Signatur:

(5) Digital signature means an electronic signature based upon cryptographic methods of originator authentication, computed by using a set of rules and a set of parameters such that the identity of the signer and the integrity of the data can be verified.

(7) Electronic signature means a computer data compilation of any symbol or series of symbols executed, adopted, or authorized by an individual to be the legally binding equivalent of the individual’s handwritten signature.

21 CFR part 11

Die elektronische Signatur entspricht der elektronischen Signatur gemäß eIDAS, die digitale Signatur zumindest der fortgeschrittenen elektronischen Signatur.

Die FDA stellt keine Anforderungen, die nur durch eine qualifizierte elektronische Signatur erfüllt werden könnten. Sie fordert:

  • Verfälschungen müssen erkannt werden (11.10)
  • Angemessene Standards für digitale Signaturen, um die Authentizität, Integrität und Vertraulichkeit von Aufzeichnungen zu gewährleisten (11.30)
  • Sicherstellung, dass Unterschriften nicht entfernt oder auf andere Dokumente übertragen werden können (11.70)
  • Will eine Person mehrere elektronische Unterschriften leisten, muss sie sich initial mit allen Daten anmelden (typischerweise Benutzername und Passwort), dann für jeden einzelnen Vorgang mit mindestens einer Komponente (typischerweise Passwort oder PIN) (11.200)
  • Sicherstellung, dass es das Zusammenwirken zweiter Personen bedürfte, um die elektronische Unterschrift einer dritten Person zu fälschen. (11.200)
  • Auf einem elektronisch unterschriebenen Dokument erwartet die FDA den Namen des Unterzeichners (in Druckbuchstaben, kein Bild/Scan der Unterschrift), Datum und Uhrzeit der Unterschrift und was mit der Unterschrift bestätigt wird (Autorenschaft, Prüfung, Freigabe) (11.50). Diese Unterschrift kann bei Dokumenten, die in Systemen „leben“ (z.B. einem ALM Tool) auch im System hinterlegt sein, die technisch untrennbar mit dem Inhalt des Dokuments verknüpft ist.

Fazit: Keine dieser Anforderungen macht es zwingend, qualifizierte elektronische Unterschriften zu verwenden. Eine fortgeschrittene elektronische Unterschrift mit einem validierten System gepaart mit geeigneten organisatorischen Maßnahmen sind ausreichend.

6. Wie (mit welchen Werkzeugen) erstellt man eine digitale Unterschrift?

Das Johner Institut empfiehlt, Werkzeuge zu nutzen, um digitale Unterschriften zu leisten. Die Art der geeigneten Werkzeuge hängt von der Arbeitsweise der Hersteller ab:

  1. Wenn Hersteller vor allem dokumentenorientiert arbeiten (z.B. mit Word), sind die Produkte von Adobe und Microsoft (z.B. Word) alleine bzw. mit Plugins ausreichend, um die technischen Voraussetzungen an eine fortgeschrittene elektronische Signatur zu erfüllen.
  2. Das Johner Institut selbst erstellt die meisten Dokumente im Markdown-Format und nutzt git als Versionsverwaltungswerkzeug. Durch geeignete organisatorische Maßnahmen (z.B. Vorgaben zum Branching und Merging) lassen sich die Anforderungen an eine fortgeschrittene elektronische Signatur erfüllen.
  3. Sehr elegant ist es, auf Werkzeuge zu setzen, die die Inhalte der Dokumente in einer Datenbank pflegen wie die ALM-Tools z.B. die von Medsoto (MedPack, RiskPack und DocuPack). Diese Produkte verfügen bereits über eingebaute Mechanismen wie z.B. die Bestätigung von Freigaben per Passwort, um rechtskonforme fortgeschrittene elektronische Signaturen zu erzeugen.

Das Unterschreiben von Konformitätserklärungen rechtfertig den Aufwand meist nicht, ein System zu etablieren, mit dem qualifizierte elektronische Signaturen erzeugt werden können.

Sven Wittorf, der Geschäftsführer unseres Schwesterunternehmens Medsoto hat sich die Mühe gemacht, die Voraussetzungen für eine qualifizierte digitale Signatur zu schaffen. Hier ist sein (Leidens-)Bericht:

7. Wie funktioniert das digitale Signieren technisch?

a) Digitale Signatur: Was hat das mit Hashwert z.B. MD5 und SHA zu tun?

Zuerst wird aus dem Dokument ein so genannter Hashwert berechnet. Der Hashwert ist eine Zeichenkette (aktuell meist 254 Bit oder länger) und gleicht einem Fingerabdruck des Dokuments. Jede auch noch so kleine Änderung an dem Dokument wird bei einer Prüfung zu einem anderen Hashwert führen. Es ist (mit realistischem Aufwand) nicht möglich, aus dem Hashwert auf den Inhalt des Dokuments Rückschlüsse zu ziehen.

Digitale Signatur auf Basis des Hashwerts des Dokuments
Abb. 2: Erzeugen einer digitalen Signatur

Bekannte und heute noch genutzte Verfahren (Algorithmen) zur Berechnung dieses Wertes sind MD5 (128 Bit), SHA-256, und SHA-512. Das BSI gibt jedes Jahr diesbezügliche Empfehlungen heraus, die mit Experten abgestimmt sind.

Typische Längen für eine digitale Signatur sind 1536 Bit und mehr. Da die Hash-Algorithmen deutlich kürzere Zeichenketten ergeben, werden diese dann durch spezielle Zeichen aufgefüllt. Dieser Vorgang wird Padding genannt.

b) Verschlüsselung, RSA und digitale Signatur

Soweit sind weder das Originaldokument noch dessen Hashwert einem Urheber zuordenbar. Dies erfolgt im zweiten Schritt dadurch, dass der (aufgefüllte) Hashwert durch ein Signaturverfahren mit dem privaten Schlüssel des Urhebers zu einer Signatur verknüpft wird. Weit verbreitete, asymmetrische Verfahren dafür sind RSA bzw. DSA.

Wohlgemerkt: Für Signaturzwecke wird der Hashwert und nicht das komplette Dokument mit dem Schlüssel verknüpft, weil hierfür nicht der Inhalt des Dokuments verborgen, sondern „nur“ dessen Integrität gewährleistet werden soll. Der Hashwert stellt somit eine wesentliche Komponente der digitalen Signatur dar.

Auch für Signatur und Verschlüsselung analysiert das BSI jährlich die Sicherheit der empfohlenen Verfahren. Eine auf RSA bzw. DSA basierende Signatur mit einer Länge von 2000 Bit wird bis 2022 als sicher angesehen. Danach sind mindestens 3000 Bit erforderlich (Quelle).

c) Schlüssel, Zertifikat und Zertifizierungsstelle

Dass der Schlüssel wirklich vertrauenswürdig dem Urheber zugeordnet werden kann, belegen Zertifikate. Sie werden von Trust-Centern (Zertifizierungsinstanzen) ausgestellt, sind von dieser signiert (und damit integer) und enthalten neben dem Namen des Urhebers und dem Fälligkeitsdatum auch dessen öffentlichen Schlüssel. Öffentlicher und privater Schlüssel bilden dabei ein Paar. Während der öffentliche Schlüssel aus dem privaten Schlüssel erzeugt wird, ist dies umgekehrt nicht möglich, d.h. aus dem öffentlichen Schlüssel lässt sich der private Schlüssel nicht ermitteln. Auf dem Prinzip einer solchen „Einwegfunktion“ beruht die Sicherheit des Verfahrens.

Digitale Signatur und öffentlicher bzw. privater Schlüssel
Abb. 3: Erzeugen von privatem Schlüssel und Zertifikat mit öffentlichem Schlüssel

Mit dem öffentlichen Schlüssel aus dem Zertifikat des potenziellen Senders kann der Empfänger die dem Dokument beigefügte digitale Signatur verifizieren und damit die Korrektheit der Angaben zum Urheber (Autor bzw. Sender) prüfen. Dabei wird auch der gespeicherte Hashwert sichtbar. Den entschlüsselten Wert vergleicht der Empfänger danach mit dem Hashwert, den er selbst unter Anwendung des gleichen Algorithmus berechnet hat. Stimmen beide überein, so weiß der Empfänger sicher, dass das Dokument unverändert und damit auch authentisch ist.

8. Fazit / Zusammenfassung

a) Unnötigen Aufwand vermeiden

Den Aufwand, den einige Firmen treiben, um angebliche gesetzliche Anforderungen zu erfüllen, treibt seltsame Blüten: Man erzeugt elektronische Dokumente. Dann druckt man diese aus. Anschließend unterschreibt man sie und scannt sie wieder ein. Dieser Scan wandert dann zur Archivierung in ein Dokumentenmanagementsystem, das mit einem aufwändigen Berechtigungsprozess sicherstellt, dass die Personen identifiziert werden können, die damit arbeiten.

Es ist ein leichtes, die Prozesseffizienz durch unangemessen hohe Vorgaben zu beeinträchtigen und damit die ganze Firma stillzulegen.

b) Risikobasiert handeln

Die Wahl des Signatur-Niveaus sollte risikobasiert erfolgen: Eine qualifizierte elektronische Signatur empfiehlt das Johner Institut v.a. für Konformitätserklärungen („es geht um Leben und Tod“) und externe Rechtsgeschäfte. In den anderen Fällen genügt eine fortgeschrittene elektronische Signatur, wie Sie sich mit vielen Tools erstellen können, zusammen mit geeigneten organisatorischen Maßnahmen.

Manche Auditoren stellen bezüglich elektronischer Unterschriften Anforderungen, für die es keine rechtliche Basis gilt. Diese Auditoren handeln meist inkonsistent, denn sie bestehen bei handschriftlichen Unterschriften auch nicht auf einer Unterschriftenprobe.

Bei aller Begeisterung für elektronische Unterschriften und für die Digitalisierung: Ist es nicht auch ein feierlicher Akt, mit einem richtigen Füller die Konformitätserklärung zu unterschreiben und zu bestätigen, dass das Produkt sicher ist und den Patienten nutzen wird?

Dank gilt Sven Wittorf für sehr wertvolle Anregungen und Materialien!


Kategorien: Johner & Institut
Tags: , ,

3 Kommentare über “Elektronische Unterschriften – Digitale Signaturen”

  1. Anja schrieb:

    Hallo Herr Johner,

    auch wenn das nicht direkt gleich zu setzen ist, so ist es vielleicht trotzdem interessant, was im EU-GMP-Leitfaden Anhang 11 dazu aufgeführt ist. Hier der Link dazu: https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/Statistiken/GKV/Bekanntmachungen/GMP-Leitfaden/Anlage_2_zur_Bekanntmachung_-_Annex_11.pdf

  2. Prof. Dr. Christian Johner schrieb:

    Danke für die wertvolle Ergänzung!

  3. Dominik Baumann schrieb:

    Warum nicht einfach eine einfache Lösung nehmen die QES abdeckt? Dann brauchts doch auch keine Risikoabwägung mehr.
    See https://www.skribble.com/de/

Kommentar schreiben