Digitale Signatur

Digitale Signatur – electronic signature – elektronische Unterschrift

Ausgehend davon, dass elektronische Unterschriften und digitale Signaturen als gleichwertig zu handgeschriebenen Unterschriften (s.g „wet ink“) betrachtet werden dürfen, gibt es natürlich zu erfüllende Voraussetzungen.

Diese wiederum hängen vom Grad der zu erreichenden Verbindlichkeit des zu unterschreibenden Dokuments ab.

Es stellen sich somit folgende Fragen:

Wann benötigt ein Hersteller überhaupt eine Unterschrift?
Unter welchen Umständen darf die Unterschrift elektronisch erfolgen?
Welcher „Typ“ einer elektronischen Unterschrift wird verlangt?
Was ist überhaupt der Unterschied zwischen einer elektronischen Unterschrift und einer digitalen Signatur?
Wie lässt sich das elektronische Signieren in der Praxis umsetzen?

Wann benötigt ein Hersteller überhaupt eine Unterschrift?

a) Medizinprodukterichtlinie MDD

Die MDD erwähnt das Wort „Unterschrift“ nicht. Sie schreibt allerdings im Anhang II („EU-Konformitätserklärung“):

Der Hersteller bringt die CE-Kennzeichnung gemäß Artikel 17 an und stellt eine schriftliche Konformitätserklärung aus.

MDD, Anhang II

Behörden und benannte Stellen interpretieren das so, dass diese Erklärung einer Unterschrift bedarf.

b) Medizinprodukteverordnung MDR

Die MDR fordert explizit Unterschriften beispielsweise im Anhang IV zur „EU-Konformitätserklärung“:

„Die EU-Konformitätserklärung enthält alle folgenden Angaben: […] Ort und Datum der Ausstellung der Erklärung, Name und Funktion des Unterzeichners sowie Angabe, für wen und in wessen Namen diese Person unterzeichnet hat, Unterschrift“.

MDR, Anhang IV

Hersteller müssen auch eine Unterschrift leisten, wenn sie bei einer benannten Stelle beantragen, eine Konformitätsbewertung durchzuführen. (Anhang VII „Von den benannten Stellen zu erfüllende Anforderungen“).

Bei klinischen Prüfungen fordert die MDR die Unterschriften der „Hauptprüfer“.

c) ISO 13485:2016

Die DIN EN ISO 13485:2016 erwähnt den Begriff „Unterschrift“ nicht. Allerdings verlangt sie in Kapitel 4.2.4 („Lenkung von Dokumenten“):

Ein dokumentiertes Verfahren muss die erforderlichen Lenkungsmaßnahmen festlegen, um:
a) Dokumente bezüglich ihrer Angemessenheit vor ihrer Herausgabe zu bewerten und zu genehmigen, […]

DIN EN ISO 13485:2016, Kapitel 4.2.4

Damit sind die Hersteller verpflichtet nachzuweisen, dass

Dokumente geschrieben, bewertet und genehmigt werden,
dies in dieser Reihenfolge geschieht,
nicht die gleiche Person schreibt, bewertet und genehmigt und
die Genehmigung vor der Herausgabe erfolgt.

Diese Anforderungen lassen sich nur durch eine Zuordnung des Dokuments und der Tätigkeiten zu einer Person und einem Datum für jede Tätigkeit erfüllen. Genau diese Zuordnung erfolgt durch eine Unterschrift.

Mit dieser Unterschrift drücken die Personen das Folgende aus:

Autorenschaft: „Ich verantworte den Inhalt und halte ihn für korrekt“
Bewertung / Review: „Der Inhalt wurde von mir nach festgelegten Kriterien geprüft und entspricht diesen“
Genehmigung / Freigabe: „Der Inhalt kann im weiteren Prozess benutzt werden (und ich habe die Befugnis, dies zu entscheiden)“

Diese Anforderungen sind nachvollziehbar: Eine Systemspezifikation zu erstellen, bevor man die Nutzer-Anforderungen erhoben und dokumentiert hat, ergibt meist wenig Sinn. Bevor ein Produkt in der Produktion vervielfältigt wird, muss das Design in Tests überprüft worden sein.

d) Zusammenfassung

Damit können wir zusammenfassen:

Die Hersteller müssen Dokumente erstellen wie die technische Dokumentation und die Konformitätserklärung.
Die Hersteller müssen diese Dokumente unterschreiben.
Mit der Unterschrift erklären die Hersteller im Falle der Konformitätserklärung die Produktkonformität (und damit die Sicherheit des Produkts) und im Falle der technischen Dokumentation die Prozesskonformität.

Unter welchen Umständen darf die Unterschrift elektronisch erfolgen?

Eine Pflicht, Dokumente elektronisch zu erstellen und einzureichen, gibt es (noch) nicht (überall). Allerdings wächst der Druck von Behörden und benannten Stellen, dies zu tun. Standardisierte elektronische Formate wie CDISC bei klinischen Prüfungen sind teilweise die einzige effiziente Form der Kommunikation.

Sobald Hersteller statt Papierdokumente elektronische Dokumente erzeugen, müssen sie die handgeschriebenen Unterschriften durch elektronische Unterschriften bzw. digitale Signaturen ersetzen.

Welcher „Typ“ einer elektronischen Unterschrift wird verlangt

a) In Deutschland / Europa: BGB, VDG, eIDAS

Das Bürgerliche Gesetzbuch BGB gibt im §126 „Schriftform“ explizit die Erlaubnis handschriftliche Unterschriften durch elektronische Unterschriften zu ersetzen:

„… (3) Die schriftliche Form kann durch die elektronische Form ersetzt werden, wenn sich nicht aus dem Gesetz ein anderes ergibt. …“

BGB, §126

Bei gesetzlich vorgeschriebenen Unterschriften hängt das BGB die Latte noch etwas höher:

„(1) Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur versehen.

BGB §126a

Was wiederum eine „qualifizierte elektronische Signatur“ ist, regelt das Vertrauensdienstegesetz VDG (vormals Signaturgesetz), welches die EU-Verordnung eIDAS (ehemals Signaturrichtlinie) umsetzt (s. Abb. 1).

Abb. 1: Das Vertrauensdienstegesetz (VDG) setzt die EU-Verordnung eIDAS um und löst das Signaturgesetz ab, welches die ehemalige EU-Signaturrichtlinien umsetzte.

b) USA – FDA: 21 CFR part 11

Auch die FDA gestattet den Ersatz von schriftlichen durch elektronische Unterschriften. Die Unterschriften und die damit unterzeichneten Dokumente müssen dann den Anforderungen des 21 CFR part 11 genügen.

Die Anforderungen dieses administrativen Gesetzes gelten nur für Firmen, die mit der FDA kommunizieren bzw. der Behörde Dokumente vorlegen müssen z.B. während einer Inspektion.

Die EU-Verordnung über elektronische Identifizierung und Vertrauensdienste (kurz eIDAS (910/2014)) unterscheidet drei Typen an elektronischen Unterschriften:

Elektronische Signatur
Fortgeschrittene elektronische Signatur
Qualifizierte elektronische Signatur

Elektronische Signatur

Die eIDAS definiert eine elektronische Signatur wie folgt:

Definition: Elektronische Signatur

„Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.“eIDAS

Das Einfügen eines Unterschriften-Scans in ein Dokument ist ein Beispiel für eine elektronische Signatur. Ebenso ist die Signatur in einer E-Mail eine elektronische Signatur.

Diese Signatur stellt die schwächste Form des Nachweises statt, da weder sichergestellt ist, dass die Person selbst diese „Daten beigefügt oder logisch verbunden“ hat, noch lässt sich der Zeitpunkt dieses Beifügens nachvollziehen.

Fortgeschrittene elektronische Signatur

Die nächste Stufe sind die fortgeschrittenen elektronischen Signaturen.

Definition: fortgeschrittene elektronische Signatur

elektronische Signaturen nach Nummer 1, die

eindeutig dem Unterzeichner zugeordnetsind,
die Identifizierung des Unterzeichners ermöglichen,
unter Verwendung elektronischer Signaturerstellungsdatenerstellt sind, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann, und

so mit den auf diese Weise unterzeichneten Daten verbunden sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann. Quelle: eIDAS

Ein Beispiel für diesen Typ an elektronischen Unterschriften sind Versionsverwaltungssysteme wie SVN oder git:

Beim „Commit“ wird immer der Name der Person und der Zeitpunkt gespeichert. Durch seinen Benutzernamen und sein Passwort kann die Person identifiziert werden. Organisatorisch lässt sich sicherstellen, dass nur die Person selbst über diese „Credentials“ verfügt. Schließlich stellen Prüfsummen sicher, dass eine nachträgliche Veränderung der Daten nicht unbemerkt bliebe. Genau dazu sind Versionsverwaltungssysteme gedacht.

Aber auch fortgeschrittene elektronische Signaturen bieten die Möglichkeit der Manipulation:

Wenn die organisatorischen Maßnahmen nicht wirksam sind, wäre es möglich, dass eine zweite Person den gleichen Namen verwendet oder dass sie Zugriff zu Zugangsdaten und damit die Identität der ersten Person erlangt.
Durch ein Verändern der Systemzeit des Versionsverwaltungssystems ließe sich der Zeitstempel manipulieren.

Um diese Nachteile zu minimieren, bedarf es ggf. einem höheren „Integritätslevel“, der qualifizierten elektronischen Signatur.

Qualifizierte elektronische Signatur

Auch diesen Typ definiert eIDAS:

Definition: Qualifizierte elektronische Signatur

„Fortgeschrittene elektronische Signaturen nach Nummer 2, die

von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurden und
auf einem qualifizierten Zertifikat für elektronische Signaturen beruhen“
Quelle: eIDAS

Im Anhang II ergänzt die Verordnung:
„(3) Das Erzeugen oder Verwalten von elektronischen Signaturerstellungsdaten im Namen eines Unterzeichners darf nur von einem qualifizierten Vertrauensdiensteanbieter durchgeführt werden.“ Quelle: eIDAS

Zu diesen Anbietern zählen:

Bundesagentur für Arbeit
Bundesnotarkammer
Deutsche Post AG
D-Trust GmbH
Deutscher Sparkassen Verlag GmbH
Deutsche Telekom AG
DGN Deutsches Gesundheitsnetz Service GmbH
medisign GmbH

Welcher Typ an elektronischer Signatur wird benötigt?

a) Risikobasierter Ansatz der ISO 13485:2016

Die ISO 13485:2016 spricht davon, dass Prozesse und die Validierung von Computersystemen risikobasiert erfolgen sollen. Diesen risikobasierten Ansatz gilt es, auch bei der Wahl des Typs an elektronischer Signatur anzuwenden.

Wenn es um Menschenleben geht (> Produktkonformität), wird man auf das höchste Niveau wählen. Wenn es um den Nachweis geht, dass man seinen Verfahrensanweisungen gefolgt ist (> Prozesskonformität), sollte eine fortgeschrittene elektronische Signatur genügen.

In anderen Worten: Eine Konformitätserklärung sollten Hersteller von Hand („wet ink“) oder mit einer qualifizierten elektronischen Signatur unterschreiben. Bei Spezifikationen, Testberichte u.ä. genügt eine fortgeschrittene elektronische Signatur.

b) Rechtliche Anforderungen in Europa

Die eIDAS stellt explizit klar:

„(1) Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.“ eIDAS

c) Rechtliche Anforderungen in den USA

Der 21 CFR part 11 unterscheidet die elektronische und die digitale Signatur:

(5) Digital signature means an electronic signature based upon cryptographic methods of originator authentication, computed by using a set of rules and a set of parameters such that the identity of the signer and the integrity of the data can be verified.

(7) Electronic signature means a computer data compilation of any symbol or series of symbols executed, adopted, or authorized by an individual to be the legally binding equivalent of the individual’s handwritten signature. 21 CFR part 11

Die elektronische Signatur entspricht der elektronischen Signatur gemäß eIDAS, die digitale Signatur zumindest der fortgeschrittenen elektronischen Signatur.

Die FDA stellt keine Anforderungen, die nur durch eine qualifizierte elektronische Signatur erfüllt werden könnten. Sie fordert:

Verfälschungen müssen erkannt werden (11.10)
Angemessene Standards für digitale Signaturen, um die Authentizität, Integrität und Vertraulichkeit von Aufzeichnungen zu gewährleisten (11.30)
Sicherstellung, dass Unterschriften nicht entfernt oder auf andere Dokumente übertragen werden können (11.70)
Will eine Person mehrere elektronische Unterschriften leisten, muss sie sich initial mit allen Daten anmelden (typischerweise Benutzername und Passwort), dann für jeden einzelnen Vorgang mit mindestens einer Komponente (typischerweise Passwort oder PIN) (11.200)
Sicherstellung, dass es das Zusammenwirken zweiter Personen bedürfte, um die elektronische Unterschrift einer dritten Person zu fälschen. (11.200)
Auf einem elektronisch unterschriebenen Dokument erwartet die FDA den Namen des Unterzeichners (in Druckbuchstaben, kein Bild/Scan der Unterschrift), Datum und Uhrzeit der Unterschrift und was mit der Unterschrift bestätigt wird (Autorenschaft, Prüfung, Freigabe) (11.50). Diese Unterschrift kann bei Dokumenten, die in Systemen „leben“ (z.B. einem ALM Tool) auch im System hinterlegt sein, die technisch untrennbar mit dem Inhalt des Dokuments verknüpft ist.

Fazit: Keine dieser Anforderungen macht es zwingend, qualifizierte elektronische Unterschriften zu verwenden. Eine fortgeschrittene elektronische Unterschrift mit einem validierten System gepaart mit geeigneten organisatorischen Maßnahmen sind ausreichend.

Wie (mit welchen Werkzeugen) erstellt man eine digitale Unterschrift?

Das Johner Institut empfiehlt, Werkzeuge zu nutzen, um digitale Unterschriften zu leisten. Die Art der geeigneten Werkzeuge hängt von der Arbeitsweise der Hersteller ab:

Wenn Hersteller vor allem dokumentenorientiert arbeiten (z.B. mit Word), sind die Produkte von Adobe und Microsoft (z.B. Word) alleine bzw. mit Plugins ausreichend, um die technischen Voraussetzungen an eine fortgeschrittene elektronische Signatur zu erfüllen.
Das Johner Institut selbst erstellt die meisten Dokumente im Markdown-Format und nutzt git als Versionsverwaltungswerkzeug. Durch geeignete organisatorische Maßnahmen (z.B. Vorgaben zum Branching und Merging) lassen sich die Anforderungen an eine fortgeschrittene elektronische Signatur erfüllen.

Die Anwender von oxaion easy Medizintechnik müssen sich mit dem Thema nicht mehr beschäftigen, da die digitale Signatur bereits Bestandteil dieser ERP-Lösung für kleinere Medizintechnik-Unternehmen ist.

Risikobasiert handeln

Die Wahl des Signatur-Niveaus sollte risikobasiert erfolgen: Eine qualifizierte elektronische Signatur empfiehlt das Johner Institut v.a. für Konformitätserklärungen („es geht um Leben und Tod“) und externe Rechtsgeschäfte. In den anderen Fällen genügt eine fortgeschrittene elektronische Signatur, wie Sie sich mit vielen Tools erstellen können, zusammen mit geeigneten organisatorischen Maßnahmen.

Manche Auditoren stellen bezüglich elektronischer Unterschriften Anforderungen, für die es keine rechtliche Basis gilt. Diese Auditoren handeln meist inkonsistent, denn sie bestehen bei handschriftlichen Unterschriften auch nicht auf einer Unterschriftenprobe.

Bei aller Begeisterung für elektronische Unterschriften und für die Digitalisierung: Ist es nicht auch ein feierlicher Akt, mit einem richtigen Füller die Konformitätserklärung zu unterschreiben und zu bestätigen, dass das Produkt sicher ist und den Patienten nutzen wird?