Marabu / Magazin

Wissen, Aktuelles und Hintergründe
rund um ECM im Gesundheitsmarkt.

Gastbeitrag

EU-Signaturverordnung eIDAS: Signieren mit Smartphone und Organisationssiegel

Neue Verfahren werden Signaturprozesse im Gesundheitswesen erheblich komfortabler gestalten.

Ab Juli dieses Jahres sorgt die eIDAS-Verordnung europaweit für einheitliche Standards für elektronische Vertrauensdienste. Zudem schafft sie mit der Handy-Signatur und dem elektronischen Siegel neue Möglichkeiten z.B. beim Signieren von elektronischen Arztbriefen, bei der digitalen Patientenaufnahme und beim Langzeitmanagement von digitalen Daten im Archiv. Wie Kliniken, Arztpraxen und Labore von den Änderungen profitieren können, beschreibt der nachfolgende Gastartikel.

Seit dem 18. September 2014 ist die europäische „Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ (eIDAS-VO) in Kraft. Ihre materiellen Vorschriften gelten ab dem 1. Juli 2016 unmittelbar. Dann sorgt die eIDAS-VO für einheitliche europäische Regelungen für elektronische Signaturen, Siegel und Zeitstempel – sogenannte Vertrauensdienste – und ermöglicht ihre Interoperabilität im neu geschaffenen digitalen Binnenmarkt. Dabei wird die Differenzierung zwischen einfachen, fortgeschrittenen und qualifizierten Signaturen im Wesentlichen beibehalten. Neu hinzu kommen elektronische Siegel („Organisationszertifikate“) sowie Fernsignaturen (z. B. die Handy-Signatur).

Die Handy-Signatur – Unterschrift alternativ zur Signaturkarte

Fernsignaturen sollen die Erzeugung qualifizierter Signaturen mithilfe des Mobiltelefons ermöglichen. So ist es künftig denkbar, dass medizinische Dokumente, wie z. B. ein Arztbrief, mittels Smartphone unterschrieben werden – und das ohne den Aufbau einer zusätzlichen Infrastruktur für Signaturkarten und -lesegeräte. Der private Signaturschlüssel (das qualifizierte Zertifikat) wird dabei zentral beim Vertrauensdiensteanbieter (VDA) (bisher: Zertifizierungsdiensteanbieter (ZDA) / Trustcenter) in einer sicheren Signaturerstellungseinheit (SSEE) in Form eines Hardware Security Modules (HSM) gespeichert. Die genaue Ausgestaltung der Handy-Signatur unter Berücksichtigung von Komfort und Sicherheit wird derzeit auf EU-Ebene diskutiert. Im Gespräch ist unter anderem eine Zwei-Faktor-Authentifizierung, die sich im Falle der Arztbriefsignatur wie folgt umsetzen ließe:

Mobil-Signatur mittels Smartphone
Mobil-Signatur mittels Smartphone

Zunächst startet der Arzt den Signiervorgang über die auf seinem Einzelarbeitsplatz installierte Signatursoftware. Anschließend erhält er vom Trustcenter z. B. eine TAN-SMS auf sein Mobiltelefon, die er an seinem Arbeitsbildschirm eingibt und sich somit authentisiert. Das Trustcenter überprüft die Eingabe, erzeugt die Signatur und übermittelt sie an den Arzt. In Sekundenschnelle ist der E-Arztbrief qualifiziert elektronisch unterschrieben.

Damit bietet das Smartphone einen komfortablen Kanal zur Nutzung der elektronischen Unterschrift. Doch Vorsicht! Das deutsche E-Health-Gesetz sieht ab 2017 eine finanzielle Förderung für qualifiziert signierte E-Arztbriefe vor. Wer in den Genuss der Förderung kommen will, muss die Signatur nach derzeitigem Stand mittels Heilberufsausweis (HBA) erzeugen.

Vor diesem Hintergrund wird die Fernsignatur vorerst vermutlich bei sonstigen unterschriftsrelevanten Dokumenten an Bedeutung gewinnen.
In einer Vision über die „digitale Patientenaufnahme“ unterschreibt der Patient z. B. künftig seine Behandlungsverträge mit seinem Smartphone – dem idealen Werkzeug. Denn bisher hat sich gezeigt, dass Signaturkarten unter anderem aufgrund der Preisstruktur bei Privatpersonen nur zögerlich Anwendung gefunden haben. Das Mobiltelefon hingegen ist aus unserem Alltag nicht mehr wegzudenken. Im Anschluss an die Mobil-Signatur des Patienten unterzeichnet der Arzt bzw. der Krankenhausmitarbeiter das Dokument, „versiegelt“ es digital und bestätigt, dass der Patient in seiner Anwesenheit unterschrieben hat. Derzeit lässt sich ein solches Szenario umsetzen, indem der Patient auf einem Unterschriften-Tablet unterschreibt (biometrische Unterschrift).

Elektronisches Siegel – die Organisationssignatur

Ein weiteres innovatives Signaturwerkzeug, das durch die eIDAS-VO neu geschaffen wird, stellt das elektronische Siegel (auch „Organisationszertifikat“) dar. Der Inhaber des Siegelzertifikates ist hierbei eine juristische Person, z. B. eine GmbH oder AG. Bisher war als Inhaber eines qualifizierten Zertifikates ausschließlich eine natürliche Person vorgesehen. Einrichtungen des Gesundheitswesens erhalten mit dem eSiegel die Möglichkeit, ihre ausgehende elektronische Korrespondenz aus dem administrativen (z. B. Rechnungen oder Bescheinigungen) und medizinischen Bereich (z. B. unkritische Laborbefunde oder pflegerische Dokumentationen) mit einem sicheren digitalen Unternehmensstempel zu versehen, ohne dass einzelne Mitarbeiterzertifikate benötigt werden.

Ebenfalls können mit dem elektronischen Siegel eingehende zu archivierende Unterlagen, die entweder bereits elektronisch vorliegen oder im Rahmen des Ersetzenden Scannens digitalisiert werden, auf einfache Art und Weise mit einem starken Integritätsschutz versehen werden. Die Siegelerzeugung erfolgt dabei hochperformant, automatisiert und fördert so den Abbau von Papierarchiven.

Rechtlich genießt das qualifizierte Organisationszertifikat einen sehr hohen Beweiswert. So besteht nach Art. 35 Abs. 2 der eIDAS-Verordnung „die Vermutung der Unversehrtheit der Daten [(Integrität)] und der Richtigkeit der Herkunftsangabe der Daten [(Authentizität)]“. Zur Erschütterung einer „rechtlichen Vermutung“ ist der Beweis des Gegenteils erforderlich – ein rechtlich „scharfes Schwert“.

Elektronischer Zeitstempel – Beweiswerterhaltendes Langzeitmanagement

Einen ebenfalls hohen Beweiswert weisen qualifizierte Zeitstempel auf. Für elektronische Zeitstempel gilt laut Art. 41 Abs. 2 eIDAS-VO die „Vermutung der Richtigkeit des Datums und der Zeit […] sowie der Unversehrtheit der […] Daten“. Sie bestätigen die Existenz eines Datensatzes in einer bestimmten Form zu einem exakten Zeitpunkt und beruhen „auf einer korrekten Zeitquelle, die mit der koordinierten Weltzeit verknüpft ist“ (Art. 42 Abs. 1b eIDAS-VO).

Qualifizierte Zeitstempel spielen daher im Bereich des beweiswerterhaltenden Langzeitmanagements signierter Daten im Archiv eine zentrale Rolle. Bei der langjährigen Speicherung im Archiv ist darauf zu achten, dass die kryptographischen Algorithmen stets dem aktuellen Stand von Wissenschaft und Technik entsprechen, wie im Algorithmenkatalog des BSI (Bundesamt für Sicherheit in der Informationstechnik) definiert.

Langzeitmanagement mit Hash-Baum und Zeitstempel
Langzeitmanagement mit Hash-Baum und Zeitstempel

Für die archivierten Datensätze werden nach TR-ESOR (BSI TR-03125 Beweiswerterhaltung kryptographisch signierter Dokumente) und dem internationalen LTANS/ERS-Standard (Long-Term Archiving and Notary Service/Evidence Record Syntax) der IETF (Internet Engineering Task Force) hierarchisch strukturierte Prüfsummen erzeugt (Hash-Bäume) und regelmäßig mit einem aktuellen Zeitstempel versehen. Auf diese Weise lässt sich eine beweiswerterhaltende Langzeitspeicherung europaweit einheitlich umsetzen.

Fazit

Die eIDAS-Verordnung läutet eine neue Ära für elektronische Unterschriften und Zeitstempel in Europa ein. Mit der Handy-Signatur und dem elektronischen Siegel gelangen im Sommer 2016 zwei komfortable Signaturverfahren auf den europäischen Binnenmarkt, die die Nutzung der digitalen Unterschrift noch einmal vereinfachen werden. Kliniken, Arztpraxen und Labore sollten sich rechtzeitig mit den neuen Verfahren auseinandersetzen, um in vollem Umfang von Effizienzsteigerungen profitieren zu können.


Dieser Fachartikel erscheint am 05.04.2016 im Magazin „KU Gesundheitsmanagement“, Ausgabe 04/2016, 85. Jahrgang.

Weitere Informationen

Die secrypt GmbH bietet gesetzeskonforme elektronische Signaturlösungen, Zeitstempel sowie Verschlüsselung zur Optimierung und Sicherung digitaler Geschäftsprozesse. Die digiSeal®-Softwareprodukte sorgen für Authentizität, Manipulationsschutz und Vertraulichkeit digitaler Daten sowie für die beweiswerterhaltende elektronische Archivierung. secrypt ist ein Partnerunternehmen der Marabu EDV GmbH. Weitere Informationen unter www.secrypt.de.

Tatami Michalek

Über den Autor

Tatami Michalek ist Mitgründer der secrypt GmbH und seit 2002 als Geschäftsführer für das Unternehmen tätig. Seit 2013 ist er Vorstandsmitglied des CCESigG Competence Center für die Elektronische Signatur im Gesundheitswesen e.V.

EU-Signaturverordnung

Zurück