Elektronische Signaturen: Notwendig für die rechtssichere Dokumentation

Foto: Fotolia

Beim Übergang von papierbasierten zu elektronischen Prozessen spielt die Einbindung der rechtsgültigen elektronischen Unterschrift im Gesundheitswesen künftig eine zentrale Rolle.

Die Rechtssicherheit und die IT-Sicherheit von digital erzeugten und gescannten Dokumenten haben im Gesundheitswesen eine zentrale Bedeutung. Dies liegt unter anderem daran, dass es um besonders schützenswerte personenbezogene Daten geht und dass man es mit langen Aufbewahrungsfristen von bis zu 30 Jahren zu tun hat. Schätzungsweise fünf Milliarden Dokumente werden derzeit jährlich in Deutschland im Rahmen der Patientenversorgung erzeugt, und circa 2,5 Milliarden Euro kostet deren Archivierung, die überwiegend immer noch papierbasiert durchgeführt wird. Darauf verwies Dr. Carl Dujat, Promedtheus Informationssysteme für die Medizin AG, bei einem vom CCESigG – Competence Center für die elektronische Signatur im Gesundheitswesen e.V. (www.ccesigg.de) veranstalteten Workshop* in Berlin.

Die Anforderungen an die medizinische Dokumentation durch gesetzliche Vorgaben und Qualitätssicherungsmaßnahmen steigen stetig. Hinzu kommen vor allem für den stationären Sektor logistische (Raummangel, hohe Sach- und Personalkosten) und organisatorische (zunehmende Arbeitsteilung) Herausforderungen, die konventionelle papiergestützte Archive zunehmend überholt erscheinen lassen. Vor diesem Hintergrund müssen sich die Einrichtungen im Gesundheitswesen verstärkt mit der elektronischen Archivierung auseinandersetzen.

Elektronische Patientenakten, Dokumentationssysteme und Archive sollen dazu beitragen, den Informationsaustausch und die Kommunikation aller an der Versorgung beteiligten Personengruppen zu verbessern und dadurch auch die Qualität der Patientenversorgung zu erhöhen. Die elektronische Signatur (eSignatur) kann hierbei die Beweissicherheit digitaler Dokumente gewährleisten. Auch im Rahmen der Einführung der elektronischen Gesundheitskarte wird die eSignatur künftig eine wesentliche Rolle spielen. So sieht die Anfang Dezember 2011 von der Gesellschafterversammlung der Gematik beschlossene beschleunigte Online-Anbindung vor, dass als erste Funktionen der Telematikinfrastruktur zunächst der Stammdatenabgleich des Versicherten und die qualifizierte elektronische Signatur zur verbindlichen Unterzeichnung etwa von Arztbriefen und anderen Dokumenten starten sollen. Letzteres erfordert als Sicherheitskomponente unter anderem den mit qualifizierter Signaturfunktion ausgestatteten elektronischen Arztausweis.

Hemmnisse für die breite Anwendung

In der medizinischen Routine hat sich die elektronische Signatur bislang noch nicht durchgesetzt. Bis Ende 2011 haben beispielsweise elf von 17 Landesärztekammern insgesamt erst etwa 2 000 elektronische Arztausweise an ihre Mitglieder ausgegeben. Mangels sinnvoller Anwendungen ist für die überwiegende Mehrzahl der Ärzte im ambulanten Sektor derzeit noch kein Mehrwert eines signaturfähigen Arztausweises erkennbar. Und auch im stationären Sektor ist die Situation kaum anders: Nach dem IT-Report Gesundheitswesen 2011 der Fachhochschule Osnabrück nutzen lediglich fünf Prozent der Krankenhäuser eSignaturen, elf Prozent bereiten sich auf den Einsatz vor. Dies ist unter anderem darauf zurückzuführen, dass die Installation der hierfür erforderlichen Hard- und Software nicht trivial ist und die fehlende Standardisierung in diesem Bereich ein „Plug & Play“ von Signaturanwendungen erschwert.

Papiergestützte Krankenhausarchive sind vor dem Hintergrund der zunehmenden Digitalisierung im Gesundheitswesen ein Auslaufmodell. Foto: picture alliance

Um Rechtssicherheit in der elektronischen Dokumentation und Archivierung zu erreichen, sind zum einen gesicherte elektronische Prozesse (Workflows) erforderlich, welche die Vertraulichkeit und Verfügbarkeit der Daten sicherstellen und speziell die IT-Sicherheit in einer Praxis oder einem Krankenhaus betreffen. Zum anderen müssen elektronische Signaturen und Zeitstempel verwendet werden, um die Authentizität und die Integrität (Letztere umfasst die Vollständigkeit und Unveränderbarkeit) der archivierten Dokumente sicherzustellen.

Die Umsetzung dieser Anforderungen stellt Arztpraxen und Krankenhäuser vor große Herausforderungen: Zu nennen sind hier vor allem die Vielfalt von Dokumentenarten (laut Dujat mehr als 800), die etwa in einer Patientenakte gesammelt werden, sowie die Vielzahl von Gesetzen, Verträgen, Richtlinien und sonstiger Regelungen für Dokumentationspflichten im Gesundheitswesen. Hinzu kommt die Umwandlung (Transformation) herkömmlicher Sicherungsverfahren wie etwa einer handschriftlichen Unterschrift in geeignete elektronische Verfahren und deren Integration in die Abläufe in Klinik und Praxis. „Wie sich dabei Signaturprozesse benutzerfreundlich und wirtschaftlich gestalten lassen, ist letztlich noch offen“, meint der Medizininformatiker Prof. Dr. Paul Schmücker, Hochschule Mannheim.

Elektronische Signaturen sind an Dateien angehängte Daten beziehungsweise kryptographische Transformationen (in Form von eindeutigen binären Ziffernfolgen oder Hashwerten), anhand derer der Empfänger feststellen kann, dass ein Dokument von einer bestimmten Person unterschrieben (Authentizität) und anschließend nicht verändert (Integrität der Daten) wurde. Nach dem deutschen Signaturgesetz sind vier Signatursicherheitsniveaus zu unterscheiden:

• einfache elektronische Signaturen (Beispiel: eingescannte Unterschrift oder Kürzel, dient der Authentisierung elektronischer Daten)
• fortgeschrittene Signaturen (bereits nach bestimmten Algorithmen entwickelt; sie sichern die Integrität, das heißt die Vollständigkeit und Unveränderbarkeit eines Dokuments)
• qualifizierte Signaturen (Äquivalent zur handschriftlichen Unterschrift)
• qualifizierte Signaturen mit Anbieterakkreditierung (Beweissicherheit vor Gericht).

Unterschiedliche
Sicherheitsniveaus

Für den Einsatz im Gesundheitswesen kommen die drei letztgenannten Signaturen infrage. Fortgeschrittene Signaturen dienen zur Sicherung der Authentizität elektronischer Daten. Sie sind einfach herzustellen, weisen jedoch die geringste Beweiskraft auf und stellen keine besonderen technischen Anforderungen.

Qualifizierte Signaturen sind bereits weitgehend handschriftlichen Unterschriften gleichgestellt. Sie erfordern die Zertifikaterstellung durch einen nichtakkreditierten Zertifizierungsdiensteanbieter (ZDA). Zudem sollten sie auch einen Zeitstempel beinhalten, da Haltbarkeit und Prüfbarkeit von qualifizierten Zertifikaten auf fünf Jahre begrenzt sind.

Qualifizierte eSignaturen von akkreditierten Anbietern haben die höchste Beweiskraft. Sie müssen im Trustcenter eines von der Bundesnetzagentur akkreditierten ZDA hergestellt werden und gewährleisten die elektronische Prüfbarkeit der Signaturen für 30 Jahre (siehe www.bundesnetzagentur.de). Die mit ihnen versehenen Dateien sind der Schriftform gleichgestellt und werden als objektiv im Rahmen der Beweissicherheit vor Gericht anerkannt. Nachteil: Sie sind teuerer als die zuvor genannten Verfahren – mit ein Grund dafür, dass sie bislang kaum verwendet wurden.

Die von den Landesärztekammern herausgegebenen elektronischen Arztausweise entsprechen dem höchsten Sicherheitsniveau: Die für die qualifizierte Signatur erforderlichen Zertifikate dürfen nur von akkreditierten Zertifizierungsdiensteanbietern erstellt werden (derzeit die Firma Medisign).

Die elektronische Signatur ist die persönliche Bestätigung der Echtheit eines Dokuments und der darin dokumentierten Willensäußerung. Technische Voraussetzungen für ihre Erzeugung sind eine Signaturkarte, ein Kartenlesegerät, eine Signatursoftware, eine PIN sowie ein Zertifizierungsdiensteanbieter. Ein Zeitstempel bestätigt zusätzlich, dass ein Dokument zu einem bestimmten Zeitpunkt existiert hat. Er ist nicht personenbezogen, sondern entspricht einer Art notariellen Beglaubigung durch einen ZDA, die per Internet oder serverbasiert vermittelt werden kann.

Zu unterscheiden sind außerdem

• die Einzelsignatur: Sie erfordert jeweils eine PIN-Eingabe. In der Regel handelt es sich um eine qualifizierte oder akkreditierte Signatur.
• die Stapel-/Massensignatur: Bei diesem Verfahren werden mehrere Dokumente gesammelt und mit einer PIN signiert. In der Regel handelt es sich um fortgeschrittene oder qualifizierte Signaturen.
• die Komfortsignatur: Hierbei kann der Anwender nach der einmaligen PIN-Eingabe für eine bestimmte Zeit eine begrenzte Anzahl von Dokumenten signieren, sofern die organisatorischen Rahmenbedingungen, etwa in einer Arztpraxis, stimmen. In der Regel handelt es sich um qualifizierte oder akkreditierte Signaturen.

Als einen Lösungsansatz für die rechtssichere Dokumentation und Archivierung empfiehlt IT-Experte Dujat Einrichtungen im Gesundheitswesen, die Dokumente zunächst hinsichtlich der Anforderungen an die Beweissicherheit zu analysieren und sie anschließend möglichst praxistauglich danach zu systematisieren, welche elektronischen Sicherungsverfahren auf Basis der rechtlichen Anforderungen jeweils erforderlich sind. So müssen Gutachten oder auffällige Befunde, die einen hohen Beweiswert haben, beispielsweise anders bewertet werden als ein Kurzbericht oder ein EKG-Protokoll. Die Einrichtung sollte Mindestanforderungen festlegen, die für Dokumente mit „hohem Beweisinteresse“ bei Bedarf auch ausgeweitet werden können.

Große Institutionen wie eine Universitätsklinik verwendeten je nach Aufwand und erforderlichem Sicherheitsniveau einen Signaturmix aus unterschiedlichen Signaturarten, berichtete Dujat. So nutzt die Universitätsklinik Tübingen beispielsweise die direkte personenbezogene Signatur für circa 500 000 Dokumente jährlich, darunter Arztbriefe, Gutachten, OP-Berichte, ärztlich validierte, auffällige Befunde, Verordnungen etc. Eine automatisierte Massensignatur („silent signature“) wird für etwa 1 500 000 Dokumente jährlich erstellt, darunter die Intensivdokumentation, Anästhesieprotokolle, unauffällige Befunde, Kurzberichte, strukturierte Massendaten aus dem EKG, EEG etc. Eine Massensignatur mit Zeitstempel wird in Tübingen bei digitalisierten (gescannten) Dokumenten etwa aus alten Akten oder externen Dokumenten verwendet – dies betrifft circa 8 000 000 Dokumente jährlich.

Kryptographische
Algorithmen veralten

Elektronisch signierte Dokumente können im Laufe der Zeit an Beweiskraft verlieren, weil kryptographische Algorithmen veralten und damit unsicher werden. Darauf verwies der Medizininformatiker Schmücker. Zu den Grundsätzen, die bei der Langzeitarchivierung elektronisch signierter Dokumente beachtet werden müssen, gehört somit unter anderem, dass langfristig stabile, standardisierte und eindeutig interpretierbare Signatur- und Nutzdatenformate verwendet werden sollten (siehe Kasten „Braunschweiger Regeln zur Archivierung mit elektronischen Signaturen im Gesundheitswesen“). Darüber hinaus müssen auch sämtliche zur Verifizierung elektronisch signierter Dokumente erforderlichen „Metadaten“ verfügbar sein, um die Echtheit und Gültigkeit einer Signatur überprüfen zu können. Zu diesen Verifikationsdaten zählen etwa Zertifikate und Zeitstempel. Auch muss man sich rechtzeitig um eine beweiskräftige Signaturerneuerung kümmern. Denn ohne eine ordentliche Erneuerung der Signatur unterliegt ein Dokument vor Gericht der freien Beweiswürdigung.

Um die langfristige Beweiskraft digital signierter Dokumente und die Integration in einen Workflow zu erreichen, muss der gesamte Zyklus von der Erstellung des Dokuments, der Signaturerzeugung, der Präsentation, der Kommunikation und der Archivierung bis hin zur späteren Verwendung betrachtet werden. Unter Berücksichtigung vorhandener Standards wurden im Forschungsprojekt ArchiSig vor einigen Jahren technische Komponenten und Schnittstellen sowie organisatorische Konzepte spezifiziert und prototypisch im Universitätsklinikum Heidelberg implementiert. Im Anschluss an das Projekt hat das Fraunhofer-Institut für Sichere Informationstechnologie SIT mit dem Programmpaket ArchiSoft eine eigene Software entwickelt, die die Ergebnisse von ArchiSig praktisch umsetzt und für beliebige Systemumgebungen einsetzbar macht (www.sit.fraunhofer.de/de/kompetenzfelder/projekte/archisig.html).

Auch bei der rechtssicheren Transformation von elektronisch erzeugten Dokumenten – gemeint ist ein Konvertierungsverfahren, bei dem der Beweiswert und andere relevante Eigenschaften signierter Daten erhalten bleiben – sind bestimmte Aspekte zu beachten. Ein solches Verfahren kann das Überführen eines unterschriebenen Papierdokuments in ein elektronisch signiertes Dokument bezeichnen (Scannen), das Ausdrucken eines elektronisch signierten Dokuments und die Umwandlung eines elektronisch signierten Dokuments in ein anderes Datenformat. Ein rechtssicherer Lösungsansatz hierzu wurde im Projekt TransiDoc entwickelt (www.transidoc.de). Er umfasst ein Transformationssiegel mit den konvertierten Inhalten, einem Transformationsbericht und einem Beglaubigungsvermerk.

Schließlich gibt es auch beim ersetzenden Scannen von Papierdokumenten bestimmte Maßnahmen, mit denen die Rechtssicherheit der gescannten Dokumente sichergestellt werden kann (Kasten „Schlierseer Memorandum“). Darüber hinaus will das Bundesamt für Sicherheit in der Informationstechnik eine Technische Richtlinie zum rechtssicheren ersetzenden Scannen bis zum Herbst 2012 veröffentlichen. Heike E. Krüger-Brand

*„Elektronische Signaturen zur sicheren Vernetzung des Gesundheitswesens und ihre Einbindung in elektronische Dokumentations-, Kommunikations- und Archivierungssysteme“, 20. Dezember 2011

Schlierseer Memorandum

Die Empfehlungen für das Scannen von Dokumenten umfassen unter anderem folgende Maßnahmen:

- zeitnahes Scannen in der ursprünglichen Reihenfolge

- Sicherstellen der Vollständigkeit beim Scannen

- Lesbarkeit und Reproduzierbarkeit der gescannten Dokumente in angemessener Zeit

- Erkennung des Urhebers eines Dokumentes

- Verwendung qualifizierter elektronischer Signaturen und Zeitstempel

- Verfahrensanweisungen und -dokumentationen

- Erstellung einer Archivordnung

- Einsatz von vertrauenswürdigem Personal

- qualitätsgesicherte Prozesse des Scannens, Indexierens und der Migration

- Zertifizierung der lokalen Scan- und Indexierverfahren

- Zertifizierung des Scandienstleisters

- zertifizierbare Migrationskonzepte

- Zertifizierung durch entsprechend akkreditierte Institutionen

Quelle: Prof. Dr. Paul Schmücker, Hochschule Mannheim, siehe auch www.informatik.fh-mannheim.de/aku/aku-daten/empfehl.html

Braunschweiger Regeln zur Archivierung mit elektronischen Signaturen im Gesundheitswesen

 1. Generelle Verwendung archivgeeigneter Dateiformate (wie PDF/A) sowie qualifizierter elektronischer Signaturen und Zeitstempel mit Anbieterakkreditierung durch die Bundesnetzagentur (nachfolgend als akkreditierte Signatur beziehungsweise akkreditierter Zeitstempel bezeichnet).

 2. Akkreditierte Signatur originär elektronischer Dokumente, für die gesetzliche Regelungen die Schriftform fordern (grundsätzlich kann die Schriftform – unterschriebenes Papierdokument – gemäß § 126a Abs. 1 BGB durch die elektronische Form ersetzt werden).

 3. Akkreditierte Signatur für Dokumente zur externen Verwendung und für interne Dokumente, die einen besonders hohen Stellenwert (zum Beispiel Beweisinteresse) haben. Beispiele: Arztbriefe, OP-Berichte.

 4. Akkreditierter („Eingangs-“)Zeitstempel für Dokumente externer Einsender. (Dieser Punkt kann auch durch Regel Nr. 6 umgesetzt werden.)

 5. Geeignetes Authentifizierungsverfahren für alle sonstigen Dokumente (zum Beispiel eine einfache Signatur).

 6. Zeitnahe Archivierung der Dokumente, Protokoll- und Verifikationsdaten in einem revisionssicheren Archiv mit akkreditiertem („Archiv-“)Zeitstempel, in jedem Fall innerhalb von maximal 24 Stunden nach Erstellung oder Erhalt.

 7. Absicherung des Betriebes des elektronischen Archivs nach dem Stand der Technik durch Umsetzung allgemein anerkannter Regelungen und Normen (zum Beispiel ISO 27001, BSI – Bundesamt für Sicherheit in der Informationstechnik) – im Idealfall Nachweis durch ein Zertifikat.

 8. Hash- und Signaturerneuerungen gemäß den Vorgaben der Bundesnetzagentur; Datei- und Medienkonvertierungen gemäß den Empfehlungen der vom Bundesministerium für Wirtschaft geförderten Studie TransiDoc.

 9. Generelle Vermeidung von Medienbrüchen. Falls dennoch ersetzendes Scannen erforderlich ist:

– Aufbewahrung der Originaldokumente, für die gesetzliche Regelungen die Schriftform fordern und keine Erlaubnisvorschrift zum ersetzenden Scannen besteht.

– Verwendung eines abgesicherten Scanverfahrens nach dem Stand der Technik mit akkreditierter Signatur und/oder akkreditiertem Zeitstempel durch qualifiziertes eigenes Personal oder einen geeigneten externen Dienstleister.

– Sicherstellung des uneingeschränkten Fortbestands des Versicherungsschutzes.

10. Dokumentation und Handlungsanweisungen hinsichtlich der Verfahren, des Einsatzes der Signatur und weitergehender Regelungen (Verantwortlichkeiten, Datenschutz, Aktenstruktur etc.) in einer Archivordnung.

Quelle: Competence Center für die Elektronische Signatur im Gesundheitswesen
(www.ccesigg.de/arbeitsgruppen/dokumente.html#c257)