Suche
E-HEALTH-COM ist das unabhängige Fachmagazin für Gesundheitstelematik, vernetzte Medizintechnik , Telemedizin und Health-IT für Deutschland, Österreich und die Schweiz.
Mehr
Unternehmensnews
Stellenmarkt
Firmenverzeichnis
Advertorials
Who is Who
Köpfe und Karrieren
Kalender
Blogs
Verbände
App des Monats
Links
Aktuelle Ausgabe
Downloads
E-HEALTH-COM App
Mediadaten
Abonnement
ePaper
Newsletter
Suche

Für das ePaper anmelden

Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden

Anmelden

Passwort vergessen?

Top-Thema |

Elektronische Signatur

Seit Juli sorgt die eIDAS-Verordnung europaweit für Einheitlichkeit bei elektronischen Vertrauensdiensten. Bewahrungsdienste, Fernsignaturen und Organisationszertifikate stehen in den Startlöchern. Kommt jetzt der Durchmarsch elektronischer Signaturen in Kommunikation und Archiv? Und passt das alles überhaupt zum E-Health-Gesetz?

 

Die Zahlen erschlagen einen förmlich: Rund sechs Millionen Dokumente aus etwa 350 000 Fallakten haben Mitarbeiter des Zentralarchivs der Universitätsklinik Tübingen im Jahr 2015 eingescannt. Dazu kamen etwa 1,5 Millionen Dokumente aus 150 000 Fallakten, die dezentral gescannt wurden, überwiegend ambulante Unterlagen, die die Patienten bei der Aufnahme mitbringen. Und bei noch einmal etwas mehr als zwei Millionen Dokumenten oder Datensätzen erzeugten die unterschiedlichen medizinischen Informationssysteme das Archivdokument direkt digital über das Medical Document Management (MDM) von HL7. Das betraf 1,2 Millionen Dokumente des Laborinformationssystems, eine halbe Million des Klinikinformationssystems, 300 000 RIS-Datensätze und 100 000 Datensätze des Pathologiesystems.


Relaunch der Signaturlandschaft
Summa summarum produziert das Universitätsklinikum Tübingen derzeit pro Jahr also knapp zehn Millionen Dokumente oder MDM-Datensätze, die signiert bzw. sorgfältig archiviert werden wollen. Der Mann, der dafür zuständig ist, heißt Volkmar Eder, Leiter des Zentralarchivs. Gemeinsam mit seinem jahrelangen Archivsystemanbieter arbeitet das Universitätsklinikum Tübingen derzeit an einer Art Relaunch der Signatur- und Zeitstempellandschaft des Klinikums. Die bisherige Landschaft war gekennzeichnet durch ein Nebeneinander von – Tübingen war in Sachen Signatur immer einer der Vorreiter in Deutschland – signaturkartenbasierten Einzelsignaturen am Arbeitsplatz, stillen Massensignaturen für elektronische Dokumente und stapelorientierten Massensignaturen mit Zeitstempel, die vor allem bei gescannten Dokumenten zum Einsatz kamen.


„Wir haben diese Infrastruktur seit 2009 genutzt und mussten uns jetzt aus mehreren Gründen neu aufstellen“, so Eder. Anlass für den Umbau war letztlich der Rückzug des Systemlieferanten aus dem Markt der digitalen Signaturen. Es hätten aber auch andere Argumente für einen Wechsel gesprochen, so Eder: „Die bisherige Lösung war vergleichsweise teuer. Sie war organisatorisch aufwendig, weil vom Antrag bis zur Verfügbarkeit der sogenannten Multisignaturkarten etwa zwölf Wochen vergingen. Und auch die externe Signaturprüfung zum Beispiel durch Gerichte oder Gutachter war relativ schwierig.“

 

Für die Tübinger traf es sich gut, dass die Neuaufstellung in eine Phase fiel, in der sich auch rechtlich in Sachen digitaler Signaturen, Zertifikate und Zeitstempel einiges tat. Mit der Veröffentlichung im Amtsblatt der Europäischen Union trat im Jahr 2014 die „Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt“ (eIDAS-VO) formal in Kraft. Wie bei einigen anderen europäischen Gesetzen, gab es eine gut zweijährige Übergangsfrist. Definitiv gültig sind die materiellen Vorschriften der eIDAS-VO jetzt seit dem 1. Juli 2016.


Die eIDAS-Verordnung gibt Krankenhäusern mehr Optionen
Was bringt die eIDAS-VO? In erster Linie sorgt sie – und das gab es bisher so nicht – europaweit für einheitliche technische und rechtliche Standards für elektronische Vertrauensdienste. „Da es sich um eine EU-Verordnung und nicht um eine EU-Richtlinie handelt, gilt sie auch unmittelbar in den Mitgliedsstaaten und muss nicht erst in nationales Recht umgesetzt werden. In den Bereichen, wo sich das deutsche Signaturgesetz und die deutsche Signaturverordnung und die eIDAS-VO inhaltlich überlagern, hat ab sofort das europäische Recht Vorrang“, erläutert Dr. Silke Jandt, Expertin für Signaturrecht und ehemalige Geschäftsführerin der Projektgruppe verfassungsverträgliche Technikgestaltung am Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung an der Universität Kassel.


Für Krankenhäuser und andere medizinische Einrichtungen, die elektronisch signieren und/oder beweissicher digital archivieren wollen, ist das aus zwei Gründen eine gute Nachricht. Zum einen erweitert die eIDAS-VO die Spielräume der einzelnen Einrichtung für die Umsetzung elektronischer Signatur- und Archivierungslösungen deutlich. Und die europäische Vereinheitlichung, die es den Anbietern von Vertrauensdiensten einfacher macht, ihre Produkte in unterschiedliche Märkte zu bringen, dürfte sich letztlich günstig auf die Kosten derartiger Dienstleistungen auswirken.


Von Anbieterseite wird die eIDAS-VO entsprechend deutlich begrüßt: „Die qualifizierte digitale Signatur wurde im deutschen Gesundheitswesen bisher nur sehr zurückhaltend umgesetzt“, betont Tatami Michalek, Geschäftsführer der auf digitale Signatur, Zeitstempel, Verschlüsselung und PDF/A spezialisierten secrypt GmbH in Berlin. Insbesondere die Signatur durch das Personal ist bisher nicht weit vorangekommen. Von einigen wenigen Leuchttürmen wie dem Klinikum Braunschweig oder dem Universitätsklinikum Tübingen abgesehen, gab es die personenbezogene qualifizierte Signatur in medizinischen Einrichtungen bisher kaum. „Chipkarten und Kartenleser werden zumindest subjektiv als Hürden wahrgenommen, auch wenn wir objektiv der Auffassung sind, dass der digitale Prozess nicht aufwendiger ist als der Papierprozess“, so Michalek. Tatsache ist: Die große Mehrheit der Krankenhäuser nähert sich dem Thema eher von der Archivseite.


Umsignieren wird auslagerbar
Konkret bringt die eIDAS-VO von technischer beziehungsweise organisatorischer Seite drei echte Neuerungen, die es so im deutschen Signaturrecht bisher nicht gab. So wird zum einen die Option für sogenannte Bewahrungsdienste geschaffen. „Das ist vor allem in der Archivierung relevant. Bei elektronischen Dokumenten mit qualifizierten elektronischen Signaturen gibt es das Problem, dass sie in gewissen Abständen gemäß den jeweils aktuell von der Bundesnetzagentur als geeignet eingestuften Algorithmen neu signiert werden müssen, damit Authentizität und Integrität der Dokumente für jene langen Zeiträume gewährleistet sind, die die Archivierung medizinischer Dokumente erfordert“, erläutert Jandt. Bisher musste die medizinische Einrichtung sich gemäß deutschem Signaturrecht um diese Neusignierung selbst kümmern. „Jetzt können Krankenhäuser und andere Institutionen das an einen Bewahrungsdienst auslagern. Das kann die Neusignierung für eine Einrichtung deutlich einfacher machen.“

 

Die zweite echte Neuerung, die die eIDAS-VO bringt, sind die sogenannten elektronischen Siegel, die in vielen anderen Ländern schon länger existieren. Sie werden auch „Organisationssignatur“ genannt. Es handelt sich letztlich um eine weitere Variante der qualifizierten elektronischen Signatur, neben der personengebundenen Signatur und dem elektronischen Zeitstempel. Beim elektronischen Siegel ist der Inhaber des qualifizierten Zertifikats keine natürliche Person, sondern eine juristische Person, zum Beispiel eine GmbH oder Aktiengesellschaft, zum Beispiel ein Krankenhausbetreiber.

 

„Das Organisationszertifikat erlaubt in seiner Funktion als Herkunftsnachweis zum einen, ausgehende elektronische Dokumente mit einem sicheren digitalen Unternehmensstempel zu versehen, ohne dass einzelne Mit-arbeiterzertifikate benötigt werden“, erläutert Michalek. „Außerdem können
mit dem elektronischen Siegel zu archivierende Unterlagen relativ einfach mit einem starken Integritätsschutz versehen werden, etwa im Rahmen des ersetzenden Scannens.“


Elektronisches Organisationszertifikat mit hoher Beweiskraft
Die rechtliche Beweiskraft des Organisationszertifikats sei ausgesprochen hoch, betont Jandt. Gemäß Artikel 35 Absatz 2 der eIDAS-VO gilt die „Vermutung der Unversehrtheit (Integrität) und der Richtigkeit der Herkunftsangabe (Authentizität)“. Sprich: Integrität und Authentizität sind anzunehmen, sofern nicht das Gegenteil bewiesen wird. „Die eIDAS bringt solche Beweisregeln nicht nur für die Organisationszertifikate, sondern auch für die Zeitstempel und für elektronische Einschreiben, denen damit allen ein sehr hoher Beweiswert zugesprochen wird“, erläutert Jandt.


Bisher galt in Deutschland gemäß Signaturgesetz und § 371 a ZPO, dass von einer natürlichen Person qualifiziert signierte elektronische Dokumente hinsichtlich des Beweiswerts den Papierurkunden rechtlich gleichgestellt sind. „Einen sehr hohen Beweiswert konnte man also auch bisher schon erreichen. Allerdings haben viele aus Praktikabilitätsgründen nur eine fortgeschrittene Signatur genutzt, die den hohen Beweiswert nicht hat“, so Jandt. Sie hat ihn auch weiterhin nicht, aber da es den hohen Beweiswert für Zeitstempel und elektronische Siegel jetzt quasi schriftlich gibt, haben medizinische Einrichtungen künftig mehr Optionen, einen hohen Beweiswert zu erreichen als vor der eIDAS-Verordnung.


Rechtlich noch etwas unklar ist, wie die Beweisvorschriften der eIDAS in das deutsche Beweisrecht integriert werden. „Streng genommen haben durch eIDAS die Dokumente mit qualifiziertem Siegel sogar einen etwas höheren Beweiswert als qualifiziert ­signierte Privatdokumente, für die in der eIDAS-VO aus Gründen, die mir nicht klar sind, keine eigene Beweisvorschrift enthalten ist. Wie das mit § 371 a ZPO in Einklang zu bringen ist, muss man sehen, aber grundsätzlich wird dieser Paragraph wohl bleiben. Die zentrale Botschaft für die Anwender ist: Bei Dokumenten mit qualifizierten Signaturen und mit qualifizierten Siegeln ist der Beweiswert hoch“, so Jandt.


Fernsignatur statt Chipkarte: Für Krankenhäuser interessant?
Wie sieht es nun in Zeiten der eIDAS-VO jenseits der Archivierung bei den qualifizierten elektronischen Signaturen von Einzelpersonen aus? Hier gibt es eine weitere echte Neuerung, die viele in der Branche elektrisiert, deren praktische Bedeutung im Alltag derzeit allerdings noch nicht recht abschätzbar ist. Mit der eIDAS-VO kommen nämlich sogenannte Fernsignaturen, die es bisher in Deutschland nicht gab. „Bei der Fernsignatur steht die Signaturerstellungseinheit nicht mehr beim Signierenden vor Ort, sondern sie darf stattdessen von einem Vertrauensdiensteanbieter vorgehalten werden“, erläutert Jandt. „Wie das genau aussehen wird, ist bisher allerdings noch nicht klar. Die technischen Anforderungen müssen jetzt erst einmal formuliert werden.“


Aus Sicht der Anbieter eröffnet die Fernsignatur in medizinischen Einrichtungen interessante neue Einsatzszenarien für die qualifizierte elektronische Signatur. Ärzte und Patienten können künftig auch ohne Chipkarte und Kartenlesegerät eine qualifizierte elektronische Signatur mit Trustcenter-Akkreditierung auslösen. Umgesetzt werden kann das zum Beispiel über ein Mobiltelefon mit TAN-Generierung. „Wir hoffen, dass die Akzeptanz dieser Signaturform im deutschen Gesundheitswesen dadurch steigt“, so Michalek.


Als Beispiel nennt Michalek den Arzt, der die auf seinem Einzelarbeitsplatz installierte Signatursoftware startet, weil er zum Beispiel einen Arztbrief oder Befund signieren möchte. Bei einer mobilen Signatur müsste er dann keine Karte stecken, sondern bekäme vom Vertrauensdiensteanbieter eine Authentifizierungsanfrage auf sein Mobiltelefon geschickt. Neu ist, dass neben den bisher erlaubten
Authentifizierungsfaktoren „Besitz“ (Signaturkarte) und „Wissen“ (PIN) nun auch biometrische Verfahren (zum Beispiel Fingerabdruck) eingesetzt werden können.


E-Health-Gesetz verlangt HBA
Für sehr spannend im Zusammenhang mit der Fernsignatur hält Michalek perspektivisch auch den Use Case „Patientenaufnahme“. Bei der Aufnahme muss jeder Patient eines Krankenhauses eine ganze Reihe von Dokumenten unterschreiben. „Zumindest die Einwilligung zur Datenverarbeitung unterliegt dabei der Schriftform“, so Michalek. Denkbar wäre, dass der Patient diese Erklärung künftig mithilfe seines Mobiltelefons unterschreibt. Das Dokument läge dann beweissicher signiert elektronisch vor und müsste nicht gescannt werden. Die „digitale Patientenaufnahme“ funktioniert dabei auch dann, wenn der Patient – wie die meisten – nicht über eine Signaturkarte verfügt oder die Signaturfunktion seines Personalausweises nicht freigeschaltet hat. Technisch hält Michalek die Umsetzung der Fernsignatur in den Informationssystemen für relativ unproblematisch, sobald die entsprechenden Anforderungen formuliert sind: „Grundsätzlich lässt sich so etwas in ein Signaturmodul einbinden und auf diese Weise an die Klinikinformations-systeme, Dokumentenmanagementsysteme oder PVS-Systeme andocken.“

 

Zumindest beim Stichwort PVS bleibt allerdings ein kleines Fragezeichen. Rein rechtlich könnte auch der niedergelassene Arzt künftig mithilfe eines Mobiltelefons „fernsignieren“. Allerdings koppelt das Anfang 2016 in Kraft getretene E-Health-Gesetz die finanzielle Förderung der elektronischen Arztbriefe explizit an den elektronischen Heilberufsausweis und damit die Signaturkarte. Denkbar wäre vor diesem Hintergrund, dass unterschiedliche Varianten der personengebundenen qualifizierten elektronischen Signatur künftig im Gesundheitswesen koexistieren.


Tübinger Erfahrungen: Die Mühen der Ebene

Am Universitätsklinikum Tübingen jedenfalls beginnt man gerade, die neuen Möglichkeiten, die die eIDAS-VO bringt, konkret im Rahmen eines Proof of Concept umzusetzen und neue Signaturverfahren auf Praxistauglichkeit zu testen. Das ist zum einen das sogenannte Firmensiegel entsprechend den Regeln von TR-ESOR und TR-RESISCAN, zum anderen das Organisationszertifikat gemäß eIDAS-VO: „Bei den meisten ­Dokumenten gibt der Arzt das jeweilige Dokument in dem Subsystem, in dem er arbeitet, durch einen validierten Prozess als vidiert und geprüft frei. Das Dokument wird dann über eine HL7/MDM-Schnittstelle an das Archiv übergeben, wo der Zeitstempel aufgebracht wird“, erläutert Eder.


Bei Arztbriefen und einigen anderen wichtigen Dokumenten, zum Beispiel eingescannten Einverständniserklärungen oder ambulanten Fall- und Besuchsakten, wird in Tübingen dagegen ein Organisationszertifikat genutzt. Hier steckt der Arzt oder die scannende Archiv- oder Aufnahmekraft einen USB-Token in den Rechner und löst damit im Rahmen seiner Dokumentenfreigabe aktiv den Zeitstempel aus.


Von der personengebundenen qualifizierten elektronischen Signatur hat man in Tübingen dagegen Abstand genommen: „Das wurde im Projekt mit aufgesetzt, aber dann als zu kompliziert angesehen. Wir haben das natürlich auch mit der Rechtsabteilung besprochen und sind zu dem Schluss gekommen, dass der qualifizierte Zeitstempel ausreicht. Damit können wir Integrität und Authentizität sicherstellen, und die eIDAS-VO hilft uns in Sachen Beweissicherheit.“ Das Ganze sei ein deutlicher Fortschritt gegenüber vorher, so Eder. Insgesamt ließen sich durch die Neugestaltung der Zeitstempelprozesse und den Verzicht auf die personengebundene Signatur die signaturbezogenen Kosten um 30 bis 40 Prozent senken, ohne dass deswegen beim Beweiswert Abstriche gemacht werden müssten.

 

Eder warnt allerdings davor, den Aufwand der Implementierung zu unterschätzen. „Die eIDAS-VO bringt mehr Spielräume, aber sie macht es nicht zwangsläufig einfach. Es war ein Stück Arbeit, bis wir das Handling des USB-Tokens so weit hatten, dass wir es dem Personal zumuten konnten“, so Eder. Bisher werden die neuen Prozesse auch erst auf einer Station der internistischen Abteilung genutzt. „Man muss das langsam angehen und die Leute mitnehmen. Dazu gehören auch systematische Fortbildungen und Besuche auf Station, um die Abläufe zu kontrollieren“, so Eder.


Abgeschlossen ist der Prozess noch nicht: Derzeit müssen die Nutzer des neuen Signaturverfahrens die Vergabe bzw. das Aufbringen des UKT-Firmensiegels aus dem Zertifikatsspeicher noch mit einer PIN auslösen. Das soll sich im Laufe des Sommers ändern. Um zu verhindern, dass der USB-Token dann einfach steckengelassen wird, und somit die Authentizität nicht mehr gewährleistet ist, wird es eine Time-out-Funktion geben: „Steckenlassen wird nicht gehen“, betont Eder. Zudem werden momentan auch noch Signaturalternativen wie die Office-Makro-Signaturen für das Signieren von Arztbriefen auf Praktikabilität und rechtliche Kompatibilität hin geprüft und im klinischen Alltag getestet. Was die neuen Fernsignaturen angeht, ist Eder eher skeptisch. „Das liest sich gut, aber die entscheidende Frage wird sein, wie das technisch und praktisch umgesetzt wird. Ich habe da noch so meine Zweifel.“

 

Text: Philipp Grätzel von Grätz, Chefredakteur E-HEALTH-COM

Meistgelesen

Blog
DiGA: Die unerschlossene Welt der IVD-Daten
Unternehmensnews
Kooperation geschlossen: Nui Care und DAK-Gesundheit unterstützen pflegende Angehörige
Unternehmensnews
„Noah Labs Ark“ erhält die medizinische Zulassung
Unternehmensnews
Arvato Systems übernimmt Betrieb und Weiterentwicklung der AOK-Webpräsenz

Cookies auf e-health-com.de

Diese Website nutzt Cookies, um ihre Dienste anbieten zu können und Zugriffe zu analysieren. Dabei ist uns der Datenschutz sehr wichtig.

Legen Sie hier Ihre Cookie-Einstellungen fest. Sie können Sie jederzeit auf der Seite Cookie-Informationen ändern.

Mehr über die genutzten Cookies erfahren
Cookie optin by Olli machts