Elektronische Unterschriften und digitale Signaturen dürfen als gleichwertig zu handgeschriebenen Unterschriften („wet ink“) betrachtet werden.
Welche Voraussetzungen dafür erfüllt sein müssen, hängt vom Grad der zu erreichenden Verbindlichkeit und damit vom Dokument ab, das unterschrieben werden soll.
Dieser Artikel klärt,
- wann Hersteller eine Unterschrift benötigen,
- unter welchen Umständen diese Unterschrift elektronisch erfolgen darf,
- welcher Typ von elektronischer Unterschrift verlangt wird,
- was der Unterschied zwischen einer elektronischen Unterschrift und einer digitalen Signatur ist und
- wie sich das elektronische Signieren in der Praxis umsetzen lässt.
1. Wann benötigt man (überhaupt) eine Unterschrift?
a) Medizinprodukteverordnung MDR
Die MDR fordert explizit Unterschriften beispielsweise im Anhang IV zur „EU-Konformitätserklärung“:
„Die EU-Konformitätserklärung enthält alle folgenden Angaben: […] Ort und Datum der Ausstellung der Erklärung, Name und Funktion des Unterzeichners sowie Angabe, für wen und in wessen Namen diese Person unterzeichnet hat, Unterschrift“.
MDR, Anhang IV
Zudem müssen Hersteller eine Unterschrift leisten, wenn sie bei einer Benannten Stelle beantragen, eine Konformitätsbewertung durchzuführen. Bei klinischen Prüfungen fordert die MDR die Unterschriften der „Hauptprüfer“.
Weitere Forderungen nach Unterschriften betreffen die Benannten Stellen:
- Verpflichtung der Mitarbeitenden
- Entscheidung über Zertifizierungen
- Bescheinigungen
b) IVDR
Die IVDR stellt die gleichen Anforderungen wie die MDR. Nur bei den klinischen Leistungsstudien, dem Pendant zu den klinischen Prüfungen, verzichtet die IVDR auf die Pflicht zu unterschreiben.
c) ISO 13485:2016
Die DIN EN ISO 13485:2016 erwähnt den Begriff „Unterschrift“ nicht. Allerdings verlangt sie in Kapitel 4.2.4 („Lenkung von Dokumenten“):
Ein dokumentiertes Verfahren muss die erforderlichen Lenkungsmaßnahmen festlegen, um:
DIN EN ISO 13485:2016, Kapitel 4.2.4
a) Dokumente bezüglich ihrer Angemessenheit vor ihrer Herausgabe zu bewerten und zu genehmigen, […]
Damit sind die Hersteller verpflichtet nachzuweisen, dass
- Dokumente geschrieben, bewertet und genehmigt werden,
- dies in dieser Reihenfolge geschieht,
- nicht dieselbe Person schreibt, bewertet und genehmigt sowie
- die Genehmigung vor der Herausgabe erfolgt.
Diese Anforderungen lassen sich nur durch eine Zuordnung des Dokuments und der Tätigkeiten zu einer Person und einem Datum für jede Tätigkeit erfüllen. Genau diese Zuordnung erfolgt bei Papier meist durch eine Unterschrift. Bei elektronischen Dokumenten und Aufzeichnungen gibt es Alternativen (s. u.).
In allen Fällen muss dokumentiert sein:
- Autorenschaft: „Ich verantworte den Inhalt und halte ihn für korrekt.“
- Bewertung / Review: „Der Inhalt wurde von mir nach festgelegten Kriterien geprüft und entspricht diesen.“
- Genehmigung / Freigabe: „Der Inhalt kann im weiteren Prozess benutzt werden (und ich habe die Befugnis, dies zu entscheiden)“
Lesen Sie hier mehr zum Thema Dokumentenfreigaben und Vier-Augen-Prinzip.
Diese Anforderungen sind nachvollziehbar: Eine Systemspezifikation zu erstellen, bevor man die User Requirements erhoben und dokumentiert hat, ergibt meist wenig Sinn. Bevor ein Produkt in der Produktion vervielfältigt wird, muss das Design in Tests überprüft worden sein.
d) Zusammenfassung
- Die Hersteller sind verpflichtet, Dokumente zu erstellen wie die Technische Dokumentation und die Konformitätserklärung.
- Sie müssen nur wenige dieser Dokumente unterschreiben.
- Eine Unterschrift ist eher notwendig, um die Produktkonformität zu bestätigen (Konformitätserklärung), weniger wichtig für die Prozesskonformität (Aufzeichnungen, Technische Dokumentation).
- Bei den Nachweisen der Prozesskonformität muss erkennbar sein, wer zu welchem Zeitpunkt welchen Arbeitsschritt (z. B. eine Freigabe) auf welche Weise gemacht hat.
2. Wann benötigt man elektronische Unterschriften?
Elektronische Dokumente und Aufzeichnungen sind bisher nicht überall verpflichtend. Allerdings wächst der Druck von Behörden und Benannten Stellen, dies zu tun. Standardisierte elektronische Formate wie CDISC bei klinischen Prüfungen und das eStar-Programm der FDA werden zunehmend zur einzigen effizienten Form des Daten- und Informationsaustauschs.
Mit dem Umstieg von Papier auf elektronische Dokumente entsteht noch nicht in jedem Fall die Pflicht, handgeschriebene Unterschriften durch elektronische Unterschriften zu ersetzen. Vielmehr können die Unternehmen bewerten, ob überhaupt eine Unterschrift verpflichtend ist oder ob auch auf andere Weise nachverfolgt werden kann, welche Person welche Tätigkeit zu welchem Zeitpunkt durchgeführt hat.
Die Vorgaben im eigenen QM-System sind bei Änderungen anzupassen.
Mit dem Umstieg auf elektronische Medien findet zunehmend ein Wechsel von dokumenten- zu datengetriebenen Prozessen statt. Damit erfolgt ein Wechsel von Papier zu elektronischen Dokumenten auf Basis strukturierter Daten.
Auch die strukturierten Daten müssen die gesetzlichen Anforderungen an die Lenkung von Dokumenten und Aufzeichnungen erfüllen.
Das Johner Institut unterstützt Hersteller und Benannte Stellen bei deren digitaler Transformation, z. B. im Rahmen des Programms ‚Fit-for-Future‘.
3. Wann sind elektronische Unterschriften erlaubt?
a) In Deutschland / Europa: BGB, VDG, eIDAS
Das Bürgerliche Gesetzbuch BGB gibt in § 126 „Schriftform“ explizit die Erlaubnis, handschriftliche Unterschriften durch elektronische Unterschriften zu ersetzen:
„… (3) Die schriftliche Form kann durch die elektronische Form ersetzt werden, wenn sich nicht aus dem Gesetz ein anderes ergibt. …“
BGB, § 126
Bei gesetzlich vorgeschriebenen Unterschriften hängt das BGB die Latte noch etwas höher:
„(1) Soll die gesetzlich vorgeschriebene schriftliche Form durch die elektronische Form ersetzt werden, so muss der Aussteller der Erklärung dieser seinen Namen hinzufügen und das elektronische Dokument mit einer qualifizierten elektronischen Signatur versehen.
BGB § 126a
Was eine „qualifizierte elektronische Signatur“ ist, regelt das Vertrauensdienstegesetz VDG (ehemals Signaturgesetz), welches die EU-Verordnung eIDAS (ehemals Signaturrichtlinie) umsetzt (s. Abb. 1).
b) USA – FDA: 21 CFR part 11
Die FDA gestattet den Ersatz von schriftlichen durch elektronische Unterschriften. Die Unterschriften und die damit unterzeichneten Dokumente müssen dann den Anforderungen des 21 CFR part 11 genügen.
Die Anforderungen dieses administrativen Gesetzes gelten für Firmen, die mit der FDA kommunizieren bzw. der Behörde Dokumente vorlegen müssen, z. B. während einer Inspektion.
Lesen Sie hier mehr zum Thema 21 CFR part 11.
4. Welche Typen von elektronischen Unterschriften gibt es?
Die EU-Verordnung über elektronische Identifizierung und Vertrauensdienste (kurz eIDAS (910/2014)) unterscheidet drei Typen von elektronischen Unterschriften:
- Elektronische Signatur
- Fortgeschrittene elektronische Signatur
- Qualifizierte elektronische Signatur
a) Elektronische Signatur
Die eIDAS definiert eine elektronische Signatur wie folgt:
„Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.“
Quelle: eIDAS
Das Einfügen eines Unterschriften-Scans in ein Dokument ist ein Beispiel für eine elektronische Signatur. Ebenso ist die Signatur in einer E-Mail eine elektronische Signatur.
Diese Signatur stellt die schwächste Form des Nachweises statt, da weder sichergestellt ist, dass die Person selbst diese „Daten beigefügt oder logisch verbunden“ hat, noch sich der Zeitpunkt dieses Beifügens nachvollziehen lässt.
b) Fortgeschrittene elektronische Signatur
Die nächste Stufe ist die fortgeschrittene elektronische Signatur.
elektronische Signaturen nach Nummer 1, die
- eindeutig dem Unterzeichner zugeordnet sind,
- die Identifizierung des Unterzeichners ermöglichen,
- unter Verwendung elektronischer Signaturerstellungsdaten erstellt sind, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann, und
- so mit den auf diese Weise unterzeichneten Daten verbunden sind, dass eine nachträgliche Veränderung der Daten erkannt werden kann
Quelle: eIDAS
Ein Beispiel für diesen Typ von elektronischen Unterschriften sind Versionsverwaltungssysteme wie SVN oder git:
- Beim „Commit“ werden immer der Name der Person und der Zeitpunkt gespeichert.
- Durch ihren Benutzernamen und ihr Passwort kann die Person identifiziert werden.
- Organisatorisch kann man sicherstellen, dass nur die Person selbst über diese „Credentials“ verfügt.
- Schließlich stellen Prüfsummen sicher, dass eine nachträgliche Veränderung der Daten nicht unbemerkt bleibt.
Genau dazu sind Versionsverwaltungssysteme gedacht.
Aber auch fortgeschrittene elektronische Signaturen bieten die Möglichkeit der Manipulation:
- Wenn die organisatorischen Maßnahmen nicht wirksam sind, wäre es möglich, dass eine zweite Person den gleichen Namen verwendet oder sie Zugriff zu den Zugangsdaten und damit die Identität der ersten Person erlangt.
- Durch ein Verändern der Systemzeit des Versionsverwaltungssystems ließe sich der Zeitstempel manipulieren.
Um diese Nachteile zu minimieren, bedarf es ggf. eines höheren „Integritätslevels“, der qualifizierten elektronischen Signatur.
Viele Dienstleister von elektronischen Signaturen bieten „nur“ fortgeschrittene Signaturen an. Dennoch werden damit in der Praxis umfangreiche Vertragswerke unterzeichnet.
c) Qualifizierte elektronische Signatur
Auch diesen Typ definiert eIDAS:
„Fortgeschrittene elektronische Signaturen nach Nummer 2, die
- von einer qualifizierten elektronischen Signaturerstellungseinheit erstellt wurden und
- auf einem qualifizierten Zertifikat für elektronische Signaturen beruhen
Quelle: eIDAS
Im Anhang II ergänzt die Verordnung:
„(3) Das Erzeugen oder Verwalten von elektronischen Signaturerstellungsdaten im Namen eines Unterzeichners darf nur von einem qualifizierten Vertrauensdiensteanbieter durchgeführt werden.“
Quelle: eIDAS
Zu diesen Anbietern zählen:
- Bundesagentur für Arbeit
- Bundesnotarkammer
- Deutsche Post AG
- D-Trust GmbH
- Deutscher Sparkassen Verlag GmbH
- Deutsche Telekom AG
- DGN Deutsches Gesundheitsnetz Service GmbH
- medisign GmbH
5. Welchen Typ von elektronischer Signatur benötigt man?
a) Risikobasierter Ansatz der ISO 13485:2016
Die ISO 13485:2016 spricht davon, dass Prozesse und die Validierung von Computersystemen risikobasiert erfolgen sollen. Dieser risikobasierte Ansatz ist auch bei der Wahl des Typs von elektronischer Signatur anzuwenden.
Wenn es um Menschenleben geht (Produktkonformität), wird man das höchste Niveau wählen. Wenn es um den Nachweis geht, dass man seinen Verfahrensanweisungen gefolgt ist (Prozesskonformität), sollte eine fortgeschrittene elektronische Signatur genügen.
Mit anderen Worten: Eine Konformitätserklärung sollten Hersteller von Hand („wet ink“) oder mit einer qualifizierten elektronischen Signatur unterschreiben. Bei Spezifikationen, Testberichten u. ä. genügt eine fortgeschrittene elektronische Signatur.
b) Rechtliche Anforderungen in Europa
Die eIDAS stellt explizit klar:
„(1) Einer elektronischen Signatur darf die Rechtswirkung und die Zulässigkeit als Beweismittel in Gerichtsverfahren nicht allein deshalb abgesprochen werden, weil sie in elektronischer Form vorliegt oder weil sie die Anforderungen an qualifizierte elektronische Signaturen nicht erfüllt.“
eIDAS
c) Rechtliche Anforderungen in den USA
Der 21 CFR part 11 unterscheidet zwischen elektronischer und digitaler Signatur:
(5) Digital signature means an electronic signature based upon cryptographic methods of originator authentication, computed by using a set of rules and a set of parameters such that the identity of the signer and the integrity of the data can be verified.
(7) Electronic signature means a computer data compilation of any symbol or series of symbols executed, adopted, or authorized by an individual to be the legally binding equivalent of the individual’s handwritten signature.
21 CFR part 11
Die elektronische Signatur entspricht der elektronischen Signatur gemäß eIDAS, die digitale Signatur zumindest der fortgeschrittenen elektronischen Signatur.
Die FDA stellt keine Anforderungen, die nur durch eine qualifizierte elektronische Signatur erfüllt werden könnten. Sie fordert:
- Verfälschungen müssen erkannt werden (11.10).
- Angemessene Standards für digitale Signaturen, um die Authentizität, Integrität und Vertraulichkeit von Aufzeichnungen zu gewährleisten (11.30)
- Sicherstellung, dass Unterschriften nicht entfernt oder auf andere Dokumente übertragen werden können (11.70)
- Will eine Person mehrere elektronische Unterschriften leisten, muss sie sich initial mit allen Daten anmelden (typischerweise Benutzername und Passwort), dann für jeden einzelnen Vorgang mit mindestens einer Komponente (typischerweise Passwort oder PIN) (11.200).
- Sicherstellung, dass es das Zusammenwirken zweiter Personen bedürfte, um die elektronische Unterschrift einer dritten Person zu fälschen (11.200).
- Auf einem elektronisch unterschriebenen Dokument erwartet die FDA den Namen des Unterzeichners (in Druckbuchstaben, kein Bild/Scan der Unterschrift), Datum und Uhrzeit der Unterschrift und was mit der Unterschrift bestätigt wird (Autorenschaft, Prüfung, Freigabe) (11.50). Diese Unterschrift kann bei Dokumenten, die in Systemen „leben“ (z. B. einem ALM Tool) auch im System hinterlegt sein, wenn sie technisch untrennbar mit dem Inhalt des Dokuments verknüpft ist.
Fazit: Keine dieser Anforderungen macht es zwingend, qualifizierte elektronische Unterschriften zu verwenden. Eine fortgeschrittene elektronische Unterschrift mit einem validierten System, gepaart mit geeigneten organisatorischen Maßnahmen, sind ausreichend.
6. Wie erstellt man eine digitale Unterschrift?
Das Johner Institut empfiehlt, Werkzeuge zu nutzen, um digitale Unterschriften zu leisten. Die Eignung der Werkzeuge hängt von der Arbeitsweise des Herstellers ab:
- Wenn ein Hersteller vorwiegend dokumentenorientiert arbeitet, sind die Produkte von Adobe und Microsoft (z. B. Word) alleine bzw. mit Plug-ins ausreichend, um die technischen Voraussetzungen an eine fortgeschrittene elektronische Signatur zu erfüllen.
- Das Johner Institut selbst erstellt die meisten Dokumente im Markdown-Format und nutzt git als Werkzeug für die Versionsverwaltung. Durch geeignete organisatorische Maßnahmen (z. B. Vorgaben zum Branching und Merging) lassen sich die Anforderungen an eine fortgeschrittene elektronische Signatur erfüllen.
- Sehr elegant ist es, auf Werkzeuge zu setzen, die die Inhalte der Dokumente in einer Datenbank pflegen, z. B. die ALM-Tools von Medsoto (MedPack, RiskPack und Polarion ALM). Diese Produkte verfügen bereits über eingebaute Mechanismen wie die Bestätigung von Freigaben per Passwort, um rechtskonforme fortgeschrittene elektronische Signaturen zu erzeugen.
Das Unterschreiben von Konformitätserklärungen rechtfertigt meist nicht den Aufwand, ein System zu etablieren, mit dem qualifizierte elektronische Signaturen erzeugt werden können.
Sven Wittorf, der Geschäftsführer unseres Schwesterunternehmens Medsoto hat sich die Mühe gemacht, die Voraussetzungen für eine qualifizierte digitale Signatur zu schaffen. Hier ist sein (Leidens-)Bericht:
7. Wie funktioniert das digitale Signieren technisch?
a) Digitale Signatur: Was hat das mit Hashwert zu tun?
Zuerst wird aus dem Dokument ein sogenannter Hashwert berechnet. Der Hashwert ist eine Zeichenkette (aktuell meist 254 Bit oder länger) und gleicht einem Fingerabdruck des Dokuments. Jede auch noch so kleine Änderung an dem Dokument wird bei einer Prüfung zu einem anderen Hashwert führen. Es ist (mit realistischem Aufwand) nicht möglich, aus dem Hashwert auf den Inhalt des Dokuments Rückschlüsse zu ziehen.
Bekannte und heute noch genutzte Verfahren (Algorithmen) zur Berechnung dieses Werts sind MD5 (128 Bit), SHA-256 und SHA-512. Das BSI gibt diesbezüglich jedes Jahr Empfehlungen heraus, die mit Experten abgestimmt sind.
Typische Längen für eine digitale Signatur sind 1536 Bit und mehr. Da die Hash-Algorithmen deutlich kürzere Zeichenketten ergeben, werden diese dann durch spezielle Zeichen aufgefüllt. Dieser Vorgang wird Padding genannt.
b) Verschlüsselung, RSA und digitale Signatur
Soweit sind weder das Originaldokument noch dessen Hashwert einem Urheber zuordenbar. Dies erfolgt im zweiten Schritt dadurch, dass der (aufgefüllte) Hashwert durch ein Signaturverfahren mit dem privaten Schlüssel des Urhebers zu einer Signatur verknüpft wird. Weit verbreitete, asymmetrische Verfahren dafür sind RSA bzw. DSA.
Wohlgemerkt: Für Signaturzwecke wird der Hashwert und nicht das komplette Dokument mit dem Schlüssel verknüpft, weil hierfür nicht der Inhalt des Dokuments verborgen, sondern „nur“ dessen Integrität gewährleistet werden soll. Der Hashwert stellt somit eine wesentliche Komponente der digitalen Signatur dar.
Auch für Signatur und Verschlüsselung analysiert das BSI jährlich die Sicherheit der empfohlenen Verfahren. Eine auf RSA bzw. DSA basierende Signatur mit einer Länge von 3000 Bit wird als sicher angesehen (Quelle).
c) Schlüssel, Zertifikat und Zertifizierungsstelle
Dass der Schlüssel wirklich vertrauenswürdig dem Urheber zugeordnet werden kann, belegen Zertifikate. Sie werden von Trust-Centern (Zertifizierungsinstanzen) ausgestellt, sind von dieser signiert (und damit integer) und enthalten neben dem Namen des Urhebers und dem Fälligkeitsdatum auch dessen öffentlichen Schlüssel. Öffentlicher und privater Schlüssel bilden dabei ein Paar. Während der öffentliche Schlüssel aus dem privaten Schlüssel erzeugt wird, ist dies umgekehrt nicht möglich, d. h. der private Schlüssel lässt sich nicht aus dem öffentlichen Schlüssel ermitteln. Auf dem Prinzip einer solchen „Einwegfunktion“ beruht die Sicherheit des Verfahrens.
Mit dem öffentlichen Schlüssel aus dem Zertifikat des potenziellen Senders kann der Empfänger die dem Dokument beigefügte digitale Signatur verifizieren und damit die Korrektheit der Angaben zum Urheber (Autor bzw. Sender) prüfen. Dabei wird auch der gespeicherte Hashwert sichtbar. Den entschlüsselten Wert vergleicht der Empfänger dann mit dem Hashwert, den er selbst unter Anwendung des gleichen Algorithmus berechnet hat. Stimmen beide überein, so weiß der Empfänger sicher, dass das Dokument unverändert und damit auch authentisch ist.
8. Fazit / Zusammenfassung
a) Unnötigen Aufwand vermeiden
Der Aufwand, den einige Firmen treiben, um angebliche gesetzliche Anforderungen zu erfüllen, treibt seltsame Blüten: Man erzeugt elektronische Dokumente. Dann druckt man diese aus. Anschließend unterschreibt man sie und scannt sie wieder ein. Dieser Scan wandert dann zur Archivierung in ein Dokumentenmanagementsystem, das mit einem aufwändigen Berechtigungsprozess sicherstellt, dass die Personen identifiziert werden können, die damit arbeiten.
Es ist ein Leichtes, die Prozesseffizienz durch unangemessen hohe Vorgaben zu beeinträchtigen und damit die ganze Firma stillzulegen.
b) Zukunftssicher handeln
Die digitale Transformation von Herstellern, Behörden und Benannten Stellen gelingt nicht durch einen Umstieg von Papier auf elektronische Dokumente. Vielmehr ist ein Umstieg von Dokumenten auf strukturierte Daten notwendig, um (regulatorische) Prozesse zu automatisieren.
Die dafür verwendeten Systeme müssen die Anforderungen insbesondere der ISO 13485 an die Lenkung von Dokumenten und Aufzeichnungen erfüllen, selbst wenn gar keine (elektronischen) Dokumente mehr bestehen.
Das Johner Institut hilft Herstellern dabei, insbesondere regulatorische Prozesse zu automatisieren, um
- Regulatory Affairs und Quality Managers von Fleißarbeiten zu entlasten,
- die Time-to-Market drastisch zu reduzieren,
- regulatorische Risiken zu minimieren und
- die Wettbewerbsfähigkeit und Arbeitsplatzsicherheit zu gewährleisten.
Melden Sie sich bei Interesse, z. B. über die Kontaktseite.
c) Risikobasiert handeln
Die Wahl des Signatur-Niveaus sollte risikobasiert erfolgen: Eine qualifizierte elektronische Signatur empfiehlt das Johner Institut v. a. für Konformitätserklärungen („es geht um Leben und Tod“) und externe Rechtsgeschäfte. In den anderen Fällen genügt eine fortgeschrittene elektronische Signatur, die man mit vielen Tools erstellen kann, in Kombination mit geeigneten organisatorischen Maßnahmen.
Manche Auditoren stellen bezüglich elektronischer Unterschriften Anforderungen, für die es keine rechtliche Basis gilt. Diese Auditoren handeln meist inkonsistent, denn sie bestehen bei handschriftlichen Unterschriften auch nicht auf einer Unterschriftenprobe.
Bei aller Begeisterung für elektronische Unterschriften und für die Digitalisierung: Ist es nicht auch ein feierlicher Akt, mit einem richtigen Füller die Konformitätserklärung zu unterschreiben und zu bestätigen, dass das Produkt sicher ist und den Patienten nutzen wird?
Dank gilt Sven Wittorf für sehr wertvolle Anregungen und Materialien!
Änderungshistorie:
- 2024-07-29:
- Redaktionelle Änderungen
- Kapitel 1 aktualisiert, u. a. MDD entfernt und IVDR ergänzt
- Kapitel 2 neu geschrieben
- Kapitel 8.c) eingefügt
- 2019-04-19: Artikel überarbeitet und um eIDAS-Anforderungen ergänzt
Hallo Herr Johner,
auch wenn das nicht direkt gleich zu setzen ist, so ist es vielleicht trotzdem interessant, was im EU-GMP-Leitfaden Anhang 11 dazu aufgeführt ist. Hier der Link dazu: https://www.bundesgesundheitsministerium.de/fileadmin/Dateien/3_Downloads/Statistiken/GKV/Bekanntmachungen/GMP-Leitfaden/Anlage_2_zur_Bekanntmachung_-_Annex_11.pdf
Danke für die wertvolle Ergänzung!
Warum nicht einfach eine einfache Lösung nehmen die QES abdeckt? Dann brauchts doch auch keine Risikoabwägung mehr.
See https://www.skribble.com/de/
Sehr geehrter Herr Johner und Kollegen,
vielen Dank für diesen Artikel. Ich möchte nur darauf hinweisen, dass das Zitat im Abschnitt 1.c) der ISO 13485:2016 im Kapitel 4.2.4 zu finden ist.
Die Unterscheidung zwischen Dokumenten (also Vorgabedokumente aus dem QMS wie SOPs und Begleitdokumente wie Protokolle etc.; Kapitel 4.2.5) und Aufzeichnungen (ausgefüllte Begleitdokumente bzw. Nachweise oder Resultate von durchgeführten Prozessschritten; Kapitel 4.2.5) ist meines Erachtens zu unterstreichen, da letztere im täglichen Betrieb viel häufiger vorkommen und dadurch den wesentlicheren Fokus bei Digitalisierungsvorhaben auf sich ziehen sollten. Allerdings gehe ich davon aus, dass hier die gleichen Anforderungen an eine Unterschrift gelten.
Viele Grüße
Robert Löffler-Reetz
Sie haben absolut Recht, lieber Herr Löffler-Reetz!
Danke für Ihren Hinweis. Ich habe sofort die „5“ durch die „4“ ersetzt. Dankeschön!
Herzliche Grüße, Christian Johner
Sie empfehlen im Kapitel 6 unter 1:
„Wenn Hersteller vor allem dokumentenorientiert arbeiten (z.B. mit Word), sind die Produkte von Adobe und Microsoft (z.B. Word) alleine bzw. mit Plugins ausreichend, um die technischen Voraussetzungen an eine fortgeschrittene elektronische Signatur zu erfüllen.“
Hallo Herr Johner,
welche Plugins sind hier gemeint? Was wären die Voraussetzungen im GMP Bereich (EU/USA) bei Adobe Acrobat Reader ?
Über eine Antwort würde ich mich sehr freuen!!!
Viele Grüße
Nihat Parlatan
Sehr geehrter Herr Parlatan,
danke für die wichtige Frage! Ich habe bewusst keine konkreten Namen genannt, weil ich zum einen nicht werben will, zum anderen nicht alle ausprobiert habe und zum Drittenden Artikel nicht fortlaufend überarbeiten kann.
Die Google Suche „Word Signatur Plugin“ liefert Ihnen einige relevante Treffer u.a. auch ein Plugin von Adobe für Word.
Die Voraussetzungen im GMP-Bereich sind absolut vergleichbar. Eine qualifizierte elektronische Unterschrift ist i.d.R. nicht notwendig und kann durch diese Plugins auch nicht geliefert werden. Aber auf das Niveau der fortgeschrittenen elektronischen Signaturen reichen diese.
Bereits der Acrobat Reader verfügt über die Funktionalität, die notwendig ist, um den Zeitpunkt des Unterschreibens erkennen zu lassen (nicht fälschungssicher), um nachträgliche Veränderungen des Dokuments zu identifizieren und um eine Zuordnung des Dokuments zum Unterschreibenden zu gewährleisten (mit Abstrichen). Damit geben sich die Benannten Stellen meist zufrieden.
Viele Grüße, Christian Johner
Hallo Herr Johner,
nach meinem Verständnis benötigen fortgeschrittene elektronische Unterschriften keine handschriftliche Individualität um den Unterzeichner als diesen zu identifizieren, da die Zuordnung elektronisch hinterlegt ist und nachvollzogen werden kann (Zertifikat o. ä.).
Wenn papierbasierte Dokumente jedoch führend sind, verliert eine elektronische Unterschrift (egal in welcher Form diese auf dem Dokument erscheint) ihre eindeutige Zuordnung zum Unterzeichner, da sie leicht in einem Bildbearbeitungsprogramm ausgeschnitten und woanders eingefügt werden kann.
Kann man folglich sagen, dass elektronische Unterschriften für führende papierbasierte Dokumente generell ungeeignet sind?
Für Validierungsdokumente (keine Konformitätserklärungen o. ä.) könnte ich mir vorstellen, dass deren Kritikalitätslevel zusammen mit den zur Fälschung erforderlichen kriminellen Absichten ein Risiko ergeben, welches in Kauf genommen sich gegenüber den benannten Stellen verteidigen ließe.
Ich freue mich über eine kurze Einschätzung Ihrerseits.
Viele Grüße
Bernd Goldstein
Sehr geehrter Herr Goldstein,
es ist wie Sie sagen: eine fortgeschrittene elektronische Unterschrift benötigt keine „handschriftliche Individualität“.
Die Frage mit den elektronischen Unterschriften für führende papierbasierte Dokumente habe ich leider nicht verstanden. Es sollte m.E. nur eine „truth“ geben.
Ihre Einschätzung teile ich, dass die Anforderungen an die Unterschrift von der Kritikalität des Dokuments abhängen (z.B. Konformitätserklärung kritischer als Test-Report für eine Software-Unit).
Falls der Beitrag den Eindruck erwecken sollte, gegenteilige Aussagen zu machen, dann geben Sie gerne Bescheid, damit ich das klarer formulieren kann.
Viele Grüße, Christian Johner
Vielen Dank für Ihre schnelle Rückmeldung.
Um meine Frage zu präzisieren: wenn die Papierversion von Dokumenten im Unternehmen führend ist, Dokumente jedoch zur einfacheren Freigabe (gerade in Corona-Zeiten) als PDF an die Unterzeichner versendet und elektronisch unterschrieben werden, erfolgt am Ende weiterhin ein Ausdruck. Auf diesem wäre jedoch selbst jede qualifizierte elektronische Unterschrift „wertlos“, da alle elektronischen Sicherheitsvorkehrungen nicht mehr wirksam sind. Daher wäre meine Frage bzw. Behauptung, dass elektronische Unterschriften für Papierdokumente grundsätzlich nicht geeignet sind. Würden Sie dem zustimmen?
Ja, dem würde ich zustimmen. Ein klares Plädoyer, auf ein System umzusteigen, das wirklich mit elektronischen Unterschriften arbeitet..
Hallo Herr Johner,
die FDA schreibt im §11.100 General requirements:
(c) Persons using electronic signatures shall, prior to or at the time of such use, certify to the agency that the electronic signatures in their system, used on or after August 20, 1997, are intended to be the legally binding equivalent of traditional handwritten signatures.
(1) The certification shall be submitted in paper form and signed with a traditional handwritten signature, to the Office of Regional Operations (HFC-100), 5600 Fishers Lane, Rockville, MD 20857.
Bedeutet dies, dass ein Unternehmen, das elektronische Unterschrift verwendet, dieses zuvor anzeigen muss oder habe ich diese Anforderung missverstanden?
Ich befinde mich in einer ähnlichen Situation wie Herr Goldstein und versuche digitale Unterschriften in einem papierbasierten System zu verwenden. Dies scheint aber ihrem vorgehenden Kommentar nach zu urteilen nicht konform mit dem FDA Anforderungen zu sein. Unterschrift und das dazugehörige Dokument wären somit nur in der digital abgelegten Version konform, richtig!
Ich freue mich über eine kurze Rückmeldung Ihrerseits.
Viele Grüße,
Thorsten Dittmer
Sehr geehrter Herr Dittmer,
ich verstehe Ihre Frage. Danke dafür!
Wenn man den 21 CFR part 11 liest, wie er geschrieben ist, dann müsste man das genauso machen.
Allerdings hat inzwischen die FDA selbst eingesehen, dass sie mit diesem Part 11 etwas über das Ziel hinausgeschossen ist. Daher hat sie viele Enforcement Discretions angekündigt und u.a. in diesem Guidance Document beschrieben.
Allerdings kann man diesem Guidance nicht entnehmen, dass die FDA auf diese Bestätigung verzichtet. Ich habe andererseits noch nie gehört, dass die Behörde diese wirklich angefordert hat. Die Validierung der Systeme ist hingegen regelmäßig ein Gegenstand der Diskussionen.
Worst case bestätigen Sie einmalig, dass Sie künftig die elektronischen Unterschriften anstatt der manuellen einsetzen wollen. Es geht ja um eine Bestätigung / Bescheinigung, nicht um ein Zertifikat.
Viele Grüße, Christian Johner
Hallo Herr Dittmer, Herr Johner,
da ich mich erst kürzlich auch mit dieser Thematik befaßt habe, wollte ich nur kurz Ihr Augenmerk auf eine Unterseite der FDA lenken, in der es inhaltlich genau um diese Klausel 11.100 des Part 11 geht.
Wenn diese Unterseite thematisch zwar dem „electronic submission gateway“ zugeordnet werden kann, so können die dort vorliegenden „sample letters“, insbesondere der Brief #2 schnell übernommen werden, in der berechtigten Annahme, daß diese auch von dem Office of Regional Operations aktzeptiert werden.
Zu beachten ist natürlich, daß der Adressat durch die in Part 11 angegebenen Adresse getauscht werden sollte.
https://www.fda.gov/industry/electronic-submissions-gateway/esg-appendix-h-sample-letters-non-repudiation-agreement
Meinem Verständnis nach ist das genau die, wie von Herr Johner beschrieben, einmalige Bestätigung.
Zwei Anmerkungen:
– Die Unterseite ist auf März 2018 datiert, was vermuten lässt, daß die FDA diesem Thema nach wie vor eine gewisse Relevanz zuordnet
– Gemäß der Tendenz, daß sämtliche Submissions für die FDA in der Zukunft elektronisch ablaufen werden, wäre es auf jeden Fall ratsam zeitgleich eine Kopie des Briefes an die dort genannte ESG Dienststelle zu senden.
Bürokratie wie man sie liebt 🙂
VG,
Eric Modolin
Nachtrag zu meinem vorherigen Kommentar:
Leider ist die Webseite der ESG alles andere als widerspruchsfrei:
Es gibt bereits eine neuere Version der verlinkten Unterseite, datiert auf August 2020
https://www.fda.gov/industry/about-esg/appendix-g-letters-non-repudiation-agreement
Offensichtlich wurden die Strukturen überarbeitet. Falls man meinen initialen Kommentar noch bearbeiten kann, damit nicht der falsche Link herumgeistert, wäre das umso besser. Leider habe ich keine Möglichkeit ihn zu ändern.
Nachtrag zu meinem vorherigen Kommentar:
Leider ist die Webseite der ESG alles andere als widerspruchsfrei:
Es gibt bereits eine neuere Version der verlinkten Unterseite, datiert auf August 2020
https://www.fda.gov/industry/about-esg/appendix-g-letters-non-repudiation-agreement
Offensichtlich wurden die Strukturen überarbeitet. Falls man meinen initialen Kommentar noch bearbeiten kann, damit nicht der falsche Link herumgeistert, wäre das umso besser. Leider habe ich keine Möglichkeit ihn zu ändern.
Hallo Herr Johner,
vor der Einführung einer E-Signatur muss ich eine „Nichtabstreitbarkeitserklärung“ von allen Mitarbeitern unterschreiben lassen, welche das System der E-Signatur anwenden.
Wir arbeiteten mit der E-Signatur sowohl im Bereich der ISO 13485, wie auch in den USA (FDA).
Wie genau muss der Inhalt der „Nichtabstreitbarkeitserklärung“ aussehen.
Grüße
M. Engelhardt
Sehr geehrte Frau Engelhart,
Mir persönlich ist eine solche Erklärung erst aus dem FDA Kontext bekannt. Ableiten lässt sich das aus 21 CFR Part 11 §11.10(i)+(j) und §11.100(c)(2). Nichtabstreitbarkeit ist aber ein grundsätzliches Schutzziel der IT Sicherheit und sollte in Unternehmen über Policies geregelt werden, denen jeder Mitarbeiter bewusst zustimmt. Dazu gehört beispielsweise, dass persönliche Passworte und Nutzernamen nicht geteilt werden. Das adressiert z.B. bereits die Punkte 11.10(i) + (j). Denken Sie bzgl. Datenschutzverordnung auch daran, dass elektronische Systeme ggf. personenbezogene Daten aufzeichnen, das könnten Sie ebenfalls direkt in die Erklärung einbauen. Elemente dieser (Aequivalenz-)Erklärung könnten sein:
– Hinweis zur Rechtsverbindlichkeit der elektronischen Unterschrift und Umgang mit Passwörtern und Zertifikaten (letzteres sollte bereits in allgemeinen Datenschutzbelehrungen enthalten sein). Wortlaut, z.B.: Hiermit erkenne ich die elektronische Unterschrift in den bei xxx verwendeten Systemen an. Diese besitzt den gleichen rechtsverbindlichen Charakter wie meine händische Unterschrift.
– Hinweis, dass in Audit Trails und Logdateien der elektronischen Systeme Aktivitäten und Handlungen zum Erreichen des Schutzziels Nichtabstreitbarkeit protokolliert werden
– Namen im Klartext
– Ggf. Nutzer-ID
– Kenntnisnahme des Mitarbeiters, bestätigt per handschriftlicher Unterschrift
Freundliche Grüsse
Urs Müller
Hallo Johner Institut,
wie verhält es sich im Themengebiet der elektronischen Signatur mit Passwörtern, die z.B. im Browser gespeichert werden und ohne weitere Authentifizierung im Unterschriftsdialog automatisch eingetragen werden?
Aus meiner persönlichen Sicht widerspricht dieses Vorgehen zumindest dem gesunden Menschenverstand, da ich die Eingabe des Passwortes zur Unterschrift ja gerade deshalb mache um zu vermeiden, dass z.B. jemand in der Mittagspause Unterschriften in meinem Namen macht weil ich aus Versehen vergessen habe den Rechner zu sperren.
Wenn das Passwort ohne weiter Authentifizierung (wie z.B. Fingerprint bei Mobilenendgeräten) einfach durch den Browser eingetragen wird braucht man kein Passwort und eine einfache Bestätigung durch einen Click of Ok oder ähnliches würde ausreichen. Was dann wiederum nicht dem Part 11 entspricht.
Gibt es zu dieser Fragestellung eine rechtliche/normative Aussage?
Vielen Dank
Philipp Holzfuß
Lieber Herr Holzfuss
Ich bin nicht sicher, ob ich Ihre Problemstellung richtig verstanden habe. Lassen Sie mich dazu folgende Gedankengänge erläutern:
Die Forderungen des 21 CFR Part 11 unter §11.200 werden typischerweise so ausgelegt, dass eine Unterschrift nicht „automatisch“ vergeben darf. Nehmen Sie z.B. Docusign in Standardkonfiguration, erhalten Sie als Aufforderung zur Unterschrift einen Link, wenn Sie den anklicken, ist Ihre Unterschrift bereits im Dokument. Also ist ein Part 11 konformes System so ausgelegt, dass Nutzername und Passwort nochmals eingeben werden müssen.
Passwortmanager tragen zwar automatisch die Zugangsdaten ein, das System verlangt aber trotzdem die Eingabe und kann damit Part 11 konform betrieben werden. Part 11 kann nur unter Berücksichtigung von organisatorischen Massnahmen erfüllt werden. Wenn Ihr Bildschirm nicht gesperrt ist, haben Sie wahrscheinlich auch gegen IT Sicherheitsvorgaben Ihres Unternehmens verstossen und Part 11 setzt solches sorgsame Vorgehen implizit voraus. Die entsprechenden Risiken und Massnahmen müssen Sie im Rahmen der Validierung betrachten. Passwortmanager können So eingestellt werden, dass trotzdem der OK Button noch gedrückt werden muss. Ihr Unternehmen könnte die Nutzung von Passwortmanagern auch komplett untersagen. Ein gängiges Beispiel aus diesem Umfeld: Wenn Mitarbeiter z.B. die Zugangsdaten untereinander austauschen, sind die Forderungen des 21 CFR Part 11 auch verletzt – das können Sie nicht über Funktionen im Computerisierten System abfangen, der 21 CFR Part 11 sagt ihnen aber nicht explizit, dass Sie das Austauschen von Passworten im Unternehmen unterbinden müssen.
Bei Verwendung von biometrischer Authentifizierung besteht keine Forderung nach einer zweiten Komponente. Die Kombination von Nutzername und Passwort bzw. des biometrischen Merkmals wird idR zur Authentisierung des Nutzers verwendet, Authentifizierung ist die Prüfung, ob die Kombination von Nutzername und Passwort/das biometrische Merkmal im System existiert. Eine Passworteingabe kann m.E. nicht zusätzlich authentifiziert werden. Gegen die Nutzung eines Browsers spricht nichts – Docusign wird beispielsweise auch über den Browser genutzt und Nutzung von biometrischen Verfahren sollte sich auch in einen Browser Workflow einbinden lassen. Was wie erwähnt nicht Part 11 konform ist, ist wenn Sie beispielsweise einen Link erhalten und nach Einloggen in das System bereits die Unterschrift mit dem zu unterschreibenden elektronischen Record verknüpft ist, was quasi einem OK ohne zusätzliche Authentifizierung entsprechen würde. Der Workflow muss im System Part 11 konform abgebildet sein und ggf. durch organisatorische Massnahmen flankiert werden. Ich sehe hier maximal den Bedarf an entsprechenden organisatorischen Massnahmen, z.B. IT Richtlinien und bei falscher Anwendung liegt eine Nichteinhaltung von 21 CFR Part 11 vor.
Hacken Sie gerne nach, falls ich Ihre Frage nicht richtig verstanden habe.
Freundliche Grüsse
Urs Müller
Hallo Johner Institut,
zunächst einmal danke für diesen sehr hilfreichen Artikel.
Wir arbeiten bei uns an der Einführung eine fortgeschrittene digitale Signatur bestehend aus Adobe Reader und einem selbst aufgesetzten Zertifikatsserver.
Unsere Medizinprodukte vertreiben wir aktuell weltweit, mit Ausnahme den USA, wo wir aber aktuell an einer Zulassung arbeiten.
Nach Studium Ihres Artikels, frage ich mich nun, ob ich folgende Punkte richtig interpretiere:
1. Die fortgeschrittene digitale Signatur ist nicht ausreichend um die technische Dokumentation eines Medizinproduktes freizugeben, da die Gültigkeit von Signaturen auf den Dokumenten im Rahmen von Zulassungsprozessen durch Personen außerhalb des Unternehmens nicht verifiziert werden können (geschlossenes System)?
2. Die Forderung der FDA in 21 CFR Part 11.200 kann nur erfüllt werden, wenn für jede Signatur die durch eine Person innerhalb einer Sitzung (kein Schließen des Dokumentes zwischen den Signaturen) durchgeführt wird, jedes mal eine Passworteingabe notwendig ist? Maßnahmen der IT-Sicherheit (z.B. Sperrung des durch Benutzername und Passwort geschützten Arbeitsrechners bei verlassen des Arbeitsplatzes) sind nicht ausreichend um diese Forderung zu erfüllen?
Danke für Ihre Unterstützung
Stefan Lenz
Lieber Herr Lenz,
Zu 1): Im Artikel leiten wir her, dass die fortgeschrittene elektronische Signatur im Kontext des 21 CFR Part 11 ausreichend ist. Dass ihr System ein geschlossenes System ist, spielt bzgl. der Zugehörigkeit von Zertifikaten und Personen keine Rolle: Es liegt in Ihrer Verantwortung, diesbezüglich den Überblick zu behalten, auch bzgl. an externe Personen vergebene Zertifikate. Die FDA interessiert, ob Sie ihr System für die elektronischen Unterschriften im Griff haben und Sie z.B. wissen, wer welches Zertifikat erhalten hat, das aber nicht im Rahmen einer Dokumentenprüfung. Wenn Sie Dokumente einreichen, würde ich behaupten, geht bei der FDA niemand hin und prüft die Zugehörigkeit eines Zertifikats zu einer Person. In PDF Dokumenten wird die Unterschrift schlussendlich visualisiert, das mit den Elementen Name, Datum und Grund der Unterschrift. Wenn Sie eingescannte .pdf Dokumente einreichen, ist für die Prüfung auch nur diese Information auf den Dokumenten verfügbar und ein Prüfer interessiert sich dann dafür, was diese Person eigentlich genau in der Entwicklung gemacht hat und schaut z.B. in den Entwicklungsplan.
Zu 2): Ich bin nicht sicher, ob ich Ihre Frage richtig verstanden habe. „Series of Signing“ und nur eine Komponente der Zugangsdaten könnte beispielsweise so aussehen: Sie erhalten einen Satz an Dokumenten zur Unterschrift, Sie loggen sich in das System ein, führen die erste Unterschrift mit Nutzername und Passwort aus, für die restlichen Unterschriften reicht die Eingabe von Nutzernamen oder Passwort. Es geht nicht darum, dass alle Personen gleichzeitig am Dokument die Unterschrift leisten müssen, nur um die individuelle Unterschrift von Ihnen. Nach meinem Wissensstand sind Signaturlösungen so aufgesetzt, dass für jede Unterschrift beide Komponenten eingegeben werden – meistens gibt man im Verlauf eines Projekts zu verschiedenen Zeitpunkten einzelne Dokumente frei, evtl. am Schluss ein paar Dokumente mehr. Eine Signatur in Adobe Acrobat Reader zu leisten dauert ein paar Sekunden. 11.200 verlangt, dass Sie im Griff haben, dass jeder seinen eigenen Nutzernamen und Passwort hat und keine Zugangsdaten geteilt werden oder irgendwelche Sammelaccounts wie „Labor“ verwendet werden, um Unterschriften zu leisten. Bildschirm sperren etc. sind für eine Signaturlösung und die explizite Abgabe der Unterschrift m.E. unwichtig, wenn das System Part 11 konform aufgesetzt ist, aber ein gutes Mittel bzgl. IT Sicherheit generell.
Fragen Sie gerne nach, wenn ich Ihre Fragen nicht verstanden habe.
Freundliche Grüsse
Urs Müller
Sehr geehrter Herr Müller,
danke für die schnelle Antwort.
In meiner Frage 2) meinte ich die Leistung mehrerer Unterschriften durch den selben User.
Ihrer Antwort zu 2) entnehme ich, dass die FDA wohl auf die Passworteingabe eines Users in einer Serie von Unterschriften, welche dieser in einem Dokument leistet, bei jeder Unterschrift besteht. Auch weitere Maßnahmen der IT-Sicherheit (Passwortgeschützter Arbeitsrechner) sowie organisatorische Festlegungen (Ausloggen beim Verlassen des Arbeitsplatzes) sind nach meiner Interpretation somit nicht ausreichend in den Augen der FDA.
Danke und Viele Grüße
Stefan Lenz
Lieber Herr Lenz, danke für die Rückmeldung.
Genau: 21 CFR Part 11 will sicherstellen, dass auch eine elektronische Unterschrift willentlich abgegeben wird. Wenn Sie mehrere Unterschriften hintereinander leisten, reicht die Eingabe von entweder Nutzername oder Passwort nach der ersten Unterschrift, idR werden aber Signaturlösungen so aufgesetzt sein, dass beide Komponenten eingeben werden. Man unterschreibt idR nich mehrere hundert Dokumente gleichzeitig und dann ist das vertretbar mit der Zahl an Eingaben. Wichtig scheint mir nochmals diese Eingabe zu erwähnen: Wenn Sie z.B. DocuSign „as is“ verwenden, machen Sie einen Mausklick und die Unterschrift ist gesetzt. Das wäre nicht Part 11 konform. Ich selbst durfte gerade kürzlich einen Satz von Dokumenten unterschreiben – 20 Dokumente. Das mache ich dann in einem Aufwisch. Für die erste Unterschrift Nutzername und Passwort eingeben, für die anderen 19 hätte Nutzername oder Passwort genügt.