Handschriftliche Signaturen verifizieren in vielen Unternehmen, dass bei wesentlichen Arbeitsschritten alles nach Vorschrift läuft. So bürgen Mitarbeiter z.B. für die Erstellung und Freigabe von Arbeits- bzw. Verfahrensanweisungen. Auch bei der Freigabe von Prüfvorschriften, von ausgeführten Herstellprotokollen der Produktion oder bei Freigabe von Ausgangsstoffen, Bulk- und Fertigware im Labor ist das Vorgehen etabliert.

Eine digitale Signatur kann diese und viele weitere Geschäftsprozesse noch sicherer und effizienter machen. Denn mit ihr lässt sich einerseits eindeutig zuordnen, wer z.B. ein Dokument erstellt und bearbeitet hat. Anders als die händische Unterschrift („wet signature“) lässt sich die digitale Variante weder von einem Dokument auf ein anderes kopieren noch lässt sich das unterschriebene Dokument unbemerkt verändern oder fälschen. Und andererseits werden die Unterschriftsprozesse beschleunigt, da man ortsunabhängig arbeiten kann und keinen Drucker bzw. Scanner mehr benötigt.

Falls man sich im regulierten Umfeld für eine elektronische anstelle der eigenhändigen Unterschrift entscheidet, stellt sich neben der technischen Umsetzung sofort die Frage, welche regulatorischen Anforderungen hierfür zu berücksichtigen sind. Die folgenden Kapitel geben einen Überblick zu den wesentlichen gesetzlichen Vorgaben, erläutern das Verständnis von elektronischen Signaturen im Kontext der Pharma- und MedTec-Industrie und nennen Handlungsempfehlungen für deren Einsatz.

Rechtliche Rahmenbedingungen: eIDAS als europaweite Richtline

Die eIDAS-Verordnung 910/2014 (nachfolgend eIDAS, electronic Identification, Authentication and trust Services) enthält verbindliche, europaweit geltende Regelungen in den Bereichen "Elektronische Identifizierung" und "Elektronische Vertrauensdienste". Sie schafft einheitliche Rahmenbedingungen für die grenzüberschreitende Nutzung entsprechender Mittel und Dienste, etwa für den Einsatz von Smartcards in geschützten Unternehmensnetzwerken oder von Einzel-Siegelkarten zur Ausstellung von E-Siegeln.

Zudem formuliert die eIDAS die europäischen Rahmenbedingungen für elektronische Signaturen im GxP-Bereich. In der Pharmaindustrie kann im digitalen Rechtsverkehr eine elektronische Unterschrift nötig sein, z.B. zur Erfüllung des Verpackungsgesetzes (VerpackG) oder von vertraglichen Schriftformerfordernissen wie beispielsweise für Qualitätssicherungsvereinbarungen.

Verpflichtung oder Option?

Die eIDAS fordert allerdings weder den Einsatz elektronischer Signaturen, noch schreibt sie vor, welche der Signaturen zu verwenden sind. Sie folgt damit dem Prinzip des „Code of Federal Regulations“ (CFR), welcher im 21 CFR Part 11 die Vorschriften der United States Food and Drug Administration (FDA) zu elektronischen Aufzeichnungen und elektronischen Signaturen festlegt.

Dort wird ebenfalls kein Einsatz elektronischer Signaturen gefordert, sondern es werden lediglich die Anforderungen an diese beschrieben. Arzneimittel-Hersteller sollten hier insbesondere 21 CFR Part 211 beachten. Dieser definiert, in welchen Fällen überhaupt eine Signatur verlangt wird (Zweck!). Für in den USA zugelassene Medizinprodukte beschreibt 21 CFR Part 820, wann eine Signatur gefordert ist. Nur für diese Fälle gelten dann die Anforderungen des 21 CFR Part 11. Er richtet sich demnach auch an Medizinproduktehersteller.

Varianten elektronischer Signaturen

Eine elektronische Unterschrift (oder elektronische Signatur) ist ein allgemeiner Begriff für einen elektronischen Prozess zum Bekunden der Zustimmung zu einem Vertrag oder Formular. Eine digitale Signatur ist eine spezielle Art der elektronischen Unterschrift.

Die eIDAS unterscheidet die einfache elektronische, die fortgeschrittene elektronische sowie die qualifizierte elektronische Signatur. 21 CFR Part 11 differenziert u.a. zwischen einer „electronic signature“ und „digital signature“.

Figure 1: eIDAS und 21 CRF Part 11 im direkten Vergleich © msg industry advisors

Einfache elektronische Unterschrift

Diese ist laut elDAS folgendermaßen definiert:

Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen.

Hier wird noch keine Anforderung an die technische Umsetzung definiert.

Fortgeschrittene elektronische Unterschrift

Sie ist eine spezielle Art der elektronischen Unterschrift, die höchsten gesetzlichen Anforderungen gerecht wird und eine zweifelsfreie Zuordnung der Identität des Unterzeichners ermöglicht. Hierfür muss sie laut elDAS Artikel 26 alle der folgenden Anforderungen erfüllen:

1. Sie ist eindeutig dem Unterzeichner zugeordnet.
2. Sie ermöglicht die Identifizierung des Unterzeichners.
3. Sie wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann.
4. Sie ist so mit den auf diese Weise unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Technisch gesehen entspricht die fortgeschrittene Signatur einem Software-Zertifikat. Zur Erstellung einer fortgeschrittenen elektronischen Signatur sind keine Signaturkarte mit Zertifikat und kein Kartenlesegerät (Sichere Signaturerstellungseinheit = SSEE) notwendig.

Qualifizierte elektronische Unterschrift

Diese ist die einzige Art einer elektronischen Unterschrift, die gemäß eIDAS denselben rechtlichen Status hat wie händische Unterschriften. Sie muss laut eIDAS alle Anforderungen der fortgeschrittenen elektronischen Signatur erfüllen sowie zusätzlich

1. auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruhen und
2. mit einer sicheren qualifizierten Signaturerstellungseinheit erzeugt werden.

Unterzeichner müssen bei qualifizierten Unterschriften eine zertifikatbasierte, digitale ID verwenden. Diese wird von akkreditierten EU-Vertrauensdiensten herausgegeben – in Deutschland z.B. von der Deutschen Telekom AG und der Deutschen Post – und ist auf einem geeigneten Gerät zur Erstellung von qualifizierten Signaturen gespeichert. Dazu gehören USB-Token, Chip-Karten oder einmalig verwendbare, über das Smartphone übermittelte Kennwörter.

Die genauen Anforderungen an die Vertrauensdienstanbieter und an die qualifizierten Zertifikate sind ebenfalls in der eIDAS beschrieben. Eine aktuelle Übersicht der zertifizierten EU-Vertrauensdienste findet man in der öffentlich zugänglichen EU Trust List (EUTL).

Richtlinien zum Einsatz elektronischer Signaturen

Die Vorgaben für die Verwendung bestimmter elektronischer Signaturen ergeben sich aus anderen Rechtsvorschriften als den bereits genannten Verordnungen. Hier sind die folgenden Quellen maßgeblich:

Deutsche Rechtsvorschriften

126 des Bürgerlichen Gesetzbuchs (BGB) formuliert diese Vorgaben:

• (1) „Ist durch Gesetz schriftliche Form vorgeschrieben, so muss die Urkunde von dem Aussteller eigenhändig durch Namensunterschrift oder mittels notariell beglaubigten Handzeichens unterzeichnet werden.“
• (3) „Die schriftliche Form kann durch die elektronische Form ersetzt werden, wenn sich nicht aus dem Gesetz ein anderes ergibt.“
• Falls im Gesetz die „Schriftform“ oder „schriftliche Form“ gefordert ist und ein elektronisches Format gewählt wird, ist stets die qualifizierte Signatur anzuwenden. Die Schriftform ist im Vergleich zur Textform die höherwertige Form. Die Textform stellt eine lesbare, dauerhafte unterschriftslos gültige Dokumentationsform dar. Sie wird häufig für reine Mitteilungen verwendet.

Deutsche und europäische GxP-Rechtsvorschriften

Im Arzneimittelgesetz (AMG) gibt es nur eine einzige geforderte Unterschrift, nämlich im §24 Sachverständigengutachten. Aus der AMWHV und dem EU-GMP-Leitfaden ist keine Verpflichtung zur Anwendung für die in der eIDAS definierten Signaturen ableitbar. Lediglich im ZLG Votum V1100302 wird für Herstellungs- und Prüfprotokoll sowie die Bestätigung der Freigabe eine fortgeschrittene elektronische Signatur nach elDAS Artikel 26 empfohlen.

FDA GxP-Rechtsvorschriften

Die FDA verfolgt einen risikobasierten Ansatz für die Frage, welche Signatur „genügt“. Hierfür wird zwischen „Geschlossenen Systemen“ und „Offenen Systemen“ unterschieden. In 21 CFR Part 11.10. bzw. 11.30 sind die verschiedenen Anforderungen an die Systeme festgelegt.

Ein System, das Daten über das Internet überträgt, zählt z.B. zu den offenen Systemen. Die Gefahr einer externen Manipulation ist bei offenen Systemen erhöht, daher werden entsprechende erweiterte Maßnahmen gefordert. Die Absicherung mit einer „digital signature“ verhindert hier den Missbrauch. Die fortgeschrittene elektronische Signatur nach eIDAS erfüllt diese Anforderung.

Management-Tipps: Elektronische Signaturen richtig einführen

1. Prüfen Sie die juristischen Grundlagen, welche in Deutschland/Ihrem Land zu berücksichtigen sind, sowie die regulatorischen GxP-Forderungen an das Dokument, welches Sie elektronisch signieren möchten. Die Forderung nach einer Unterschrift und ggf. die Anforderung an diese, sind zum Beispiel in der AMWHV, im EU-GMP-Leitfaden, 21 CFR Part 210/211, GCP-VO, MDR oder im ChemG zu finden.
2. Legen Sie im nächsten Schritt die Art der Signatur und die technische Lösung, also die technischen Maßnahmen fest.
3. Klären Sie, inwieweit die technischen Lösungen behördlich akzeptiert werden und ob innerbetrieblich organisatorische Verfahren zu regeln sind. Möglicherweise wird die qualifizierte elektronische Unterschrift schon im Unternehmen eingesetzt, beispielweise zur Erfüllung des VerpackG.

Zudem sollten Unternehmen im regulierten Umfeld beachten, dass in ERP-Systemen, MES oder LIMS Unterschriften häufig mit Workflow- oder Geschäftsprozessen verbunden werden, in Dokumenten-Management-Systemen aber wiederum mehr mit dem Dokument selbst. Hier sollte man den entsprechenden Prozess selbst in das Computersystem implementieren – und dabei sicherstellen, dass die elektronische Unterschrift weiterhin in einer validierten Umgebung abläuft und die Datenintegritätsanforderungen erfüllt werden.