Apothekenbetrieb

Elektronische Unterschrift

Papierlose Dokumentation gemäß Apothekenbetriebsordnung

Von Valentin Saalfrank | Die Dokumentationspflichten in der Apotheke haben mit der Änderung der Apothekenbetriebsordnung zum 12. Juni 2012 stark zugenommen. So ist die Herstellung von Arzneimitteln mit Aufzeichnungen zur Plausibilitätsprüfung, zur Herstellungsanweisung, zur Herstellung und zur Freigabe zu begleiten. Auch die Prüfung von Fertigarzneimitteln und Ausgangsstoffen sowie apothekenpflichtigen Medizinprodukten (bei Heimbelieferung), der Bezug und die Weitergabe von Arzneimitteln (Chargen) von bzw. an andere Apotheken sowie der Erwerb und die Abgabe von Tierarzneimitteln sind zu dokumentieren. Unerlässlich ist dabei die persönliche Unterschrift, die bei der papierlosen Dokumentation elektronisch geleistet werden muss.

Voraussetzungen der papierlosen Dokumentation

Die papierlose elektronische Dokumentation kann bei der Bewältigung des mittlerweile in der Apotheke zu bewältigenden erheblichen Dokumentationsaufwandes und bei der Archivierung eine Hilfe sein. Die Apothekenbetriebsordnung sieht daher ausdrücklich vor, dass Aufzeichnungen auch auf Bild- oder Datenträgern vorgenommen und aufbewahrt werden können (§ 22 Abs. 2 ApBetrO). Diese papierlose Dokumentation muss so geführt werden, dass

  • Aufzeichnungen, die nach der Apothekenbetriebsordnung mit einem Namenszeichen zu versehen sind, durch eine elektronische Signatur nach dem Signaturgesetz ersetzt werden; anstatt der eigenhändigen Unterschrift ist eine qualifizierte elektronische Signatur nach dem Signaturgesetz notwendig;

  • sichergestellt ist, dass die Daten während der Aufbewahrungsfrist verfügbar sind und innerhalb einer angemessenen Frist lesbar gemacht werden können;

  • der ursprüngliche Inhalt einer Eintragung nicht unkenntlich gemacht wird. Es dürfen keine Veränderungen vorgenommen werden, die nicht erkennen lassen, ob sie bei oder nach der ursprünglichen Eintragung vorgenommen worden sind;

  • die Aufbewahrungsfristen eingehalten werden.

Die Apothekenbetriebsordnung fordert in vielen Fällen das Namenszeichen oder die Unterschrift des Dokumentierenden. In diesen Fällen liegt gemäß § 22 Abs. 2 Satz 3 ApBetrO eine ordnungsgemäße papierlose Dokumentation nach der Apothekenbetriebsordnung nur dann vor, wenn die im Gesetz über Rahmenbedingungen für elektronische Signaturen (Signaturgesetz) näher geregelten Anforderungen erfüllt werden.

Elektronische Signatur als Ersatz für das Namenszeichen

Um das Namenszeichen zu ersetzen, bedarf es der elektronischen Signatur. Das Namenszeichen ist z. B. vorgesehen zur Bestätigung der durchgeführten Prüfung der Ausgangsstoffe (§ 6 Abs. 1 i. V. m. § 1 ApBetrO) und der nicht in der Apotheke hergestellten Fertigarzneimittel (§ 12 Abs. 2 ApBetrO) auf den Prüfprotokollen.

Elektronische Signaturen sind gemäß § 2 Nr. 1 Signaturgesetz Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verknüpft sind und die zur Authentifizierung dienen. In der Praxis werden hierzu Lösungen diskutiert, welche zur Authentifizierung die auf einem Pad zu leistende Unterschrift oder ein einem Mitarbeiter zugeordnetes Passwort zum Dateizugriff vorsehen. In der Tat liegt in beiden Fällen eine elektronische Signatur vor, jedoch ist fraglich, ob der jeweils zu leistende technische Aufwand den Erfolg rechtfertigt. Denn eine elektronische Signatur lässt sich ebenso durch Eingabe des Namenskürzels über die Tastatur erstellen. Dieser Weg erfüllt die gesetzlichen Anforderungen ohne besonderen technischen Aufwand in gleicher Weise.

Die elektronische Signatur ist allerdings nicht besonders sicher. Sie lässt anhand der beigefügten Daten zwar Rückschlüsse auf die Identität des Verfassers zu, diese sind aber nicht notwendigerweise durch ein besonderes technisches Verfahren geschützt. Auch die Integrität der Nachricht als solche ist nicht abgesichert: Es lässt sich weder feststellen, ob sich die Nachricht im Ursprungszustand befindet, noch wer sie ursprünglich verfasst hat. Damit besitzt die Nachricht einen nur sehr geringen Beweiswert.

Gleichwohl lässt die Apothekenbetriebsordnung die einfache Signatur als Ersatz des Namenszeichens genügen. Die Dokumentation ist jedoch – gleich ob in Papierform oder papierlos geführt – so anzulegen, dass der ursprüngliche Inhalt einer Eintragung nicht unkenntlich gemacht und keine Veränderungen vorgenommen werden können, die nicht erkennen lassen, ob sie bei oder nach der ursprünglichen Eintragung vorgenommen worden sind. Bei der papierlosen Dokumentation müssen die Dateien so beschaffen sein, dass einmal getätigte Eintragungen nicht mehr gelöscht werden können, denn sonst wären sie unkenntlich. Veränderungen sind z. B. mit entsprechendem Zeitstempel zu versehen, damit rekonstruierbar ist, wann sie vorgenommen wurden. Die Daten müssen also auch so beschaffen sein, dass sich eine Signatur im Nachhinein nicht abändern lässt.

Qualifizierte elektronische Signatur als Ersatz für eigenhändige Unterschrift

Die qualifizierte elektronische Signatur entspricht der herkömmlichen Unterschrift. Sie ermöglicht die langfristige Überprüfbarkeit der Urheberschaft einer Erklärung. Sie führt zur zweifelsfreien Feststellung der Identität des Absenders sowie der Überprüfbarkeit der Integrität der gesendeten Daten. An die qualifizierte elektronische Signatur werden daher erheblich höhere Anforderungen gestellt als an die einfache Signatur. Sie sind insbesondere nicht schon damit erfüllt, dass der verantwortliche Mitarbeiter der Apotheke seine Unterschrift auf einem Grafiktablett leistet, diese Unterschrift sodann digitalisiert und zusammen mit der Dokumentation abspeichert. Mit einer solchen Vorgehensweise mag, sofern die weiteren Voraussetzungen erfüllt sind, einer Dokumentation mittels elektronischer Signatur Rechnung getragen werden können. Die hohen Anforderungen an die qualifizierte elektronische Signatur kann sie dagegen nicht erfüllen. Denn die qualifizierte elektronische Signatur

  • ist ausschließlich dem Signaturschlüssel-Inhaber zugeordnet, ermöglicht dessen Identifizierung, wird mit Mitteln erzeugt, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle halten kann, und ist mit den Daten, auf die sie sich bezieht, so verknüpft, dass eine nachträgliche Veränderung der Daten erkannt werden kann;

  • beruht auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat und
  • wurde mit einer sicheren Signaturerstellungseinheit erstellt.

Um diese Anforderungen zu erfüllen, wird dem Anwender ein individuelles Schlüsselpaar zur Verfügung gestellt. Einen dieser Schlüssel bezeichnet man als privaten Schlüssel, den anderen als öffentlichen Schlüssel. Den privaten Schlüssel (PIN) hält der Inhaber geheim. Er befindet sich auf einer Signaturkarte, die die sichere Signaturerstellungseinheit bildet und nicht gelesen werden kann. Der öffentliche Schlüssel dient zur Überprüfung der mit dem privaten Schlüssel erzeugten Signaturen (sog. Signaturprüfschlüssel). Er darf jedem bekannt gegeben werden. Durch ein Zertifikat über den öffentlichen Schlüssel, das auch Angaben zum Besitzer beinhaltet und von einem Zertifizierungsdiensteanbieter ausgestellt, signiert und auf die Signaturkarte aufgebracht wurde, ist die Zugehörigkeit des Signaturprüfschlüssels zu dem Inhaber der Signaturkarte nachgewiesen. So kann nachvollzogen werden, dass die Daten vom Besitzer der Signaturkarte stammen und dass sie seit der Signaturerstellung nicht verändert wurden. Unter der Voraussetzung, dass das Zertifikat gültig ist, wird jede mit dem Signaturschlüssel erzeugte elektronische Signatur grundsätzlich dem Besitzer der Signaturkarte zugeordnet.

Zusätzlich zur Signaturkarte werden ein Chipkartenlesegerät sowie Software zur Erzeugung und Prüfung von qualifizierten elektronischen Signaturen benötigt. Es sollten nur solche Geräte und Anwendungen zum Einsatz kommen, deren Sicherheit und Zuverlässigkeit von einer anerkannten Prüf- und Bestätigungsstelle bescheinigt wurden. Die Bundesnetzagentur hält eine Liste von Zertifizierungsdiensteanbietern bereit (s. Internet).


Internet


Bundesnetzagentur

www.bundesnetzagentur.de > Sachgebiete > Qualifizierte elektronische Signatur > Zertifizierungsdiensteanbieter

Zusammenfassung

Bei der Umstellung der Dokumentation auf Bild- und Datenträger sind die besonderen Anforderungen der Apothekenbetriebsordnung zu berücksichtigen. Verlangt diese nur das Namenszeichen des Dokumentierenden, ist eine einfache Signatur ausreichend. Diese lässt sich z. B. durch Eingabe des Namenskürzels über die Tastatur erzeugen. Der Eingabe einer biometrischen Unterschrift bedarf es nicht. Allerdings müssen die mittels einfacher Signatur erstellten Dokumente den allgemeinen Anforderungen an eine Dokumentation genügen, sie müssen gegen nachträgliche Änderungen und vor Unkenntlichkeit geschützt sein. Deshalb muss zusätzlich zur einfachen Signatur technisch gewährleistet sein, dass der einmal erstellte Dokumententext vor späteren Zugriffen geschützt ist.

Fordert die Apothekenbetriebsordnung die eigenhändige Unterschrift des Dokumentierenden, ist eine qualifizierte elektronische Signatur notwendig. Diese erfüllt grundsätzlich alle in der Apothekenbetriebsordnung genannten Anforderungen für eine ordnungsgemäße Dokumentation. Insbesondere lässt sie neben dem Urheber auch die Authentizität der Daten nachvollziehen. Allerdings verlangt die qualifizierte elektronische Signatur einen erhöhten Einrichtungsaufwand: Das Einscannen einer auf einem Pad geleisteten Unterschrift in eine Textdatei erzeugt keine qualifizierte elektronische Signatur. Vielmehr benötigt man

  • ein von einem Zertifizierungsdiensteanbieter ausgestelltes gültiges Zertifikat, das sich auf einer Signaturkarte als sichere Signaturerstellungseinheit befindet,

  • einen gültigen Schlüssel und
  • die zur Anwendung erforderliche Peripherie (Kartenlesegerät und Software).

Autor

Dr. Valentin Saalfrank, Rechtsanwalt, Köln



DAZ 2013, Nr. 11, S. 74

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.

DAZ.online mit Werbung und Tracking

Nutzen Sie den Newsbereich von DAZ.online wie gewohnt kostenlos. Alle Details zu unseren Werbe- und Trackingverfahren finden Sie hier.

DAZ.online – ohne Tracking

Nutzen Sie DAZ.online ohne verlagsfremde Werbung und ohne Werbetracking für 9,80 Euro pro Monat.
Alle Details zu unserem DAZ.online PUR-Abo finden Sie hier.

Jetzt DAZ.online PUR-Zugang buchen

(Sie können Ihren DAZ.online PUR-Zugang jederzeit kündigen.)