Veröffentlicht am 26. November 2021

Telematik-Infrastruktur: Komfortsignatur – Achtung Risiken!

Der Statis e.V. hat zum Thema „Telematik-Infrastruktur“ einen eigenen Informationsbereich für seine Mitglieder eingerichtet, in dem u.a. auch Online-Sprechstunden zur TI mit unserem TI-Experten Mark Langguth stattfinden.

Während dieser Online-Sprechstunde ist zuletzt bspw. der Punkt „Komfortsignatur“ diskutiert worden:

Pünktlich zur Einführung des eRezepts wird auch die neue Komfortsignatur der Telematikinfrastuktur angeboten. Das ist praktisch, denn jede Verordnung, jede AU und jeder Arztbrief muss mittels des Heilberufeausweises (HBA) qualifiziert elektronisch signiert werden (QES) – und dazu ist eigentlich zu jedem zu signierendem Dokument die Eingabe der sechsstelligen HBA-PIN erforderlich. Alternativ kann auch ein vorliegender Stapel von Dokumenten mit einmaliger Eingabe der PIN signiert werden.

Dies kann mittels Komfortsignatur deutlich vereinfacht werden: Wird für einen HBA die Komfortsignatur aktiviert, können mit diesem HBA nach der initialen PIN-Eingabe für maximal 24 Stunden bis zu 250 Dokumente signiert werden, ohne dass dazu die PIN des HBAs erneut eingegeben werden muss.

Praktisch – aber auch gleichzeitig gefährlich! Warum?

Die QES-Signatur des HBA ist rechtlich bindend. So stark, dass für diese Signatur die sogenannte Beweislastumkehr gilt. Das heißt, dass eine Person, die ein QES-signiertes Dokument besitzt, darauf vertrauen darf, dass die Signatur rechtskräftig ist. Erklärt der Inhaber des HBAs, dass er das strittige Dokument gar nicht signiert habe, so muss er nachweisen, dass er die Signatur tatsächlich nicht vorgenommen hat. Ein Nachweis, der schwierig zu führen ist, wenn ein digital signiertes Dokument vorliegt. Hinzu kommt, dass die QES im gesamten Rechtsverkehr verwendet werden kann. Also nicht nur für medizinische Dokumente, sondern für alle Dokumente, also auch für Kauf- und Verkaufsverträge.

Besitzt also ein/e Einrichtungsmitarbeiter/in ein per HBA des Praxisinhabers signiertes Verkaufsdokument der Einrichtung für 1,- €, so hat der Mitarbeiter/die Mitarbeiterin die Praxis „rechtmäßig“ erworben. Auch ein mit einem HBA signiertes Rezept über Betäubungsmittel ist grundsätzlich gültig und dispensierfähig – unabhängig davon, ob der Arzt nun selbst vor dem PC das Rezept erstellt und die Signatur ausgelöst hat oder ob es ein/e Mitarbeiter/in (oder eine praxisfremde Person mit Zugriff auf das PVS) erstellt und signiert hat. Die HBA-Signatur ist gültig.

Solange die QES mittels HBA-PIN-Eingabe abgesichert ist, wird ein Missbrauch nur möglich sein, wenn die PIN ausgespäht wird. Anders bei der Komfortsignatur: Hier wird der HBA (als Karte) jedes übergebene Dokument signieren – egal von wem. Die letzte Kontrollinstanz, die dafür sorgen muss, dass nur der HBA-Inhaber selbst eine Komfortsignatur auslösen kann und niemand sonst, ist das Primärsystem. Und es liegt in der Verantwortung – und im Eigeninteresse des HBA-Inhabers – dass diese Schutzmechanismen dann auch tatsächlich genutzt werden.

Als Mechanismen hierfür kommen in Frage:

  1. Jede einzelne Komfortsignatur (eines einzelnen Dokuments oder eines Stapels an Dokumenten) verlangt die Eingabe einer PIN am Primärsystem, sprich an der Tastatur des PCs und nicht am Kartenterminal. Diese (z.B. vierstelligen) PIN wird im Primärsystem je aktiver Komfortsignatur definiert und ist nur dem HBA-Inhaber bekannt.
  2. Die Freigabe einer Komfortsignatur wird hart an das Benutzerkonto gebunden. Dieses Vorgehen verlangt, dass sich jeder Anwender bei Benutzung eines PCs mit seinem eigenen Benutzerkonto anmeldet und sich mit Verlassen des Arbeitsplatzes abmeldet. Für einen Arzt mit 3 Behandlungsräumen also ein ständiges an- und abmelden.
    Dies könnte durch den Einsatz von Webcam-Identifikation (z.B. mittels Windows Hello) oder den Einsatz von NFC-Tokens für den Anmeldeprozess, vereinfacht und beschleunigt werden, verlangt aber eine Investition in die vorhandene IT.

Welche dieser Möglichkeiten für die Anwender am Ende zur Verfügung stehen, entscheidet (auch) der Primärsystemhersteller. Damit ist die Frage ob und wie konkret die Komfortsignatur gegen Missbrauch abgesichert werden kann, immer auch eine Frage des eingesetzten PVS.

In jedem Fall aber sollten sich alle HBA-Inhaber dieses Risikos gewahr sein und bereits aus Selbstschutz darauf drängen, dass in der eigenen Einrichtung eine Lösung gewählt wird, die zwar praktikabel und aufwandsreduzierend ist, aber nicht gleichzeitig der missbräuchlichen Nutzung des HBAs Tür und Tor öffnet. Denn am Ende haftet der HBA-Inhaber persönlich.

Quelle: Mark Langguth, freiberuflicher Berater, www.epa-fakten.de, Link zur TI-Community