Tipps zur sicheren Anwendung in der Praxis

Dieser Beitrag erscheint in Zusammenarbeit mit Alexa Frey, Fachanwältin für Medizin- und IT-Recht | Redaktion: Marina Urbanietz

Notwendig für eine digitale Unterschrift ist grundsätzlich der elektronische Arztausweis, auf dem ein Signaturzertifikat gespeichert ist. Mittels Kartenlesegerät, eArztausweis und PIN-Eingabe kann das eRezept dann „digital unterschrieben“ werden. Diese qualifiziert elektronische Signatur ist aus rechtlicher Sicht gleichwertig mit der handschriftlichen ärztlichen Unterschrift.

Damit Ärzte nicht bei jedem einzelnen Rezept die PIN-Nummer eingeben müssen, wurde die sog. Komfortsignatur oder Stapelsignatur geschaffen. Diese ermöglicht es mit dem im Kartenlesegerät befindlichen eArztausweis bis zu 250 Signaturvorgänge über einen Zeitraum von 24 Stunden vorzunehmen, ohne hierfür jedes Mal erneut die PIN eingeben zu müssen. Voraussetzung hierfür ist aber, dass der eArztausweis im Kartenterminal dauerhaft gesteckt ist.

Dadurch könnte allerdings jeder – bspw. auch Medizinische Fachangestellten – diese Signatur durchführen, solang sie den eArztausweis und die zugehörige PIN haben. Die Kontrolle des Rezeptes ist aber eine höchstpersönliche Aufgabe der Ärzte.

Den Herstellern von Praxisverwaltungssoftware (PVS) wurden daher durch die gematik klare Vorgaben gemacht. Da die Signatur des eArztausweises bei der Nutzung der Komfortsignatur über einen längeren Zeitraum freigeschaltet ist, muss zwar nicht mehr „extra“ die PIN eingegeben werden, beim Auslösen der einzelnen Signatur ist jedoch ein alternatives Authentifizierungsmerkmal erforderlich. Je nach Ausgestaltung des in der Praxis genutzten PVS kann dies die persönliche PVS-Identität (Benutzernamen) oder auch ein zusätzliches Authentifizierungsmerkmal (z. B. Fingerprint, Passwort oder PIN-Eingabe über die PC-Tastatur) sein. Vorteil hierbei ist, dass die Signatur an jedem Arbeitsplatz erfolgen kann, selbst wenn eArztausweis und das Kartenlesegerät sich in einem anderen Raum befinden.

Entscheidend bei der Nutzung der Komfortsignatur ist, dass der Arzt stets nur an einem Computer innerhalb der Praxis mit seinem Nutzernamen angemeldet ist. Für die Anmeldung sollte zwingend ein sicheres Passwort verwendet werden. Auch der eArztausweis sollte – wenn er dauerhaft gesteckt und die Komfortsignatur aktiviert ist – nicht unbeaufsichtigt sein. Daher macht es Sinn, die Kartenleser in einem gesonderten Raum und nicht in den Behandlungszimmern aufzustellen. Es muss vermieden werden, dass ein Patient der bereits im Behandlungszimmer wartet, auf den eArztausweis und/oder das PVS zugreifen kann.

Auch in Bezug auf das eigene Personal müssen Vorkehrungen getroffen werden. Die Signatur-PIN darf nur Ärzten bekannt sein und muss auch zwingend und ausschließlich durch sie eingegeben werden. Die eArztausweise sollten nicht offen „herumliegen“ und außerhalb der Praxisöffnungszeiten bestenfalls verschlossen aufbewahrt werden.

Eine Weitergabe der PIN oder ein „Aktivieren“ der Komfortsignatur durch die Medizinischen Fachangestellten ist unzulässig und kann strafrechtlich relevant sein.