E-Signatur

E-Signatur – Wo der digital kontrollierte Freigabeprozess angebracht ist

Immer mehr Geschäftstransaktionen werden elektronisch durchgeführt. Jeder von uns hat von digitaler Signierung bereits gehört – wenn nicht sogar damit gearbeitet. Tools, die diese Möglichkeit bieten, gibt es viele. Und auch, wenn sie sich in einigen Punkten unterscheiden, das Hauptprinzip ist das gleiche: Eine elektronische Signatur verifiziert die Identität der Person, die das Dokument signiert hat, und bestätigt, dass der Inhalt nach der digitalen Unterzeichnung des Dokuments nicht mehr verändert wurde.

Wenn der Schriftverkehr mit Kunden und Geschäftspartnern digitalisiert wird, vereinfacht die elektronische Signatur die gesamte Kommunikation. Sollte ein Produkt nach GxP-Regeln validiert werden, ist die E-Signatur eine gute Lösung sein, um die Vier-Augen-Prinzip-Prüfung und die Freigabe der Validierungsdokumente zu beschleunigen. So kann die E-Signatur zu einem integrierten Bestandteil der digitalen Validierung werden.

 

Der digitale Freigabeprozess kann wie folgt aussehen:

 

 

Hat die E-Signatur den gleichen Wert wie die handschriftliche Unterschrift?

 

Rechtliche Basis für die E-Signatur ist die europäische elDAS-Verordnung (elDAS – elektronische Identifizierung und Vertrauensdienste) Art. 25 Nr. 2. Darin heißt es:

 

„Die Rechtsgültigkeit einer qualifizierten elektronischen Signatur entspricht jener einer handschriftlichen Unterschrift.“

 

In der eIDAS-Verordnung Art. 3 Nr. 10-12 werden folgende Formen von elektronischen Signaturen unterschieden:

 

Einfache elektronische Signatur:

 

Bei einer „elektronischen Signatur“ handelt es sich um Daten in elektronischer Form, die anderen elektronischen Daten beigefügt oder logisch mit ihnen verbunden werden und die der Unterzeichner zum Unterzeichnen verwendet.

 

Fortgeschrittene elektronische Signatur:

 

Eine fortgeschrittene elektronische Signatur wird unter Verwendung elektronischer Signaturerstellungsdaten erstellt, die der Unterzeichner mit einem hohen Maß an Vertrauen unter seiner alleinigen Kontrolle verwenden kann. Sie ist eindeutig dem Unterzeichner zugeordnet und ermöglicht die Identifizierung des Unterzeichners. Sie ist derart mit den unterzeichneten Daten verbunden, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

 

Qualifizierte elektronische Signatur:

 

Eine qualifizierte elektronische Signatur ist eine fortgeschrittene elektronische Signatur, die auf einem zum Zeitpunkt ihrer Erzeugung gültigen qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit (SSEE) erstellt wurde.

 

Wie hängen E-Signatur und digitale Validierung zusammen?

 

Wie sieht die Genehmigung von Dokumenten im klassischen Validierungsprozess aus, von der Anforderungsspezifikation bis zur Freigabe? Die Anforderungen werden in einem allgemeinen Dokument (URS) gesammelt, das nur genehmigt werden kann, wenn jeder einzelne Punkt vom Kunden akzeptiert wird. Dies führt zu zeitaufwändigen Diskussionen und langwierigen Iterationen, bevor das gesamte Dokument freigegeben wird.

 

In einem modular aufgebauten digitalen Validierungsprozess (zum Beispiel in JIRA) werden die einzelnen elektronischen Artefakte freigegeben. Jede User Story (Anforderung) und damit verbundene Akzeptanzkriterien können autark von dem Kunden und der QA freigegeben werden; dadurch werden agile Methoden effektiv umgesetzt.

 

Wann ist eine elektronische Unterschrift nach GxP-Regularien überhaupt notwendig?

 

Wenn es ein Tool oder eine Toolchain gibt, die Geschäftsprozesse gleichermaßen qualitativ und sicher, aber zeitgemäß und effizienter verwaltet, stellt sich die Frage: Können wir auf die manuelle Freigabe „auf Papier“ komplett verzichten? Sind Unterschriften im klassischen Sinn überhaupt notwendig? Wäre es nicht besser, alle Freigabeschritte dem Workflow in der Toolchain zu überlassen? Mit Audit Trails, die automatisch erzeugt werden, können Prozesse nachverfolgt und geprüft werden. Damit ist die GxP-Konformität sichergestellt.

 

Die Notwendigkeit für eine Signatur basiert auf lokalen und globalen Regularien. Obwohl der gesamte GxP-Workflow mit dem Kunden unter Berücksichtigung seiner Ziele und Fristen konzipiert werden kann – und dadurch einige Signaturen „eingespart“ werden können – müssen bestimmte Schritte und deren Zusammenfassungen von Product Owner und QA elektronisch oder manuell unterzeichnet werden, um GxP-Konformität über den gesamten Prozess einzuhalten.

 

Das betrifft vor allem die Dokumente, die Richtlinien beinhalten – zum Beispiel SOPs (Standard Operating Procedure), Validierungspläne, Abnahmedokumente sowie Protokolle und Berichte, die belegen, dass diese Anweisungen tatsächlich befolgt wurden. Ob die Inhalte und Eintragungen richtig sind, wird in der Regel nach dem Vier-Augen-Prinzip überprüft.

 

E-Signatur vs. Workflow-Freigabe

 

Besonders durch Home-Office-Arbeit ist die Verwendung der elektronischen Signatur deutlich gestiegen. Die E-Signatur ist ein so bequemes Verfahren, dass viele Nutzer schnell auf die Idee kommen, die manuelle Unterschrift generell zu ersetzen. Schließlich sind die Vorteile vielfältig:

 

  • Der Empfänger kann den Absender zweifelsfrei identifizieren.
  • Die übertragenen Daten können nicht unbemerkt gefälscht werden – ein wesentlicher Vorteil gegenüber der Papierwelt.
  • Sichere Zeitinformation: Es kann eine offizielle Zeitinformation in Form eines Zeitstempels auf dem jeweiligen Dokument aufgebracht werden.

 

Es gibt aber auch Nachteile:

 

  • Bei einfachen elektronischen Signaturen ist ungewiss, ob der Prüfschlüssel echt ist. Beispielsweise könnten Schlüssel unter falschem Namen erstellt werden.
  • Kosten: Für eine qualifizierte elektronische Signatur ist eine Zusatzsoftware notwendig.
  • Durch einen elektronischen Angriff kann der Schlüssel in falsche Hände geraten.

 

Und welche Vorteile und Nachteile hat ein einfacher Workflow zur Freigabe von elektronischen Artefakten?

 

Vorteile:

  • Workflows können nach projektspezifischen SOPs leicht konfiguriert werden. Die Rollen können nach GxP-Regularien verschiedene Rechte haben. Dadurch sind andere Projektmitarbeiter vor menschlichen Fehlern wie „falsch geklickt“ geschützt.
  • Ein zusätzlicher E-Mail-Benachrichtigungsdienst kann nicht nur den Prozess beschleunigen, sondern ermöglicht auch die Kontrolle über jeden Freigabeschritt.
  • Es gibt einen Zeitstempel, wie bei der elektronischen Signatur.

 

Nachteile:

  • Durch den Menschen als "Fehlerquelle" kann einem User eine falsche Rolle zugewiesen werden: Zum Beispiel, wenn einem Entwickler versehentlich die Rechte von QA oder Product Owner zugewiesen wird, die das Löschen von Artefakten ermöglicht.
  • Die Kosten für die Software-Anwendung können verhältnismäßig hoch sein.
  • Einige Dokumente müssen weiterhin in schriftlicher Form zusammengefasst und unterschrieben werden (sieh oben).

 

Wenn es sich nicht um Unterschriften handelt, die entweder explizit regulatorisch (GxP) gefordert werden (zum Beispiel Batch-Release, Labor-Berichte) oder es sich um Vertragswerke und andere juristische Dokumente handelt, dann sollten spezifizierte, konfigurierte und auditierte Workflows ausreichend sein.

Ihre Ansprechpartnerin

Yulia RudenkoLietzenburger Straße 6910719 BerlinT +49 30 854081-0Yulia.Rudenko@syncwork.de