Gratis-Download

Bei vielen unternehmensinternen Regelungen mit Datenschutz-Bezug ist der Betriebsrat zu beteiligen. Hierbei kommt Ihnen als Datenschutzbeauftragten...

Jetzt downloaden

Datenschutz im Labor: Elektronische Signatur bringt Sicherheit

0 Beurteilungen
Datenschutz

Von Günter Stein,

Labordaten sind hochsensibel. Gefahr droht durch unbefugte Mitleser, Missbrauch und Manipulation. Kunden und Mitarbeitern sollten Sie daher die Garantie geben, dass bei Ihnen alle Daten gesichert sind, und zwar durch eine qualifizierte elektronische Signatur.

Datenschutz im Labor: manipulierte elektronische Archive undenkbar

Immer mehr Labore archivieren ihre Daten elektronisch. Ohne Sicherung können sie jedoch unbemerkt manipuliert werden. Die elektronische Signatur hilft Ihnen hier weiter. Ein Computerprogramm verschlüsselt das zu sichernde Dokument so, dass anschließende Veränderungen erkennbar sind und der Urheber eindeutig identifiziert werden kann.

Datenschutz im Labor: Das sind Ihre rechtlichen Grundlagen

Auf weltweiter Ebene werden nationale Regelungen durch das UNCITRAL Model Law on Electronic Signatures unterstützt (www.uncitral.org ? search: „electronic signatures“). Die meisten Industrieländer der Welt haben auf dieser Grundlage Gesetze verabschiedet, welche die qualifizierte elektronische Signatur der eigenhändigen Unterschrift gleichstellen.

Das sieht die EU für die elektronische Signatur vor

Die von der EU erlassenen Vorschriften finden Sie in der EG-Richtlinie 1999/93/EG über gemeinschaftlichen Rahmenbedingungen für elektronische Signaturen (www.eur-lex.europa.eu/de/index.htm ? Suche in den Rechtsvorschriften ? Richtlinien). Diese Richtlinie definiert die 2 wichtigen Begriffe:

Die fortgeschrittene elektronische Signatur

  • ist ausschließlich dem Unterzeichner zugeordnet,
  • ermöglicht die Identifizierung des Unterzeichners,
  • wird mit Mitteln erstellt, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann, und
  • ist so mit den Daten verknüpft, auf die sie sich bezieht, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Das qualifizierte Zertifikat sichert Ihr Labor besser ab

Noch sicherer wird die elektronische Signatur im Labor, wenn Sie auf das qualifizierte Zertifikat zurück greifen. Denn dies muss laut EU-Richtlinie beinhalten:

  • die Angabe, dass das Zertifikat als qualifiziertes Zertifikat ausgestellt wird, die Angabe des Zertifizierungsdiensteanbieters,
  • den Namen des Unterzeichners,
  • Platz für ein spezifisches Attribut des Unterzeichners, das je nach Bestimmungszweck des Zertifikats aufgenommen wird,
  • Signaturprüfdaten, die den vom Unterzeichner kontrollierten Signaturerstellungsdaten entsprechen,
  • Angaben über den Beginn und das Ende der Gültigkeitsdauer des Zertifikats,
  • den Identitätscode des Zertifikats und
  • die fortgeschrittene elektronische Signatur des ausstellenden Zertifizierungsdiensteanbieters.

Die EU-Signaturrichtlinie finden Sie in Deutschland durch das Signaturgesetz (SigG), die Signaturverordnung (SigV) und das Signaturänderungsgesetz (SigÄndG) umgesetzt.

Sie brauchen 4 Elemente für Ihre qualifizierte elektronische Signatur

  1. Ihre Signatur- und Verschlüsselungszertifikate speichern Sie auf einer elektronischen Signaturkarte (Smart Card mit kryptografischen Daten). Die elektronische Signatur besteht immer aus 2 Zertifikaten: Ihrem privaten und dem öffentlichen Schlüssel.
  2. Ein Kartenlesegerät: Das Kartenlesegerät (mit externer PIN-Eingabe) wird an Ihren PC oder Server angeschlossen und ermöglicht das Lesen der SmartCard.
  3. Ein Trust Center: Das Trust Center erstellt die Signatur- und Verschlüsselungszertifikate, die auf Ihrer SmartCard gespeichert werden.
  4. Eine Signaturanwendungskomponente: Dies ist eine auf Ihrem PC oder Server installierte Software, die unter anderem die Signaturerzeugung und -prüfung, SmartCard- und Kartenlesegerätansteuerung oder Verschlüsselung ermöglicht.

Zur Information: Zertifizierungsdiensteanbieter (Certificate Authority (CA), Trust Center) stellen qualifizierte Zertifikate oder qualifizierte Zeitstempel im Sinne des SigG aus, z. B. Bundesnetzagentur (BNetzA), Globalsign, Signtrust oder Verisign

So funktioniert die elektronische Signatur in Ihrem Labor

Wollen Sie ein Dokument elektronisch signieren, wird zunächst eine Prüfsumme (Hash-Wert) über dieses Dokument gebildet (z. B. unter Verwendung des Algorithmus SHA-256). Anschließend erfolgt die Signierung mit Ihrem (Zertifikatsinhaber) privaten Schlüssel. Der öffentliche Schlüssel wird für die spätere Prüfung verwendet. Diese Prüfung erfolgt in 3 Schritten:

Schritt 1: Die Prüfsumme des Dokuments wird erneut berechnet.

Schritt 2: Mit dem öffentlichen Schlüssel wird die Signatur entschlüsselt. Als Ergebnis erhalten Sie wieder den bei Signaturerzeugung Signaturerzeugung berechneten Hash-Wert des Dokuments.

Schritt 3: Der ursprüngliche Hash-Wert wird mit dem bei der Signaturprüfung berechneten Wert verglichen. Sind beide Prüfsummen identisch, wurde das Dokument nicht verändert und die Signatur ist kryptografisch korrekt.

Zur vollständigen Prüfung gehört auch, die Gültigkeit des verwendeten Zertifikats und der Zertifikatskette zu kontrollieren. Dazu kann entweder gegen Sperrlisten (Zertifikatsseriennummern gesperrter Zertifikate) oder mittels einer Online-Statusabfrage (OCSP, Zertifikat gültig oder gesperrt) geprüft werden.

Datenschutz-Ticker

Mit jeder Ausgabe neue Tipps, Anregungen, Hinweise auf aktuelle Urteile und Gesetzesänderungen, aber auch auf so manche vorteilhafte Gestaltungsmöglichkeit, die sich Ihnen als Datenschutzbeauftragten bietet.

Datenschutz

Anzeige

Produktempfehlungen

Ihr starker Berater für ein rechtssicheres Online-Marketing

Praxisnahes Wissen zur Verbesserung und Erleichterung Ihrer Arbeit als betrieblicher Datenschutzbeauftragter!

Schnelle und einfache Mitarbeiterschulung

Umfassender Überblick für Datenschutzbeauftragte

Damit Sie auch die neuen Herausforderungen des betrieblichen Datenschutzes erfolgreich meistern!