„TR RESISCAN“ Der Teufel steckt wie immer im Detail

Autor / Redakteur: Ulrich Gerke / Susanne Ehneß

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit der technischen Richtlinie „TR 03138 RESISCAN“ Vorgaben für das ersetzende Scannen festgeschrieben. Das vor zwei Jahren veröffentlichte Dokument bedarf laut Ulrich Gerke dringend einer Überarbeitung.

Firmen zum Thema

Die TR Resiscan ist ein Leitfaden für das ersetzende Scannen
Die TR Resiscan ist ein Leitfaden für das ersetzende Scannen
(Bild: Africa Studio_Fotolia.com)

Mit der „TR-03138 RESISCAN – Ersetzendes Scannen“ hat das BSI am 20. März 2013 eine technische Richtlinie veröffentlicht, die Anwendern bei Einhaltung der Vorgaben eine erhöhte Rechtssicherheit beim sogenannten ersetzenden Scannen bieten soll. Unter ersetzendem Scannen versteht diese technische Richtlinie das Scannen von Unterlagen mit (zeitnaher) anschließender Vernichtung der Scanvorlage („Original“).

Die TR Resiscan hat ausschließlich empfehlenden Charakter und ist keine Pflicht, wie die Entstehung des eGovernment-Gesetzes (EGovG) verdeutlicht. Wurde noch im Referentenentwurf des EGovG auf die TR Resiscan verwiesen, so wurde diese in der gültigen EGovG-Version in die Anlagen verwiesen.

Bildergalerie
Bildergalerie mit 9 Bildern

Grundsätzlich besteht die befürchtete Rechtsunsicherheit darin, dass Organisationen beziehungsweise Verwaltungen mit der Vernichtung von Scanvorlagen Unterlagen beziehungsweise Urkunden verlieren und daher eine Beweisführung ausschließlich auf Basis elektronischer Kopien durchführen müssen, deren Beweiswert allerdings angezweifelt werden könnte. Anwender von DMS-Lösungen (in jeder Branche) scannen bereits seit mehr als 20 Jahren Papierunterlagen (ersetzend) und vernichten „zeitnah“ die entsprechenden Vorlagen (Originale).

Juristische Betrachtung

Dem Autor ist genau ein Gerichtsprozess bekannt, bei dem dieses Vorgehen dem Anwender juristisch zum Nachteil gereichte – allerdings nicht aufgrund eines unzureichend sicheren Vorgehens beim Scannen, sondern aufgrund der Tatsache, dass er Originale – Mietnebenkostenbelege – gescannt hatte, die zum damaligen Zeitpunkt auf Verlangen des Mieters zwingend im Original vorzulegen waren.

Bislang gibt es also keine dem Autor bekannten nachteiligen Prozessurteile, die bei ersetzendem Scannen bei den Nutzern von DMS-Lösungen zu entsprechenden Rechtsnachteilen geführt haben. Erst recht sind keine Rechtsurteile bekannt, die mit einer Breitenwirkung Rechtsunsicherheit verursachen könnten.

Das hohe Vertrauen kommt nicht von ungefähr: In Deutschland ist das ersetzende Scannen aus handels- und steuerrechtlicher Sicht seit 1995 gesetzlich zulässig und etabliert. Voraussetzung für die Zulässigkeit ist lediglich die Einhaltung der GoBD (vor dem 1. Januar 2015 die GOBS) im Scanverfahren. Hierfür ist es notwendig, die übliche Sorgfalt im kaufmännischen Handeln anzuwenden, ein ordnungsgemäßes elektronisches Aufbewahrungsverfahren anzuwenden (typischerweise ein DMS mit Archivfunktionen), die Verfahren zu organisieren und in einer Verfahrensdokumentation festzuhalten – und sonst nichts! Und diese Haltung wurde im Herbst 2013 in den bei der Datev durchgeführten Simulationsprozessen zum wiederholten Male bestätigt.

Lesen Sie auf der nächsten Seite weiter.

(Bild: M. Schuppich_Fotolia.com)
Hieran entfacht sich aktuell eine Debatte im DMS-Markt, wie sinnvoll die aktuell vorliegende TR Resiscan ist, wenn diese mit allen Anhängen im originalen Wortlaut in der Praxis umgesetzt werden soll. Als wesentliches Ziel hat sich TR Resiscan gesetzt, die angeblich bestehende Rechtsunsicherheit zu beseitigen und Rechtssicherheit herzustellen. Sie enthält aber gleichzeitig den Hinweis, dass mit der TR Resiscan nicht die Zulässigkeit des ersetzenden Scannens als solches geregelt wird (siehe Bildergalerie, Punkt 1).

Umgekehrt gibt es Meinungen, dass mit der TR Resiscan das Gegenteil einer Rechtssicherheit erreicht wurde. Während es in der Vergangenheit grundsätzlich keine Rechtsunsicherheit gab, wurde durch die TR Resiscan Rechtsunsicherheit erzeugt, da – bei Einsatz der TR Resiscan – Verwaltungen und Organisationen nun bewerten müssen, ob die Vorgaben der TR Resiscan (zwingend) umgesetzt werden sollen oder sogar müssen. Was sind aber die wesentlichen Kritikpunkte an der TR Resiscan?

Kritikpunkte

Die TR Resiscan bietet keine Rechtssicherheit im Sinne eines garantierten Verzichts des Richters auf das Papieroriginal des Digitalisats, wie es in der Öffentlichkeit häufig dargestellt wird.

Die Korrektheit eines eingescannten Dokuments kann selbst bei einer TR-Resiscan-zertifizierten Erfassungslösung nicht gewährleistet werden, daher könnte ein Richter zu Recht die Beweisfähigkeit des Digitalisats, selbst bei Einsatz der TR Resiscan, anzweifeln. Warum aber?

Die Praktiker wissen: Beim Scannen werden Papierdokumente mit einem Zeitverzug von x Stunden, Tagen oder sogar erst Wochen nach dem Absenden digitalisiert. In dem dazwischenliegenden Zeitfenster bestehen unterschiedliche Einflussmöglichkeiten auf dem Weg vom Original zum Digitalisat: Unterlagen vorsortieren, bereinigen, umkopieren, Leerseiten oder Werbeanhang löschen, Vorgangsarten bündeln et cetera.

Ein fachlich korrektes Digitalisat ist dasjenige Scanobjekt, welches am Ende eines fachlichen Erschließungs- und Bearbeitungsprozesses von einem mit Fachkenntnissen ausgestatteten Menschen (oder einem technischen System) als „Rechnung“, „Antrag“, „Bescheid“ oder „Schriftwechsel“ attribuiert (verschlagwortet) wird. Daher werden auch in einem GoBD- oder Resiscan-konformen Verfahren Fehler auftreten, alleine schon durch menschliche oder technische Unzulänglichkeiten, die sich nicht per Definition ausschließen lassen.

Lesen Sie auf der nächsten Seite weiter.

Eine Scan-Richtlinie kann daher in keinem Fall eine ausreichende Gewähr dafür leisten, dass ein Mensch-Maschine-Prozess die fachliche Bearbeitung und physikalische Transformation zu 100 Prozent korrekt durchführt. Solche Fehler können nicht per Definition oder gar Zertifizierung ausgeschlossen werden, weder retrospektiv noch vorausschauend. Daher wird sich ein Richter, egal in welchem Rechtsgebiet, im Streitfall selbstverständlich nicht die freie Beweiswürdigung aller Umstände nehmen lassen.

Dieses gilt übrigens auch für die steuerliche Aufbewahrung gemäß GoBD. Die seit 1995 mehrfach wiederholte Erlaubnis des BMF zum ersetzenden Scannen bindet nicht die Finanzgerichte, sondern nur die nachgeordneten Finanzbehörden. Das ist aber ein Zusammenhang, der bereits zu Zeiten der ersetzenden Mikroverfilmung und seit über 25 Jahren in ersetzenden DMS-Scananwendungen bekannt war, berücksichtigt wurde und nicht zur Verhinderung von ersetzendem Scannen (beziehungsweise ersetzendem Verfilmen) führte.

Dieses gilt übrigens auch für durchgängig analoge, also reine Papier-basierte Erfassungsprozesse. Auch hier traten und treten in der täglichen Praxis Fehler im Papierhandling der Originale auf, die aber weder dazu führ(t)en, dass komplette Eingangskuverts unverändert archiviert wurden noch die Anerkennung der verarbeiteten Papierbelege durch Prüfer und Gerichte verhinderten.

Im Vergleich zu anderen seit Jahren angewandten Verfahren bei ordnungsgemäßen Scan- und Archivierungslösungen führt die TR Resiscan daher faktisch keine höhere Beweisqualität ein. Auch Konformitätsbehauptungen zur TR Resiscan können eine Rechtssicherheit nicht steigern (siehe Bildergalerie, Punkt 2).

Wenn sich 99 Prozent der Fehler durch menschliche Fehler einschleichen: Wie viel Wert hat dann der Nachweis, wenn die Zertifizierung mit anderen Bedienkräften gemacht wird, als denen, die am nächsten Tag oder zwei Jahre später die Erfassung durchführen? Ist es nicht vielmehr nur eine vom Anwender behauptete Qualität?

Aber dennoch, die als Empfehlung gedachte TR Resiscan ist eine weitere Handlungsoption für eine strukturierte Vorgehensweise zur Risikobewertung von Dokumenten und Implementierung von Schutzverfahren während der Dokumentenerfassung.

Welchen Aufwand verursacht TR Resiscan?

Die TR Resiscan umfasst mit den mitgeltenden Anlagen über 160 Seiten; kein leichter Lesestoff, sondern komplexe, teilweise komplizierte, vielfach leider unklare Hinweise und Angaben. Hinzu kommen Verweise auf Hunderte von Seiten aus dem BSI Grundschutz, die man berücksichtigen sollte, da die TR auf über 50 Module aus dem BSI Grundschutz (referenziert) oder diese sogar zur Anforderung erhebt.

Lesen Sie auf der nächsten Seite weiter.

Weiterer hoher Vorbereitungsaufwand entsteht auch im Rahmen der „Schutzbedarfsanalyse“ (Terminus der TR Resiscan). Hier ist für jedes Dokument beziehungsweise Dokumentenart und darin für jede der sechs vorgegebenen Datenobjekte (D0-D6: Schriftgut aus dem Posteingang; Scanrelevantes Original; Scanprodukt; Index- und Metadaten; Transfervermerk; Sicherungsdaten; Protokolldaten; D0 und D1 können vermutlich zusammengefasst werden) eine Kategorisierung von neun unterschiedlichen Sicherheitszielen vorzunehmen (siehe Bildergalerie, Punkt 3).

Eine sorgfältig begründete Sicherheitsanalyse also für 9 Sicherheitsziele mal 6 Datenobjekte mal Anzahl unterschiedlicher Dokumentarten je Fachgebiet in der Verwaltung beziehungsweise Behörde. Das wären je Dokumentart bereits 54 Einzelaspekte, die sorgfältig begründet werden sollen.

Wenn man davon ausgeht, dass in einer Verwaltung je Abteilung 10 bis 50 Dokumentarten existieren, multipliziert mit der Anzahl der Fachbereiche, in denen ein DMS eingesetzt werden soll, ist bereits bei der Schutzbedarfsanalyse klar, dass hier ein sehr hoher Aufwand entstehen kann. Wenn mindestens eine Dokumentart der Schutzklasse „Hoch“ bezüglich des Grundwertes Integrität zugeordnet ist, dann sind weitere technische Aufwandtreiber im Spiel, und die Sache wird noch komplizierter (siehe Bildergalerie, Punkt 4).

Kryptografie erhöht nicht die Rechtssicherheit

Der Integritätsschutz soll dann mit kryptografischen Maßnahmen hergestellt werden (siehe Bildergalerie, Punkt 5). Daher entsteht hoher Vorbereitungsaufwand bei der technischen Einrichtung einer TR-Resiscan-konformen Scanstrecke, sobald die in der TR vorgesehenen technischen Maßnahmen wie Verschlüsselung und Signatureinsatz umzusetzen sind.

Die in der technischen Richtlinie Resiscan geforderten Verschlüsselungs- und Signaturmaßnahmen sowie die neben dem Scanprodukt zusätzlich geforderten (Meta-)Datenobjekte (Stichwort Transfervermerke) sind lediglich in sehr wenigen Scan-Produkten im Standard enthalten.

Zusätzlich ergeben sich durch die Vielzahl der Datenobjekte erweiterte Anforderungen an die für die Aufbewahrung eingesetzten Komponenten – zum Beispiel Dokumentenmanagement –, die ebenfalls im Standard in der Regel nicht verfügbar sind.

Begriffsverwirrung „Authentizität“

Wird eine qualifizierte Signatur beim Scannen angebracht (zum Beispiel, wenn die Schutzklasse eines Dokumentes = Hoch), wird nur die Behauptung des Scanpersonals signiert (mit der Signaturkarte einer natürlichen Person in der Scanstelle), dass das, was auch immer dem Scanpersonal als Vergleich vorliegt und am Bildschirm sichtbar ist, in Ordnung sei. Beim Scannen von großen Mengen an Papierunterlagen werden häufig nur Stichprobenprüfungen vorgenommen.

Lesen Sie auf der nächsten Seite weiter.

Damit werden gegebenenfalls für nur 10 bis 20 Prozent Vergleiche mit dem Original vorgenommen. Weiterhin ist vielleicht das Original durch den normalen Bearbeitungsprozess zum Beispiel beim späten Scannen gegebenenfalls bereits nicht mehr das physische Original, welches der Absender vor einigen Tagen in ein Kuvert gesteckt hat.

Ja, die Definition ist richtig („Unter ‚Authentizität‘ von Daten versteht man, dass die Quelle der Daten eindeutig bestimmbar ist“), aber beim ersetzenden Scannen ist genau diese nicht gegeben, da das Digitalisat eben nicht von der Person hergestellt wird, mit deren Signaturkarte signiert wird. Hier wird nur eine Übereinstimmungsbehauptung signiert.

Mit Authentizität des originalen Dokumenterstellers (Absenders des gescannten Papierdokumentes) hat dies NICHTS zu tun. Und daher ist die Signatur eben nicht geeignet, diesen Mangel zu heilen. Also braucht man sie auch nicht, da sie nicht schützt (wie jedes bessere DMS), sondern eine Abweichung vom signierten Original durch Vergleich der Hashwerte nur prüfbar macht.

Mit anderen Worten: Durch die Resiscan wird sich kein Richter die freie Beweiswürdigung nehmen lassen. Eine Signatur hätte erst dann eine höhere Beweisqualität, wenn der Absender selbst qualifiziert signiert und genau für solche individuellen Willenserklärungen ist die qualifizierte elektronische Signatur eigentlich geschaffen worden.

Daher ist die Definition in der TR Resiscan so nicht plausibel. Über eine Signatur des Scanpersonals lässt sich nicht die Quelle des Dokumentes, also der Originaldaten, bestimmen.

Somit ist ein Resiscan-Prozess für das Thema „rechtliche Belastbarkeit einer digitalen Kopie“ genauso schlecht oder genauso gut wie jeder ordnungsgemäße Erfassungs- (oder Verfilmungs-)prozess der letzten fünfundzwanzig Jahre.

Wirklich auf dem Stand der Technik?

Was dem Leser oder Anwender ohne sehr aufmerksames Studium der TR Resiscan und all seiner mitgeltenden Anlagen vielleicht als Konsequenz nicht sofort auffällt: Dokumente der Schutzklasse „Hoch“ können auch nicht mehr an beliebigen Scan-Stationen, Multifunktionsgeräten, per Eingangsfax (ein nach wie vor sehr häufiger Zugangsweg) oder über neue Erfassungsgeräte wie Smartphones oder Tablets digitalisiert werden.

Grund dafür: Diese Gerätegattungen können eine Fülle an Muss- oder Soll-Anforderungen gar nicht erfüllen, wie beispielsweise keine Zugangskontrollen, keine prüfbaren Scan-Caches, keine verschlüsselbaren internen Kommunikationswege et cetera. Der Prüfer, der einem eigentlich normalen Erfassungsprozess ein Resiscan-Zertifikat erteilen möchte, muss hier eigentlich gegen die Intention der TR zertifizieren.

Lesen Sie auf der nächsten Seite weiter.

Man kann sich schon die Frage stellen, warum die TR Resiscan behauptet, den Stand der Technik darzustellen (siehe Bildergalerie, Punkt 6), denn die verfügbaren und im Einsatz befindlichen Scan-Lösungen beziehungsweise die für die Aufbewahrung eingesetzten Komponenten erfüllen typischerweise diesen Stand derzeit häufig nur über Zusatzimplementierungen beziehungsweise die Einbindung von Drittlösungen, aber nicht im Standard.

Warum einfach, wenn es auch schwer geht?

Die TR Resiscan bietet noch einige Anforderungen, die aktuell fern der typischen Praxis sind. Einige erschweren die Umsetzung der TR Resiscan aber erheblich. Hier nur wenige Beispiele:

  • Was sind eigentlich kryptografische Schlüssel im Scanner? Noch gibt es keine Scanner, die kryptografische Schlüssel vorhalten (siehe Bildergalerie, Punkt 7.1).
  • Die normative Anlage A, Kapitel A.1.5, beschreibt die Schnittstelle K1 zwischen Scanner-Hardware und Software und kritisiert unter anderem, dass weder TWAIN noch ISIS noch SANE einen Integritätsschutz als Bestandteil der Schnittstelle vorsehen.
  • Ebenso wird als Muss-Anforderung vorgeschrieben, dass ein Verfahren implementiert wird, welches sicherstellt, dass auch bei Wartungs- und Reparaturarbeiten Manipulationen etwa am Scan-Cache verhindert werden (siehe Bildergalerie, Punkt 7.2).

Solche Anforderungen mögen sinnvoll sein für streng geheime Unterlagen der allerhöchsten Ver­traulichkeitsstufe oder aus Datenschutzgründen, aber für 99 Prozent der Dokumente im Markt erscheinen uns solche Hochsicherheitsmaßnahmen nicht nur praxisfremd, sondern schlichtweg undurchführbar. Auch dies ist aber nur ein Beispiel, stellvertretend für viele andere Anforderungen in dem Gesamtwerk Resiscan.

Was wäre sinnvoll für eine aktualisierte TR Resiscan?

Ein preiswerter Scanner kann bei aufmerksamer Handhabung durch das geschulte Scan-Personal und mit entsprechendem Zeitaufwand ein originalgetreues Abbild liefern. Umgekehrt kann selbst mit einem hochwertigen Scanner bei unaufmerksamer Anwendung ein schlechtes, für Prüfzwecke unzureichendes Abbild erzeugt werden. Hard- und Software sind hier nur Teilkomponenten in einem mehrstufigen Prozess, dessen Ergebnisqualität von Menschen beeinflusst wird.

Es sollte keine Richtlinie sein, die das Zertifizieren von Produkten (Hardware oder Software) nach sich ziehen würde, weil sich die notwendige Ordnungsmäßigkeit im Erfassungsablauf weniger durch die technisch-funktionalen Eigenschaften eines Scanners, der Treibersoftware, der Dokumentformatierung oder der Erfassungssoftware, sondern zum größten Teil durch die Sorgfalt in den Arbeitsprozessen ergibt, also im Wesentlichen organisatorisch (Ausbildung, Sorgfalt et cetera) begründet ist. Schon in der Vergangenheit hat sich gezeigt, dass durch Zertifizierungen Konzepte nicht durchgesetzt werden können (siehe DOMEA).

Die TR Resiscan sollte daher ein organisatorischer Handlungsleitfaden für Anwender werden. Am besten komplett technik-neutral. Optimal wäre eine so genannte OR Resiscan („Organisationsrichtlinie RESISCAN“), also ein „Kochbuch“ für Dinge, die beim ersetzenden Scannen und im Hinblick auf die Erfassungsprozesse aus organisatorischer Sicht zu beachten sind und wirtschaftlich in der Praxis umgesetzt werden können.

Der Autor: Ulrich Gerke, Seniorberater der Zöller & Partner GmbH. eMail-Kontakt: ugerke@zoeller.de
Der Autor: Ulrich Gerke, Seniorberater der Zöller & Partner GmbH. eMail-Kontakt: ugerke@zoeller.de
(Ulrich Gerke)

Eine aktualisierte „TR Resiscan 2.0“ wäre daher wirklich sinnvoll und würde den Behörden und öffentlichen Verwaltungen einen hoffentlich eher organisatorischen Leitfaden für ein wirtschaftliches und umsetzbares ersetzendes Scannen bieten.

(ID:43433715)