Ersetzendes Scannen – sicher, wirtschaftlich, pragmatisch

Wichtige Antworten zur TR-Resiscan

| Autor / Redakteur: Steffen Schwalm & Alexander Dörner / Susanne Ehneß

Inhalte, Ziele, Mehrwert

Der „generische Scanprozess“ nach TR-Resiscan
Der „generische Scanprozess“ nach TR-Resiscan (Bild: Bearingpoint)

Das BSI hat mit der TR-Resiscan eine technische Richtlinie (TR) zum ersetzenden Scannen entwickelt, die derzeit als maßgeblicher Standard zur Umsetzung entsprechend dem Stand der Technik gemäß § 7 EGovG gilt. Die TR regelt Vorgehen und Maßnahmen zum dokumentenersetzenden Scannen entlang des „generischen Scanprozesses“ (siehe Grafik).

Die TR gilt dabei nicht nur für die Öffentliche Verwaltung, sondern richtet sich insbesondere an Verwaltung, Justiz und Unternehmen und stellt so einen branchenübergreifenden Standard zu rechtssicheren ersetzenden Scannen dar. Ausgangspunkt für die im Zuge der Erstellung der TR durchgeführte Risikoanalyse war ein abstraktes Modell für ein „typisches Scansystem“ (TR-Resiscan, Anhang A 1.3).

Voraussetzung für das ersetzende Scannen ist gemäß TR-Resiscan eine Verfahrensdokumentation, in der die Art der zu scannenden Dokumente, die notwendigen Verantwortlichkeiten Aufgaben, Abläufe, Anforderungen an die scannenden Personen, genutzte Räume, IT-Systeme, Anwendungen und Sicherungsmittel sowie Regelungen zur Systemadministration und Wartung und Maßnahmen zur IT-Sicherheit beschrieben sind.

Außerdem wird eine Schutzbedarfsanalyse der zu scannenden Dokumente entsprechend der Grundwerte der IT-Sicherheit (Integrität, Vertraulichkeit und Verfügbarkeit) erwartet. Hierbei stützt sich die TR-Resiscan auf die IT-Grundschutzkataloge des BSI und korrespondierende internationale Standards, wie zum Beispiel ISO/IEC 27001 und ISO/IEC 27005. Basierend auf der Schutzbedarfsanalyse werden die notwendigen organisatorischen, personellen und technischen Maßnahmen für das Scannen festgelegt.

So ist neben organisatorischen Aspekten (zum Beispiel Festlegung von Verantwortlichkeiten, Abläufen) unter anderem die Bestätigung der ordnungsgemäßen, also manipulationsfreien Transformation von Papier zum digitalen Dokument vorzugsweise mit Hilfe eines Transfervermerks vorgesehen.

Bei der technischen Ausgestaltung des Transfervermerks lässt die TR großen Gestaltungsspielraum und fordert lediglich, dass der Transfervermerk in das Scanprodukt integriert oder logisch mit diesem verknüpft wird und wichtige Informationen dokumentiert (Ersteller des Scanproduktes, das technische und organisatorische Umfeld des Erfassungsvorganges, etwaige Auffälligkeiten während des Scanprozesses, den Zeitpunkt der Erfassung und das Ergebnis der Qualitätssicherung).

Ergänzendes zum Thema
 
Wer wendet ersetzendes Scannen nach TR-Resiscan ­bereits an?

Anwendung

Das Verwaltungsgericht Wiesbaden hat 2014 und 2015 mehrere Urteile zum ersetzenden Scannen sowie zur elektronischen Aktenführung gesprochen. Dabei wurden jeweils die Durchführung der Analysen und Maßnahmen nach TR-Resiscan sowie die notwendige Verfahrensdokumentation durch die einzelnen Behörden gefordert, als Basis für die Anerkennung der Scanprodukte durch das Gericht. Besonders hervorgehoben wurden:

  • Qualitätskontrolle,
  • Gewährleistung der Sicherheit des Scanprozesses einschließlich der gescannten Dokumente, verwendeten Technik und Kommunikation,
  • Sicherstellung des Datenschutzes personenbezogener Daten,
  • Dokumentation und Zertifizierung des Scanprozesses,
  • Lesbarkeit und optische Klarheit des Scanprodukts,
  • Nachweis der bildlichen und inhaltlichen Übereinstimmung von Scanprodukt und papiernem ­Original,
  • Bestätigung der bildlichen und inhaltlichen Übereinstimmung durch einen Transfervermerk, mittels qualifizierter elektronischer Signatur.

Neben der Beachtung der TR-Resiscan wurde die Vollständigkeit und Nachvollziehbarkeit elektronischer Akten gefordert und deren Nichtvorhandensein zuungunsten der Behörden bewertet. Die Nichtbeachtung der BSI TR-Resiscan sowie der oben genannten Grundsätze führt in der Regel zum einem negativen Prozessergebnis für die Behörden. Teilweise verlief bereits die formelle Beweiswürdigung kritisch, sprich die Dokumente wurden nicht als Beweismittel anerkannt, unabhängig vom Inhalt.

Des Weiteren wird inzwischen in vielen öffentlichen Ausschreibungen die Zertifizierung des Scanprozesses und damit eine dieser zugrundeliegende eine Konformitätsbestätigung nach TR-Resiscan gefordert, um den Stand der Technik beim ersetzenden Scannen zu gewährleisten. Ein Beispiel bildet die Bundesanstalt für Immobilienaufgaben, die das ersetzende Scannen und die beweiswerterhaltende Aufbewahrung zum Mai 2014 für etwa 500.000 Dokumente/Jahr gestartet hat.

Bitte lesen Sie auf der nächsten Seite weiter.

Kommentar zu diesem Artikel abgeben
Wozu der Aufwand ? Ich bin in einem Ministerium zuständig für den Betrieb und die...  lesen
posted am 17.10.2015 um 14:43 von Unregistriert

Resiscan, QES, TR-ESOR, eIDAS ... aktuell gibt es bei uns im Blog zwei sehr interessante...  lesen
posted am 14.10.2015 um 16:51 von Unregistriert

Kommentare zur #ResiScan: Ulrich Kampffmeyer Schon wieder die Resi... http://bit.ly/RESI-Scan ...  lesen
posted am 08.10.2015 um 13:17 von Unregistriert


Mitdiskutieren
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 43636096 / Standards & Technologie)