Astrid Schumacher *TR-RESISCAN - Die BSI-Richtlinie für das ersetzende Scannen -JurPC Web-Dok. 175/2012, Abs. 1 - 13 |
| Um Geschäftsprozesse elektronisch abzuwickeln und Kosten zu senken, werden Papierdokumente zunehmend eingescannt und anschließend vernichtet. Durch die technischen und organisatorischen Maßnahmen der Technischen Richtlinie (TR) des BSI für das ersetzende Scannen (TR-RESISCAN) kann der damit einhergehende Beweiswertverlust minimiert und somit die Rechtssicherheit gesteigert werden. | JurPC Web-Dok. 175/2012, Abs. 1 |
| Mit der Technischen Richtlinie zum ersetzenden Scannen wird ein Handlungsleitfaden mit Empfehlungen technisch-organisatorischer Art an Scanprozesse zur Verfügung gestellt, deren Einhaltung das Erstellen und die Anwendung möglichst rechtssicherer Scanlösungen ermöglicht. | Abs. 2 |
| Das Projekt hat nach gründlicher Vorbereitung auch im Rahmen des EDV-Gerichtstags e.V. im Juni 2011 begonnen und wird mit der Version 1.0 Anfang 2013 abgeschlossen sein. Unter Beteiligung zahlreicher Praktiker aus Verwaltung, Justiz und Wirtschaft nicht nur im Projektbeirat sondern darüber hinaus wurden die Anforderungen in einem Modulkonzept so entwickelt, dass möglichst vielen der unterschiedlichen Anwender die einfache Umsetzung dieser Empfehlungen ermöglicht wird. Diese werden zudem noch vor Verabschiedung der endgültigen Fassung in sog. proof of concepts praxisbezogenen Tests unterzogen. | Abs. 3 |
| Zusätzlich zu der im gesamten Projektverlauf sehr offenen Kommunikationsform soll die nun initiierte öffentliche Kommentierung abschließend dazu dienen, ggfs. noch nicht berücksichtigte Anregungen aufnehmen zu können. | Abs. 4 |
Zielsetzung |
| Diese TR zielt auf eine Steigerung der Rechtssicherheit im Bereich des ersetzenden Scannens ab und trägt den Titel "Ersetzendes Scannen (RESISCAN)". | Abs. 5 |
| Hierbei wird unter dem "ersetzenden Scannen" der Vorgang des elektronischen Erfassens von Papierdokumenten mit dem Ziel der elektronischen Weiterverarbeitung und Aufbewahrung des hierbei entstehenden elektronischen Abbildes (Scanprodukt) und der späteren Vernichtung des papiergebundenen Originals verstanden. | Abs. 6 |
| Die TR RESISCAN hat zum Ziel, Anwendern in Justiz, Verwaltung und Wirtschaft als Handlungsleitfaden und Entscheidungshilfe zu dienen, wenn es darum geht, Papierdokumente nicht nur einzuscannen, sondern nach Erstellung des Scanproduktes auch zu vernichten. Dies betrifft insbesondere solche Anwendungen, in denen gesetzliche oder anders begründete Aufbewahrungs- und Dokumentationspflichten bestehen, die eine besondere Handhabung digitalisierter Dokumente nach sich ziehen, wenn das Original vernichtet werden soll. Die TR hat ohne besondere rechtliche Bestimmungen lediglich empfehlenden Charakter. | Abs. 7 |
| Während in manchen Anwendungsbereichen, wie etwa dem kaufmännischen oder steuerlich relevanten Umfeld nach AO und HGB seit 1995 Grundsätze zur ordnungsgemäßen Ausführung der elektronischen Aufbewahrung existieren, nach denen bereits ersetzend gescannt wird, fehlen konkrete Umsetzungsvorgaben für die meisten anderen, aber zunehmend betroffenen Bereiche (Ausnahme: Sozialversicherungsrecht). Darüber hinaus gibt es auch in den bereits von unterschiedlich detaillierten Regelungen betroffenen Bereichen zunehmend davon nicht erfasste Dokumente (zum Beispiel solche, die nicht nur nach AO/HGB sondern auch zur zivilrechtlichen Beweissicherung aufbewahrt werden sollen), die vor allem aus Gründen der Wirtschaftlichkeit zukünftig ebenfalls ersetzend gescannt werden sollen. Um dies auf einer möglichst sicheren technisch-organisatorischen Grundlage tun zu können, wurden die Empfehlungen in dieser TR erarbeitet. Ziel ist es, die mit einer Vernichtung des Originaldokuments stets einhergehende Verringerung des Beweiswerts für den jeweiligen Anwender durch einen an das Original möglichst weit angenäherten Beweiswert des in einem nachweisbar ordnungsgemäßen Prozess erstellten Scanproduktes selbst auszugleichen, zu minimieren oder sichtbar zu machen. Schließlich kann die TR im Rahmen künftiger Regelungsvorhaben als Referenz dienen, wenn es z.B. konkret um die Schaffung weiterer Zulässigkeitstatbestände für das ersetzende Scannen insbesondere im Bereich der elektronischen Aktenführung geht. | Abs. 8 |
| Die TR beruht auf den langjährigen Erfahrungen der Praxis in den verschiedenen Anwendungs-bereichen in Verwaltung und Wirtschaft und berücksichtigt so umfassend wie möglich die hier etablierten Prozesse. Der Mehrwert für alle Scanprozesse, in denen das Scanprodukt das Original tatsächlich ersetzen soll, liegt insbesondere in der systematischen Darstellung der im Ablauf eines Scanprozesses bedeutsamen Bedrohungen für die wesentlichen Grundziele der Informationssicherheit. Diese werden die in einer Strukturanalyse u.a. dezidiert für alle betroffenen Datenobjekte und Kommunikationsbeziehungen dargestellt. Auf Grundlage einer darauf aufbauenden sorgfältigen Schutzbedarfsanalyse und anhand der entlang der verschiedenen Scanphasen durchgeführten Risikoanalyse werden konkrete Sicherheitsmaßnahmen beschrieben. Dadurch wird der Anwender in die Lage versetzt, die für seine Fachanwendung notwendigen Maßnahmen zu identifizieren und "seinen" Scanprozess angemessen sicher zu gestalten. Durch die detaillierte Bedrohungsanalyse und die daraus abgeleiteten Sicherheitsempfehlungen profitieren voraussichtlich auch bereits etablierte Scanprozesse von der TR, indem diese, sofern gewünscht, ihre Konformität zu den hier erarbeiteten Empfehlungen mit angemessenem Aufwand feststellen können, und mit Hilfe der mit der TR zur Verfügung gestellten Checkliste ggfs. die bereits bestehende Ordnungsmäßigkeit ihres Scanprozesses bei Bedarf weiter optimieren können. | Abs. 9 |
| Aufgrund der enormen Unterschiede der fachspezifischen Anforderungen jedes Anwendungsbereichs, sieht die TR einen modularen Anforderungskatalog vor, der unterschiedliche praxisrelevante Sicherheitsstufen umfasst. In der Basisstufe geht es vor allem um einen grundsätzlich ordnungsgemäßen und mit grundlegenden Sicherheitsmaßnahmen ausgestalteten Scanprozess. In den Ausbaustufen wird besonderen Anforderungen an Integrität, Verfügbarkeit und Vertraulichkeit mit entsprechend angepassten und erhöhten Sicherheitsmaßnahmen Rechnung getragen. | Abs. 10 |
| Gegenstand der TR (und damit potentieller Zertifizierungsgegenstand) ist der Prozess des (ersetzenden) Scannens als solcher in technischer und organisatorischer Hinsicht, nicht aber bestimmte Soft- oder Hardwarekomponenten zur tatsächlichen Durchführung des Scannens. Im Rahmen der nach der TR möglichen Nachweisführung der Konformität durch eine Zertifizierung des Scanprozesses werden daher Soft- und Hardware nicht explizit betrachtet. Ebenso ist die sich an einen Scanprozess im Rahmen eines Vorgangsbearbeitungssystems und/oder Dokumentenmanagementsystems anschließende Langzeitspeicherung oder Archivierung nicht Gegenstand der TR. Diesbezüglich wird lediglich die notwendige Interoperabilität und Kompatibilität zu gängigen Archivformaten berücksichtigt. | Abs. 11 |
| Die hier formulierten Empfehlungen beinhalten nicht nur funktionale und auf die Sicherheits-eigenschaften bezogene Maßnahmen, sondern auch gleichrangig organisatorische Empfehlungen, die gerade beim Scannen von besonderer Relevanz sind. Denn ein Scanprozess kann in keinem Fall vollständig automatisiert erfolgen, sondern bedarf immer auch der sorgfältigen Bedienung durch Menschen, die damit eine potentielle und nicht zu unterschätzende Fehlerquelle des Scanprozesses darstellen. | Abs. 12 |
Anwendungsbereich |
|
Die vorliegende
Technische Richtlinie bietet Anwendern in Justiz, Verwaltung und
Wirtschaft einen Handlungsleitfaden zur möglichst rechtssicheren
Gestaltung der Prozesse und Systeme für das ersetzende Scannen.
Durch eine definierte Konformitätsprüfung können
Anwender oder Anbieter von Scandienstleistungen einen dokumentierten
Nachweis darüber erbringen, dass ihre Prozesse und Systeme für
das ersetzende Scannen die hier aufgestellten technischen und
organisatorischen Anforderungen nach dem jeweils gewählten Modul
erfüllen. Eine nachgewiesene Konformitätsbestätigung
und ein darüber erteiltes Zertifikat des BSI kann für
Vergabeverfahren vom Bedarfsträger als Leistungskriterium
herangezogen werden. Neben einer (regelmäßig optionalen)
Zertifizierung kommen je nach Anwendungsfall auch Eigenerklärungen
von Scandienstleistern oder auch Anwendern in Betracht. Die TR
dient somit insgesamt als praxisorientierter Handlungsleitfaden für
die Ordnungsmäßigkeit eines Scanprozesses ohne eine damit
verbundene Verpflichtung zur Zertifizierung.
| JurPC Web-Dok. 175/2012, Abs. 13 |
| * Dr. Astrid Schumacher ist Referatsleiterin im Bundesamt für Sicherheit in der Informationstechnik (BSI). |
| [ online seit: 06.11.2012 ] |
| Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs.
|
| Zitiervorschlag: Schumacher, Astrid, TR-RESISCAN - Die BSI-Richtlinie für das ersetzende Scannen - - JurPC-Web-Dok. 0175/2012 |
