Stichwort im Fokus: TR-RESISCAN

Ersetzendes Scannen auf Grundlage der BSI Richtlinie

Im März 2013 veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik („BSI“) die technische Richtlinie 03138 zum ersetzenden Scannen („TR-RESISCAN“). Damit haben ECM-Anwender die Möglichkeit, Dokumente ersetzend zu scannen sowie das Original vernichten zu dürfen.

Dabei ist die Beweiswertsicherheit im Falle einer außergerichtlichen oder gerichtlichen Auseinandersetzung über die Übereinstimmung von Original und Digitalisat zwar nicht garantiert (dies aufgrund des nicht-gesetzlich bindenden Charakters der Richtlinie, s.u.), auf jeden Fall aber deutlich erhöht.

Die TR-RESISCAN ist dabei der Versuch der Schaffung eines einheitlichen Ansatzes in einer bisher sehr heterogenen Prüflandschaft, mit dem Ziel, das ersetzende Scannen nach der TR- RESISCAN bspw. auch im steuer- und handelsrechtlichen Umfeld möglichst beweiswerterhaltend durchgeführt werden kann.

Damit soll die TR-RESISCAN weitestmögliche Rechtssicherheit bei der Verwendung von Inhalten ECM gesteuerter Langzeitarchive geben.

Grundsätzlich hat die TR-RESISCAN wie oben erwähnt keinen rechtsverbindlichen, sondern vielmehr einen empfehlenden Charakter. Festzuhalten ist jedoch, dass das ersetzende Scannen – insbesondere in der öffentlichen Verwaltung und der Justiz – mittlerweile dergestalt in seiner Gesetzeskraft gewachsen ist, dass der Prozess unbedingt nach dem Stand der Technik durchzuführen ist (§ 7 Abs. 1 S. 2 eGovG für Bundesbehörden, § 298a Abs. 2 ZPO für die elektronische Gerichtsakte). Die Gesetzgebungsmaterialien nehmen als derzeitigen Stand der Technik die TR-RESISCAN in Bezug, so dass hier für öffentlich-rechtliche ECM-Ausschreibungen ein faktischer Zwang entsteht, die TR-RESISCAN-Konformität einzufordern.

Die gesetzgeberischen Erwägungen im Bereich eGovernment und eJustice haben darüber erhebliche Auswirkungen auch auf den nicht-öffentlichen Bereich. Denn die Adressaten von Verwaltungsakten und die Verfahrensbeteiligten in Prozessen dürfen künftig ihre verfahrens- und prozessleitenden Dokumente ausschließlich elektronisch über das sogenannte „Besondere elektronische Anwaltspostfach“ (§ 31a Abs. 1 1 S. 1 BRAO) zu Gericht bringen. Die Folge: Spätestens bis zum Jahr 2020 müssen Anwälte, aber auch ihre Mandanten ersetzend scannen. Damit werden „Hybridakten“ künftig der Vergangenheit angehören.

TR-RESISCAN: Vereinfachungen wären denkbar und empfehlenswert

Die d.velop AG betrachtet die TR-RESISCAN als wichtigen Schritt um effektive und verbindliche Rahmenbedingungen für das ersetzende Scannen zu schaffen, auch wenn die Richtlinie insbesondere mit Blick auf die Anwendungsfälle und Aufwände bei kleinen und mittelständischen Unternehmen sicher einer Komplexitätsreduzierung bedarf.

Diese möglichen Vereinfachungen betreffen insbesondere die folgenden Bereiche der TR-RESISCAN:

  • Die umfangreichen Anforderungen an Protokollierungsfunktionen der eingesetzten Scanner sollten deutlich reduziert werden, um den Einsatz der weitverbreiteten Multifunktionsgeräte weiterhin- sowie in zunehmenden Maße auch mobiles Scannen zu ermöglichen.
  • Die sogenannte Schutzbedarfsanalyse für die ersetzend zu scannenden Dokumentklassen muss vereinfacht werden. Vorstellbar wäre dabei einmalig branchenbezogene Musterschutzbedarfsanalysen zu erstellen und diese als Richtlinie bereitzustellen. Damit könnte die Einführung kostengünstiger und schneller vonstattengehen.
  • Der Themenkomplex Authentifizierung und elektronische Signatur sollte von der Richtlinie TR-RESISCAN getrennt werden oder aber zumindest an den europäischen Standard eIDAS angelehnt werden, damit transparent im Hintergrund ein qualifiziertes Siegel eines Vertrauensdienst-Anbieters genutzt werden kann. Dieser hardwareunabhängige Ansatz würde ebenfalls dazu beitragen die Komplexität und Kosten zu reduzieren.

Bei der Bewertung des Schutzbedarfes und den daraus resultierenden Anforderungen hinsichtlich der zu ergreifenden Maßnahmen ist jedoch auch festzuhalten, dass die TR-RESISCAN in ihrem Anforderungskatalog durchaus auf verschiedene Szenarien eingeht. Zum Beispiel ist daher das ersetzende Scannen im sog. „Basismodul“ auch mit solchen Maßnahmen umzusetzen, die für ein mittelständisches Unternehmen und eine Behörde durchaus darstellbar sind. In der höchsten Ausbaustufe, die dann Anwendung findet, wenn der Schutzbedarf von Dokumenten als „sehr hoch“ eingestuft wird, finden z.B. die besonders anspruchsvollen Voraussetzungen hinsichtlich der qualifizierten elektronischen Signatur Anwendung.

d.velop und das d.velop competence network helfen bei der Implementierung des TR-RESISCAN

Nach den bisherigen Erfahrungen der d.velop AG wird insbesondere im Industriemittelstand dieser sehr hohe Schutzbedarf nicht erreicht, so dass eine technische wie organisatorische Abbildung mit „normalem“ Schutzbedarf zu vertretbaren Kosten der Regelfall ist.

Gerade im nicht öffentlichen Bereich ist aber auch die sogenannte “GoBD” sprich die ”Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff” des Bundesministeriums für Finanzen in der Version vom 14.11.2014 durchaus als weniger komplexe Alternative zur TR-RESISCAN zu betrachten.

Die d.velop AG und die Partner des d.velop competence networks stehen für alle Fragen rund um die TR-RESISCAN bzw. derer konzeptioneller-, technischer- und organisatorischer Implementierung jederzeit gern zur Verfügung.

Bitte richten Sie Ihre diesbezüglichen Fragen an TR-RESISCAN@d-velop.de.

d.velop Blog Abo