BSI veröffentlicht TR-03138 RESISCAN

20. März 2013 17:45 Uhr | Dr. Ulrich Kampffmeyer | Permalink

Das BSI Bundesamt für Sicherheit in der Informationstechnik (www.bsi.bund.de) veröffentlichte am 20.03.2013 die endgültige Version der BSI Richtlinie TR-03138 "RESISCAN" "Ersetzendes Scannen".

Zitat: "Die TR RESISCAN hat zum Ziel, die Lücke zwischen abstrakten und uneinheitlichen rechtlichen Anforderungen sowie der zuverlässigen technischen Realisierung des Scannens zu schließen."

Dafür wird der sattsam bekannte Scan-Prozess nun formalisiert. Nach Muster des Vorgehens bei Sozialversicherungsträgern und öffentlich-rechtlichen Kassen kommt die qualifizierte elektronische Signatur zum Einsatz. Und natürlich das Nachsignieren, weil in Deutschland die Signatur ja nicht so toll ist … Während anderen Ortes praktikable Wege beschritten werden – z.B. bei Steuer- und Handelsrecht, wo auf die elektronische Signatur bei Rechnungen verzichtet wird – kommt hier einiges an administrativem und technischem Aufwand auf die Unternehmen zu, die nach dieser Richtlinie sich des Papiers entledigen wollen.

Es geht aber nur eine vermeintliche Sicherheit: die Signatur am gescannten Dokument ist nicht die Signatur des Absenders. Bei Dokumenten, die jemand per De-Mail an das gleiche scannende Unternehmen sendet, ist sie nicht erforderlich. Dies führt zu einem unterschiedlichem Rechtscharakter in der Ablage – einerseits Scans mit Signatur, andererseits Eingangs- und Ausgangsdokumente ohne Signatur, zukünftig dazu vielleicht noch De-Mails mit Attachments. Ein qualifizierter Zeitstempel anstelle der QES und eine nachvollziehbare Protokollierung der Verarbeitungsschritte hätten beim Scannen eigentlich eine bessere Wirkung.

Nun kommt aber auch noch eine Konfiormitätsprüfung dazu. Anwender oder Anbieter von Scandienstleistungen können einen dokumentierten Nachweis darüber erbringen, dass ihre Prozesse und Systeme für das ersetzende Scannen die in der TR-03138 aufgestellten technischen und organisatorischen Anforderungen erfüllen.
Zitat; "Eine nachgewiesene Konformitätsbestätigung und ein darüber erteiltes Zertifikat des BSI kann für Vergabeverfahren vom Bedarfsträger als Leistungskriterium herangezogen werden. Neben einer Zertifizierung kommen je nach Anwendungsfall auch Eigenerklärungen von Scandienstleistern oder auch Anwendern in Betracht."

Bei DOMEA haben wir das Zertifizieren gerade abgeschafft, bei ReSiScan wird es wieder aus der Versenkung geholt.

Leider wird das Verfahren ReSiScan auch im eGovG (§ 7 EGovG-E zur elektronischen Aktenführung) sowie im geplanten E-Justiz-Gesetz für die Beweiskraft gescannter elektronischer Dokumente in § 371b ZPO-E referenziert. Damit werden sich viele an dieses unsägliche Verfahren gebunden fühlen.

Die TR-Resiscan 03138 besteht aus einem Hauptdokument und mehreren Anlagen. Das Dokument zur Konformitätsprüfung liegt noch nicht vor.

BSI Technische Richtlinie 03138 Ersetzendes Scannen
BSI Technische Richtlinie 03138 Ersetzendes Scannen – Anlage A: Ergebnis der Risikoanalyse
BSI Technische Richtlinie 03138 Ersetzendes Scannen – Anlage R: Unverbindliche rechtliche Hinweise
BSI Technische Richtlinie 03138 Ersetzendes Scannen – Anlage V: Exemplarische Gliederung einer Verfahrensanweisung

Ein Kommentar zu “BSI veröffentlicht TR-03138 RESISCAN”

ReSiScan

Holger Franke
20. Juni 2013 um 7:07

Der Einschätzung kann ich mich nur anschließen. In unserer Projektpraxis raten wir den Kunden zur abschließenden Erstellung einer Verfahrensdokumentation, die auch die manuellen Bearbeitungsschritte der Briefsendungen vor dem Scannen beinhaltet und somit den Prozess ganzheitlich beschreibt.
Der durch ReSiScan nötige Formalismus konterkariert die an anderen Stellen betriebenen Bemühungen Verfahren zur elektronischen Verarbeitung von Information zu vereinfachen.

Der Gesamtprozess der postalischen Logistikkette (inkl. eventueller hausinterner Weiterleitung geöffneter Briefsendungen / physischer Dokumente), der physischen Annahme und Weiterverarbeitung in einem Digitalisierungszentrum bis hin zur Digitalisierung selbst, ist eine sehr unternehmens-individuell handzuhabende multimodale Interaktion. Es sind viele Personen und ggf. sogar Dienstleister involviert. Eine Verfahrensdokumentation (wie oben schon geschrieben), flankiert durch klare und verbindliche Arbeitsanweisungen, ist aus meiner Sicht der bessere Weg zur Absicherung des Verfahrens.

Aus meiner Sicht ist es eher ein Vermittlungs- oder Knowhow-Problem mit den bestehenden rechtlichen Rahmenbedingungen auszukommen. Eine Konsolidierung des rechtlichen Rahmens wäre nichtsdestotrotz wünschenswert.

ReSiScan … ein Schritt in die falsche Richtung …
Antwort

Neuen Kommentar verfassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Titel *

Name *

E-Mail *

Website

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.

Ich versichere, mit meinem Kommentar alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Ich habe keine Bilder, Grafiken, Texte oder Links in meinem Beitrag verwendet, die durch CopyRight, Leistungsschutzrecht oder Urheberrecht geschützt sind. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSULT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons by-nc-nd Vorgaben gewahrt.