TR-RESISCAN: Ersetzendes Scannen wird kontrovers diskutiert
Letzte Woche hat auf der Messe IT & Business in Stuttgart, die sich als "Fachmesse für digitale Prozesse und Lösungen" den Themen rund um Customer Relationship Management (CRM) und Enterprise Content Management (ECM) widmet, eine moderierte Podiumsdiskussion mit ECM Anbietern und Dienstleistern zum Thema Ersetzendes Scannen nach TR-RESISCAN: Rechtssicherheit beim Scannen für alle oder Hemmnis für die Digitalisierung? stattgefunden.
Eine kurze Einführung in den Inhalt und Aufbau der technischen Richtlinie RESISCAN (TR-03138), die durch das Bundesamt für Sicherheit in der Informationstechnik herausgegeben wurde, finden Sie in unserem Artikel Mit TR RESISCAN vom Posteingang zur beweiswerterhaltenden Aufbewahrung.
Ansicht des Scanprozesses sowie der Basis- und Aufbaumodule nach TR RESISCAN
Die wichtigsten Punkte der Diskussion, die die Praktikabilität der TR-RESISCAN in Frage gestellt hat, lassen sich aus meiner Perspektive wie folgt zusammenfassen:
- Eine Regelung zum ersetzenden Scannen gibt es bereits seit 1995 durch ein Schreiben des Bundesfinanzministeriums (BMF-Schreiben IV A 8-S 0316-52/95). Ersetzendes Scannen ist also keine neuartige Problemstellung.
- Die Technische Richtlinie RESISCAN wurde im eGovernment Gesetz bestätigt. RESISCAN wird als aktueller Stand der Technik referenziert.
- Eine Abweichung vom referenzierten Stand der Technik wird durch das Gesetz durchaus erlaubt, wenn eine geeignete Begründung vorliegt, wieso die gewählte Alternativlösung gleichwertig oder besser ist. Allerdings ist es sehr unwahrscheinlich, dass ein IT-Leiter den empfohlenen Pfad des BSI verlässt.
- Die Richtlinie ist in der jetzigen Form unter wirtschaftlichen Aspekten nicht praktisch umsetzbar.
- Beispiel: Ein Beleg über ein Parkvergehen in Höhe von 10€ wird durch eine Stadtverwaltung bereits in Schutzstufe "hoch" klassifiziert.
- Die Richtlinie RESISCAN erhöht die Rechtssicherheit nicht mehr als es normale Erfassungsprozesse bereits tun. Die Datenintegrität wird ebenso durch das nachgelagerte Dokumentenmanagementsystem oder Archiv gewahrt.
- Als Alternativvorschlag wurden die "Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff" (GoBD) genannt, die sich mit Checklisten leicht prüfen lassen.
- Dieser Vorschlag würde einer RESISCAN ohne aufwändige qualifizierte elektronische Signatur entsprechen.
- Scannen ist nur ein Teil des Problems. Der papierbasierte Posteingang entspricht nur einem kleinen Teil des gesamten Informationseingangs von Unternehmen oder Verwaltungseinheiten. Es sollte eine allgemeine Organisationsrichtlinie zum Input Management geschaffen werden.
- Es existiert aktuell nur ein zertifizierter Dienstleister, der als Signatursoftwareanbieter logischerweise von dem Verfahren profitiert.
- Eine Version 1.1 ist aktuell im Entwurf, die z.B. die Anforderung der qualifizierten elektronischen Signatur für den Transfervermerk entfernt.
Wenn Sie die Meinungen der Redner gerne selbst erleben möchten, finden Sie die vollständige Diskussion (ca. 50 Minuten) auf YouTube: