Foto: SRZ Berlin
Kann ein in Papierform vorhandenes Dokument eingescannt und dann vernichtet werden? Diese Frage lässt sich nicht pauschal beantworten. Um ganz sicher zu gehen, werden die Papierdokumente häufig weiterhin vorgehalten und archiviert. Die dabei entstehenden Prozess- und Infrastrukturkosten sind immens.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat es sich zur Aufgabe gemacht, ein Regelwerk aufzustellen, um den Anwendern eine gewisse Sicherheit zu verschaffen. Dieses hat die etwas sperrige Bezeichnung "TR-03138 Ersetzendes Scannen (Resiscan)". Mit dieser technischen Richtlinie soll laut BSI die "Lücke zwischen abstrakten und uneinheitlichen rechtlichen Anforderungen sowie der zuverlässigen technischen Realisierung des Scannens" schließen.
TR-Resiscan entzünden sich aktuell zum Teil hitzige Debatten. Kritiker bemängeln den hohen Aufwand und halten einzelne Maßnahmen - wie den Einsatz einer elektronischen Signatur für kontraproduktiv und überflüssig.
Mehr Sachlichkeit in der Debatte
Hans-Joachim Hübner, Spezialist für digitale Dokumentenerfassung beim Satz-Rechen-Zentrum (SRZ) in Berlin, plädiert für mehr Sachlichkeit und eine pragmatische Herangehensweise. Er bewertet es als positiv, dass mit TR-Resiscan erstmals der Versuch unternommen wurde, organisatorische, verfahrensspezifische und technische Voraussetzungen für das ersetzende Scannen in einer Richtlinie zu bündeln und motiviert zu "mehr Mut zum Digitalisieren und Wegwerfen". Beim ersetzenden Scannen ist die Vernichtung des Papieroriginals möglich, da das Vorgehen die Beweiskraft des digitalisierten Dokuments beispielsweise vor Gericht erhöht. In einer Simulationsstudie zum ersetzenden Scannen, die die Datev in Zusammenarbeit mit der Universität Kassel durchgeführt hat, wurde jedes digital erzeugte Dokument als Beweisstück angenommen.
Die technische Richtlinie geht teilweise deutlich über bisherige Bestimmungen hinaus. "Ein Beispiel ist die detaillierte Protokollierung aller Tätigkeiten und Vorgänge beim Digitalisieren und der so genannte Transferlog. Dabei muss der komplette Prozessablauf, wie ein Papierdokument in eine elektronische Form gebracht wurde, dokumentiert und unter Umständen digital signiert und mit dem Dokument verknüpft abgelegt werden", erklärt Hans-Joachim Hübner.
Kaum Einsatz in der freien Wirtschaft
Foto: SRZ Berlin
Generelle Einsatzszenarien sieht er überall dort, wo ein erhöhter Anspruch an die Beweiskraft eines Dokuments vorausgesetzt wird. "Geradezu ersehnt wurde die Richtlinie durch Vertreter des Gesundheitssektors. Hier geht es vor allem um die Befund- und Behandlungsdokumentation, die sehr lange aufzubewahren ist". Zudem werde TR-Resiscan in der öffentlichen Verwaltung und im Justizwesen eine wichtige Rolle spielen. So tauche die Richtlinie gerade in den ersten öffentlichen Ausschreibungen auf, wo Resiscan-konforme beziehungsweise Resiscan-zertifizierte Scankomponenten gefordert werden.
Dagegen erwartet Hans-Joachim Hübner, dass die Richtlinie in Unternehmen der freien Wirtschaft nur in kleinem Umfang zum Einsatz kommt. Denn solange die Anwendung nicht verpflichtend vorgeschrieben ist, werden die Unternehmen Kosten-Nutzen-Aspekte sehr genau abwägen.
Nicht über das Ziel hinaus schießen
Am Anfang jedes TR-Resiscan-Projekts sollte nach Ansicht Hübners immer eine Analyse des Schutzbedarfs und des Gefährdungsrisikos der zu verarbeitenden Dokumente stehen. Daraus ergeben sich dann Antworten auf die Fragen, welche Verfahren anzuwenden sind, wie stark die Prozesse abzuschirmen und zu reglementieren sind und welcher Arbeitsumfang in die Qualitätssicherung zu stecken ist. Dazu zählen unter anderem die Abschirmung von Netzen oder der Einsatz kryptographischer Maßnahmen und digitaler Signaturen. "Allerdings sollte man nicht über das Ziel hinaus schießen und die Aufwände in einem vertretbaren Rahmen halten", gibt Hübner zu bedenken.
Software-Anbieter oder Dienstleister werden trotzdem nicht daran vorbeikommen, ihre Lösungen in Richtung TR-Resiscan zu erweitern. Hübner arbeitet derzeit beispielsweise an einem speziellen TR-Resiscan-Modul für die Digitalisierungssoftware Crosscap. Dieses soll dann alle Richtlinien-relevanten Prozessinformationen dokumentieren und in der Lage sein, diese Informationen auch verschlüsselt und signiert an nachfolgende Systeme zu übergeben.
Mit Material von Jürgen Neitzel, Neitzel Communications.