Ersetzendes Scannen nach der TR-Resiscan

Jede Behörde und jedes Unternehmen kennt den Aufwand, der mit der langfristigen Aufbewahrung, Sicherung und Archivierung von Papierunterlagen verbunden ist. Studien gehen davon aus, dass im Durchschnitt jede Seite, die über 20 Jahre verwaltet wird, um die 90 Cent Kosten verursacht. Dennoch ist der Erhalt des originalen Dokuments in vielen Fällen gesetzlich vorgeschrieben. Trotzdem suchen die Fachleute nach Möglichkeiten, mit denen eine Digitalisierung der Unterlagen so durchzuführen ist, dass das Originaldokument im Anschluss vernichtet werden kann. Man spricht in diesem Zusammenhang vom “Ersetzenden Scannen”. Das Bundesamt für Sicherheit in der Informationstechnik hat dazu vor einigen Jahren eine Technische Richtlinie erlassen, die alle Bedingungen erfasst, die hierfür erfüllt sein müssen. Seither stellt diese Richtlinie mit dem Kürzel BSI TR 03138 RESISCAN einen Leitfaden auch für externe Dienstleister wie das Dokuhaus dar, die mit solchen Aufträgen betraut werden.

Voraussetzungen für das Ersetzende Scannen

Jeder Kunde, der sich mit dem Gedanken an das Ersetzende Scannen trägt, sieht sich in der Pflicht, drei wesentliche Voraussetzungen zu klären. Ist er erstens berechtigt das betreffende Dokument scannen und digitalisieren zu lassen? Lässt sich zweitens mit dem Ersetzenden Scannen der Beweiswert des entsprechenden Dokuments aufrechterhalten und darf drittens das Originaldokument im Anschluss überhaupt vernichtet werden? Man kann davon ausgehen, dass Dokumente wie zum Beispiel notarielle Beglaubigungen oder rechtlich bindende Verträge jedenfalls im Original aufgehoben werden sollten, aber für viele Dokumentenarten sind diese Fragen nicht allgemeingültig geklärt. Das Bundesministerium für Finanzen hat zwar schon 2014 “Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff” (GoBD) erlassen, die spätestens mit dem 1.1.2017 rechtlich verbindlich gelten. Die hierin enthaltenen Vorschriften für eine ordnungsgemäße Buchhaltung in IT-Form betreffen allerdings nur die Arten von Dokumenten und Unterlagen, die von einer steuerlichen Relevanz sind.

Weitere Dokumentenarten

Darüber hinaus gibt es freilich eine große Zahl weiterer Dokumentenarten, die zum Beispiel im Falle eines Gerichtsverfahrens aufgrund angeblicher ärztlicher oder technischer Fehlleistungen als Beweismittel zur Vorlage kommen können. Sobald von anwaltlicher oder richterlicher Seite Zweifel am Beweiswert einer Unterlage entstehen, die nur noch in digitaler Form vorhanden ist, sollte in möglichst einfacher Weise Rechtssicherheit hergestellt werden können. Nach der rechtlichen Grundauffassung ist ein einfach gescanntes Papier in digitaler Form zunächst einmal keine Urkunde oder ein rechtlich gültiges Dokument, wenn bei dessen Erzeugung nicht nach allgemein verbindlichen Grundsätzen vorgegangen wurde.

Zertifizierte Durchführung des Ersetzenden Scannens durch dokuhaus

Daher bieten wir allen interessierten Kunden unsere entsprechenden Dienstleistungen streng auf Grundlage der in der TR 03138 RESISCAN beschriebenen Verfahren und Richtlinien an. Zu diesem Zweck haben wir nach Durchführung aller in der TR vorgeschrieben Maßnahmen einen Antrag auf Zertifizierung beim BSI gestellt, dem nach gründlicher Prüfung und Abgabe eines Prüfberichts durch einen anerkannten Auditor stattgegeben wurde. Als offiziell zertifizierter Dienstleister sehen wir uns in der Lage das Ersetzende Scannen für Dokumentarten mit dem Schutzbedarf “normal”, “hoch” und “sehr hoch” durchzuführen.

Die grundsätzliche Vorgehensweise beim Ersetzenden Scannen

Die in der TR Resiscan erfassten Vorgehensweisen zur Prüfung der verwendeten IT-Struktur und der zu ergreifenden Schutzmaßnahmen sind modular aufgebaut, um den jeweiligen Schutzbedarf leichter abbilden zu können und je nach Klasse entsprechend prüfen lassen zu können. Neben der Sicherheit der eingesetzten technischen Geräte und Netzwerke umfassen die Maßnahmen vor allem die Vorbereitung der jeweiligen Dokumente, die exakte Dokumentation aller während des Scanvorgangs unternommenen Schritte und möglicher Änderungen der technischen Einstellungen sowie die Nachbereitung der digitalen Erzeugnisse in Bezug auf qualifizierte Signaturen. Generell ist das gesamte Vorgehen auf die drei übergeordneten Ziele der Einhaltung der Integrität, Vertraulichkeit und Verfügbarkeit der Dokumente auszurichten.

Bestandteile und Bausteine des Ersetzenden Scannens

Die für die Einhaltung aller drei Schutzbedarfsklassen entscheidenden Bausteine bei der Durchführung des Ersetzenden Scannens entsprechen den zur Ablegung der Konformitätsprüfung und zur Erteilung einer entsprechenden Zertifizierung zu prüfenden Aspekten beim externen Dienstleister.

Schulung und Sensibilisierung
Alle mit der Durchführung betrauten Mitarbeiter haben entsprechende Schulungen in Bezug auf Dokumentenmanagement und IT-Sicherheit durchlaufen und Vertraulichkeitserklärungen unterzeichnet.

Grundlegende IT-Sicherheitsmaßnahmen
Alle eingesetzten Geräte und Programme zur Durchführung der Scan-Vorgänge, des Dokumentenmanagements und der nötigen Verschlüsselung werden regelmäßig überprüft und gewartet. Sie erfüllen höchste Sicherheitsansprüche.

Verfahrensdokumentation
Wir arbeiten nach einem strengen Prozessmanagement. Dazu gehört die exakte zeitliche Dokumentation aller vorgenommenen Arbeitsschritte und Maßnahmen wie auch die Erfassung möglicher Critical Incidents.

Sorgfältige Dokumentenvorbereitung
Dazu gehört ebenso die genaue Protokollierung der Dokumentenübergabe wie der gesicherte Transport der Dokumente in unsere Räume. Weitere Schritte umfassen die Sichtung der Dokumente insbesondere auf beigefügte Anhänge wie Notizen sowie die sorgfältige Entfernung möglicher Fremdkörper wie Heftklammern und ähnliches.

Geeignete Erfassung der Dokumente und Metadaten
Zum eigentlichen Scanvorgang sorgt eine spezielle Software für die Erfassung der Dokumente in einem gesonderten Segment des Dokumentenmanagementsystems. Hierbei werden Metadaten erzeugt, die auf Wunsch des Auftraggebers auch auf organisationseigene Grundsätze angepasst werden können.

Qualitätssicherung
Der gesamte Prozess ist mit Prüfschnittstellen strukturiert, in denen jeweils Prüfschritte zur Qualitätssicherung des Vorgangs installiert sind und bei Abweichungen Meldungen erzeugen und dokumentieren.

Transfervermerk
Jeder während des Prozesses vorgenommene Transfer von Dokumenten bzw. Daten wird nachvollziehbar protokolliert.

Protokollierung und Auditierung
Der gesamte Prozess und alle hierbei eingesetzten Geräte, Programme, das Netzwerk und die Module für Datenspeicherung, -sicherung und -transport sind nachvollziehbar abgebildet und jederzeit auditierbar.

Empfehlung zum Einsatz kryptographischer Mechanismen
Je nach Schutzbedarf der gescannten Dokumente und deren Inhalte kommen anerkannte Verschlüsselungsmaßnahmen zum Einsatz.

Eigenständiges Netzsegment
Das für den Vorgang eingesetzte Netzsegment ist prinzipiell gegen äußere Einflüsse abgeschottet bzw. von Vornherein nicht datentechnisch zu erreichen.

Besondere Kennzeichnung der Dokumente
Je nach Schutzbedarf der Dokumente können wir qualifizierte Signaturen erzeugen und anwenden.

Erweiterte Qualitätssicherung
In regelmäßigen Abständen werden alle am Verfahren beteiligten Programme, Geräte, Maßnahmen und Prozesse einer unabhängigen Prüfung unterzogen und abschließend dokumentiert.

Selbstverständlich ist die gesicherte und ordnungsgemäße Vernichtung der Dokumente nach dem Ersetzenden Scannen ein fester Bestandteil im gesamten Prozess.

dokuhaus unterstützt Sie gerne!

Bitte nehmen Sie jederzeit Kontakt zu uns auf. Wir freuen uns darauf, Ihnen in einem Gespräch unsere Dienstleistung zu erläutern und alle in diesem Zusammenhang entstehenden Fragen mit Ihnen zu klären. Gerne beraten wir Sie bei der vorzunehmenden Analyse des Schutzbedarfs Ihrer Dokumente.