Navigation und Service


BSI TR-03138 "Ersetzendes Scannen (RESISCAN)"

In Verwaltung, Justiz und privatwirtschaftlichen Unternehmen (zum Beispiel im Gesundheitswesen, der Versicherungswirtschaft sowie im Steuer- und Buchführungswesen) werden im Zuge der fortschreitenden Digitalisierung zunehmend elektronische Dokumentenmanagement- und Vorgangsbearbeitungssysteme eingesetzt. Zur Umsetzung des elektronischen Rechts- und Geschäftsverkehrs mehren sich Rechtsvorschriften, die die elektronische Aktenführung zulassen oder vorschreiben. Der parallele Umgang mit Papierdokumenten ist aber nach wie vor erforderlich und wird es auch zukünftig sein, da die Digitalisierung von Altbeständen längst noch nicht abgeschlossen ist und weiterhin Neu-Eingänge in Papier erfolgen werden. Die Originale werden bislang in einer Vielzahl von Fällen weiter aufbewahrt, um ggfs. folgenreiche Konflikte mit gesetzlichen Dokumentations- und Aufbewahrungsvorschriften zu vermeiden. Gleichzeitig werden sie zur Erleichterung der internen Aktenbearbeitung häufig eingescannt. Die Aufbewahrung der Papieroriginale stellt eine hohe finanzielle und organisatorische Belastung der betroffenen Stellen dar. In rechtlicher Hinsicht bestehen – neben der in verschiedenen Rechtsgebieten sehr unterschiedlichen Regelungen zur Zulässigkeit des ersetzenden Scannens – Unsicherheiten aufgrund uneinheitlich ausgestalteter technisch-organisatorischer Anforderungen. Das Recht kann immer allenfalls abstrakte rechtliche Anforderungen stellen. Trotz zahlreicher Bemühungen, zum Beispiel im Bereich der steuerrelevanten und kaufmännischen Unterlagen, bleibt die technische Umsetzung weitestgehend dem Anwender überlassen. Aufgrund vielfältiger Scanlösungen am Markt, die bei der Umsetzung von Sicherheitsvorgaben stark variieren oder aus einer ganzheitlichen informationstechnischen Betrachtung heraus unvollständig sind, führt dies zu Unsicherheit in der praktischen Anwendung.

Die TR RESISCAN hat zum Ziel, diese Lücke zwischen abstrakten und uneinheitlichen rechtlichen Anforderungen sowie der zuverlässigen technischen Realisierung des Scannens zu schließen. Auf Basis der bereits existierenden Empfehlungen - wie zum Beispiel DOMEA, IDW-FAIT3, GdPDU und weiteren, deren Gültigkeit durch diese TR nicht beeinträchtigt wird - führt die TR entlang eines strukturierten Scanprozesses die sicherheitsrelevanten technischen und organisatorischen Maßnahmen, die beim ersetzenden Scannen zu berücksichtigen sind, zusammen. Dabei werden die Ziele der Informationssicherheit und der Rechtssicherheit gleichermaßen berücksichtigt.

Die TR dient daher zum einen dem Anwender im behördlichen und privaten Bereich zur Erleichterung der Auswahl von Scan-Lösungen, indem eine Vereinheitlichung der Anforderungen und Sicherheitsmaßnahmen angestrebt wird. Zum anderen werden Herstellern und Dienstleistern notwendige Spezifikationen an die Hand gegeben, mittels derer diese ihre Leistungen TR-konform gestalten und anbieten können.

Durch eine definierte Konformitätsprüfung können somit Anwender oder Anbieter von Scandienstleistungen einen dokumentierten Nachweis darüber erbringen, dass ihre Prozesse und Systeme für das ersetzende Scannen die hier aufgestellten technischen und organisatorischen Anforderungen nach dem jeweils gewählten Modul erfüllen. Eine nachgewiesene Konformitätsbestätigung und ein darüber erteiltes Zertifikat des BSI kann für Vergabeverfahren vom Bedarfsträger als Leistungskriterium herangezogen werden. Neben einer Zertifizierung kommen je nach Anwendungsfall auch Eigenerklärungen von Scandienstleistern oder auch Anwendern in Betracht. Die TR dient somit insgesamt als praxisorientierter Handlungsleitfaden für die Ordnungsmäßigkeit eines Scanprozesses ohne eine damit verbundene Verpflichtung zur Zertifizierung.

Schließlich wird die TR zum Beispiel für die Erfüllung des Stands der Technik im Rahmen der elektronischen Akte im gegenwärtigen Entwurf des E-Government-Gesetzes des Bundes, hier § 7 EGovG-E zur elektronischen Aktenführung sowie im geplanten E-Justice-Gesetz für die Beweiskraft gescannter elektronischer Dokumente in § 371b ZPO-E referenziert.

Hauptdokument und Anlagen

Diese TR besteht aus dem Hauptdokument (TR-Resiscan 03138) inklusive der informativen Anlage A (Ergebnis der Risikoanalyse) und der dazugehörigen normativen Prüfspezifikation für die Konformitätsprüfung (Anlage P).

Darüber hinaus beinhaltet die Anlage R unverbindliche rechtliche Erläuterungen zur Anwendung der TR, eine exemplarische Gliederung einer Verfahrensdokumentation findet sich in Anlage V. Diese beiden Dokumente besitzen lediglich informativen Charakter und dienen als Orientierungshilfe bei der Umsetzung der Empfehlungen der TR sowie zum tieferen Verständnis der rechtlichen Rahmenbedingungen.

Die Anlage V zur BSI TR-3138 Resiscan enthält zurzeit nur die wesentlichen Eckpunkte, die eine Verfahrensbeschreibung zum ersetzenden Scannen enthalten sollte. Exemplarisch wird auf die Gemeinsame Muster-Verfahrensdokumentation (PDF) des Deutschen Steuerberaterverbandes und der Bundessteuerberaterkammer zur Digitalisierung und elektronischen  Aufbewahrung von Belegen inklusive Vernichtung der Papierbelege verwiesen.

Diese beschreibt für die Buchführungs- und Aufzeichnungspflichtigen in den steuerberatenden Berufen, wie der Umgang mit digitalisierten Belegen organisiert und dokumentiert werden kann, so dass Belege nach dem Scanvorgang vernichtet werden können, ohne gegen die dort geltenden Ordnungsmäßigkeitsnormen zu verstoßen.

Download

Aktueller Hinweis

Bei der Umsetzung der TR-RESISCAN ist hinsichtlich der Auswahl geeigneter Kompressionsverfahren folgende Regelung zu beachten:

  • Beim Scannen MUSS auf die Auswahl geeigneter Bildkompressionsverfahren geachtet werden.
  • Als grundsätzlich geeignet werden sowohl verlustfreie als auch verlustbehaftete Verfahren angesehen.
  • Verfahren, die zur Bildkompression die sog. „Pattern Matching & Substitution“ - Vorgehensweise nutzen, DÜRFEN NICHT eingesetzt werden. Auch das verwandte Soft Pattern Matching DARF NICHT eingesetzt werden.

Bei ungenauem oder fehlerhaft implementiertem Pattern Matching besteht die Gefahr, dass sich das Scanergebnis semantisch (z. B. durch Vertauschung von Zeichen) vom Original unterscheidet. Selbst bei korrekter Implementierung kann die notwendige Rechtssicherheit aufgrund einer nicht sicher bestimmbaren inhaltlichen und bildlichen Übereinstimmung nicht gewährleistet werden.

Diese Regelung ist ab sofort (16.03.2015) gültig und wird mit dem nächsten Release in die Technische Richtlinie BSI TR-03138 aufgenommen.

Erläuterung „Pattern Matching & Substitution“: Bei dieser Vorgehensweise werden Textbilder in Unterbilder segmentiert, die Charaktere oder kleine Gruppen von Charakteren beinhalten. In einem weiteren Schritt, dem sog. Pattern Matching, werden diese Unterbilder zu Ähnlichkeitsgruppen zusammengefasst. Für jede Gruppe wird nur ein repräsentatives Unterbild gespeichert. Anstelle eines Abbildes des Originals wird dann nur ein Verweis auf einen Repräsentanten gespeichert, der dann für alle weiteren Abbilder verwendet wird. Beim „Soft Pattern Matching“ wird ebenfalls das Pattern Matching angewendet und Bilder durch Repräsentanten ersetzt. Hier ist die verlustfreie Wiederherstellung des Ursprungsbildes jedoch möglich, da Fehler im Vergleich zum Roh-Scan beim Enkodieren direkt mitgemessen und gespeichert werden.

Kontakt

Fachlich zuständig für die Betreuung dieser TR ist das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Bundesamt für Sicherheit in der Informationstechnik
Referat S 11 - Sicherheit in eID-Anwendungen
Postfach 20 03 63
53133 Bonn
E-Mail: resiscan@bsi.bund.de

© Bundesamt für Sicherheit in der Informationstechnik. All rights reserved