clone

18
Dez
2017

5 Jahre TR RESISCAN

Geposted von E-Signatur, ECM in der öffentl. Verwaltung, Erfassung, RechtsgrundlagenKeine Kommentare

Mit der TR 03138 „RESISCAN – Ersetzendes Scannen“ hat das BSI vor 5 Jahren (am 20.03.2013) eine technische Richtlinie veröffentlicht (und am 02.03.2017 in der Version 1.1. aktualisiert, mit nach unserer Meinung leider nur unwesentlichen Änderungen), die Anwendern bei Einhaltung der Vorgaben eine erhöhte Rechtssicherheit beim sogenannten ersetzenden Scannen bieten soll. Diese Richtlinie hat in diesen 5 Jahren für viel Ärger und kontroverse Diskussionen gesorgt, vor allem im Bereich öffentlicher Einrichtungen. Im privaten Umfeld wird die Richtlinie weitgehend ignoriert. Öffentliche Einrichtungen dagegen – und nicht nur Bundeseinrichtungen, für die das BSI Weisungskompetenzen hat – müssen sich mit der Richtlinie intensiv beschäftigen. Die TR RESISCAN hat zwar formal nur empfehlenden Charakter und ist daher nicht verpflichtend, wirkt aber als dringende Empfehlung für alle Anwender im öffentlichen Bereich und kann von der DMS-Projektleitung nicht einfach ignoriert werden, da man verstehen und begründen muss, warum man abweicht oder – falls man der Richtlinie folgt – welche Konsequenzen das hat.

Hohe Sichtbarkeit und kontroverse Diskussionen mit teilweise erschreckend niedrigem Wissensstand zu den seit 1995 geltenden Regelungen des BMF zum Thema ersetzendes Scannen.

Unter ersetzendem Scannen versteht man das Scannen von Unterlagen mit anschließender Vernichtung der Scanvorlage (Original). Grundsätzlich besteht die befürchtete Rechtsunsicherheit beim ersetzenden Scannen immer darin, dass die Verwaltung mit der Vernichtung der Originale nur noch mit elektronischen Kopien eine Beweisbehauptung führen kann, was zu einem erhöhten Verfahrensrisiko führe, vor allem bei Begutachtung strittiger Sachverhalte durch Dritte oder vor Gericht.

Hierbei sollte man aber erwähnen, dass ersetzendes Scannen eine seit Jahren geübte Praxis ist. Anwender von DMS-Lösungen in jeder Branche scannen bereits seit über 25 Jahren Papierunterlagen ersetzend und vernichten die Originale. Nebenbei bemerkt: Vor der DMS-Ära gab es das „ersetzende Verfilmen“, ohne dass man das so genannt hätte und es wurden nicht Tausende von Prozessen verloren, weil ein Original nicht mehr vorlag.

Bei ausnahmslos allen uns bekannten Projekten im öffentlichen Bereich stößt die TR RESISCAN auf erheblichen Widerstand: von massiver Kritik bis hin zu Resignation über eine weitere behördliche Innovationsbremse. Zusammengefasst sind die wesentlichen Kritikpunkte:

    1. Keine Erhöhung der Rechtssicherheit im Vergleich zu einer „normalen“ DMS-Verfahrensdokumentation
      Mit Ausnahme der steuerlichen Aufbewahrung gibt es immer die theoretische Möglichkeit, dass ein Richter (Amtsrichter, Sozialrichter, Arbeitsrichter etc.) das Original einer vorgelegten Unterlage sehen möchte, weil er der analogen oder digitalen Kopie misstraut. Das war schon zu Zeiten von Mikrofilms so, ohne dass es dessen Verbreitung verhindert hätte.
      Bei Unterlagen, die aus steuerlichen Gründen aufzubewahren sind, gibt es seit dem 7. Nov. 1995 mit den GoBS (bestätigt durch das Nachfolgedokument GoBD, die im Nov. 2014 veröffentlicht wurden) eine mehrfach wiederholte Erleichterung durch das BMF. Originale dürfen vernichtet werden, wenn zwei Voraussetzung erfüllt sind: 1. Der Anwender muss die gescannten Unterlagen in einem GoBS/GoBD-konformen System so aufbewahren, dass sie gegen unzulässige (versehentliche und absichtliche) Manipulationen geschützt sind. 2. Er muss in einer Verfahrensdokumentation darstellen, welche technischen und organisatorischen Maßnahmen für diese Schutzfunktionen zum Einsatz kommen.
      Hat er diese Bedingungen erfüllt, wird die Finanzverwaltung nicht mehr fordern, dass er Originale vorlegt. Das Vernichten ist ausdrücklich und schriftlich gestattet. Und der Anwender hat damit nicht nur die Ordnungsmäßigkeit des Erfassungsprozesses, sondern gleich für das Gesamtverfahren dokumentiert. Der Amtsrichter jedoch, der den gleichen Rechnungsbeleg im Rahmen eines Zivilrechtsstreits einsehen möchte, könnte – im Rahmen der freien richterlichen Beweiswürdigung – das Original zur Einsicht verlangen. Die TR-RESISCAN beseitigt nicht dieses – in der Praxis eher theoretische – Restrisiko, wie in mancher öffentlichen Diskussion gerne der Anschein erweckt wird. Auch die vom BSI gewählte Formulierung der „Erhöhung“ der Rechtssicherheit trifft nicht zu, wenn damit gemeint ist „höher als die bisherigen ordnungsgemäßen, GoBD-konformen Verfahren“. Ein TR RESISCAN zertifizierter Erfassungsprozess ist kein Quäntchen besser bzgl. der Frage des Originalersatzes als ein GoBD-konformer Erfassungsprozess, der das Gesamtverfahren beschreibt, während der Anwender mit einer RESISCAN-Zertifizierung sogar nur einen Teilaspekt (nur die Erfassung analoger Dokumente) abdeckt und somit nur einen kleinen Teil seiner Ordnungsmäßigkeitsanforderungen dokumentiert, das aber mit einem unverhältnismäßig hohen Aufwand.
      In der jetzigen Version wird die RESISCAN sogar zu einer deutlich erhöhten RechtsUNsicherheit führen! Es ist kein Verlass darauf, dass eine neutrale Drittprüfung (Prüfung des gleichen Sachverhaltes durch einen sachverständigen Dritten) zum gleichen Ergebnis kommt. Ursache: Viele frei wählbare Parameter wie Schutzklassen und deren Definitionen. Wann ist die Schutzklasse für ein Dokument oder den Transfervermerk HOCH oder SEHR HOCH? Die Definitionen in der RESISCAN sind sehr generisch und helfen dem Anwender nicht bei der Einschätzung. Beispiel: Die Schutzklasse HOCH ist in der TR wie folgt definiert: „Die Schadensauswirkungen sind in der Regel beträchtlich. Ein solcher Schaden führt im Regelfall zu beträchtlichen Konsequenzen für die am Geschäftsvorfall beteiligten Personen und Institutionen.“ Aber was bedeutet das konkret? Ist eine Rechnung über EUR 500 EUR NORMAL oder HOCH? Wer legt das fest? Was ist mit einem Kassenbeleg, einem eigenhändig unterschriebenen Versicherungsantrag oder ein namentlich paraphierter Auszahlungsbeleg? Kann man die nicht einfach alle auf „Normal“ setzen, um dem Signaturthema zu entgehen? Auf welcher Hierarchieebene trifft man diese Festlegung? Und wer steht dafür gerade, wenn ein Richter das anders sieht? Folgt man dem Finanzrichter Schwenkart (einer der beiden Richter, die in den DATEV-Simulationsprozessen im Hebst 2013 vierzehn Fälle für ersetzendes Scannen beurteilten sollten), so sind bereits Barbelege wegen der einfachen Manipulationsmöglichkeiten als HOCH einzustufen, unabhängig von der Höhe! Und welcher Projektleiter würde es auf sich nehmen, in einer solchen kontroversen Diskussion vereinfachend nicht mindestens HOCH als Schutzklasse zu wählen, um wenigstens sich und das Projektteam zu schützen? Oder man folgt der – wie wir finden – pragmatischen und am Alltag orientierten VITAKO-Empfehlung *1, die, für alle kommunalen Einrichtungen, alle Dokumentarten per Definition auf NORMAL setzt, beruft sich auf „Best Practice“ und hofft, dass im Streitfall ein Richter darüber urteilt, der das ähnlich sieht.
      Die TR RESISCAN enthält darüber zahlreiche technische Detailanforderungen, die man gar nicht umsetzen kann, wenn man die Texte 1:1 umsetzen will. Man ist daher gezwungen, zur Aufwandsreduzierung vereinfachend zu interpretieren (wie es die VITAKO-Empfehlung tut), geht dann aber das Risiko ein, dass eine neutrale Drittprüfung durch einen anderen Sachverständigen diese Lücken kritisiert und das Verfahren als nicht RESISCAN-konform verwirft. Im Vergleich zu seit 25 Jahren ordnungsgemäßen DMS-Lösungen entsteht hier eine dramatische Verschlechterung der Rechtssicherheit.
    2. Ein technischer Integritätsschutz gehört in die nachgelagerte Archivierung, nicht in den Erfassungsprozess. Erst wenn der QS-Prozess abgeschlossen ist, sollte das Dokument zeitnah unveränderbar aufbewahrt werden, aber nicht vorher, unter anderem weil sich häufig noch Korrekturfunktionen wie Seitentrennungen, Bildverbesserungen direkt an den Scan-Prozess anschließen.
      So hat das Bundesfinanzministerium 2012 in Umsetzung einer EU-Richtlinie entschieden, auf die elektronische Signatur bei elektronischen Rechnungen zu, wenn entsprechende andere Prüfverfahren die Integrität und Ordnungsmäßigkeit schützen. Und diese anderen Schutzverfahren gibt es mit DMS-Lösungen für jeden Geldbeutel seit über 25 Jahren. Wieso man hier seitens des BSI eine besonders in Deutschland starke Softwareindustrie schwächt, ist uns ein Rätsel. Das BSI sollte ein Interesse daran haben, auf international verkehrsfähige Lösungen statt auf exotische nationale Sonderlocken zu setzen, deren Zukunftssicherheit (und wir reden hier von Archivanwendungen mit Jahrzehnten Aufbewahrungsdauer) alles andere als sichergestellt ist.
    3. Die Verwendung kryptografischer Komponenten (Zeitstempel, Signaturen) muss sich auf diejenigen Unterlagen und Systemkomponenten beschränken, wo dies sinnvoll ist. Ohne die Mathematik der Kryptografie müssten wir uns von vielen Dingen des täglichen Online-Lebens verabschieden: Sichere Systemauthentifizierungen, Online-Zahlungsverfahren, verschlüsselte Übertragung sicherer Websites, geschützter VPN-Zugang zu Firmennetzen und vieles mehr basiert auf Kryptokomponenten. Und im Bereich der Einzelwillenserklärung, wo der Gesetzgeber noch die so genannte Schriftform verpflichtend vorschreibt, sind qualifizierte elektronische Signaturen vielleicht ein geeignetes Werkzeug. Allerdings haben sich solche Signaturen in Deutschland bei Bürgern und Endverbrauchern nicht durchgesetzt und auch im Business-to-Business-Bereich ist der Einsatz bescheiden und für die Anbieter enttäuschend, wenn man berücksichtigt, dass wir in Deutschland seit über 20 Jahren (seit 1997) mit dem Signaturgesetz die passenden rechtlichen Rahmenbedingungen zur Nutzung hatten. Um es klar zu sagen: die qualifizierte elektronische Signatur ist nach 20 Jahren sogar da grandios gescheitert, wo sie funktional und rechtlich sinnvoll wäre. Der Autor dieses Artikels hat sich die Signaturfunktion im neuen Personalausweise natürlich sofort freischalten lassen, sich den Kartenleser besorgt) aber nicht irgendeinen, es muss eine sichere Signaturerstellungseinheit sein) und bis heute nicht einen einzigen Dienst gefunden, den man nutzen könnte. Es ist ein peinliches Trauerspiel. Aber wo Signaturen aber nach unserer Überzeugung überhaupt nicht hingehören, ist der Bereich des Scannens. Da der Absender des zu scannenden Papierdokumentes nicht derjenige ist, der elektronisch signiert (signiert wird ja erst sehr viel später in der Scanstelle von einer anderen Person), ist die Funktionalität einer Signatur reduziert auf die Prüfbarkeit der Dateiintegrität ab einem bestimmten Zeitpunkt. Alle anderen Funktionselemente einer Signatur wie zum Beispiel gerichtsbelastbare Absenderbehauptung spielen keine Rolle mehr.
      Dummerweise schützt eine Signatur – entgegen häufig anzutreffender Meinung – nicht gegen Verlust oder Manipulation. Sie erlaubt ja nur – wenn die Datei nicht verloren geht – die Prüfung, ob seit dem Zeitpunkt der Entstehung ein binäres Delta entstanden ist. Das macht aber seit 25 Jahren jedes normale DMS auch und es schützt gleichzeitig – das ist wichtig! – gegen Verlust und Manipulation, was die elektronische Signatur NICHT tut. Mit anderen Worten: in einer DMS-Umgebung hat eine Signatur für Scanprozesse keinerlei Nutzen. Der einzige Aspekt wäre die so genannte Verkehrsfähigkeit: Eine Datei, die zertifikatsbasiert signiert ist, lässt sich auch auf dem PC des Richters auf Integrität prüfen und nicht nur im DMS des Anwenders. Letzteres würde man tun, wenn man die Integrität eines vorgelegten Beweises anzweifeln würde und keine dokumentinterne Prüffähigkeit (Signatur) hätte. Daher ist das praktisch kein tragfähiges Argument. Sollte aber der Richter die Prüfung eines signierten Dokumentes vornehmen, würde er bestenfalls feststellen, dass seit dem Zeitpunkt, an dem der Scanmitarbeiter signiert hat, eine Datei nicht mehr verändert wurde. Ob das, was der Scanmitarbeiter signierte, dem Original entsprach, welches Stunden, Tage oder Monate vorher in der Poststelle einging, geht daraus natürlich nicht hervor.
      Der verfügbare Platz in diesem Artikel ist zu knapp, um die zahlreichen Nachteile zu beschreiben, die man sich einhandelt, wenn man Scans signiert. Die Anwender im Sozialversicherungsumfeld, die nach § 110 SGB genau dies tun müssen, können ein Lied davon singen. Hier werden beispielsweise Mehrseiten-PDF als Einzel-PDFs einzeln signiert abgelegt und eine proprietäre Anwendung muss dann die Mehrseitigkeit wieder herbeiführen, damit eine spätere Seitenstrukturkorrektur vorgenommen werden kann. Man kann ja nicht das gesamte PDF signieren und danach die Seitenreihenfolge korrigieren, weil dann die Signatur gebrochen wäre. Jegliche binäre Änderung (Annotation im Dokument statt extern) führt zum Bruch der Signatur. Unserer festen Überzeugung nach gehören Signaturen und insbesondere die Variante der qualifizierten Signatur nicht in die Scanstrecke. Sie bringen keine erhöhte Rechtssicherheit, sie schützen nicht gegen Manipulation und Verlust (für beides benötigt man dann doch wieder ein DMS), sie machen die Verfahren komplex und verursachen proprietäre Dokumentstrukturen, die im Migrationsfall dann wieder mit hohem Aufwand umformatiert werden müssen. Ausnahmen wären notariell beglaubigte digitale Kopien von Ausweisen etc. Aber das macht nicht mal ein Promille der Scan-Anwendungen aus. Dies können beispielsweise solche Unterlagen sein, die bei Eingang in die Behörde bereits digital signiert oder kryptografisch geschützt sind (eingehende Unterlagen mit QES etc.). Andere Unterlagen, die analog oder elektronisch, aber unsigniert, „geboren“ werden, können in einem DMS oder in anderen Verfahren aufbewahrt werden, die einen prüfbaren Schutz (= revisionsfähig) gegen unzulässige Manipulation aufweisen. Dies können, müssen aber nicht zwangsläufig, kryptografische Komponenten sein.
    4. Die Fehlerursachen sitzen nicht immer VOR dem Scanner, und können daher durch kryptografische Verfahren beseitigt werden, die alle während oder nach dem Scanzeitpunkt wirken. Wir sind der feste Auffassung, dass die Verwendung kryptografischer Verfahren beim Scanning von Papierdokumenten keinerlei höheren Beweiswert erbringt, zumal
      • eine Manipulation der Dokumente eher vor dem Scannen stattfinden würde, weil da die Dokumente noch viel einfacher zugänglich sind. Daher würden in der Praxis Dokumente kryptografisch technisch korrekt geschützt, die vorher bereits manipuliert wurden.
      • die Signierung durch einen Scan-Operator erfolgt, der von der anschließenden Sachbearbeitung wenig bis gar keine Kenntnisse besitzt und daher auch nur die Physik der Dokumente, nicht aber ihre fachliche Korrektheit prüfen kann. Ein fachkundiger Mitarbeiter (darf auch in der Scan-Stelle sitzen, sitzt aber häufig in den nachgelagerten Proessschritten) ist in der Lage, Dokumentstapel in Einzeldokumente zu trennen, Werbung von relevantem Inhalt zu trennen. Es kommt daher sehr häufig durch fachlich/sachliche Prüfung zu Änderungen am Dateiobjekt und das MUSS AUCH SO SEIN, wäre aber durch ein Signieren in der Scan-Strecke nicht mehr möglich, weil jede Änderung die Signatur brechen würde
      • Scan-Mitarbeiter bei der Qualitäts-/Bildprüfung häufig nur Stichproben durchführen und dann nur „angenommen“ wird, dass eine korrekte 1:1-Abbildung aller Seiten im Stapel erfolgte. Bei den typischen Stichproben-Sichtkontrollen werden daher nur 2-10% der Dokumente gesichtet, aber alle werden mit der Karte des Scan-Mitarbeiters qualifiziert signiert. Eigentlich wird hier nur die Übereinstimmungsbehauptung eines Scan-Mitarbeiters „Habe ich gesehen, sieht ok aus“ signiert und zum Dokument verknüpft. Denkt eigentlich irgendjemand mal über diesen Unsinn nach bevor er zur nicht ignorierbaren Verwaltungsanweisung für Tausende öffentlicher Einrichtungen wird?
    5. Die TR RESISCAN tangiert nur den kleiner werdenden Aspekt Erfassung analoger Dokumente. Der Anteil elektronisch geborener und abgelegter Dokumente inkl. E-Mail steigt drastisch und die RESISCAN deckt diesen Bereich – im Unterschied zu einer normalen DMS-Verfahrensdokumentation – überhaupt nicht ab, genauso wenig wie den eigentlichen Betrieb der Archivlösung. Das Ergebnis ist absurd: Die RESISCAN deckt nur einen sehr schmalen Teil einer DMS-Lösung ab, aber das zu einem mehrfachen Aufwand im Vergleich zu einer umfassenden Gesamtsystem-Verfahrensdokumentation, die Anwender seit über 20 Jahren erstellen und für die es zahlreiche erprobte Vorlagen und Beispiele gibt.

    1. Das Thema Aufwand ist auch ohne das Thema BSI-Grundschutz (auf den in der TR RESISCAN an Dutzenden Stellen verwiesen wird) ein zentraler Kritikpunkt, der auch für die Version 1.1 immer noch gilt. Zentrale Begriffe (Bsp.: „Strukturanalyse“) werden nirgendwo erläutert: weder in der RESICAN, noch in den begleitenden Dokumenten. Wissen Sie, was ein „bereinigter Netzplan?“ ist. Diesen Begriff aus dem IT Grundschutz kennt nicht mal Wikipedia. Man muss also den IT Grundschutz zur Lektüre heranziehen, sonst versteht man die Intention der RESISCAN-Autoren nicht. Ist dem KMU DMS-Projektleiter klar, dass mit bereinigter Netzplan auch die Kommunikationsverbindungen innerhalb und außerhalb der Scan-Station gemeint sind? Also die Verbindung von Scan-Cache zu Workstation? Und woher nimmt er das Wissen, wie diese Leitungen und Protokolle spezifiziert sind? Das alles kann er nicht wissen, weil dieses Wissen in anderen Dokumenten verborgen ist, auf die man von alleine nicht kommt? In diesem Fall die nur „informativen“ Anlagen zur Risikoanalyse (Anlage A).


Quelle: Informative Anlage A zur RESISCAN, Kommunikationsverbindungen eines „typischen Scansystems“ nach Auffassung des BSI

Aber was passiert dann bei einer Prüfung, wenn ein bezahlter Grundschutz-Prüfer diese Interpretations-Lücken identifiziert? Was ist, wenn man nicht jeden Kommunikationsweg im Scanner oder der Scan-Station dokumentiert hat? Wer gibt das OK für „Das ist nicht soooo wichtig“? Wie kann der Projektleiter wissen, dass der Prüfer solche Interpretationen nicht als Mangel qualifiziert?

Vielleicht sollte das BSI im Interesse der Anwender (also der eigentlichen „Kunden“ des BSI) dafür sorgen, dass dieses Insiderwissen in der Allgemeinheit und mit praktischen Beispielen verbreitet wird, sonst ist es nur teures Exklusivwissen aus dem Maschinenraum des BSI IT-Grundschutzes und solide Basis für das Business-Modell von Berufszertifizierern.

Hier MUSS das BSI nach unserer Meinung die Perspektive der umsetzenden Unternehmen einnehmen und nicht den Interessenskonflikt in Kauf nehmen, dass man einerseits eine komplexe Richtlinie erstellt, die man nur selbst am besten versteht und deren Einhaltung dann – für eine nicht unerhebliche Gebühr selbstverständlich – auch noch selbst zertifiziert.

Eine Richtlinie sollte die geforderte Ordnungsmäßigkeit darstellen und gleichzeitig in den Unternehmen so einfach wie möglich umzusetzen sein (Unserer Meinung nach vorbildlich: GoBD). So könnte man Digitalisierung beschleunigen und nicht ausbremsen, wie es derzeit passiert.

Leitlinie beim Formulieren der TR-Texte sollte daher immer sein: Kann der Projektleiter einer kleineren, kommunalen Einrichtung den Text verstehen und umsetzen, ohne externe Hilfe in Anspruch nehmen zu müssen und das mit moderatem Aufwand und ohne Inanspruchnahme Externer? Die derzeitige TR RESISCAN ist das genaue Gegenteil, die Änderungen der Version 1.0 zu 1.1. sind hier nur kosmetisch und ändern nichts an diesem Grundübel. Unverständlich in der Sprache durch Verwendung von Begriffen aus dem Grundschutz-„Maschinenraum“ und Dutzende Verweise auf Grundschutzmodule und andere Dokumente, die die begriffsbildenden Erläuterungen tragen und ohne deren Kenntnis sich die Inhalte nicht erschließen können.

  1. Behinderung des DMS-Marktes und der kleinen und mittelständischen Anbieter und Anwender
    Aus unserer Sicht konterkariert die TR RESISCAN die bisherigen Fortschritte bei der Ausbreitung papierloser Prozesse in Deutschland (wir sind das Land mit den meisten DMS-Herstellern und Zehntausenden erfolgreicher DMS-Projekte aus der VOR-RESISCAN-Zeit) und damit unter anderem auch die dringendst notwendige Beschleunigung der E-Government-Projekte auf allen Ebenen der öffentlichen Hand. In vielen Projekten führt die Unsicherheit zu einer Projektlähmung und – wenn man das Thema angeht – zu einem hohen Aufwand ohne Gegenwert. Statt die papierlosen Prozesse zu fördern, wurden Projekte ausgebremst ohne erkennbaren Nutzen für die Beteiligten.
    Das ist keine dunkle Vorahnung, sondern konkrete Erfahrung aus aktuellen öffentlichen Projekten sowohl auf Bundesebene als auch – und das ist noch viel schlimmer – auf kommunaler Ebene, wo man schlichtweg nicht die Ressourcen hat. Dort hat man nicht die Budgets und das Know-how mancher Bundesbehörde, die erforderlich sind, um sich das 160-Seiten Gesamtwerk (ohne die mitgeltende Definition aus Grundschutz und Common Criteria) zu erarbeiten, ein RESISCAN-Projekt personell auszustatten und dann noch in die Zertifizierungsphasen zu gehen. Und ab Schutzbedarf „Hoch“ alle 36 Monate! (Kapitel A.AM.G.3 „Pflicht zur regelmäßigen Auditierung“) Hier widerspreche wir ganz entschieden der Aussage des BSI, der Aufwand sei moderat. Das ist er NICHT! Er ist massiv, er bringt keine erhöhte Rechtssicherheit im Vergleich zur „normalen“ DMS-Verfahrensdokumentation, die seit 25 Jahren Best Practice sind. Hier wird ein eigener Markt für Berufszertifizierer geschaffen. Es ist eine sich selbst dienende Bürokratie, ohne Nutzen für Verwaltung oder Bürger.
    Den Lesern im kommunalen Bereich empfehlen wir daher die VITAKO-Empfehlung, die mit einem pragmatischen Ansatz (per Definition gibt es keine Schutzbedarfskategorie „HOCH“ oder „SEHR HOCH“) helfen kann, den Aufwand zu reduzieren. Zwar hat man immer noch „nur“ das Thema Papiererfassung abgedeckt, hat aber das Thema Kryptografie in der Scanstrecke per Definition der Schutzklasse elegant umschifft und darf sich dabei auf „Best Practice“ von Dutzenden kommunaler Kollegen berufen, die an der Empfehlung mitgearbeitet haben.

Aber vielleicht sehen wir das zu aufgeregt. Vielleicht muss man einfach nur noch ein bisschen warten und die TR-RESISCAN, ebenso wie die qualifizierte Signatur oder De-Mail erledigen sich durch weiteres, konsequentes Ignorieren des Marktes von selbst. Genau das scheint derzeit für alle drei Themen der Fall zu sein. Das Problem dabei ist: die Gründe, warum man diese Themen angegangen hat, sind nach wie vor vorhanden: Unsicherheit beim ersetzenden Scannen, die gerichtsbelastbare elektronische Unterschrift und eine E-Mail-Infrastruktur, die jedermann und jeder Behörde die einfache verschlüsselte Kommunikation erlaubt.

Wir sind neugierig auf praktische Erfahrungen am Markt. Haben Sie gute oder schlechte Erfahrungen mit der Resiscan gemacht? Gerne können Sie uns eine Mail an resiscan@zoeller.de mit Ihren Erfahrungen schicken. Vertraulichkeit ist selbstverständlich.

*1 „Leitlinie zum ersetzenden Scannen in Kommunen nach TR RESISCAN“. Herausgeber: Landkreis Breisgau-Hochschwarzwald, KGSt, VITAKO, April 2017