Die korrekte Bezeichnung dieser Technischen Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik ist TR 03138. Die Bezeichnung RESISCAN deutet als einfach merkbares Wort auf den Anspruch der TR hin, dass nämlich hiermit eine Leitlinie für „rechtssicheres“ im Sinne von „rechtlich vertrauenswürdiges“ ersetzendes Scannen verfügbar sei.

Die aktuelle Version 1.0 wurde am 20.3.2013 auf der BSI Website veröffentlicht. Zur TR RESISCAN gehören das eigentliche Kerndokument sowie 5 normative oder informative Anlagen.

Die TR entstand, weil viele Anwender außerhalb der kaufmännischen Aufbewahrung trotz Digitalisierens von Papier die Originaldokumente noch behalten. Nur im kaufmännischen Bereich ist die Vernichtung der Originale bei ordnungsgemäßer elektronischer Aufbewahrung der Dokumentation des Verfahrens seit Jahren gängige Praxis und seit der GoBS 1995 auch wiederholt von der Finanzverwaltung schriftlich legitimiert, so auch seit November 2014 durch die GoBD (Nachfolgedokument zu GoBS und GDPdU). Außerhalb dieser handels- und steuerrechtlichen Aufbewahrungsregeln bestehen für viele Anwender Unsicherheiten, ob und wenn ja, wann Originale vernichtet werden können. Diese Lücke sollte die TR RESISCAN schließen. Die aktuelle Version der TR RESISCAN wird jedoch am Markt sehr kontrovers diskutiert, da die Erfüllung für viele Anwender mit deutlich erhöhten Anforderungen verbunden wäre, die weit über das hinausgehen, was beispielsweise die Finanzverwaltung von den Unternehmen verlangt. Unsere Meinung zur TR RESISCAN können Sie hier im ECM-Blog nachlesen.

Folgender Text wurde am 20. November 2015 per E-Mail an die Projektleitung der TR 03138 (TR RESISCAN) geschickt, verbunden mit der Hoffnung, dass das BSI diese Kritikpunkte bei einer Überarbeitung berücksichtigt.

Die Liste der Unterzeichner am Ende des Aufrufs ist nicht final, sondern das Ergebnis einer ersten kollegialen Umfrage, ohne Anspruch auf Repräsentanz. Jedes DMS-Anwender- oder Anbieterunternehmen kann sich gerne auf die Liste setzen lassen. In diesem Fall schicken Sie bitte eine E-Mail an info[at]zoeller.de mit Nennung von Vorname/Nachname/Funktion des Unterzeichners und der korrekten Firmierung. Privatpersonen werden wir nicht auf die Liste setzen.

==

An das Bundesamt für Sicherheit in der Informationstechnik
Projektleitung TR RESISCAN (TR 03138)

Sehr geehrte Damen und Herren

In der Sitzung des BITKOM AK Standards am 23. September 2015 in Frankfurt am Main wurde vom BSI die Meinung vertreten, die aus diesem Kreis vorgetragene Kritik an der TR RESISCAN wären immer nur die gleichen Einzelstimmen, das BSI habe dagegen eine andere Wahrnehmung. Dies sehen die Unterzeichner dieses Schreibens anders. Wir sehen vielmehr bei einer großen Vielzahl von Anbietern, aber – was noch viel wichtiger ist – bei einer Vielzahl von Anwendern aus dem öffentlichen und privaten Bereich und unabhängig von der Größe der Organisation – von Bundesbehörden bis zu kommunalen Einrichtungen – massive Kritik durch Nachteile und Behinderungen der seit 25 Jahren erfolgreichen Projektarbeit in papierlosen Prozessen und ordnungsgemäßer elektronischer Ablage und Archivierung. Gerade bei den uns bekannten Projekten im öffentlichen Bereich stößt die TR RESISCAN auf erheblichen Widerstand: von massiver Kritik bis hin zu Resignation über eine weitere behördliche Innovationsbremse.

In Deutschland bieten Dutzende von Anbietern aus dem In- und Ausland seit über 20 Jahren Lösungen für die elektronische Ablage und Archivierung von Dokumenten an. In Tausenden von Installationen haben sich diese Lösungen bewährt und die alten analogen Verfahren abgelöst. In Deutschland hat sich ein im internationalen Vergleich sehr erfolgreicher Markt entwickelt, der Angebote für jedes Budget und jede Branche bietet. Wir würden sogar so weit gehen und behaupten, dass die Angebotsvielfalt auf dem deutschen Markt international einmalig ist.

Wesentliche Triebfedern für diese äußerst positive Entwicklung waren die innovationsfördernden regulatorischen Rahmenbedingungen. Ersetzendes Scannen ist in vielen Bereichen durch Verwendung solcher ECM-Lösungen und durch die dokumentierte Ordnungsmäßigkeit des Gesamtverfahren anerkannte Best-Practice und in einigen Bereichen sogar behördlich schriftlich legitimiert (AO, GoBS seit 1995, gleichlautend GoBD seit Nov. 2014).

Aus unserer Sicht konterkariert die TR RESISCAN die bisherigen Fortschritte bei der Ausbreitung papierloser Prozesse und damit unter anderem auch die dringendst notwendige Beschleunigung der E-Government-Projekte auf allen Ebenen der öffentlichen Hand.

Die wesentlichen Kritikpunkte haben wir nachfolgend aufgeführt.

1. Ein technischer Integritätsschutz gehört in die nachgelagerte Archivierung, nicht in den Erfassungsprozess. Erst wenn der QS-Prozess abgeschlossen ist, sollte das Dokument zeitnah unveränderbar aufbewahrt werden, aber nicht vorher. Aus analogen Beweggründen hat auch das Bundesfinanzministerium 2012 entschieden, auf die elektronische Signatur beim Austausch elektronischer Rechnungen verzichten zu können, wenn entsprechende interne Prüfverfahren die Qualität sichern.
2. Die Verwendung kryptografischer Komponenten (Zeitstempel, Signaturen) muss sich auf diejenigen Unterlagen und Systemkomponenten beschränken, wo dies sinnvoll ist. Dies können beispielsweise solche Unterlagen sein, die bei Eingang in die Behörde bereits digital signiert oder kryptografisch geschützt sind (eingehende Unterlagen mit QES etc.). Andere Unterlagen, die analog oder elektronisch aber unsigniert „geboren“ werden, können in einem DMS oder in anderen Verfahren aufbewahrt werden, die einen prüfbaren Schutz (= revisionsfähig) gegen unzulässige Manipulation aufweisen. Dies können, müssen aber nicht zwangsläufig kryptografische Komponenten sein.
3. Beweiswertsicherung. Wir sind der Auffassung, dass die Verwendung kryptografischer Verfahren während der Transformation von Papierdokumenten zu einem elektronischen Abbild keinen höheren Beweiswert erbringt, zumal a) die Signierung durch einen Scan-Operator erfolgt, der von der anschließenden Sachbearbeitung wenig bis gar keine Kenntnisse besitzt und b) dieser auch nur Stichproben durchführt und angenommen wird, dass eine korrekte 1:1-Abbildung aller Seiten im Stapel erfolgte. Eine potenzielle Manipulation eines Dokuments könnte schon bis zum Zeitpunkt des Scannens erfolgen. Eine Sicherung des Beweiswertes erfolgt also im Wesentlichen während der nachgelagerten Sachbearbeitung, wie das schon seit Einführung der elektronischen Aktenverwaltung der Fall ist.
4. Das Thema Aufwand ist auch ohne das Thema BSI Grundschutz (auf den in der TR RESISCAN an ca. 50 Stellen verwiesen wird) ein zentraler Kritikpunkt. Hier sollte das BSI die Perspektive der umsetzenden Unternehmen stärker einbeziehen. Eine Richtlinie sollte die geforderte Ordnungsmäßigkeit darstellen und gleichzeitig in den Unternehmen so einfach wie möglich umzusetzen sein (s. Beispiel der GoBD). Andernfalls wird ein Markt für Berufszertifizierer geschaffen. Leitlinie beim Formulieren der TR-Texte sollte immer sein: Kann der Projektleiter einer mittelgroßen Firma den Text verstehen und umsetzen, ohne externe Hilfe in Anspruch nehmen zu müssen und das mit moderatem Aufwand.
5. Die TR RESISCAN tangiert nur den Aspekt Erfassung und dort nur die Untermenge analoge Dokumente. Wir unterstützen die Initiative des BSI, im diesem Bereich insgesamt mehr Klarheit zu schaffen. Wirklich benötigt wird aber eine Richtlinie, die das Gesamtverfahren legitimiert, und nicht nur den Teilaspekt Erfassung und dort nur den Teilaspekt Erfassung analoger Dokumente. Also auch die Erfassung der elektronischen Unterlagen, und das gesamte Thema Aufbewahrung etc. Somit das, was ein DMS-Anwender ohne BSI-Richtlinie auch heute schon tut, aber außerhalb der GoBD-Einsatzfelder leider nur „nach bestem Wissen und Gewissen“.

Wir begrüßen die Schaffung einer Richtlinie, die den Anwendern in unterschiedlichen Branchen und unabhängig von der Größe der Behörde oder des Unternehmens eine höhere Rechtssicherheit bei der Gestaltung ihrer papierlosen Prozesse verschaffen soll. Die derzeitige TR RESISCAN ist nach unserer Ansicht jedoch dazu nicht geeignet, sie bewirkt sogar den gegenteiligen Effekt. Sie verhindert faktisch die Einführung moderner ECM-Lösungen, ist in ihrer Ausprägung international isoliert, bürdet den Anwendern einen inakzeptabel hohen Aufwand auf, und – das ist das Wichtigste: schafft KEINE erhöhte Rechtssicherheit. Die TR wird aus den genannten Gründen weitgehend ignoriert werden, außer in den Einsatzfeldern, wo eine Verpflichtung zur Anwendung zwingt (Bundesbehörden). Die Chance, ähnlich wie im Bereich der kaufmännischen Aufbewahrung eine Leitlinie für ordnungsgemäßes Handeln im Markt breit zu verankern, wird nicht genutzt. Mit der TR RESISCAN droht eine weitere technisch komplexe Spezifikation aus dem öffentlichen Raum zu scheitern, ähnlich wie De-Mail, die qualifizierte elektronische Signatur für Bürger und Kunden, DOMEA u.a., die ausnahmslos nach Jahren der kostenintensiven Stagnation mangels Akzeptanz als gescheiterte Projekte anzusehen sind.

Wir würden es daher sehr begrüßen, wenn das BSI diese Aspekte überdenkt und eine neue Leitlinie erarbeitet.

Mit freundlichen Grüßen

Bernhard Zöller
Geschäftsführer Zöller & Partner GmbH

Liste der Unterzeichner (Stand: 30.11.2015)

• Alfresco Software; Stefan Waldhauser, Director Product Marketing
• ALPHA COM Deutschland GmbH, Thomas Hellmig, Geschäftsführer
• Callas Software GmbH; Olaf Drümmer, Geschäftsführer
• Codia Software GmbH; Laurenz Stecking, Geschäftsführer
• DocuWare GmbH; Jürgen Biffar, Geschäftsführer
• Optimal Systems GmbH; Gregor Wolf, COO
• ELO Digital Office GmbH; Karl-Heinz Mosbach, Geschäftsführer
• IBM Deutschland GmbH; Peter René Collenbusch, Manager Technical Sales Enterprise Content Management
• ITyX Group; Andreas Klug, Vorstand
• Kodak Alaris Germany GmbH; Günter Wittlinger, Leiter Vertrieb und Marketing
• Kofax Deutschland AG; Merten Slominsky, Vice President Deutschland und Schweiz
• n-komm GmbH, Ralph Rost, Geschäftsführer
• Pentadoc Consulting AG; Guido Schmitz, Vorstand
• PricewaterhouseCoopers Advisory; Dr. Wolfgang Zink, Partner
• PROJECT CONSULT Unternehmensberatung GmbH; Dr. Ulrich Kampffmeyer, Geschäftsführer
• Windream GmbH; Roger David, Geschäftsführer
• Wolters Kluwer Software und Service GmbH; Uwe Gutschmidt, Geschäftsführer
• Zöller & Partner GmbH; Bernhard Zöller, Geschäftsführer