clone

11
Sep
2014

Interview zu TR RESISCAN

Geposted von Archivierung, Erfassung, RechtsgrundlagenKeine Kommentare

Der nachfolgende Blog-Beitrag ist zuerst als Interview im Postmaster Magazin, Ausgabe 9.2014 erschienen.

„Die TR RESISCAN regelt Aspekte, die sie nicht regeln muss!“

Gut gemeint, aber zum Schluss wird das Gegenteil bewirkt: Interview mit Bernhard Zöller über die neue Richtlinie zum ersetzenden Scannen.

Im Forum im Postmaster Magazin geht es um Eingangspostdigitalisierung, und damit steht das aktuelle Thema „Ersetzendes Scannen/Resiscan“ auf der Tagesordnung.
Spätestens nach der Herausgabe der Technischen Richtlinie des BSI dazu hat sich eine lebhafte Debatte entwickelt, in der das Meinungsspektrum von „Endlich Rechtssicherheit!“ bis „Bürokratischer Unfug“ reicht. Unser Gesprächspartner Bernhard Zöller findet irgendwie beide Positionen richtig. Originale rechtssicher vernichten oder lieber doch vorsichtshalber verwahren? In gewohnt temperamentvoller Art nimmt der bekannte ECM-Berater Stellung.  

Postmaster: Mit der TR-03138 „Ersetzendes Scannen (RESISCAN)“ hat es das BSI unternommen, die Lücke zwischen abstrakten und uneinheitlichen rechtlichen Anforderungen sowie der zuverlässigen technischen Realisierung des Scannens zu schließen“ – so das Bundesamt in eigenen Worten. War das eine nützliche Aktion?

Bernhard Zöller: Bisher gab es eine beruhigende Rechtssicherheit für das ersetzende Scannen nur durch die GoBS, im Klartext die „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme“ von 1995. In Fortsetzung gibt es die demnächst geltende GOBD, die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Das bezieht sich aber alles nur auf die steuerlichen Aufbewahrungspflichten. Trotzdem war das für viele Branchen und Unternehmen eine ganz erhebliche Arbeitserleichterung und hat auf viele andere Bereiche abgestrahlt – nach dem Motto: „Wenn der Finanzminister das ok findet, dann ist es für uns auch ok“. In allen anderen Rechtsbereichen fehlte aber faktisch eine solche Erlaubnis, bei Einhaltung bestimmter Anforderungen die gescannten Originale zu vernichten. Daher kann man eine solche Initiative erstmal nur begrüßen.

Postmaster: Und wie sehen Sie die praktische Umsetzung?

Bernhard Zöller: Eher kritisch. Hier wurden viele Dinge für den Anwender erheblich verkompliziert. Es wäre besser gewesen, das BSI hätte statt einer TR, einer technischen Richtlinie, eine OR, also eine Organisationsrichtlinie erstellt, die Tipps und Empfehlungen enthält, wie das Fehlerrisiko bei der Dokumentenerfassung minimiert werden kann. Aber vielleicht gibt es ja irgendwann mal eine Version 2, die diesen Mangel aufhebt. Compliance bei der Dokumenten-Digitalisierung hat viele Facetten: die generelle Rechtssicherheit, die Erfüllung der Steuerrechts-Anforderungen, die Einhaltung hausinterner Standards und das Qualitätsmanagement als Dokumentenverarbeitungs-Dienstleister.

Postmaster: Wo gab es denn – wenn überhaupt – bisher die größten Lücken, und werden diese durch TR-03138 geschlossen? Oder was wäre zweckdienlicher?

Bernhard Zöller: Die größte Fehlerquelle bei der Erfassung sitzt vor dem Scanner, und diese menschlichen Fehler kann ich nicht in einer technischen Richtlinie reduzieren. Ich kann schon gar nicht durch eine Zertifizierung dafür sorgen, dass diese Fehler nicht mehr auftreten und daraus dann sogar eine Rechtssicherheit – das ist ja das Argument in der TR RESISCAN – ableiten. Es ist unrealistisch anzunehmen, dass ein geprüfter Prozess in Zukunft fehlerfrei abläuft, weil er einmal in einer Prüfsituation fehlerfrei abgelaufen und „zertifiziert“ wurde. Stattdessen werden aber auch technische Merkmale und Abläufe gefordert, die realitätsfremd sind. Wie soll denn zum Beispiel ein Anwender nach Reparatur/Wartungsarbeiten prüfen, ob der Scan-Cache im Multifunktionsgerät durch den Wartungsdienst nicht manipuliert wurde? Was konkret sollen Malermeister Klecksel oder die Haustechniker des Konzerns tun, um diesen Punkt abzuhaken? Das geht komplett an der Praxis eines DMS-Anwenders und der typischen Erfassungsprozesse vorbei.

Postmaster: Auch bisher wurden Eingangspost und Akten gescannt, und bisher hat es damit eigentümlich wenige Probleme gegeben – weder vor Gericht noch mit dem Finanzamt. Stimmt diese Einschätzung, und wenn ja: War das Glück, oder gibt es eine geübte Praxis, an der man – mit oder ohne TR – festhalten sollte?

Bernhard Zöller: Die Einschätzung stimmt. Spätestens seit dem Begleitschreiben zur GOBS von 1995 war das ersetzende Scannen für steuerrechtlich aufbewahrungspflichtige Belege ausdrücklich legitimiert, wenn zwei Voraussetzungen erfüllt waren: die Nutzung eines GOBS-konformen DMS mit Archivfunktionen – die gibt es in Deutschland für jeden Geldbeutel seit über 25 Jahren – und die Dokumentation des Verfahrens für den sachverständigen Dritten, also den Prüfer, damit dieser verstehen kann, dass und wie die Ordnungsmäßigkeit eingehalten ist. Die Wahl der technischen Mittel, mit dem ein Anwender diese Ziele erreicht, bleibt dem Anwender überlassen. Er muss nur zeigen, wie er die Ziele erreicht. Somit hat man auch keine Probleme bei der schnell wechselnden Technologie. Diese Praxis hat sich seit 25 Jahren bewährt: Anwender vernichten gescannte Originale, ohne dass durch dieses Verfahren dem Staat Millionen Steuern hinterzogen wurden.

Postmaster: Und schon viel früher wurde Papier vernichtet: nach dem Verfilmen auf Mikrofilm. Da gab es hinterher auch kein Original mehr, das man noch hätte untersuchen können um eine Manipulation festzustellen.

Bernhard Zöller: Genau! Die bisherigen Verfahren sind bewährt und haben keine Probleme verursacht. Sie sind für kleine und große Unternehmen gleichermaßen praktikabel, was den DMS-Markt beflügelt hat und sie werden im internationalen Umfeld ähnlich angewendet. Die TR-RESISCAN ist dagegen für viele mittlere und kleinere Unternehmen nicht praktikabel, es ist eine deutsche Sonderlocke. Es werden an vielen Stellen Technologien wie die qualifizierte elektronische Signatur oder eine andere Richtlinie – TR-ESOR – referenziert, die im Ausland nicht gängig sind, beim Anwender Kosten verursachen und in der Branche zu Recht kontrovers diskutiert werden – höflich ausgedrückt.

Postmaster: Was hat eigentlich die qualifizierte elektronische Signatur bei Scanverfahren zu suchen?

Bernhard Zöller: Nichts, aber auch gar nichts! Hier signiert doch kein Absender, sondern eine Scan-Person signiert eine Übereinstimmungsbehauptung. Mit anderen Worten: Der Scanmitarbeiter Meier, der am Aschermittwoch Morgen in Köln um 11 Uhr vor seinem Scanner-Arbeitsplatz sitzt, signiert ein Dokument, dessen Original vor Stunden, Tagen oder Wochen in Papierform in einem anderen Raum einging, mehrfach angefasst und umgeschichtet wurde und von dem er nur noch das sieht, was in der gesamten Vorbereitungsstrecke übrig geblieben ist. Ein solcher Prozess kann mit oder ohne qualifizierte Signatur gleichermaßen fehlerhaft sein. Die Signatur trägt hier rein gar nichts zur Verbesserung bei, und sie hat nicht einmal eine Schutzfunktion, denn jeder kann das Dokument aus Versehen oder absichtlich löschen oder ändern. Die Überprüfung auf inhaltliche Veränderungen funktioniert genauso gut auch mit jedem besseren DMS oder  – wenn denn Kryptografie zum Einsatz kommen soll – einem zertifikatsbasierten Zeitstempel. Ich möchte an dieser Stelle erwähnen, dass wir in Deutschland seit 1997 ein Signaturgesetz haben, und der Erfolg ist – sehr höflich ausgedrückt – ausgeblieben. Warum muss also eine Technologie mit Macht durchgedrückt werden, die seit 1997 vom Markt abgelehnt wird, die in einem ordnungsgemäßen DMS nicht benötigt wird, weil man auch ohne Signatur gut genug schützen kann und die für alle Anwender nur zusätzlichen Aufwand aber keinerlei funktionale Erleichterung bringt?

Postmaster: Hinter dem RESISCAN-Projekt steht auch der Gedanke nach weitgehend papierlosen Prozessen in und zwischen Unternehmen und Organisationen. Ist das Science Fiction oder ein realistisches Zukunftsprojekt, dessen Ergebnisse heute schon absehbar sind?

Bernhard Zöller: Das ist ja bereits seit 25 Jahren nicht mehr Science Fiction. Hunderte oder Tausende von Rechnungsprozessen funktionieren heute bereits papierlos. Viele Antragsbearbeitungsprozesse bei Finanzdienstleistern, Kranken- und Unfallversicherungen laufen seit Jahren papierbefreit. Und seit dem 1.Juli 2012 kommen immer mehr Rechnungen per E-Mail, die auch ohne qualifizierte Signatur vorsteuerabzugsfähig sind. Das war vorher nicht so. Ein schnell wachsender Anteil von Dokumenten kommt schon heute nicht mehr als Papier ins Unternehmen. Statt Papier wegzuwerfen, behalten Unternehmen das Original, um bei Bedarf dann doch darauf  zugreifen zu können, wenn Prüfer oder Richter Zweifel an der Echtheit haben. Damit spart sich der Anwender den gesamten Aufwand für die Umsetzung der RESISCAN, der Zertifizierung, die Krypto-Komponenten, die damit einhergehenden Prozessnachteile und und und. Eine verkomplizierte Richtlinie wie RESISCAN bewirkt damit in verrückter Weise das Gegenteil.

Postmaster: Herr Zöller, vielen Dank.