TR-RESISCAN

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit der technischen Richtlinie TR 03138 RESISCAN am 20. März 2013 Vorgaben für das ersetzende Scannen festgeschrieben. Die Richtlinie hat zwar nur empfehlenden Charakter und ist kein Pflicht, dennoch wird diese Richtlinie durchaus kritisch gesehen.

Die TR Resiscan umfasst mit den mitgeltenden Anlagen über 160 Seiten. Hinzu kommen Verweise auf Hunderte von Seiten aus dem BSI Grundschutz, die man berücksichtigen sollte, da die TR auf über 50 Module aus dem BSI Grundschutz (referenziert) oder diese sogar zur Anforderung erhebt.

Unter ersetzendem Scannen versteht diese technische Richtlinie das Scannen von Unterlagen mit (zeitnaher) anschließender Vernichtung der Scanvorlage (Original).

In Deutschland ist das ersetzende Scannen aus handels- und steuerrechtlicher Sicht seit 1995 gesetzlich zulässig. Voraussetzung für die Zulässigkeit ist die Einhaltung der GoBD.

Duie Hürden der TR-RESISCAN stellen sich wie folgt da:

  • hohe technische Anforderungen
    Geeignete Scanner: Es müssen spezielle Scanner eingesetzt werden, die die Anforderungen der TR-Resiscan erfüllen (z. B. Auflösung, Farbtiefe, Fehlerkorrektur)
    Erfassung von Metadaten: Jedes Dokument benötigt eine eindeutige Kennzeichnung und Dokumentation zur Nachvollziehbarkeit.
    Manipulationssichere Speicherung: Die digitalen Kopien müssen revisionssicher archiviert werden, z. B. in einem DMS (Dokumentenmanagementsystem) mit Audit-Funktion.

  • Organisatorische Hürden
    Definierte Scanprozesse: Jeder Scanvorgang muss genau dokumentiert werden, inklusive Verantwortlichkeiten, Qualitätskontrollen und Fehlerprotokollen.
    Schulung der Mitarbeiter: Das Personal muss mit der TR-Resiscan vertraut sein und entsprechend geschult werden.
    Protokollierung und Nachvollziehbarkeit: Jeder Scanvorgang muss manipulationssicher dokumentiert werden, was zusätzlichen Verwaltungsaufwand bedeutet.

  • rechtliche und sicherheitsrelevante Aspekte
    Verantwortlichkeit und Haftung: Die Kommune muss sicherstellen, dass die gescannten Dokumente den Originalen rechtlich gleichgestellt sind – ein Fehler kann rechtliche Folgen haben.
    Datenschutzanforderungen: Die Verarbeitung personenbezogener Daten muss DSGVO- und TR-Resiscan-konform erfolgen, was zusätzlichen Prüfaufwand erfordert.

  • finanzielle Belastung
    Anschaffungskosten: Die Kosten für TR-Resiscan-konforme Scanner, Software und IT-Infrastruktur können für kleine Kommunen schwer zu stemmen sein.
    Externe Zertifizierungen und Beratung: Häufig müssen externe Berater oder Zertifizierungsstellen hinzugezogen werden, um die Konformität sicherzustellen.