Das papierlose Büro dank Resiscan?

Fachbeitrag

Das papierlose Büro wird bereits seit Jahren propagiert und angekündigt, doch tatsächlich wird der Schreibtisch eher von mehr als weniger Papier belegt. Das BSI unterstützt nun Unternehmen und hat eine Richtlinie für das rechtssichere Scannen veröffentlicht.

Technische Richtlinie Resiscan

Die technische Richtlinie TR-03138 Resiscan ist ein Handlungsleitfaden für Unternehmen, die Papierdokumente nicht nur einscannen, sondern nach Erstellung des Scanproduktes auch vernichten wollen („ersetzendes Scannen“). Hierbei werden Einsatzfälle sowohl mit normalem als auch mit höheren Schutzbedarfen berücksichtigt.

Ziel der Richtlinie

Grundsätzlich soll für Anwender und Dienstleister durch die Richtlinie eine höhere Rechtssicherheit beim sog. „ersetzenden Scannen“ geschaffen werden. Ersetzend eben deshalb, weil die Originale, natürlich datenschutzkonform, vernichtet werden können. Das BSI führt dazu in seiner Stellungnahme zu TR-Resiscan aus:

Die TR dient daher zum einen dem Anwender im behördlichen und privaten Bereich zur Erleichterung der Auswahl von Scan-Lösungen, indem eine Vereinheitlichung der Anforderungen und Sicherheitsmaßnahmen angestrebt wird. Zum anderen werden Herstellern und Dienstleistern notwendige Spezifikationen an die Hand gegeben, mittels derer diese ihre Leistungen TR-konform gestalten und anbieten können.

Umsetzung der Richtlinie

Vor der Umsetzung des „ersetzenden Scannens“ mit der anschließenden Vernichtung der Originale stehen zunächst Analyse- und Evaluierungsprozesse:

  • Evaluation des Schutzbedarfs der Dokumente
  • Gefährdungsrisiko
  • Notwendige Beweiskraft
  • Anforderungen an die Qualitätssicherung

Daraufhin sind die technischen Prozesse abzustimmen:

  • Protokollierung des Digitalisierungsvorganges
  • Dokumentation der Digitalisierungsprozesse
  • Verknüpfung mit einer digitalen Signatur

Vorteile für Unternehmen

Der Vorteil für das Unternehmen nach der Umsetzungs- und Implementierungsphase ist die Vernichtung der Originale unter Beibehaltung der ursprünglichen Beweiskraft. Dabei werden nicht nur freie Lagerkapazitäten geschaffen, sondern die Verwaltung und Organisation durch die Digitalisierung effizienter gestaltet. So ist z.B. das Durchsuchen des digitalen Archives nach abgelegten Informationen um ein vielfaches einfacher und schneller durchführbar.

Sicherung der richtlinienkonformen Umsetzung durch Zertifizierung

Die Umsetzung der Anforderungen aus der vorstehend benannten Richtlinie ist keine triviale Aufgabe, die im Unternehmen „en passant“ erledigt werden sollte. Zur Wahrung der Nachhaltigkeit und Einhaltung der gesetzlichen Erfordernisse (Compliance) sollte eine Zertifizierung erfolgen. Das BSI führt zu Prüfberichten aus:

Wesentlicher Bestandteil eines solchen Zertifizierungsverfahrens nach Technischen Richtlinien (TR) ist die Konformitätsprüfung. Hier wird untersucht, ob ein Produkt/System die in der jeweiligen TR festgelegten Vorgaben und Anforderungen erfüllt. Diese technischen Prüfungen werden z.B. von externen Prüfstellen durchgeführt. Hierbei handelt es sich um unabhängige privatwirtschaftliche Stellen, die von BSI gemäß ISO 17025 anerkannt wurden und ihre Fachkompetenz für einen oder mehrere TR-Prüfbereiche nachgewiesen haben.

Ein solches Zertifizierungsverfahren nach TR-Resiscan hat bislang z.B. die greeneagle-certification durchgeführt.

 

Ein Kommentar zu diesem Beitrag

  1. Aus Bürgersicht beunruhigt mich die Frage nach dem datenschutzkonformen Umgang mit dem nun in digitaler Form vorliegenden vertraulichen Schriftverkehr.

    Digitale Dokumente bergen Risiken. Sie sind beliebig oft kopierbar und stellen aufgrund zentraler Speicherung u. digitaler Übermittelbarkeit ein attraktives Ziel für Hacker-Angriffe dar. Aus der Korrespondenz mit Behörden, Krankenkassen, Finanz- u. Arbeitsamt können Rückschlüsse gezogen, Financial- u. Health-Scorings erstellt werden, was wiederum einen spurenlosen Datenabgriff durch einen Sachbearbeiter selbst oder externe Dienstleister (automatisierte wenn auch illegale Auswertungen der Scan-Zetrums-Betreiber) lukrativ erscheinen lässt.

    Offenbar kann sich der Bürger dem Einscannen nicht entziehen. Wie ist dieses Verfahren aber mit dem vielzitierten Recht auf informationelle Selbstbestimmungn überhaupt zu vereinbaren?
    Schließlich ist die Korrespondenz mit Behörden, Gerichten, Krankenkassen und Versicherungen unausweilich. Alternative Kommunikationswege sind langfristig nicht vorgesehen.

    Beispiel Job-Center: Auch bei persönlicher Übergabe eines ALG-Antrags oder vertraulichen Nachweises (Arbeitsvertrag) übergibt der zuständige Sachbearbeiter das Dokument zunächst an die Poststelle, um es dem Scan-Prozess durch externe Dienstleister zu unterwerfen. Widersprechen könne man nicht. Es sei denn, man verzichte auf eine Antragsstellung und damit auf die einem zustehenden Leistungen.

    Durch die Digitalisierung entgleiten meine Daten meiner Kontrolle. Den Datenschutz in diesem Land scheint man bewusst mit Füßen zu treten. Daran ändert eine Zertifizierung wenig.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.