Hans-Joachim Hübner, Spezialist für digitale Dokumentenerfassung beim Satz-Rechen-Zentrum (SRZ) in Berlin, plädiert für mehr Sachlichkeit und eine pragmatische Herangehensweise.
„Mehr Mut zum Wegwerfen“
Er bewertet es als positiv, dass mit TR-RESISCAN erstmals der Versuch unternommen wird, organisatorische, verfahrensspezifische und technische Voraussetzungen für das ersetzende Scannen in einer Richtlinie zu bündeln und motiviert zu „mehr Mut zum Digitalisieren und Wegwerfen“. Beim ersetzenden Scannen ist die Vernichtung des Papieroriginals möglich, da das Vorgehen die Beweiskraft des digitalisierten Dokuments beispielsweise vor Gericht erhöht.
In einer Simulationsstudie zum ersetzenden Scannen, die die Datev in Zusammenarbeit mit der Universität Kassel durchgeführt hat, wurde jedes digital erzeugte Dokument als Beweisstück angenommen.
Die technische Richtlinie geht teilweise deutlich über bisherige Bestimmungen hinaus. „Ein Beispiel ist die detaillierte Protokollierung aller Tätigkeiten und Vorgänge beim Digitalisieren und der so genannte Transferlog. Dabei muss der komplette Prozessablauf, wie ein Papierdokument in eine elektronische Form gebracht wurde, dokumentiert und unter Umständen digital signiert und mit dem Dokument verknüpft abgelegt werden“, erklärt Hans-Joachim Hübner.
Generelle Einsatzszenarien sieht er überall dort, wo ein erhöhter Anspruch an die Beweiskraft eines Dokuments vorausgesetzt wird. „Geradezu ersehnt wurde die Richtlinie durch Vertreter des Gesundheitssektors. Hier geht es vor allem um die Befund- und Behandlungsdokumentation, die sehr lange aufzubewahren ist“.
Zudem werde TR-RESISCAN in der öffentlichen Verwaltung und im Justizwesen eine wichtige Rolle spielen. So tauche die Richtlinie gerade in den ersten öffentlichen Ausschreibungen auf, wo RESISCAN-konforme beziehungsweise RESISCAN-zertifizierte Scankomponenten gefordert werden.
Dagegen erwartet Hans-Joachim Hübner, dass die Richtlinie in Unternehmen der freien Wirtschaft nur in kleinem Umfang zum Einsatz kommt. Denn solange die Anwendung nicht verpflichtend vorgeschrieben ist, werden die Unternehmen Kosten-Nutzen-Aspekte sehr genau abwägen.
Aufwand in vertretbarem Rahmen halten
Am Anfang jedes TR-RESISCAN-Projekts sollte nach Ansicht Hübners immer eine Analyse des Schutzbedarfs und des Gefährdungsrisikos der zu verarbeitenden Dokumente stehen. Daraus ergeben sich dann Antworten auf die Fragen, welche Verfahren anzuwenden sind, wie stark die Prozesse abzuschirmen und zu reglementieren sind und welcher Arbeitsumfang in die Qualitätssicherung zu stecken ist. Dazu zählen unter anderem die Abschirmung von Netzen oder der Einsatz kryptographischer Maßnahmen und digitaler Signaturen. „Allerdings“, so gibt Hans-Joachim Hübner zu bedenken“, sollte man nicht über das Ziel hinaus schießen und die Aufwände in einem vertretbaren Rahmen halten“.
Hilfestellung bei dieser Aufgabe leisten externe Spezialisten, deren Blick auf die internen Verfahren und Geschäftsprozesse häufig neutraler und unvoreingenommener ist. Zusätzliche Unterstützung erhalten Anwender beim Einrichten und Beschreiben der erforderlichen RESISCAN-Verfahren und sonstiger organisatorischer und technischer Maßnahmen.
Software-Anbieter werden nicht daran vorbeikommen, ihre Lösungen in Richtung TR-RESISCAN zu erweitern. Das SRZ zum Beispiel arbeitet an einem speziellen TR-RESISCAN-Modul für seine Digitalisierungssoftware CROSSCAP. Das Modul wird alle Richtlinien-relevanten Prozessinformationen dokumentieren und in der Lage sein, diese Informationen auch verschlüsselt und signiert an nachfolgende Systeme zu übergeben. Wer Scanprozesse nach TR-RESISCAN nicht selbst durchführen will, wird in Zukunft auch die Expertise von Scandienstleistern in Anspruch nehmen können.
„Neben der Software wird das SRZ auch sein eigenes Scan-Center im Hinblick auf TR-RESISCAN-Konformität durch das BSI zertifizieren lassen und Beratungsdienstleistungen dazu anbieten“, kündigt Hans-Joachim Hübner an.