Mo-Fr 9:00-17:30 Uhr
Ersetzendes Scannen
Angebot einholen

Ersetzendes Scannen - konform nach BSI TR-03138 Resiscan

Ersetzendes Scannen konform nach BSI TR-Resiscan ist der Vorgang des elektronischen Erfassens von Papierdokumenten mit Vernichtung der Originale.

TR-Resiscan konformer Scannprozess (Ersetzendes Scannen) zielt auf eine Steigerung der Rechtssicherheit und Beweiswerterhaltung im Bereich des Ersetzenden Scannens ab. Wir digitalisieren konform gemäß BSI TR-Resiscan.
Digitales Schloss
Informationen zum TR-Resiscan konformen Scanprozess


Zum Thema TR-Resiscan konformen Scanprozess verwenden wir als Informationsquelle, die Dokumente, Hinweise und Anmerkungen auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit Quellangabe. Zusätzlich geben wir den Link zum entsprechenden Dokument bzw. zur Webseite von BSI an, damit Sie auf die vollständigen entsprechenden Informationen (Dokumente) zugreifen können. Indirekte Zitate werden mit „Vgl.“ sowie Quellangaben versehen.

Wichtige Hinweise:
Bitte beachten Sie, dass wir keine Rechtsberatung erteilen. Die nachfolgenden Informationen sollen lediglich unverbindlich einen vereinfachten Überblick vermitteln.

Was bedeutet Ersetzendes Scannen?


Der Begriff "Ersetzendes Scannen" beschreibt den Prozess der elektronischen Erfassung von Papierdokumenten mit dem Ziel, das entstehende elektronische Abbild (Scanprodukt) für weitere digitale Verarbeitungsschritte zu nutzen und das ursprüngliche papierbasierte Original zeitnah zu vernichten und es somit zu ersetzen.

Die TR-Resiscan hat primär das Ziel, die Rechtssicherheit bzw. den Beweiserhaltungswert bei der Digitalisierung von papierbasierten Originalbelegen und Dokumenten mit ersetzendem Scannen zu erhöhen bzw. eine Steigerung der Rechtssicherheit durch Ersetzendes Scannen herbeizuführen. Sie bietet einen umfassenden Leitfaden für Behörden, Unternehmen und Institutionen, um bei der Digitalisierung von Dokumentenprozessen höchste Standards u.a. in Bezug auf Rechtssicherheit, Integrität und Vertraulichkeit zu gewährleisten.

In der TR-Resiscan werden vereinheitliche Anforderungen und Sicherheitsmaßnahmen in praxisorientierten Leitfaden konkret definiert und beschrieben. Die Sicherheitsmaßnahmen werden in neun Sicherheitsziele formuliert, die konsequent eingehalten werden müssen. – mehr erfahren über die Sicherheitsziele TR-Resiscan?

Bitte beachten Sie: Das Scannen und Vernichten von papierbasierten einfachen Kopien bzw. das Ersetzen herkömmlicher Kopien durch Scanprodukte (elektronisches Abbild des papierbasierten Belegs) wird gemäß der Richtlinie TR-Resiscan nicht als Ersetzendes Scannen betrachtet.

Die TR-Resiscan legt Empfehlungen zu verschiedenen Aspekten fest, darunter die Auswahl geeigneter Dokumente, die Sicherstellung der Scanqualität, die korrekte Verwendung von Metadaten, die Langzeitaufbewahrung digitaler Dokumente, die Gewährleistung der Integrität von Daten sowie die Einhaltung von Datenschutzbestimmungen. Durch die konsequente Umsetzung dieser Richtlinie können Behörden, Unternehmen und Institutionen sicherstellen, dass sie den rechtlichen Anforderungen gerecht werden und gleichzeitig eine effiziente und sichere elektronische Dokumentenverwaltung etablieren.

Die TR-Resiscan ist somit ein wertvolles Instrument, um die digitale Transformation von Dokumentenprozessen auf eine rechtskonforme und technisch sichere Weise umzusetzen, was zu verbesserten Arbeitsabläufen, Kosteneinsparungen und einer höheren Effizienz führen kann.

Angebot einholen

Zielsetzung und der Zweck vom Ersetzendes Scannen


Die TR-Resiscan zielt darauf ab, die Lücke zwischen abstrakten und uneinheitlichen rechtlichen Anforderungen und der technischen Umsetzung des Scannens zu schließen. Sie basiert auf bestehenden Empfehlungen wie DOMEA und GdPDU, deren Gültigkeit durch die TR nicht beeinträchtigt wird. Die TR definiert einen strukturierten Scanprozess und vereint dabei wichtige technische und organisatorische Sicherheitsmaßnahmen für das Ersetzendes Scannen. Die Ziele der Informationssicherheit als auch der Rechtssicherheit werden dabei gleichermaßen berücksichtigt.

Die TR-Resiscan erleichtert zum einen die Auswahl von Scan-Lösungen Anwender wie für Behörden und Unternehmen, indem sie einheitliche Anforderungen und Sicherheitsmaßnahmen anstrebt. Zum anderen gibt sie gleichzeitig Herstellern und Dienstleistern klare Vorgaben, um TR-konforme Produkte und Dienstleistungen anzubieten.

Vgl. BSI TR-03138 Ersetzendes Scannen (RESISCAN), Stand Juli 2023
Quelle: https://www.bsi.bund.de/DE/Themen/Oeffentliche-Verwaltung/Moderner-Staat/Ersetzendes-ScannenTR-Resiscan/ersetzendes-scannentr-resiscan_node.html#doc455930bodyText

Weiterhin erläutert BSI in der Veröffentlichung des Dokumentes -BSI Technische Richtlinie 03138 Ersetzendes Scannen vom 23.04.2020, Version: 1.4.1, Seite 5:

„Während in manchen Anwendungsbereichen, wie etwa dem kaufmännischen oder steuerlich relevanten Umfeld nach Abgabenordnung (AO) und Handelsgesetzbuch (HGB) seit 1995 Grundsätze zur ordnungsgemäßen Ausführung der elektronischen Aufbewahrung existieren, nach denen bereits ersetzend gescannt wird, fehlen konkrete Umsetzungsvorgaben für die meisten anderen, aber zunehmend betroffenen Bereiche (Ausnahme: Sozialversicherungsrecht). Darüber hinaus gibt es auch in den bereits von unterschiedlich detaillierten Regelungen betroffenen Bereichen zunehmend davon nicht erfasste Dokumente (zum Beispiel solche, die nicht nur nach AO/HGB sondern auch zur zivilrechtlichen Beweissicherung aufbewahrt werden sollen), die vor allem aus Gründen der Wirtschaftlichkeit zukünftig ebenfalls ersetzend gescannt werden sollen. Um dies auf einer möglichst sicheren technisch-organisatorischen Grundlage tun zu können, wurden die Empfehlungen in dieser TR erarbeitet. Ziel ist es, die mit einer Vernichtung des Originaldokuments stets einhergehende Verringerung des Beweiswerts für den jeweiligen Anwender durch einen an das Original möglichst weit angenäherten Beweiswert des – in einem nachweisbar ordnungsgemäßen Prozess erstellten - Scanproduktes selbst auszugleichen, zu minimieren oder sichtbar zu machen. Schließlich kann die TR im Rahmen künftiger Regelungsvorhaben als Referenz dienen, wenn es z.B. konkret um die Schaffung weiterer Zulässigkeitstatbestände für das Ersetzendes Scannen insbesondere im Bereich der elektronischen Aktenführung geht.“

Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03138/TR-03138.pdf?blob=publicationFile&v=5

Welche Sicherheitsziele definiert die TR-Resiscan?


Die Hauptzielsetzung der TR-Resiscan besteht darin, durch die Festlegung vereinheitlichter Anforderungen und Sicherheitsmaßnahmen die Rechtssicherheit und den Beweiserhaltungswert bei der Digitalisierung von papierbasierten Originalbelegen und Dokumenten zu erhöhen. Sie strebt an, eine Steigerung der Rechtssicherheit durch die Implementierung des ersetzenden Scannens zu erreichen.

In der TR-Resiscan werden vereinheitliche Anforderungen und Sicherheitsmaßnahmen in praxisorientierten Leitfaden konkret definiert und beschrieben.

Drei grundlegende BSI Grundwerte

Daraus werden die folgenden neun Sicherheitsziele formuliert, die konsequent eingehalten werden müssen:

  • Integrität:
    Sicherstellung der Richtigkeit, Vollständigkeit und Unveränderlichkeit von Informationen und Daten.
  • Verfügbarkeit:
    Gewährleistung, dass Informationen und IT-Systeme jederzeit und bei Bedarf zugänglich sind. Diese Grundwerte bilden die Grundlage für eine sichere Gestaltung von IT-Systemen und helfen dabei, die Informationssicherheit zu gewährleisten.
  • Vertraulichkeit:
    Schutz von Informationen vor unbefugtem Zugriff und Offenlegung für Unbefugte.
TR-Resiscan Schutzziele Integrität
TR-Resiscan Schutzziele Verfügbarkeit
TR-Resiscan Schutzziele Vertraulichkeit
Diese neun Sicherheitsziele sind aus den drei grundlegenden BSI-IT-Grundwerte entstanden, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert hat.

Diese Werte dienen als Leitprinzipien für die Sicherheit von IT-Systemen und -Prozessen.

Quelle: BSI , Online-Kurs IT-Grundschutz Lektion 4:, Schutzbedarfsfeststellung
https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_4_Schutzbedarfsfeststellung/4_01_Definitionen.html

Professionelle Beratung

Wie ist der Aufbau und Inhalt von TR-Resiscan gegliedert?


Als grundlegende Anforderungen und zur Gewährleistung eines strukturierten Ablaufs beim ersetzenden Scannen müssen sowohl eine Verfahrensdokumentation als auch eine Schutzbedarfsanalyse existieren.

Die Verfahrensdokumentation beinhaltet insbesondere eine Verfahrensanweisung für alle am Scanprozess beteiligten Personen. (u.a. vom Scandienstleister zur erbringen).

Eine sorgfältig erstellte Schutzbedarfsanalyse ist ebenso essentiell, um ein angemessenes Sicherheitsniveau für die zu verarbeitenden Dokumente hinsichtlich der IT-Sicherheitsgrundwerte, („Integrität“, „Vertraulichkeit" und „Verfügbarkeit“) zu erreichen. Daraus ableitend wird dann die Schutzbedarfskategorie (normal, hoch oder sehr hoch) für jedes Datenobjekt bestimmt. Um die neun Sicherheitsziele zu erreichen, ist die Technische Richtlinie in drei Hauptbereiche aufgeteilt:

  • 1. Organisatorischer und
  • 2. Personeller Teil (Organisatorische und Personelle Maßnahmen)

Im organisatorischem, personellem Teil wird der generische Scanprozess detailliert beschrieben. Dies umfasst die Vorbereitung der Dokumente, den eigentlichen Scanvorgang (generischer Scanprozess), die Nachbereitung sowie die Integritätssicherung der Dokumente.

Der generische Scanprozess beim TR-Resiscan-konformen Scannen
  • 3. Technischer Teil (Technische Maßnahmen)

Der technische Teil konzentriert sich auf die Auswahl, Verwendung und Konfiguration von Hard- und Softwarekomponenten. Es werden Richtlinien für die Entwicklung, Installation und regelmäßige Überprüfung des Scan-Prozesses festgelegt. Auch auf die Dokumentation eines fehlerfreien Ablaufs wird Bezug genommen.

Um beim ersetzenden Scannen ein angemessenes Maß an Sicherheit zu gewährleisten, wurde ein Basismodul entwickelt. Dieses Modul umfasst grundlegende organisatorische, personelle und technische Maßnahmen sowie spezifische Vorgaben für die verschiedenen Phasen des "generischen Scanprozesses". Dadurch wird sichergestellt, dass ein solider Sicherheitsstandard bei der Digitalisierung von Dokumenten eingehalten wird.

Aufbaumodule gemäß BSI TR-Resiscan Ersetzendes Scannen

Das Modulkonzept der Technischen Richtlinie – BSI TR-RESISCAN

Professionelle Beratung

Anwendung und Umsetzung der TR-Resiscan


Um die Nachvollziehbarkeit und leichte Anwendung der TR-Resiscan zu gewährleisten, wurden sie in drei Schritte unterteilt: Strukturanalyse, Schutzbedarfs analyse und Sicherheitsmaßnahmen.

Diese Schritt-für-Schritt-Vorgehensweise erleichtert die Umsetzung der Richtlinie und sorgt für eine klare und nachvollziehbare Anwendung, indem sie klare Anleitungen für die Umsetzung bietet.

Strukturanalyse

In diesem Schritt werden die bestehenden Strukturen und Prozesse analysiert. Dadurch wird eine grundlegende
Kenntnis der organisatorischen und technischen Aspekte geschaffen, um eine solide Basis für die Umsetzung der Richtlinie zu schaffen.
Das für den Digitalisierungsprozess eingesetzte Scansystem (vom Dienstleister zu erfüllen) und alle IT-Systeme, Anwendungen und Netze werden auf Basis von IT-Grundschutz-Bausteinen modelliert und für das sichere Ersetzendes Scannen geprüft.


Schutzbedarfsanalyse

Hier erfolgt die Bewertung und Relevanz aus technischer und fachlicher Perspektive des Schutzbedarfs (Sicherheitszeile) der zu digitalisierenden Papierdokumente. Es werden die Anforderungen (BSI IT-Grundwerte) Vertraulichkeit, Integrität und Verfügbarkeit bewertet, um angemessene Sicherheitsmaßnahmen zu identifizieren und umzusetzen.

Mithilfe der Bedrohungsanalyse und Risikoanalyse können Schwachstellen für die zu schützenden Datenobjekte ermittelt werden. Durch diese Analyseverfahren werden potenzielle Gefährdungen und Risiken identifiziert, die die Sicherheit der Objekte beeinträchtigen könnten. Dadurch können gezielte Sicherheitsmaßnahmen ergriffen werden, um die Schwachstellen zu beheben und die Sicherheit der Objekte zu erhöhen.

Sicherheitsmaßnahmen

Basierend auf den Ergebnissen der Schutzbedarfsanalyse werden geeignete Sicherheitsmaßnahmen definiert und implementiert. Dies umfasst technische, organisatorische und administrative Maßnahmen, die darauf abzielen, die Informationssicherheit und den Schutz der digitalisierten Dokumente zu gewährleisten, um das Risiko der Beweismanipulation bei der Digitalisierung von Dokumenten zu minimieren.

Die BSI TR-03138 definiert verschiedene technische, organisatorische und personelle Sicherheitsmaßnahmen in Form von Modulen, um den festgestellten Schutzbedarf zu erfüllen.

Diese Module sind in unterschiedliche Aufbaumodule unterteilt und ermöglichen einen angemessenen Schutz entsprechend des erhöhten Schutzbedarfs und des Kosten-Nutzen-Verhältnisses. Das Basismodul stellt den Mindeststandard dar, während erweiterte Aufbaumodule zusätzlichen Schutz bieten.

Ablauf der sicherheitsrelevanten Analysen beim TR-Resiscan-konformen Scannen

Die Richtlinie BSI TR-03138 RESISCAN empfiehlt ein dreistufiges Verfahren, um die technischen, organisatorischen und personellen Strukturen zu schaffen, die eine angemessene und sichere Gestaltung des Scanprozesses ermöglichen:

Durch die gezielte Implementierung dieser Maßnahmen wird das Risiko von Manipulationen oder Verfälschungen der digitalen Dokumente deutlich reduziert und somit ihre Verwendbarkeit als rechtssicherer Beweis gestärkt. Durch diese dreistufige Vorgehensweise werden auch die individuellen Gegebenheiten und Sicherheitsanforderungen berücksichtigt.

Angebot einholen

Welche Schutzbedarfs­kategorien werden bei Ersetzendem Scannen definiert?


Die zu scannenden Papierdokumente müssen dann ihrem Schutzbedarf entsprechend in die drei Schutzbedarfskategorien „normal“, „hoch“ oder „sehr hoch“ eingestuft werden.

Schutzbedarfskategorie gemäß BSI TR-Resiscan - Ersetzendes Scannen

Aus der Schutzbedarfskategorie der zu verarbeitenden Dokumente ergeben sich die Sicherheits- und Prüfmaßnahmen, welche beim ersetzenden Scannen der Dokumentenarten anzuwenden sind.
Dabei müssen Sie u.a. feststellen, ob beim Scannen besondere Sicherheitsmaßnahmen ergriffen werden müssen und ob bestimmte Dokumente nach dem Scannen nicht vernichtet werden dürfen.
Dies betrifft z.B. Eröffnungsbilanzen, Abschlüsse, Zollanmeldungen, Notarverträge und Dokumente
mit Urkundencharakter.

Hinweis: Bitte informieren Sie sich dazu bei Ihrem Steuerberater oder Fachanwalt welche Dokumente und Belege nach der Digitalisierung originär in Papierform unbedingt aufbewahrt werden müssen.


Angebot einholen

Was beschreibt die Verfahrens­dokumentation?

Die Verfahrensdokumentation ist eine grundlegende prozessuale Anforderung und somit die Grundvoraussetzung für das Ersetzendes Scannen. Die Verfahrensdokumentation beschreibt detailliert die Schritte des Scanprozesses, einschließlich der angewendeten Methoden, Technologien, Sicherheitsmaßnahmen und Kontrollen. Sie dient als Nachweis dafür, dass die digitalisierten Dokumente inhaltlich und bildlich nicht manipuliert wurden.

Als Ihr Scandienstleister verfügen wir selbstverständlich über eine sorgfältig und detailliert erstellte Verfahrensdokumentation für unseren Scanprozess, die den Anforderungen des TR-Resiscan-konformen Scanprozesses entspricht. Unsere umfassende Dokumentation beschreibt detailliert jeden Schritt unseres Scanprozesses gemäß der Richtlinie. Durch die strikte Einhaltung dieser Vorgaben stellen wir sicher, dass unsere digitalisierten Dokumente den höchsten Qualitätsstandards entsprechen.

Die Verfahrensdokumentation gewährleistet somit die Transparenz und Nachvollziehbarkeit des gesamten Digitalisierungsprozesses. Die Erfüllung dieser prozessualen Anforderungen ist von entscheidender Bedeutung, um zu gewährleisten, dass die digitalisierten Dokumente rechtlich anerkannt und verwertbar sind und das ihre inhaltliche und bildliche Integrität gewahrt bleibt.

Um eine Anerkennung von Scanprodukten durch Gerichte zu ermöglichen, wurden sowohl die Durchführung der entsprechenden Analysen und Maßnahmen gemäß der BSI TR-Resiscan (BSI-TR03138), als auch die grundlegende Anforderung der Verfahrensdokumentation von den beteiligten Institutionen gefordert. Dies dient als Grundlage für eine rechtlich anerkannte Nutzung von digitalisierten Dokumenten vor Gericht.

Verfahrensdokumentation gemäß BSI TR-Resiscan

Scankonzept

Strukturanalyse (Netzplan inkl. IT-Systeme, Anwendungen und Kommunikationsbeziehungen; Identifikation der relevanten Datenobjekte) Schutzbedarfsanalyse für relevante Datenobjekte Beschreibung der Sicherheitsmaßnahmen im Scanprozess. Zusammenspiel mit weiteren Anwendungen z.B. ECM, Langzeitarchiv, ERP, CRM Scankonzept und Verfahrensanweisung ergeben zusammen die notwendige Verfahrensdokumentation.

Quelle: Ersetzendes Scannen leichtgemacht –eine Handlungshilfe für Institutionen und Unternehmen, Seite 13
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR03138/TR-03138-Handlungshilfe.pdf?__blob=publicationFile&v=2

Professionelle Beratung

Welche wesentliche Unterschiede bestehen zwischen TR-Resiscan konformen Scannprozess und einfacher Digitalisierung?

Beim ersetzenden Scannen gibt es im Vergleich zur einfachen Digitalisierung von papierbasierten Belegen und Dokumente zwei wesentliche Besonderheiten.


Transfervermerk

Der Transfervermerk ist eine protokollarische Aufzeichnung, die das ordnungsgemäße Scannen gemäß TR-Resiscan dokumentiert. Er enthält üblicherweise folgende Informationen:

  • Namen des Scanoperators (Personal ID)
  • Technisches und organisatorisches Umfeld des Erfassungsvorgangs
  • Eventuelle Auffälligkeiten während des Scanprozesses
  • Zeitpunkt der Erfassung
  • Ergebnis der Qualitätssicherung
  • Die Tatsache, dass das Scanprodukt bildlich und inhaltlich dem Papierdokument übereinstimmt

Die Scansoftware erzeugt den Transfervermerk in der Regel als XML-Datei oder als PDF- Datei. Dadurch wird gewährleistet, dass wichtige Informationen zum Scanvorgang gesammelt und für weitere Schritte verfügbar sind, um die Verlässlichkeit der digitalisierten Dokumente sicherzustellen.


Integritätssicherung
Integritätssicherung durch qualifizierte digitale Signierung/ Siegel

Die Integritätssicherung erfüllt zwei wichtige Funktionen im Zusammenhang mit dem ersetzenden Scannen gemäß TR-Resiscan. Einerseits dient sie der Bestätigung, dass das Scannen ordnungsgemäß durchgeführt wurde und andererseits schützt sie vor Manipulationen, während sie die Integrität des Scanprodukts und des Transfervermerks nachweist.

Die Maßnahmen zur Integritätssicherung des Scanprodukts entsprechen dabei auch zur Sicherung des Transfervermerks. Beide werden mit geeigneten Sicherheitsmaßnahmen geschützt, um sicherzustellen, dass die digitalisierten Dokumente und die zugehörigen Vermerke unverändert und zuverlässig bleiben.

Durch die Integritätssicherung wird die Vertrauenswürdigkeit der digitalen Dokumente gestärkt und die Beweiswerterhaltung gewährleistet, was für eine rechtssichere Nutzung der elektronischen Unterlagen von großer Bedeutung ist.

Durch die Verwendung des (qualifizierten) elektronischen Siegels gemäß eIDAS-Verordnung, welches auf Organisationszertifikaten basiert, konnte der Aufwand für kryptographische Sicherungsmittel erheblich reduziert werden. Gleichzeitig wird die Verkehrsfähigkeit der gesiegelten Scanprodukte und Transfervermerke gewährleistet und ein hoher Beweiswert sichergestellt.

Durch die Anwendung des elektronischen Siegels wird die Sicherheit und Integrität der digitalisierten Dokumente gewährleistet, was ihre rechtliche Gültigkeit und Verwendbarkeit als rechtsgültige Beweismittel stärkt.

Integritätssicherung gemäß BSI TR-Resiscan Angebot einholen

Welche Dokumente dürfen gemäß Ersetzendem Scannen nicht verarbeitet werden?

Bestimmte Dokumente sind explizit von der Verarbeitung und insbesondere von der Vernichtung ausgeschlossen. Dies gilt für Dokumente, denen aufgrund ihrer Beweiskraft, öffentlichen Glaubens oder gesetzlichen Bestimmung im Original eine besondere Bedeutung zukommt.

Beispiele für solche Dokumente sind notarielle Urkunden, Testate unter Siegelverwendung, Eröffnungsbilanzen, Abschlüsse, Wertpapiere und Zollpapiere mit fluoreszierendem Original-Stempel. Diese Dokumente müssen weiterhin in ihrer Originalform aufbewahrt werden und dürfen nicht ersetzend digitalisiert oder vernichtet werden.

Hinweis:
Bitte beachten Sie, dass die hier erläuterten Definitionen u.a. eine vereinfachte und kurze Darstellung beinhalten.
Es sollten unbedingt auch weitere spezifische Aspekte je nach Kontext und rechtlichen Vorgaben berücksichtigt werden.

Angebot einholen