Rechtssicheres ersetzendes Scannen mit TR RESISCAN

Mit ersetzendem Scannen nach TR RESISCAN wird endlich Wirklichkeit, was sich viele Unternehmen und Behörden längst zum Ziel gesetzt haben: ein vollständig digitales Arbeiten ohne zusätzliches Papierarchiv im Keller – und ohne das Risiko, dass ein vernichtetes Dokument doch noch einmal gebraucht wird.

Das ist die Zukunft: digitale Aktenführung

Ihr Unternehmen oder Ihre Behörde hat sich entschieden, auf papierlose Prozesse umzustellen, weil das Zeit und Kosten spart – oder weil Sie dazu verpflichtet werden: Die elektronische Patientenakte wird Ende 2024 für alle verbindlich sein. Die Bundesbehörden müssen nach dem E-Government-Gesetz auf elektronische Aktenführung umsteigen, die Justiz wird bis 2026 nachziehen. Auch die Behörden der Länder und Kommunen sind gut beraten, jetzt schon auf die E-Akte umzustellen. Es ist nur eine Frage der Zeit, bis sie auch dort verbindlich wird.

Papierdokumente einscannen – und was passiert mit den Originalen?

Sie möchten also Ihre Unterlagen und Akten einscannen, damit sie in elektronischer Form für digitale Prozesse zur Verfügung stehen. Und was passiert mit den Originalen auf Papier? Im besten Fall können sie vernichtet werden. Im Fachjargon heisst das ersetzendes Scannen oder auch belegersetzendes Scannen: Das elektronische Dokument nimmt die Stelle des Originals ein, das somit nicht mehr aufbewahrt werden muss.

Allerdings war lange Zeit nicht klar, wie ersetzendes Scannen praktisch auszusehen hat. Wie muss man technisch und organisatorisch vorgehen, um keine Aufbewahrungspflichten zu verletzen und den Beweiswert des Originaldokuments nicht zu verlieren? Diesbezügliche rechtliche Regelungen formulierten nur abstrakte Anforderungen, die von den verschiedenen Scanlösungen am Markt zudem sehr unterschiedlich umgesetzt wurden. Es fehlte schlicht eine standardisierte Vorgehensweise. Um hier Abhilfe zu schaffen, entwickelte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Technische Richtlinie (TR) 03138 Ersetzendes Scannen (RESISCAN).

Was ist TR RESISCAN?

Die TR RESISCAN beschreibt einen strukturierten Scanprozess für ein rechtssicheres, DSGVO-konformes ersetzendes Scannen. Aus der Richtlinie geht hervor, welche technischen, organisatorischen und personellen Massnahmen eingehalten werden müssen, wenn neben dem Scannen auch die spätere Vernichtung der Papieroriginale geplant ist. Diese Massnahmen gewährleisten, dass das elektronische Dokument inhaltlich und bildlich exakt mit dem Papierdokument übereinstimmt. So bleibt der Beweiswert der Dokumente erhalten.

Eine besondere Bedeutung kommt dem TR-RESISCAN-Transfervermerk zu. Dabei handelt es sich um eine Information, die dem digitalen Abbild eines Papierdokuments hinzugefügt wird. Der Transfervermerk dient dazu, die ordnungsgemässe Übertragung des physischen Dokuments in ein digitales Format zu dokumentieren. Er stellt sicher, dass der digitale Scan als rechtlich gleichwertiger Ersatz des Originaldokuments angesehen werden kann. Der Transfervermerk im Kontext von TR RESISCAN enthält in der Regel Informationen wie:

• die Identifikation des Originaldokuments,
• den Zeitpunkt der Digitalisierung,
• den Verantwortlichen für die Digitalisierung und
• den Verweis auf die angewendeten technischen und organisatorischen Massnahmen, die zur Sicherstellung der Integrität und Authentizität des Dokuments beitragen.

Voraussetzungen für das TR-RESICAN-zertifizierte ersetzende Scannen

Darf damit nun ausnahmslos jedes Papierdokument vernichtet werden? Nein. Die TR RESISCAN befasst sich nur mit der praktischen Umsetzung. Ob das ersetzende Scannen für die vorliegenden Unterlagen rechtlich zulässig ist, muss vorher geklärt werden. Das Bundesministerium der Finanzen lässt das ersetzende Scannen laut GoBD grundsätzlich zu, sofern die Dokumente nicht nach aussersteuerlichen oder steuerlichen Vorschriften im Original aufzubewahren sind.

Aber tatsächlich treffen diese Ausschlussgründe nur auf sehr wenige Dokumenttypen zu. Von notariell beurkundeten Verträgen, Urkunden, Jahresabschlüssen oder Zollanmeldungen beispielsweise muss weiterhin das Papieroriginal aufbewahrt werden. Die Menge der Dokumente, die für ersetzendes Scannen infrage kommen, ist dagegen um ein Vielfaches höher. Dazu zählen beispielsweise:

• Gerichtsakten
• Verwaltungsunterlagen
• Sozialversicherungsunterlagen
• medizinische Dokumentation
• Buchführungs- und Besteuerungsunterlagen
• Personalakten

Selbst Gerichte und das Finanzamt haben keine grundsätzlichen Einwände gegen das ersetzende Scannen. Unverbindliche rechtliche Hinweise zu den Voraussetzungen für die Vernichtung der Papieroriginale finden Sie im Anwendungshinweis R des BSI.

Anforderungen an E-Akten nach TR RESISCAN: Schutzklassen und Module

Es gibt noch etwas zu bedenken: Nicht alle diese Dokumenttypen müssen gleich behandelt werden. Welche Massnahmen jeweils konkret umzusetzen sind, richtet sich nach der Schutzklasse der betroffenen Dokumente. Die TR RESISCAN unterscheidet die Klassen normal, hoch und sehr hoch in Bezug auf die drei Schutzziele Integrität, Vertraulichkeit und Verfügbarkeit.

Anhaltspunkte zur Einstufung des Schutzbedarfs für die oben genannten Dokumentenarten finden sich ebenfalls im Anwendungshinweis R.

Für die Schutzklasse normal müssen als Mindeststandard die grundlegenden Sicherheitsmassnahmen aus dem Basismodul der TR RESISCAN eingehalten werden.

Für die höheren Schutzklassen kommen die Massnahmen aus den Aufbaumodulen hinzu. Sie bieten einen angemessenen Schutz unter Abwägung von Kosten und Nutzen. Für sehr hohe Anforderungen gelten die strengsten Vorgaben. 

Ersetzendes Scannen nach Gesetz Schritt für Schritt

Der Scanservice von Iron Mountain erfüllt höchste Anforderungen an Integrität, Vertraulichkeit und Verfügbarkeit. So läuft unserer TR-RESISCAN-konformer Prozess im Detail ab:

1. Abholung der Dokumente bei Ihnen vor Ort in sicheren Transportboxen
2. Transport zu einem unserer Scanning-Center in geschützten Fahrzeugen
3. Vorbereitung Ihrer Dokumente mit Entfernung von Klammern, Separierung von Klebezetteln usw.
4. Scannen durch speziell geschultes Personal mit Qualitätskontrolle
5. Nachbearbeitung mit Vollständigkeitsprüfung und Transfervermerk
6. Integritätssicherung zur Unterbindung späterer Manipulation
7. Übergabe auf passwortgeschützter Festplatte oder über ein gesichertes Netzwerk
8. (Optional) Speicherung in einem sicheren Cloud-Archiv zum einfachen Durchsuchen und Abrufen
9. Vernichtung, Einlagerung oder Rückgabe der Papieroriginale

Auch bei der Schutzbedarfsanalyse Ihrer Dokumente im Vorfeld unterstützen wir Sie gern.

Iron Mountain besitzt die TR-RESISCAN-Zertifizierung

Die Technische Richtlinie 03138 des BSI stellt mit ihren standardisierten Vorgaben eine spürbare Erleichterung für Anwender:innen und Anbieter:innen von Scan-Services dar – und für Sie, wenn Sie für Ihr Unternehmen oder Ihre Behörde eine Scanlösung beschaffen oder ausschreiben sollen. Achten Sie deshalb auf die TR-RESISCAN-Zertifizierung.

Wichtig ist ausserdem: Die Konformitätsbestätigung gilt nur für bestimmte Schutzklassen. Iron Mountain kann das ersetzende Scannen für Dokumente bis zur Schutzklasse sehr hoch (bzgl. aller drei Schutzziele: Integrität, Vertraulichkeit und Verfügbarkeit) umsetzen.

Sie benötigen weitere Informationen, möchten sich beraten lassen oder wünschen ein individuelles Angebot? Sprechen Sie uns an!