Rechtssicheres ersetzendes Scannen mit TR RESISCAN

Lösungsübersichten

Iron Mountain ist TR RESISCAN zertifiziert - Erfahren Sie hier mehr über die Lösung für das ersetzende Scannen.

1. Juli 2024 Min.
IM worker scanning documents

Mit ersetzendem Scannen nach TR RESISCAN wird endlich Wirklichkeit, was sich viele Unternehmen und Behörden längst zum Ziel gesetzt haben: ein vollständig digitales Arbeiten ohne zusätzliches Papierarchiv im Keller – und ohne das Risiko, dass ein vernichtetes Dokument doch noch einmal gebraucht wird. Hier erfahren Sie, was die TR RESISCAN des BSI genau ist, welche Voraussetzungen für die Umsetzung gegeben sein müssen und welche Anforderungen zu erfüllen sind.

Papierdokumente einscannen – und was passiert mit dem Original?

Ihr Unternehmen oder Ihre Behörde hat sich entschieden, auf papierlose Prozesse umzustellen, weil das Zeit und Kosten spart – oder weil Sie dazu verpflichtet werden: Die elektronische Patientenakte wird Ende 2024 für alle verbindlich sein. Die Bundesbehörden müssen nach dem E-Government-Gesetz auf elektronische Aktenführung umsteigen, die Justiz wird bis 2026 nachziehen. Auch die Behörden der Länder und Kommunen sind gut beraten, jetzt schon auf die E-Akte umzustellen. Es ist nur eine Frage der Zeit, bis sie auch dort verbindlich wird.

Sie möchten also Ihre Unterlagen und Akten einscannen, damit sie in elektronischer Form für digitale Prozesse zur Verfügung stehen. Und was passiert mit den Originalen auf Papier? Im besten Fall können sie vernichtet werden. Im Fachjargon heißt das „ersetzendes Scannen“ oder auch „belegersetzendes Scannen“: Das elektronische Dokument nimmt die Stelle des Originals ein, das somit nicht mehr aufbewahrt werden muss.

Allerdings war lange Zeit nicht klar, wie ersetzendes Scannen praktisch auszusehen hat. Wie muss man technisch und organisatorisch vorgehen, um keine Aufbewahrungspflichten zu verletzen und den Beweiswert des Originaldokuments nicht zu verlieren? Diesbezügliche rechtliche Regelungen formulierten nur abstrakte Anforderungen, die von den verschiedenen Scanlösungen am Markt zudem sehr unterschiedlich umgesetzt wurden. Es fehlte schlicht eine standardisierte Vorgehensweise. Um hier Abhilfe zu schaffen, entwickelte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Technische Richtlinie (TR) 03138 Ersetzendes Scannen (RESISCAN).

Voraussetzungen für ersetzendes Scannen: Prozess und Zulässigkeit

Die TR-RESISCAN beschreibt einen strukturierten Scanprozess für ein rechtssicheres, DSGVO-konformes ersetzendes Scannen. Aus der Richtlinie geht hervor, welche technischen, organisatorischen und personellen Maßnahmen eingehalten werden müssen, wenn neben dem Scannen auch die spätere Vernichtung der Papieroriginale geplant ist. Diese Maßnahmen gewährleisten, dass das elektronische Dokument inhaltlich und bildlich exakt mit dem Papierdokument übereinstimmt. So bleibt der Beweiswert der Dokumente erhalten.

Darf damit nun ausnahmslos jedes Papierdokument vernichtet werden? Nein. Die TR Resiscan befasst sich nur mit der praktischen Umsetzung. Ob das ersetzende Scannen für die vorliegenden Unterlagen rechtlich zulässig ist, muss vorher geklärt werden. Das BMF lässt das ersetzende Scannen laut GoBD grundsätzlich zu, sofern die Dokumente nicht nach außersteuerlichen oder steuerlichen Vorschriften im Original aufzubewahren sind.

Aber tatsächlich treffen diese Ausschlussgründe nur auf sehr wenige Dokumenttypen zu. Von notariell beurkundeten Verträgen, Urkunden, Jahresabschlüssen oder Zollanmeldungen beispielsweise muss weiterhin das Papieroriginal aufbewahrt werden. Die Menge der Dokumente, die für ersetzendes Scannen infrage kommen, ist dagegen um ein Vielfaches höher:

Wir stellen fest: Selbst Gerichte und das Finanzamt haben keine grundsätzlichen Einwände gegen das ersetzende Scannen. Unverbindliche rechtliche Hinweise zu den Voraussetzungen für die Vernichtung der Papieroriginale finden Sie im Anwendungshinweis R des BSI.

Anforderungen nach TR RESISCAN: Schutzklassen und Module

Es gibt noch etwas zu bedenken: Nicht alle diese Dokumenttypen müssen gleich behandelt werden. Welche Maßnahmen jeweils konkret umzusetzen sind, richtet sich nach der Schutzklasse der betroffenen Dokumente. Die TR RESISCAN unterscheidet die Klassen „normal“, „hoch“ und „sehr hoch“ in Bezug auf die drei Schutzziele Integrität, Vertraulichkeit und Verfügbarkeit.

Anhaltspunkte zur Einstufung des Schutzbedarfs für die oben genannten Dokumentenarten finden sich ebenfalls im Anwendungshinweis R.

Für die Schutzklasse „normal“ müssen als Mindeststandard die grundlegenden Sicherheitsmaßnahmen aus dem Basismodul der TR RESISCAN eingehalten werden.

Für die höheren Schutzklassen kommen die Maßnahmen aus den Aufbaumodulen hinzu. Sie bieten einen angemessenen Schutz unter Abwägung von Kosten und Nutzen. Für sehr hohe Anforderungen gelten die strengsten Vorgaben.

Zertifizierung nach TR RESISCAN

Die Technische Richtlinie 03138 des BSI stellt mit ihren standardisierten Vorgaben eine spürbare Erleichterung für Anwender und Anbieter von Scan-Services dar – und für Sie, wenn Sie für Ihr Unternehmen oder Ihre Behörde eine Scanlösung beschaffen oder ausschreiben sollen. Achten Sie deshalb auf die TR-RESISCAN-Zertifizierung.

Wichtig ist außerdem: Die Konformitätsbestätigung gilt nur für bestimmte Schutzklassen. Iron Mountain kann das ersetzende Scannen für Dokumente bis zur Schutzklasse „sehr hoch“ (bzgl. aller drei Schutzziel: Integrität, Vertraulichkeit und Verfügbarkeit) umsetzen.

Ersetzendes Scannen Schritt für Schritt

Der Scanservice von Iron Mountain erfüllt höchste Anforderungen an Integrität, Vertraulichkeit und Verfügbarkeit. So läuft unserer TR-RESISCAN-konformer Prozess im Detail ab:

  1. Abholung der Dokumente bei Ihnen vor Ort in sicheren Transportboxen
  2. Transport zu einem unserer Scanning-Center in geschützten Fahrzeugen
  3. Vorbereitung Ihrer Dokumente mit Entfernung von Klammern, Separierung von Klebezetteln usw.
  4. Scannen durch speziell geschultes Personal mit Qualitätskontrolle
  5. Nachbearbeitung mit Vollständigkeitsprüfung und Transfervermerk
  6. Integritätssicherung zur Unterbindung späterer Manipulation
  7. Übergabe auf passwortgeschützter Festplatte oder über ein gesichertes Netzwerk
  8. (Optional) Speicherung in einem sicheren Cloud-Archiv zum einfachen Durchsuchen und Abrufen
  9. Vernichtung, Einlagerung oder Rückgabe der Papieroriginale

Auch bei der Schutzbedarfsanalyse Ihrer Dokumente im Vorfeld unterstützen wir Sie gern.

Sie benötigen weitere Informationen, möchten sich beraten lassen oder wünschen ein individuelles Angebot? Sprechen Sie uns an!

 
Online data backup for companies
Blogs und Artikel

Online-Datensicherung für Unternehmen

Speichern Sie Ihre Dokumente revisionssicher und digital - potentielle Risiken und wie Sie diesen vorbeugen
Digital pathology - employee with a microscope
Blogs und Artikel

Artikel auf “digital health industry”: Digitale Pathologie - Schneller und präziser

Lesen Sie in diesem Artikel auf “digital health industry", wie durch das Digitalisieren von Objektträgern schnellere Analysen, präzisere Diagnosen und eine verbesserte Patientenerfahrung möglich sind.
Paper may be putting you at risk - GO PAPERLESS!Premium

Webinarvideo: Die Finanzbranche auf dem Weg in die Digital Society

Erfahren Sie in unserem Webinar, wie die Digital Society die Finanzbranche verändert! Themen wie neue Technologien, Nachhaltigkeit, Resilienz und Open Finance sind dabei wichtige Aspekte.
Weitere Ressourcen anzeigen