Kritisches Positionspapier von PwC zu TR-RESISCAN
Unter Anwendern und in der ECM-Branche sorgt die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegebene technische Richtlinie für das ersetzende Scannen TR-RESISCAN beziehungsweise BSI TR 03138 für viel Verdruss. Die darin enthaltenen überzogenen, widersprüchlichen, wirkungslosen und realitätsfremden Anforderungen stehen stark in der Kritik. Nun hat die Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers in Zusammenarbeit mit dem ECM-Beratungsunternehmen Zöller & Partner ein TR-RESISCAN-Positionspapier veröffentlicht, das diese Kritik untermauert.
Anwender scheuen Vernichtung des Originals
Inhalt dieses Artikels
Als Entscheidungshilfe und Handlungsleitfaden für Anwender in Justiz, Verwaltung, Wirtschaft und Gesundheitswesen ist die vom BSI 2013 veröffentlichte technische Richtlinie gedacht. Sie beschreibt wie Anwender rechtlich abgesichert Papierdokumente einscannen und anschließend das Original vernichten können. Gerade die öffentlichen Einrichtungen interessieren sich prinzipiell für eine entsprechende Hilfestellung. Sie sind durch die Digitale Agenda und das E-Government-Gesetz dazu angehalten, die elektronische Akte (E-Akte) als führende und alleinige Akte einzuführen. Aktuell vernichten allerdings laut PwC-Analysen nur 17,1 Prozent der öffentlichen Verwaltungen auf kommunaler Ebene aktenrelevante Papierdokumente nachdem sie einer E-Akte zugeordnet wurden. Auf Länderebene beträgt die Zahl 21,6 Prozent und auf Bundesebene 44,4 Prozent.
Unverhältnismäßig hoher Aufwand
Entgegen der Zielsetzung sorgt die TR-RESISCAN, wie das PwC-Positionspapier festhält, nicht dafür, dass entsprechend gestaltete Scan-Verfahren zu einer Beweiskraft führen, die mit der Beweiskraft eines in Papierform aufbewahrten Dokuments vergleichbar ist. Dass das Ziel verfehlt wird, liegt nicht daran, dass die Verfasser an den empfohlenen Mitteln gespart hätten. Im Gegenteil bemängelt PwC, dass der Aufwand für die Vorbereitungen und Umsetzung der Maßnahmen, die TR-RESISCAN empfiehlt, kaum zu rechtfertigen ist. In einem mittelständischen Unternehmen könne alleine die Strukturanalyse und Schutzbedarfsfeststellung mehrere Personenwochen in Anspruch nehmen. Ein Thema ist hierbei auch Ersetzendes Scannen, das bei Xerox-Scannern zu Fehlern führte; der Fehler ist mittlerweile behoben.
Überzogenes Signaturverfahren
Das Positionspapier geht auch auf das stark kritisierte Signaturverfahren ein und bemängelt dies ebenfalls. Für die Signaturverfahren müssten Betreiber komplexe Hard- und Softwarekomponenten erwerben, die als Standardgesamtlösungen derzeit am Markt kaum erhältlich sind. PwC beanstandet zudem, dass TR-RESISCAN alternative – und auch günstigere – Möglichkeiten zur elektronischen Signatur nur in begründeten Ausnahmefällen zulässt.
TR-RESISCAN 2.0 ist gefragt
Im Schlussfazit plädiert PwC eindeutig für eine grundlegende Überarbeitung der TR-RESISCAN. Gerade im Hinblick auf ihre Grundintention, Anwendern eine Hilfestellung zu geben, erweise sie sich als wenig praxisgeeignet und tendiere in vielen Punkten zur Überregulierung.