Mobil Scannen nach Resiscan

23.05.2019

Alles wird einfacher mit der aktuellen Version der TR 03138 Resiscan, wenn man elektronische Signaturen und die TR-ESOR einfach ignoriert. So kann man dann auch mobil Dokumente scannen und für die Archivierung bereitstellen. Hierfür erhielt die App trebono der 2KS Cloud nun eine BSI-Zertifizierung.  "Der Scanprozess trebono Cloud Services bietet seinen Nutzern das zertifizierte Verfahren für das ersetzende Scannen an. Ein eingescannter Beleg wird in der App mit einer Prüfsumme versehen und an die Cloud geschickt. In einem vorher auswählbaren Prozess kann der Beleg zur Integritätssicherung elektronisch signiert werden. Das erhöht den Schutz zusätzlich. Bei beiden Methoden wird der Beleg anhand der Prüfsumme auf Veränderungen überprüft und erst danach der Archivierung und Weiterverarbeitung zugeführt."

Das Verfahren ist denkbar einfach. Es wird eine Prüfsumme über das erfasste Objekt gebildet und drangehängt. Bei Informationsobjekten, die einen Header und Trailer haben, ist ein solches Verfahren mit Zeitstempeln und Prüfsummen seit Jahrzehnten üblich. Bisher hatte das BSI Bundesamt für Sicherheit in der Informationstechnologie nur lokale Verfahren, wo ein Scanner direkt in ein System eingebunden ist, zertifiziert. Die Nutzung eines PCs war in den Zeiten vor eIDAS auch notwendig um z.B. mit einer kartenbasierten qualifizierten elektronischen Signatur die Dokumente "rechtssicher" oder später abgeschwächter "beweissicher" zu machen. Mit dem Verfahren für Apps steht nunmehr auch der Speicherung über und in der Cloud nichts mehr im Weg. Mit dem Free Flow of Data kann dies in allen Staaten der EU gemacht werden.

Leider wird in der Pressemitteilung wieder der Begriff "rechtssicher" und "Rechtssicherheit" benutzt. Diese war und ist nicht gegeben, da sich auch Gesetze jederzeit - und sogar rückwirkend - ändern können. Auch wird hier weiterhin der Mythos befördert, man brauche bei kaufmännischen Belegen beim Scannen eine Signatur, damit man das Papier vernichten (oder unterwegs erst gar nicht mitnehmen) muss. Das ist nicht richtig, denn die GoBD sagen ausdrücklich, dass beim Scannen keine Signatur erforderlich ist - es sei denn, andere Gesetze oder Verordnungen erfordern dies (und damit sind wir dann wie beim EGovG oder bei der SRVwV). Wenn meine Prozesse sicher und nachvollziehbar sind, kann man auf Mechanismen wie das Signieren beim Scannen komplett verzichten.

Positiv ist aber zu vermerken, dass man die Resiscan auch ohne das Nachsignieren mittels TR-03125 einsetzen kann. Das Arbeiten mit Prüfsummen und Zeitstempeln in Verbindung mit einem abgesicherten Audit-Trail (das fehlt allerdings noch beim dezentralen Einsatz über Apps und der Cloud) ist sinnvoll und ermöglicht revisionssichere Lösungen. Da das Verfahren mit einer einfachen Prüfsumme so herrlich einfach ist, werden auch andere Anbieter schnell nachziehen.

 

Kommentare

Vielen Dank für Ihren Kommentar in Bezug auf unsere BSI-Zertifizierung.
https://www.project-consult.de/news/2019/mobil-scannen-nach-resiscan

Erlauben sie mir an dieser Stelle eine kurze Anmerkung zu ihrem Statement:
'Positiv ist aber zu vermerken, dass man die Resiscan auch ohne das Nachsignieren mittels TR-03125 einsetzen kann. Das Arbeiten mit Prüfsummen und Zeitstempeln in Verbindung mit einem abgesicherten Audit-Trail (das fehlt allerdings noch beim dezentralen Einsatz über Apps und der Cloud) ist sinnvoll und ermöglicht revisionssichere Lösungen. Da das Verfahren mit einer einfachen Prüfsumme so herrlich einfach ist, werden auch andere Anbieter schnell nachziehen.‘

trebono hat einen Audit Trail von der Sekunde der Erstellung bis zur Löschung (nach 12 Jahren). Alle Informationen wie z.B. Wer hat sich was angeschaut, wer hat wann welche Meta-Daten verändert oder hinzugefügt, etc. werden durch einen Logging Mechanismus protokolliert.

Jörg Klingler
Vorsitzender der Geschäftsführung /
Geschäftsführender Gesellschafter
2KS Cloud Services GmbH

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Der zitierte Absatz zielt auf zwei Dinge: a) dass man durchaus ohne qualifizierte Signaturen beim Scannen ResiScan-konform erfassen kann, und b) auf "das Arbeiten mit Prüfsummen und Zeitstempeln in Verbindung mit einem abgesicherten Audit-Trail". Wie sieht es denn damit aus?

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Wie in meiner Antwort erwähnt, es gibt einen sicheren Audit-Trail. Er liegt in einer eigenen Umgebung und ist nicht löschbar. Sollten Sie noch weitere Informationen benötigen, können Sie mich gerne jederzeit direkt kontaktieren.

dsgvo_einverstaendnis_comment
Einverständniserklärung nach DSGVO
Einhaltung der EU-Urheberrechtsrichtlinie
Einhaltung der EU-Urheberrechtsrichtlinie

Neuen Kommentar schreiben

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.
Ich versichere, alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Dies betrifft besonders die Nicht-Verwendung von urheberrechtlich geschütztem Material und die Nicht-Verwendung von Inhalten und Links zu Inhalten, die dem Leistungsschutz unterliegen. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSLT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons Vorgaben gewahrt. Für die Verfolgung mißbräuchlicher Nutzung meiner Beiträge durch Dritte bin ich selbst verantwortlich.

This question is for testing whether or not you are a human visitor and to prevent automated spam submissions.