Das Wiesbadener Urteil zum Scannen

28. November 2014 13:49 Uhr  |  Dr. Ulrich Kampffmeyer  |  Permalink


Es ist selten genug, dass man in einem Gerichtsprozess über das richtige Scannen von Dokumenten urteilt und dann auch gleich noch Scannen mit elektronischer Signatur nach der BSI TR 03138 ResiScan. Das Urteil des Verwaltungsgerichtes Wiesbaden 6 K 691/14.WI.A vom 26.09.2014 zum Scanvorgang bei der elektronischen Aktenführung enthält ein paar beachtenswerte Passagen.

Es geht um die Ausweise iranischer Flugpassagiere am Flughafen Frankfurt. Sie haben französische Papiere und können kein Französisch. Sie beantragen Asyl wegen Verfolgung in Persien. Es geht um die Anerkennung des Flüchtlingsstatus.
Was hat dies jedoch alles mit dem Scannen zu tun?

In der Klage (siehe JurPC Web-Dok. 170/2014 – DOI 10.7328/jurpcb20142911175) wird die elektronische Ausländerakte herangezogen. Diese enthält mangelhaft gescannte, unleserliche Dokumente. Die Ausländerbehörde verlegt sich darauf, ordentlich nach BSI -Technische Richtlinie 03138 – ersetzendes Scannen – gearbeitet zu haben. Beim Kopieren von Ausweisen gäbe es halt technische Restriktionen am Flughafen. Im Text zum Urteil geht es dann so weiter (Zitat, Absatz 24 – 31):

 

Abs. 24
Soweit sich die Ausländerbehörde auf die BSI -Technische Richtlinie 03138 – ersetzendes Scannen bezieht, verkennt sie, dass Unterlagen in Behördenakten eine Bedeutung und Urkundseigenschaft haben. Insoweit wird von der Bundespolizei bei der Fertigung von Kopien von Ausweisen nicht nur darauf geachtet, dass diese Kopien lesbar sind, sondern sie werden darüber hinaus auch dergestalt beglaubigt, dass ein Beamter bescheinigt, dass die Kopie mit dem Original übereinstimmt. Insoweit ist, wie in der technischen Richtlinie des BSI vorgesehen, im Falle eines ersetzenden Scannens zwingend jedes eingescannte Dokument auf seine Qualität zu prüfen und von der einscannenden Person entsprechend mit einem Übereinstimmungsvermerk qualifiziert zu signieren ist.

 

Abs. 25
Dieser Prozess des "ersetzenden" Scannens wird insoweit von der Finanzverwaltung erkannt, als der Erlass Dienstanweisung zum Kindergeld nach dem Einkommenssteuergesetz (DA-KG), BStBl 2014, S. 918, unter O 2.7 "Kindergeldakte", Unterziffer O 2.73 "elektronische Akten" in dem dortigen Absatz 1 Satz 2 ausdrücklich ausgeführt wird, "die qualifizierte Signatur des gescannten Papierdokuments dient als Nachweis für einen ordnungsgemäßen Scanvorgang".

 

Abs. 26
Auf einen solchen mag man verzichten, wenn die elektronische Akte allenfalls als Hybridakte geführt wird und die Unterlagen (insbesondere Gerichtsentscheidungen, Flugtickets, Personalpapiere, usw.) in einer Papierakte oder Dokumentenakte erhalten bleiben. Dass eine qualifizierte Signierung und damit Beglaubigung des Scans für ein jedes Dokument zwingend erforderlich ist, ergibt sich auch aus § 55b VwGO. Dort ist in Absatz 4 geregelt, dass, wenn ein in Papierform eingereichtes Dokument in ein elektronisches Dokument übertragen werden soll, dieses den Vermerk erhalten muss, wann und durch wen die Übertragung vorgenommen worden ist. Ferner bedarf es einer Rückführung in einen Ausdruck des Vermerkes, welches Ergebnis die Identitätsprüfung des Dokumentes aufweist, wen der Inhaber der Signatur ausweist und welchen Zeitpunkt durch die Signaturprüfung für die Anbringung der Signatur ausweist.

 

Abs. 27
Dies ist vorliegend alles bei der "Ausländerakte" nicht gegeben.

 

Abs. 28
Nach dem vorgelegten Verfahrensverzeichnis ist auch eine Übermittlung der "elektronischen Akte" an das Gericht ebenso wenig nicht vorgesehen, wie an andere Ausländerbehörden. Allenfalls ist eine Übermittlung nach § 17 Abs. 2 HDSG (Datenübermittlung in einen Staat außerhalb des Geltungsbereiches der EG-Datenschutzrichtlinie) an Ausländerbehörden, Gerichte und Einbürgerungsbehörden in fremde Staaten, die nicht der Europäischen Gemeinschaft angehören, vorgesehen. Deutsche Behörden sind jedenfalls für eine Datenübermittlung nicht erfasst. Eine insoweit ggf. erfolgende Datenübermittlung nach § 14 HDSG ist unter Ziffer 5 des Verfahrensverzeichnisses gerade nicht aufgenommen. Dort heißt es lediglich "es werden keine Daten regelmäßig übermittelt (Übermittlung AZR, usw. wird über das Fachverfahren LAVITRA-NT direkt vorgenommen) – nicht über die Archivierungssoftware." Dabei ist auffällig, dass die Ausländerbehörde offensichtlich davon ausgeht, dass die bei ihr lebenden Ausländer auf Dauer in dem Landkreis verbleiben und eine Aktenweitergabe an andere Ausländerbehörden aufgrund Umzugs oder andere Umstände offensichtlich nicht erfolgt.

 

Abs. 29
Auch ist aus dem Verfahrensverzeichnis nicht ersichtlich, wie mit Daten nach Art. 8 EG-Datenschutzrichtlinie (sog. Besondere Arten personenbezogener Daten) umgegangen werden soll und wie ein gesonderter Schutz dieser Daten erfolgen soll.

 

Abs. 30
Im Ergebnis führt die Ausländerbehörde aktuell nur irgendwelche Kopien, über deren Richtigkeit und ihren Nachweisgehalt in einem Freibeweis entschieden werden müsste. Dies wird dadurch erschwert, dass die vorliegenden ausgedruckten Seiten der Scans Dokumente im Einzelfall nicht vollständig enthalten, die Scans unscharf oder verkleinert bzw. abgeschnitten sind (bezüglich der Mängel der elektronischen Akte des Bundesamtes für Migration und Flüchtlinge siehe VG Wiesbaden, Urteil vom 28.02.2014, Az. 6 K 152/14.WI.A, NJW 2014, S. 260 f.).

 

Abs. 31
Die zuvor ausgeführten ausländerrechtlichen Aktenmängel können nicht zum Nachteil der Kläger gereichen.

 

(Zitat Ende)

 

 

Was entnimmt der aufmerksame Elektronische Archivar nun diesem Urteil?!

 

(Abs. 24) Wenn schon nach TR 03138 scannen, dann aber bitte mit Signatur des SCANNENDEN und bitte mit Qualitätssicherung JEDEN Dokumentes. Ja, jedes einzelne Dokument ist zu prüfen und einzeln zu signieren. Die Dokumente der Ausländerbehörde haben Urkundencharakter. Scannen mit Massensignatur und nur stichprobenhafter Überprüfung der Qualität geht also auch nicht!
 

(Abs. 24) Implizit: das ersetzende Scannen nach BSI TR 03138 trifft ja eigentlich nicht zu, da nach dem Scannen der Ausweis nicht vernichtet wurde, sondern weiterhin vorhanden ist und vorgelegt werden kann. Es gab kein ERSETZENDES Scannen. Hätte man aber wirklich nach der TR 03138 ResiScan gearbeitet, dann hätte doch jedes Dokument lesbar und sauber sein müssen, oder?
 

(Abs. 25) Man bezieht sich auf Regelungen des Einsatzes der elektronischen SIgnatur beim Scannen entsprechend der Finanzverwaltung. Für Unternehmen spielte dank der weisen Entscheidungen der obenen Finanzbehörden die elektronische Signatur seit langem keine Rolle mehr. Kommt sie hier durch solche Regelungen mit der TR 03138 hintenrum wieder ins Spiel? Die "Kindergeldakte" lässt grüßen – hoffentlich nur in der öffentlichen Verwaltung.
 

(Abs. 25) Hier wird endlich klar, wer an den Scanner oder zumindest an den Signier- und Qualitätssicherungsarbeitsplatz gehört: Beamte! Es geht um "Beglaubigungen" und so steht dort schön "sondern sie werden darüber hinaus auch dergestalt beglaubigt, dass ein Beamter bescheinigt, dass die Kopie mit dem Original übereinstimmt."
 

(Abs. 26) Auch hier wird von "beglaubigen" gesprochen und und das dies aus der VwGO Verwaltungs-Geschäftsordnung sich so ergäbe. Darf eine "Scan-Kraft" "beglaubigen"? 
 

(Abs 27) Es gibt eine Verfahrensdokumentation, hier "Verfahrensverzeichnis" genannt, – aber das hat offenbar nicht gelangt, den Richter von der Qualität des gescannten Ergebnisses zu überzeugen. Oder sollte es so gewesen sein, dass garnicht nach den Vorgaben des Verfahrensverzeichnisses beim Scannen der Ausweise gearbeitet worden ist? Dass es die Vorgaben und Prozessbeschreibungen zwar gibt, aber sie nicht umgesetzt werden? Auch nicht gut.  

 

Zum Schluss noch einmal zusammenfassend die Leitsätze des Urteils im Wortlaut (Zitat):

 

Beim Scannen zur Erstellung einer elektronischen Akte ist sicher zu stellen, dass mangelhafte Scanvorgänge erkannt werden. Insoweit bedarf es beim Scannen einer entsprechenden Qualitätskontrolle, welche auch sicherstellt, dass die Dokumente in der Originalgröße, in den Originalfarben, sowie richtig lesbar und vollständig eingescannt werden.

Unterlagen in Behördenakten haben eine Bedeutung und Urkundseigenschaft.

Im Falle eines ersetzenden Scannens ist jedes eingescannte Dokument zwingend auf seine Qualität zu prüfen und von der einscannenden Person entsprechend mit einem Übereinstimmungsvermerk qualifiziert zu signieren ist.

Ist dies nicht der Fall, so führt die Ausländerbehörde nur irgendwelche Kopien, über deren Richtigkeit und ihren Nachweisgehalt in einem Freibeweis entschieden werden muss.

(Zitat Ende)

 

Hätte also – abgesehen davon, dass es nicht um "ersetzendes Scannen" ging – nur ein Beamter scannen und signieren dürfen? Sieht so aus.

Gilt dies dann generell?

Damit hätten wir eine gute Verwendung für all die Beamten, die durch E-Government in den Verwaltungen zukünftig wegoptimiert werden: ab in die Posteingangsabteilungen zum Scannen!

 

Ulrich Kampffmeyer

Dr. Ulrich Kampffmeyer

Curriculum auf Wikipedia https://de.wikipedia.org/wiki/Ulrich_Kampffmeyer

20 Kommentare zu “Das Wiesbadener Urteil zum Scannen

  • Eigenmächtige Scanner fälschen Daten
    31. Dezember 2014 um 15:56
    Permalink

    Ja, ja, das Scannen mit Signatur bringt natürlich dann die beste Sicherheit, wenn wirklich jede Seite gelesen und mit dem Original verglichen wird – Buchstabe für Buchstabe, Ziffer für Ziffer.

    Auf dem Chaos Communication Congress 31C3 wurde der "berühmte Xerox-Scanner-Fall" der Verfälschung von Zahlen und Zeichen beim Scannen aufgegriffen. David Kriesel beschreibt in seinem Beitrag "Trau keinem Scan den Du nicht selbst gefälscht hat" (Video https://www.youtube.com/watch?v=Vp03vyNspyI; Folien http://www.dkriesel.com/_media/blog/2014/xerox-ccc-davidkriesel.pdf) sehr amüsant die Geschichte wie Xerox auf die Geschichte im Sommer 2013 – zunächst nicht – reagierte. Der Beitrag beschreibt auch andere Probleme der Kompression, die zu Inhaltsveränderungen führen. Der Fehler war bei Xerox bekannt und betraf nahezu alle WorkCentre-Multifunktionsgeräte. Der Fehler im Pattern Matching Algorithmus der Kompression in allen drei PDF-Modi (normal, higher, highest) existierte seit 8 Jahren.

     

    Und natürlich stellt sich jetzt hier auch die Frage, ob ein solcher Scan vor Gericht Bestand hätte. Diese Frage hatte sich bereits bei den "Nürnberger Scan-Prozessen" gestellt.

    Und das Traurige daran ist, auch das Signieren des Scans, dass die Übereinstimmung bestätigen (beglaubigen) soll, hilft nicht weiter, wenn man ein Massensignaturverfahren einsetzt, nur Stichproben prüft und die Prüfung nur eine oberflächliche Sichtprüfung ist.

    Schöner Overhead der durch die Fehler in der Basistechnologie der Erfassung und Komprimierung selbst ad absurdum geführt wird.

    Antwort
  • Vertrauensverlust
    30. Januar 2015 um 9:17
    Permalink

    Sie nutzen die “eigenmächtige Fälschung” um auf die Unzulänglichkeiten des elektronischen Signierens hinzuweisen. Damit haben Sie natürlich Recht, aber der “Fehler in der Basistechnologie” ist für mich weitaus bedenklicher: Ein mit dieser Technologie kompimierter Scan ist keine exakte Kopie mehr und der Einsatz in einem regulierten Umfeld als Ersatz für das Original damit nicht empfehlenswert. Selbst wenn “nur” leere Ankreuzfelder wiederverwendet würden, um die Dateigröße zu verringern, hätte ich ein schales Gefühl, wenn ich bei einer entsprechenden Vergrößerung feststellen würde, dass das Bitmap für die Ankreuzfelder exakt identisch ist – normalerweise ist das wegen minimaler Unterschiede beim Ausdruck oder aber Verschmutzungen der Vorlage oder des Scanners ja eher unwahrscheinlich. Insofern ist der dafür verantwortliche JBIG2-Algorithmus für die Digitalisierung so ungefähr das, was Gentechnik für Nahrungsmittel ist. Und unter bestimmten Umständen mit dem Label “Garantiert JBIG2-frei” zu arbeiten, würde durchaus Sinn machen.

    Antwort
    • Scanner fälschten Daten: Vertrauensverlust?
      18. Februar 2015 um 10:35
      Permalink

      Lieber Kollege Bursian,

      die Frage einer "exakten Kopie" eines analogen Dokumentes beim Scannen stellt sich grundsätzlich. Es beginnt bei der Auflösung beim Abtasten (real oder interpoliert), dem Abtastverfahren in Bezug "Farbtreue", dem mehrfachen Kopieren der Datei von einem in den anderen Zwischenspeicher, der Bildverbesserungs-Nachbearbeitung mit Aligning, Despeckling und auch dem Komprimierungsverfahren. Von der Idee des "Scan-Originals" müssen wir uns grundsätzlich trennen. Da hilft auch kein Signieren und Nachsignieren.

      JBIG-Kompression jedoch grundsätzlich zu "verdammen" ist falsch, denn bei dem eingesetzten Verfahren handelte es sich um eine besondere speicherplatzsparende Variante von JBIG2 mit "Pattern Matching". In der Verwendung einmal erkannter Muster bei ähnlichen später ermittelten Mustern lag der Fehler. JBIG2 ohne "Pattern Matching" funktioniert sehr gut und sicher. Daher war der Fehler auch schnell und einfach behebbar.

      In einer vollständig digitalisierten Welt müssen wir uns an solche Fehler gewöhnen oder aber sorgfältiger Arbeiten. Unsere Programmierumgebungen, Testverfahren und die unglaubliche Beschleunigung der Release-Abfolgen sind das eigentlich Problem auf der Entwicklungsseite. Und – der Fehler war XEROX sogar bekannt, wurde nur in seiner Auswirkung unterschätzt. Mit TIFF/ITU6.2 oder einer deutlich höheren Auflösung wäre es nicht passiert, denn die großen Fehlerraten traten bei 200 dpi auf. Ihr Marktbgleiter M. scannt beim Dienstleister IM daher mit 600 dpi. Hier wären selbst gelegentliche "Ersetzungsfehler" nicht feststellbar gewesen. 

      Meines Erachtens ist das wirkliche Problem, dass bei Tests, Abnahmen und Qualitätssicherung im laufenden Betrieb dieser Fehler bei zigtausenden installierten Geräten über sieben Jahre nicht bemerkt wurde. Wie wurden denn solche Systeme vom Kunden abgenommen? Wie kann es passieren, dass die visuelle Qualitätssicherung beim Erfassen so versagt hat?

      Das alleinige visuelle Prüfen versagt -ein kurzer Blick auf jedes 50ste Dokument auf dem Bildschirm langt nicht. Hier hilft auch nicht das Signieren um den "Beweiswert" des erfassten Dokumentes zu "verbessern". Es müssen Verfahren her, die nach dem OCR-Auslesen des Dokumentes den Inhalt auch auf Konsistenz und Logik sowie gegen gesicherte Taxonomien und Stammdaten-Bestände prüfen. Dies erlaubt auch die Sicherstellung der Lesbarkeit des Dokumentes durch den Menschen am Bildschirm – was wir im Moment noch durch Scan- und QS-Kräfte beim Scannen oberflächlich prüfen lassen – und im Ausdruck (der übrigens auch noch mal Veränderungen des "Originals" in Bezug auf Größe und Farbe mit sich bringen kann). Solche automatisierbaren Prüfverfahren lassen weniger Fehler durch als der Mensch.

      Die Konsequenz des "XEROX"-Falles gerade im Licht der "Wiesbadener Anekdote zur BSI TR 03138" ist – bessere Entwicklung mit mehr Qualität im Design der Lösung und systematischen Prüfungen, sorgfältigere Tests und Abnahmen beim Nutzer sowie im Anwendungsprozess die Ergänzung visueller Prüfung durch automatisierte Qualitätssicherungsverfahren. 

      Ulrich Kampffmeyer

      Antwort
  • JBIG2-Kompression in Deutschland und der Schweiz nun verboten?
    17. März 2015 um 17:14
    Permalink

    Das BSI Bundesamt für Sicherheit in der Informationstechnik hat die "XEROX-Story" (http://bit.ly/1ABn4EY, http://bit.ly/1EnrMHO, http://bit.ly/XEROXscan und http://bit.ly/1BQUIKY) aufgegriffen. Das BSI ist der Meinung , dass technisch und kaum sichtbar veränderte Scans ein Sicherheitsproblem sind (http://bit.ly/ReSiScan).

     

    "Bei der Umsetzung der TR-RESISCAN ist hinsichtlich der Auswahl geeigneter Kompressionsverfahren folgende Regelung zu beachten:

    • Beim Scannen MUSS auf die Auswahl geeigneter Bildkompressionsverfahren geachtet werden. 
    • Als grundsätzlich geeignet werden sowohl verlustfreie als auch verlustbehaftete Verfahren angesehen.
    • Verfahren, die zur Bildkompression die sog. „Pattern Matching & Substitution“ – Vorgehensweise nutzen, DÜRFEN NICHT eingesetzt werden. Auch das verwandte „Soft Pattern Matching“ DARF NICHT eingesetzt werden.

    […] Diese Regelung ist ab sofort (16.03.2015) gültig und wird mit dem nächsten Release in die Technische Richtlinie BSI TR-03138 aufgenommen."

     

    JBIG2 soll zukünftig nicht mehr verwendet werden dürfen. Dies betrifft nicht nur den verlustbehafteten Pattern-Matching-Modus bei geringer Auflösung sondern gleich JBIG2 generell. Damit müssten alle Scanner- und Softwareprodukte, die dieses Komprimierungsverfahren einsetzen, nunmehr geändert werden. Aber dies betrifft nicht nur Deutschland. Auch die Schweizer "Koordinationsstelle für die dauerhafte Archivierung elektronischer Unterlagen" (KOST) kommt zum gleichen Ergebnis und lehnt JBIG2 auch gleich ganz ab. Die Erkenntnisse von David Kriesel (http://bit.ly/1BQUIKYhttp://bit.ly/1ABn4EY siehe auch unseren Beitrag hier http://bit.ly/XEROXscan) zeigen Wirkung.

     

    Könnte eine sehr interessante Frage beim CeBIT-Besuch sein: "welches Komprimierungsverfahren setzt ihre Scan-Software ein" 🙂 

    Da kommt einiges an Arbeit auf Anbieter und Anwender zu – wenn man das wirklich ernst nimmt. Zumindest in der öffentlichen Verwaltung in Deutschland dürften jetzt viele Fragezeichen in den Köpfen sein – sind doch TR 03138 und TR 03125 über das Organisationskonzept elektronische Verwaltungsarbeit direkt im E-Government-Gesetz verankert. Was tun mit den vorhandenen Lösungen, was tun in Zukunft? Aber ich möchte noch einmal daraufhinweisen, dass der Fehler nur bei sehr geringer Auflösung und der Wahl eines bestimmten Modus auftrat. Man schießt nun über das Ziel hinweg. Und – allein ein XEROX-Problem ist das wahrlich nicht.

     

    Es wird die Bedeutung der Qualität des Scan-Prozesses selbst ignoriert. Verbieten eines Algorithmus hilft nicht. Elektronische Signaturen zu fordern, um aus den Scans "rechtssichere Dokumente" zu machen, hilft auch nicht. Es geht um die Sorgfalt im Prozess selbst. Aktivismus wie seitens BSI und KOST hilft nicht weiter.

     

    Wir brauchen mehr Qualität und Sorgfalt in den Prozessen der Informationsgewinnung und Informationsaufbereitung. Wie anderen Ortes bereits postuliert (http://bit.ly/Scan-Vertrauen) – durch die automatische Erkennung und Verarbeitung der Inhalte der Dokumente selbst lassen sich auch solche Scan-Fehler finden. Der automatischen Prüfung ist damit der Vorzug vor der Sichtkontrolle zu geben, da die automatische Verarbeitung schneller und sorgfältiger als die rein visuelle Überprüfung durch den Menschen ist.

     

    Und noch einmal – der eigentliche Skandal beim "XEROX-Fall" ist, dass bei tausenden von installierten Geräten niemand über Jahre die auftretenden Fehler bemerkt hat. Und ich könnte mir auch vorstellen, dass es elektronisch signierte fehlerhafte Dokumente gibt – die nun mehr als beweiswerterhaltend und rechtssicher einzustufen sind.

     

    Und – damit sind wir bei der abschließenden Frage: "was machen wir denn mit allen den Milliarden Dokumenten, die mit dem JBIG2-Verfahren gescannt wurden"? Sind diese nun – ob mit oder ohne Signatur – alle nicht mehr "rechtssicher"?

     

    Es bleiben drei Thesen:

    (1) Der Skandal:
    Der Skandal bei XEROX-Fall ist nicht der technische Fehler sondern, daß bei tausenden Installationen niemand über Jahre hinweg etwas gemerkt hat.

    (2) Keine Rechtssicherheit:
    Sicherheit beim Scannen durch elektronische Signaturen erzeugen zu wollen ist ein Irrweg: es gibt kein rechtssicheres Scannen!

    (3) Verbote helfen nicht:
    Es geht nicht um ein technisches Problem, sondern um Sorgfalt und Qualität in den Erfassungs- und Verarbeitungsprozessen von Information nebst der automatischen Überprüfung der Lesbarkeit und inhaltlichen Korrektheit.

     

    Letztlich zeigt der Fall wieder einmal die menschliche Hybris – zunächst an die Verläßlichkeit der Technik uneingeschränkt glauben, und wenn es dann schief geht, schnell (über)regulieren.

     

    Freue mich auf Kommentare 🙂

    Ulrich Kampffmeyer

    Antwort
    • Zunächst zur Titelfrage: Die KOST verbietet überhaupt nichts
      23. März 2015 um 12:06
      Permalink

      Zunächst zur Titelfrage: Die KOST verbietet überhaupt nichts, das kann sie auch gar nicht. Sie spricht einzig eine Empfehlung aus zuhanden ihrer Trägerarchive und aller anderen Interessierten (http://kost-ceco.ch/cms/index.php?jbig2-compression_de): Auf den Kompressionsalgorithmus JBIG2 sollte soweit möglich verzichtet werden; falls dies nicht möglich ist, soll mindestens ein neuer Xerox-Patch verwendet werden. Inhaltlich bleibt das zentrale Problem, dass es keine Möglichkeit gibt, einem mit JBIG2 komprimierten Dokument im Nachhinein anzusehen, ob das Pattern Matching & Substitution-Verfahren angewendet wurde. Entsprechende Dokumente sind deshalb grundsätzlich mit Zweifeln betreffend ihrer inhaltlichen Integrität behaftet – ihre Beweiserhaltung und Rechtssicherheit dürfte im Einzelfall schwierig zu etablieren sein. (Gewisse Plausibilitätsüberlegungen erlauben eine Einschätzung der Fehlerwahrscheinlichkeit, wie wir gezeigt haben, aber eben auch nicht mehr als das.) Jenseits aller Fragen der elektronischen Signaturen, auf die wir bewusst überhaupt nicht eintreten, ist das die Quintessenz des Falles.

      Antwort
  • GOLEM greift das Motto "Beamte an die Scanner auf" ;)
    19. Mai 2015 um 18:25
    Permalink

    Im Beitrag "Akte E, die ungelösten Fälle der elektronischen Aktenführung" auf GOLEM  (http://bit.ly/1HsDqIb) nicht nur den XEROX-Fall und die BSI-Richtlinie TR 03138 ResiScan sondern auch die geschilderte Ablehnung von JBIG2-Algorithmen durch BSI und KOST (siehe die Diskussion) und das Wiesbander Urteil auf. Fazit: nur Beamte im höheren Dienst scannen rechtssicher 🙂
    Mein Kommentar auf GOLEM: http://forum.golem.de/kommentare/foto/bsi-akte-e-die-ungeloesten-faelle-der-elektronischen-aktenfuehrung/das-signieren-gehoert-aus-den-scan-prozessen-raus/92345,4148210,4148210,read.html#msg-4148210 

    Antwort
    • Die richtige Methode für eine eAkte bei Golem
      20. Mai 2015 um 8:52
      Permalink

      Hallo Uli,
      ich fand den Artikel bei Golem recht seltsam und irritierend, da es mehrere Dinge vermischt: elektronische Aktenführung, die technischen Möglichkeiten z. B. Komprimierung von gescannten Dokumenten und dann die Forderung nach gesetzlichen Vorgaben.

      Das würde ich gerne mal geraderücken.

       

      1. elektronische Aktenführung

      Die Forderung, dass zur elektronischen Aktenführung ein Gesetz notwendig ist, ist absurd. Außerdem, was hat diese Forderung mit der JBIG2-Komprimierung zu tun?

      Das Thema elektronische Aktenführung ist als erstes eine organisatorische Fragestellung im Kontext der geltenden Rechte und in den Vorgaben des Unternehmens (z. B. Risikomanagement usw.), kurz ein Teil des Themas Records Management. Dazu gibt es Normen, die auch international aufgestellt wurden. Diese Normen nochmals in Gesetze zu gießen, macht meiner Meinung keinen Sinn, da es zu viele Möglichkeiten der Umsetzung gibt, die in einem "verbindlichen" Gesetz unmöglich geregelt werden kann.

       

      2. geltende gesetzliche Vorgaben

      Der Artikel macht den Anschein, dass es gar keine gesetzlichen Vorgaben gibt. Das stimmt jedoch nicht.

      Wenn man es genau betrachtet, gibt es Rahmenbedingungen in div. Kontexteten zum digitalisieren und elektronsichen Ablage von Dokumenten, z. B.:

      Steuergesetzgebung -> GOBD

      Sozialversicherung -> Sozialgesetzbuch SGB

      Und hier könnten noch viele andere Gesetze und Verordnungen genanntn werden (und Uli, du kennst sie alle ;-)).

      Wenn man sich damit beschäftigt, sind alle Darstellungen eher organisatorisch, jedoch weniger technisch. Der Gesetzgeber will damit keiner technischen Umsetzung den Vorrang geben. Der Versuch des BSI, das ein wenig technischer darzustellen, ist in ein Vorgabenmonster umgesetzt worden, das nicht praktikabel ist und viel zu technisch (z. B. digitale Signatur, Cache-Speicher leeren, wenn der Techniker nach einer Wartung da war usw.).

      Die genaue Darstellung, wie eine elektronische Akte zu bilden ist, ist meiner Meinung nach sehr schwierig. Das ging sogar bei Papier nicht ;-)…

       

      3. technische Möglichkeiten/ Komprimierung

      Wie kann man sich das bei dem Erwerb eines Scanners denn vorstellen:
      Der Kunde fragt den Verkäufer: Haben Sie eine verlustbehaftete Komprimierung im Einsatz? 
      Der Verkäufer antwortet: Nein, natürlich nicht, wir haben ein KPMG-Zertifikat darüber. Beide gehen auseinander und sind sich sicher, dass es das richtige Gerät ist.
      Nun wird gescannt und der Scanoperator digitalisiert statt 10 Seiten nur 8 Seiten ein, weil der Scannen 2 Seiten doppelt einzieht und es dem Scanoperator nicht auffällt.
      Ist das nun verlustbehaftet oder Komprimierung ;-))?
      Im Ernst: Wie soll ein Unternehmen/Kunde prüfen, ob ein Scanner nicht eine verlustbehaftete Komprimierung JBIG2 benutzt?
      Benötigen wir ein Gesetz, was die Prüfmöglichkeiten darstellt und eine Zertifizierung nach sich zieht?

       

      Anderer Fall:
      Der Scanoperator scannt 10 Seiten ein, jedoch gibt es eine verlutbehaftete Komprimierung mit dem "ChingChong"-Algorithmus.
      Auf dem Gerät steht ausdrücklich: Dieses Gerät benutzt nicht den JBIG2-Algorithmus, sondern den ChingChong-Algorithmus.
      Das Gerät ist sehr günstig. Der Scan-Operator prüft die Vollständigkeit, prüft intensiv den Inhalt des Dokuments mit dem Inhalt des gescannten Dokuments und bemerkt nicht dass in der Anzahl auf den Seiten 3,5 und 7 die Zahlen verdreht worden sind: statt einer 6 steht da eine 8.
      Außerdem sind in den technischen Bezeichnungen des Dokuments statt ein "M" ein "W" dargestellt worden. Weil in diesem Unternehmen die BSI-Vorgabe komplett umgesetzt wird, sind die gescannten Dokumente auch noch digital signiert worden….

      Wie viel Schulung braucht ein Scan-Operator damit ihm diese Änderungen am Dokument auffallen und was hat das mit Gesetzen zu tun?

       

      Meiner Meinung ist es zu einfach nach einer gesetzlichen Vorgabe zu rufen, um damit eine gewisse Sicherheit zu haben, dass man es "richtig" macht. Ein bisschen pauschal dargestellt, nur weil es rechtlich vorgeschrieben ist nicht über eine rote Ampel zu fahren und weil jeder Autofahrer auch einen Führerschein macht, bedeutet das nicht, das es keinen Autofahrer gibt, der über rot fährt oder gefahren ist oder… Ich fände es schon gut, wenn sich Kunden intensiv mit Ihren Anforderungen an eine eAkte, den gesetzlichen Vorgaben und der Digitalisierung der Dokumenten beschäftigen würde. Einen Führerschein dazu muss nicht sein, oder?

       

      In diesem Sinne, der Ruf nach einer richtigen Methode für die eAkte und das richtige Scannen wird noch oft kommen.
      Es werden einige neue Vorgaben erstellt werden, aber dieser Fall wird in diesem Kontext ungelöst bleiben.

       

      Viele Grüße,

      Michele

      Antwort
      • GOLEM-Artikel ... passt alles nicht!
        20. Mai 2015 um 13:41
        Permalink

        Hallo Michele,

         

        wie ich schon in meinem Post zum Artikel auf der GOLEM-Webseite erwähnte, passt das alles nicht zusammen. Auch andere Leser merkten dies schon an. Der Artikel ist ziemlich willkürlich aus unserem Diskussionsstrang hier zusammengeklaubt worden.

         

        Die Forderung nach gesetzlichen Regelungen zum Scannen wie auch zur E-Akte ist Blödsinn. Wir verhindern den Fortschritt schon anderweitig genug und für die öffentliche Verwaltung gibt es ja das OKeVA.

         

        Der XEROX_bug mit dem JBIG2-Algorithmus trat nur in einer Einstellung und nur bei geringen Auflösungen auf. Ein kleiner Patch und das Problem war weg. Das eigentliche Problem war, dass niemand den Fehler über sieben Jahre lang bemerkte. Das visuelle Überprüfen der gescannten Dokumente am Bildschirm ist die große Fehlerquelle, die man durch ICR mit Abgleich gegen Stammdaten, Logikauswertung des Inhaltes, Nachrechnen etc. per Software ausmerzen kann.  

         

        Und dann ist da noch das WIesbadener Urteil zum Scannen mit Signatur. Natürlich wird alles besser beim Scannen, wenn jeder in der Firma seinen Beamten im Höheren Dienst fürs Scannen hat, der jede einzelne Seite, Zeile, Ziffer gegen das Ursprüngsdokument prüft, sich die Rückseite des Images am Bildschirm und im Original ansieht, ob was fehlt, dann das elektronische Dokument einzeln elektronisch signiert um anschließend einen Löschvermerk für das Papierdokument zu erstellen, dieses manuell mit Kürzel abzuzeichnen und es zur Vernichtung weiterzuleiten. Natürlich macht er sich vorher eine Sicherheitskopie falls das Dokument doch noch einmal wegen Qualitätsmängeln nachgescannt werden muss oder einen Nachweis braucht, dass er ordentlich gearbeitet hat.

         

        Fazit: Das Signieren muss aus den Scan-Prozessen raus. Und das Nachsignieren gehört generell in die Tonne mit den unnützen Erfindungen. Alle Informationen müssen entsprechend ihrem Inhalt und ihrem Rechtscharakter mit der gleichen Sorgfalt behandelt werden – egal ob sie gescannt, originär elektronisch entstanden oder elektronisch empfangen wurden. 

         

        Schöne Grüße,

        Uli

        Antwort
    • ZENSUR bei GOLEM
      20. Mai 2015 um 19:18
      Permalink

      Nachdem mein Kommentar auf GOLEM http://forum.golem.de/kommentare/foto/bsi-akte-e-die-ungeloesten-faelle-der-elektronischen-aktenfuehrung/das-signieren-gehoert-aus-den-scan-prozessen-raus/92345,4148210,4148210,read.html#msg-4148210 einige Zeit verfügbar war und von mir auch mit einer weiteren Antwort ergänzt werden konnte, ist der Kommentar und mein weiterer Beitrag nun weg – gelöscht. Andere Kommentare sind noch da. VIelleicht ist dort einigen aufgefallen, dass man zusehr in unserem Blog gewildert hat und wollte nun die Spuren verwischen … 🙂 Der Autor des Golem-Artikels, Umar Choudhry, ist unter dem Link neben dem Artikel nicht erreichbar und so poste ich meine Kritik halt hier öffentlich: ZENSUR bei GOLEM!

      Hier der gelöschte Kommentar aus dem Google Cache (leider ohne die Zusatzantwort):

      Antwort
      • Zensur oder Transparenz
        21. Mai 2015 um 7:40
        Permalink

        Lieber Uli,
        es gibt immer wieder sehr allgemein gehaltene Artikel zu so komplexen Themen wie Scanning, eAkte, Gesetze und Komprimierungsverfahren. Schade, dass dann solche Diskussionen einfach unterbunden werden. Damit wird der Leser oft verunsichert und wir erleben es in Projekten immer wieder, dass das Thema dann erstmal wieder klargestellt werden muss. In diesem Sinne:

        Liebes Golem-Portal,
        ich finde es wichtig, dass Informationen zu den Themen eAkte, Scanning, Komprimierung usw. transparent dargestellt werden. Daher finde ich es doppelt Schade, das

        1. die Kommentare aus der Branche, die das Thema detaillierter beleuchten, verschwinden und

        2. dass damit keine Diskussion zum Thema zugelassen wird, womit die Leser Ihres Portals fundiert und breit informiert werden könnten.

        Schade…

        Viele Grüße

        M. Barbato

        Antwort
      • Antwort von Golem.de
        21. Mai 2015 um 14:36
        Permalink

        Inzwischen liegt die Antwort von Golem.de vor:
        —–Zitat Anfang ———————————————————-

        Hallo Herr Dr. Kampffmeyer,

        leider erschien der Thread in der Aufmachung und mit mehreren Verlinkungen in einer Darstellung, die häufig zur Verbreitung von Werbung/Eigenwerbung verwendet wird. In dem Fall hat unser Spam-Filter durch die Verlinkungen auf fremde Seiten angeschlagen. Wir dulden in unserem Forum, wie auch in unseren Nutzungsbedingungen festgelegt worden ist, keine Form der Werbung. In so einem Fall ist der Workflow klar festgelegt: Entfernen der Kommentare und eine Stillegung des Accounts.

        Zudem ist in der Nachkontrolle der Kommentare durch unsere Moderatoren der Zusammenhang zwischen Ihrem Blog und der Recherche des Autoren nicht aufgefallen. Wenn Sie einverstanden sind, dass wir die Verlinkungen entfernen dürfen, schalten wir Ihren Zugang zu unserem Forum und die Kommentare unter dem Artikel wieder frei.

        Nach Rücksprache mit Herrn C. können wir Ihnen mitteilen, dass er keine Sätze aus Ihrem Blog übernommen hat. Er hat den Sachverhalt in seinen eigenen Worten zusammengefasst. Ihr Blog diente ihm laut eigenen Aussagen dazu, einen Überblick über die Diskussion in der Dokumentenmanagement-Branche zu erhalten, bevor er Quellen benutzt hat, die auch im Artikel verlinkt worden sind.

        Wenn Sie auf den Autorennamen neben dem Artikel klicken, werden Sie auf die Seite des Kollegen C. weitergeleitet. Dort befinden sich im Impressum auch die Kontaktdaten von ihm.

        Ich hoffe, wir konnten Ihnen weiterhelfen.

        Viele Grüße,
        S.H.

        —–Zitat Ende ———————————————————-

        Der aus dem Google-Cache geholte gelöschte Beitrag mit der Verlinkung ist weiter oben im Bild zu lesen.

        Ich habe darauf Folgendes geantwortet und betrachte damit die Angelegenheit als erledigt:

         

        Sehr geehrter Herr H.,

        vielen Dank für die Rückmeldung.

        Ich hatte schon vermutet, dass der Link Grund für die Entfernung von Kommentar und Account war. Da dies Ihren Forums-Richtlinien entspricht und eine inhaltliche Prüfung Ihrem Team angesichts der Vielzahl der Beiträge nicht immer möglich sein dürfte, ist die Entfernung OK.
        Da ich ein Freund von Persistenz im Internet bin müssen Sie den Eintrag auch nicht editieren und auch nicht wieder freischalten.
        Meinen Account brauchen Sie auch nicht mehr zu aktivieren, damit ich nicht noch einmal in eine ähnliche Verlegenheit beim Kommentieren komme.
        Zum Inhalt und zur Qualität des Beitrages selbst möchte ich mich in Ihrem Forum nicht mehr äußern. Dies tue ich auf meiner eigenen Plattform.  Ich werde zur Klarstellung auch Ihre Nachricht dort veröffentlichen.
        Dem Link zum Autor bin ich auf seine Assekuranz-Zeitungs-Seite gefolgt. Von dort mich weiter zu hangeln war mir zu mühsam. Ich habe Herrn C. deshalb über Google+ kontaktiert aber noch kein Feedback.

        Mit den besten Grüßen,
         

        Antwort
        • Erklärung von Golem
          21. Mai 2015 um 18:38
          Permalink

          Hallo Uli,
          ganz nachvollziehen kann ich die Erklärung aus dem Standpunkt der Informationsbeschaffung nicht. Wie soll man als “Konsument” ein solch komplexes Thema sich erarbeiten können, wenn man nicht über Links weitere Informationsquellen dazu bekommt?

          Weitere Internentrecherchen sind da teilweise zu mühselig. Daher fände ich es gut, wenn man dann die richtigen Links in den Kommentaren hat. Das Ergebnis ist Verwirrung und dem Artikel entsprechend wird im Forum nach neuen Gesetzen und Normen verlangt.

          Das hätte man besser machen können.

          Die Regeln von Golem kannte ich nicht, aber im Sinne des “Lesers” ist das alles nicht…

          Viele Grüße
          Michele

          Antwort
          • Golem-Artikel: Danke Herr Kriesel ...
            21. Mai 2015 um 19:28
            Permalink

            … für den Link, aus dem auch hervorgeht, dass ich bereits damals bestimmte Positionen zum Thema vertreten habe – übrigens andere, als Sie in Bezug auf BSI und dioe Einschätzung des Skandals. Meines Erachtens hätte der Artikel auf Golem anders aussehen müssen, hätte der Autor wirklich die Quellen gelesen. 
            Einen schönen Pfingsturlaub,
            Ulrich Kampffmeyer

      • Löschen von Suchergebnissen
        26. Juni 2015 um 5:23
        Permalink

        Zum Thema meine Chefbüro News vom 26. Mai 2015:

        Ein Jahr Recht auf Vergessenwerden: Löschen von Suchergebnissen beeinträchtigt die Zivilgesellschaft

        (26. Mai 2015) Es jährt sich zum ersten Mal das EuGH-Urteil vom 13. Mai 2014 zum sogenannten „Recht auf Vergessenwerden“. Aus Sicht der Internetwirtschaft gibt es auch nach einem Jahr noch viele offene Fragen zur Ausgestaltung des Urteils und zur Rolle von Intermediären wie den Suchmaschinenbetreibern. Insbesondere die noch schwer absehbaren Folgen für die Informationsgesellschaft im Internet sowie die Konsequenzen für die Informations- und Meinungsfreihit müssen weiter diskutiert werden. Dabei geht es in erster Linie um eine Abwägung zwischen dem Recht auf persönlichen Datenschutz auf der einen sowie dem Recht auf Informationsbeschaffung auf der anderen Seite. Nach welchen Kriterien und unter wessen Verantwortung soll diese Abwägung erfolgen? Der Verband der deutschen Internetwirtschaft e.V. „eco“ fordert hierzu eine grundsätzliche Debatte über Privatheit und Öffentlichkeit im Informationszeitalter.

        Aktuelle Statistiken (https://politik-recht.eco.de/wp-content/blogs.dir/20/files/loeschantraege-bei-google.svg) zu den Löschanträgen zeigen, dass in Deutschland schon jetzt rund 50% aller bei Google eingegangen Löschersuche auch gelöscht werden. Dabei stellt sich die Frage, inwieweit sollen Intermediäre wie beispielsweise Suchmaschinenbetreiber die Entscheidung darüber, welche Inhalte im Netz verbleiben und welche gelöscht werden, überhaupt treffen können beziehungsweise sollten.

        Jeder bewilligte Löschantrag, zieht auch immer die Manipulation von Suchergebnissen nach sich und beeinträchtigt so zivilgesellschaftliche Meinungsbildungsprozesse. Die eco Grafik zum Löschvorgang von Suchanträgen verdeutlicht (https://www.eco.de/wp-content/blogs.dir/infografik_vom-loeschantrag-zur-verweisloeschung.pdf), welche Auswirkungen das Löschen von Suchergebnissen für die Nutzer hat.

        Antwort
  • Signaturen beim Scannen nach SRVwV
    31. Oktober 2015 um 12:22
    Permalink

    Die Allgemeine Verwaltungsvorschrift über das Rechnungswesen in der Sozialversicherung (SRVwV) wurde bekanntlich im Januar dieses Jahres geändert. In Bezug auf das Scannen ist dort der § 41 relevant: 

    https://www.jurion.de/Gesetze/SRVwV-1/4

    Schön ist dort das Intro zu lesen:

    "(1) Soweit nach dieser Verwaltungsvorschrift eine Unterschrift verlangt wird, kann diese durch eine qualifizierte elektronische Signatur nach dem Signaturgesetz oder ein in der Sicherheit gleichwertiges elektronisches Verfahren geleistet werden. Ausgenommen ist die in § 4 Absatz 5 vereinbarte Doppelzeichnung; hier kann auch eine fortgeschrittene elektronische Signatur nach dem Signaturgesetz oder ein in der Sicherheit gleichwertiges elektronisches Verfahren zur Anwendung kommen, wenn eine hinreichende Sicherheit gewährleistet ist."

    Also müsste eigentlich statt der qeS auch die fortgeschrittene Signatur ausreichend sein. Aber dennoch heißt es dort immer noch:

    "(5) Bei der automatischen Erzeugung von Signaturen (Massensignaturen) muss sichergestellt sein, dass die Gültigkeit der verwendeten elektronischen Signatur stichprobenartig überprüft wird. Näheres ist in einer Dienstanweisung (§ 40) zu regeln."

    Kann man nur hoffen, dass sich mit der Einführung von eIDAS die Behörden entschließen, in der Kommunikation – und wenn es denn sein soll auch woanders – auf das Siegel zu setzen, dass den Nachweis der Institution bringt. Das Signieren beim Scannen – und besonders bei der Massensignatur (sic! siehe den #XEROXbug) – bringt keine bessere Qualität und schon gar keine "Rechtssicherheit".

    Ulrich Kampffmeyer

    Ceterum censeo Carthaginem (QES, De-Mail, TR-ESOR, TR-ResiScan usw.) esse delendam!

    Antwort

Schreibe einen Kommentar zu uli Antworten abbrechen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich stimme zu, dass die von mir eingegebenen Daten einschließlich der personenbezogenen Daten an PROJECT CONSULT übermittelt und dort zur Prüfung der Freischaltung meines Kommentars verwendet werden. Bei Veröffentlichung meines Kommentars wird mein Name, jedoch nicht meine E-Mail und meine Webseite, angezeigt. Die Anzeige des Namens ist notwendig, um eine individuelle persönliche Kommunikation zu meinem Beitrag zu ermöglichen. Anonyme oder mit falschen Angaben eingereichte Kommentare werden nicht veröffentlicht. Zu Nutzung, Speicherung und Löschung meiner Daten habe die Datenschutzerklärung zur Kenntnis genommen.

Ich versichere, alle gültigen Vorgaben des Urheberrechts beachtet zu haben. Ich habe keine Bilder, Grafiken, Texte oder Links in meinem Beitrag verwendet, die durch CopyRight, Leistungsschutzrecht oder Urheberrecht geschützt sind. Für den Inhalt meines Kommentars bin ich trotz Prüfung und Freischaltung durch PROJECT CONSULT ausschließlich selbst verantwortlich. Meine Rechte am Beitrag werden bei PROJECT CONSULT nur durch die CC Creative Commons by-nc-nd Vorgaben gewahrt.