Mobil Scannen nach Resiscan

Alles wird einfacher mit der aktuellen Version der TR 03138 Resiscan, wenn man elektronische Signaturen und die TR-ESOR einfach ignoriert. So kann man dann auch mobil Dokumente scannen und für die Archivierung bereitstellen. Hierfür erhielt die App trebono der 2KS Cloud nun eine BSI-Zertifizierung.  “Der Scanprozess trebono Cloud Services bietet seinen Nutzern das zertifizierte Verfahren für das ersetzende Scannen an. Ein eingescannter Beleg wird in der App mit einer Prüfsumme versehen und an die Cloud geschickt. In einem vorher auswählbaren Prozess kann der Beleg zur Integritätssicherung elektronisch signiert werden. Das erhöht den Schutz zusätzlich. Bei beiden Methoden wird der Beleg anhand der Prüfsumme auf Veränderungen überprüft und erst danach der Archivierung und Weiterverarbeitung zugeführt.“

Das Verfahren ist denkbar einfach. Es wird eine Prüfsumme über das erfasste Objekt gebildet und drangehängt. Bei Informationsobjekten, die einen Header und Trailer haben, ist ein solches Verfahren mit Zeitstempeln und Prüfsummen seit Jahrzehnten üblich. Bisher hatte das BSI Bundesamt für Sicherheit in der Informationstechnologie nur lokale Verfahren, wo ein Scanner direkt in ein System eingebunden ist, zertifiziert. Die Nutzung eines PCs war in den Zeiten vor eIDAS auch notwendig um z.B. mit einer kartenbasierten qualifizierten elektronischen Signatur die Dokumente “rechtssicher” oder später abgeschwächter “beweissicher” zu machen. Mit dem Verfahren für Apps steht nunmehr auch der Speicherung über und in der Cloud nichts mehr im Weg. Mit dem Free Flow of Data kann dies in allen Staaten der EU gemacht werden.

Leider wird in der Pressemitteilung wieder der Begriff “rechtssicher” und “Rechtssicherheit” benutzt. Diese war und ist nicht gegeben, da sich auch Gesetze jederzeit – und sogar rückwirkend – ändern können. Auch wird hier weiterhin der Mythos befördert, man brauche bei kaufmännischen Belegen beim Scannen eine Signatur, damit man das Papier vernichten (oder unterwegs erst gar nicht mitnehmen) muss. Das ist nicht richtig, denn die GoBD sagen ausdrücklich, dass beim Scannen keine Signatur erforderlich ist – es sei denn, andere Gesetze oder Verordnungen erfordern dies (und damit sind wir dann wie beim EGovG oder bei der SRVwV). Wenn meine Prozesse sicher und nachvollziehbar sind, kann man auf Mechanismen wie das Signieren beim Scannen komplett verzichten.

Positiv ist aber zu vermerken, dass man die Resiscan auch ohne das Nachsignieren mittels TR-03125 einsetzen kann. Das Arbeiten mit Prüfsummen und Zeitstempeln in Verbindung mit einem abgesicherten Audit-Trail (das fehlt allerdings noch beim dezentralen Einsatz über Apps und der Cloud) ist sinnvoll und ermöglicht revisionssichere Lösungen. Da das Verfahren mit einer einfachen Prüfsumme so herrlich einfach ist, werden auch andere Anbieter schnell nachziehen.