BSI veröffentlicht Handlungshilfe für ersetzendes Scannen

Ersetzendes Scannen

Das sogenannte Ersetzende Scannen beschreibt einen Prozess, in dessen Verlauf ein Dokument unter Beachtung strenger Vorschriften in eine digitale Form umgewandelt und die Papierform im Anschluss vernichtet werden darf. Der Prozess stellt dabei sicher, dass das Dokument danach in der digitalen Form die gleichen Eigenschaften wie das Original behält und eine entsprechende rechtliche Gültigkeit aufweist.

Bei Überlegungen, die die digitale Aktenführung betreffen, steht bei den Unternehmen auch die Rechtssicherheit im Fokus. Unsicherheiten bestehen darüber, wie Papierakten in ein digitales Archiv überführt werden können ohne Aufbewahrungspflichten zu verletzen oder den Beweiswert des originalen Dokuments zu verlieren.
In diesem Zusammenhang spielt das vom Bundesamt für Sicherheit in der Informationstechnik erlassene Richtlinie TR-03138 eine wichtige Rolle.

Seit 2013 schafft die TR 03138 (TR-RESISCAN) Rechtssicherheit für papierlose Archive. Um die Implementierung der Technischen Richtlinie zu erleichtern, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Ende Juli eine zusammenfassende Handlungshilfe veröffentlicht.

Das Dokument beschreibt den Aufbau und die Kernanforderungen der TR-RESISCAN. Ergänzende Vorgehensmodelle, Regelungsbedarfe und Praxisbeispiele verdeutlichen, wie Prozesse für das ersetzende Scannen sicher gestaltet und umgesetzt werden können. Zur Zielgruppe gehören Verwaltung, Justiz, Wirtschaft und Gesundheitswesen gleichermaßen.

Zielsetzung der TR-RESISCAN ist die Steigerung der Rechtssicherung im Bereich des Ersetzenden Scannens. Die Richtlinie hat also einen empfehlenden Charakter. Sie soll Anwendern aus Verwaltung, Justiz, Wirtschaft und Gesundheitswesen einen praxisorientierten Handlungsleitfaden zur sicheren Gestaltung ihrer Prozesse für das Ersetzende Scannen bieten. Kein Bestandteil der TR-RESISCAN ist die Regelung der Zulässigkeit des Ersetzenden Scannens. Dies ist von jedem Anwender in seinem Anwendungs- und Verantwortungsbereich auf Grundlage der entsprechenden Rechtsvorschriften zu prüfen. Die TR-RESISCAN definiert die Anforderung an Prozesse. Sie definiert nicht, welche Soft- oder Hardware genutzt werden soll.

(Image by Gerd Altmann from Pixabay)



Letztes Update:05.08.20

  • Best Practices: Löschen nach der DS-GVO

    Best Practices: Löschen nach der DS-GVO

    Online-Kompaktkurs

    138.04 € Mehr erfahren
  • Konzerndatenschutz

    Konzerndatenschutz

    Seminar

    678.60 € Mehr erfahren
  • Geschäftsgeheimnisschutz in der Praxis: Know-how-Schutz und Synergien aus dem Datenschutz

    Geschäftsgeheimnisschutz in der Praxis: Know-how-Schutz und Synergien aus dem Datenschutz

    Online-Kompaktkurs

    138.04 € Mehr erfahren
  • Betriebsarzt

    Die betriebsärztliche Datenverarbeitung

    Das Netzwerk Datenschutzexpertise beschäftigt sich in seiner aktuellen Veröffentlichung „Die Datenverarbeitung des Betriebsarztes – Hinweise zum datenschutzgerechten Umgang mit Patientendaten durch Betriebsärzte und betriebsärztliche Dienste“ mit einem Thema, welches nicht sonderlich oft im Rampenlicht des betrieblichen Datenschutzes und insbesondere des Beschäftigtendatenschutzes steht. Um so weniger nachvollziehbar ist die stiefmütterliche Behandlung des Themas in der Praxis

    Mehr erfahren
  • FAQ Auftragsverarbeitung

    FAQs zur Abgrenzung von Verantwortlichem, Auftragsverarbeiter und Joint Controller

    Jüngst hat der Europäische Datenschutzausschuss (EDSA) im Rahmen einer Konsultation zu diesem Thema den Versuch gestartet, eine noch klarere Abgrenzung für die Praxis zu finden, was die Abgrenzung des Verantwortlichen, des Auftragsverarbeiters und des gemeinsam Verantwortlichen angeht. Dazu hat der EDSA einen Entwurf für eine Stellungnahme zur Abgrenzung von Verantwortlichem, Auftragsverarbeiter und gemeinsam Verantwortlichen veröffentlicht

    Mehr erfahren
  • Sensibilisierung für Datenschutz auf einfachstem Wege

    Die Datenschutz-Grundverordnung (DS-GVO) verpflichtet jedes Unternehmen – unabhängig von seiner Größe – zur Implementierung eines Datenschutzmanagementsystems. Jeder Verantwortliche hat deswegen eine Datenschutzorganisation vorzuweisen, die in der Lage ist, die Einhaltung datenschutzrechtlicher Pflichten zu gewährleisten. Dies ergibt sich aus der Verantwortung des für die Verarbeitung Verantwortlichen (Art. 24 DS-GVO). Die allgemein geltende Accountability des Verantwortlichen (Art.

    Mehr erfahren