PDF Association logo

Discover pdfa.org

Key resources

Get involved

How do you find the right PDF technology vendor?
Use the Solution Agent to ask the entire PDF communuity!
The PDF Association celebrates its members’ public statements
of support
for ISO-standardized PDF technology.

Member Area

PDF Association Newsletter: Ausgabe 34

Dieser Newsletter beschäftigt sich heute mit der Technischen Richtlinie 03138 des BSI zu rechts-sicherem, ersetzendem Scannen.
About the author: The PDF Association staff delivers a vendor-neutral platform for PDF’s stakeholders, facilitating the development of open specifications and ISO standards for PDF technology. Staff members include: Alexandra Oettler (Editor), Betsy Fanning … Read more
PDF Association staff

PDF Association staff
September 30, 2014

Article


Print Friendly, PDF & Email

Die Themenübersicht

Hans-Joachim Hübner, SRZ
Hans-Joachim Hübner, Ansprechpartner und Vorstandsmitglied der PDF Association

Sehr geehrte Leser,

dieser Newsletter beschäftigt sich heute mit der Technischen Richtlinie 03138 des BSI zu rechts-sicherem, ersetzendem Scannen. Was hat PDF bzw. PDF/A mit ersetzendem Scannen und beweiswert erhaltender Archivierung zu tun? Eine ganze Menge. Nicht umsonst wird die Fähigkeit, PDF/A zu erzeugen, in der Anlage A zur Richtlinie als ein Kriterium zur Auswahl geeigneter Digitalisierungslösungen genannt.

Der PDF/A-Standard ist seit seiner Veröffentlichung in 2005 zu einem international weit verbreitetem und für sichere Langzeitarchivierung weltweit anerkanntem Dateiformat geworden. Geeignet macht ihn vor allem die absolute Offenlegung des Formates, die Eigenschaft des aus sich heraus darstellbaren unabhängig vom Betriebssystem. Weiter bietet er die Möglichkeit der Integration der das Dokument beschreibenden technischen und inhaltlichen Metadaten. Auch eine beweiswerterhaltende Signatur in allen Ausprägungen sowie der geforderte Transfervermerk zur Digitalisierung (wer, wann, wo, wie) kann in die Datei integriert werden. Und dabei spielt es keine Rolle, welche Version von PDF/A, ob 1, 2oder 3, verwendet wird und ob der Volltext zur Suche erschlossen ist, oder nicht.

Meine Prognose: Wir werden im Bereich beweiswerterhaltender Digitalisierung, Archivierung und langfristiger Produktdokumentation in den nächsten Jahren eine stetig weiter steigende Verbreitung von PDF und PDF/A erleben und gerade auch im Bereich des der Richtlinie entsprechenden ersetzenden Scannens. Und das in allen Bereichen, der Wirtschaft, in der öffentlichen Verwaltung, in der  Justiz und im Gesundheitswesen.

Gern würde ich mich mit Ihnen auf der DMS Expo dazu unterhalten und Ihnen zeigen, wie wir mit unseren Capturing-Lösungen der CROSSCAP Familie Sie wirkungsvoll bei der Umsetzung beweiswerterhaltenden Scannens unterstützen können. Sie finden uns auf dem VOI-Stand E38 in Halle 6 sowie in der VOI Akademie mit einem praxisorientierten Vortrag zur TR Resiscan am 10.10.14 um 10:30.

TR Resiscan

Die TR Resiscan des BSI, eGovernment und die Rolle von PDF

Seit März 2013 ist die Technische Richtlinie 03138 Ersetzendes Scannen 1.0 vom BSI veröffentlicht. Im November wird es nun eineinhalb Jahre nach der Veröffentlichung einen Workshop im BSI geben, der sich mit den bisherigen Erfahrungen und eventuellen Anpassungen der Richtlinie befassen soll.

Die Richtlinie hat das Ziel, „Anwendern in Justiz, Verwaltung, Wirtschaft und Gesundheitswesen als Handlungsleitfaden und Entscheidungshilfe zu dienen, wenn es darum geht, Papierdokumente nicht nur einzuscannen, sondern nach Erstellung des Scanproduktes auch zu vernichten.“

Es ist als positiv zu werten, dass hier erstmals der Versuch unternommen wird, organisatorische, verfahrensspezifische und technische Voraussetzungen für das ersetzende Scannen in einer Richtlinie zu bündeln, um die Beweissicherheit von digitalisierten Dokumenten durch die lückenlose Dokumentation des Digitalisierungsvorganges zu erhöhen.

Digitale Beweisführung in der Justiz angekommen

Im letzten Jahr wurde von der Datev zusammen mit dem Projekt provet und Professor Roßnagel von der Universität Kassel eine Simulationsstudie durchgeführt, in denen „echte“ Richter über 14 verschiedene, konstruierte Fälle verhandelten. In allen Fällen ging es um eine Beweisführung mit digitalen Dokumenten. In allen Fällen wurde von den Richtern das digitale Dokument zunächst als Beweisstück angenommen, was für die inzwischen eingetretene Normalität im Umgang mit dem Digitalen auch in der Justiz spricht.

Die Würdigung der Beweiskraft eines digitalen Dokumentes wurde unter anderem in Hinsicht auf den erstellenden Prozess, nämlich wie gut dieser dokumentiert war, untersucht und je besser nachvollziehbar, um so unstrittiger die Beweisführung. Als beweiswerterhöhend wurde gewertet, wenn die Datei einen Zeitstempel aufwies, der den Zeitpunkt der Entstehung nachwies, oder nach den Verfahren der TR Resiscan verarbeitet wurde.

Das Vorgehen nach der Technischen Richtlinie

Das Vorgehen nach der Richtlinie hat immer zum Ausgangspunkt die Erstellung einer Schutzbedarfsanalyse der zu verarbeitenden Dokumente in Hinsicht auf die Sicherheitsziele „Integrität“, „Authentizität“, „Vollständigkeit“, „Nachvollziehbarkeit“, „Verfügbarkeit“, „Lesbarkeit“, „Verkehrsfähigkeit“, „Vertraulichkeit“ und „Löschbarkeit“.

Sinnvoll ist es, darüber hinaus eine Bedrohungs- und Risikoanalyse durchzuführen, da es sein kann, dass bestimmte Dokumente einen hohen Schutzbedarf haben, eine wirkliche Bedrohung aufgrund der Gegebenheiten in der Organisation aber sehr unwahrscheinlich ist.

Auch kann in Hinsicht auf unterschiedliche Dokumentarten in einer Organisation der Schutzbedarf unterschiedlich sein. Eingangsrechnungen haben z.B. in der Regel keinen so hohen Schutzbedarf bezüglich der Vertraulichkeit wie Personalunterlagen.

Aus den Ergebnissen wird eine Verfahrensdokumentation mit folgenden Festlegungen sowie technischen und organisatorischen Maßnahmen abgeleitet:

  • Je nach Art der Dokumente Regeln für deren Verarbeitung
  • Verantwortlichkeiten, Abläufe und Aufgaben
  • Anforderungen an die Mitarbeiter
  • Spezifische Anforderungen an Räume, IT-Systeme, Anwendungen und Sicherungsmittel
  • Regelungen für Administration und Wartung
  • Festlegung von Sicherheitsanforderungen

Die Richtlinie gibt ein grundlegendes Vorgehen bei normalem Schutzbedarf nach einem Basismodul vor und beschreibt in Zusatzmodulen, welche Maßnahmen zu treffen sind, wenn die Schutzbedarfe in Bezug auf Integrität, Vertraulichkeit oder Verfügbarkeit hoch oder sehr hoch einzustufen sind.

Dazu gehört unter anderem die Sicherung der Integrität der gescannten Dokumente durch die Bildung eines Hashwertes, der in der weiteren Verarbeitung immer wieder überprüft wird, bei sehr hohem Schutzbedarf bezüglich Vertraulichkeit wird eine Verschlüsselung oder/und eine digitale Signatur der gescannten Daten durchgeführt. Eine erweiterte bis vollständige Qualitätskontrolle soll durchgeführt werden bei einem hohen Anspruch an die Verfügbarkeit der Dokumente.

TR Resiscan und eGovernement

Die Richtlinie findet bisher in der freien Wirtschaft nicht besonders viel Resonanz. Kritiker merken an, dass in diesem Bereich auch bisher bereits ersetzend gescannt wird und dies durch die Grundsätze zur ordnungsgemäßen (DV-gestützten) Buchführung GOBS und die Einhaltung der GDPdU gerechtfertigt wird. Eine Übernahme von Maßnahmen aus der Richtlinie würde das Verfahren verkomplizieren und den Aufwand ungerechtfertigt erhöhen, insbesondere was den Einsatz von Digitalen Signaturen angeht.

Ganz anders sieht man das in der öffentlichen Verwaltung, im Justiz- und im Gesundheitswesen. Dort hat die TR Resiscan schon Einzug in die ersten Ausschreibungen für Scan-Systeme oder
-Dienstleistungen gehalten und vorhandene Scanstrecken werden auf die Konformität zur Richtlinie untersucht. Es wird der Anspruch erhoben, Systeme zur Digitalisierung sollen mindestens konform zur Richtlinie sein, wenn nicht sogar zertifiziert.

Das scheint auch kein Wunder zu sein. Schon im e-Government-Gesetz, in Kraft getreten am 01.August 2013, wurde auf die TR Resiscan Bezug genommen als ein Beispiel für ersetzendes Scannen nach dem Stand der Technik. Und ersetzendes Scannen wird ausdrücklich im Zuge der Einführung der e-Akte gefordert. Da heißt es in §7, Absatz 2:

„(2) Papierdokumente nach Absatz 1 sollen nach der Übertragung in elektronische Dokumente vernichtet oder zurückgegeben werden, sobald eine weitere Aufbewahrung nicht mehr aus rechtlichen Gründen oder zur Qualitätssicherung des Übertragungsvorgangs erforderlich ist.“

Mit anderen Worten: Die e-Akte soll bis 2020 flächendeckend eingeführt werden und nach deren Einführung wird diese die führende Akte und ermöglicht das Erreichen von medienbruchfreiem Arbeiten in den Verwaltungen und Behörden.

e-Akte und PDF

In der e-Akte wird nach unserer Ansicht ein Datei-Format weite Verbreitung finden und das finden wir auch gut und richtig, nämlich PDF im Allgemeinen und PDF/A in allen seinen Ausprägungen im Besonderen, bestens für eine beweiswerterhaltende Archivierung geeignet.

Neben der Einführung der e-Akte fordert das e-Government Gesetz auch den digitalen Zugang des Bürgers und die digitale Publikationen der Verwaltungsinformationen. Hier wird ein weiterer internationaler PDF-Standard eine große Rolle spielen, nämlich PDF/UA. Für die öffentliche Darstellung von Verwaltungsinformationen gilt, dass sie barrierefrei ins Netz gestellt werden müssen.

Weitere ausstellende Mitglieder der PDF Association:

icon Systemhaus GmbH – Stand 6-D 32
kühn & weyh Software GmbH – Stand: 6-C 38
microform GmbH – Stand: 6-F 32
OPTIMAL SYSTEMS GmbH– Stand: 6-C 22
PDF Tools AG – Stand: 6-D 02
profiforms gmbh –  Stand: 6-C 38
Satz-Rechen-Zentrum – Stand: 6-E38
SEAL Systems AG – Stand: 6-C 58

Neue Mitglieder der PDF Association:

Neue Kooperationen:

Über die PDF Association

Die PDF Association verfolgt das Ziel, PDF-Anwendungen für digitale Dokumente zu fördern, die auf offenen Standards basieren. Dazu setzt sich der internationale Verband für eine aktive Wissensvermittlung und den Austausch von Know-how und Erfahrungen für alle Interessengruppen weltweit ein. Derzeit sind über 100 Unternehmen und zahlreiche Experten aus mehr als 20 Ländern Mitglied der PDF Association.

Kontakt

Association for Digital Document Standards e.V.
PDF Association

Thomas Zellmann
Neue Kantstr. 14
D-14057 Berlin

Telefon: +49 30 39 40 50-0
Telefax: +49 30 39 40 50-99

info@pdfa.org
https://pdfa.org

Unsubscribe

Sie erhalten diese News, weil Sie im PDF/A Newsletter registriert sind. Wenn Sie keine weiteren Newsletter mehr wünschen, bitte einfach auf dieses Mail mit „UNSUBSCRIBE“ antworten.

WordPress Cookie Notice by Real Cookie Banner