BSI TR-RESISCAN - AuthentiDate

BSI Technische Richtlinie 03138 

Ersetzendes Scannen 

Bezeichnung RESISCAN – Ersetzendes Scannen 

Kürzel BSI TR RESISCAN - 03138 

Version 0.90 (zur öffentlichen Kommentierung) 

Datum 09.10.12 

Das Dokument ist in Teilen nicht barrierefrei.

Ersetzendes Scannen (RESISCAN) BSI TR 03138 

Bundesamt für Sicherheit in der Informationstechnik 

Postfach 20 03 63 

53133 Bonn 

Tel.: +49 228 99 9582-0 

E-Mail: resiscan@bsi.bund.de 

Internet: https://www.bsi.bund.de 

© Bundesamt für Sicherheit in der Informationstechnik 2012 

2 Bundesamt für Sicherheit in der Informationstechnik

BSI TR 03138 Ersetzendes Scannen (RESISCAN) 

Vorwort des Präsidenten 

...Inhalte folgen... 

Bonn, im Dezember 2012 

Michael Hange, Präsident des BSI 

Bundesamt für Sicherheit in der Informationstechnik 3


Inhaltsverzeichnis 

Vorwort des Präsidenten........................................................................................................................3 

1. Vorbemerkungen..............................................................................................................................10 

1.1 Zielsetzung und Titel......................................................................................................................10 

1.2 Kennzeichnung...............................................................................................................................11 

1.3 Fachlich zuständige Stelle..............................................................................................................11 

1.4 Versionsverwaltung........................................................................................................................11 

1.5 Änderungsdienst / Fortschreibung..................................................................................................12 

1.6 Veröffentlichung.............................................................................................................................12 

1.7 Konventionen.................................................................................................................................12 

1.8 Anwendungsbereich.......................................................................................................................13 

2. Allgemeines und Übersicht...............................................................................................................14 

2.1 Regelungsgegenstand und wichtige Hinweise................................................................................14 

3. Methodik..........................................................................................................................................15 

3.1 Strukturanalyse...............................................................................................................................15 

3.2 Schutzbedarfsanalyse......................................................................................................................15 

3.3 Bedrohungsanalyse.........................................................................................................................16 

3.4 Risikoanalyse..................................................................................................................................16 

3.5 Sicherheitsmaßnahmen...................................................................................................................16 

3.6 Modularer Maßnahmenkatalog.......................................................................................................16 

4. Anforderungen für das ersetzende Scannen......................................................................................17 

4.1 Modulkonzept.................................................................................................................................17 

4.2 Basismodul.....................................................................................................................................18 

4.2.1 Grundlegende Anforderungen.....................................................................................................18 

4.2.2 Organisatorische Maßnahmen.....................................................................................................19 

4.2.3 Personelle Maßnahmen................................................................................................................21 

4.2.4 Technische Maßnahmen..............................................................................................................22 

4.2.5 Sicherheitsmaßnahmen bei der Dokumentenvorbereitung...........................................................23 

4.2.6 Sicherheitsmaßnahmen beim Scannen.........................................................................................24 

4.2.7 Sicherheitsmaßnahmen bei der Nachbearbeitung........................................................................28 

4.2.8 Sicherheitsmaßnahmen bei der Integritätssicherung....................................................................29 

4.3 Aufbaumodule................................................................................................................................30 

4.3.1 Generelle Maßnahmen bei erhöhtem Schutzbedarf......................................................................30 

4.3.2 Zusätzliche Maßnahmen bei hohen Integritätsanforderungen......................................................31 

4.3.3 Zusätzliche Maßnahmen bei sehr hohen Integritätsanforderungen..............................................33 

4.3.4 Zusätzliche Maßnahmen bei hohen Vertraulichkeitsanforderungen............................................34 

4.3.5 Zusätzliche Maßnahmen bei sehr hohen Vertraulichkeitsanforderungen.....................................34 

4.3.6 Zusätzliche Maßnahmen bei hohen Verfügbarkeitsanforderungen..............................................35 

4.3.7 Zusätzliche Maßnahmen bei sehr hohen Verfügbarkeitsanforderungen.......................................36 

Abkürzungsverzeichnis.......................................................................................................................37 

Glossar.................................................................................................................................................39 



Referenzen...........................................................................................................................................41 

Anlage A – Ergebnis der Risikoanalyse (informativ)..........................................................................45 

A.1 Strukturanalyse............................................................................................................................45 

A.1.1 Konventionen.............................................................................................................................45 

A.1.2 Datenobjekte..............................................................................................................................45 

A.1.3 IT-Systeme und Anwendungen..................................................................................................47 

A.1.4 Der „generische Scanprozess“...................................................................................................49 

A.1.4.1 Eingang des Dokumentes........................................................................................................50 

A.1.4.2 Dokumentenvorbereitung........................................................................................................50 

A.1.4.3 Scannen...................................................................................................................................50 

A.1.4.4 Nachverarbeitung....................................................................................................................50 

A.1.4.5 Integritätssicherung.................................................................................................................51 

A.1.4.6 Beweiswert-erhaltende Aufbewahrung ..................................................................................51 

A.1.4.7 Vernichtung des Originals .....................................................................................................51 

A.1.5 Kommunikationsverbindungen..................................................................................................51 

A.1.6 Informationsfluss der Datenobjekte...........................................................................................54 

A.2 Schutzbedarfsanalyse....................................................................................................................54 

A.2.1 Überblick...................................................................................................................................54 

A.2.2 Definition der Schutzbedarfskategorien und Sicherheitsziele....................................................55 

A.2.3 Fachliche Schutzbedarfsanalyse.................................................................................................57 

A.2.4 Schutzbedarf der Datenobjekte..................................................................................................57 

A.2.4.1 Schutzbedarf des Originals.....................................................................................................57 

A.2.4.2 Schutzbedarf des Scanproduktes.............................................................................................58 

A.2.4.3 Schutzbedarf der Index- und Metadaten..................................................................................59 

A.2.4.4 Schutzbedarf des Transfervermerkes......................................................................................60 

A.2.4.5 Schutzbedarf der Sicherungsdaten..........................................................................................61 

A.2.4.6 Schutzbedarf der Protokolldaten.............................................................................................62 

A.2.5 Schutzbedarf der IT-Systeme und Anwendungen......................................................................62 

A.2.6 Schutzbedarf der Kommunikationsverbindungen......................................................................63 

A.3 Bedrohungsanalyse.......................................................................................................................64 

A.3.1 Gefährdungen in der Dokumentenvorbereitung.........................................................................64 

A.3.2 Gefährdungen beim Scannen.....................................................................................................65 

A.3.3 Gefährdungen bei der Nachverarbeitung...................................................................................67 

A.4 Sicherheitsmaßnahmen.................................................................................................................70 

A.4.1 Allgemeine Sicherheitsmaßnahmen...........................................................................................70 

A.4.2 Sicherheitsmaßnahmen bei der Dokumentenvorbereitung.........................................................73 

A.4.3 Sicherheitsmaßnahmen beim Scannen.......................................................................................75 



A.4.4 Sicherheitsmaßnahmen bei der Nachbearbeitung.......................................................................80 

A.4.5 Sicherheitsmaßnahmen bei der Integritätssicherung..................................................................82 



Verzeichnis der Abbildungen 

Abbildung 1: Der „generische Scanprozess“......................................................................................14 

Abbildung 2: Modulkonzept..............................................................................................................17 

Abbildung 3: Das „typische Scansystem“..........................................................................................47 

Abbildung 4: Zeitliche Betrachtungen zum „generischen Scanprozess“ ...........................................49 

Abbildung 5: Wesentliche Kommunikationsverbindungen................................................................52 



Verzeichnis der Anforderungen 

Basismodul...........................................................................................................................................18 

Grundlegende Anforderungen.........................................................................................................18 

A.G.1 – Verfahrensdokumentation.............................................................................................18 

A.G.2 – Fachliche Schutzbedarfsanalyse....................................................................................18 

Organisatorische Maßnahmen.........................................................................................................19 

A.O.1 – Festlegung von Verantwortlichkeiten, Abläufen und Aufgaben im Scanprozess..........19 

A.O.2 – Regelungen für Wartungs- und Reparaturarbeiten........................................................20 

A.O.3 – Abnahme- und Freigabe-Verfahren für Hardware und Software..................................20 

A.O.4 – Aufrechterhaltung der Informationssicherheit...............................................................20 

A.O.5 – Anforderungen beim Outsourcing des Scanprozesses...................................................20 

Personelle Maßnahmen....................................................................................................................21 

A.P.1 – Sensibilisierung der Mitarbeiter für Informationssicherheit..........................................21 

A.P.2 – Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften, 

Regelungen und der Verfahrensweisung....................................................................................21 

A.P.3 – Schulung zur ordnungsgemäßen Bedienung des Scansystems.......................................21 

A.P.4 – Schulung zu Sicherheitsmaßnahmen im Scanprozess....................................................22 

A.P.5 – Schulung des Wartungs- und Administrationspersonals................................................22 

Technische Maßnahmen..................................................................................................................22 

A.T.1 – Grundlegende Sicherheitsmaßnahmen für IT-Systeme im Scanprozess........................22 

A.T.2 – Festlegung der zulässigen Kommunikationsverbindungen............................................23 

A.T.3 – Schutz vor Schadprogrammen.......................................................................................23 

A.T.4 – Zuverlässige Speicherung..............................................................................................23 

Sicherheitsmaßnahmen bei der Dokumentenvorbereitung...............................................................23 

A.DV.1 – Sorgfältige Vorbereitung der Papierdokumente.........................................................23 

A.DV.2 – Vorbereitung der Vollständigkeitsprüfung bei automatisierter Erfassung..................24 

Sicherheitsmaßnahmen beim Scannen.............................................................................................24 

A.SC.1 – Auswahl und Beschaffung geeigneter Scanner...........................................................25 

A.SC.2 – Geeignete Aufstellung von Druckern und Kopierern .................................................25 

A.SC.3 – Änderung voreingestellter Passwörter.........................................................................25 

A.SC.4 – Sorgfältige Durchführung von Konfigurationsänderungen.........................................25 

A.SC.5 – Geeignete Benutzung des Scanners.............................................................................26 

A.SC.6 – Geeignete Scan-Einstellungen....................................................................................26 

A.SC.7 – Geeignete Erfassung von Metainformationen.............................................................26 

A.SC.8 – Qualitätssicherung der Scanprodukte..........................................................................26 

A.SC.9 – Sichere Außerbetriebnahme von Scannern..................................................................27 

A.SC.10 – Sichere Zugriffsmechanismen bei Fernadministration..............................................27 

A.SC.11 – Informationsschutz und Zugriffsbeschränkung bei netzwerkfähigen Scannern.........27 

A.SC.12 – Protokollierung beim Scannen..................................................................................27 

Sicherheitsmaßnahmen bei der Nachbearbeitung............................................................................28 

A.NB.1 – Geeignete und nachvollziehbare Nachbearbeitung.....................................................28 

A.NB.2 – Qualitätssicherung der nachbearbeiteten Scanprodukte..............................................28 

A.NB.3 – Durchführung der Vollständigkeitsprüfung................................................................28 

A.NB.4 – Transfervermerk.........................................................................................................28 

Sicherheitsmaßnahmen bei der Integritätssicherung........................................................................29 

A.IS.1 – Nutzung geeigneter Dienste und Systeme für den Integritätsschutz.............................29 

Aufbaumodule......................................................................................................................................30 

Generelle Maßnahmen bei erhöhtem Schutzbedarf.........................................................................30 

A.AM.G.1 – Beschränkung des Zugriffs auf sensible Papierdokumente....................................30 

A.AM.G.2 – Pflicht zur Protokollierung beim Scannen.............................................................30 

A.AM.G.3 – Pflicht zur regelmäßigen Auditierung....................................................................31 

Zusätzliche Maßnahmen bei hohen Integritätsanforderungen..........................................................31 

A.AM.IN.H.1 – Einsatz kryptographischer Mechanismen zum Integritätsschutz.......................31 

A.AM.IN.H.2 – Geeignetes Schlüsselmanagement....................................................................32 

A.AM.IN.H.3 – Auswahl eines geeigneten kryptographischen Verfahrens................................32 



A.AM.IN.H.4 – Auswahl eines geeigneten kryptographischen Produktes..................................32 

A.AM.IN.H.5 – Beweiswerterhalt bei Einsatz kryptographischer Verfahren.............................32 

A.AM.IN.H.6 – Verhinderung ungesicherter Netzzugänge........................................................33 

Zusätzliche Maßnahmen bei sehr hohen Integritätsanforderungen..................................................33 

A.AM.IN.SH.1 – 4-Augen-Prinzip.............................................................................................33 

A.AM.IN.SH.2 – Einsatz qualifizierter elektronischer Signaturen und Zeitstempel...................33 

A.AM.IN.SH.3 – Eigenständiges Netzsegment..........................................................................33 

A.AM.IN.SH.4 – Kennzeichnung der Dokumente bzgl. Sensitivität..........................................34 

Zusätzliche Maßnahmen bei hohen Vertraulichkeitsanforderungen................................................34 

A.AM.VT.H.1 – Sensibilisierung und Verpflichtung der Mitarbeiter.........................................34 

A.AM.VT.H.2 – Verhinderung ungesicherter Netzzugänge.......................................................34 

A.AM.VT.H.3 – Löschen von Zwischenergebnissen.................................................................34 

Zusätzliche Maßnahmen bei sehr hohen Vertraulichkeitsanforderungen.........................................34 

A.AM.VT.SH.1 – Kennzeichnung der Dokumente bzgl. Sensitivität.........................................35 

A.AM.VT.SH.2 – Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln............35 

A.AM.VT.SH.3 – Sicherheitsüberprüfung von Mitarbeitern......................................................35 

A.AM.VT.SH.4 – Verschlüsselte Datenübertragung innerhalb des Scansystems ......................35 

Zusätzliche Maßnahmen bei hohen Verfügbarkeitsanforderungen..................................................35 

A.AM.VF.H.1 – Erweiterte Qualitätssicherung der Scanprodukte.............................................36 

A.AM.VF.H.2 – Fehlertolerante Protokolle und redundante Datenhaltung................................36 

Zusätzliche Maßnahmen bei sehr hohen Verfügbarkeitsanforderungen..........................................36 

A.AM.VF.SH.1 – Vollständige Sichtkontrolle zur Qualitätssicherung der Scanprodukte..........36 

A.AM.VF.SH.2 – Test der Geräte und Einstellungen mit ähnlichen Dokumenten.....................36 



1. Vorbemerkungen 

Dieses Kapitel enthält Angaben zur Bezeichnung dieser Technischen Richtlinie (TR), zur fachlich 

zuständigen Stelle, zur Versionsverwaltung, zum Änderungsdienst und der Fortschreibung der TR. 

1.1 Zielsetzung und Titel 

Diese TR zielt auf eine Steigerung der Rechtssicherheit im Bereich des ersetzenden Scannens ab 

und trägt den Titel "Ersetzendes Scannen (RESISCAN)“. 

Hierbei wird unter dem „ersetzenden Scannen“ der Vorgang des elektronischen Erfassens von 

Papierdokumenten mit dem Ziel der elektronischen Weiterverarbeitung und Aufbewahrung des hierbei 

entstehenden elektronischen Abbildes (Scanprodukt) und der späteren Vernichtung des 

papiergebundenen Originals verstanden. 

Die TR RESISCAN hat zum Ziel, Anwendern in Justiz, Verwaltung und Wirtschaft als 

Handlungsleitfaden und Entscheidungshilfe zu dienen, wenn es darum geht, Papierdokumente nicht 

nur einzuscannen, sondern nach Erstellung des Scanproduktes auch zu vernichten. Dies betrifft 

insbesondere solche Anwendungen, in denen gesetzliche oder anders begründete Aufbewahrungs- und 

Dokumentationspflichten bestehen, die eine besondere Handhabung digitalisierter Dokumente nach 

sich ziehen, wenn das Original vernichtet werden soll. Die TR hat ohne besondere rechtliche 

Bestimmungen lediglich empfehlenden Charakter. 

Während in manchen Anwendungsbereichen, wie etwa dem kaufmännischen oder steuerlich 

relevanten Umfeld nach AO und HGB seit 1995 Grundsätze zur ordnungsgemäßen Ausführung der 

elektronischen Aufbewahrung existieren, nach denen bereits ersetzend gescannt wird, fehlen konkrete 

Umsetzungsvorgaben für die meisten anderen, aber zunehmend betroffenen Bereiche (Ausnahme: 

Sozialversicherungsrecht). Darüber hinaus gibt es auch in den bereits von unterschiedlich detaillierten 

Regelungen betroffenen Bereichen zunehmend davon nicht erfasste Dokumente (zum Beispiel solche, 

die nicht nur nach AO/HGB sondern auch zur zivilrechtlichen Beweissicherung aufbewahrt werden 

sollen), die vor allem aus Gründen der Wirtschaftlichkeit zukünftig ebenfalls ersetzend gescannt 

werden sollen. Um dies auf einer möglichst sicheren technisch-organisatorischen Grundlage tun zu 

können, wurden die Empfehlungen in dieser TR erarbeitet. Ziel ist es, die mit einer Vernichtung des 

Originaldokuments stets einhergehende Verringerung des Beweiswerts für den jeweiligen Anwender 

durch einen an das Original möglichst weit angenäherten Beweiswert des - in einem nachweisbar 

ordnungsgemäßen Prozess erstellten - Scanproduktes selbst auszugleichen, zu minimieren oder 

sichtbar zu machen. Schließlich kann die TR im Rahmen künftiger Regelungsvorhaben als Referenz 

dienen, wenn es z.B. konkret um die Schaffung weiterer Zulässigkeitstatbestände für das ersetzende 

Scannen insbesondere im Bereich der elektronischen Aktenführung geht. 

Die TR beruht auf den langjährigen Erfahrungen der Praxis in den verschiedenen Anwendungsbereichen 

in Verwaltung und Wirtschaft und berücksichtigt so umfassend wie möglich die hier 

etablierten Prozesse. Der Mehrwert für alle Scanprozesse, in denen das Scanprodukt das Original 

tatsächlich ersetzen soll, liegt insbesondere in der systematischen Darstellung der im Ablauf eines 

Scanprozesses bedeutsamen Bedrohungen für die wesentlichen Grundziele der Informationssicherheit. 

Diese werden die in einer Strukturanalyse u.a. dezidiert für alle betroffenen Datenobjekte und 

Kommunikationsbeziehungen dargestellt. Auf Grundlage einer darauf aufbauenden sorgfältigen 

Schutzbedarfsanalyse und anhand der entlang der verschiedenen Scanphasen durchgeführten 

Risikoanalyse werden konkrete Sicherheitsmaßnahmen beschrieben. Dadurch wird der Anwender in 

die Lage versetzt, die für seine Fachanwendung notwendigen Maßnahmen zu identifizieren und 

„seinen“ Scanprozess angemessen sicher zu gestalten. Durch die detaillierte Bedrohungsanalyse und 

die daraus abgeleiteten Sicherheitsempfehlungen profitieren voraussichtlich auch bereits etablierte 

Scanprozesse von der TR, indem diese, sofern gewünscht, ihre Konformität zu den hier erarbeiteten 

Empfehlungen mit angemessenem Aufwand feststellen können, und mit Hilfe der mit der TR zur 

Verfügung gestellten Checkliste ggfs. die bereits bestehende Ordnungsmäßigkeit ihres Scanprozesses 

bei Bedarf weiter optimieren können. 



Aufgrund der enormen Unterschiede der fachspezifischen Anforderungen jedes Anwendungsbereichs, 

sieht die TR einen modularen Anforderungskatalog vor, der unterschiedliche praxisrelevante 

Sicherheitsstufen umfasst. In der Basisstufe geht es vor allem um einen grundsätzlich 

ordnungsgemäßen und mit grundlegenden Sicherheitsmaßnahmen ausgestalteten Scanprozess. In den 

Ausbaustufen wird besonderen Anforderungen an Integrität, Verfügbarkeit und Vertraulichkeit mit 

entsprechend angepassten und erhöhten Sicherheitsmaßnahmen Rechnung getragen. 

Gegenstand der TR (und damit potentieller Zertifizierungsgegenstand) ist der Prozess des 

(ersetzenden) Scannens als solcher in technischer und organisatorischer Hinsicht, nicht aber bestimmte 

Soft- oder Hardwarekomponenten zur tatsächlichen Durchführung des Scannens. Im Rahmen der nach 

der TR möglichen Nachweisführung der Konformität durch eine Zertifizierung des Scanprozesses 

werden daher Soft- und Hardware nicht explizit betrachtet. Ebenso ist die sich an einen Scanprozess 

im Rahmen eines Vorgangsbearbeitungssystems und/oder Dokumentenmanagementsystems 

anschließende Langzeitspeicherung oder Archivierung nicht Gegenstand der TR. Diesbezüglich wird 

lediglich die notwendige Interoperabilität und Kompatibilität zu gängigen Archivformaten 

berücksichtigt. 

Die hier formulierten Empfehlungen beinhalten nicht nur funktionale und auf die Sicherheitseigenschaften 

bezogene Maßnahmen, sondern auch gleichrangig organisatorische Empfehlungen, die 

gerade beim Scannen von besonderer Relevanz sind. Denn ein Scanprozess kann in keinem Fall 

vollständig automatisiert erfolgen, sondern bedarf immer auch der sorgfältigen Bedienung durch 

Menschen, die damit eine potentielle und nicht zu unterschätzende Fehlerquelle des Scanprozesses 

darstellen. 

1.2 Kennzeichnung 

Diese TR wird gekennzeichnet mit „BSI TR 03138“. 

1.3 Fachlich zuständige Stelle 

Fachlich zuständig für die Formulierung und Betreuung dieser TR ist das Bundesamt für Sicherheit in 

der Informationstechnik (BSI). 

Anschrift: Bundesamt für Sicherheit in der Informationstechnik (BSI) 


53133 Bonn 

Tel.: +49 228 99 9582-0 



1.4 Versionsverwaltung 

Diese TR besteht aus diesem Dokument sowie der dazugehörigen Prüfspezifikation für die 

Konformitätsprüfung in Anhang 1. Darüber hinaus existiert eine informative Anlage (Ergebnis der 

Risikoanalyse) sowie die unverbindlichen rechtlichen Erläuterungen zur Anwendung der TR. Beide 

letztgenannten Dokumente sind nicht Gegenstand einer Konformitätsprüfung und dienen lediglich als 

erläuternde Hinweise. 

Die zur Zeit gültigen Teile dieser TR sind: 

Teil der TR Version Datum Bemerkung 

TR RESISCAN – Hauptdokument 

(dieses Dokument, inkl. Anlage A) 

'1.0 xx.12.2012 



Teil der TR Version Datum Bemerkung 

TR RESISCAN – Anlage P: 

'1.0 xx.12.2012 referenziert als 

Prüfspezifikation 

[BSI-TR03138-P] 

TR RESISCAN – Anlage R: 


Unverbindliche rechtliche Hinweise zur 

Anwendung der TR-RESISCAN 

(informativ) 

[BSI-TR03138-R] 

TR RESISCAN – Anlage V: 


Exemplarische Verfahrensanweisung 

(informativ) 

[BSI-TR03138-V] 

1.5 Änderungsdienst / Fortschreibung 

Die TR sowie die Prüfspezifikation unterliegen einem fortwährenden Pflege- und Verbesserungsprozess, 

in dem neue und geänderte Anforderungen berücksichtigt werden. Die Fortführung muss geordnet 

verlaufen, d. h. dass abgestimmte Versionen der TR in einem formalen Akt freigegeben 

werden. 

Formal freigegebene Versionen werden im Bundesanzeiger und auf der Webseite des BSI 

veröffentlicht. 

1.6 Veröffentlichung 

Die gültigen Versionen werden nach Veröffentlichung im Bundesanzeiger auf der Webseite des BSI 

zum Download angeboten. 

In einem auf der Webseite des BSI verfügbaren Änderungsverzeichnis werden die Versionen mit Beschreibung 

der Erweiterung oder Änderung und des Datums geführt. 

1.7 Konventionen 

Die in dieser Technischen Richtlinie spezifizierten Anforderungen an Prozesse und Systeme zum 

ordnungsgemäßen ersetzenden Scannen werden eindeutig gekennzeichnet. 

Für die genauere Unterscheidung zwischen normativen und informativen Inhalten werden die dem 

[RFC2119] entsprechenden in Großbuchstaben geschriebenen, deutschen Schlüsselworte verwendet: 

• MUSS bedeutet, dass es sich um eine absolutgültige und normative Festlegung bzw. 

Anforderung handelt. 

• DARF NICHT bezeichnet den absolutgültigen und normativen Ausschluss einer Eigenschaft. 

• SOLL beschreibt eine nachdrückliche Empfehlung. Abweichungen zu diesen Festlegungen 

sind in wohlbegründeten Ausnahmefällen möglich. 

• SOLL NICHT kennzeichnet die Empfehlung, eine Eigenschaft auszuschließen. 

Abweichungen sind in begründeten Fällen möglich. 

• KANN bedeutet, dass die Eigenschaften fakultativ oder optional sind. Diese Festlegungen 

haben keinen Normierungs- und keinen allgemeingültigen Empfehlungscharakter. 



1.8 Anwendungsbereich 

Die vorliegende Technische Richtlinie bietet Anwendern in Justiz, Verwaltung und Wirtschaft einen 

Handlungsleitfaden zur möglichst rechtssicheren Gestaltung der Prozesse und Systeme für das 

ersetzende Scannen. 

Durch eine definierte Konformitätsprüfung können Anwender oder Anbieter von Scandienstleistungen 

einen dokumentierten Nachweis darüber erbringen, dass ihre Prozesse und Systeme für das ersetzende 

Scannen die hier aufgestellten technischen und organisatorischen Anforderungen nach dem jeweils 

gewählten Modul erfüllen. 

Eine nachgewiesene Konformitätsbestätigung und ein darüber erteiltes Zertfikat des BSI kann für 

Vergabeverfahren vom Bedarfsträger als Leistungskriterium herangezogen werden. 

Neben einer Zertifizierung kommen je nach Anwendungsfall auch Eigenerklärungen von 

Scandienstleistern oder auch Anwendern in Betracht. Die TR dient somit insgesamt als 

praxisorientierter Handlungsleitfaden für die Ordnungsmäßigkeit eines Scanprozesses ohne eine damit 

verbundene Verpflichtung zur Zertifizierung. 

Schließlich kann die TR z.B. für die Erfüllung des Stands der Technik im Rahmen von 

Gesetzgebungsverfahren referenziert werden sowie auf der untergesetzlichen Ebene der weiteren 

Konkretisierung technisch-organisatorischer Anforderungen dienen. 



2. Allgemeines und Übersicht 

In diesem Kapitel werden der Aufbau und die Inhalte der Technischen Richtlinie sowie die grundsätzlichen 

Ziele und Herausforderungen für das rechtssichere ersetzende Scannen erläutert. 

2.1 Regelungsgegenstand und wichtige Hinweise 

Wie in Abbildung 1 dargestellt, umfasst der „generische Scanprozess“, der bei der Entwicklung der 

vorliegenden TR zu Grunde gelegt wurde, 

• die Dokumentenvorbereitung, 

• das Scannen, 

• die Nachverarbeitung und schließlich 

• die Integritätssicherung. 

E i n g a n g e i n e s 

D o k u m e n t e s 

G e g e n s t a n d d e r T R R E S I S C A N 

D o k u m e n t e n - 

v o r b e r e it u n g 

S c a n n e n 

N a c h v e r - 

a r b e i t u n g 

Abbildung 1: Der „generische Scanprozess“ 

I n t e g r it ä t s - 

s ic h e r u n g 

B e w e i s w e r t - 

e r h a l t e n d e 

A u f b e w a h r u n g 

Prozessschritte jenseits der Integritätssicherung (z.B. Sachbearbeitung, Zwischenspeicherung, langfristige 

Aufbewahrung und Archivierung) sind nicht Gegenstand dieser TR. Auch die spezifischen 

Anforderungen der Beweiswert-erhaltenden Aufbewahrung von kryptographisch signierten Daten sind 

nicht Gegenstand der vorliegenden TR, sondern in [BSI-TR03125] adressiert. 

Diese TR regelt insbesondere nicht die Zulässigkeit des ersetzenden Scannens als solches. Die Zulässigkeit 

des ersetzenden Scannens ist von jedem Anwender in seinem Anwendungs- und Verantwortungsbereich 

auf der Grundlage der für diesen einschlägigen Rechtsvorschriften zu prüfen. 

Rechtliche Betrachtungen hierzu finden sich in [JaWi09] und [BSI-TR03138-R]. 



3. Methodik 

Für die Risikoanalyse des Scanprozesses wurde eine an die internationalen Standards [ISO27001], 

[ISO27005], das IT-Sicherheitshandbuch [BSI-IT-SiHB] bzw. die IT-Grundschutz-Vorgehensweise 

(siehe [BSI-100-2], [BSI-100-3]) des BSI angelehnte Methodik herangezogen. Diese umfasste die 

folgenden Aufgaben: 

• Strukturanalyse 

• Schutzbedarfsanalyse 

• Bedrohungsanalyse 

• Risikoanalyse 

• Sicherheitsmaßnahmen 

• Modularer Anforderungskatalog 

Während in der hier angestellten generischen Betrachtung in der Regel nur allgemeingültige Aspekte 

berücksichtigt werden konnten, wurde soweit möglich auf die Bandbreite der unterschiedlichen in der 

Praxis auftretenden Ausprägungen der eingesetzten Systeme und Prozesse hingewiesen. 

3.1 Strukturanalyse 

In einem ersten Schritt wurden die im weiteren Verlauf zu betrachtenden Objekte erfasst. Dies 

beinhaltetee insbesondere die relevanten IT-Systeme, Netze, Anwendungen sowie die entsprechenden 

Datenobjekte (Schriftgut, Scanprodukte, Sicherungsdaten, Protokolle etc.). 

Die Ergebnisse der Strukturanalyse finden sich in Anlage A.1. 

3.2 Schutzbedarfsanalyse 

Für diese identifizierten Objekte wurde in zwei Schritten eine detaillierte fachliche und technische 

Schutzbedarfsanalyse durchgeführt. 

Im Rahmen der fachlichen Schutzbedarfsanalyse wurde in einem ersten Schritt für ausgewählte 

Klassen von Datenobjekten exemplarisch der Schutzbedarf ermittelt, wobei die gemäß ihrer 

rechtlichen Relevanz differenzierten Sicherheitsziele „Integrität“, „Authentizität“, „Vollständigkeit“, 

„Nachvollziehbarkeit“, „Verfügbarkeit“, „Lesbarkeit“, „Verkehrsfähigkeit“, „Vertraulichkeit“ und 

„Löschbarkeit“ betrachtet wurden. 

Jeder Anwender der vorliegenden Richtlinie MUSS für die konkret verarbeiteten Dokumente selbst 

eine solche Schutzbedarfsanalyse erstellen. Hierbei können die in [BSI-TR03138-R] dokumentierten 

Ergebnisse der exemplarischen Schutzbedarfsanalysen der Orientierung dienen. 

In einem zweiten Schritt wurde in einer technischen Schutzbedarfsanalyse der Schutzbedarf der IT- 

Systeme, Anwendungen und Kommunikationsbeziehungen hinsichtlich der Grundwerte „Integrität“, 

„Verfügbarkeit“ und „Vertraulichkeit“ bestimmt. Um die einfache Wiederverwendbarkeit der 

Ergebnisse im IT-Grundschutz-Kontext [BSI-100-2] zu gewährleisten, wurden die Klassen „normal“, 

„hoch“ und „sehr hoch“ genutzt. Hierbei wurde der jeweilige Schutzbedarf in Abhängigkeit des 

Schutzbedarfs des ursprünglichen Papierdokumentes ausgedrückt und die differenzierten 

Sicherheitsziele wurden den Grundwerten zugeordnet. 

Die Ergebnisse der Schutzbedarfsanalyse finden sich in Anlage A.2. 



3.3 Bedrohungsanalyse 

Für die einzelnen Objekte wurden sodann entsprechende Bedrohungen bzw. Schwachstellen ermittelt. 

Hierbei wurde auf anwendbare IT-Grundschutz-Bausteine (z.B. Fehler: Referenz nicht gefunden, 

[BSI-B 3.201], [BSI-B 3.406] und [BSI-B 5.7]) aufgebaut. Bei Bedarf wurde eine entsprechende 

Präzisierung und Ergänzung vorgenommen, die die Anwendung und Umsetzung der maßgeblichen IT- 

Grundschutz-Bausteine erleichtert. 

Die Ergebnisse der Bedrohungsanalyse finden sich in Anlage A.3. 

3.4 Risikoanalyse 

Während auf Basis der Bedrohungsanalyse üblicherweise eine explizite Risikoanalyse vorgenommen 

wird, wurde hier auf diesen Schritt verzichtet, da die Eintrittswahrscheinlichkeit für einen auf Grund 

einer Gefährdung entstehenden Schaden sehr stark von der konkreten Ausgestaltung des 

Scanprozesses abhängt. Da in der hier durchgeführten generischen Betrachtung nur eine mögliche 

Bandbreite bzw. ein Mittelwert angegeben werden könnte, wurde auf die explizite Darstellung des 

Risikos verzichtet. Unabhängig davon kann eine Risikobetrachtung im konkreten Einzelfall notwendig 

sein. Darüber ist im Rahmen der Konzipierung des Scanprozesses zu entscheiden. 

In [BSI-TR03138-R] sind grundsätzliche rechtliche Betrachtungen zu den generellen Beweisrisiken 

durch unsachgemäßes ersetzendes Scannen dargestellt. 

3.5 Sicherheitsmaßnahmen 

In diesem Schritt wurden für die Behandlung der Risiken entsprechende Sicherheitsmaßnahmen 

erarbeitet, durch die das verbleibende Restrisiko auf ein angesichts des hier angestrebten Ziels einer 

möglichst hohen Beweissicherheit tragbares Maß reduziert wird. Die hier erarbeiteten Erkenntnisse 

finden sich in Anlage A.4 und bilden die Grundlage für die in Abschnitt 4 spezifizierten 

Anforderungen. 

3.6 Modularer Maßnahmenkatalog 

Damit die ausgesprochen heterogenen potentiellen Anwender der TR für ihren konkreten 

Anwendungsfall ein angemessenes Maß an Sicherheit erreichen können, wird den in Abschnitt 4 

spezifizierten Anforderungen für das ersetzende Scannen das in Abschnitt 4.1 näher erläuterte 

Modulkonzept zu Grunde gelegt. 



4. Anforderungen für das ersetzende Scannen 

4.1 Modulkonzept 

Um beim ersetzenden Scannen ein grundlegendes Maß an Sicherheit gewährleisten zu können, wird 

hier ein „Basismodul“ (siehe Abschnitt 4.2) vorgesehen, das grundlegende organisatorische, 

personelle und technische Maßnahmen sowie spezifische Maßnahmen in den verschiedenen Phasen 

des „generischen Scanprozesses“ (Dokumentenvorbereitung, Scannen, Nachverarbeitung, 

Integritätssicherung, vgl. Abbildung 1) umfasst. 

Um auch erhöhten Schutzbedarfsanforderungen bzgl. Verfügbarkeit, Integrität oder Vertraulichkeit 

gerecht werden zu können, sind zusätzlich entsprechende Aufbaumodule (siehe Abschnitt 4.3) vorgesehen. 

Neben generellen Maßnahmen, die grundsätzlich umzusetzen sind, falls Dokumente mit 

erhöhtem Schutzbedarf verarbeitet werden, existieren spezifische Maßnahmen für die Verarbeitung 

von Dokumenten mit Schutzbedarf „hoch“ bzw. „sehr hoch“ bzgl. der Integrität, Vertraulichkeit und 

Verfügbarkeit. 

Die in den verschiedenen Modulen beschriebenen Anforderungen wurden aus den im Rahmen der in 

Anlage A (Seite 45 ff.) näher dargestellten Risikoanalyse abgeleitet. Auf diese kann somit für 

weiterführende Informationen zurückgegriffen werden. 

M a ß n a h m e n i n d e r 


v o r b e r e i t u n g 

A u f b a u m o d u l e m i t z u s ä t z l i c h e n S i c h e r h e i t s m a ß n a h m e n 

Z u s ä t z l i c h e M a ß n a h m e n 

b e i S c h u t z b e d a r f „ s e h r h o c h “ 

b z g l . I n t e g r i t ä t 


b e i S c h u t z b e d a r f „ h o c h “ 

b z g l . I n t e g r i t ä t 

O r g a n i s a t o r i s c h e 

M a ß n a h m e n 



b z g l . V e r t r a u l i c h k e i t 


b e i m 

S c a n n e n 



b z g l . V e r t r a u l i c h k e i t 

G e n e r e l l e M a ß n a h m e n b e i d e r V e r a r b e i t u n g v o n D o k u m e n t e n m i t e r h ö h t e m S c h u t z b e d a r f . 

B a s i s m o d u l 

M a ß n a h m e n b e i d e r 

N a c h v e r a r b e i t u n g 

G r u n d l e g e n d e A n f o r d e r u n g e n 

P e r s o n e l l e 


Abbildung 2: Modulkonzept 



b z g l . V e r f ü g b a r k e i t 



b z g l . V e r f ü g b a r k e i t 

M a ß n a h m e n b e i d e r 

I n t e g r i t ä t s s i c h e r u n g 

T e c h n i s c h e 




4.2 Basismodul 

Durch die nachfolgend dargestellten Anforderungen im Basismodul soll ein grundlegendes Maß an 

Sicherheit beim ersetzenden Scannen erreicht werden. Dies wird durch die Kombination von grundlegenden 

(A.G.x) und übergreifenden organisatorischen (A.O.x), personellen (A.P.x) und technischen 

Maßnahmen (A.T.x) mit spezifischen Maßnahmen in den einzelnen Phasen des generischen 

Scanprozesses erreicht. Wie in Abbildung 1 (Seite 14) und Abbildung 2 (Seite 17) dargestellt, umfasst 

dies Maßnahmen in der Dokumentenvorbereitung (A.DV.x), Maßnahmen beim Scannen (A.SC.x), 

Maßnahmen bei der Nachbearbeitung (A.NB.x) und schließlich Maßnahmen bei der Integritätssicherung 

(A.IS.x). 

4.2.1 Grundlegende Anforderungen 

ID Grundlegende Anforderungen 

A.G.1 Verfahrensdokumentation 

A.G.2 Fachliche Schutzbedarfsanalyse 

Tabelle 1: Grundlegende Anforderungen 

A.G.1 – Verfahrensdokumentation 

Um einen geordneten Ablauf beim ersetzenden Scannen zu ermöglichen MUSS eine Verfahrensdokumentation 

1 existieren. Diese Verfahrensdokumentation MUSS insbesondere die folgenden 

Aspekte umfassen: 

a. Die Art der verarbeiteten Dokumente (siehe auch A.G.2, unten) und Regelungen für nicht 

verarbeitbare Dokumente, die Festlegung von Verantwortlichkeiten, Abläufen und Aufgaben 

im Scanprozess (siehe auch A.O.1, Seite 19), 

b. die Festlegung von grundlegenden Anforderungen an die involvierten Mitarbeiter hinsichtlich 

ihrer Fähigkeiten und Kompetenzen sowie Maßnahmen zur Qualifizierung und 

Sensibilisierung der Mitarbeiter (siehe auch A.P.1, Seite 21), 

c. die Beschreibung der in den Scanprozess involvierten Räume, IT-Systeme, Anwendungen und 

Sicherungsmittel, 

d. Regelungen für die Administration und Wartung der IT-Systeme und Anwendungen (siehe 

auch A.O.2, Seite 19) sowie 

e. die Festlegung von Sicherheitsanforderungen für IT-Systeme, Netze und Anwendungen. 

A.G.2 – Fachliche Schutzbedarfsanalyse 

Damit ein für die jeweils verarbeiteten Dokumente angemessenes Sicherheitsniveau erreicht werden 

kann, MUSS für diese vor dem Hintergrund der anwendbaren rechtlichen Rahmenbedingungen eine 

sorgfältig begründete fachliche Schutzbedarfsanalyse 2 hinsichtlich der verschiedenen Sicherheitsziele 3 

(„Integrität“, „Authentizität“, „Vollständigkeit“, „Nachvollziehbarkeit“, „Verfügbarkeit“, 

„Lesbarkeit“, „Verkehrsfähigkeit“, „Vertraulichkeit“ und „Löschbarkeit“) durchgeführt werden. 

1 Eine beispielhafte Verfahrensdokumentation findet sich in [BSI-TR03138-V]. 

2 Exemplarische Schutzbedarfsanalysen für verschiedene Anwendungsbereiche finden sich in [BSI-TR03138-R]. 

3 Die Definition der Sicherheitsziele findet sich in Tabelle 21, Seite 56. 



4.2.2 Organisatorische Maßnahmen 

Im Basismodul sind die in Tabelle 2 aufgeführten organisatorischen Maßnahmen vorgesehen. 

ID Organisatorische Maßnahmen siehe auch 

A.O.1 Festlegung von Verantwortlichkeiten und Regelungen M 2.1 4 , Seite 70 

M 2.5, Seite 71 

M 2.225, Seite 71 

A.O.2 Regelungen für Wartungs- und Reparaturarbeiten M 2.4, Seite 71 

A.O.3 Abnahme- und Freigabe-Verfahren für Hardware und Software M 2.62, Seite 76 

A.O.4 Aufrechterhaltung der Informationssicherheit M 2.199, Seite 71 

A.O.5 Anforderungen beim Outsourcing des Scanprozesses [BSI-B 1.11] 

Tabelle 2: Organisatorische Maßnahmen im Überblick 

A.O.1 – Festlegung von Verantwortlichkeiten, Abläufen und Aufgaben im Scanprozess 

Um die Ordnungsmäßigkeit der Abläufe beim ersetzenden Scannen zu ermöglichen, MÜSSEN die 

Verantwortlichkeiten, Abläufe und Aufgaben im Scanprozess festgelegt werden. Dies MUSS 

insbesondere umfassen: 

a. welche Schritte durch wen ausgeführt werden müssen und wie dabei im Einzelnen vorzugehen 

ist, 

b. welche Daten hierbei erzeugt werden, 

c. welche Qualitätskontrollen durch wen in welchen Zeitabständen und nach welche Kriterien 

durchzuführen sind und 

d. welche Sicherungsdaten oder Sicherungssysteme für den Schutz der Integrität dieser Daten 

vorgesehen sind. 

e. Qualitätskontrollen SOLLEN zumindest stichprobenartig erfolgen und regelmäßig durch 

Mitarbeiter durchgeführt werden, die nicht mit der operativen Durchführung des zu 

kontrollierenden Arbeitsschrittes betraut sind. 

f. Für die in den Scanprozess involvierten Datenobjekte (Originaldokument, Scanprodukt, etc.) 

sowie für die im Scanprozess genutzten IT-Systeme und Anwendungen SOLLEN 5 

Verantwortliche benannt werden. 

g. Bei der Zuweisung des Personals zu den operativen Aufgaben im Scanprozess MÜSSEN 

potenzielle Interessenkonflikte berücksichtigt und sie SOLLEN nach Möglichkeit vermieden 

werden. 

h. Darüber hinaus SOLLEN typische Fehlerquellen berücksichtigt werden und es SOLLEN 

entsprechende Vorsichtsmaßnahmen festgelegt werden. 

i. Außerdem MUSS festgelegt werden, unter welchen Umständen und ab welchem Zeitpunkt 

das Originaldokument vernichtet werden darf. 

j. Hierbei MUSS auch ein Verfahren zur Klärung von „Zweifelsfragen“ etabliert werden. 

A.O.2 – Regelungen für Wartungs- und Reparaturarbeiten 

Es SOLLEN Regelungen für die Wartung und die Reparatur der für den Scanvorgang eingesetzten IT- 

Systeme und Anwendungen getroffen werden. Dies umfasst insbesondere: 

4 Die angegebenen Verweise M x.y beziehen sich auf Maßnahmen der IT-Grundschutz-Kataloge [BSI-GSK]. 

5 Ungeachtet der Tatsache, dass hier lediglich eine Empfehlung ausgesprochen wurde, kann die Benennung von 

Verantwortlichen durch die anwendbaren Gesetze und Verordnungen zwingend gefordert sein. 



a. Regelungen zur Authentisierung und zum Nachweis der Autorisierung des 

Wartungspersonals, 

b. die Dokumentation von sicherheitsrelevanten Veränderungen an den involvierten IT-Systemen 

und Anwendungen, 

c. die Dokumentation der erfolgreichen Durchführung der Maßnahmen zur Qualitätskontrolle 

und Freigabe (siehe auch A.O.3) vor der Wiederaufnahme des regulären Betriebs sowie 

d. die Festlegung der Verantwortlichkeit für die Beauftragung, Durchführung und ggf. Kontrolle 

von Wartungs- und Reparaturarbeiten (siehe auch A.O.1). 

A.O.3 – Abnahme- und Freigabe-Verfahren für Hardware und Software 

Um eine unbemerkte Manipulation der zum Scannen verwendeten IT-Systeme und Anwendungen zu 

verhindern und die Ordnungsmäßigkeit der Systeme zu dokumentieren, MUSS ein geregeltes 

Verfahren für die Abnahme und Freigabe der eingesetzten Hardware und Software etabliert werden. 

Dies umfasst sowohl den Scanner als auch die Scan-Workstation sowie den Scan-Cache. Neben der 

initialen Inbetriebnahme ist dieses Abnahmeverfahren auch bei der Wiederaufnahme des Betriebs 

nach Wartungs- und Reparaturarbeiten (siehe auch A.O.2, Seite 19) durchzuführen. 

A.O.4 – Aufrechterhaltung der Informationssicherheit 

In angemessenen zeitlichen Abständen SOLL eine Überprüfung der Wirksamkeit und Vollständigkeit 

der für die Informationssicherheit beim ersetzenden Scannen vorgesehenen Maßnahmen durchgeführt 

werden, in Bundesbehörden mindestens alle drei Jahre (vgl. [BSI-IS-Rev]). In diesen Audits MUSS 

geprüft werden, 

a. ob die implementierten Prozesse und Sicherheitsmaßnahmen korrekt implementiert wurden 

und tatsächlich wirksam sind, und 

b. ob die implementierten Sicherheitsmaßnahmen ausreichend vor den potenziellen Bedrohungen 

schützen oder ob zusätzliche Sicherheitsmaßnahmen notwendig sind. 

Um Interessenkonflikte zu vermeiden und eine unvoreingenommene Prüfung zu ermöglichen, 

SOLLEN die Audits möglichst von unabhängigen Personen, d.h. Personen, die nicht mit dem 

ersetzenden Scannen oder der Administration der verwendeten Systeme betraut sind und nicht an 

Weisungen dieser Personen gebunden sind, durchgeführt werden. 

Die Ergebnisse dieser Überprüfungen SOLLEN schriftlich dokumentiert werden. Sofern 

Sicherheitslücken oder andere Probleme gefunden werden, MÜSSEN aus den Prüfergebnissen 

notwendige Korrekturmaßnahmen abgeleitet werden. Für die Umsetzung der identifizierten 

Korrekturmaßnahmen MUSS ein Zeitplan mit Verantwortlichkeiten definiert werden. Die Umsetzung 

der Maßnahmen MUSS durch die dafür benannten Verantwortlichen verfolgt und überprüft werden. 

A.O.5 – Anforderungen beim Outsourcing des Scanprozesses 

Sofern der Scanprozess komplett oder teilweise von spezialisierten Scandienstleistern durchgeführt 

wird, sind die im vorliegenden Anforderungskatalog vorgesehenen Maßnahmen entsprechend 

umzusetzen. Zusätzlich SOLLEN die im Baustein „Outsourcing“ des IT-Gundschutz-Handbuches 

[BSI-B 1.11] aufgeführten Maßnahmen berücksichtigt werden. Darüber hinaus gelten folgende 

Anforderungen 6 : 

a. Die organisatorischen und technischen Schnittstellen zwischen Auftraggeber und 

Auftragnehmer (Übertragungswege, Datenablageorte, beteiligte Akteure, Rückfallverfahren 

etc.) MÜSSEN in der Verfahrensdokumentation (siehe A.G.1, Seite 18) explizit dargestellt 

werden. 

b. Der Auftragnehmer MUSS zur Einhaltung der vom Auftraggeber definierten 

Sicherheitsmaßnahmen verpflichtet werden. 

6 Darüber hinaus beleuchtet [BSI-TR03138-R] ausgewählte rechtliche Aspekte, die beim Outsourcing des Scanprozesses 

relevant sein können. 



c. Es SOLL eine Analyse der durch die Aufgabenteilung zusätzlich entstehenden Risiken 

erfolgen. 

d. Zusätzlich zur regelmäßigen Auditierung (siehe A.O.4 oben und A.AM.G.3, Seite 30) 

SOLLEN unangemeldete Stichprobenprüfungen durchgeführt werden. 

4.2.3 Personelle Maßnahmen 

Im Basismodul sind die in der folgenden Tabelle aufgeführten personellen Maßnahmen vorgesehen. 

ID Personelle Maßnahmen siehe auch 

A.P.1 Sensibilisierung der Mitarbeiter für Informationssicherheit M 2.198, Seite 71 

A.P.2 Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, 

Vorschriften und Regelungen 

M 3.2, Seite 72 

A.P.3 Schulung zur ordnungsgemäßen Bedienung des Scansystems M 3.4, Seite 72 und 

M 3.35, Seite 72 

A.P.4 Schulung zu Sicherheitsmaßnahmen im Scanprozess M 3.5, Seite 72 und 

M 3.26, Seite 72 

A.P.5 Schulung des Wartungs- und Administrationspersonals M 3.11, Seite 72 

Tabelle 3: Personelle Maßnahmen im Überblick 

A.P.1 – Sensibilisierung der Mitarbeiter für Informationssicherheit 

Die Mitarbeiter SOLLEN bzgl. der Sicherheitsmaßnahmen und der sicherheitsbewussten Handhabung 

von Dokumenten, Daten und IT-Systemen sowie der zu ergreifenden Vorsichtsmaßnahmen 

sensibilisiert werden. 

A.P.2 – Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften, 

Regelungen und der Verfahrensweisung 

Die im Rahmen der fachlichen Schutzbedarfsanalyse (siehe A.G.2, Seite 18) identifizierten rechtlichen 

Rahmenbedingungen für den betroffenen Einsatzbereich SOLLEN den in den Scanprozess 

involvierten Mitarbeitern zur Kenntnis gebracht werden und die Mitarbeiter SOLLEN auf die 

Einhaltung der einschlägigen Gesetze, Vorschriften, Regelungen und der Verfahrensanweisung (siehe 

A.G.1, Seite 18) verpflichtet werden. 7 

A.P.3 – Schulung zur ordnungsgemäßen Bedienung des Scansystems 

Die Mitarbeiter, die den Scanvorgang durchführen, MÜSSEN in geeigneter Weise hinsichtlich der 

eingesetzten Geräte, Anwendungen und sonstigen Abläufe geschult werden. Dies umfasst 

insbesondere: 

a. die grundsätzlichen Abläufe im Scanprozess einschließlich der Dokumentenvorbereitung, dem 

Scannen, der zulässigen Nachbearbeitung und der Integritätssicherung, 

b. die geeignete Konfiguration und Nutzung des Scanners und der Scan-Workstation, 

c. Anforderungen hinsichtlich der Qualitätssicherung, 

d. die Abläufe und Anforderungen bei der Erstellung des Transfervermerks (siehe A.NB.4, Seite 

28), 

e. die Konfiguration und Nutzung der Systeme zur Integritätssicherung und 

f. das Verhalten im Fehlerfall. 

7 Dies gilt unbeachtet ohnehin bestehender gesetzlicher Informations- und Hinweispflichten, auf die hier nicht näher 

eingegangen wird. 



A.P.4 – Schulung zu Sicherheitsmaßnahmen im Scanprozess 

Die Mitarbeiter, die den Scanvorgang durchführen oder verantworten, MÜSSEN in geeigneter Weise 

hinsichtlich der dabei umzusetzenden sowie der implementierten Sicherheitsmaßnahmen geschult 

werden. Dies umfasst insbesondere 

a. die grundsätzliche Sensibilisierung der Mitarbeiter für Informationssicherheit 

b. Personen-bezogene Sicherheitsmaßnahmen im Scanprozess, 

c. System-bezogene Sicherheitsmaßnahmen im Scansystem, 

d. Verhalten bei Auftreten von Schadsoftware, 

e. Bedeutung der Datensicherung und deren Durchführung, 

f. Umgang mit personenbezogenen und anderen sensiblen Daten und 

g. Einweisung in Notfallmaßnahmen. 

A.P.5 – Schulung des Wartungs- und Administrationspersonals 

Das Wartungs- und Administrationspersonal für die in den Scanprozess involvierten IT-Systeme und 

Anwendungen benötigt detaillierte Kenntnisse über die eingesetzten IT-Komponenten. Das hierbei 

eingesetzte eigene Personal SOLL deshalb soweit geschult werden, dass 

• alltägliche Administrationsarbeiten selbst durchgeführt werden können, 

• einfache Fehler selbst erkannt und behoben werden können, 

• Datensicherungen regelmäßig selbsttätig durchgeführt werden können, 

• die Eingriffe von externem Wartungspersonal nachvollzogen und 

• Manipulationsversuche oder unbefugte Zugriffe auf die Systeme erkannt und rasch behoben 

werden können. 

4.2.4 Technische Maßnahmen 

ID Technische Maßnahmen siehe auch 

A.T.1 Grundlegende Sicherheitsmaßnahmen für IT-Systeme im 

Scanprozess 

[BSI-GSK] 

A.T.2 Festlegung der zulässigen Kommunikationsverbindungen M 2.42, Seite 75 

A.T.3 Schutz vor Schadprogrammen B 1.6, Seite 77, 

M 2.157, M 2.158, 

M 2.159, M 6.32 aus 

[BSI-GSK] 

A.T.4 Zuverlässige Speicherung 

Tabelle 4: Technische Maßnahmen im Überblick 

A.T.1 – Grundlegende Sicherheitsmaßnahmen für IT-Systeme im Scanprozess 

Für die in den Scanprozess involvierten IT-Systeme (z.B. Client-, Server- und Netzwerkkomponenten) 

SOLLEN die hierfür in den IT-Gundschutz-Katalogen [BSI-GSK] vorgesehenen Sicherheitsmaßnahmen 

umgesetzt werden. 

A.T.2 – Festlegung der zulässigen Kommunikationsverbindungen 



Sofern die für das Scannen eingesetzten IT-Systeme über ein Netzwerk verbunden sind, MÜSSEN in 

diesem Netzwerk sowie auf den IT-Systemen selbst die zulässigen Kommunikationsverbindungen 

möglichst restriktiv 8 konfiguriert werden. 

A.T.3 – Schutz vor Schadprogrammen 

Um einer Infektion durch Schadprogramme vorzubeugen, MÜSSEN die Maßnahmen des 

Grundschutz-Bausteins B 1.6 (Schutz vor Schadprogrammen) berücksichtigt werden. Insbesondere 

SOLLEN die folgenden Maßnahmen umgesetzt werden: 

a. Auswahl eines geeigneten Viren-Schutzprogramms (M 2.157), 

b. Meldung von Schadprogramm-Infektionen (M 2.158), 

c. Aktualisierung der eingesetzten Viren-Schutzprogramme und Signaturen (M 2.159) und 

d. regelmäßige Datensicherung (M 6.32). 

A.T.4 – Zuverlässige Speicherung 

Die für die beweiswerterhaltende Aufbewahrung der Scanprodukte und Metadaten verwendeten 

Speichermedien, Verfahren (z.B. zur Datensicherung) und Konfigurationen MÜSSEN für die notwendige 

Aufbewahrungsdauer eine Verfügbarkeit gewährleisten, die dem Schutzbedarf der Datenobjekte 

angemessen ist. 

4.2.5 Sicherheitsmaßnahmen bei der Dokumentenvorbereitung 

ID Sicherheitsmaßnahmen bei der Dokumentenvorbereitung siehe auch 

A.DV.1 Sorgfältige Vorbereitung der Papierdokumente BM 2.1, Seite 72 

A.DV.2 Vorbereitung der Vollständigkeitsprüfung bei automatisierter 

Erfassung 

Tabelle 5: Sicherheitsmaßnahmen bei der Dokumentenvorbereitung 

BM 2.1, Seite 72 

A.DV.1 – Sorgfältige Vorbereitung der Papierdokumente 

Um eine zuverlässige und vollständige Erfassung der Papierdokumente im nächsten Schritt zu gewährleisten, 

MÜSSEN Papierdokumente sorgfältig auf diesen Schritt vorbereitet werden. Dies umfasst 

folgende Aspekte: 

a. Bei Bedarf die Erstellung von Posteingangsstempeln, die sorgfältige Brieföffnung, die Feststellung 

des spezifischen Schutzbedarfs und die entsprechende Vorsortierung. Hierbei MUSS 

insbesondere geprüft werden, ob die Dokumente grundsätzlich für die Erfassung vorgesehen 

sind (vgl. A.G.1 a)). 

b. Bei Bedarf die Prüfung dass die für die Dokumentenvorbereitung und das Scannen verwendeten 

Geräte, Verfahren und Einstellungen für die zu scannenden Dokumente geeignet 

sind und diese nicht wesentlich beschädigen können. 

c. Maßnahmen für die Bewahrung des logischen Kontextes der zu erfassenden Dokumente (z.B. 

durch geeignete Indizierung) oder zur Bewahrung der Zugehörigkeit der eingescannten Seiten 

zu einem Dokument (z.B. durch geeignete Heftung oder Klammerung 9 ) sind insbesondere 

auch beim „späten Scannen“ zu beachten. 

d. Die korrekte Orientierung von zu erfassenden Blättern. Sofern lediglich einseitig gescannt 

wird, MUSS sichergestellt werden, dass Blätter nicht versehentlich verdreht werden und deshalb 

statt der relevanten Inhalte eine leere Rückseite erfasst wird. Falls dies nicht möglich ist, 

SOLL beidseitig gescannt werden. 

8 Es wird EMPFOHLEN, dass die nur die notwendigen Kommunikationsverbindungen explizit erlaubt und alle anderen 

standardmäßig unterbunden werden. 

9 Rechtliche Betrachtungen und daraus abgeleitete Empfehlungen zur Handhabung von Dokumenten, die mit einer 

Siegelschnur versehen sind, finden sich in [BSI-TR03138-R]. 



e. Die Bewahrung der korrekten Reihenfolge von Blättern bei mehrseitigen Dokumenten. 

f. Die zuverlässige Trennung von unabhängigen Dokumenten. 

g. Das Entfernen von Klammern, Knicken und nicht relevanten Klebezetteln. Sofern der Inhalt 

eines Klebezettels relevant ist, MUSS dieser in geeigneter Weise (z.B. auf einer eigenen Seite) 

eingescannt werden. 

h. Andere vorbereitende Maßnahmen in Abhängigkeit des zu scannenden Schriftguts. Dies kann 

beispielsweise die Untersuchung des Schriftgutes auf möglicherweise existierende Abbildungen 

umfassen, die eine spezifische Konfiguration des Scanners (z.B. bzgl. Helligkeit 

oder Kontrast, vgl. A.SC.5) notwendig machen. Sofern im Rahmen des Scanprozesses ein 

Umkopieren notwendig ist, MUSS darauf geachtet werden, dass die Kopie alle relevanten 

Informationen enthält. 

A.DV.2 – Vorbereitung der Vollständigkeitsprüfung bei automatisierter Erfassung 

In einem automatisierten Prozess MÜSSEN zusätzliche Maßnahmen für die Sicherstellung der Vollständigkeit 

getroffen werden. Damit diese Vollständigkeitsprüfung im Rahmen der Nachbereitung 

(siehe A.NB.3, Seite 28) durchgeführt werden kann, SOLLEN hier bei Bedarf entsprechende Vorbereitungen 

getroffen werden. Dies KANN beispielsweise die Ermittlung der Anzahl der zu erfassenden 

Seiten umfassen. 

4.2.6 Sicherheitsmaßnahmen beim Scannen 

ID Sicherheitsmaßnahmen beim Scannen siehe auch 

A.SC.1 Auswahl und Beschaffung geeigneter Scanner M 2.399, Seite 76 

A.SC.2 Geeignete Aufstellung von Scannern M 1.32, Seite 75 

A.SC.3 Änderung voreingestellter Passwörter M 4.7, Seite 76 

M 2.11, Seite 71 

A.SC.4 Sorgfältige Durchführung von Konfigurationsänderungen M 4.78, Seite 77 

A.SC.5 Geeignete Benutzung des Scanners BM 2.5, Seite 74 

A.SC.6 Geeignete Scan-Einstellungen BM 2.4, Seite 74 

A.SC.7 Geeignete Erfassung von Metainformationen BM 2.6, Seite 75 

A.SC.8 Qualitätssicherung der Scanprodukte BM 2.7, Seite 75 

A.SC.9 Sichere Außerbetriebnahme von Scannern M 2.400, Seite 76 

A.SC.10 Sichere Zugriffsmechanismen bei Fernadministration M 4.80, Seite 77 

A.SC.11 Informationsschutz und Zugriffsbeschränkung bei netzwerkfähigen 

Scannern 

M 4.300, Seite 77 

M 4.301, Seite 77 

M 4.303, Seite 77 

A.SC.12 Protokollierung beim Scannen M 2.08, Seite 79 

M 4.302, Seite 77 

Tabelle 6: Sicherheitsmaßnahmen beim Scannen 

A.SC.1 – Auswahl und Beschaffung geeigneter Scanner 



Damit beim Erfassungsprozess geeignete Scanner eingesetzt werden, SOLLEN bereits bei der 

Auswahl und der Beschaffung von Scannern die folgenden Kriterien berücksichtigt werden, die 

jeweils auf ihre Relevanz geprüft werden müssen: 

• für die betreffende Anwendung ausreichender Durchsatz, 

• Unterstützung geeigneter Datenformate, 

• Unterstützung von Patch- und/oder Barcodes zur Dokumententrennung und Übergabe von 

Meta-Informationen, 

• ausreichende Qualität der Scanprodukte (bzgl. Auflösung, Helligkeit und Kontrast etc.), 

• ausreichende Flexibilität der Konfiguration, 

• ausreichend zuverlässiger und leistungsfähiger automatischer Seiteneinzug (auch für 

doppelseitige Erfassung und mit zuverlässiger Doppeleinzugskontrolle), 

• bei Bedarf Möglichkeit zum Scannen von gebundenen Dokumenten, Überlängen, zum 

Scannen von Farbe sowie von Durchlichtdokumenten (z.B. Röntgenbilder), 

• geeignete Schnittstellen für die Übermittlung des Scanproduktes in DMS/VBS/Archive, 

• Möglichkeit der Absicherung der Administrationsschnittstelle (lokal und über Netz), 

• Nutzung eines internen Datenspeichers, 

• Möglichkeit zum sicheren Löschen oder verschlüsselter Speicherung von Scanprodukten auf 

dem internen Datenträger und 

• ausreichender Support. 

A.SC.2 – Geeignete Aufstellung von Druckern und Kopierern 

Um Störungen während des Erfassungsvorganges und Manipulationen am Scansystem zu verhindern, 

MUSS sichergestellt werden, dass Personen, die keinen Zugriff auf die Originale und Scanprodukte 

sowie das Scansystem haben dürfen, keinen unbeaufsichtigten Zugang zum Scansystem erhalten. 

Hierfür SOLLEN geeignete Zugangskontrollen und Besucherregelungen vorgesehen werden. Um 

einen hohen Schutz gegen Manipulationen des Scanners bzw. seiner Konfigurationen, der Dokumente 

beim Scannen, oder gegen das nachträgliche Auslesen von Scanprodukten vom internen Datenträger 

des Scanners zu erreichen, SOLL der Zugang zum Scanner generell (d.h. auch außerhalb des 

Scanvorganges) auf ein Minimum beschränkt werden. 

A.SC.3 – Änderung voreingestellter Passwörter 

Sofern die Administration des Scanners bzw. die Konfiguration der Kommunikationsschnittstellen bei 

netzwerkfähigen Scannern mit einem Passwort gesichert ist, MUSS ein solches Passwort nach der 

Installation des Scanners gesetzt bzw. geändert werden. Die Änderung von Passwörtern SOLL 

protokolliert werden (siehe auch A.SC.12, Seite 27). Basis für die Vergabe der Passwörter SOLLEN 

explizit formulierte interne Sicherheitsrichtlinien unter Berücksichtigung der Empfehlungen aus [BSI- 

GSK] (M 2.11) sein. 

A.SC.4 – Sorgfältige Durchführung von Konfigurationsänderungen 

Die Durchführung von Konfigurationsänderungen an einem IT-System im Echtbetrieb, wie z.B. einem 

Scanner und den entsprechenden Software-Komponenten, ist immer als kritisch einzustufen, weshalb 

hierbei entsprechend sorgfältig vorgegangen werden MUSS. Vor Änderung der Konfiguration SOLL 

die alte Konfiguration gesichert werden, so dass sie schnell verfügbar ist, wenn Probleme mit der 

neuen Konfiguration auftreten. Darüber hinaus SOLLEN alle durchgeführten Änderungen von einem 

Kollegen überprüft werden, bevor sie in den Echtbetrieb übernommen werden. Außerdem SOLLEN 

erfolgte Konfigurationsänderungen protokolliert werden (siehe auch A.SC.12, Seite 27). 

A.SC.5 – Geeignete Benutzung des Scanners 

Um eine zuverlässige und vollständige Erfassung der Papierdokumente zu gewährleisten, MUSS ein 

gemäß der Vorgaben des Herstellers gepflegter Scanner eingesetzt werden. Die Dokumente MÜSSEN 



entsprechend der Vorgaben der Produkthandbücher und gemäß der physikalischen Struktur des 

Dokumentes dem Scanner übergeben werden. Dokumente, die nicht für den automatischen Einzug 

geeignet sind (z.B. ungeeignete Papiersorten, beschädigte Seiten, gebundene Dokumente), MÜSSEN 

manuell aufgelegt oder nach einem definierten Prozess umkopiert werden. 

A.SC.6 – Geeignete Scan-Einstellungen 

Die Scan-Einstellungen (z.B. ein- oder doppelseitiger Scan, Format, Auflösung, Kontrast, Helligkeit, 

Farbtiefe, automatische Dokumententrennung, Leerseitenerkennung, Blindfarbenfilter) MÜSSEN für 

die jeweiligen Dokumente geeignet gewählt werden. Hierbei SOLLEN geeignete Profile definiert, getestet, 

freigegeben und gemäß der zu verarbeitenden Dokumenttypen verwendet werden. Die Festlegung 

des zu nutzenden Profils KANN bereits während der Dokumentenvorbereitung erfolgen (siehe 

auch A.DV.1, Seite 23). Andernfalls SOLL spätestens beim Scannen geprüft werden, dass geeignete 

Scan-Einstellungen genutzt werden. 

A.SC.7 – Geeignete Erfassung von Metainformationen 

Damit eine spätere Zuordnung der Scanprodukte zu einem Geschäftsvorfall möglich ist, MÜSSEN 

Index- und Metadaten in geeigneter Weise erfasst werden. Bei hohem Scan-Durchsatz und wenn 

komplexe Kontexte (z.B. Kuvert-Zusammenhang) beachtet werden müssen, KÖNNEN entsprechende, 

automatisiert erfassbare Vorblätter zur Dokumententrennung und Spezifikation von weiteren Meta- 

Informationen, wie z.B. Seitenzahl, Scan-Einstellungen, Dokumentenkontext, Indexinformationen 

genutzt werden. In diesem Fall kann der Scanner diese Informationen dann automatisiert auswerten, 

die Einstellungen anpassen, Scanprodukte entsprechend zusammenfassen und die Meta-Daten zum 

Scanprodukt hinzufügen. Hierbei KÖNNEN auch Lösungen zum automatischen Auslesen von 

Indexinformationen genutzt werden. Allerdings SOLL in diesem Fall eine zuverlässige Konfiguration 

der Applikation bezüglich der Erkennung und Gültigkeit der ausgelesenen Werte und eine sorgfältige 

manuelle Qualitätssicherung und Nachbearbeitung erfolgen. 

A.SC.8 – Qualitätssicherung der Scanprodukte 

Um mangelhafte Scanvorgänge (z.B. fehlende Seiten, mangelnde Lesbarkeit, fehlender Dokumentenzusammenhang, 

beschädigte Dateien) zu erkennen, MUSS eine geeignete Qualitätskontrolle und bei 

Bedarf eine erneute Erfassung stattfinden. Die detaillierte Ausgestaltung des 

Qualitätssicherungsschrittes SOLL sich am Scan-Durchsatz sowie am Schutzbedarf der verarbeiteten 

Dokumente orientieren. 

Bei der Verarbeitung von Dokumenten mit einem Schutzbedarf von „normal“ und bei hohem 

Durchsatz KANN die Sichtkontrolle auf Stichproben reduziert werden, um systematische Fehler (z.B. 

ungeeignete Scan-Einstellungen, Fehlfunktionen des Scanners) zu erkennen. Die Größe der Stichprobe 

SOLL abhängig vom Schutzbedarf der gescannten Dokumente bestimmt werden. Zusätzlich 

KÖNNEN automatische Mechanismen zur Qualitätskontrolle eingesetzt werden, wie z.B. eine 

automatische Erkennung von Leerseiten, von unzureichender Bildqualität oder die Prüfung der 

Seitenzahl (z.B. gegen die auf Vorblättern angegebenen Meta-Daten). Da jedoch automatische 

Qualitätskontrollen grundsätzlich fehleranfällig sind (z.B. können Seiten mit ausschließlich 

handschriftlichen Vermerken, wie Paraphen, u.U. schlecht von Leerseiten unterschieden werden), 

SOLL eine manuelle Prüfung der automatisch identifizierten Probleme erfolgen. 

Die Vernichtung der Originaldokumente DARF NICHT vor Abschluss der Qualitätskontrolle 

erfolgen. 

A.SC.9 – Sichere Außerbetriebnahme von Scannern 

Bei der Außerbetriebnahme MÜSSEN alle sicherheitsrelevanten Informationen von den Geräten 

gelöscht werden. Dies gilt besonders dann, wenn die Komponenten ausgesondert und an Dritte 

weitergegeben werden. Insbesondere MÜSSEN Authentisierungsinformationen (z.B. Passwörter, 

private Schlüssel) sowie zwischenzeitlich gespeicherte Informationen im Scan-Cache gelöscht werden. 

Darüber hinaus SOLLEN spezifische Konfigurationsinformationen (z.B. IP-Adressen) gelöscht 

werden, die Rückschlüsse auf interne Netzwerkstrukturen liefern können. Sofern Dokumente gescannt 



werden, die einen Schutzbedarf hinsichtlich der Vertraulichkeit von „sehr hoch“ besitzen, MÜSSEN 

die zusätzlichen Maßnahmen aus dem „Aufbaumodul Vertraulichkeit“ (siehe Abschnitt 4.3.4) 

berücksichtigt werden. 

A.SC.10 – Sichere Zugriffsmechanismen bei Fernadministration 

Sofern bei netzwerkfähigen Scannern die Administration über das Netzwerk (z.B. über eine 

Webschnittstelle) erfolgen kann, MUSS diese Schnittstelle gegen unbefugten Zugriff geschützt 

werden. Hierzu MUSS der Zugriff auf die Administrationsschnittstelle durch ein geeignetes 

Authentisierungsverfahren (d.h. mindestens durch ein geeignet gewähltes Passwort) geschützt werden 

und der Zugriff MUSS durch eine geeignete Netzwerk-Konfiguration auf die notwendigen Systeme 

eingeschränkt werden. 

A.SC.11 – Informationsschutz und Zugriffsbeschränkung bei netzwerkfähigen Scannern 

Bei Scannern, die über ein Netzwerk angesprochen werden können, SOLLEN geeignete Maßnahmen 

zur Zugriffsbeschränkung und für den Schutz der über das Netzwerk übertragenen Informationen 

vorgesehen werden. Dies umfasst die Absicherung der Datenübertragung zwischen Scanner und Scan- 

Workstation oder Scan-Cache sowie die sichere Speicherung und Löschung von Daten auf einem 

internen Datenträger des Scanners. Sofern Netzlaufwerke für die Ablage von Zwischenergebnissen 

oder Scanprodukten genutzt werden, MUSS der Zugriff auf diese Netzlaufwerke auf das notwendige 

Minimum eingeschränkt werden. Bei der Nutzung von Multifunktionsgeräten, die eine Scan-to-Mail- 

oder Scan-to-Fax-Funktion unterstützten, MUSS durch eine geeignete Konfiguration der für die 

Übermittlung verwendeten Server der Versand an ungewünschte Empfängerkreise verhindert werden. 

Sofern Dokumente mit einem Schutzbedarf von „sehr hoch“ verarbeitet werden, SOLLEN geeignete 

kryptographische Mechanismen für die gesicherte Übertragung der Informationen und die 

Realisierung des Zugriffsschutzes eingesetzt werden. 

A.SC.12 – Protokollierung beim Scannen 

Für die Sicherstellung der Nachvollziehbarkeit des Scanprozesses SOLL eine geeignete 10 und in der 

Verfahrensanweisung näher geregelte Protokollierung erfolgen, die insbesondere die folgenden Punkte 

umfasst: 

• Die Änderung von kritischen Konfigurationsparametern sowie Authentisierungs- und 

Berechtigungsinformationen, 

• die Information wer das Scansystem wann und in welcher Weise genutzt hat, 

• die Information ob eine manuelle Nachbearbeitung des Scanproduktes stattgefunden hat und 

• fehlgeschlagene Authentisierungsvorgänge. 

Die Protokolldaten MÜSSEN vor unautorisiertem Zugriff geschützt werden und sie DÜRFEN NICHT 

zu Benutzer-spezifischen Auswertungen genutzt werden. 

4.2.7 Sicherheitsmaßnahmen bei der Nachbearbeitung 

10 Im übrigen gelten die einschlägigen Vorschriften des Datenschutzes. 



ID Sicherheitsmaßnahmen bei der Nachbearbeitung siehe auch 

A.NB.1 Geeignete und nachvollziehbare Nachbearbeitung BM 4.1, Seite 72 

A.NB.2 Qualitätssicherung der nachbearbeiteten Scanprodukte BM 3.4, Seite 72 

A.NB.3 Durchführung der Vollständigkeitsprüfung BM 2.1, Seite 72, 

A.DV.2, 

Abschnitt 4.2.5 

A.NB.4 Transfervermerk [BSI-TR03138-R] 

zu weiteren 

unverbindlichen 

rechtlichen 

Erläuterungen 

Tabelle 7: Sicherheitsmaßnahmen bei der Nachbearbeitung 

A.NB.1 – Geeignete und nachvollziehbare Nachbearbeitung 

Die Nachbearbeitung des Scanproduktes (z. B. Veränderung des Kontrastes/Helligkeit, Farbreduktion, 

Beschneiden, Rauschunterdrückung) SOLL nur mit dem Ziel der Erhöhung der Lesbarkeit erfolgen. 

Sie MUSS entsprechend sorgfältig durchgeführt werden, damit keine potenziell relevanten 

Informationen zerstört werden. Außerdem MUSS, beispielsweise durch eine geeignete 

Protokollierung (siehe A.SC.12, Seite 27), ausgeschlossen werden, dass Inhalte unbemerkt verfälscht 

werden können. Welche Form der Nachbearbeitung in welchen Fällen zulässig ist, SOLL in der 

Verfahrensanweisung (siehe A.G.1, Seite 18) geregelt werden. 

A.NB.2 – Qualitätssicherung der nachbearbeiteten Scanprodukte 

Sofern eine Nachbearbeitung der Scanprodukte erfolgt, MUSS im Rahmen der durchgeführten 

Operationen in jedem Fall eine Qualitätssicherung erfolgen, so dass gewährleistet ist, dass durch die 

Nachbearbeitung keine relevanten Informationen verloren gegangen sind. Die ursprünglichen 

Scanprodukte DÜRFEN NICHT vor Abschluss der Qualitätskontrolle gelöscht werden. 

A.NB.3 – Durchführung der Vollständigkeitsprüfung 

In einem automatisierten Prozess MÜSSEN geeignete Maßnahmen für die Sicherstellung der Vollständigkeit 

getroffen werden. Hierfür KANN beispielsweise die Anzahl der durch den Scanner erfassten 

Seiten mit bei der Dokumentenvorbereitung (siehe A.DV.2, Seite 24) ermittelten Anzahl verglichen 

werden. Durch eine geeignete Doppeleinzugskontrolle am Scanner (siehe A.SC.1, Seite 24) 

KANN der gleichzeitige Einzug mehrerer Seiten mit großer Wahrscheinlichkeit verhindert oder zumindest 

erkannt werden. 

Sofern trotz der hier genannten Maßnahme die vollständige Erfassung in einem automatisierten 

Prozess nicht sichergestellt werden kann, MUSS die Erfassung manuell erfolgen. 

A.NB.4 – Transfervermerk 

Für jedes Scanprodukt SOLL ein zugehöriger Transfervermerk erstellt werden, der insbesondere 

folgende Aspekte dokumentiert: 

a. Ersteller des Scanproduktes, 

b. technisches und organisatorisches Umfeld des Erfassungsvorganges, 

c. Zeitpunkt der Erfassung und 

d. Ergebnis der Qualitätssicherung. 

Der Transfervermerk SOLL mit dem Scanprodukt logisch verknüpft oder in das Scanprodukt integriert 

werden. Die Integrität des Transfervermerks MUSS entsprechend dem Schutzbedarf der verarbeiteten 

Dokumente (vgl. A.IS.1, A.AM.IN.H.1 und A.AM.IN.SH.2) geschützt werden. Für die 



Dokumentation des technischen und organisatorischen Umfelds KANN der Transfervermerk auf die 

zu diesem Zeitpunkt gültige Verfahrensanweisung verweisen. 

4.2.8 Sicherheitsmaßnahmen bei der Integritätssicherung 

ID Sicherheitsmaßnahmen bei der Integritätssicherung siehe auch 

A.IS.1 Nutzung geeigneter Dienste und Systeme für den Integritätsschutz BM 4.3, Seite 82 

Tabelle 8: Sicherheitsmaßnahmen bei der Integritätssicherung 

A.IS.1 – Nutzung geeigneter Dienste und Systeme für den Integritätsschutz 

Um eine unerkannte nachträgliche Manipulation der während des Scanprozesses entstehenden 

Datenobjekte (Scanprodukt, Transfervermerk, Index- und Metadaten, Protokolldaten etc.) zu 

verhindern, MÜSSEN geeignete Mechanismen für den Schutz der Integrität dieser Datenobjekte 

eingesetzt werden. Entscheidend für die Eignung eines Mechanismus zum Integritätsschutz ist die 

Widerstandsfähigkeit gegen gezielte Angriffe, die sich am Schutzbedarf der zu verarbeitenden 

Datenobjekte hinsichtlich der Integrität orientieren MUSS. Demnach KÖNNEN grundsätzlich 

beliebige Sicherungsdaten oder systembezogene Sicherheitsmaßnahmen eingesetzt werden, sofern der 

eingesetzte Mechanismus ausreichend 11 widerstandsfähig ist. Bei der Verarbeitung von Dokumenten 

mit Schutzbedarf „normal“ bezüglich der Integrität kann auf den Einsatz von Kryptographie verzichtet 

werden. Zum Schutz der Datenobjekte gegen zufällige Änderungen oder aufgrund von Systemfehlern 

SOLLEN diese jedoch mit einer Prüfsumme (CRC, ...) gesichert werden. Sofern Datenobjekte 

verarbeitet werden, die einen Schutzbedarf hinsichtlich der Integrität von „hoch“ oder „sehr hoch“ 

aufweisen, MÜSSEN die zusätzlichen Maßnahmen aus dem „Aufbaumodul Integrität“ (siehe 

Abschnitt 4.3.2) berücksichtigt werden. 

11 Hinsichtlich der Entscheidung ob ein eingesetzter Sicherheitsmechanismus ausreichende Widerstandsfähigkeit besitzt 

kann bei Bedarf auf das im Rahmen der Common Criteria (vgl. [CC-P3-v3.1], Abschnitt 16 und Abschnitt B.4) 

formalisierte Angriffspotenzial eines Angreifers zurück gegriffen werden. Beispielsweise wird beim Schutzbedarf „sehr 

hoch“ dann ein angemessenes Maß an Sicherheit erreicht, wenn Angreifer mit einem Angriffspotenzial von „High“ 

erfolgreich abgewehrt werden können. 



4.3 Aufbaumodule 

Damit für den jeweiligen Anwendungsfall angemessene Maßnahmenbündel vorgesehen werden 

können, sind zusätzlich zum Basismodul spezifische Maßnahmen bei erhöhtem Schutzbedarf (vgl. 

Abbildung 2, Seite 17). 

Hierbei sind in Abschnitt 4.3.1 generelle Maßnahmen (A.AM.G.x) vorgesehen, die umgesetzt werden 

MÜSSEN, sofern der Schutzbedarf der verarbeiteten Dokumente bezüglich mindestens einem der 

betrachteten Grundwerte Integrität, Vertraulichkeit und Verfügbarkeit zumindest „hoch“ ist. 

Darüber hinaus MÜSSEN die spezifischen Maßnahmen in den Abschnitten 4.3.2 - 4.3.7 umgesetzt 

werden, wenn der Schutzbedarf bezüglich des entsprechenden Grundwertes (Integrität (gw=IN), 

Vertraulichkeit (gw=VT) oder Verfügbarkeit (gw=VF)) „hoch“ (A.AM.gw.H.x) oder „sehr hoch“ ist. 

4.3.1 Generelle Maßnahmen bei erhöhtem Schutzbedarf 

Die folgenden Maßnahmen MÜSSEN umgesetzt werden, sofern Dokumente verarbeitet werden, deren 

Schutzbedarf bezüglich mindestens einem der betrachteten Grundwerte Integrität, Vertraulichkeit oder 

Verfügbarkeit zumindest mit „hoch“ bewertet ist. 

ID Generelle Maßnahmen bei erhöhtem Schutzbedarf siehe auch 

A.AM.G.1 Beschränkung des Zugriffs auf sensible Papierdokumente BM 2.3, Seite 74 

A.AM.G.2 Pflicht zur Protokollierung beim Scannen A.SC.12, Seite 27 

A.AM.G.3 Pflicht zur regelmäßigen Auditierung 

Tabelle 9: Zusätzliche Maßnahmen bei erhöhtem Schutzbedarf 

A.AM.G.1 – Beschränkung des Zugriffs auf sensible Papierdokumente 

Bei der Verarbeitung von Dokumenten mit einem Schutzbedarf von zumindest „hoch“ bzgl. der 

Integrität, Vertraulichkeit oder Verfügbarkeit DÜRFEN während der Vorbereitung und während des 

Scanvorgangs KEINE unbefugten Personen Zugriff auf die Papierdokumente erhalten. Deshalb 

MÜSSEN in diesem Fall geeignete Maßnahmen für die Beschränkung des Zugriffs auf die sensiblen 

Papierdokumente getroffen werden. Dies umfasst: 

a. eine geeignete Zugangsbeschränkung zu den Räumlichkeiten, in denen die Dokumente verarbeitet 

werden, 

b. eine Aufbewahrung, die Schutz vor unbefugtem Zugriff, Einsichtnahme oder Beschädigung 

bietet, sowie 

c. die Verpflichtung der Mitarbeiter zur sorgfältigen Handhabung der Dokumente (z.B. kein 

unbeaufsichtigtes Liegenlassen, keine Weitergabe ohne Prüfung der Autorisierung). 

Sofern nicht bereits generelle Regelungen für den Zugriff auf sensible Papierdokumente existieren, 

MÜSSEN im Rahmen des ersetzenden Scannens entsprechende Reglungen geschaffen werden. 

A.AM.G.2 – Pflicht zur Protokollierung beim Scannen 


Integrität, Vertraulichkeit oder Verfügbarkeit MUSS die in A.SC.12 (siehe Abschnitt 4.2.6) 

empfohlene Protokollierung erfolgen. 

A.AM.G.3 – Pflicht zur regelmäßigen Auditierung 




Integrität, Vertraulichkeit oder Verfügbarkeit MUSS die in A.O.4 (siehe Abschnitt 4.2.2) empfohlene 

Überprüfung der Wirksamkeit und Vollständigkeit der für die Informationssicherheit beim ersetzenden 

Scannen vorgesehenen Maßnahmen mindestens alle drei Jahre (vgl. [BSI-IS-Rev]). erfolgen. 

4.3.2 Zusätzliche Maßnahmen bei hohen Integritätsanforderungen 

Die in diesem Abschnitt vorgesehenen Maßnahmen MÜSSEN bei der Verarbeitung von Dokumenten 

mit einem Schutzbedarf von zumindest „hoch“ bezüglich der Integrität berücksichtigt werden. 

ID Zusätzliche Maßnahmen bei hohen 

Integritätsanforderungen 

siehe auch 

A.AM.IN.H.1 Einsatz kryptographischer Mechanismen zum Integritätsschutz BM 4.2, Seite 81 

A.AM.IN.H.2 Geeignetes Schlüsselmanagement M 2.46, Seite 75 

A.AM.IN.H.3 Auswahl eines geeigneten kryptographischen Verfahrens M 2.164, Seite 76 

A.AM.IN.H.4 Auswahl eines geeigneten kryptographischen Produktes M 2.165, Seite 83 

A.AM.IN.H.5 Beweiswerterhalt bei Einsatz kryptographischer Verfahren M 6.56, Seite 83 

A.AM.IN.H.6 Verhinderung ungesicherter Netzzugänge M 2.204, Seite 76, 

M 5.146, Seite 77, 

[BSI-B 3.301] 

Tabelle 10: Zusätzliche Maßnahmen bei hohen Integritätsanforderungen 

A.AM.IN.H.1 – Einsatz kryptographischer Mechanismen zum Integritätsschutz 

Bei der Verarbeitung von Datenobjekten mit einem Schutzbedarf von zumindest „hoch“ bezüglich der 

Integrität SOLLEN geeignete kryptographische Mechanismen (z.B. digitale Signaturen) zum Einsatz 

kommen. Andernfalls MUSS ein schriftlicher Nachweis erbracht werden, dass der für den Integritätsschutz 

eingesetzte Mechanismus im Sinne der obigen Festlegung ausreichend 11 widerstandsfähig ist. 

Mit einer fortgeschrittenen elektronischen Signatur gemäß § 2 Nr. 2 SigG kann neben der Integrität 

auch die Authentizität der entsprechenden Datenobjekte (z.B. Scanprodukt, Transfervermerk) sicher 

gestellt werden. Um auch die Verkehrsfähigkeit der Datenobjekte und Sicherungsdaten sicher zu 

stellen, wird die Verwendung von standardisierten Formaten (z.B. [CAdES], [PAdES] und Fehler: 

Referenz nicht gefunden) EMPFOHLEN. 

Eine besondere Form der fortgeschrittenen elektronischen Signatur ist die qualifizierte elektronische 

Signatur gemäß § 2 Nr. 3 SigG, die zusätzlich auf einem qualifizierten Zertifikat beruht und mit einer 

sicheren Signaturerstellungseinheit erzeugt wurde. 

Für den Integritätsschutz des dokumentierten Zeitpunktes des Scan-Vorganges (als Meta-Datum) 

können Zeitstempel gemäß [ISO18014-1] bzw. Fehler: Referenz nicht gefunden verwendet werden. Zu 

beachten ist jedoch, dass ein solcher Zeitstempel nur belegt, dass das mit dem Zeitstempel versehene 

Dokument (z.B. Scanprodukt, Transfervermerk) zu diesem Zeitpunkt vorgelegen hat, d.h. dass das 

Dokument nicht neuer als der im Zeitstempel angegebene Zeitpunkt ist. Um auch nachweisen zu 

können, dass das Dokument nicht älter als ein in einem Zeitstempel angegebener Zeitpunkt ist, kann 

der Zeitstempel zuerst mit einer fortgeschrittenen elektronischen Signatur versehen, und dann für diese 

elektronische Signatur ein weiterer Zeitstempel erstellt werden (siehe [HüKo06], Abschnitt 4.7). Die 

mit einem Zeitstempel verbundene Beweiskraft hinsichtlich des Signaturzeitpunktes hängt nicht 

zuletzt von den beim Aussteller des Zeitstempels implementierten Sicherheitsmaßnahmen ab. 12 

12 Eine besonders hohe Beweiskraft besitzen qualifizierte Zeitstempel gemäß § 2 Nr. 14 SigG, die mit 

einer qualifizierten elektronischen Signatur versehen sind, da diese ebenfalls in den Genuss des 

Anscheinsbeweises nach § 371a ZPO kommen. 



A.AM.IN.H.2 – Geeignetes Schlüsselmanagement 

Sofern Schlüssel-basierte kryptographische Mechanismen eingesetzt werden, MÜSSEN geeignete 

Verfahren für das Schlüsselmanagement vorgesehen werden. 

Dabei MUSS insbesondere über den vorgesehenen Aufbewahrungszeitraum der Scanprodukte hin 

sichergestellt werden, 

• dass die Vertraulichkeit, Integrität und Authentizität der Schlüssel gewahrt bleibt, 

• dass private oder geheime Schlüssel nicht unbefugt verwendet werden können, 

• dass die zur Prüfung der Integritätssicherung erforderlichen Schlüssel und Zertifikate 

verfügbar bleiben. 

Hierbei SOLLEN die einschlägigen Empfehlungen aus [BSI-M 2.46], [NIST-800-57-1], [NIST-800- 

57-2] und [NIST-800-133] bei der Verwaltung des Schlüsselmaterials berücksichtigt oder vertrauenswürdige 

Dienstleister (z.B. akkreditierte Zertifizierungsdiensteanbieter) für das Schlüsselmanagement 

genutzt werden. 

A.AM.IN.H.3 – Auswahl eines geeigneten kryptographischen Verfahrens 

Sofern kryptographische Verfahren eingesetzt werden, MÜSSEN geeignete kryptographische 

Verfahren verwendet werden. Hierbei SOLLEN Verfahren gemäß [BSI-TR02102] oder [BSI- 

TR03116] eingesetzt werden. Andernfalls MUSS ein schriftlicher Nachweis erbracht werden, dass der 

eingesetzte Mechanismus im Sinne der obigen Festlegung ausreichend 11 widerstandsfähig ist. 

A.AM.IN.H.4 – Auswahl eines geeigneten kryptographischen Produktes 

Zur Integritätssicherung MÜSSEN geeignete Produkte hinsichtlich Funktionalität und Vertrauenswürdigkeit 

eingesetzt werden. Bei der Funktionalität ist vor allem auf eine ausreichende 11 Stärke und 

Widerstandsfähigkeit der eingesetzten Sicherheitsmechanismen zu achten. Hinsichtlich der Vertrauenswürdigkeit 

sind der Einsatz veröffentlichter und gemeinschaftlich analysierter Algorithmen 

(siehe A.AM.IN.H.3, oben) und Quellen sowie durchgeführte Prüfungen nach einem anerkannten 

Sicherheitsstandard wie FIPS-140, Common Criteria oder ITSEC positiv zu bewerten und sollten 

daher primär herangezogen werden. 

Für die Erstellung von qualifizierten elektronischen Signaturen MÜSSEN sichere 

Signaturerstellungseinheiten gemäß § 2 Nr. 10 SigG eingesetzt werden. Darüber hinaus SOLLEN 

geeignete Signaturanwendungskomponenten gemäß § 2 Nr. 11 SigG eingesetzt werden, die eine 

Herstellererklärung oder Bestätigung nach dem Signaturgesetz besitzen. Die Bundesnetzagentur hält 

Listen mit Bestätigungen und Herstellererklärungen für Produkte für qualifizierte elektronische 

Signaturen vor. Da sich die Sicherheitseignung der kryptographischen Algorithmen ändern kann, 

SOLL auf eine leichte Austauschbarkeit der entsprechenden Komponenten geachtet werden. 

Um eine sichere Nutzung der kryptographischen Produkte zu gewährleisten MÜSSEN die notwendigen 

Einsatzbedingungen und sonstigen Empfehlungen des Herstellers berücksichtigt werden. 

A.AM.IN.H.5 – Beweiswerterhalt bei Einsatz kryptographischer Verfahren 

Sofern kryptographische Verfahren eingesetzt werden, SOLL die Eignung der eingesetzten 

Algorithmen und Parameter regelmäßig evaluiert werden. Für digitale Signaturen ist die Eignung der 

Verfahren im Algorithmenkatalog [BNetzA-AlgKat] festgelegt. Dieser wird einmal jährlich durch die 

Bundesnetzagentur veröffentlicht. Sofern der Beweiswert von qualifiziert signierten Daten über 

längere Zeiträume erhalten bleiben soll, MUSS rechtzeitig vor Ablauf der Eignung der kryptographischen 

Verfahren eine Über-?Nachsignatur erfolgen. Für den Erhalt der Beweiskraft kryptographisch 

signierter Daten wird der Einsatz der in [BSI-TR03125] spezifizierten Verfahren und 

Formate EMPFOHLEN. 

A.AM.IN.H.6 – Verhinderung ungesicherter Netzzugänge 



Sofern die für das Scannen eingesetzten IT-Systeme über ein Netzwerk verbunden sind, MUSS ein 

ungesicherter Zugang zu diesem Netzwerksegment verhindert werden. Ein Zugriff aus dem Internet 

auf dieses Netzsegment DARF NUR entkoppelt (z.B. über einen Proxy oder ein Gateway) und nur bei 

Initiierung der Verbindungen von innen möglich sein. 

4.3.3 Zusätzliche Maßnahmen bei sehr hohen Integritätsanforderungen 


mit einem Schutzbedarf von „sehr hoch“ bezüglich der Integrität berücksichtigt werden. 

ID Zusätzliche Maßnahmen bei sehr hohen 

Integritätsanforderungen 

siehe auch 

A.AM.IN.SH.1 4-Augen-Prinzip A.O.1 (insbesondere 

Punkt c), Seite 19 

A.AM.IN.SH.2 Einsatz qualifizierter elektronischer Signaturen und 

Zeitstempel 

BM 4.2, Seite 81, 

[BSI-TR03138-R] 

A.AM.IN.SH.3 Eigenständiges Netzsegment M 2.204, Seite 76, 

M 5.146, Seite 77, 

[BSI-B 3.301] 

A.AM.IN.SH.4 Kennzeichnung der Dokumente bzgl. Sensitivität BM 2.2, Seite 73 

Tabelle 11: Zusätzliche Maßnahmen bei sehr hohen Integritätsanforderungen 

A.AM.IN.SH.1 – 4-Augen-Prinzip 

Bei Schutzbedarf „sehr hoch“ hinsichtlich der Integrität, Nachvollziehbarkeit und Vollständigkeit 

MUSS im Rahmen der Aufgabenteilung (siehe A.O.1, ) ein 4-Augen-Prinzip umgesetzt werden. 

A.AM.IN.SH.2 – Einsatz qualifizierter elektronischer Signaturen und Zeitstempel 

Sofern Datenobjekte 

a. mit einem Schutzbedarf von „sehr hoch“ bezüglich der Integrität verarbeitet werden, 

b. die Verkehrsfähigkeit gefordert ist und 

c. die im Rahmen des Scanprozesses entstandenen Datenobjekten (Scanprodukt, Transfervermerk, 

Index- und Metadaten, Protokolldaten) voraussichtlich als Beweismittel genutzt werden, 

SOLLEN für die Integritätssicherung des Scanproduktes bzw. des Transfervermerkes qualifizierte 

elektronische Signaturen und für die Integritätssicherung des dokumentierten Zeitpunktes des Scanvorganges 

qualifizierte Zeitstempel eingesetzt werden (vgl. A.AM.IN.H.1). 

A.AM.IN.SH.3 – Eigenständiges Netzsegment 

Bei einem Schutzbedarf der Datenobjekte bzgl. Vertraulichkeit oder Integrität von „sehr hoch“ 

MÜSSEN die für das Scannen eingesetzten IT-Systeme in einem eigenständigen Netzsegment eingebunden 

sein. Der Zugriff auf dieses Netzsegment aus anderen Netzsegmenten DARF NUR entkoppelt 

und nur bei Initiierung der Verbindungen von innen möglich sein. 

A.AM.IN.SH.4 – Kennzeichnung der Dokumente bzgl. Sensitivität 

Dokumente, die einen Schutzbedarf von „sehr hoch“ bzgl. der Integrität besitzen, SOLLEN als solche 

gekennzeichnet werden. Die Kennzeichnung SOLL deutlich sichtbar angebracht werden, damit die 

verarbeitenden Personen auf die Sensibilität des Dokumentes achten und dieses angemessen handhaben. 



4.3.4 Zusätzliche Maßnahmen bei hohen Vertraulichkeitsanforderungen 


mit einem Schutzbedarf von zumindest „hoch“ bezüglich der Vertraulichkeit berücksichtigt werden. 


Vertraulichkeitsanforderungen 

siehe auch 

A.AM.VT.H.1 Sensibilisierung und Verpflichtung der Mitarbeiter A.P.1, Seite 21 

A.P.2, Seite 21 

A.AM.VT.H.2 Verhinderung ungesicherter Netzzugänge A.AM.IN.H.6, 

Abschnitt 4.3.2 

A.AM.VT.H.3 Löschen von Zwischenergebnissen [BSI-B 1.15] 

Tabelle 12: Zusätzliche Maßnahmen bei hohen Vertraulichkeitsanforderungen 

A.AM.VT.H.1 – Sensibilisierung und Verpflichtung der Mitarbeiter 

Bei der Verarbeitung von Dokumenten mit einem Schutzbedarf bezüglich der Vertraulichkeit von 

zumindest „hoch“ MÜSSEN die Mitarbeiter bzgl. der Sicherheitsmaßnahmen und der sicherheitsbewussten 

Handhabung von Dokumenten, Daten und IT-Systemen und der zu ergreifenden Vorsichtsmaßnahmen 

sensibilisiert und geschult werden. Darüber hinaus MÜSSEN die Mitarbeiter durch 

eine explizite Verfahrensanweisung auf die Einhaltung der einschlägigen Gesetze, Vorschriften und 

Regelungen verpflichtet werden. 

A.AM.VT.H.2 – Verhinderung ungesicherter Netzzugänge 

Siehe A.AM.IN.H.6, Abschnitt 4.3.2. 

A.AM.VT.H.3 – Löschen von Zwischenergebnissen 

Bei der Verarbeitung von Dokumenten mit einem Schutzbedarf bezüglich der Vertraulichkeit von 

zumindest „hoch“ MÜSSEN die in der Verarbeitung entstehenden Zwischenergebnisse (z.B. rohe 

Scanprodukte, Daten im Scan-Cache, Auslagerungsdateien) zuverlässig gelöscht werden. 

4.3.5 Zusätzliche Maßnahmen bei sehr hohen Vertraulichkeitsanforderungen 


mit einem Schutzbedarf von „sehr hoch“ bezüglich der Vertraulichkeit berücksichtigt werden. 


Vertraulichkeitsanforderungen 

siehe auch 

A.AM.VT.SH.1 Kennzeichnung der Dokumente bzgl. Sensitivität BM 2.2, Seite 73 

A.AM.VT.SH.2 Ordnungsgemäße Entsorgung von schützenswerten 

Betriebsmitteln 

M 2.13, Seite 82 

A.AM.VT.SH.3 Sicherheitsüberprüfung von Mitarbeitern M 3.33, Seite 72 

A.AM.VT.SH.4 Verschlüsselte Datenübertragung innerhalb des Scansystems BM 4.2, Seite 81 

Tabelle 13: Zusätzliche Maßnahmen bei sehr hohen Vertraulichkeitsanforderungen 

A.AM.VT.SH.1 – Kennzeichnung der Dokumente bzgl. Sensitivität 

Dokumente, die einen Schutzbedarf von „sehr hoch“ bzgl. der Vertraulichkeit besitzen, SOLLEN als 

solche gekennzeichnet werden. Die Kennzeichnung SOLL deutlich sichtbar angebracht werden, damit 



die verarbeitenden Personen auf die Sensibilität des Dokumentes achten und dieses angemessen 

handhaben. 

A.AM.VT.SH.2 – Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln 

Sofern der Scanner einen internen Datenträger besitzt und Dokumente gescannt werden, die einen 

Schutzbedarf bzgl. der Vertraulichkeit von „sehr hoch“ besitzen, MUSS dieser Datenträger vor der 

Entsorgung des Scanners zuverlässig gelöscht werden. Sofern dies möglich ist, SOLL der Datenträger 

hierfür aus dem Scanner ausgebaut und mit einem geeigneten Verfahren zuverlässig gelöscht oder 

notfalls zerstört werden. Darüber hinaus MÜSSEN kryptographische Schlüssel, die im zu entsorgenden 

Scanner in Software vorgehalten werden, zuverlässig gelöscht oder anderweitig (z.B. durch 

entsprechende Maßnahmen in der zur Schlüsselverwaltung vorgesehenen Infrastruktur) deaktiviert 

werden. 

A.AM.VT.SH.3 – Sicherheitsüberprüfung von Mitarbeitern 

Sofern Dokumente gescannt werden, deren Schutzbedarf hinsichtlich der Vertraulichkeit „sehr hoch“ 

ist, SOLLEN die Mitarbeiter, die für den Scanprozess verantwortlich sind und den Prozess 

durchführen, in geeigneter Weise hinsichtlich ihrer Zuverlässigkeit und Vertrauenswürdigkeit 

überprüft werden. 

A.AM.VT.SH.4 – Verschlüsselte Datenübertragung innerhalb des Scansystems 

Bei der Verarbeitung von Datenobjekten mit einem Schutzbedarf von „sehr hoch“ bezüglich der Vertraulichkeit 

SOLL die Datenübertragung zwischen Scanner, Scan-Workstation, Scan-Cache und 

anderen damit zusammenhängenden Systemen durch geeignete Verschlüsselungsverfahren gemäß 

[BSI-TR02102] oder [BSI-TR03116] erfolgen. Andernfalls MUSS ein schriftlicher Nachweis erbracht 

werden, dass diese Kommunikationsverbindungen durch alternative Maßnahmen ausreichend geschützt 

sind. 

4.3.6 Zusätzliche Maßnahmen bei hohen Verfügbarkeitsanforderungen 


mit einem Schutzbedarf von zumindest „hoch“ bezüglich der Verfügbarkeit berücksichtigt werden. 


Verfügbarkeitsanforderungen 

siehe auch 

A.AM.VF.H.1 Erweiterte Qualitätssicherung der Scanprodukte A.SC.8, Seite 26 

A.AM.VF.H.2 Fehlertolerante Protokolle und redundante Datenhaltung 

Tabelle 14: Zusätzliche Maßnahmen bei hohen Verfügbarkeitsanforderungen 

A.AM.VF.H.1 – Erweiterte Qualitätssicherung der Scanprodukte 

Bei einem Schutzbedarf der Datenobjekte von „hoch“ bezüglich der Verfügbarkeit SOLL die 

Qualitätskontrolle der Scan-Produkte (siehe A.SC.8, Seite 26) durch eine vollständige Sichtkontrolle 

erfolgen. Falls keine vollständige Sichtkontrolle realisiert wird, MUSS eine manuelle Prüfung der im 

Rahmen einer automatisierten Qualitätskontrolle identifizierten Probleme erfolgen. 

A.AM.VF.H.2 – Fehlertolerante Protokolle und redundante Datenhaltung 

Bei Schutzbedarf „hoch“ bezüglich der Verfügbarkeit wird die Verwendung eines fehlertoleranten 

Übertragungsprotokolls sowie eine redundante Datenhaltung EMPFOHLEN. 



4.3.7 Zusätzliche Maßnahmen bei sehr hohen Verfügbarkeitsanforderungen 


mit einem Schutzbedarf von „sehr hoch“ bezüglich der Verfügbarkeit berücksichtigt werden. 


Verfügbarkeitsanforderungen 

siehe auch 

A.AM.VF.SH.1 Erweiterte Qualitätssicherung der Scanprodukte A.SC.8, Seite 26 

A.AM.VF.SH.2 Test der Geräte und Einstellungen mit ähnlichen Dokumenten 

Tabelle 15: Zusätzliche Maßnahmen bei sehr hohen Verfügbarkeitsanforderungen 

A.AM.VF.SH.1 – Vollständige Sichtkontrolle zur Qualitätssicherung der Scanprodukte 

Bei einem Schutzbedarf der Datenobjekte von „sehr hoch“ bezüglich der Verfügbarkeit MUSS die 

Qualitätskontrolle der Scan-Produkte durch eine vollständige Sichtkontrolle erfolgen. 

A.AM.VF.SH.2 – Test der Geräte und Einstellungen mit ähnlichen Dokumenten 

Bei Datenobjekten mit einem Schutzbedarf „sehr hoch“ bezüglich der Verfügbarkeit MUSS die 

Eignung der verwendeten Geräte, Verfahren und Einstellungen vorher mit physikalisch ähnlichen 

Dokumenten, die selbst keinen hohen Schutzbedarf bzgl. Verfügbarkeit haben, getestet und das Prüfergebnis 

dokumentiert werden. 



Abkürzungsverzeichnis 

Ax Anwendung 

A.x.y Anforderung 

B x.y Baustein aus dem Grundschutzhandbuch des BSI 

BBG Bundesbeamtengesetz 

BDSG Bundesdatenschutzgesetz 

BGB Bürgerliches Gesetzbuch 

BGBl Bundesgesetzblatt 

BGH Bundesgerichtshof 

BM x.y Benutzerdefinierte Sicherheitsmaßnahme 

BMV-Ä Bundesmantelverträge Teil 1 (Ärzte) 

BNetzA Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post u. Eisenbahnen 

BSI Bundesamt für Sicherheit in der Informationstechnik 

CC Common Criteria for Information Technology Security Evaluation 

Dx Datenobjekt 

DMS Dokumentenmanagement-System 

DOMEA 

Organisationskonzept der Koordinierungs- und Beratungsstelle für Informationstechnik in 

der Bundesverwaltung (KBSt) zur Aktenführung im elektronischen Geschäftsgang 

ECM Enterprise Content Management 

EKV Bundesmantelverträge Teil 2 (Ärzte/Ersatzkassen) 

ETSI European Telecommunications Standards Institute 

GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen 

GoB Grundsätze ordnungsgemäßer Buchführung 

GoBS Grundsätze ordnungsgemäßer DV gestützter Buchführungssysteme 

HSM Hardware Security Module 

IT Informationstechnologie 

ITSEC Information Technology Security Evaluation Criteria 

Kx Kommunikationsbeziehung 

M x.y Sicherheitsmaßnahme aus dem Grundschutzhandbuch des BSI 

MBO-Ä Musterberufsordnung für Ärzte 

ODF Open Document Format 

PDF Portable Document Format 

PK-DML Prüfkriterien für Dokumentenmanagement-Lösungen 

PKI Public-Key Infrastruktur 

PP Protection Profile 

RFC Request for Comments 

Sx IT-System 

SigG Gesetz über Rahmenbedingungen für elektronische Signaturen 

SigV Verordnung zur elektronischen Signatur 

TLS Transport Layer Security 

TR Technische Richtlinie 

TSP Time Stamp Protocol 

USB Universal Serial Bus 

VBS Vorgangsbearbeitungssystem 



VSA Verschlusssachen-Anweisung 

XML eXtensible Markup Language 

ZDA Zertifizierungsdiensteanbieter 

ZPO Zivilprozessordnung 



Glossar 

Authentifizierung Bei der „Authentifizierung“ wird eine „Behauptung“ über eine 

elektronische Identität geprüft. Hierbei besteht eine 

„Behauptung“ aus mindestens einem Identitätsattribut (z.B. 

dem Namen des Kommunikationspartners). 

Authentisierung Bei der „Authentisierung“ wird eine „Behauptung“ über eine 

elektronische Identität aufgestellt. 

Authentizität Unter der „Authentizität“ von Daten versteht man, dass die 

Quelle der Daten eindeutig bestimmbar ist. 

Bildliche Übereinstimmung Von einer „bildlichen Übereinstimmung“ zwischen einem 

Scanprodukt und einem Original spricht man, wenn das 

Scanprodukt ein im Rahmen der gewählten Auflösung 

identisches Abbild des Originals ist. 

Ergänzendes Scannen Wird nach dem „Scannen“ das papiergebundene Original 

weiterhin aufbewahrt, so spricht man vom „ergänzenden 

Scannen“. 

Ersetzendes Scannen Wird nach dem „Scannen“ das papiergebundene Original 

vernichtet, so spricht man vom „ersetzenden Scannen“. 

informativ Ein „informativer“ Teil eines Dokumentes enthält keine 

verbindlichen Vorgaben und Anforderungen und dient lediglich 

der Information des Lesers. 

Inhaltliche Übereinstimmung Von einer „inhaltlichen Übereinstimmung“ zwischen einem 


Scanprodukt und das Original in den wesentlichen Inhaltsdaten 

übereinstimmen, nicht aber unbedingt in der visuellen 

Darstellung. 

Integrität „Integrität“ bedeutet, dass die Daten oder Systeme nicht verändert 

wurden. Bei einem wirksamen Integritätsschutz werden 

zudem zumindest Veränderungen erkannt. 

IT-System Der Begriff „IT-System“ beschreibt ein aus Hardware und 

Software bestehendes System zur Informationsverarbeitung. 

Lesbarkeit Lesbarkeit bedeutet, dass die in den Daten enthaltenen 

Informationen erkannt werden können. 13 

Löschbarkeit Unter Löschen von Daten ist das Unkenntlichmachen der 

gespeicherten Daten zu verstehen (§ 3 Abs. 4 Nr. 5 BDSG). 

Dies ist gegeben, wenn die Daten unwiderruflich so behandelt 

worden sind, dass eigene Informationen nicht aus gespeicherten 

Daten gewonnen werden können, wenn also der Rückgriff auf 

diese Daten nicht mehr möglich ist [ScWi10, § 3 Rn. 75], 

[Damann in Simi06, § 3 Rn. 180]. 

Nachvollziehbarkeit Unter der „Nachvollziehbarkeit“ eines Vorgangs versteht man, 

dass alle wesentlichen Schritte des Vorgangs von einer 

13 Ein elektronisches Dokument ist nur dann lesbar, wenn die notwendige Hard- und Software die Daten verarbeiten, ihre 

Informationen interpretieren und dem menschlichen Betrachter in lesbarer Weise präsentieren kann. 



unabhängigen Stelle nachgezeichnet werden können. 

normativ Ein „normativer“ Teil eines Dokumentes enthält verbindliche 

Vorgaben und Empfehlungen, deren Umsetzung auch Gegenstand 

eines im Prüfungs- und Zertifizierungsverfahrens ist. 

Scannen „Scannen“ bezeichnet das elektronische Erfassen von Papierdokumenten 

mit dem Ziel der elektronischen Weiterverarbeitung 

und Aufbewahrung des hierbei entstehenden 

elektronischen Abbildes (Scanprodukt). 

Sicherungsdaten „Sicherungsdaten“ sind Datenobjekte, die dem Schutz der 

Integrität und ggf. Authentizität anderer Datenobjekte dienen. 

Dies umfasst insbesondere elektronische Signaturen, Zeitstempel, 

Zertifikate, Sperrinformationen und Evidence Records 

(vgl. „Credential“ in [BSI-TR03125]). 

Sicherungsmittel Unter dem Begriff „Sicherungsmittel“ werden in dieser 

Technischen Richtlinie Sicherungsdaten oder 

Sicherungssysteme verstanden. 

Sicherungssysteme „Sicherungssysteme“ sind IT-Systeme und/oder Anwendungen, 

die dem Schutz der Integrität und ggf. Authentizität anderer 

Datenobjekte dienen. 

Verfügbarkeit Die „Verfügbarkeit“ von Daten, Diensten, IT-Systemen, IT- 

Anwendungen oder IT-Netzen ist vorhanden, wenn diese den 

Benutzern innerhalb akzeptabler Wartezeiten in der benötigten 

Form zur Verfügung stehen. 

Vertraulichkeit „Vertraulichkeit“ ist die Verhinderung einer unbefugten 

Kenntnisnahme. 

Verkehrsfähigkeit „Verkehrsfähigkeit“ bezeichnet die Möglichkeit, Dokumente 

und Akten von einem System zu einem anderen übertragen zu 

können, bei der die „Qualität“ des Dokuments sowie seine 

Integrität und Authentizität nachweisbar bleiben. 14 

Vollständigkeit „Vollständigkeit“ bedeutet, dass der gegenseitige Bezug 

mehrerer aufgrund eines inneren Zusammenhangs 

zusammengehörigen Datenobjekte sichergestellt ist. 

14 Es sei angemerkt, dass die Verkehrsfähigkeit von kryptographisch gesicherten Daten nur bei Verwendung von allgemein 

anerkannten (z.B. internationalen) Standards und interoperablen Systemen gewährleistet werden kann. 



Referenzen 

[ADV-BVA10] ADV-Arbeitsgemeinschaft der Prüfdienste des Bundes und der Länder / 

Bundesversicherungsamt: Langzeitspeicherung elektronischer Daten, Version 3.5, 

Stand 14.11.2011, 

http://www.mgepa.nrw.de/mediapool/pdf/gesundheit/Langzeitspeicherung.pdf 

[AgElVa11] Arbeitsgruppe Elektronische Verwaltungsakte: Anforderungen der 

Verwaltungsgerichtsbarkeit an die Führung elektronischer Verwaltungsakten- eine 

Orientierungshilfe, JurPC Web-Dok. 66/2011. 

[BuKa08] Bundesärztekammer, Kassenärztliche Bundesvereinigung: Empfehlungen zur 

ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, 

Technische Anlage, Deutsches Ärzteblatt, Jg. 105, Heft 19, 9. Mai 2008 

[Baum10] A. Baumbach et al.:Zivilprozessordnung, Kommentar, 68. Auflage, 2010 

[BaHo10] A. Baumbach, K. J. Hopt: Handelsgesetzbuch, Kommentar, 33. Auflage, München 

2010 

[BaRo11] J. Bader, M. Ronellenfisch: Beck´scher Online-Kommentar, Verwaltungsverfah- 

rensgesetz, Beck 2011 

[Berl08] U.-D. Berlit: Die elektronische Akte — rechtliche Rahmenbedingungen der 

elektronischen Gerichtsakte, JurPC Web-Dok. 157/2008, Abs. 1 – 132, 

http://www.jurpc.de/aufsatz/20080157.htm 

[BNetzA-AlgKat] Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und 

Eisenbahnen (BNetzA): Bekanntmachung zur elektronischen Signatur nach dem 

Signaturgesetz und der Signaturverordnung (Übersicht über geeignete 

Algorithmen), 

http://www.bundesnetzagentur.de/DE/Sachgebiete/QES/Veroeffentlichungen/Algorithmen/algorithme 

n_node.html 

[BSI-100-2] Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI-Standard 100-2: 

IT-Grundschutz-Vorgehensweise, 

https://www.bsi.bund.de/cae/servlet/contentblob/471452/publicationFile/30758/sta 

ndard_1002.pdf 

[BSI-100-3] Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI-Standard 100-3: 

Risikoanalyse auf der Basis von IT-Grundschutz, 

https://www.bsi.bund.de/cae/servlet/contentblob/471454/publicationFile/30757/sta 

ndard_1003.pdf 

[BSI-B 1.11] Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz 

Baustein B 1.11 – Outsourcing, 

https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b01/b01011.html 


Baustein B 1.15 – Löschen und Vernichten von Daten, 



Baustein B 3.201 – Allgemeiner Client, 

https://www.bsi.bund.de/cln_165/ContentBSI/grundschutz/kataloge/baust/b03/b03 

201.html 


Baustein B 3.301 – Sicherheitsgateway (Firewall), 





Baustein B 3.406 – Drucker, Kopierer und Multifunktionsgeräte, 



Baustein B 5.7 – Datenbanken 

https://www.bsi.bund.de/cln_174/ContentBSI/grundschutz/kataloge/baust/b05/b05 

007.html 

[BSI-Glossar] Bundesamt für Sicherheit in der Informationstechnik (BSI): Glossar, 

https://www.bsi.bund.de/DE/Themen/InternetSicherheit/GlossarBegriffe/GlossarBe 

griffe_node.html 

[BSI-GSK] Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz 

Kataloge, 

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html 

[BSI-IS-Rev] Bundesamt für Sicherheit in der Informationstechnik (BSI): 

Informationssicherheitsrevision, Ein Leitfaden für die IS-Revision auf Basis von 

IT-Grundschutz, 

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/ISRevision/Leitfaden_IS 

-Revision-v2_pdf.pdf 

[BSI-M 2.46] Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutz 

Maßnahme M 2.46 – Geeignetes Schlüsselmanagement, 

https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m02/m02046.html 

[BSI-TR02102] Bundesamt für Sicherheit in der Informationstechnik (BSI): Kryptographische 

Verfahren: Empfehlungen und Schlüssellängen, BSI TR-02102, 

https://www.bsi.bund.de/ContentBSI/Publikationen/TechnischeRichtlinien/tr02102 

/index_htm.html 

[BSI-TR03116] Bundesamt für Sicherheit in der Informationstechnik (BSI): eCard-Projekte der 

Bundesregierung, Technische Richtlinie (TR) des BSI Nr. 03116, Teil 1-2 



[BSI-TR03125] Bundesamt für Sicherheit in der Informationstechnik (BSI): Beweiswerterhaltung 

kryptographisch signierter Dokumente (TR-ESOR), Technische Richtlinie (TR) des 

BSI Nr. 03125, Version 1.1, 2011, 



[BSI-TR03138-P] Bundesamt für Sicherheit in der Informationstechnik (BSI): Ersetzendes Scannen – 

Anlage P: Prüfspezifikation, Technische Richtlinie (TR) des BSI Nr. 03138 (TR 

RESISCAN), Version 1.0, 2012 

[BSI-TR03138-R] S. Jandt, M. Nebel, A. Roßnagel: Unverbindliche rechtliche Hinweise zur 

Anwendung der TR-RESISCAN, 2012 

[BSI-TR03138-V] Bundesamt für Sicherheit in der Informationstechnik (BSI): Ersetzendes Scannen – 

Anlage V: Exemplarische Verfahrensanweisung, Technische Richtlinie (TR) des 

BSI Nr. 03138 (TR RESISCAN), Version 1.0, 2012 

[BSI-IT-SiHB] Bundesamt für Sicherheit in der Informationstechnik (BSI): IT- 

Sicherheitshandbuch – Handbuch für die sichere Anwendung der 

Informationstechnik, 1992 

[CAdES] ETSI: Electronic Signature Formats, Electronic Signatures and Infrastructures 

(ESI) – Technical Specification, ETSI TS 101 733, V1.8.3, 2011, 



http://www.etsi.org/deliver/etsi_ts/101700_101799/101733/01.08.03_60/ts_101733 

v010803p.pdf 

[CC-CEM-v3.1] Common Criteria: Common Methodology for Information Technology Security 

Evaluation - Evaluation methodology, July 2009, Version 3.1, Revision 3, Final, 

http://www.commoncriteriaportal.org/files/ccfiles/CEMV3.1R3.pdf 

[CC-P3-v3.1] Common Criteria: Common Criteria for Information Technology Security 

Evaluation - Part 3: Security assurance components, July 2009, Version 3.1, 

Revision 3, Final, 

http://www.commoncriteriaportal.org/files/ccfiles/CCPART3V3.1R3.pdf 

[Fisc06] S. Fischer-Dieskau: Das elektronisch signierte Dokument als Mittel zur 

Beweissicherung, Anforderungen an seine langfristige Aufbewahrung, Nomos 

2006 

[GoBS] Bundesministerium der Finanzen: Grundsätze ordnungsmäßiger DV-gestützter 

Buchführungssysteme (GoBS), Schreiben des Bundesministeriums der Finanzen an 

die obersten Finanzbehörden der Länder vom 7. November 1995 – IV A 8 – S 0316 

– 52/95 – BStBl 1995 I S. 738, 

http://www.bundesfinanzministerium.de/nn_314/DE/BMF__Startseite/Service/Downloads/Abt__IV/B 

MF__Schreiben/015,templateId=raw,property=publicationFile.pdf 

[HaBi93] V. Hammer, J. Bizer: Beweiswert elektronisch signierter Dokumente. In: DuD 

1993, S. 689-693. 

[HüKo06] D. Hühnlein, U. Korte: Grundlagen der elektronischen Signatur, Bundesamt für 

Sicherheit in der Informationstechnik und SecuMedia Verlag, Bonn / Ingelheim, 

2006, 

https://www.bsi.bund.de/ContentBSI/Themen/ElektrSignatur/esiggrundlagen.html 

[ISIS] EMC Captiva: Image and Scanner Interface Specification, 

http://germany.emc.com/products/detail/software2/isis.htm 

[ISO18014-1] ISO/IEC 18014-1: Information technology - Security techniques - Time stamping 

services - Part 1: Framework, 2008 

[ISO27001] ISO/IEC 27001: Information technology — Security techniques — Information 

security management systems — Requirements, International Standard, 2005 

[ISO27005] ISO/IEC 27005: Information technology — Security techniques — Information 

security risk management, International Standard, 2008 

[JaWi09] S. Jandt, D. Wilke: Gesetzliche Anforderungen an das ersetzende Scannen von 

Papierdokumenten, K&R 2/2009 

[KSD+08] H. Kuhlemann, P. Schmücker, C. Dujat, V. Eder, C. Seidel: Schlierseer 

Memorandum zum beweissicheren Scannen, v1.1, 2008, 

http://www.ehealthopen.com/press/SchlierseerMemorandum_v1_1_20080402.pdf 

[NIST-800-57-1] E. Barker, W. Barker, W. Burr, W. Polk, M. Smid: Recommendation for Key 

Management – Part 1: General (Revised), NIST Special Publication 800-57, 2007, 

http://csrc.nist.gov/publications/nistpubs/800-57/sp800-57-Part1-revised2_Mar08- 

2007.pdf 

[NIST-800-57-2] E. Barker, W. Barker, W. Burr, W. Polk, M. Smid: Recommendation for Key 

Management – Part 2: Best Practices for Key Management Organization, NIST 

Special Publication 800-57, 2007, http://csrc.nist.gov/publications/nistpubs/800- 

57/SP800-57-Part2.pdf 

[NIST-800-133] E. Barker, A. Roginsky: Recommendation for Cryptographic Key Generation, 

NIST Special Publication 800-133, July 2011, 



http://csrc.nist.gov/publications/drafts/800-133/Draft-SP-800-133_Key- 

Generation.pdf 

[PAdES] ETSI: Electronic Signature Formats, Electronic Signatures and Infrastructures 

(ESI) – Technical Specification, PDF Advanced Electronic Signature Profiles, Part 

1-6, ETSI TS 102 778, 2009-2010, http://www.etsi.org 

[RFC2119] S. Bradner: Key words for use in RFCs to Indicate Requirement Levels, IETF RFC 

2119, via http://www.ietf.org/rfc/rfc2119.txt 

[RoJa08] A. Roßnagel, S. Jandt: Handlungsleitfaden zum Scannen von Papierdokumenten. 

Herausgegeben im Auftrag des Bundesministeriums für Wirtschaft und 

Technologie, Nr. 571, Berlin April 2008 

[RoPf03] A. Roßnagel, A. Pfitzmann: Der Beweiswert von E-Mail, NJW (Neue Juristische 

Wochenschrift) 56/17 vom 22. April 2003, SS.1209-1214 

[SANE] SANE Project: SANE - Scanner Access Now Easy, http://www.sane-project.org/ 

[SCATE] A. Roßnagel, S. Fischer-Dieskau, S. Jandt, D. Wilke: Scannen von 

Papierdokumenten – Anforderungen, Trends und Empfehlungen, Band 18 der 

Reihe „Der elektronische Rechtsverkehr“, Nomos, 2008 

[ScWi10] H. J. Schaffland, N. Wiltfang: Bundesdatenschutzgesetz, Loseblattsammlung, 

Erich Schmidt 2010 

[Simi06] S. Simitis: Bundesdatenschutzgesetz, Kommentar, Nomos 2006 

[TWAIN] TWAIN Organization: TWAIN – Standard for image acquisition devices, 

http://www.twain.org 



Anlage A – Ergebnis der Risikoanalyse (informativ) 

Diese Anlage enthält das Ergebnis der Risikoanalyse. Hierbei wurde aus der Praxis ein „typisches 

Scansystem“ abstrahiert und der in Abbildung 1 dargestellte „generische Scanprozess“ zu Grunde 

gelegt. 

A.1 Strukturanalyse 

A.1.1 Konventionen 

Für die Benennung der relevanten Objekte werden die folgenden Konventionen verwendet: 

• Dxy - bezeichnet ein Datenobjekt (siehe Abschnitt A.1.2) 

• Sxy - bezeichnet ein IT-System (siehe Abschnitt A.1.3) 

• Axy - bezeichnet eine Anwendung (siehe Abschnitt A.1.3), die auf einem IT-System läuft 

• Kxy - bezeichnet eine Kommunikationsverbindung zwischen zwei IT-Systemen oder 

Anwendungen (siehe Abschnitt A.1.5) 

Anders als sonst bei der Anwendung des IT-Grundschutz-Handbuches üblich, wird hier auf die 

explizite Modellierung der involvierten Räumlichkeiten verzichtet. Statt dessen wird vorausgesetzt, 

dass geeignete Räumlichkeiten existieren, in denen ein geeigneter Zutrittskontrollmechanismus 

realisiert ist, so dass das Schriftgut sicher aufbewahrt werden kann und die relevanten IT-Systeme vor 

unbefugtem physikalischen Zugriff geschützt sind (vgl. BM 2.3, Seite 74). 

A.1.2 Datenobjekte 

Die nachfolgende Tabelle enthält die für das beweiskräftige und in diesem Sinne rechtssichere 

ersetzende Scannen relevanten Datenobjekte. 



ID Datenobjekt Beschreibung 

D0 Schriftgut aus dem 

Posteingang 

D1 Scanrelevantes 

Original 

Schriftgut, das per Post o.ä. eingegangen ist. 

Papierdokument, das durch geeignete Vorbereitungsschritte (z.B. 

durch Entfernung des Kuverts 15 , Umkopieren, Entklammern etc.) aus 

dem eingegangenen Schriftgut (D0) gewonnen und dem Scanprozess 

zugeführt wird. 

D2 Scanprodukt Elektronisches Abbild des Papierdokumentes (D1). Dieses wird durch 

den Scanner erzeugt und ggf. von der Scansoftware nachbearbeitet. 

D3 Index- und Metadaten Daten, die das Auffinden und die Nutzung des später abgelegten 

Scanproduktes ermöglichen bzw. erleichtern. Durch die hier manuell 

oder automatisch durch eine Formularerkennungs-Software erfassten 

und ggf. im Rahmen der Sachbearbeitung überprüften oder ergänzten 

Index- und Metadaten wird die eindeutige Zuordnung von 

Dokumenten zu einem Geschäftsvorfall sichergestellt, wodurch ein 

wesentliches Element der Ordnungsmäßigkeit gegeben ist. 

D4 Transfervermerk 16 Mit dem Transfervermerk wird dokumentiert, wann und durch wen die 

Übertragung des Papierdokumentes in ein elektronisches Dokument 

stattgefunden hat. 

D5 Sicherungsdaten Sicherungsdaten sind Datenobjekte 17 , die dem Schutz der Integrität 

und ggf. Authentizität anderer Datenobjekte dienen. 

D6 Protokolldaten Die Protokolldaten dokumentieren zusätzliche sicherheitsrelevante 

Abläufe und Ereignisse. Sie unterstützen somit die 

Nachvollziehbarkeit der Abläufe und den Nachweis der 

Ordnungsmäßigkeit des Scanprozesses. 

Tabelle 16: Liste der Datenobjekte 

15 Sofern das Kuvert relevante Inhalte umfasst und deshalb dem Scanprozess zugeführt wird, ist das Kuvert als ein Teil des 

„Scanrelevanten Originals“ zu betrachten. 

16 Form und Inhalt des Transfervermerks sind abhängig von den anwendbaren rechtlichen Rahmenbedingungen. Der 

Transfervermerk kann im Scanprodukt, zusammen mit dem Scanprodukt in einer Akte oder in den Metadaten abgelegt 

werden. Die Integrität und Authentizität des Transfervermerks kann mit einer elektronischen Signatur geschützt werden. 

Rechtliche Betrachtungen zum Transfervermerk finden sich auch in [BSI-TR03138-R]. 

17 Hierbei kann es sich beispielsweise um Signaturen, Zertifikate, Zeitstempel, Message Authentication Codes, CRC- 

Prüfsummen etc. handeln. 



A.1.3 IT-Systeme und Anwendungen 

Betrachtet man die verschiedenen in der Praxis genutzten Scansysteme, so erhält man durch 

Abstraktion das in Abbildung 3 dargestellte „typische Scansystem“, das im Folgenden näher erläutert 

und der hier vorliegenden Risikoanalyse zu Grunde gelegt wird. 

S e r v e r 

S 5 

S c a n - C a c h e 

S 3 

S c a n - W o r k s t a t i o n ( s ) 

C l i e n t 

I n d e x - S W 

S c a n - S W 

S c a n n e r 

Abbildung 3: Das „typische Scansystem“ 

I S - I n f r a - 

s t r u k t u r 

Bundesamt für Sicherheit in der Informationstechnik 47 

S 2 

A 1 A 2 

I S - S W 

A 3 A 4 

G e g e n s t a n d d e r T R - R E S I S C A N 

I S - H W 

S 4 

S 1 

S 6


ID IT-System Beschreibung 

S1 Scanner Scanner für die Erzeugung eines Scanproduktes (D2) aus dem 

scanrelevanten Papierdokument (D1). Dieser Scanner kann lokal 

(z.B. über USB) oder über ein Netzwerk an die Scan-Workstation 

(S2) angeschlossen sein. 

S2 Scan-Workstation Bildet die Ablaufumgebung für die Anwendungen (A1) – (A4) und 

produziert ggf. Protokolldaten (D6). In der Praxis kann die hier 

betrachtete „Scan-Workstation“ auch durch mehrere 

Rechnersysteme realisiert sein, auf denen die nachfolgend 

betrachteten Anwendungen in verteilter Form ablaufen. 

A1 Client Hierbei kann es sich um einen ECM-, DMS- oder VBS-Client 

handeln, in den ggf. die Anwendungen (A2) – (A4) integriert sind. 

A2 Scan-Software Softwarekomponente, die mit dem Scanner (S1) kommuniziert, um 

den technischen Erfassungsprozess zu steuern. Diese Komponente 

führt ggf. auch die Nachbearbeitung zur Qualitätsverbesserung 

durch und erzeugt bei Bedarf den Transfervermerk (D4). 

A3 Index-Software Softwarekomponente für die automatische (z.B. durch OCR) oder 

manuelle Bereitstellung von zum Scanprodukt (D2) gehörigen 

Index- und Metadaten (D3). Diese Index-Software kann wie hier 

dargestellt auf der Scan-Workstation, einem eigenständigen 

Indexier-Arbeitsplatz oder innerhalb einer entsprechenden 

Fachanwendung betrieben werden. 

A4 Integritätssicherungs-Software 

(IS-SW) 

Erzeugt in Zusammenarbeit mit der Integritätssicherungs-hardware 

(S4) geeignete Sicherungsdaten 18 (D5) für den Schutz der Integrität 

und ggf. Authentizität des Scanproduktes (D2) und ggf. der 

weiteren zugehörigen Daten. Hierbei kann es sich um eine 

Signaturanwendungskomponente gemäß § 2 Nr. 11 SigG handeln. 

S3 Scan-Cache Dient zur Ablage des Scanproduktes (D2). Dieser Zwischenspeicher 

kann ggf. Teil von (S1), (S2) oder einem dritten System 

sein. Entsprechend kann der Zugriff auf den Scan-Cache 

beispielsweise über lokale Speichermechanismen oder über das 

Netz erfolgen. 

S4 Integritätssicherungs- 

Hardware (IS-HW) 

Dient insbesondere der Speicherung und Anwendung von 

kryptographischem Schlüsselmaterial und wird von der 

Integritätssicherungssoftware (A4) für die Erzeugung von 

geeigneten Sicherungsdaten genutzt. Hierbei kann es sich 

beispielsweise um eine sichere Signaturerstellungseinheit gemäß § 

2 Nr. 10 SigG in Verbindung mit einem Chipkartenterminal 

handeln. Die IS-HW kann lokal an der Scan-Workstation 

angeschlossen sein oder über entsprechend gesicherte 

Netzwerkverbindungen genutzt werden. 

18 Alternativ zur Verwendung von „Sicherungsdaten“ kann die Integrität von Daten auch durch die Ablage derselben in 

einem geeigneten „Sicherungssystem“ erfolgen, das die dort abgelegten Daten beispielsweise durch entsprechende 

Zugriffskontrollmechanismen vor unberechtigten Zugriffen schützt. In diesem Fall können sowohl die 

Integritätssicherungs-Software (IS-SW) als auch die Integritätssicherungs-Hardware (IS-HW) durch ein geeignetes 

Sicherungssystem ersetzt werden. Allerdings ist in diesem Fall zu bedenken, dass die Verkehrsfähigkeit der darin 

abgelegten Daten möglicherweise stark eingeschränkt sein könnte, so dass die vollständige Substitution der 

Sicherungsdaten durch Sicherungssysteme wohlüberlegt sein sollte. 



S5 Server Hierbei kann es sich um ein oder mehrere ECM-, DMS- oder 

Archivsysteme bzw. Fachverfahren handeln, in dem die 

Scanprodukte (D2) sowie die zusätzlichen Daten (Index- und 

Metadaten (D3), Transfervermerk (D4), Sicherungsdaten (D5) 

und Protokolldaten (D6)) über den Aufbewahrungszeitraum 

beweiskräftig aufbewahrt werden (vgl. z.B. [BSI-TR03125]). 

Die langfristige Aufbewahrung dieser Daten und die 

Realisierung dieses Server-Systems ist nicht Gegenstand der 

vorliegenden Technischen Richtlinie. 

S6 IS-Infrastruktur Infrastruktur-Dienste, die die Integritätssicherung unterstützen 

und bei Bedarf - d.h. sofern elektronische Signaturen eingesetzt 

werden - Zertifikate, Zertifikatstatusinformationen und 

Zeitstempel bereitstellen. Diese Dienste können beispielsweise 

von einem Zertifizierungsdiensteanbieter gemäß § 2 Nr. 8 SigG 

bereitgestellt werden. Auch die Ausgestaltung der IS- 

Infrastruktur ist nicht Gegenstand der vorliegenden Technischen 

Richtlinie. 

Tabelle 17: Liste der IT-Systeme und Anwendungen 

A.1.4 Der „generische Scanprozess“ 

Betrachtet man die typischen Abläufe im „generischen Scanprozess“ (siehe Abbildung 1) näher unter 

Berücksichtigung der Zeit 19 , so ergibt sich der in Abbildung 4 dargestellte Ablauf, wobei Px die 

verschiedenen Phasen des Scanprozesses bezeichnet. 

E i n g a n g e i n e s 

D o k u m e n t e s 


v o r b e r e it u n g 

S c a n n e n 

N a c h v e r - 

a r b e it u n g 

P 0 P 1 . 1 P 1 . 2 P 2 P 3 . 1 P 3 . 2 

t 0 

M i n . – S t d . 

t 1 

M i n . – S t d . 

( f r ü h . S c . ) 

/ – M o n a t e 

( s p ä t . S c . ) 

I n t e g r it ä t s - 

s ic h e r u n g 

D u r c h S i g n a t u r n i c h t g e s c h ü t z t e s Z e i t f e n s t e r P r ü f b a r k e i t 

K u r z e D a u e r , g e r i n g e 

E i n t r i t t s w a h r s c h e i n l i c h k e i t , u n k r i t i s c h 

m i t t l e r e D a u e r, 

m ö g l i c h e r w e i s e k r i t i s c h 

P 4 P 5 

t 2 t 3 t 4 t 5 t 6 t 7 

M i n . – S t d . 

( f r ü h . S c . ) 

/ – M o n a t e 

( s p ä t . S c . ) 

i . d . R . 

S e k . – M i n . 

g g f . – T a g e 

M i l l i - S e k . – 

M i n . 

M i l l i - S e k . – 

S e k . 

M i l l i - S e k . – 

M i n . 

L a n g e D a u e r, 

k r i t i s c h 

Abbildung 4: Zeitliche Betrachtungen zum „generischen Scanprozess“ 

B e w e i s w e r t - 

e r h a l t e n d e 

A u f b e w a h r u n g 

s e h r l a n g e r 

Z e i t r a u m 

S c h u t z 

+ P r ü f b a r k e i t 

19 Die Eintrittswahrscheinlichkeit eines Angriffes und dadurch das entsprechende Risiko ist im Regelfall auch abhängig 

vom Zeitfenster, das einem potenziellen Angreifer zur Verfügung steht. Diese unterschiedliche Risikoexposition ist in 

Abbildung 4 mit den Farben grün, gelb und rot dargestellt. 

Bundesamt für Sicherheit in der Informationstechnik 49 

Z e it


A.1.4.1 Eingang des Dokumentes 

In dieser ersten Phase (P0) wird das Schriftgut zum Zeitpunkt t0 empfangen. Wie in Abbildung 1 

dargestellt, sind die detaillierten Abläufe hierbei nicht Gegenstand der vorliegenden TR. 

A.1.4.2 Dokumentenvorbereitung 

Die Phase der Dokumentenvorbereitung umfasst im Regelfall die folgenden beiden Schritte: 

• P1.1 - Trennung Scan-relevantes und nicht-Scan-relevantes Schriftgut 

In diesem ersten Schritt werden Kuverts geöffnet und das eingegangene Schriftgut (D0) von 

irrelevantem Beiwerk (z.B. Werbung) getrennt. t1 liegt typischerweise um Minuten oder 

Stunden nach t0. 

• P1.2 - Vorbereitung Scan-relevantes Schriftgut 

In dieser Phase erfolgt insbesondere die Dokumentrennung (ggf. unter Verwendung von 

Barcodes oder Patchcodes). Abhängig von den konkreten organisatorischen Abläufen kann 

dieser Schritt im Detail zahlreiche und sehr umfangreiche Schritte umfassen, die die 

Zusammensetzung und die physikalische Repräsentanz des Schriftguts ändern können. 

Beispielsweise kann sich das eingegangene Schriftgut (D0) durch Umkopieren 20 , 

Ausschneiden, Reihenfolge ändern bei Wickelfalz etc. vom scan-relevanten Schriftgut (D1) 

unterscheiden. Beim „frühen Scannen“ 21 liegt der Zeitpunkt t2 um Minuten oder Stunden nach 

t1. Beim „späten Scannen“ 22 können zwischen t1 und t2 unter Umständen jedoch mehrere 

Monate vergehen. 

A.1.4.3 Scannen 

In dieser Phase (P2) wird durch Zusammenwirken der Scan-Software (A2) mit dem Scanner (S1) aus 

dem Original Papierdokument (D1) das Scanprodukt (D2) erzeugt und in einem geeigneten 

Zwischenspeicher („Scan-Cache“, (S3)) abgelegt. Beim so genannten „frühen Scannen“ liegt der 

Zeitpunkt t3 um Minuten bis Tage nach t1. Beim so genannten „späten Scannen“ vergehen zwischen 

t0 und t3 aber möglicherweise Wochen und Monate, weil Dokumente nun erst in der Sachbearbeitung 

verbleiben, bis alle Dokumente eines Vorganges komplett vorhanden sind oder die Sachbearbeitung 

abgeschlossen ist und dann gescannt werden können. 

A.1.4.4 Nachverarbeitung 

Die Phase der Nachverarbeitung umfasst unter Umständen die folgenden beiden Schritte: 

• P3.1 - Bildoptimierung und Indexierung 

In diesem Schritt kann bei Bedarf zum Zeitpunkt t4 durch die Scan-Software (A2) eine 

Nachbearbeitung des Scanproduktes zur Qualitätsverbesserung vorgenommen werden. Dies 

kann beispielsweise eine Bildoptimierung, Kontrastverbesserung, Leerseitenlöschung oder 

Maßnahmen für das „Entrauschen“ umfassen. Außerdem können nun oder später in 

Verbindung mit der Index-Software (A3), in automatisierter (z.B. mittels OCR) oder 

manueller Weise, entsprechende Index- und Metadaten (D3) bereitgestellt und ggf. in das 

Scanprodukt (D2) integriert werden. Soweit notwendig und sinnvoll können die Metadaten 

auch Informationen über den Ort der bis zur Vernichtung strukturiert abgelegten Originale 

enthalten. Für die Bildverbesserung liegt t4 im Bereich von Sekunden bis Minuten nach t3. 

Für die Indexierung kann der Zeitverzug größer sein; durch entsprechende Fehlersituationen 

(z.B. nicht zuordenbare Barcodes) kann sich der Zeitraum zwischen t3 und t4 auf mehrere 

Tage erstrecken. 

20 Beim Umkopieren erfolgt selbst eine Transformation, bei der die verschiedenen beim Scannen und der Nachbereitung 

aufgeführten Gefährdungen und Maßnahmen (siehe Abschnitte A.3.2, A.3.3, A.4.4 und A.4.3) zu berücksichtigen sind. 

21 Beim „frühen Scannen“ erfolgt das Scannen vor der Sachbearbeitung. 

22 Beim „späten Scannen“ erfolgt das Scannen nach der Sachbearbeitung. 



• P3.2 - Qualitätskontrolle, Protokollierung und Transfervermerk 

In diesem Schritt erfolgt typischerweise eine Qualitätskontrolle, die eine Nachjustierung der 

Scan-Parameter oder eine erneute Erfassung des Schriftguts nach sich ziehen kann. Außerdem 

können während des Scannens und der Nachbearbeitung bei Bedarf sicherheitsrelevante 

Ereignisse dokumentiert und entsprechende Protokolldaten (D6) erzeugt werden. Schließlich 

kann ein Transfervermerk (D4) erzeugt werden, welcher dokumentiert, wann (Zeitpunkt t3) 

und durch wen die Transformation des Papierdokumentes zum Scanprodukt stattgefunden hat. 

Der Zeitpunkt t5 kann im Bereich von Sekunden oder Minuten nach t4 liegen, aber durch die 

vorherigen Zeiträume können seit dem ursprünglichen Eingang des Originals bereits Stunden, 

Tage, Wochen oder sogar Monate vergangen sein. 

A.1.4.5 Integritätssicherung 

Sofern dies nicht bereits zu einem früheren Zeitpunkt (ab t3) geschehen ist, kann das Scanprodukt 

(D2) in dieser Phase (P4) – ggf. einschließlich der Index- und Metadaten (D3), dem Transfervermerk 

(D4) und den Protokolldaten (D6) – zum Zeitpunkt t6 mit einem geeigneten Integritätsschutz versehen 

werden. Hierfür können explizit Sicherungsdaten (D5) – z.B. elektronische Signaturen oder Zeitstempel 

– erzeugt werden oder die zu schützenden Daten können zur impliziten Integritätssicherung 

in einem entsprechenden Sicherungssystem (S5) abgelegt werden. Mit den auf kryptographischen 

Mechanismen basierenden Sicherungsdaten können Manipulationen in der Regel nicht verhindert, 

wohl aber erkannt werden („Prüfbarkeit“). 

A.1.4.6 Beweiswert-erhaltende Aufbewahrung 

In dieser Phase (P5) wird das Scanprodukt (D2) samt der weiteren damit zusammenhängenden Daten 

(D3-D6) zum Zeitpunkt t7 zur langfristigen Aufbewahrung an ein geeignetes Sicherungssystem (S5) 

übergeben. Abhängig von Implementierungsdetails (z.B. synchrone oder asynchrone Abläufe) und der 

Anzahl der verarbeiteten Dokumente können zwischen t6 und t7 Millisekunden bis Minuten vergehen. 

Neben dem Beweiswerterhalt können in einem solchen Ablagesystem auch Zugriffskontroll- 

Mechanismen realisiert werden („Schutz + Prüfbarkeit“). Wie in Abbildung 1 dargestellt, ist die Beweiswert-erhaltende 

Aufbewahrung aber nicht Gegenstand der vorliegenden Technischen Richtlinie, 

sondern in [BSI-TR03125] geregelt. 

A.1.4.7 Vernichtung des Originals 

Schließlich kann das Original (D1) nach der zuverlässigen Übergabe des Scanprodukts (D2) und der 

damit zusammenhängenden Daten (D3-D6) an das Beweiswert-erhaltende Aufbewahrungssystem und 

ggf. dem Ablauf einer bestimmten zusätzlichen Frist vernichtet werden, sofern die Voraussetzungen 

hierfür gegeben sind. 

A.1.5 Kommunikationsverbindungen 

In Abbildung 5 sind die verschiedenen Kommunikationsverbindungen am Beispiel des „typischen 

Scansystems“ aus Abbildung 3 dargestellt. 



S e r v e r 

S 5 

K 9 

K 4 

S c a n - C a c h e 

K 8 

S 3 

K 3 

S c a n - W o r k s t a t i o n ( s ) 

K 6 

C l i e n t 

I n d e x - S W 

K 2 

S c a n - S W 

S c a n n e r 

Abbildung 5: Wesentliche Kommunikationsverbindungen 

I S - I n f r a - 

s t r u k t u r 

52 Bundesamt für Sicherheit in der Informationstechnik 

S 2 

A 1 A 2 

I S - S W 

A 3 A 4 

K 5 

I S - H W 

S 4 

K 1 

S 1 

K 7 

S 6


ID Von Zu Beschreibung 

K1 S1 A2 Umfasst die Schnittstelle zwischen der Scansoftware (A2) und dem Scanner (S1), 

die beispielsweise gemäß [ISIS], [TWAIN] oder [SANE] ausgeprägt sein kann. 

Bei [TWAIN] stehen für die Datenübertragung vom Scanner (bzw. der 

zugehörigen „Data Source Software“) zur Scansoftware („Application“) drei 

Übertragungsmodi zur Verfügung 23 („Native“, „Disk File“, „Buffered Memory“, 

siehe [TWAIN], Seite 2-21 und 4-17ff.): 

• Bei „Native“ wird ein einzelner Speicherblock für die Übergabe der 

Bilddaten (bzw. bei MacOS eines Verweises auf diese) genutzt. 

• Bei der „Disk File“ Variante, die nicht zwingend unterstützt werden 

muss, erzeugt die Scansoftware eine Datei, deren Inhalt vom Scanner 

(z.B. 24 über die Kommunikationsverbindung K2) geschrieben wird. 

Sobald die Erfassung komplett erfolgt ist, signalisiert dies der Scanner der 

Scansoftware über eine MSG_XFERREADY-Nachricht, worauf hin diese 

die weitere Verarbeitung übernimmt. 

• Bei der „Buffered Memory“-Variante erfolgt die Datenübergabe über 

mehrere Speicherblöcke, die jeweils von der Scansoftware allokiert und 

vom Scanner beschrieben werden. 

Wichtig ist, dass in keiner der drei bei [TWAIN] vorgesehenen Varianten (ähnlich 

wie bei anderen Scanner-Schnittstellen wie [ISIS] und [SANE]) spezifische 

Sicherheitsmechanismen für den Schutz der Vertraulichkeit, Integrität und 

Authentizität der übertragenen Daten vorgesehen sind. 

K2 S1 S3 Über diese Kommunikationsverbindung wird, beispielsweise bei der „Disk File“ 

Variante der [TWAIN]-Schnittstelle, das Scanprodukt (D2) vom Scanner zum 

Scan-Cache übertragen. 

K3 A2 S3 Über diese Schnittstelle wird von der Scansoftware (A2) auf den Scan-Cache (S3) 

zugegriffen. Beispielsweise kann über diese Schnittstelle die Ablage des 

Scanproduktes (D2) erfolgen. 

K4 A3 S3 Über diese Kommunikationsverbindung werden beispielsweise die Index- und 

Metadaten (D3) übertragen, um sie im Scan-Cache abzulegen. 

K5 A4 S4 Über diese Schnittstelle kommuniziert die Integritätssicherungs-Software (A4) 

mit der Integritätssicherungs-Hardware (S4), um die Erstellung von 

Sicherungsdaten (D5) (z.B. elektronischen Signaturen) zu erwirken. 

K6 A4 S3 Über diese Kommunikationsverbindung kann die Integritätssicherungs-Software 

(A4) auf die zu schützenden Daten (Scanprodukt, Metadaten etc.) zugreifen und 

später die erstellten Sicherungsdaten (D5) wieder ablegen. 

K7 A4 S6 Durch diese Kommunikationsverbindung kann die Integritätssicherungs-Software 

(A4) mit einer möglicherweise vorhandenen Integritätssicherungsinfrastruktur 

(S6) kommunizieren und beispielsweise einen Zeitstempel anfordern. 

K8 A1 S3 Über diese Kommunikationsverbindung kann das Scanprodukt (D2) samt der 

Metadaten (D3) und den Sicherungsdaten (D5) aus dem Scan-Cache (S3) 

ausgelesen werden. 

23 Während die beiden Übertragungsmodi „Native“ und „Buffered Memory“ typischerweise bei lokal angeschlossenen 

Scannern verwendet werden, wird die „Disk File“ Variante oft bei Netzwerk-fähigen Scannern und 

Multifunktionsgeräten genutzt. 

24 Alternativ könnte die Übertragung in diesem Fall über die Kommunikationsverbindungen K1 und K3 erfolgen, wobei die 

Scan-Workstation S2 als Kommunikationsproxy fungiert. 



K9 A1 S5 Schließlich können die im Rahmen des Scanprozesses erzeugten Datenobjekte 

(Scanprodukt, Index- und Metadaten, Transfervermerk, Sicherungsdaten, 

Protokolldaten) über diese Schnittstelle in dem oder die Server (S5) abgelegt 

werden. 

Tabelle 18: Liste der Kommunikationsverbindungen 

A.1.6 Informationsfluss der Datenobjekte 

In der nachfolgenden Tabelle wurde die Präsenz der Datenobjekte (Dx) in den verschiedenen 

Systemen (Sy) und der mögliche Informationsfluss über die jeweiligen Kommunikationsverbindungen 

(Kz) zusammgetragen. 

Datenobjekt System Kommunikationsverbindung 

D1 S1 - 

D2 S1, S2, S3 K1 

K3 

K2 

K8 

K9 

D3 S2, S3 K4 

K9 

D4 S2 K9 

D5 S2, S3, S4 K5 

K6 

K7 

K9 

D6 S2 K9 

Tabelle 19: Informationsfluss der Datenobjekte 

A.2 Schutzbedarfsanalyse 

A.2.1 Überblick 

Die Schutzbedarfsanalyse umfasst folgende Schritte: 

1. Definition der Schutzbedarfskategorien und Sicherheitsziele (siehe Anlage A.2.2) 

2. Fachliche Schutzbedarfsanalyse (siehe Anlage A.2.3 und [BSI-TR03138-R]) 

3. Schutzbedarf der Datenobjekte (siehe Anlage A.2.4) 

4. Schutzbedarf der IT-Systeme und Anwendungen (siehe Anlage A.2.5) 

5. Schutzbedarf der Kommunikationsverbindungen (siehe Anlage A.2.6) 



A.2.2 Definition der Schutzbedarfskategorien und Sicherheitsziele 

In diesem ersten Schritt werden die Schutzbedarfskategorien sowie die wesentlichen Sicherheitsziele 

definiert. Angelehnt an [BSI-100-2] (Abschnitt 4.3.1), werden im vorliegenden Dokument die 

Schutzbedarfskategorien „normal“ und „hoch“ wie folgt definiert: 

Schutzbedarfskategorie Definition 

„normal“ Die Schadensauswirkungen sind in der Regel begrenzt und überschaubar. 

Ein solcher Schaden induziert im Regelfall keine nennenswerten 

Konsequenzen für die am Geschäftsvorfall beteiligten Personen und 

Institutionen. 

„hoch“ Die Schadensauswirkungen sind in der Regel beträchtlich. 

Ein solcher Schaden führt im Regelfall zu beträchtlichen Konsequenzen 

für die am Geschäftsvorfall beteiligten Personen und Institutionen. 

„sehr hoch“ Die Schadensauswirkungen können ein existenziell bedrohliches oder 

sogar katastrophales Ausmaß erreichen. 

Ein solcher Schaden kann zu existenziell bedrohlichen oder sogar 

katastrophalen Konsequenzen für die am Geschäftsvorfall beteiligten 

Personen und Institutionen führen. 

Tabelle 20: Definition der Schutzbedarfskategorien 

Da es von den konkreten Gegebenheiten eines Geschäftsvorfalles abhängt, welche Konsequenzen 

„nicht nennenswert“, „beträchtlich“, „existentiell bedrohlich“ oder „katastrophal“ sind, MUSS die 

fachliche Schutzbedarfsfeststellung (vgl. Abschnitt A.3.3) vor dem Hintergrund eines konkreten 

Anwendungsfalls überprüft und entsprechend angepasst werden. 

Die verschiedenen Sicherheitsziele („Integrität“, „Authentizität“, „Vollständigkeit“, 

„Nachvollziehbarkeit“, „Verfügbarkeit“, „Lesbarkeit“, „Verkehrsfähigkeit“, „Vertraulichkeit“ und 

„Löschbarkeit“) sind gestützt auf [BSI-Glossar], [RoJa08], [SCATE], [RoPf03] und [HüKo06], wie 

folgt definiert: 



GW 

25 

Integrität 

Verfügbarkeit 

Vertraulichkeit 

Sicherheitsziel Definition 

Integrität 

Authentizität 

Vollständigkeit 

Nachvollziehbarkeit 


Lesbarkeit 

Verkehrsfähigkeit 

Integrität bedeutet, dass die Daten oder Systeme nicht verändert 

wurden. Bei einem wirksamen Integritätsschutz werden zudem zumindest 

Veränderungen erkannt. 

Unter der Authentizität von Daten 26 versteht man, dass die Quelle der 

Daten eindeutig bestimmbar ist. 

Vollständigkeit bedeutet, dass der gegenseitige Bezug mehrerer 

aufgrund eines inneren Zusammenhangs zusammengehörigen 

Datenobjekte sichergestellt ist. 

Unter der Nachvollziehbarkeit eines Vorgangs versteht man, dass alle 

wesentlichen Schritte des Vorgangs von einer unabhängigen Stelle 

nachgezeichnet werden können. 

Die Verfügbarkeit von Daten, Diensten, IT-Systemen, IT- 

Anwendungen oder IT-Netzen ist vorhanden, wenn diese den Benutzern 

innerhalb akzeptabler Wartezeiten in der benötigten Form zur 

Verfügung stehen. 

Lesbarkeit bedeutet, dass die in den Daten enthaltenen Informationen 

erkannt werden können. 27 

Verkehrsfähigkeit bezeichnet die Möglichkeit, Dokumente und Akten 

von einem System zu einem anderen übertragen zu können, bei der die 

„Qualität“ des Dokuments sowie seine Integrität und Authentizität 

nachweisbar bleiben. 28 

Vertraulichkeit Vertraulichkeit ist die Verhinderung einer unbefugten Kenntnisnahme. 

Löschbarkeit 

Tabelle 21: Definition der Sicherheitsziele 

Unter Löschen von Daten ist das Unkenntlichmachen der gespeicherten 

Daten zu verstehen (§ 3 Abs. 4 Nr. 5 BDSG). Dies ist gegeben, wenn 

die Daten unwiderruflich so behandelt worden sind, dass eigene 

Informationen nicht aus gespeicherten Daten gewonnen werden können, 

wenn also der Rückgriff auf diese Daten nicht mehr möglich ist 

[ScWi10, § 3 Rn. 75], [Damann in Simi06, § 3 Rn. 180]. 

Abgesehen von der Nachvollziehbarkeit, die für Vorgänge definiert ist, beziehen sich alle anderen 

Sicherheitsziele insbesondere auf Datenobjekte und werden deshalb in der „fachlichen 

Schutzbedarfsanalyse“ für das Original (vgl. Anlage A.2.3 und [BSI-TR03138-R]) und der daraus 

abgeleiteten Schutzbedarfsanalyse für die weiteren Datenobjekte (Abschnitt A.2.4) betrachtet. Auf der 

anderen Seite sind für Systeme, Anwendungen und Kommunikationsbeziehungen im Einklang mit der 

IT-Grundschutz-Vorgehensweise des BSI [BSI-100-2] lediglich die Sicherheitsziele bzw. Grundwerte 

Integrität, Verfügbarkeit und Vertraulichkeit definiert. Deshalb werden ab Abschnitt A.2.5 lediglich 

diese Grundwerte der IT-Sicherheit herangezogen. 

25 Grundwert der IT-Sicherheit (siehe z.B. [BSI-Glossar] und [BSI-100-2]) 

26 Im Rahmen der vorliegenden Technischen Richtlinie werden insbesondere die in Tabelle 16 aufgeführten Datenobjekte 

betrachtet. Hierbei muss genau betrachtet werden, welches Datenobjekt von einer bestimmten Sicherheitsmaßnahme 

genau berührt wird. Beispielsweise könnte zwar die Integrität und Authentizität des Transfervermerks (D4) durch den 

Einsatz einer vom Scan-Operator erstellten qualifizierten elektronischen Signatur geschützt werden, aber die Integrität 

und Authentizität des papiergebundenen Originals (D0 oder D1) wäre von dieser Maßnahme völlig unberührt. 

27 Ein elektronisches Dokument ist nur dann lesbar, wenn die notwendige Hard- und Software die Daten verarbeiten, ihre 

Informationen interpretieren und dem menschlichen Betrachter in lesbarer Weise präsentieren kann. 

28 Es sei angemerkt, dass die Verkehrsfähigkeit von kryptographisch gesicherten Daten nur bei Verwendung von allgemein 

anerkannten (z.B. internationalen) Standards und interoperablen Systemen gewährleistet werden kann. 



A.2.3 Fachliche Schutzbedarfsanalyse 

Der Schutzbedarf der verschiedenen in Tabelle 1 aufgeführten Datenobjekte hängt maßgeblich vom 

Schutzbedarf des Originals (D0 bzw. D1) ab. Dieser fachliche Schutzbedarf kann naturgemäß nicht 

pauschal angegeben werden. Vielmehr MUSS dieser von jedem Anwender der TR vor dem 

ersetzenden Scannen anhand der konkret verarbeiteten Dokumente individuell bestimmt werden. 

Um diesen Prozess zu unterstützen, finden sich in [BSI-TR03138-R] einige beispielhafte fachliche 

Schutzbedarfsanalysen für ausgewählten Dokumenttypen, die zur Orientierung dienen können. 

A.2.4 Schutzbedarf der Datenobjekte 

Der Schutzbedarf der verschiedenen Datenobjekte leitet sich großteils aus dem Schutzbedarf des 

Originals ab, welcher im Rahmen der fachlichen Schutzbedarfsanalyse bestimmt werden MUSS (vgl. 

Anlage A.2.3 und [BSI-TR03138-R]). 

A.2.4.1 Schutzbedarf des Originals 

ID Datenobjekt 

D0 

und 

D1 

Sicherheitsziel Schutzbedarf Begründung 

Eingegangenes und scanrelevantes Original 

Integrität normal bis 

hoch 





Lesbarkeit 



Löschbarkeit 

Der Schutzbedarf des eingegangenen (D0) oder 

scanrelevanten Originals (D1) hinsichtlich der 

verschiedenen Schutzziele ist abhängig von der Art des 

Dokumentes. 

Dieser Schutzbedarf MUSS im Rahmen der fachlichen 

Schutzbedarfsanalyse bestimmt werden. Exemplarische 

Schutzbedarfsanalysen finden sich in Anlage [BSI- 

TR03138-R]. 

Tabelle 22: Schutzbedarfsanalyse des eingegangenen (D0) und scanrelevanten Originals (D1) 



A.2.4.2 Schutzbedarf des Scanproduktes 



D2 Scanprodukt 

Integrität wie D1 Mit dem Vernichten oder der Rückgabe29 des Originals 

wird der Schutzbedarf des Scanproduktes hinsichtlich 

der Integrität, Verfügbarkeit, Lesbarkeit und 


Verkehrsfähigkeit gleich dem Schutzbedarf des 

Originals und kann deshalb bis zu hoch sein. 

Lesbarkeit 


Authentizität mindestens so 

hoch wie D1 


Beim Scannen und Vernichten des Originals werden die 

Möglichkeiten die Authentizität des Originals durch 

Schriftsachverständige nachzuweisen teilweise 30 

beschnitten. 

Um diesen Verlust, soweit dies möglich ist, zu 

kompensieren, muss der Transformationsvorgang 

entsprechend nachvollziehbar gestaltet werden. 

Vollständigkeit wie D1 Der Schutzbedarf für die Vollständigkeit, 

Vertraulichkeit und Löschbarkeit des Scanproduktes ist 


gleich dem im Rahmen der fachlichen 

Schutzbedarfsanalyse (vgl. Anlage A.2.3 und [BSI- 

Löschbarkeit TR03138-R]) zu bestimmenden Schutzbedarf für das 

Original (D1). 

31 

Tabelle 23: Schutzbedarfsanalyse des Scanproduktes (D2) 

29 Bei Rückgabe des Originals bleibt das Original zwar erhalten und könnte zu Beweiszwecken herangezogen werden, 

wodurch der Schutzbedarf des Scanproduktes lediglich mit „normal“ eingestuft werden würde. Da das zurückgegebene 

Original aber der aktenführenden Stelle im Streitfall unter Umständen nicht mehr zur Verfügung steht, führt eine 

konservative Abschätzung zum Ergebnis, dass auch durch das Zurückgeben des Originals der Schutzbedarf des 

Scanproduktes gleich dem Schutzbedarf des Originals wird. 

30 Während die Auswertung des Schriftzugs einer Unterschrift unter Umständen auch anhand einer Kopie möglich ist, 

können die physikalischen Merkmale des papiergebundenen Originals oder der Tinte nach der Vernichtung des Originals 

nicht mehr analysiert werden. 

31 Der Vorgang des Löschens muss in geeigneter Weise protokolliert werden und statt dem Scanprodukt ist während der 

vorgesehenen Aufbewahrungsdauer das Löschprotokoll aufzubewahren. Der Schutzbedarf des hierbei entstehenden 

Löschprotokolles hat in der Regel den gleichen Schutzbedarf wie das Scanprodukt. 



A.2.4.3 Schutzbedarf der Index- und Metadaten 



D3 Index- und Metadaten 

Integrität normal bis 


hoch Der Schutzbedarf der Index- und Metadaten ist abhängig 

von Art und Umfang derselben und kann deshalb 


„normal“ oder „hoch“ sein. 

Sofern Metadaten nur als administrative Begleitobjekte 


dienen, haben diese nur einen normalen Schutzbedarf. 

Auf der anderen Seite ist für Index- und Metadaten ein 


hoher Schutzbedarf hinsichtlich der Integrität, 

Authentizität, Vollständigkeit, Nachvollziehbarkeit, 

Lesbarkeit 

Lesbarkeit und Verkehrsfähigkeit anzunehmen, wenn 

die Index- und Metadaten selbst Beweisgegenstand 




Eine Beeinträchtigung der Integrität, Vollständigkeit, 

Verfügbarkeit und Lesbarkeit der Index- und Metadaten 

Löschbarkeit 

kann sich auch negativ auf die faktische Verfügbarkeit 

der Nutzdaten auswirken. Außerdem könnten Indexund 

Metadaten für das Rechtemanagement genutzt 

werden. So kann eine Veränderung der Daten zu einer 

Veränderung des Personenkreises führen, der zum 

Zugriff berechtigt ist. Damit kann Unbefugten der 

Zugriff ermöglicht werden. 

Die Vertraulichkeit und Löschbarkeit der Index- und 

Metadaten hängt stark von Art und Umfang derselben 

ab. Enthalten die Index- und Metadaten alle per OCR 

aus dem Scanprodukt extrahierbaren Inhalte, so ist der 

Schutzbedarf hinsichtlich der Vertraulichkeit und 

Löschbarkeit gleich dem des Scanproduktes bzw. des 

Originals. 

Tabelle 24: Schutzbedarfsanalyse der Index- und Metadaten (D3) 



A.2.4.4 Schutzbedarf des Transfervermerkes 



D4 Transfervermerk 

Integrität max. (Authentizität 




von D2, 


von D2) 

Der Transfervermerk dient der ordnungsgemäßen 

und nachvollziehbaren Dokumentation des 

Transformationsvorgangs. 

Mit dem Vernichten oder der Rückgabe des 

Originals wird der Schutzbedarf des 

Transfervermerkes hinsichtlich der angegebenen 

Sicherheitsziele gleich dem Schutzbedarf des 

Scanproduktes (D2) hinsichtlich der Authentizität 

bzw. der Nachvollziehbarkeit. 

Verfügbarkeit wie D1 Mit dem Vernichten oder der Rückgabe des 

Originals wird der Schutzbedarf des 

Lesbarkeit 

Transfervermerks hinsichtlich der angegebenen 



Originals (D1). 

Löschbarkeit 

Vertraulichkeit normal bis hoch Der Transfervermerk enthält im Regelfall den 

Namen des Erstellers und damit personenbezogene 

Daten, die grundsätzlich schützenswert sind. 

Für einen einzelnen Transfervermerk ist der 

Schutzbedarf hinsichtlich der Vertraulichkeit im 

Regelfall nur normal. Liegen jedoch mehrere 

Transfervermerke vor, so besteht die Möglichkeit 

mit Hilfe der personenbezogenen Daten 

Nutzerprofile zu erstellen. Dieser 

Kumulationseffekt kann unter Umständen dazu 

führen, dass der Schutzbedarf hinsichtlich der 

Vertraulichkeit auf hoch steigt. 

Tabelle 25: Schutzbedarfsanalyse des Transfervermerkes (D4) 



A.2.4.5 Schutzbedarf der Sicherungsdaten 



D5 Sicherungsdaten 

Integrität höchstens wie 

geschützte 

Authentizität Datenobjekte 




Lesbarkeit 


Vertraulichkeit normal bis 

hoch 

Löschbarkeit höchstens wie 

D1 

Tabelle 26: Schutzbedarfsanalyse der Sicherungsdaten (D5) 

Der Schutzbedarf für die Sicherungsdaten hinsichtlich 

der angegebenen Sicherheitsziele ist höchstens so hoch 

wie der Schutzbedarf der davon geschützten 

Datenobjekte. Sie ist genau so hoch, wenn die 

Beeinträchtigung des Sicherheitszieles der 

Sicherungsdaten auch das Sicherheitsziel für das 

geschützte Datenobjekt beeinträchtigt. 

Sicherungsdaten, welche das Scanprodukt D2 schützen, 

haben also den entsprechenden Schutzbedarf des 

Scanproduktes D2 selbst. Wie oben erläutert, ist dieser 

Schutzbedarf nach dem Vernichten des Originals gleich 

dem Schutzbedarf des Originals D1 selbst. 

Sicherungsdaten können personenbezogene Daten (z.B. 

in einem Zertifikat) enthalten, die entsprechend zu 

schützen sind. 

Für ein einzelnes Sicherungsdatum ist der Schutzbedarf 

hinsichtlich der Vertraulichkeit im Regelfall nur normal. 

Liegen jedoch mehrere gleichartige Sicherungsdaten 

vor, so besteht die potenzielle Möglichkeit mit Hilfe der 

personenbezogenen Daten Nutzerprofile zu erstellen. 

Dieser Kumulationseffekt kann unter Umständen dazu 

führen, dass der Schutzbedarf hinsichtlich der 

Vertraulichkeit auf hoch steigt. 

Der Schutzbedarf hinsichtlich der Löschbarkeit für die 

Sicherungsdaten ist im Regelfall höchstens so hoch wie 

der Schutzbedarf des Originals (D1). 



A.2.4.6 Schutzbedarf der Protokolldaten 



D6 Protokolldaten 

Integrität max. (Authentizität 

von D2, 

Authentizität Nachvollziehbarkeit 

von D2) 




Lesbarkeit 


Mit dem Vernichten oder der Rückgabe des 

Originals wird der Schutzbedarf der 

Protokolldaten hinsichtlich der angegebenen 


Scanproduktes (D2) hinsichtlich der 

Authentizität bzw. der Nachvollziehbarkeit, da 

die Protokolldaten der ordnungsgemäßen 

Dokumentation des Transformationsvorganges 

dienen. 

Vertraulichkeit höchstens wie D1 Der Schutzbedarf hinsichtlich der 

Vertraulichkeit und der Löschbarkeit für die 

Löschbarkeit 

Protokolldaten muss je nach Art und Umfang 

bewertet werden und ist im Regelfall höchstens 

so hoch wie der Schutzbedarf des Originals 

(D1). 

Tabelle 27: Schutzbedarfsanalyse der Protokolldaten (D6) 

A.2.5 Schutzbedarf der IT-Systeme und Anwendungen 

ID IT-Systeme und Anwendungen 

Grundwert Schutzbedarf Begründung 

{S,A}x IT-System bzw. Anwendung 

Vertraulichkeit wie Dx Der Schutzbedarf eines IT-Systems oder einer darauf 

laufenden Anwendung hinsichtlich der Vertraulichkeit, 

Integrität 


Integrität oder Verfügbarkeit ist so hoch wie der 

Schutzbedarf der darin verarbeiteten Datenobjekte (Dx). 

Tabelle 28: Exemplarische Schutzbedarfsanalyse der IT-Systeme und Anwendungen 



A.2.6 Schutzbedarf der Kommunikationsverbindungen 

ID Kommunikationsverbindung 

Grundwert Schutzbedarf Begründung 

Kx Kommunikationsverbindung 

Vertraulichkeit wie Dx Der Schutzbedarf einer 

Kommunikationsverbindung hinsichtlich der 

Vertraulichkeit oder Integrität ist so hoch wie der 

Integrität 

Schutzbedarf der darüber übermittelten 

Datenobjekte (Dx). 

Verfügbarkeit max(SBVf(S),SBVf(E)) Der Schutzbedarf für die Verfügbarkeit einer 

Kommunikationsverbindung ist gegeben als das 

Maximum des Schutzbedarfs hinsichtlich der 

Verfügbarkeit des Start- (S) und Endpunktes (E) 

der Kommunikationsverbindung. 

Tabelle 29: Schutzbedarfsanalyse der Kommunikationsverbindungen 



A.3 Bedrohungsanalyse 

Im Rahmen der Bedrohungsanalyse werden die verschiedenen Bedrohungen und potenziellen 

Schwachstellen für die Abläufe im „generischen Scanprozess“ (siehe Abbildung 1) erfasst. 

Im Folgenden werden benutzerdefinierte Gefährdungen und Maßnahmen mit BG.x bzw. BM.x und im 

Grundschutzhandbuch spezifizierte Gefährdungen und Maßnahmen mit G.x bzw. M.x bezeichnet. 

A.3.1 Gefährdungen in der Dokumentenvorbereitung 

ID Gefährdung 

Bedrohte 

Objekte 

Beschreibung 

BG 1.1 Manipulation oder Fälschung des Originals 

D1 Das Original könnte (z. B. mit Tipp-Ex) vor der Erfassung 32 manipuliert worden 

sein oder das Original könnte komplett gefälscht worden sein. 

BG 1.2 Austausch des Originals 

D1 Das Original könnte versehentlich oder absichtlich vor der Erfassung gegen ein 

anderes Dokument ausgetauscht worden sein. Diese Bedrohung existiert auch vor 

dem Eingang des Dokuments zum Zeitpunkt P0 oder während des Scannens. 

BG 1.3 Manipulation am Umfang des Originals 

D1 Dem Original könnten versehentlich oder absichtlich vor der Erfassung Seiten 

hinzugefügt oder entfernt worden sein. Diese Bedrohung existiert auch während 

des Scannens (vgl. BG2.1). 

BG 1.4 Versehentlich umgedrehte Blätter in Scan-Stapel 

D1 Es könnten sich versehentlich oder absichtlich umgedrehte Blätter im Scan- 

Stapel befinden. Hierdurch würde, sofern nur einseitig gescannt wird, das 

Original nur unvollständig erfasst werden. 

BG 1.5 Unautorisiertes Vernichten oder unautorisierte Rückgabe des Originals 

D1 Das Original könnte versehentlich oder absichtlich zu früh - insbesondere vor 

Abschluss der Qualitätssicherung des Scanprodukts - vernichtet oder 

zurückgegeben worden sein. 

BG 1.6 Unautorisierte Einsicht in vertrauliche Unterlagen 

D1 Eine Person könnte bei der Dokumentenvorbereitung unautorisierte Einsicht in 

vertrauliche Unterlagen erhalten. Diese Bedrohung existiert auch während des 

Scannens. 

BG 1.7 Vertauschte Reihenfolge der Seiten des Originals 

D1 Während der Dokumentenvorbereitung könnte die Reihenfolge der Seiten des 

Originals vertauscht werden (z. B. beim Zusammenstellen nach Herunterfallen). 

BG 1.8 Unsachgemäße Veränderung des Formates des Originals 

32 Diese Manipulation oder Fälschung könnte auch vor dem Eingang des Dokuments, z.B. durch den Absender, 

vorgenommen worden sein. 




Bedrohte 

Objekte 

Beschreibung 

D1 Durch Zerschneiden eines überformatigen Originaldokumentes könnten die 

Inhalte nicht mehr im Zusammenhang lesbar sein oder die Zuordnung zu einem 

Vorgang könnte dadurch nicht mehr zweifelsfrei gewährleistet werden. 

Tabelle 30: Gefährdungen in der Dokumentenvorbereitung 

A.3.2 Gefährdungen beim Scannen 


Bedrohte 

Objekte 

Beschreibung 

BG 2.1 Unvollständige Erfassung des Original Papierdokumentes 

D1, S1 Der Scanner (S1) könnte beim Einzug eines mehrseitigen Originals (D1) 

mehrere Seiten gleichzeitig eingezogen haben. Somit würde das Original nur 

unvollständig erfasst werden. 

D1, S1 Beim Einzug könnten Seiten des Originals z. B. durch Heftklammern beim 

Einzug beschädigt (geknickt, angerissen,…) werden. Somit würde das Original 

nur unvollständig erfasst werden. 

D1, S1 Explizit beschriebene Rückseiten könnten versehentlich oder absichtlich nicht 

erfasst werden. 

D1, S1 Endlospapier könnte nicht oder nicht geeignet vorbereitet worden sein. 

BG 2.2 Manipulation des Scanners 

D2, S1 Der Scanner (S1) könnte (z. B. mit einer veränderten Firmware) manipuliert 

worden sein. Integrität, Vertraulichkeit oder Verfügbarkeit des Scanproduktes 

(D2) könnte beeinträchtigt sein. 

BG 2.3 Manipulation der Scan-Workstation (S2) 

D1, D2, 

S2 

Die Scan-Workstation (S2) könnte manipuliert worden sein. Diese 

Manipulation könnte auf folgenden Wegen geschehen sein: 

- Angriffe über das Netzwerk, 

- Einspielen von Malware (z. B. nicht authentische Scan-Software oder 

Integritätssicherungs-Software) oder 

- lokaler Zugriff 

BG 2.4 Manipulation des Scanproduktes 

D2, K2 Verändern von D2 bei der Datenübertragung vom Scanner (S1) zum Scan- 

Cache (S3) 

D2, K1 Verändern von D2 bei der Datenübertragung vom Scanner (S1) zur Scan- 

Software (A2) 




Bedrohte 

Objekte 

Beschreibung 

D2, K3 Verändern von D2 bei der Datenübertragung von der Scan-SW (A2) zum Scan- 

Cache (S3) 

D2, S3 Verändern von D2 im Scan-Cache (S3) 

BG 2.5 Unautorisierte Einsicht in vertrauliche Unterlagen 

D1 Unautorisierte Personen könnten Einsicht in das Original (D1) oder das 

Scanprodukt (D2) erhalten, wenn dieses nach einem Scanvorgang im Scanner 

vergessen wurde bzw. nicht adäquat geschützt wird. Dieser Aspekt ist 

insbesondere bei Dokumenten relevant, die personenbezogene Daten enthalten 

oder dem Geheimnisschutz unterliegen. 

D2 Personen mit Zugriff auf die Scan-Systeme könnten unautorisiert Einsicht in 

vertrauliche Scanprodukte (D2) erhalten. 

BG 2.6 Mangelnde oder ungeeignete Scan-Qualität 

D2 Durch mangelnde oder ungeeignete Scan-Qualität wie z. B. 

- Fehlfunktion der Scanneroptik, 

- fehlerhafte Konfiguration der Scanner-Optik, 

- zu gering gewählte Auflösung, 

- schwarz-weiß Scannen von farbigen Dokumente, sofern der Farbinformation 

eine Bedeutung zukommt, oder 

- Verschmutzung des Scanners 

- Scannen von Durchlichtdokumenten (z.B. Röntgenbilder) mit ungeeigneter 

Hardware 

könnte die Vollständigkeit und Lesbarkeit eines Scanproduktes nur teilweise 

oder gar nicht gegeben sein. 

BG 2.7 Abhören von Scanprodukten durch Belauschen einer Kommunikationsverbindung 

D2, K1 Abhören der Datenübertragung von D2 vom Scanner (S1) zur Scan-Software 

(A2) 

D2, K2 Abhören der Datenübertragung von D2 vom Scanner (S1) zum Scan-Cache 

(S3) 

D2, K3 Abhören der Datenübertragung von D2 von der Scan-SW (A2) zum Scan- 

Cache (S3) 

BG 2.8 Einspielen von Scanprodukten 

D2, S3 Einspielen eines nicht authentischen D2 in den Scan-Cache (S3) 

BG 2.9 Vortäuschen einer Identität 

S3, K3 Vortäuschen eines authentischen Scan-Cache (S3) über K3 

S1, K1 Vortäuschen eines authentischen Scanners (S1) über K1 

BG 2.10 Auslesen eines zur Entsorgung bestimmten Betriebsmittels 

S1, S2, 

S3, D2 

Durch Auslesen eines zur Entsorgung bestimmten Betriebsmittels (z. B. 

Festplatte) von S1, S2 oder S3 könnte die Vertraulichkeit von D2 nicht mehr 




Bedrohte 

Objekte 

Beschreibung 

gegeben sein. 

Tabelle 31: Gefährdungen beim Scannen 

A.3.3 Gefährdungen bei der Nachverarbeitung 


Bedrohte 

Objekte 

Beschreibung 

BG 3.1 Zuordnung falscher Index- und Metadaten 

D2 Dem Scanprodukt (D2) könnten falsche Index- und Metadaten zugeordnet 

worden sein. Somit würde das Auffinden des nachbearbeiteten Scanproduktes 

deutlich erschwert oder gar unmöglich werden. 

BG 3.2 Manipulation von Index- und Metadaten 

D3, D2, 

K4 

D3, D2, 

S3 

Verändern von D3 bei der Datenübertragung von der Index-SW (A3) zum Scan- 

Cache (S3). Hierdurch könnte das Auffinden des Scanproduktes (D2) deutlich 

erschwert oder gar unmöglich werden. 

Verändern (Hinzufügen, Ändern oder Entfernen) von D3 auf dem Scan-Cache 

(S3). Hierdurch könnte das Auffinden des Scanproduktes (D) deutlich erschwert 

oder gar unmöglich werden. 

BG 3.3 Unautorisiertes Löschen der Index- und Metadaten 

D2, K9 Durch das unautorisierte Löschen der Index- und Metadaten bei der Übertragung 

zum Server (S5) könnte das Auffinden des Scanproduktes deutlich erschwert 

oder gar unmöglich werden. 

BG 3.4 Fehlende Indizierung 

D2 Durch die fehlende Indizierung könnte das Auffinden des Scanproduktes deutlich 

erschwert oder gar unmöglich werden. 

BG 3.5 Unautorisierte Einsicht in vertrauliche Index- und Metadaten 

D3 Die mit dem Scan-Vorgang beauftragte Person könnte unautorisierte Einsicht in 

vertrauliche Index- und Metadaten erhalten. 

BG 3.6 Abhören von Index- und Metadaten 

D3, K4 Abhören der Datenübertragung von D3 von der Index-SW (A3) zum Scan-Cache 

(S3). 




Bedrohte 

Objekte 

Beschreibung 

BG 3.7 Einspielen von Index- und Metadaten 

D3, S3 Einspielen eines nicht authentischen D3 in den Scan-Cache (S3). 

BG 3.8 Ungeeignete Nachbearbeitung 

D2 Verlust der Lesbarkeit des Scanproduktes oder Verlust relevanter Informationen 

aus dem rohen Scanprodukt durch ungeeignete Nachbearbeitung, z.B. durch zu 

starke Rausch-Filter, Farbreduktion, zu starke Bildkompression, Reduktion von 

Layern bei Multi-Layer-Bildformaten, zu starkes Beschneiden. 

BG 3.9 Technisches Versagen der Speicherung 

D2, D3 Verlust des Scanproduktes oder der Metadaten durch Fehler beim Abspeichern 

oder technisches Versagen des Speichermediums (z. B. Softwarefehler oder 

Hardware-Defekt). 

BG 3.10 Manipulation oder Löschung der Transfervermerke oder Protokolldaten 

D4, D6 Die erzeugten Transfervermerke oder Protokolldaten könnten versehentlich oder 

absichtlich manipuliert oder gelöscht werden. 

Tabelle 32: Gefährdungen bei der Nachverarbeitung 

A.3.4 Gefährdungen bei der Integritätssicherung 


Bedrohte 

Objekte 

Beschreibung 

BG 4.1 Verwendung ungeeigneter Sicherungsmittel 

D2 Das Scanprodukt (D2) könnte mit schwachen 33 elektronischen Signaturen 

und/oder Zeitstempeln versehen werden oder durch leicht überwindbare 

Sicherungssysteme geschützt werden. Hierdurch kann die Integrität der 

verarbeiteten und aufbewahrten Datenobjekte nicht gewährleistet werden, was 

wiederum zu Problemen bei der Beweisführung führen kann. 

BG 4.2 Eingesetzte Algorithmen verlieren Sicherheitseignung 

D2, D5 Die zur Sicherung des Scanproduktes verwendeten kryptographischen 

Algorithmen könnten mit der Zeit ihre Sicherheitseignung verlieren, so dass 

die Integrität der durch die Sicherungsdaten D5 gesicherten Objekte (D2) nicht 

mehr gewährleistet werden kann. 

BG 4.3 Unautorisiertes Löschen der Sicherungsdaten 

D2, D5, 

K9 

Die Sicherungsdaten (D5) könnten z.B. bei der Übertragung zum Server (S5) 

durch unautorisierte Personen gelöscht worden sein. Hierdurch würden 

sämtliche Dokumente (D4) ihre Integrität verlieren. 

33 Eine elektronische Signatur ist „schwach“, wenn sie mit ungeeigneten kryptographischen Algorithmen, unzureichend 

geschützten und deshalb möglicherweise kompromittierten Schlüsseln oder unter Verwendung ungeeigneter 

Infrastrukturdienste (IS) (z.B. unzureichend zuverlässige Zeitstempel, unzureichende Identifizierung beim 

Zertifizierungsdienst, unzureichende Archivierung oder unzureichenden Prozesse) erstellt wurde. 




Bedrohte 

Objekte 

Beschreibung 

BG 4.4 Kompromittierung kryptographischer Schlüssel 

D2, D5 Die zur Sicherung verwendeten kryptographischen Schlüssel in (D5) könnten 

kompromittiert worden sein. Hierdurch könnte die Integrität der Scanprodukt 

(D2) nicht mehr gewährleistet werden. 

BG 4.5 Infrastrukturdienste nicht verfügbar 

D2, D5, 

K7 

Die Infrastrukturdienste (S6) könnten zeitweise nicht verfügbar sein. Während 

dieser Zeit wäre es ggf. nicht möglich die Integrität von bereits erfassten 

Dokumenten zu prüfen bzw. – z.B. sofern der Infrastrukturdienst Signaturen 

oder Zeitstempel erzeugt – zu schützen. 

BG 4.6 Vortäuschen eines Infrastrukturdienstes 

D2, K7 Das Vortäuschen eines authentischen Infrastrukturdienstes (S6) könnte dazu 

führen, das die Integrität oder Authentizität von Scanprodukten nicht 

gewährleistet ist. 

BG 4.7 Erzeugen nicht authentischer Sicherungsdaten 

D2, D3, 

K5 

Manipulation von D2 und D3 durch die Integritätssicherungs-Hardware (IS- 

HW) oder Integritätssicherungs-Software (IS-SW). Damit wäre die Integrität 

der so geschützten Objekte (D3, D2) nicht gewährleistet. 

BG 4.8 Abhören von nachbearbeiteten Scanprodukten 

D2, K6, 

S3 

Abhören von D2 beim Transfer aus dem Scan-Cache (S3) zur 

Integritätssicherungs-Software (IS-SW). 

BG 4.9 Manipulation von nachbearbeiteten Scanprodukten 

D2, K6, 

S3 

Manipulation von D2 beim Transfer aus dem Scan-Cache (S3) zur 

Integritätssicherungs-Software (IS-SW). 

BG 4.10 Unautorisierte Nutzung von Systemen 

S2, S4 Durch unautorisierte Nutzung der Integritätssicherungs-Hardware oder der 

Integritätssicherungs-Software könnten unautorisierte Sicherungsdaten erzeugt 

werden. 

BG 4.11 Technisches Versagen der Speicherung 

D2, D5 Verlust des Scanproduktes oder der Sicherungsdaten durch technisches 

Versagen beim Abspeichern oder auf Grund eines technischen Problems des 

Speichermediums (z. B. Softwarefehler oder Hardware-Defekt). 

Tabelle 33: Gefährdungen bei der Integritätssicherung 

A.4 Sicherheitsmaßnahmen 

Im Folgenden werden Maßnahmen beschrieben, welche den o. g. Gefährdungen direkt entgegen 

wirken sollen (vgl. [KSD+08], [BuKa08]). Neben den Maßnahmen des IT-Grundschutzes (M) sind 

auch benutzerdefinierte Maßnahmen (BM) angegeben. Zusätzlich zu den nachfolgend genannten 

Maßnahmen sind die Maßnahmen aus den Bausteinen des IT-Grundschutzkataloges, die im Rahmen 



der Modellierung des Informationsverbundes den einzelnen Objekten zugeordnet wurden, zu 

berücksichtigen. 

Welche Maßnahmen zum Schutz der Daten ergriffen werden müssen, hängt auch davon ab, ob die 

Daten (nur) im eigenen Interesse aufbewahrt werden oder ob dies auch im Interesse der Betroffenen 

oder Dritter erfolgt. 

A.4.1 Allgemeine Sicherheitsmaßnahmen 

Allgemein sind die folgenden Bausteine speziell im Hinblick auf den Scanprozess und die dabei 

eingesetzten Systeme zu berücksichtigen: 

• Sofern der Scanvorgang teilweise oder vollständig durch externe Dienstleister durchgeführt 

wird, der Baustein B1.11 (Outsourcing). 

• Beim Scannen von Dokumenten mit personenbezogenen Daten der Baustein 1.5 

(Datenschutz) 

• Für die Aufbewahrung der Dokumente der Baustein B1.12 (Archivierung). 

• Zur Absicherung des Scanners S1 der Baustein B 3.406 Drucker, Kopierer und 

Multifunktionsgeräte. Dieser Baustein umfasst explizit auch Dokumentenscanner. 

• Zur Absicherung der Scan-Workstation und des Scan-Cache die anwendbaren Bausteine der 

Ebenen 3 (IT-Systeme). 

• Zur Absicherung des Netzwerkes und des Netzzuganges der Systeme die Bausteine der 

Schicht 4. 

• Dort, wo entsprechende Anwendungen, wie z. B. E-Mail oder Datenbanken für den 

Scanvorgang, eingesetzt werden, sind die entsprechenden Bausteine der Schicht 5 

anzuwenden. 

Die Nummerierung der Maßnahmen M x.y bezieht sich auf den Maßnahmenkatalog des IT- 

Grundschutz-Handbuchs. Dieser Maßnahmenkatalog wird im Rahmen dieser TR bedarfsgerecht um 

spezifische Maßnahmen BM x.y für das ersetzende Scannen ergänzt. 

M 2.1 – Festlegung von Verantwortlichkeiten und Regelungen 

Da der Scanvorgang immer auch manuelle Bedienhandlungen umfasst, bei denen die Gefahr von 

Fehlern oder unberechtigten Handlungen besteht, müssen für den Scanvorgang klare Regelungen 

definiert werden um die Risiken zu minimieren. Eine vollständige Eliminierung dieser Risiken ist 

jedoch in der Praxis nicht zu erreichen. Diese Maßnahmen sollten die folgenden Aspekte festlegen: 

• Verantwortlichkeiten und Aufgaben beim Scanvorgang (siehe auch M 2.5). Diese sollten über 

ein Rollenkonzept festgelegt werden. 

• Festlegung des Scanprozesses. Hier ist festzulegen, welche Schritte durch wen ausgeführt 

werden müssen, wie dabei vorzugehen ist, welche Daten dabei erzeugt werden und welche 

Qualitätskontrollen durchzuführen sind (siehe BM 2.7, Qualitätssicherung der Scanprodukte). 

Dabei sind insbesondere typische Fehlerquellen zu berücksichtigen und entsprechende 

Vorsichtsmaßnahmen festzulegen (siehe BM 2.1). Außerdem sollte festgelegt werden, unter 

welchen Umständen das Originaldokument vernichtet werden darf. Hierbei sollte auch ein 

Verfahren zur Klärung von „Zweifelsfragen“ etabliert werden. Um eine hohe Sicherheit zu 

erreichen, kann durch Aufgabenteilung ein 4-Augenprinzip durchgesetzt werden (siehe M 

2.5). 

• Festlegung der einzusetzenden IT-Systeme, Anwendungen und Sicherungsmittel. 

• Anforderungen an die Mitarbeiter. Hier ist darauf zu achten, dass die mit dem Scanvorgang 

betrauten Mitarbeiter zur Handhabung der zu scannenden Dokumente und der zu verwendeten 

IT-Systeme berechtigt sind sowie die erforderliche Qualifikation, Erfahrung und 

Zuverlässigkeit besitzen (siehe M 3.33). Bei der Verarbeitung personenbezogener Dokumente 

müssen alle an der Verarbeitung beteiligten Personen zur Einhaltung der anzuwenden 



Datenschutzgesetze verpflichtet werden (siehe M 3.2). Dies betrifft besonders die Mitarbeiter 

externer Dienstleister. 

• Qualifikation und Sensibilisierung der Mitarbeiter. Die mit dem Scanvorgang betrauten 

Mitarbeiter müssen hinsichtlich des Vorganges und der einzuhaltenden Regeln des 

Scanprozesses qualifiziert und sensibilisiert werden. Zu vermitteln sind sowohl das allgemeine 

Vorgehen, die vertrauenswürdige Handhabung der Dokumente und Daten, die Bedienung der 

einzelnen Systeme, das Verhalten bei Problemen und Fehlern, die Durchführung von 

Nachkontrollen sowie die für den Scanprozess nötige Sorgfalt (siehe M 2.198, M 3.4, M 3.5, 

M 3.11, M 3.26). 

• Regelungen für die Administration und Wartung der IT-Systeme (siehe M 2.4 und M 2.225). 

• Sicherheitsanforderungen an die IT-Systeme, Netze und Anwendungen. 

• Um einen besonders hohen Schutz der Vertraulichkeit zu erreichen, kann zusätzlich eine 

Verpflichtung und ggf. Sicherheitsüberprüfung der Mitarbeiter (siehe M 3.2 und M 3.33) 

vorgenommen werden. 

M 2.4 – Regelungen für Wartungs- und Reparaturarbeiten 

Es sollten klare Regelungen für Wartungs- und Reparaturarbeiten existieren. Dies betrifft in 

besonderem Maße die für den Scanvorgang eingesetzten IT-Systeme und Anwendungen. 

M 2.5 – Aufgabenverteilung und Funktionstrennung 

Um einen hohen Schutz in den Prozessen zu gewährleisten (z.B. beim Scannen besonders 

schutzbedürftiger Dokumente) kann es sinnvoll sein, die Verantwortung auf mehrere Mitarbeiter 

aufzuteilen. Insbesondere bei Nachkontrollen ist es sinnvoll, diese durch andere Mitarbeiter 

durchführen zu lassen, als die überprüften Arbeitsschritte. Weiterhin kann eine Aufgabenteilung 

sinnvoll sein, um Angriffe wie z.B. absichtliche Manipulationen durch Mitarbeiter zu verhindern. Dies 

betrifft insbesondere den Zugriff auf die Komponenten, mit denen die Sicherungsdaten erstellt werden, 

z.B. die Signaturerstellungseinheiten. Im Zuge dieser Maßnahme sind vielfältige organisatorische 

Aspekte zu berücksichtigen, die im Zuge einer individuellen Arbeitsanweisung für das ersetzende 

Scannen berücksichtigt werden müssen. 

M 2.11 – Regelungen für den Passwortgebrauch 

Es wird empfohlen, eine Regelung zum Passwortgebrauch einzuführen und die IT-Benutzer 

diesbezüglich zu unterweisen. Die Passwortrichtlinie soll die in M 2.11 von [BSI-GSK] aufgeführten 

Empfehlungen berücksichtigen. 

M 2.198 – Sensibilisierung der Mitarbeiter für Informationssicherheit 

Besonders beim Scannen hoch schutzbedürftiger Dokumente und der anschließenden Verarbeitung des 

Scanproduktes bestehen beträchtliche Risiken durch mangelnde Sorgfalt, unbedachte Handlungen und 

unangemessenem Umgang mit Dokumenten, Daten und IT-Systemen. Aus diesem Grund müssen die 

Mitarbeiter bzgl. der Sicherheitsmaßnahmen und der sicherheitsbewussten Handhabung von 

Dokumenten, Daten und IT-Systemen und der zu ergreifenden Vorsichtsmaßnahmen sensibilisiert 

werden (vgl. auch BM 2.1). Diese Sensibilisierung ist insbesondere dann nötig, wenn Dokumente mit 

personenbezogenen Daten oder Verschlusssachen verarbeitet werden. 

M 2.199 – Aufrechterhaltung der Informationssicherheit 

In angemessenen zeitlichen Abständen ist die Einhaltung der getroffenen und festgelegten 

Sicherheitsmaßnahmen durch eine Stelle, welche der Institution, die das ersetzende Scannen 

durchführt, organisatorisch nicht angehört, unangekündigt zu kontrollieren. 

M 2.225 – Zuweisung der Verantwortung für Informationen, Anwendungen und IT- 

Komponenten 



Für die zu scannenden Dokumente und die Scanprodukte sollten Mitarbeiter benannt werden, die für 

deren Sicherheit verantwortlich sind. Außerdem sollten Verantwortliche für die im Scanprozess 

genutzten IT-Systeme und Komponenten (z.B. Signaturerstellungseinheiten) benannt werden. 

M 3.2 – Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger Gesetze, Vorschriften und 

Regelungen 

Dies betrifft die Einhaltung der Verantwortlichkeiten und Regelungen zum Scanprozess (siehe M 2.1) 

und den vertrauenswürdigen und verantwortungsbewussten Umgang mit sensiblen Dokumenten und 

Daten. Insbesondere sind die für die Durchführung des Scanvorganges relevanten gesetzlichen 

Regelungen zu identifizieren (vgl. Abschnitt A.2.3) und den Mitarbeitern zur Kenntnis zu bringen 

(siehe M 2.11, M 2.198, M 3.4, M 3.5, M 3.11, M 3.26, M 3.35). Sofern personenbezogene Daten 

verarbeitet werden, sind die entsprechenden Datenschutzregelungen zu beachten. 

M 3.4 – Schulung vor Programmnutzung bzw. Prozessdurchführung 

Die Mitarbeiter, die den Scanvorgang durchführen, müssen in geeigneter Weise hinsichtlich der 

eingesetzten Geräte, Anwendungen und sonstigen Abläufe eingewiesen werden. 

M 3.5 – Schulung zu Sicherheitsmaßnahmen 

Die Mitarbeiter, die den Scanvorgang durchführen oder verantworten, müssen in geeigneter Weise 

hinsichtlich der dabei umzusetzenden sowie der implementierten Sicherheitsmaßnahmen geschult 

werden. 

M 3.11 – Schulung des Wartungs- und Administrationspersonals. 

Dies betrifft alle für den Scanvorgang eingesetzten IT-Systeme und Anwendungen. 

M 3.26 – Einweisung des Personals in den sicheren Umgang mit IT 

Dies betrifft alle im Scanprozess eingesetzten IT-Systeme und Anwendungen (siehe auch M 3.35). 

M 3.33 – Sicherheitsüberprüfung von Mitarbeitern 

Sofern besonders sensible Dokumente gescannt werden müssen, z.B. Dokumente, deren 

Vertraulichkeit eingestuft ist, oder Dokumente deren Manipulation oder Verlust zu erheblichem 

Schaden führen könnte, sollten die Mitarbeiter, die für den Scanprozess verantwortlich sind und den 

Prozess durchführen, hinsichtlich ihrer Zuverlässigkeit und Vertrauenswürdigkeit überprüft werden. 

Der Umgang mit Dokumenten, die nach VSA eingestuft sind, erfordert außerdem eine entsprechende 

Ermächtigung. 

M 3.35 – Einweisung der Benutzer in die Bedienung des Archivsystems 

Diese Maßnahme sollte sinngemäß auch auf die für den Scanvorgang eingesetzten IT-Systeme und 

Anwendungen angewendet werden. Insbesondere sind die Mitarbeiter in die sichere Nutzung der 

Scan-Hardware und -Software sowie ggf. der Komponenten zur Erstellung der Sicherungsdaten (z.B. 

von Signaturanwendungskomponenten, Signaturerstellungseinheiten und/oder Zeitstempeldiensten) zu 

unterweisen. 

A.4.2 Sicherheitsmaßnahmen bei der Dokumentenvorbereitung 

BM 2.1 – Sorgfältige Vorbereitung der Papierdokumente 

Eine der größten Fehlerquellen beim Scannen sind Mängel bei der Vorbereitung der Papierdokumente. 

Diesen kann durch eine angemessene Sorgfalt vorgebeugt werden. Beispiele hierfür sind: 



• Der logische Kontext der Dokumente wie Kuvert-Zusammenhang, Dokumentenstruktur- und 

Vollständigkeit etc. muss bewahrt bleiben. Ein Anschreiben, welches eindeutigen Bezug zu 

einem Dokument (z.B. einem Antrag) hat, besitzt unter Umständen eine höhere Aussagekraft, 

wenn der Nachweis erbracht werden kann, dass beide Dokumente als ein Vorgang (ein 

Kuvert) erfasst wurden. Ist dies bei der späteren Recherche nicht mehr möglich, weil der 

Briefzusammenhang ohne entsprechende Dokumentation aufgelöst wurde (es gibt dann nur 

noch zwei Dokumente mit gleichem Eingangsdatum, aber die Tatsache, dass sie im gleichen 

Kuvert ankamen, ist nicht mehr ersichtlich) fehlt unter Umständen ein wesentliches Element 

der Beweisbarkeit. Daher sollten Maßnahmen ergriffen werden, die später die Vollständigkeit 

der eingescannten Dokumente bzw. Akten erkennen lassen, wie z.B. Vorblätter zur Trennung 

und Indizierung der Dokumente und Kuverts. 34 

• Bei mehrseitigen Dokumenten ist auf eine einheitliche Orientierung und die korrekte 

Reihenfolge der Seiten sowie die korrekte Trennung und Indizierung der Dokumente zu 

achten. Falls Seiten verdreht sind, können z.B. bei einem einseitigem Scanvorgang ganze 

Seiten fehlen. Falls die Trennung der Dokumente fehlerhaft erfolgt, können eingescannte 

Dokumente unvollständig sein oder wegen falscher Meta- und Indexinformationen nicht mehr 

aufgefunden werden. Sofern Vorblätter zur Trennung und Indizierung der Dokumente, z.B. 

mit Patch- oder Barcodes, verwendet werden, müssen diese sehr sorgfältig den Dokumenten 

zugeordnet und eingefügt werden. 

• Knicke, Heftklammern, Büroklammern, Klebezettel können zu einem fehlerhaften 

automatischen Einzug der einzelnen Seiten führen, und dadurch das Auslassen einzelner 

Seiten oder sogar deren Zerstörung bewirken. Vor dem Einlegen in den Scan-Einzug müssen 

daher die Papierdokumente auf solche Merkmale überprüft werden. Sofern möglich, sollten 

diese Hindernisse entfernt oder gemildert (z.B. Glättung der Falten oder geeignete 

Befestigung von Klebezetteln) werden. In Fällen, wo dies nicht möglich ist (z.B. beschädigte 

Seiten, gebundene Dokumente) sowie bei Papiersorten, die nicht für den automatischen 

Einzug geeignet sind, müssen die Dokumente manuell aufgelegt werden. 

• Manche Dokumente müssen „passend" aufbereitet werden, weil ihre Physis (Dicke, 

Bindung/Heftung) kein unverändertes Erfassen erlaubt. Es muss auch dafür Sorge getragen 

werden, dass für die physikalischen Bedingungen ausgelegte Scan-Komponenten verwendet 

werden (Großformatscanner, Buchscanner, etc.). 

• Die Papierdokumente sind vor Verschmutzung zu schützen. 

• Doppelseitige Dokumente müssen beim Scannen als solche klar erkennbar sein, damit die 

korrekten Scan-Einstellungen vorgenommen werden können. Insbesondere, wenn die ersten 

und letzten Seiten nur einseitig, die dazwischen liegenden Seiten aber doppelseitig bedruckt 

sind, besteht die Gefahr von Fehlern. 

• Sofern Passagen im Dokument spezielle Scan-Einstellungen erfordern (z.B. Kleingedrucktes, 

farbige oder kontrastarme Elemente) muss dies beim Scannen ersichtlich sein. Dazu kann es 

sinnvoll sein, diese Informationen den Dokumenten beizulegen, z.B. auf Vorblättern. Die 

Mitarbeiter werden hinsichtlich der potenziellen Fehlerursachen und der entsprechenden 

Vorsichtsmaßnahmen sensibilisiert (siehe M 2.198). 

• Beim Umkopieren von Dokumenten, die nicht unmittelbar erfasst werden können, ist darauf 

zu achten, dass die Kopien alle für die Aufbewahrung wesentlichen Informationen enthalten. 

Welche Informationen dies genau umfasst ist ggf. in einer Verfahrensanweisung festzulegen. 

BM 2.2 – Kennzeichnung der Dokumente bzgl. Sensibilität 

Vertrauliche oder anderweitig hoch schutzbedürftige Dokumente sollten entsprechend gekennzeichnet 

werden. Die Kennzeichnung sollte deutlich sichtbar angebracht werden, damit die verarbeitenden 

Personen die Sensibilität des Dokumentes nicht übersehen und dieses unangemessen 

handhaben. Diese Maßnahme ist insbesondere dann wichtig, wenn Dokumente mit personenbezogenen 

Daten oder Verschlusssachen verarbeitet werden. 

34 Betrachtungen zu mehrseitigen, beglaubigten Dokumenten finden sich in [BSI-TR03138-R]. 



BM 2.3 – Beschränkung des Zugriffs auf sensible Papierdokumente 

Um einen hohen Schutz vor der Manipulation, Entwendung, Vernichtung oder unbefugter 

Einsichtnahme bei Dokumenten mit hohem Schutzbedarf zu gewährleisten, dürfen während der 

Vorbereitung und während des Scanvorgangs keine unbefugten Personen Zugriff auf die 

Papierdokumente erhalten. Dies erfordert eine Zugangsbeschränkung zu den Räumlichkeiten, in 

denen die Dokumente verarbeitet werden, eine Aufbewahrung, die Schutz vor unbefugtem Zugriff, 

Einsichtnahme oder Beschädigung bietet, sowie eine angemessen vorsichtige Handhabung (z.B. kein 

unbeaufsichtigtes Liegenlassen, keine Weitergabe ohne Prüfung der Autorisierung). Sofern nicht 

bereits generelle Regelungen für den Zugriff auf sensible Papierdokumente existieren, sollten im 

Rahmen des ersetzenden Scannens entsprechende Reglungen geschaffen werden (siehe auch M 2.1). 

Gefährdungen 

Maßnahmen Bemerkung 

BG 1.1 BM 2.3 - Beschränkung des Zugriffs auf sensible Papierdokumente verbleibendes 

Restrisiko 35 

BG 1.2 

BG 1.3 

BG 1.4 BM 2.1 - Sorgfältige Vorbereitung der Papier-Dokumente 

BM 2.2 - Kennzeichnung der Dokumente bzgl. Sensibilität 

BG 1.5 M 2.1 - Festlegung von Verantwortlichkeiten und Regelungen 

BM 2.3 - Beschränkung des Zugriffs auf sensible Papierdokumente 

BG 1.6 BM 2.3 - Beschränkung des Zugriffs auf sensible Papierdokumente 

BG 1.7 BM 2.1 - Sorgfältige Vorbereitung der Papier-Dokumente 

BG 1.8 

Tabelle 34: Gefährdungen und Maßnahmen in der Dokumentenvorbereitung 

A.4.3 Sicherheitsmaßnahmen beim Scannen 

versehentlich 

absichtlich 

BM 2.4 – Sorgfalt beim Scannen 

Beim Scannen muss typischen Ursachen für Probleme durch eine angemessene Sorgfalt 

entgegengewirkt werden: 

• Der Scanner muss voll funktionsfähig und entsprechend der Vorgaben des Herstellers gepflegt 

sein. 

• Die Dokumente müssen entsprechend der Vorgaben der Produkthandbücher und gemäß der 

physikalischen Struktur des Dokumentes dem Scanner übergeben werden. Dokumente, die 

nicht für den automatischen Einzug geeignet sind (z.B. ungeeignete Papiersorten, beschädigte 

Seiten, gebundene Dokumente), müssen manuell aufgelegt werden. 

• Die Eignung der Scan-Einstellungen sollte jeweils vor dem Scannen geprüft werden. 

BM 2.5 – Geeignete Scan-Einstellungen 

Die Scan-Einstellungen (z.B. ein- oder doppelseitiger Scan, Auflösung, Kontrast, Helligkeit, Farbtiefe, 

automatische Dokumententrennung, Leerseitenerkennung, Blindfarbenfilter) müssen für die 

35 An dieser Stelle sei darauf hingewiesen, dass durch die Maßnahme BM 2.3 den Bedrohungen BG 1.1 und BG 1.2 nicht 

komplett entgegengewirkt werden kann, da eine Manipulation oder Fälschung auch vor dem Eingang des Dokumentes 

erfolgen kann und dies nicht ohne weiteres durch Maßnahmen im Scanprozess erkannt werden kann. Weitere 

Betrachtungen zu verbleibenden rechtlichen Risiken finden sich auch in [BSI-TR03138-R]. 



jeweiligen Dokumente geeignet gewählt werden. Um die Wahrscheinlichkeit von Fehlern zu 

reduzieren, sollten geeignete Profile definiert und verwendet werden, oder Scan-Einstellungen bereits 

in der Dokumentenvorbereitung ermittelt und (z.B. auf Vorblättern) angegeben werden. 

BM 2.6 – Nutzung von Metainformationen aus der Dokumentenvorbereitung 

Insbesondere bei hohem Scan-Durchsatz und wenn komplexe Kontexte (z.B. Kuvert-Zusammenhang) 

beachtet werden müssen, sind entsprechende, automatisiert erfassbare Vorblätter zur 

Dokumententrennung und Spezifikation von weiteren Meta-Informationen, wie z.B. Seitenzahl, Scan- 

Einstellungen, Dokumentenkontext, Indexinformationen sinnvoll. Der Scanner kann diese Informationen 

dann automatisiert auswerten, die Einstellungen anpassen, Scanprodukte entsprechend 

zusammenfassen und die Meta-Daten zum Scanprodukt hinzufügen. Prinzipiell sind auch Lösungen 

zum automatischen Auslesen von Indexinformationen zulässig. Voraussetzung ist eine zuverlässige 

Konfiguration der Applikation bezüglich der Erkennung und Gültigkeit der ausgelesenen Werte mit 

sorgfältiger manueller Qualitätssicherung und Nachbearbeitung. 

BM 2.7 – Qualitätssicherung der Scanprodukte 

Um mangelhafte Scanvorgänge (z.B. fehlende Seiten, mangelnde Lesbarkeit, fehlender 

Dokumentenzusammenhang) zu erkennen, muss eine geeignete Qualitätskontrolle stattfinden. 

Abhängig vom Scan-Durchsatz und dem Schutzbedarf des Dokumentes kann eine vollständige 

manuelle Kontrolle des Scan-Produktes (z.B. bei einem Notar) sinnvoll sein. Alternativ, insbesondere 

bei hohem Durchsatz kann die manuelle Kontrolle auf Stichproben reduziert werden, um systemische 

Fehler (z.B. ungeeignete Scan-Einstellungen, Fehlfunktionen des Scanners) zu erkennen. Die Größe 

der Stichprobe ist vor allem nach dem Schutzbedarf der gescannten Dokumente zu bestimmen. Eine 

hundertprozentige Sichtkontrolle ist regelmäßig nicht 36 nötig. Zusätzlich können automatische 

Mechanismen zur Qualitätskontrolle eingesetzt werden, wie z.B. eine automatische Erkennung von 

Leerseiten, von unzureichender Bildqualität oder die Prüfung der Seitenzahl (z.B. gegen die auf 

Vorblättern angegebenen Meta-Daten). Da jedoch automatische Qualitätskontrollen grundsätzlich 

fehleranfällig sind (z.B. können Seiten mit ausschließlich handschriftlichen Vermerken, wie Paraphen, 

u.U. schlecht von Leerseiten 37 unterschieden werden), ist eine manuelle Prüfung der automatisch 

identifizierten Probleme zu empfehlen. 

M 1.32 – Geeignete Aufstellung von Druckern und Kopierern 

Diese Maßnahme ist sinngemäß auch auf den Scanner anzuwenden. Es muss sichergestellt werden, 

dass Personen, die keinen Zugriff auf die Originale und Scanprodukte haben dürfen, während des 

Scanvorganges keinen unbeaufsichtigten Zugang zum Scanner erhalten. Dies kann entweder durch 

eine Beaufsichtigung des Scanvorganges oder durch eine Zugangskontrolle zum Scanner erreicht 

werden. Um einen hohen Schutz gegen Manipulationen des Scanners bzw. seiner Konfigurationen 

(BG 2.2), der Dokumente beim Scannen (BG 1.2, BG 1.3 und BG 1.4), oder gegen das nachträgliche 

Auslesen von Scanprodukten vom internen Datenträger des Scanners (vgl. BG 2.5) zu erreichen, sollte 

der Zugang zum Scanner generell (d.h. auch außerhalb des Scanvorganges) auf ein Minimum 

beschränkt werden. 

M 2.42 – Festlegung der möglichen Kommunikationspartner 

Sofern die für das Scannen eingesetzten IT-Systeme über ein Netzwerk verbunden sind, sollten in 

diesem Netzwerk und auf den IT-Systemen selbst die zulässigen Kommunikationsverbindungen 

möglichst restriktiv konfiguriert werden. 

M 2.46 – Geeignetes Schlüsselmanagement 

36 Eine Ausnahme bildet das Scannen von Personalakten nach dem BBG. 

37 Eine Lösung für das Problem der falsch oder nicht erkannten Leerseiten, besteht darin, diese nur zu markieren und 

dennoch im Archiv abzulegen. Die entsprechende Fachanwendung kann beim Anzeigen diese Information interpretieren 

und die Leerseiten ausblenden oder bei Bedarf anzeigen. 



Sofern kryptographische Verfahren für die Absicherung der Datenübertragung zwischen Scanner, 

Scan-Workstation und Scan-Cache eingesetzt werden, muss diese Maßnahme berücksichtigt werden. 

M 2.164 – Auswahl eines geeigneten kryptographischen Verfahrens 

Sofern kryptographische Verfahren für die Absicherung der Datenübertragung zwischen Scanner, 

Scan-Workstation und Scan-Cache eingesetzt werden, muss diese Maßnahme berücksichtigt werden. 

M 2.62 – Software-Abnahme- und Freigabe-Verfahren 

Um eine Manipulation der zum Scannen verwendeten IT-Systeme zu verhindern, ist diese Maßnahme 

sowohl auf die Firmware des Scanners als auch auf die Software der Scan-Workstation und des Scan- 

Caches anzuwenden. 

M 2.204 – Verhinderung ungesicherter Netzzugänge 

Sofern die für das Scannen eingesetzten IT-Systeme über ein Netzwerk verbunden sind, muss diese 

Maßnahme in dem entsprechenden Netzwerksegment (vgl. M 5.146) berücksichtigt werden. 

M 2.399 – Kriterien für die Beschaffung und geeignete Auswahl von Druckern, Kopierern und 

Multifunktionsgeräten 

Diese Maßnahme ist auf den Scanner anzuwenden. Insbesondere können folgende Kriterien bei der 

Auswahl relevant sein: 

• ausreichender Durchsatz, 

• Unterstützung geeigneter Datenformate (z.B. PDF-A), 

• Unterstützung von Patch- und/oder Barcodes zur Dokumententrennung und Übergabe von 

Meta-Informationen, 

• ausreichende Qualität der Scan-Ergebnisse, 

• ausreichende Flexibilität der Konfiguration, 

• ausreichend zuverlässiger und leistungsfähiger automatischer Seiteneinzug (auch für 

doppelseitigen Scan), (zuverlässige Doppeleinzugskontrolle), 

• bei Bedarf Möglichkeit zum Scannen von Überlängen, zum Scannen von Farbe sowie von 

Durchlichtdokumenten (z.B. Röntgenbilder), 

• geeignete Schnittstellen für den Übermittlung des Scanproduktes, 

• Möglichkeit der Absicherung der Administrationsschnittstelle (lokal und über Netz), 

• Nutzung eines internen Datenspeichers, 

• Möglichkeit zum sicheren Löschen oder verschlüsselter Speicherung von Scans auf dem 

internen Datenträger und 

• ausreichender Support. 

M 2.400 – Sichere Außerbetriebnahme von Druckern, Kopierern und Multifunktionsgeräten 

Sofern der Scanner einen internen Datenträger besitzt und vertrauliche Dokumente gescannt werden, 

sollte diese Maßnahme für Scanner berücksichtigt werden. 

M 4.7 – Änderung voreingestellter Passwörter 

Die Administration des Scanners, insbesondere die Konfiguration der Kommunikationsschnittstellen 

bei netzwerkfähigen Scannern, kann bei vielen Produkten durch ein Passwort gesichert werden. Die 

voreingestellten Passwörter müssen nach Installation des Scanners geändert bzw. es sollte sofern 

möglich ein initiales Passwort gesetzt werden. Basis für die Vergabe der Passwörter sollten explizit 

formulierte interne Sicherheitsrichtlinien (vgl. M 2.11 – Regelung des Passwortgebrauchs) sein. 



M 4.78 – Sorgfältige Durchführung von Konfigurationsänderungen 

Diese Maßnahme muss insbesondere in Bezug auf den Scanner und die Scan-Software berücksichtigt 

werden. 

M 4.80 – Sichere Zugriffsmechanismen bei Fernadministration. 

Bei netzwerkfähigen Scannern kann in der Regel die Administration über das Netzwerk erfolgen, z.B. 

über eine Web-Schnittstelle. Diese muss gegen unbefugten Zugriff geschützt werden. Dazu sind der 

Zugriff auf die Administrationsschnittstelle durch ein Passwort zu schützen (vgl. M 4.7) und durch 

eine geeignete Netzwerk-Konfiguration auf die notwendigen Systeme (z.B. Rechner der Administratoren) 

einzuschränken. 

M 4.300 – Informationsschutz bei Druckern, Kopierern und Multifunktionsgeräten 

Diese Maßnahme ist sinngemäß auf über Netzwerk angesprochene Scanner anzuwenden und umfasst 

die Absicherung der Datenübertragung zwischen Scanner und Scan-Workstation oder Scan-Cache 

sowie die sichere Speicherung und Löschung von Daten auf einem internen Datenträger des Scanners. 

Ein hoher Schutz für die Datenübertragung vom und zum Scanner kann durch eine geeignete 

kryptographische Absicherung (Verschlüsselung, Authentifizierung und Integritätsschutz) erreicht 

werden (vgl. M 2.164). 

M 4.301 – Beschränkung der Zugriffe auf Drucker, Kopierer und Multifunktionsgeräte 

Diese Maßnahme ist sinngemäß auf den Scanner anzuwenden, insbesondere, wenn diese über 

Netzwerk angebunden ist. 

M 4.302 – Protokollierung bei Druckern, Kopierern und Multifunktionsgeräten. 

Diese Maßnahme ist sinngemäß auf den Scanner anzuwenden. Bei Scannern, die über Netzwerk 

angebunden sind, sollte eine netzwerkseitige Protokollierung der Zugriffe auf diesen in Betracht 

gezogen werden. 

M 4.303 – Einsatz von netzfähigen Dokumentenscannern 

Die Maßnahme ist auf Scanner anzuwenden, die über Netzwerk angebunden sind. Insbesondere sind 

in diesem Fall die spezifischen Maßnahmen M 5.146, M 4.300 und M 4.301 zu berücksichtigen. 

Sofern der Scanner ein Multifunktionsgerät mit integrierter Faxfunktionalität ist, sollte der Baustein B 

5.6 (Faxserver) berücksichtigt werden. 

M 5.146 – Netztrennung beim Einsatz von Multifunktionsgeräten 

Sofern hoch schutzbedürftige Dokumente gescannt werden, sollte der Scanner durch logische 

Trennung vor unbefugten Zugriffen über das Netzwerk geschützt werden. Generell empfiehlt sich eine 

Segmentierung des Netzwerkes, so dass sich die für das Scannen eingesetzten IT-Systeme in einem 

separatem Netzsegment befinden, und eine geeignete Abschottung dieses Netzsegmentes durch 

Paketfilter, Routing-Regeln, etc. Zumindest sollten die Systeme keinen Zugriff auf das Internet 

besitzen und von diesem auch nicht erreichbar sein. Die Abschottung vom Internet senkt bereits das 

Risiko einer Infektion durch Schadsoftware beträchtlich. Ein besonders hoher Schutz wird durch eine 

vollständige physische Trennung der Scan-Umgebung erreicht, so dass die für das Scannen 

eingesetzten IT-Systeme nicht mit anderen Netzwerken verbunden sind. Eine maximale Trennung des 

Scanners von der Scanumgebung wird bereits durch einen lokalen Anschluss des Scanners an die 

Scan-Workstation, z.B. über USB, erreicht. 

Baustein B 1.6 – Schutz vor Schadprogrammen 

Um einer Infektion vor Schadprogrammen vorzubeugen, sollten die Maßnahmen dieses Bausteines 

bzgl. der für das Scannen eingesetzten IT-Systeme möglichst konsequent umgesetzt werden. 



Gefährdungen 


BG 2.1 M 2.399 – Kriterien für die Beschaffung und geeignete Auswahl von 

Druckern, Kopierern und Multifunktionsgeräten 



BM 2.1 – Sorgfältige Vorbereitung der Papier-Dokumente 


BG 2.2 M 2.62 – Software-Abnahme- und Freigabe-Verfahren 

BG 2.3 M 4.303 – Einsatz von netzfähigen Dokumentenscannern 


M 4.301 – Beschränkung der Zugriffe auf Drucker, Kopierer und 

Multifunktionsgeräte 

M 4.80 – Sichere Zugriffsmechanismen bei Fernadministration 




M 1.32 – Geeignete Aufstellung von Druckern und Kopierern 

BG 2.4 M 4.300 – Informationsschutz bei Druckern, Kopierern und 





BG 2.5 BM 2.3 - Beschränkung des Zugriffs auf sensiblen Papierdokumente 

M 3.2 – Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger 

Gesetze, Vorschriften und Regelungen 


BG 2.6 BM 2.5 – Geeignete Scan-Einstellungen 



BG 2.7 M 2.42 – Festlegung der möglichen Kommunikationspartner 



Zuverlässiger 

Einzug 

Netz 

Netz 

Netz 

Netz 

Netz 

Malware 

Lokal / Netz 



Gefährdungen 












BG 2.10 M 2.400 – Sichere Außerbetriebnahme von Druckern, Kopierern und 


Tabelle 35: Gefährdungen und Maßnahmen beim Scannen 

A.4.4 Sicherheitsmaßnahmen bei der Nachbearbeitung 

BM 3.4 – Qualitätssicherung der nachbearbeiteten Scanprodukte 

Eine geeignete Qualitätssicherung sollte insbesondere auch im Rahmen der Nachbearbeitung 

durchgeführt werden. Mit Anwendung der Maßnahme muss sichergestellt werden, dass durch die 

Nachbearbeitung keine relevanten Informationen verloren gegangen sind. 

BM 4.1 – Geeignete Nachbearbeitung 

Eine ungeeignete Nachbearbeitung kann das Scanprodukt oder relevante Informationen dessen 

unwiederbringlich zerstören oder verändern. Beispielsweise kann bei einem Bedien- oder 

Softwarefehler die bearbeitete Datei irreparabel beschädigt werden. Weiterhin kann die Anwendung 

von Bildbearbeitungsfunktionen (z. B. Veränderung des Kontrastes/Helligkeit, Farbreduktion, 

Beschneiden, Rauschunterdrückung, Kompression oder Dateikonvertierung) Informationen vernichten 

(z. B schwer sichtbare Wasserzeichen, Prägungen oder Details von Unterschriften), die zu einem 

späteren Zeitpunkt hätten relevant werden können. Daher sollte sehr vorsichtig und sparsam mit 

solchen Bildbearbeitungsfunktionen umgegangen werden. Außerdem muss im Rahmen der 

durchgeführte Operationen immer eine Qualitätssicherung (vgl. BM 3.4 Qualitätssicherung der 

nachverarbeiteten Scanprodukte) gewährleisten, dass durch die Nachbearbeitung keine relevanten 

Details verloren gegangen sind. Bei Dokumenten mit hohem Schutzbedarf sollte überlegt werden auf 

die Bildbearbeitung völlig zu verzichten oder neben der nachbearbeiteten Version auch das 

ursprüngliche Scanprodukt aufzubewahren. 

Außerdem scheidet eine Nachbearbeitungsmöglichkeit des Scanproduktes dann aus, wenn das Image 

unmittelbar nach dem Scanvorgang mit einer qualifizierten elektronischen Signatur des Scan- 

Operators oder einem (qualifizierten) Zeitstempel versehen wurde. 

M2.04 – Verhinderung ungesicherter Netzzugänge 

Siehe Abschnitt A.5.3. 

M 2.08 - Vergabe von Zugriffsrechten 



Zum Schutz vor unautorisierten Zugriff auf die in den Scanprozess involvierten Daten müssen bei 

Bedarf entsprechende Zugriffskontrollmechanismen genutzt werden. Dabei sollten immer nur so viele 

Zugriffsrechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist ("Need-toknow-Prinzip"). 

Umgesetzt werden müssen die Zugriffsrechte durch die Rechteverwaltung des IT- 

Systems. 

M2.42 – Festlegung der möglichen Kommunikationspartner 




M 6.33 – Entwicklung eines Datensicherungskonzepts 

Diese Maßnahme sollte die Datenobjekte D2 bis D6 berücksichtigen. 





Gefährdungen 

BG 3.1 BM 2.6 – Nutzung von Meta-Informationen aus der 

Dokumentenvorbereitung 







BG 3.3 M 4.301 – Beschränkung der Zugriffe auf Drucker, Kopierer und 



BG 3.4 BM 2.6 – Nutzung von Meta-Informationen aus der 

Dokumentenvorbereitung 

BG 3.5 M 3.2 – Verpflichtung der Mitarbeiter auf Einhaltung einschlägiger 

Gesetze, Vorschriften und Regelungen 








M 2.164 Auswahl eines geeigneten kryptographischen Verfahrens 

M 2.204 Verhinderung ungesicherter Netzzugänge 

BG 3.8 BM 4.1 – Geeignete Nachbearbeitung 

BG 3.9 M 6.33 – Entwicklung eines Datensicherungskonzepts 

BG 3.10 M 2.08 - Vergabe von Zugriffsrechten 

Tabelle 36: Gefährdungen und Maßnahmen bei der Nachbearbeitung 

A.4.5 Sicherheitsmaßnahmen bei der Integritätssicherung 

BM 4.2 – Einsatz kryptographischer Mechanismen zum Integritätsschutz 

Die Maßnahmen zum Schutz der Integrität der Datenobjekte D2, D3, D4 und D6 sollen sich am 

ermitteltem Schutzbedarf der Datenobjekte orientieren. Bei Maßnahmen für den normalen Schutz 

kann auf den Einsatz von Kryptographie verzichtet werden. Zum Schutz der Datenobjekte gegen 

zufällige Änderungen oder aufgrund von Systemfehlern sollen diese jedoch mit einer Prüfsumme 

(CRC, ...) gesichert werden. Überall dort, wo ein höherer Schutz der Datenobjekte gefordert ist, sollen 

geeignete kryptographische Mechanismen (z.B. digitale Signaturen) zum Einsatz kommen. Hierbei 

kann danach unterschieden werden, ob der Signaturschlüssel in Software oder Hardware gespeichert 

ist. Mit einer fortgeschrittenen elektronischen Signatur gemäß § 2 Nr. 2 SigG kann neben der Integrität 



der Datenobjekte auch nachgeprüft werden, wer diese erzeugt hat (Authentizität). Denn bei 

fortgeschrittenen elektronischen Signaturen muss der Signaturschlüssel unter der alleinigen Kontrolle 

des Signaturschlüsselinhabers sein. Eine besondere Form der fortgeschrittenen elektronischen Signatur 

ist die qualifizierte elektronische Signatur gemäß § 2 Nr. 3 SigG, die zusätzlich auf einem 

qualifizierten Zertifikat beruht und mit einer sicheren Signaturerstellungseinheit erzeugt wurde. 

Dokumente, die mit einer qualifizierten elektronischen Signatur versehen sind, kommen in den Genuss 

des Beweisvorteils gemäß § 371a ZPO. Für Fälle, in denen zusätzlich der Zeitpunkt der 

Signaturerstellung relevant ist, bieten sich Zeitstempel an, bei denen eine Zeitinformation 

kryptographisch gesichert mit dem Datenobjekt verbunden wird. So kann im Nachhinein verifiziert 

werden, zu welchem Zeitpunkt das Datenobjekt integritätsgesichert wurde. Die mit einem 

Zeitstempels verbundene Beweiskraft hängt nicht zuletzt von den beim Aussteller des Zeitstempels 

implementierten Sicherheitsmaßnahmen ab. Eine besonders hohe Beweiskraft besitzen qualifizierte 

Zeitstempel gemäß § 2 Nr. 14 SigG. Weitere Details finden sich in den Maßnahmen M 2.165 

(Auswahl eines geeigneten kryptographischen Produktes), M 6.56 (Datensicherung bei Einsatz 

kryptographischer Verfahren) und M 2.46 (Geeignetes Schlüsselmanagement). 

BM 4.3 – Nutzung geeigneter Dienste und Systeme für den Integritätsschutz 

Bei Einsatz von Sicherungsdaten werden in der Regel geeignete Infrastrukturdienste für die 

Ausstellung und Prüfung von Zertifikaten sowie ggf. für die Ausstellung von Zeitstempeln benötigt. 

Alternativ kann die Sicherstellung der Integrität durch systembezogene Sicherheitsmaßnahmen (z.B. 

durch geeignete Zugriffskontrollmechanismen im Speichersystem) erfolgen. 

Bei sehr hohem Schutzbedarf der Datenobjekte D2, D3, D4 und D6 soll die Sicherung der Integrität 

und Authentizität mit einer qualifizierten elektronischen Signatur und/oder einem qualifizierten 

Zeitstempel erfolgen. In diesem Fall müssen die Aspekte des Beweiskrafterhaltes kryptographisch 

signierter Daten gemäß [BSI-TR03125] und ggf. branchenspezifische Anforderungen wie z.B. [ADV- 

BVA10] oder [Berl08] berücksichtigt werden. Bei erhöhten Anforderungen an die Archivierungsfrist 38 

und um die Prüfbarkeit der Zertifikate auch im Fall der Einstellung des ZDA-Betriebs gewährleisten 

zu können sollte zum Ausstellen der qualifizierten Zertifikate/qualifizierten Zeitstempel ggf. ein 

Zertifizierungsdiensteanbieter mit Anbieterakkreditierung 39 gewählt werden. Bei sehr hohem 

Schutzbedarf bezüglich der Verfügbarkeit sollen Zeitstempelanfragen an verschiedene 

Infrastrukturdienste möglich sein. 

M 2.13 – Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln 

Sofern der Scanner einen internen Datenträger besitzt und vertrauliche Dokumente gescannt werden, 

sollte diese Maßnahme für Scanner berücksichtigt werden. Insbesondere dann, wenn ein 

kryptographischer Schlüssel in Software vorgehalten wird. 




Der Einsatz kryptographischer Verfahren setzt die authentische Erzeugung, Verteilung und Installation 

von geeigneten Schlüsseln voraus. Bei der fortgeschrittenen elektronischen Signatur ist zu beachten, 

dass der private Signaturschlüssel unter der alleinigen Kontrolle des Signaturschlüssel-Inhabers liegen 

muss. 



38 Während angezeigte ZDAs die Prüfbarkeit der Zertifikate nur für mindestens 5 Jahre sicher stellen müssen, verlängert 

sich diese Frist bei akkreditierten ZDA auf 30 Jahre nach Ablauf des Jahres an dem die Gültigkeit des Zertifikates endet. 

39 Die Unterschiede zwischen angezeigten und akkreditierten ZDA sind auch in Abschnitt 2.1.3.2 von [HüKo06] adressiert. 





M 2.165 – Auswahl eines geeigneten kryptographischen Produktes 

Zur Integritätssicherung müssen geeignete Produkte eingesetzt werden. Als Kriterien zur Bewertung 

der Produkte dienen z. B. die Vertrauenswürdigkeit (etablierter Hersteller, verwendete 

Algorithmen,...), Qualität und Zuverlässigkeit. Als weiteres Kriterium kann in Betracht gezogen 

werden, ob das Produkt nach einem anerkannten Sicherheitsstandard wie FIPS-140, Common Criteria 

oder ITSEC geprüft wurde. Für die Erstellung von qualifizierten elektronischen Signaturen müssen 

gemäß SigG bestätigte sichere Signaturerstellungseinheiten eingesetzt werden. Außerdem sollen 

geeignete Signaturanwendungskomponenten (Anwenderprogramme (A4), Funktionsbibliotheken 

(A4), Chipkartenleser (S4)), welche eine Herstellererklärung oder Bestätigung nach dem 

Signaturgesetz besitzen, eingesetzt werden. Die Bundesnetzagentur hält Listen mit bestätigten 

Komponenten vor. Mittels Signaturanwendungskomponente kann der Nutzer qualifizierte 

elektronische Signaturen erzeugen und prüfen sowie einen qualifizierten Zeitstempel anfordern. Die 

von den Signaturanwendungskomponenten angebotene Verifikation qualifizierter elektronischer 

Signaturen und das Validieren der Zertifikatskette sollte stets genutzt werden. Mindestens für 

qualifizierte elektronische Signaturen dürfen nur sicherheitstechnisch geeignete kryptographische 

Verfahren verwendet werden. Die Eignung der Verfahren ist im Algorithmenkatalog festgelegt. Da 

sich die Sicherheitseignung der kryptographischen Algorithmen ändern kann, sollen auf eine leichte 

Austauschbarkeit der entsprechenden Komponenten geachtet werden. 

M 4.301 – Beschränkung der Zugriffe auf Drucker, Kopierer und Multifunktionsgeräte 


M 6.33 – Entwicklung eines Datensicherungskonzepts 

Diese Maßnahme sollte die Datenobjekte D2 bis D6 berücksichtigen. 

M 6.56 – Datensicherung bei Einsatz kryptographischer Verfahren. 

Sofern kryptographische Verfahren eingesetzt werden, soll die Eignung der eingesetzten Algorithmen 

und Parameter regelmäßig evaluiert werden. Für digitale Signaturen ist die Eignung der Verfahren im 

Algorithmenkatalog 40 festgelegt. Dieser wird einmal jährlich durch die Bundesnetzagentur 

veröffentlicht. Rechtzeitig vor dem Ablauf der Eignung der kryptographischen Verfahren sollte bei 

Bedarf eine Umschlüsselung und Übersignierung der Daten erfolgen. Für den Erhalt der Beweiskraft 

kryptographisch signierter Daten empfiehlt sich der Einsatz der in [BSI-TR03125] spezifizierten 

Verfahren und Formate. 

40 Siehe http://www.bundesnetzagentur.de/DE/Sachgebiete/QES/Veroeffentlichungen/Algorithmen/algorithmen_node.html. 



Gefährdungen 


BG 4.1 BM 4.2 – Einsatz kryptographischer Mechanismen zum Integritätsschutz 

BM 4.3 – Nutzung geeigneter Infrastrukturdienste für den 

Integritätsschutz 

M 6.56 – Datensicherung bei Einsatz kryptographischer Verfahren 

BG 4.2 M 6.56 – Datensicherung bei Einsatz kryptographischer Verfahren 

BG 4.3 M 4.303 – Einsatz von netzfähigen Dokumentenscannern 


M 4.30 – Beschränkung der Zugriffe auf Drucker, Kopierer und 


M 4.80 – Sichere Zugriffsmechanismen bei Fernadministration 

M2.04 – Verhinderung ungesicherter Netzzugänge 


M 1.32 Geeignete Aufstellung von Druckern und Kopierern 

BG 4.4 M 2.46 Geeignetes Schlüsselmanagement 

BG 4.5 BM 2.4 – Nutzung geeigneter Infrastrukturdienste für den 

Integritätsschutz 

Netz 

Netz 

Netz 

Netz 

Lokal / Netz 

Verschiedene 

Infrastrukturdienste 

BG 4.6 M 2.165 – Auswahl eines geeigneten kryptographischen Produktes Verifizieren 

Validieren 

BG 4.7 M 2.165 – Auswahl eines geeigneten kryptographischen Produktes 








BG 4.10 M 4.301 – Beschränkung der Zugriffe auf Drucker, Kopierer und 


BG 4.11 M 6.33 – Entwicklung eines Datensicherungskonzepts 

Tabelle 37: Gefährdungen und Maßnahmen bei der Integritätssicherung 


BSI Technische Richtlinie 03138 

Anlage R 

Unverbindliche rechtliche Hinweise 

zur Anwendung der TR RESISCAN 

Version 0.2 

Stand: Oktober 2012 

Das Dokument ist in Teilen nicht barrierefrei.


Bundesamt für Sicherheit in der Informationstechnik 


53133 Bonn 

Tel.: +49 228 99 9582-0 



© Bundesamt für Sicherheit in der Informationstechnik 2012 



Inhaltsverzeichnis 

Abkürzungsverzeichnis.........................................................................................................................5 

Glossar...................................................................................................................................................7 

Referenzen.............................................................................................................................................8 

R.1 – Exemplarische Schutzbedarfsanalysen (informativ)...................................................................11 

R.1.1 Gerichtsakten.............................................................................................................................11 

R.1.2 Verwaltungsunterlagen..............................................................................................................15 

R.1.3 Sozialversicherungsunterlagen...................................................................................................17 

R.1.4 Medizinische Dokumentation....................................................................................................19 

R.1.5 Kaufmännische Buchführungsunterlagen...................................................................................21 

R.1.6 Besteuerungsunterlagen.............................................................................................................23 

R.1.7 Personalakten.............................................................................................................................25 

R.2 - Rechtliche Betrachtungen zum ersetzenden Scannen (informativ).............................................26 

R.2.1 Betrachtungen zum Datenschutz................................................................................................26 

R.2.1.1 Zulässigkeitstatbestände..........................................................................................................26 

R.2.1.2 Erforderlichkeit.......................................................................................................................27 

R.2.2 Sicherheitsrisiken und mögliche Konsequenzen........................................................................27 

R.2.2.1 Rechtliche Konsequenzen nicht ordnungsgemäßer Dokumentation und Aufbewahrung........27 

R.2.2.1.1 Konsequenzen bei Verletzung öffentlicher Interessen .........................................................28 

R.2.2.1.2 Konsequenzen bei Verletzung individueller Interessen........................................................29 

R.2.3 Beweisrecht................................................................................................................................29 

R.2.3.1 Beweiswert des Scanproduktes...............................................................................................29 

R.2.3.2 Die Beweiswirkung des § 371a ZPO.......................................................................................30 

R.2.4 Gefährdung und Sicherung des Scanproduktes..........................................................................32 

R.2.4.1 Bildveränderung .....................................................................................................................32 

R.2.4.1.1 Bildverbesserung..................................................................................................................32 

R.2.4.1.2 Fehler und Manipulationen..................................................................................................32 

R.2.4.1.2.1 Fehler................................................................................................................................32 

R.2.4.1.2.2 Manipulation.....................................................................................................................33 

R.2.4.1.3 Barcode................................................................................................................................33 

R.2.4.2 Signatur und Zeitstempel........................................................................................................34 

R.2.4.2.1 Authentizität und Integrität eines Dokuments......................................................................34 

R.2.4.2.2 Signaturen............................................................................................................................35 

R.2.4.2.3 Zeitstempel...........................................................................................................................36 



R.2.4.3 Transfervermerk......................................................................................................................37 

R.2.4.4 Qualitätssicherung / Sichtprüfung...........................................................................................38 

R.2.5 Mehrseitige, beglaubigte Dokumente.........................................................................................39 

R.2.6 Datenschutzrechtliche und strafrechtliche Beurteilung des externen Scannens..........................39 

R.2.6.1 Datenschutzrecht.....................................................................................................................39 

R.2.6.2 § 203 StGB..............................................................................................................................41 

R.2.7 Vernichtung von Originaldokumenten ......................................................................................42 



Abkürzungsverzeichnis 

...grau hinterlegte Abkürzungen sind im vorliegenden Dokument nicht mehr enthalten und sollten entfernt 

werden; AV wird bei Bedarf ergänzt... 

Ax Anwendung 

A.x.y Anforderung 

B x.y Baustein aus dem Grundschutzhandbuch des BSI 

BBG Bundesbeamtengesetz 

BDSG Bundesdatenschutzgesetz 

BGB Bürgerliches Gesetzbuch 

BGBl Bundesgesetzblatt 

BGH Bundesgerichtshof 

BM x.y Benutzerdefinierte Sicherheitsmaßnahme 

BMV-Ä Bundesmantelverträge Teil 1 (Ärzte) 

BNetzA Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post u. Eisenbahnen 

BSI Bundesamt für Sicherheit in der Informationstechnik 

CC Common Criteria for Information Technology Security Evaluation 

Dx Datenobjekt 

DMS Dokumentenmanagement-System 

DOMEA 

Organisationskonzept der Koordinierungs- und Beratungsstelle für Informationstechnik in 

der Bundesverwaltung (KBSt) zur Aktenführung im elektronischen Geschäftsgang 

ECM Enterprise Content Management 

EKV Bundesmantelverträge Teil 2 (Ärzte/Ersatzkassen) 

ETSI European Telecommunications Standards Institute 

GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen 

GoB Grundsätze ordnungsgemäßer Buchführung 

GoBS Grundsätze ordnungsgemäßer DV gestützter Buchführungssysteme 

HSM Hardware Security Module 

IT Informationstechnologie 

ITSEC Information Technology Security Evaluation Criteria 

Kx Kommunikationsbeziehung 

M x.y Sicherheitsmaßnahme aus dem Grundschutzhandbuch des BSI 

MBO-Ä Musterberufsordnung für Ärzte 

ODF Open Document Format 

PDF Portable Document Format 

PK-DML Prüfkriterien für Dokumentenmanagement-Lösungen 

PKI Public-Key Infrastruktur 

PP Protection Profile 

RFC Request for Comments 

Sx IT-System 

SigG Gesetz über Rahmenbedingungen für elektronische Signaturen 

SigV Verordnung zur elektronischen Signatur 

TLS Transport Layer Security 

TR Technische Richtlinie 

TSP Time Stamp Protocol 

USB Universal Serial Bus 



VBS Vorgangsbearbeitungssystem 

VSA Verschlusssachen-Anweisung 

XML eXtensible Markup Language 

ZDA Zertifizierungsdiensteanbieter 

ZPO Zivilprozessordnung 



Glossar 

...wird bei Bedarf ergänzt... 

Authentifizierung Bei der „Authentifizierung“ wird eine „Behauptung“ über eine 

elektronische Identität geprüft. Hierbei besteht eine 

„Behauptung“ aus mindestens einem Identitätsattribut (z.B. 

dem Namen des Kommunikationspartners). 

Authentizität Unter der „Authentizität“ von Daten versteht man, dass die 

Quelle der Daten eindeutig bestimmbar ist. 

Bildliche Übereinstimmung Von einer „bildlichen Übereinstimmung“ zwischen einem 


Scanprodukt ein im Rahmen der gewählten Auflösung 

identisches Abbild des Originals ist. 

Ersetzendes Scannen Wird nach dem „Scannen“ das papiergebundene Original 

vernichtet, so spricht man vom „ersetzenden Scannen“. 

Inhaltliche Übereinstimmung Von einer „inhaltlichen Übereinstimmung“ zwischen einem 


Scanprodukt und das Original in den wesentlichen Inhaltsdaten 

übereinstimmen, nicht aber unbedingt in der visuellen 

Darstellung. 

Integrität „Integrität“ bedeutet, dass die Daten oder Systeme nicht verändert 

wurden. Bei einem wirksamen Integritätsschutz werden 

zudem zumindest Veränderungen erkannt. 

Informativ 

IT-System Der Begriff „IT-System“ beschreibt ein aus Hardware und 

Software bestehendes System zur Informationsverarbeitung. 

Scannen „Scannen“ bezeichnet das elektronische Erfassen von Papierdokumenten 

mit dem Ziel der elektronischen Weiterverarbeitung 

und Aufbewahrung des hierbei entstehenden 

elektronischen Abbildes (Scanprodukt). 

Sicherungsdaten „Sicherungsdaten“ sind Datenobjekte, die dem Schutz der 

Integrität und ggf. Authentizität anderer Datenobjekte dienen. 

Dies umfasst insbesondere elektronische Signaturen, Zeitstempel, 

Zertifikate, Sperrinformationen und Evidence Records 

(vgl. „Credential“ in Fehler: Referenz nicht gefunden). 

Sicherungsmittel Unter dem Begriff „Sicherungsmittel“ werden in dieser 

Technischen Richtlinie Sicherungsdaten oder Sicherungssysteme 

verstanden. 

Sicherungssysteme „Sicherungssysteme“ sind IT-Systeme und/oder Anwendungen, 

die dem Schutz der Integrität und ggf. Authentizität anderer 

Datenobjekte dienen. 



Referenzen 

...wird bei Bedarf ergänzt und nicht benötigte Referenzen (derzeit ausgegraut dargestellt) werden im 

Zuge der Schlussredaktion entfernt... 

[Baum10] A. Baumbach et al., Zivilprozessordnung, Kommentar, 68. Auflage, 2010. 

[BaHo10] A. Baumbach, K. J. Hopt, Handelsgesetzbuch, Kommentar, 34. Auflage, 

Beck 2010. 

[BaRo11] J. Bader, M. Ronellenfisch, Beck´scher Online-Kommentar, Verwaltungsverfahrensgesetz, 

Beck 2011. 

[BSI-Glossar] Bundesamt für Sicherheit in der Informationstechnik (BSI), Glossar, 

https://www.bsi.bund.de/DE/Themen/InternetSicherheit/GlossarBegriffe/GlossarBe 

griffe_node.html 

[BT-Drs.] Bundestagsdrucksachen, abrufbar unter 

http://www.bundestag.de/dokumente/drucksachen/index.html 

[BR-Drs.] Bundesratsdrucksachen, abrufbar unter 

http://www.bundesrat.de/nn_8340/DE/parlamentsmaterial/berat-vorg/sucheberatungsvorgaenge-node.html?__nnn=true 

[Eben08] C. T. Ebenroth et al., Handelsgesetzbuch, Kommentar, 2. Auflage, Beck 

2008. 

[Fisc06] S. Fischer-Dieskau, Das elektronisch signierte Dokument als Mittel zur 

Beweissicherung, Anforderungen an seine langfristige Aufbewahrung, Nomos 

2006. 

[Fisc11] T. Fischer, Strafgesetzbuch, Kommentar, 58. Auflage, Beck 2011. 

[GoBS] Bundesministerium der Finanzen, Grundsätze ordnungsmäßiger DVgestützter 

Buchführungssysteme (GoBS), Schreiben des Bundesministeriums der 

Finanzen an die obersten Finanzbehörden der Länder vom 7. November 1995 – IV 

A 8 – S 0316 – 52/95 – BStBl 1995 I S. 738, 

http://www.bundesfinanzministerium.de/nn_314/DE/BMF__Startseite/Service/Do 

wnloads/Abt__IV/BMF__Schreiben/015,templateId=raw,property=publicationFile. 

pdf 

[HaBi93] V. Hammer, J. Bizer, Beweiswert elektronisch signierter Dokumente. In: 

DuD 1993, S. 689-693. 

[HüKo06] D. Hühnlein, U. Korte, Grundlagen der elektronischen Signatur, 

Bundesamt für Sicherheit in der Informationstechnik und SecuMedia Verlag, 

Bonn / Ingelheim, 2006, 

https://www.bsi.bund.de/ContentBSI/Themen/ElektrSignatur/esiggrundlagen.html 

[IDW RS FAIT 3] 

[JaRo11] S. Jandt, A. Roßnagel, Qualitätssicherung im Krankenhaus, in: Medizinrecht 

(MedR) 2011, 140-145. 

[JaRoWi11a] S. Jandt, A. Roßnagel, D. Wilke, Krankenhausinformationssysteme im 

Gesundheitskonzern, in: Recht der Datenverarbeitung (RDV) 2011, 222-228. 

[JaRoWi11b] S. Jandt, A. Roßnagel, D. Wilke, Outsourcing der Verarbeitung von 

Patientendaten – Fragen des Daten- und Geheimnisschutzes, in: Neue Zeitschrift 

für Sozialrecht (NZS) 2011, 641-646. 

[KoRa08] F. Kopp, M. Ramsauer, Verwaltungsverfahrensgesetz, Kommentar, 10. 

Auflage, Beck 2008. 

[KoRM11] I. Koller, W. H. Roth, W. Morck, Handelsgesetzbuch Kommentar, 7. Auflage, 

Beck 2011. 



[Krau11] D. Krauskopf, Soziale Krankenversicherung, Pflegeversicherung, Online- 

Kommentar, Beck 2011. 

[Krei08] R Kreikebohm, Sozialgesetzbuch IV, Kommentar, Beck 2008. 

[KSD+08] H. Kuhlemann, P. Schmücker, C. Dujat, V. Eder, C. Seidel, Schlierseer 

Memorandum zum beweissicheren Scannen, v1.1, 2008, 

http://www.ehealthopen.com/press/SchlierseerMemorandum_v1_1_20080402.pdf 

[LaUh02] A. Laufs, W. Uhlenbruck, Handbuch des Arztrechts, 3. Auflage, Beck 

2002. 

[LaKü11] K. Lackner, K. Kühl, Strafgesetzbuch, Kommentar, 27. Auflage, Beck 

2011. 

[Musi12] H. J. Musielak, Zivilprozessordnung, 9. Auflage, Vahlen 2012. 

[PaKo09] A. Palke, U. Koenig, Abgabeordnung, Kommentar, 2. Auflage, Beck 2009. 

[QuZu08] M. Quaas/R. Zuck, Medizinrecht, 2. Auflage, Beck 2008. 

[RWWO09] R. Richardi/H. Wißmann/O. Wlotzke/H. Oetker, Münchener Handbuch zum 

Arbeitsrecht, 3. Auflage, Beck 2009. 

[RFC2119] S. Bradner, Key words for use in RFCs to Indicate Requirement Levels, IETF RFC 

2119, via http://www.ietf.org/rfc/rfc2119.txt 

[RoFJ07] A. Roßnagel, S. Fischer-Dieskau, S. Jandt, Handlungsleitfaden zur 

Aufbewahrung elektronischer und elektronisch signierter Dokumnete. 

Herausgegeben im Auftrag des Bundesministeriums für Wirtschaft und 

Technologie, Nr. 564, Berlin August 2007. 

[RoJa08] A. Roßnagel, S. Jandt, Handlungsleitfaden zum Scannen von 

Papierdokumenten. Herausgegeben im Auftrag des Bundesministeriums für 

Wirtschaft und Technologie, Nr. 571, Berlin April 2008. 

[Roßn01] A. Roßnagel, Das neue Recht elektronischer Signaturen, in: Neue 

Juristische Woche 2001, S. 1817-1826. 

[Roßn03] A. Roßnagel: Handbuch Datenschutzrecht – Die neuen Grundlagen für 

Wirtschaft und Verwaltung, Beck 2003. 

[RoPf03] A. Roßnagel, A. Pfitzmann, Der Beweiswert von E-Mail, NJW (Neue 

Juristische Wochenschrift) 56/17 vom 22. April 2003, SS.1209-1214. 

[Roßn03a] A. Roßnagel, Das elektronische Verwaltungsverfahren, in: Neue Juristische Woche 

2003, S. 469-475. 

[Roßn03b] A. Roßnagel, Die fortgeschrittene elektronische Signatur, in: Multimedia 

und Recht (MMR) 2003, S. 164-170. 

[Roßn05] A. Roßnagel, Recht der Multimediadienste, Kommentar, Beck 2005. 

[RoWi06] A. Roßnagel, D. Wilke, Die rechtliche Bedeutung gescannter Dokumente. 

In: Neue 

Juristische Woche 2006, S. 2145-2150. 

[Roßn11] A. Roßnagel, Rechtsverbindliche Telekooperation, in: Schulte/Schröder 

(Hrsg.), Handbuch des Technikrechts, 2. Auflage, Berlin Heidelberg 2011. 

[RFJK07] A. Roßnagel, S. Fischer-Dieskau, S. Jandt, M. Knopp, Langfristige 

Aufbewahrung elektronischer Dokumente, Anforderungen und Trends, Band 17 der 

Reihe „Der elektronische Rechtsverkehr“, Nomos 2007. 

[SCATE] A. Roßnagel, S. Fischer-Dieskau, S. Jandt, D. Wilke, Scannen von 

Papierdokumenten – Anforderungen, Trends und Empfehlungen, Band 18 der 

Reihe „Der elektronische Rechtsverkehr“, Nomos, 2008. 

[Scha11] P. Schaar, 23. Tätigkeitsbericht des Bundesdatenschutzbeauftragten für die Jahre 

2009 und 2010 , v. 12.04.2011. 

[ScWi10] H. J. Schaffland, N. Wiltfang, Bundesdatenschutzgesetz, Loseblattsammlung, 

Erich Schmidt 2010. 



[Schu09] R. Schulze et al., Bürgerliches Gesetzbuch, Kommentar, 6. Auflage, 

Nomos 2009. 

[ScSc10] A. Schönke, H. Schröder, Strafgesetzbuch, Kommentar, 28. Auflage, Beck 

2010. 

[Simi06] S. Simitis, Bundesdatenschutzgesetz, Kommentar, Nomos 2006. 

[Simi11] S. Simitis, Bundesdatenschutzgesetz, Kommentar, Nomos 2011. 

[StBS08] P. Stelkens, J. Bonk, M. Sachs, Verwaltungsverfahrensgesetz, Kommentar, 

Beck 2008. 

[Wilk11] D. Wilke, Die rechtssichere Transformation von Dokumenten - Rechtliche 

Anforderungen an die Technikgestaltung und rechtlicher Anpassungsbedarf, 

Nomos 2011. 

[WiKl10] N. Winkeljohann, B. Klein, Beck´scher Bilanzkommentar, 7. Auflage, Beck 

2010. 

[Zöll07] R. Zöller, Zivilprozessordnung, Kommentar, 26. neubearbeitete Auflage, 

Otto Schmidt. 



R.1 – Exemplarische Schutzbedarfsanalysen (informativ) 

Wie in Anlage Fehler: Referenz nicht gefunden erläutert, MUSS jeder Anwender der TR-RESISCAN 

eine fachliche Schutzbedarfsanalyse durchführen, um den konkreten Schutzbedarf für seine zu 

verarbeitenden Datenobjekte zu ermitteln. 

Um diesen Prozess zu unterstützen, werden im Folgenden einige beispielhafte Betrachtungen zum 

Schutzbedarf ausgewählter Dokumenttypen angestellt, die zur Orientierung dienen können. Hierbei 

werden folgende Dokumenttypen betrachtet: 

1. - Gerichtsakten 

2. - Verwaltungsunterlagen 

3. - Sozialversicherungsunterlagen 

4. - Medizinische Dokumentation 

5. - Kaufmännische Buchführungsunterlagen 

6. - Besteuerungsunterlagen 

7. - Personalakten 

Ob die Schadensauswirkungen „nicht nennenswert“, „beträchtlich“, „existentiell bedrohlich“ oder 

„katastrophal“ sind, ist von den konkreten Gegebenheiten des jeweiligen Geschäftsvorfalles abhängig. 1 

Deshalb MUSS die in diesem Abschnitt beispielhaft dargestellte fachliche Schutzbedarfsanalyse von 

einem Anwender der vorliegenden Technischen Richtlinie vor dem Hintergrund eines konkreten 

Anwendungsfalls geprüft und entsprechend festgestellt werden. 

Es werden vorliegend lediglich bundesrechtliche Vorschriften dargestellt. Jede Stelle MUSS 

selbständig prüfen, ob für sie Bundes- oder Landesrecht zur Anwendung kommt. 

R.1.1 Gerichtsakten 

Aus dem Rechtsstaatsprinzip des Art. 20 Abs. 1 GG und der Garantie des umfassenden und des 

effektiven Rechtsschutzes nach Art. 19 Abs. 4 GG durch unabhängige Gerichte lässt sich im Interesse 

einer funktionsfähigen Rechtspflege eine Aktenführungspflicht sowie die Pflicht zur Aufbewahrung 

von Akten herleiten [BVerfG 54, 277, 291; Wilk11, S. 84, SCATE, S. 65). Diese Verpflichtungen 

ergeben sich aus dem Recht der Verfahrensbeteiligten auf Information über den Verfahrensstoff und 

lassen sich ausschließlich durch sorgfältige und nachvollziehbare Aktenführung und die Gewährung 

der Akteneinsicht 2 verwirklichen. 

Gerichtsakten, die für ein Verfahren nicht mehr erforderlich sind, sind nach Beendigung des 

Verfahrens gemäß § 1 Abs. 1 Schriftgutaufbewahrungsgesetz (SchrAG) 3 so lange aufzubewahren, wie 

ein schutzwürdiges Interesse der Verfahrensbeteiligten oder sonstiger Personen oder ein öffentliches 

Interesse ihre Erhaltung erfordern. Bei der Bestimmung der Aufbewahrungsfristen ist nach § 2 Abs. 2 

Satz 2 Nr. 2 SchrAG ist ein Interesse der Verfahrensbeteiligten an Ausfertigungen, Auszügen oder 

Abschriften aus den Gerichtsakten auch nach Beendigung des Verfahrens zu berücksichtigen. Ebenso 

kann nach § 2 Abs. 2 Satz 2 Nr. 4 SchrAG das Interesse von Verfahrensbeteiligten, Gerichten oder 

Justizbehörden bestehen, die Gerichtsakten nach Abschluss des Verfahrens für Wiederaufnahmeverfahren, 

zur Wahrung der Rechtseinheit, zur Fortbildung des Rechts und für sonstige verfahrensübergreifende 

Zwecke der Rechtspflege zur Verfügung stehen zu haben. 

1 Zur Definition der Schadenskategorien siehe ##Verweis auf Tabelle in TR## 

2 Dieses Recht ergibt sich unmittelbar aus dem Recht auf rechtliches Gehör (Art. 103 Abs. 1 GG) und informationelle 

Selbstbestimmung (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG). 

3 Gesetz zur Aufbewahrung von Schriftgut der Gerichte des Bundes und des Generalbundesanwalts nach Beendigung des 

Verfahrens - Schriftgutaufbewahrungsgesetz vom 22. März 2005 (BGBl. I S. 837, 852). 



Die Prozessordnungen enthalten ergänzende Vorschriften zur Führung und Aufbewahrung von 

Prozessakten. Um im Gerichtsverfahren eine elektronische Aktenführung zu ermöglichen, wurden in 

den jeweiligen Prozessordnungen entsprechende Regelungen getroffen, z.B. §§ 298 und 298a ZPO für 

den Zivilprozess [Baum10, Anhang nach § 298a Rn.1] und § 55b VwGO 4 für Verwaltungsgerichte. 5 

Gemäß § 298a Abs. 2 ZPO können die in Papierform eingereichten Unterlagen zur Ersetzung der 

Urschrift in ein elektronisches Dokument umgewandelt werden. Nach § 298a Abs. 3 ZPO ist hierfür 

Voraussetzung, dass das elektronische Dokument einen Vermerk über die verantwortliche Person und 

den Zeitpunkt der Übertragung enthält. Darüber hinaus werden keine weiteren Anforderungen an die 

Ausgestaltung des Vermerks gestellt [Wilk11, S. 86], [Greger in Zöll07, § 298a Rn. 2]. Es wird 

grundsätzlich zwischen Akten laufender Verfahren und Akten rechtskräftig abgeschlossener Verfahren 

differenziert. Die Originaldokumente sind nach § 298a Abs. 2 S. 2 ZPO mindestens bis zum 

rechtskräftigen Abschluss des Gerichtsverfahrens aufzubewahren, falls sie noch in Papierform 

benötigt werden. Bei laufenden Gerichtsverfahren verschiebt sich der Zeitpunkt der Vernichtung oder 

Rückgabe der Originale auf den rechtskräftigen Abschluss des Gerichtsverfahrens. 6 Die Vorschriften 

des Schriftgutaufbewahrungsgesetzes gelten gemäß § 1 Abs. 2 S. 2 SchrAG für elektronisch geführte 

Akten entsprechend. 

Nach rechtskräftigem Abschluss eines Verfahrens können Prozessakten gemäß § 299a ZPO zur 

Ersetzung der Originale nicht nur auf einem Bildträger (Mikrofilm), sondern auch auf anderen 

Datenträgern (digitale Speichermedien) wiedergegeben werden, sofern die Übertragung nach den 

Grundsätzen der Ordnungsmäßigkeit erfolgt und ein schriftlicher Nachweis darüber vorliegt, dass die 

Wiedergabe mit der Urschrift übereinstimmt. 7 Werden diese erfüllt, können die Papierakten vernichtet 

oder zurückgegeben werden [Musi12, § 299a ZPO, Rn. 1, 2]. Somit besteht zwar eine grundsätzliche 

Möglichkeit für das ersetzende Scannen von Gerichtsakten, jedoch ist die konkrete Ausgestaltung der 

erforderlichen Verwaltungsbestimmungen durch den Gesetzgeber unklar [SCATE, S. 67]. 

Aus den oben genannten Regelungen ergeben sich folgende Kriterien für die Ausgestaltung der 

Aufbewahrung von Gerichtsakten: 

• umfassender und effektiver Rechtsschutz, 

• funktionsfähige Rechtspflege, 

• das Recht auf Akteneinsicht 

• die Fortbildung des Rechts sowie 

• Vertrauen in die Justiz. 

Darüber hinaus existieren noch weitere Kriterien, die allerdings nur bei einer einzelfallbezogenen 

Schutzbedarfsanalyse herangezogen werden können, wie z. B. die Bedeutung des Dokuments im 

Prozess, z.B. als Beweismittel oder fristwahrendes Schriftstück. Aus diesem Grund kann die hier 

vorgenommene Schutzbedarfsanalyse nur beispielhaft sein. Es sind die Kriterien im konkret 

vorliegenden Fall zu bewerten, um den Schutzbedarf für den jeweiligen Anwendungsfall zu ermitteln. 

4 Im Gegensatz zu § 298a ZPO spricht § 55b VwGO jedoch nicht vom "Ersetzen der Urschrift", weshalb § 55 VwGO in 

erster Linie der Vermeidung von Medienbrüchen dient (auch Hybridakten genannt [BeckOK VwGO, § 55b, Rn. 1]), und 

keine ersetzende Transformation zulässt. 

5 Identische Regelungen finden sich auch für Sozialgerichte in § 55b SGO, für Finanzgerichte in § 52b FGO, für 

Arbeitsgerichte in § 46e ArbGG, für Verfahren in Familiensachen und in den Angelegenheiten der freiwilligen 

Gerichtsbarkeit in § 14 FamFG und für die elektronische Grundakte in § 138 GBO; die Strafprozessordnung sieht eine 

elektronische Aktenführung nicht vor (siehe aber § 110b OWiG für Bußgeldverfahren). 

6 Wird im Folgenden auf ein „abgeschlossenes Verfahren“ abgestellt, hat seine gerichtliche Entscheidung bereits 

Rechtskraft erlangt. 

7 In diesem Fall können die Gerichte den Prozessbeteiligten anstelle der Urschriften Ausfertigungen, Auszüge und 

Abschriften von dem Bild- oder Datenträger erteilen. 



Anwendungsgebiet Vorschriften zum 

ersetzenden Scannen 

Gerichtsakten Für rechtskräftig 

abgeschlossene Verfahren: 

§ 299a ZPO für Prozessakten 

Für laufende Gerichtsverfahren: 

§§ 298, 298a ZPO in Papierform 

eingereichte Schriftstücke 

Voraussetzungen für die Vernichtung der 

Papieroriginale 

Übertragung des Papierdokuments nach 

„ordnungsgemäßen Grundsätzen“. 

schriftlicher Nachweis über die Übereinstimmung 

mit der Urschrift. 

Vermerk im Scanprodukt (verantwortliche 

Person und Zeitpunkt der Übertragung). 

Vernichtung der Originale oder Rückgabe 

nach einem rechtskräftigen Abschluss des 

Verfahrens möglich. 

Tabelle 1: Vorschriften und Voraussetzungen für das ersetzende Scannen von Gerichtsakten am Beispiel 

der Zivilprozessakte 




Integrität 8 hoch bis sehr hoch Bei laufenden Verfahren könnte jede unsichtbare 

Veränderung den Ausgang des Prozesses beeinflussen. 

normal Bei abgeschlossenen Verfahren besteht kein Risiko für 

die ordnungsgemäße Verfahrensdurchführung und 

Rechtskonformität des Gerichtsverfahrens selbst. 

Authentizität hoch bis sehr hoch Ohne einen eindeutigen Bezug zum Aussteller des 

Originals verliert das Dokument seine Aussagekraft 

und kann teilweise seine Funktion nicht mehr erfüllen. 

Vollständigkeit sehr hoch Der Wert einer Akte ergibt sich gerade aus der 

Gesamtheit der in ihr enthaltenen Einzeldokumente. 

Nachvollziehbarkeit normal Bis zum Eintritt der rechtskräftigen gerichtlichen 

Entscheidung werden die Papierdokumente aufbewahrt 

(Heranziehen von Originalen ist möglich). 

Urteile können für weitere Prozesse sowie für die 

Fortbildung des Rechts von Bedeutung sein. 

Verfügbarkeit sehr hoch Für laufende Prozesse müssen die bei Gericht mit dem 

Verfahren betrauten Personen auf die Akten zugreifen 

können und es besteht ein Recht auf Akteneinsicht 

(§ 299 ZPO). 

sehr hoch Für abgeschlossene Prozesse könnte ein schutzwürdiges 

Interesse der Verfahrensbeteiligten oder 

Dritter sowie ein öffentliches Interesse an der 

Erhaltung der Akten bestehen. 

Lesbarkeit normal Bei laufenden Prozessen kann grundsätzlich auf 

Papierdokumente zurückgegriffen werden (§ 298a Abs. 

2 S. 3 ZPO). 

sehr hoch Bei abgeschlossenen Prozessen müssen die Dokumente 

während der Aufbewahrungsfrist dauerhaft sichtbar 

gemacht werden können. 

Verkehrsfähigkeit sehr hoch Die Dokumente müssen zwischen den Gerichten, 

Rechtsanwälten sowie den Vertragsparteien ausgetauscht 

werden können (Recht auf Akteneinsicht 

gemäß § 299 ZPO). 

Vertraulichkeit sehr hoch Personenbezogene Daten und Geschäftsgeheimnisse 

müssen vor einer unbefugter Kenntnisnahme geschützt 


Löschbarkeit hoch bis sehr hoch Jede einzelne Akte muss nach Ablauf der jeweiligen 

Aufbewahrungsfrist gelöscht werden können. Bei ihrer 

Bestimmung sind nach § 2 Abs. 2 Satz 2 SchrAG auch 

die Interessen der Verfahrensbeteiligten, Dritter oder 

der Öffentlichkeit an der weiteren Aufbewahrung zu 

berücksichtigen. 

Tabelle 2: Schutzbedarf für Gerichtsakten 

8 Eine genaue Einschätzung der Einzelfälle ist hier nicht möglich, da weitere Kriterien wie z. B. die mögliche 

Schadenshöhe und der genaue Dokumententyp im Gerichtsverfahren zu berücksichtigen sind. 



R.1.2 Verwaltungsunterlagen 

Ebenso wie die Gerichtsbarkeit ist auch die Verwaltung aufgrund des Rechtsstaatsprinzips nach 

Art. 20 Abs. 2 und Abs. 3 GG und des Grundsatzes des fairen, objektiven und wahrheitsgetreuen 

Verwaltungsverfahrens zur Aktenführung und zur Dokumentation verpflichtet. Diese Pflicht ergibt 

sich mittelbar aus dem Recht der Verfahrensbeteiligten auf Akteneinsicht gemäß § 29 VwVfG (siehe 

[BVerfG, NJW 1983, 2135], [BVerwG, NVwZ 1988, 621, 622], [Bonk/Kallerhoff in StBS08 § 29 

Rn. 29, 30]). Die allgemeine Dokumentationspflicht umfasst die Aufgabe der Verwaltung, 

ordnungsgemäß Akten zu führen und alle wesentlichen Vorgänge, die für die Durchführung des 

Verwaltungsverfahrens und für seine spätere Nachvollziehbarkeit relevant sind, in Niederschriften 

oder Aktenvermerken festzuhalten, Schriftwechsel aufzubewahren und so den gesamten Vorgang 

aktenkundig zu machen [Bonk/Kallerhoff in StBS08, § 29 Rn. 29, 30], [Herrmann in BaRo11, § 29 

Rn. 8]. Neben dem Gebot der Aktenmäßigkeit werden die Gebote der Vollständigkeit und der 

wahrheitsgetreuen Aktenführung differenziert [KoRa08, § 29 Rn. 11a]. Fehler der Vollständigkeit 

oder der inhaltlichen Richtigkeit können im Streitfall zu einer Umkehr der Beweislast führen [OVG 

Mecklenburg-Vorprommern, NvwZ 2002], [Bonk/Kallerhoff in StBS08, § 29 Rn. 11a]. 

Die Akten- und Geschäftsordnungen des Bundes, der Länder und der Gemeinden sehen heute neben 

der papierbasierten auch eine elektronische Aktenführung und Aufbewahrung vor. Nach § 12 GGO 

(Gemeinsame Geschäftsordnung der Bundesministerien) sind elektronische Verfahren in den 

Arbeitsabläufen dieser Behörden soweit wie möglich zu nutzen. Voraussetzung hierfür ist gemäß § 12 

Abs. 2 S. 1 GGO, dass der Stand und die Entwicklung der Vorgangsbearbeitung jederzeit (im Rahmen 

der Aufbewahrungsfristen) aus den in Papierform oder elektronisch geführten Akten nachvollziehbar 

sind [SCATE, S. 68]. Die Nachvollziehbarkeit setzt insbesondere voraus, dass die Akte vor 

Veränderungen geschützt ist und die jeweiligen Urheber und Erstellungszeitpunkte der Dokumente 

dauerhaft festgestellt werden können [Fisc06, S. 39 f.], [AgElVa11, Abs. 11, 22]. Neben der Nachvollziehbarkeit 

müssen die einzelnen Dokumente zweifelsfrei identifizierbar bleiben, wieder 

auffindbar sein sowie mit den übrigen Dokumenten desselben Vorgangs in Beziehung gesetzt werden 

können [Bonk/Kallerhoff in StBS08, § 29 Rn. 2 GGO sind die Einzelheiten der Dokumenten- und 

Aktenverwaltung der Bundesministerien der Registraturrichtlinie (RegR) 9 zu entnehmen. Nach der 

amtlichen Erläuterung zu § 6 RegR können bei ausschließlich elektronisch gespeichertem Schriftgut 

Eingänge in Papierform, die nicht an den Einsender zurückgeschickt werden, und Ausgänge, bei denen 

in Papierform abschließend gezeichnet wurde, nach elektronischer Erfassung vernichtet werden, 

soweit die Aufbewahrung dieser Dokumente nicht von anderen Vorschriften erfasst wird. Konkrete 

Anforderungen an den Transformationsprozess werden nicht definiert [Wilk11, S. 91]. Ebenso finden 

sich keine differenzierten Regelungen beim ersetzenden Scannen im Hinblick auf den Stand des 

Verwaltungsverfahrens. 

Aus den oben genannten Regelungen ergeben sich folgende Kriterien für die Ausgestaltung der Aufbewahrung 

von Verwaltungsunterlagen: 

• Fairness, Objektivität und Wahrheitstreue des Verwaltungsverfahrens (Verbot der 

Aktenverfälschung), 

• Recht auf Akteneinsicht, 

• Aktenmäßigkeit und 

• Vollständigkeit der Aktenführung. 

Darüber hinaus sind die Akteninhalte häufig Grundlage für die Bewertungen der Mitarbeiter im 

öffentlichen Dienst und sie dienen als Beweismittel in Widerspruchs- und Gerichtsverfahren. 

9 Abzurufen unter http://www.bmi.bund.de/SharedDocs/Downloads/DE/Broschueren/2001/Moderner_Staat_- 

_Moderne_Id_50242_de.html?nn=102768 . 



Anwendungsgebiet Vorschriften zum ersetzenden 

Scannen 

Verwaltungsunterlagen § 6 RegR für Dokumente der 

Bundesministerien 

Voraussetzungen für die Vernichtung 

oder Rückgabe der Papieroriginale 

Papiereingang, wenn er nicht an den 

Einsender zurückgesandt wird. 

Papierausgang, wenn er abschließend 

in Papierform gezeichnet ist. 10 

Tabelle 3: Vorschriften und Voraussetzungen für das ersetzende Scannen von Verwaltungsunterlagen 


Integrität hoch bis sehr hoch Verbot der Aktenverfälschung: Jede unsichtbare 

Veränderung könnte den Ablauf des Verwaltungsverfahrens 

beeinflussen. 

Authentizität sehr hoch Für die Rekonstruktion des Vorgangs muss der 

jeweilige Urheber (Aussteller des Originals, 

Ersteller des Transfervermerks etc.) der einzelnen 

Dokumente und Datenobjekte festgestellt werden 

können. 



Nachvollziehbarkeit sehr hoch Dient der ordnungsgemäßen Erfüllung Aufbewahrungspflicht 

der Verwaltungsbehörden. 

Verfügbarkeit sehr hoch Recht auf Akteneinsicht der beteiligten Personen 

(§ 29 VwVfG). 

Lesbarkeit sehr hoch Die Dokumente müssen dauerhaft sichtbar gemacht 

werden können, um das Handeln der Behörden 

später rekonstruieren und überprüfen zu können. 

Verkehrsfähigkeit sehr hoch Die Dokumente müssen zwischen den Behörden, 

Aufsichtsinstanzen, Parlamenten und Verfahrensbeteiligten 

ausgetauscht werden können. 

Vertraulichkeit sehr hoch Personenbezogene Daten und Betriebsgeheimnisse 

müssen vor unbefugter Kenntnisnahme geheim 

gehalten und geschützt werden können. 

Löschbarkeit hoch Soll möglich sein, wenn feststeht, dass das Schriftgut 

der Verwaltung nicht mehr erforderlich ist, um 

seine die Gesetzmäßigkeit der Verwaltung sichernde 

Funktion erfüllen zu können. 

Tabelle 4: Exemplarische Schutzbedarfsanalyse für Verwaltungsunterlagen 

10 In diesem Fall sollte jedoch im konkreten Anwendungsfall geprüft werden, ob der Dokumentenausgang nicht 

elektronisch erfolgen kann oder ob die Aufbewahrung einer inhaltlich mit dem Ausgangsschreiben übereinstimmenden 

elektronischen Kopie, die ohne einen Scanvorgang erstellt werden kann, ausreichend ist. 



R.1.3 Sozialversicherungsunterlagen 

Für den Bereich der Sozialversicherung hat der Gesetzgeber Vorschriften eingeführt, die die 

Aufbewahrung elektronisch erzeugter bzw. in die elektronische Form transformierter Dokumente 

betreffen. Nach § 110a Abs. 2 S. 1 SGB IV kann die Sozialversicherungsbehörde an Stelle der 

schriftlichen Unterlagen diese als Wiedergabe auf einem Bildträger oder auf einem anderen 

dauerhaften Datenträger aufbewahren, soweit dies unter Beachtung der Wirtschaftlichkeit und 

Sparsamkeit erfolgt und den Grundsätzen der ordnungsgemäßen Aufbewahrung 11 entspricht. Dabei 

muss gemäß § 110a Abs. 2 S. 2 Nr. 1a) SGB IV sichergestellt sein, dass bei der Erfassung und bei der 

Wiedergabe der schriftlichen Unterlage die bildliche und die inhaltliche Übereinstimmung – wenn sie 

lesbar gemacht werden – mit dem Original gewährleistet ist. Über die Feststellung der 

Übereinstimmung ist ein Nachweis zu führen. Darüber hinaus müssen die Unterlagen während der 

Dauer der Aufbewahrungsfrist jederzeit zur Verfügung stehen und unverzüglich inhaltlich und bildlich 

lesbar gemacht werden können. Entsprechend § 110b SGB IV können Unterlagen, die für die 

öffentlich-rechtliche Tätigkeit nicht mehr erforderlich und nach § 110a Abs. 2 SGB IV digitalisiert 

wurden, zurückgegeben oder vernichtet werden. Eine Vernichtung darf nach § 110b Abs. 3 SGB IV 

jedoch nur dann erfolgen, soweit kein Grund zur Annahme besteht, dass durch die Vernichtung der 

Dokumente schutzwürdige Interessen des Betroffenen beeinträchtigt werden. 

Eine Spezialregelung hat der Gesetzgeber für die Aufbewahrung transformierter Dokumente in § 110d 

Nr. 1 SGB IV getroffen. Hiernach dürfen Unterlagen, die gemäß § 110a Abs. 2 SGB IV auf 

dauerhaften Datenträgern aufbewahrt werden, von der Sozialbehörde ihrer öffentlich-rechtlichen 

Verwaltungstätigkeit zugrunde gelegt werden, sofern sie mit einer dauerhaft überprüfbaren, 

qualifizierten elektronischen Signatur versehen wurden und nach den Umständen des Einzelfalls kein 

Anlass besteht, ihre Richtigkeit zu beanstanden. Nach § 110d Nr. 1 SGB IV sind eingescannte 

Unterlagen entweder von der Person zu signieren, die die elektronische Wiedergabe hergestellt hat 

oder von der Person, die unmittelbar nach der Herstellung der Wiedergabe die bildliche und 

inhaltliche Übereinstimmung von Original- und Zieldokument überprüft hat. Die Regelungen des 

ersetzenden Scannens begründen die Zulässigkeit sowohl im laufenden Verfahren als auch für die 

Aufbewahrung von Dokumenten nach dem Abschluss des Verfahrens [SCATE, S. 72]. 

Für den Bereich der Sozialversicherung gelten die gleichen Regelungen wie für den Bereich der 

Verwaltung, so dass die Kriterien für die Ausgestaltung der Aufbewahrung von Verwaltungsunterlagen 

auch auf die Aufbewahrung von Sozialversicherungsunterlagen übertragen werden können: 

• Fairness, Objektivität und Wahrheitstreue des Verwaltungsverfahrens (Verbot der 

Aktenverfälschung), 

• Recht auf Akteneinsicht (§ 25 SGB X), 

• Aktenmäßigkeit und 

• Vollständigkeit der Aktenführung. 

11 Nach § 110c Abs. 1 SGB IV können die Spitzenverbände der Träger der Sozialversicherung und die Bundesagentur für 

Arbeit Verwaltungsvereinbarungen abschließen, die das Nähere zu den Grundsätzen ordnungsgemäßer Aufbewahrung 

regeln. 




Scannen 

Sozialversicherungsunterlagen 


oder Rückgabe der Papieroriginale 

§ 110a Abs. 2 SGB IV Übertragung nach den Grundsätzen 

ordnungsgemäßer Aufbewahrung. 

Dabei gilt insbesondere zu beachten: 

Speicherung auf einem dauerhaften 

Träger 

bildliche und inhaltliche Übereinstimmung 

Übereinstimmungsnachweis 

jederzeitige lesbare Verfügbarkeit 

§ 110d SGB IV: Spezialvorschrift 

für Dokumente, die 

der öffentlich-rechtlichen 

Verwaltungstätigkeit zugrunde 

liegen 

Eingescannte Dokumente sind 

zusätzlich qualifiziert elektronisch zu 

signieren. 

Tabelle 5: Vorschriften und Voraussetzungen für das ersetzende Scannen von Sozialversicherungsunterlagen 


Integrität hoch bis sehr hoch Verbot der Aktenverfälschung: Jede unsichtbare 

Veränderung könnte den Ablauf des Sozialversicherungsverfahrens 

beeinflussen. 

Authentizität sehr hoch Für die Rekonstruktion des Vorgangs muss der jeweilige 

Urheber (Aussteller des Originaldokuments, 

Ersteller des Transfervermerks etc.) der einzelnen 

Dokumente und Datenobjekte festgestellt werden 

können. 



Nachvollziehbarkeit sehr hoch Dient der ordnungsgemäßen Erfüllung der Aufbewahrungspflicht 

der Behörden. 

Verfügbarkeit sehr hoch Recht auf Akteneinsicht (§ 25 SGB X). 

Lesbarkeit sehr hoch Die Dokumente müssen dauerhaft sichtbar gemacht 

werden können, um das Handeln der Behörden 

später rekonstruieren zu können. 

Verkehrsfähigkeit sehr hoch Die Dokumente müssen zwischen den Behörden und 

Verfahrensbeteiligten ausgetauscht werden können 

(Recht auf Akteneinsicht nach § 25 SGB X). 

Vertraulichkeit sehr hoch Sozialversicherungsrechtliche Dokumentation enthält 

sensible personenbezogene Daten. 



Löschbarkeit hoch Dokumente müssen nach Ablauf der jeweiligen 

Aufbewahrungsfrist gelöscht werden können (§ 110b 

Abs. 1 SGB IV). 

Tabelle 6: Exemplarische Schutzbedarfsanalyse für Sozialversicherungsunterlagen 

R.1.4 Medizinische Dokumentation 

Nach § 10 der Musterberufsordnung für deutsche Ärztinnen und Ärzte (MBO-Ä 1997) 12 ist jeder Arzt 

zur Dokumentation aller in Ausübung seines Berufs gemachten Feststellungen und getroffenen 

Maßnahmen verpflichtet. Die Dokumentation ist gemäß § 10 Abs. 3 MBO-Ä mindestens zehn Jahre 

nach Abschluss der Behandlung aufzubewahren, soweit nicht nach gesetzlichen Vorschriften eine 

längere Aufbewahrungsfrist besteht. Anderen behandelnden Ärzten ist die Dokumentation auf 

Verlangen des Patienten zugänglich zu machen. 13 

Die medizinische Dokumentation ermöglicht es dem Patienten in erster Linie, Kenntnis über den 

Behandlungsverlauf zu erlangen. Sie ist damit eine wesentliche Voraussetzung dafür, dass der Patient 

sein Recht ausüben kann, anderweitig sachkundige Auskünfte über seinen Gesundheitszustand sowie 

über einen weiteren Behandlungsbedarf einzuholen [SCATE, S. 74], [Fisc06, S. 34]. Als weitere im 

Interesse des Patienten liegende medizinische Dokumentationszwecke sind inzwischen die Therapiesicherung 

und die Erfüllung der Rechenschaftspflicht der Ärzte anerkannt [Wilk11, S. 102]. Hingegen 

ist es umstritten, ob die medizinische Dokumentenerstellung auch zum Zwecke der gerichtlichen und 

außergerichtlichen Beweissicherung erfolgt und demzufolge den Umfang der zu erstellenden 

Dokumentation bestimmt [QuZu08, § 12 Rn. 71], [Wilk11, S. 102]. Allerdings erscheint es angesichts 

des im medizinischen Bereich hohen Schadensrisikos für den Patienten und seines Unvermögens, 

selbst eine für die Beweisführung notwendige Dokumentation zu führen, sachgerecht, die 

Beweissicherung als einen Dokumentationszweck anzusehen. 

Nach § 10 Abs. 5 MBO-Ä ist die medizinische Dokumentation originär elektronisch auf Datenträgern 

oder anderen Speichermedien zulässig, wenn besondere Sicherungs- und Schutzmaßnahmen getroffen 

werden, um eine Veränderung, Vernichtung oder unrechtmäßige Verwendung der Dokumente zu 

verhindern. Die Archivierung hat so zu erfolgen, dass über den Verbleib der Behandlungsunterlagen 

jederzeit Klarheit besteht [BGH, NJW 1996, 779, 780], [RoWi06, S. 2146]. Gemäß § 57 Abs. 1 

Bundesmantelvertrag-Ärzte (BMV-Ä) 14 und der entsprechenden Bestimmung in § 13 Abs. 10 

Bundesmantelvertrag-Ärzte/Ersatzkassen (EKV) 15 hat der Vertragsarzt die Befunde, seine 

Behandlungsmaßnahmen und die veranlassten Leistungen einschließlich des Behandlungstags in 

geeigneter Weise zu dokumentieren. Die Dokumentation ist mindestens zehn Jahre nach Abschluss 

der Behandlung aufzubewahren. Dabei kann die Aufbewahrung nach § 57 Abs. 2 BMV-Ä und 

§ 13 Abs. 11 EKV in elektronischer Form erfolgen. 

Jedoch enthält weder die MBO-Ä noch der EKV eine ausdrückliche Regelung, nach der es gestattet 

wäre, jeweils die papiernen Dokumente nach der Digitalisierung zu vernichten oder eine elektronische 

Dokumentation in ein anderes Format zu überführen [RoWi06, S. 2147], [SCATE, S. 75]. 

Klarer ist die Rechtslage bei Röntgenbildern und sonstigen Aufzeichnungen nach § 28 Abs. 1 S. 2 

Röntgenverordnung (RöntgenVO), die mit einer Röntgenuntersuchung in Zusammenhang stehen 

[SCATE, S. 75], [Wilk11, S. 103]. Sie können nach § 28 Abs. 4 RöntgenVO als Wiedergabe auf 

einem Bild- oder Datenträger aufbewahrt werden, wenn sichergestellt ist, dass die Wiedergaben oder 

die Daten mit den Bildern oder Aufzeichnungen bildlich oder inhaltlich übereinstimmen und während 

der Dauer der Aufbewahrungsfrist innerhalb angemessener Zeit lesbar gemacht werden können. Es 

muss sichergestellt sein, dass während der Aufbewahrungszeit keine Informationsveränderungen und 

12 MBO-Ä 1997 in der Fassung der Beschlüsse des 100. Deutschen Ärztetages 1997 in Eisenach, zuletzt geändert am 

24.11.2006; abrufbar unter http://www.bundesaerztekammer.de/page.asp?his=1.100.1143. 

13 Siehe z. B. auch § 23 Nr.3 Hess. HeilbG; § 30 Abs. 3 S. 1 HBKG BW; § 30 Nr. 3 HeilbG NRW. 

14 Stand. 01.01.2011; abrufbar unter http://www.kbv.de/rechtsquellen/2310.html. 

15 Stand. 01.01.2011; abrufbar unter http://www.kbv.de/rechtsquellen/2310.html. 



Informationsverluste eintreten können. Nach § 28 Abs. 3 RöntgenVO sind Röntgenaufnahmen zehn 

Jahre und Aufzeichnungen über Röntgenbehandlungen 30 Jahre aufzubewahren. 


Aufbewahrung medizinischer Dokumentation: 

• Akteneinsicht (Patient), 

• Therapiesicherung, 

• Erfüllung der Rechenschaftspflicht des Arztes, 

• Zuordnung der Verantwortlichkeit sowie 

• Beweisführung und Beweissicherung. 

Anwendungsgebiet Vorschriften zum 

ersetzenden Scannen 

Medizinische 

Dokumentation 



§ 28 Abs. 4 RöntgenVO Bildliche und inhaltliche Übereinstimmung 

16 

Herstellung der Lesbarkeit innerhalb angemessener 

Zeit 

keine Informationsveränderungen und 

Informationsverluste 

Tabelle 7: Vorschriften und Voraussetzungen für das ersetzende Scannen medizinischer Dokumentation 


Integrität sehr hoch Jede unsichtbare Veränderung könnte den Verlauf 

einer aktuellen oder zukünftigen Behandlung beeinflussen 

und unter Umständen die Gesundheit und das 

Leben des Patienten/der Patientin beeinträchtigen. 

Authentizität hoch bis sehr hoch Die Authentizität des Originals – und ggf. der im 

Rahmen des Scanprozesses daraus abgeleiteten Datenobjekte 

– ist für mögliche Schadensersatzprozesse von 

hoher Relevanz. 



Nachvollziehbarkeit sehr hoch Dient der ordnungsgemäßen ärztlichen Dokumentations- 

und Aufbewahrungspflicht. 

Verfügbarkeit sehr hoch Medizinische Daten können für die spätere Behandlung 

des Patienten benötigt werden. Unter Umständen 

müssen medizinische Daten eines Kindes bis ins hohe 

Alter aufbewahrt werden, weil ihre Kenntnisse auch 

dann relevant sein können. 

Lesbarkeit sehr hoch Die Dokumente müssen dauerhaft für eine mögliche 

weitere Behandlung sichtbar gemacht werden können. 

Verkehrsfähigkeit sehr hoch Für einen Austausch z. B. zwischen mehreren behandelnden 

Ärzten und Krankenkassen; auch das 

16 Bei der Erfassung von medizinisch relevanten Dokumenten (z.B. Röntgenbilder) werden unter Umständen höhere 

Anforderungen bzgl. der Auflösung der Scanprodukte gestellt. Deshalb müssen die geeigneten Scanparameter jeweils in 

Abhängigkeit von den verarbeiteten Dokumenttypen gewählt werden. 



Akteneinsichtsrecht des Patienten. 

Vertraulichkeit sehr hoch Medizinische Dokumentation enthält vor allem 

besonders schützenswerte personenbezogene Daten 

gemäß § 3 Abs. 9 BDSG. 

Löschbarkeit sehr hoch Patientenakten müssen nach Ablauf der jeweiligen 

Aufbewahrungsfrist gelöscht werden können. 

Tabelle 8: Exemplarische Schutzbedarfsanalyse für medizinische Dokumentation 

R.1.5 Kaufmännische Buchführungsunterlagen 

Gemäß §§ 238 ff. HGB ist jeder Kaufmann zur Buchführung verpflichtet. Aus den Büchern müssen 

sich seine Handelsgeschäfte und die Lage des Vermögens des Kaufmanns und dessen Entwicklung 

übersichtlich und nachprüfbar darstellen lassen [KoRM11, § 238 Rn. 4]. Die Buchführungspflicht 

dient vor allem dem Gläubigerschutz, erfüllt eine Beweissicherungs- und Selbstinformationsfunktion 

und dient der Sicherung des Rechtsverkehrs [WiKl10, § 238 Rn. 59], [KoRM11, § 238 Rn. 4]. Jeder 

Kaufmann ist nach §§ 238 ff. HGB verpflichtet, seine Handelsbücher nach den Grundsätzen 

ordnungsgemäßer Buchführung vollständig, richtig, zeitgerecht und geordnet zu führen sowie 

zusammen mit Belegen, empfangenen und abgesendeten Handelsbriefen sechs bzw. zehn Jahre aufzubewahren. 

Diese Unterlagen sind nach § 258 HGB in Rechtsstreitigkeiten den Gerichten vorzulegen 

[SCATE, S. 72]. 

§ 239 Abs. 4 und § 257 Abs. 3 HGB ermöglichen den Kaufleuten und Handelsgesellschaften, die zur 

Buchführung verpflichtet sind, die Handelsbücher oder die sonst erforderlichen Aufzeichnungen und 

Unterlagen statt in Papierform auch als Wiedergabe auf einem Bildträger oder anderen Datenträgern 

zu führen und aufzubewahren. Unter Datenträger ist jedes Medium zu verstehen, das es ermöglicht, 

die Bücher oder Aufzeichnungen unmittelbar und jederzeit reproduzierbar festzuhalten [BMF, BT- 

Drs. 6/3538, S. 52], [Eben08, § 257 Rn 25]. Dies ermöglicht auch das Scannen und die Aufbewahrung 

von Papierdokumenten. Voraussetzung ist, dass die elektronische Aufbewahrung den „Grundsätzen 

der ordnungsgemäßen Buchführung“ (GoB) entspricht. Mithin muss sichergestellt werden, dass die 

Daten während der Dauer der Aufbewahrungsfrist verfügbar und jederzeit innerhalb einer 

angemessenen Frist lesbar gemacht werden können [KoRM11, § 239 Rn. 4]. Die Wiedergabe mit den 

empfangenen Handelsbriefen und den Buchführungsbelegen muss bildlich und mit den anderen 

Unterlagen inhaltlich übereinstimmen [Wi2010, S. 63]. Für die nähere Bestimmung der „Grundsätze 

der ordnungsgemäßen Buchführung“ bei der elektronischen Datenverarbeitung wird allgemein auf die 

vom Finanzministerium für die Steuerprüfung festgelegten Grundsätze ordnungsgemäßer 

datenverarbeitungsgestützter Buchführungssysteme (GoBS) zurückgegriffen (vgl. [GoBS], [KoRM11, 

§ 257 Rn. 25]). 17 Bei Einhaltung dieser Grundsätze sowie der sonstigen Anforderungen der §§ 239 

Abs. 4 und 257 Abs. 3 HGB dürfen die papiernen Originalunterlagen nach dem Scanvorgang 

vernichtet werden [KoRM2011, § 257 Rn. 22], [SCATE, S. 73]. 


Aufbewahrung kaufmännischer Buchführung: 

• Gläubigerschutz, 

• Beweissicherung sowie 

• der Schutz des Rechtsverkehrs. 


Scannen 


der Papieroriginale 

17 Weiter in Frage kommende Prüfungsrichtlinien, wie zum Beispiel [IDW RS FAIT 3] für Wirtschaftsprüfer, 

werden ebenso wie die GoBS von der TR-RESISCAN nicht berührt. 



Kaufmännische 

Buchführungsunterlagen 

§ 239 Abs. 4 HGB für 

Handelsbücher 

§ 257 Abs. 3 HGB für sonstige 

Unterlagen 

Einhaltung der Grundsätze der 

ordnungsgemäßen Buchführung (GoBS) 

Tabelle 9: Vorschriften und Voraussetzungen für das ersetzende Scannen von kaufmännisches 

Buchführungsunterlagen 


Integrität normal bis sehr hoch Der Grundsatz der ordnungsgemäßen Buchführung 

erfordert die Richtigkeit und Unveränderbarkeit der 

kaufmännischen Buchführung. Bei Nichteinhaltung 

der GoBS kann dem Kaufmann die Nichtanerkennung 

seiner Buchführung drohen, woraus ein 

steuerlicher Nachteil entstehen kann. 

Authentizität normal Aus dem Grundsatz ordnungsgemäßer Buchführung 

leitet sich zwar eine Pflicht zur Prüfung der 

Authentizität eingehender Geschäftsbriefe ab, aber 

gemäß § 14 Abs. 4 UStG ist die Unterschrift kein 

notwendiger Bestandteil einer vom Kaufmann 

ausgestellten Rechnung. Daher ist die Zuordnung 

des Briefes zum ausstellenden Unternehmen über 

übliche Identifikatoren z. B. den Briefkopf ausreichend. 

Vollständigkeit sehr hoch Grundsatz der ordnungsgemäßen Buchführung 

erfordert die lückenlose Erfassung aller Geschäftsvorfälle. 

Nachvollziehbarkeit sehr hoch Dient der ordnungsgemäßen Erfüllung der Aufbewahrungspflicht 

der Kaufleute. 

Verfügbarkeit sehr hoch Für die Dauer der Aufbewahrungsfrist müssen die 

Dokumente ohne zeitliche Verzögerung nutzbar 

sein. 

Lesbarkeit sehr hoch Sie ermöglicht die Prüfbarkeit der Bücher durch 

einen sachverständigen Dritten. 

Verkehrsfähigkeit hoch bis sehr hoch Bei Rechtsstreitigkeiten sind die Handelsbücher auf 

Anordnung des Gerichtes gemäß §§ 258, 259 HGB 

durch den Kaufmann vorzulegen. 

Vertraulichkeit hoch bis sehr hoch Insbesondere beim Scannen durch externe 

Dienstleister muss der Schutz von Betriebs- und 

Geschäftsgeheimnissen und personenbezogenen 

Daten besonders beachtet werden. 

Löschbarkeit sehr hoch Gemäß § 35 BDSG muss die Löschbarkeit von 

personenbezogenen Daten bzw. zumindest eine 

Möglichkeit zur Sperrung derselben gewährleistet 

sein. Im Fall der Auftragsdatenverarbeitung gemäß 

§ 11 BDSG sind Dienstleister entsprechend zu verpflichten. 

Tabelle 10: Exemplarische Schutzbedarfsanalyse für kaufmännische Buchführungsunterlagen 



R.1.6 Besteuerungsunterlagen 

Gemäß § 147 Abs. 3 AO hat die steuerpflichtige Person die für die Besteuerung relevanten Unterlagen 

für zehn, Handels- und Geschäftsbriefe sechs Jahre lang aufzubewahren. Die Aufbewahrung stellt eine 

wesentliche Grundlage für die Nachvollziehbarkeit steuerlich relevanter Vorgänge und ihrer Kontrolle 

durch das zuständige Finanzamt dar [Fisc06, S. 42]. 

Mit Ausnahme der Jahresabschlüsse, der Eröffnungsbilanz und der Unterlagen nach § 147 Abs. 1 

Nr. 4a AO können die in Abs. 1 aufgeführten Unterlagen ähnlich wie nach den Buchführungsvorschriften 

des Handelsgesetzbuches auch als Wiedergabe auf einem Bildträger oder auf anderen 

Datenträgern aufbewahrt werden. Nach § 147 Abs. 6 AO kann die Mitwirkungspflicht gegenüber der 

Finanzbehörde erfüllt werden, indem ihr Einsicht in die gespeicherten Daten gegeben wird, der 

Steuerpflichtige die Daten nach den Vorgaben der Finanzbehörde auswertet oder der Finanzbehörde 

die gespeicherten Unterlagen auf einem maschinelle verwertbaren Datenträger zur Auswertung 

überlässt. Hat sich der Steuerpflichtige gemäß § 147 Abs. 2 AO zur Aufbewahrung seiner Unterlagen 

auf Datenträgern entschlossen, sind die Grundsätze der ordnungsgemäßen Buchführung zu beachten. 

Außerdem muss gemäß § 147 Abs. 2 Nr. 1, 2 AO sichergestellt werden, dass die Wiedergabe der 

Unterlagen, wenn sie lesbar gemacht werden, mit den empfangenen Handels- und Geschäftsbriefen 

bildlich und mit den anderen Unterlagen inhaltlich überstimmen. Während der Aufbewahrungsfrist 

sind sie jederzeit verfügbar und unverzüglich lesbar gemacht und maschinell ausgewertet werden 

können. Für Steuerzwecke ist es daher zulässig, Unterlagen in Papierform zu scannen und die 

Originale anschließend zu vernichten [SCATE, S. 74], [RoWi06, S. 2146]. 

Für die in die elektronische Form transformierten Steuerunterlagen sind jedoch die Grundsätze 

ordnungsgemäßer datenverarbeitungsgestützter Buchführungssysteme (GoBS) zu beachten [GoBS], 

[Wilk11, S. 98f.]. 


Aufbewahrung steuerlich relevanter Unterlagen: 

• Rechenschaft gegenüber der Steuerbehörde, 

• Nachvollziehbarkeit und Kontrolle steuerlich relevanter Vorgänge, 

• Beweissicherung sowie 

• Schutz des Rechtsverkehrs. 




Scannen 



Besteuerungsunterlagen § 147 Abs. 2 AO Einhaltung der Grundsätze ordnungsgemäßer 

datenverarbeitungsgestützter 

Buchführung (GoBS). 

Tabelle 11: Vorschriften und Voraussetzungen für das ersetzende Scannen von Besteuerungsunterlagen 


Integrität sehr hoch Unsichtbare Veränderungen können die 

Festsetzung der Steuerlast beeinflussen. 

Authentizität hoch Ein eindeutiger Bezug zum Aussteller steuerpflichtiger 

Unterlagen muss gewährleistet sein. 

Vollständigkeit sehr hoch Grundsatz der ordnungsgemäßen Buchführung. 

Nachvollziehbarkeit sehr normal Dient der ordnungsgemäßen Erfüllung der Aufbewahrungspflicht 

der steuerpflichtigen Person. 

Verfügbarkeit sehr hoch Müssen auf Verlangen der Finanzbehörde innerhalb 

der Aufbewahrungsfrist im Rahmen einer 

Außenprüfung vorgelegt werden können (§ 200 

Abs. 1 S. 2 AO). 

Lesbarkeit normal bis hoch Zur Vorlage bei der Finanzbehörde im Rahmen 

einer Außenprüfung (§ 200 Abs. 1 S. 2 AO) 

müssen die steuerlich relevanten Dokumente 

sichtbar gemacht werden können. 

Verkehrsfähigkeit normal bis hoch Hat der Steuerpflichtige ursprünglich in Papierform 

erstellte Unterlagen digital archiviert, muss 

er dem Prüfer die Einsichtnahme ermöglichen. 

Auch die elektronische Auswertung muss 

möglich sein. 

Vertraulichkeit hoch bis sehr hoch Sofern personenbezogene Daten verarbeitet 

werden ist ein erhöhter Schutzbedarf gegeben. 

Hierauf ist insbesondere beim Einsatz von 

Scandienstleistern zu achten. 

Löschbarkeit sehr hoch Gemäß § 20 BDSG bzw. § 35 BDSG muss die 

Löschbarkeit von personenbezogenen Daten 

bzw. zumindest eine Möglichkeit zur Sperrung 

derselben gewährleistet sein. Im Fall der 

Auftragsdatenverarbeitung gemäß § 11 BDSG 

sind Dienstleister entsprechend zu verpflichten. 

Tabelle 12: Exemplarische Schutzbedarfsanalyse von Besteuerungsunterlagen 



R.1.7 Personalakten 

Personalakten dienen sowohl betrieblichen Interessen als auch solchen der einzelnen Mitarbeiter 

[RWWO09, § 87 Rn. 6], sowohl während der Beschäftigungsverhältnisses als auch danach. 

Eine Pflicht zur Führung von Personalakten besteht generell nur für Beamte in der Bundesverwaltung, 

§ 106 Abs. 1 S. 1 Bundesbeamtengesetz (BBG). In privaten Betrieben besteht eine solche Pflicht, 

abgesehen von wenigen Verwahrungsvorschriften (z. B. § 257 HGB, § 147 AO, § 41 Abs. 1 S. 9 

EStG), nicht [RWWO09, § 87 Rn. 7]. 

Mangels gesetzlicher Vorschriften zur Führung und Aufbewahrung von betrieblichen Personalakten 

im allgemeinen richtet sich die Zulässigkeit derjenigen Dokumente, für die Verwahrungsvorschriften 

bestehen, nach den spezialgesetzlichen Regelungen der § 257 HGB für kaufmännische Buchführungsunterlagen, 

§ 147 AO für Besteuerungsunterlagen sowie § 41 Abs. 1 S. 9 EStG für Aufzeichnungen zu 

Lohnzahlungen. § 257 HGB wurde im Rahmen der kaufmännischen Buchführungsunterlagen (R.1.5) 

und § 147 AO im Rahmen der Besteuerungsunterlagen (R.1.6) erläutert. Bei der Schutzbedarfsanalyse 

sind die einzelnen Dokumente aus der Personalakte somit dem jeweiligen Dokumententyp (z. B. 

kaufmännische Buchführung, Besteuerungsunterlagen) zuzuordnen. Hier kann auf die Ausführungen 

an entsprechender Stelle verwiesen werden. 

Die elektronische Transformation betrieblicher Personalakten ist darüber hinaus nach dem Bundesdatenschutzgesetz 

zu beurteilen. Insbesondere sind die personenbezogenen Daten der Mitarbeiter vor 

unbefugter Kenntnisnahme zu schützen, was in besonderem Maße für sensitive Daten im Sinne des § 3 

Abs. 9 BDSG wie Aussagen zu Gesundheit oder Persönlichkeit des Arbeitnehmers gilt. 

Personalakten der Bundesverwaltung dürfen zwar automatisiert verarbeitet werden unter den Voraussetzungen 

des § 114 Abs. 1 BBG, nämlich zu Zwecken der Personalverwaltung und Personalwirtschaft. 

Eine Möglichkeit der Vernichtung digitalisierter Unterlagen ergibt sich hieraus aber weder 

ausdrücklich noch implizit. Vielmehr dürfen Personalakten der Bundesverwaltung gemäß § 113 Abs. 4 

BBG erst nach Ablauf der gesetzlichen Aufbewahrungsfristen des § 113 Abs. 1-3 BBG vernichtet 

werden. Mangels ausdrücklicher Regelung ist eine ersetzende Transformation ist mithin nach 

derzeitiger Rechtslage unzulässig. 



R.2 - Rechtliche Betrachtungen zum ersetzenden Scannen 

(informativ) 

Zusätzlich zu den rechtlichen Rahmenbedingungen in R.1 soll das nun folgende Kapitel einen Einblick 

geben ausgewählte rechtliche Fragestellungen zum ersetzenden Scannen, und dabei insbesondere auf 

spezifische Anforderungen der Anwender eingehen. Die Ausführungen dienen dem besseren 

Verständnis und sollen eine Hilfestellung bieten bei der Beurteilung und Einordnung der einzelnen 

Dokumente im Rahmen der Schutzbedarfsanalyse. Die Betrachtungen haben lediglich 

informatorischen Charakter für den geneigten Leser. 

Das Kapitel beschäftigt sich zunächst mit datenschutzrechtlichen Grundlagen, geht danach auf 

Sicherheitsrisiken und mögliche Konsequenzen ein, widmet sich anschließend beweisrechtlichen 

Fragestellungen, zeigt Gefährdungen des Scanproduktes und wie diese vermieden werden können, 

geht auf rechtliche Problematiken bei externen Scandienstleistungen ein und widmet sich abschließend 

der Problematik der Vernichtung von Originaldokumenten. 

R.2.1 Betrachtungen zum Datenschutz 

Wird ein Papierdokument, das personenbezogene Daten enthält, gescannt und in ein elektronisches 

Dokument übertragen, liegt bei der Erzeugung des Scanproduktes eine Speicherung und damit eine 

Datenverarbeitung nach § 3 Abs. 4 S. 2 Nr. 1 BDSG vor. Die Übertragung vom Papier- auf ein 

digitales Medium ist potenziell mit einer Risikoerhöhung verbunden, da zum einen kein 

Veränderungsschutz besteht und die Daten insgesamt flüchtig sind. Zum anderen ist ein paralleler 

Zugriff von mehreren Nutzern auf personenbezogene Daten möglich (siehe auch [Wilk11, S. 203f.], 

[SCATE, S. 61]). Die folgenden Absätze beschäftigen mit der Frage, nach welchen Vorschriften 

öffentliche und nicht-öffentliche Stellen Daten verarbeiten dürfen und unter welchen Voraussetzungen 

das Scannen als Datenverarbeitung erforderlich im Sinne des BDSG ist. 

R.2.1.1 Zulässigkeitstatbestände 

Soweit das Scannen von Papierdokumenten durch eine öffentlich-rechtliche Stelle (z. B. Gerichte und 

Verwaltungsbehörden) erfolgt, ist dies nach § 14 Abs. 1 Satz 1 BDSG dann zulässig, wenn es zur 

Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben erforderlich ist und 

es für die Zwecke erfolgt, für die die Daten erhoben worden sind. Die Zulässigkeit des Scannens und 

die damit verbundene Datenverarbeitung durch eine öffentlich-rechtliche Stelle für andere als in § 14 

Abs. 1 S. 1 BDSG genannten Zwecke ergibt sich aus § 14 Abs. 2 BDSG. Dies ist gemäß § 14 Abs. 2 

Nr. 1, 2 BDSG der Fall, wenn eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder der 

Betroffen eingewilligt hat. Gemäß § 14 Abs. 2 Nr. 3 BDSG ist die Datenverarbeitung durch das 

Scannen auch dann zulässig, wenn sie offensichtlich aus Interesse des Betroffenen erfolgt und kein 

Grund zur Annahme besteht, dass der Betroffene in Kenntnis des von der Behörde verfolgten Zwecks 

seine Einwilligung verweigern würde. In erster Linie erfolgt das Scannen von Papierdokumenten 

allerdings nicht im Interesse der betroffenen Personen, sondern der Behörde, um die Vorteile der 

Kosteneffizienz, der schnelleren Dokumentenbearbeitung und Akteneinsicht der elektronischen 

Aktenführung für sich zu nutzen [Wilk11, S. 204]. Angesichts der mit der Verarbeitung elektronischer 

Daten potenziell verbundenen Risiken kann nicht grundsätzlich davon ausgegangen werden, dass ein 

informierter Betroffener ohne Weiteres in das ersetzende Scannen von Papierdokumenten einwilligen 

würde [Wilk11, S. 205]. 

Nicht-öffentliche Stellen (z. B. Ärzte, Versicherungen, Unternehmen) dürfen die Datenverarbeitung 

gemäß § 28 Abs. 1 S. 1 Nr. 1 BDSG durchführen, wenn es für die Begründung, Durchführung oder 

Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit der 

betroffenen Person erforderlich ist. Darüber hinaus ist die Datenverarbeitung durch nicht-öffentliche 

Stellen gemäß § 28 Abs. 1 S. 1 Nr. 2 BDSG zulässig, soweit es zur Wahrung ihrer berechtigten 

Interessen erforderlich ist und wenn kein Grund zur Annahme besteht, dass das schutzwürdige 

Interesse des Betroffenen an dem Ausschluss der Verarbeitung überwiegt. Um einen effektiven 



Datenschutz zu gewährleisten, sind an diese Interessenabwägung strenge Maßstäbe zu stellen [Simi11, 

§ 14 Rn. 12]. Maßgeblich wird dabei zu prüfen sein, ob die Digitalisierung erforderlich ist. 

R.2.1.2 Erforderlichkeit 

Es ist zu berücksichtigen, dass die dokumentationsführende Stelle in der Regel dazu berechtigt sein 

wird, die Daten von vorneherein elektronisch zu erheben. Wenn eine originär elektronische Datenerhebung 

zulässig ist und keine Anhaltspunkte vorliegen, dass der Betroffene in diese elektronische 

Datenverarbeitung nicht einwilligen würde, so spricht viel dafür, dass auch das Scannen von 

Papierdokumenten, die personenbezogene Daten enthalten, zulässig ist. Mit dem Scannen und der 

anschließenden Speicherung auf einem elektronischen Medium sind die gleichen Zugriffsrisiken 

verbunden wie mit der elektronischen Datenerhebung. In solchen Fällen ist auch die mit dem Scannen 

verbundene Vervielfältigung der Daten aus Sicht des Daten- und Geheimnisschutzes kein zusätzliches 

Risiko (siehe auch [Wilk11, S. 205], [SCATE, S. 62]). 

Zwar führt allein der Umstand, dass die elektronische gegenüber der papierbasierten Dokumentenführung 

mit einem deutlich geringeren Zeit- und Kostenaufwand verbunden ist, nicht automatisch zur 

Erforderlichkeit im Sinne des Datenschutzrechts. Diese wird aber in der Regel geben sein, wenn die 

verantwortliche Stelle ihre Datenverarbeitung auf ein elektronisches Dokumentenmanagement 

umgestellt hat. Sind die zunächst auf Papier festgehaltenen Informationen solcher Art, dass sie von 

vornherein auch elektronisch hätten erhoben werden dürfen, steht einer Digitalisierung datenschutzrechtlich 

nichts entgegen, wenn keine Anhaltspunkte dafür sprechen, dass die betroffene Person ihre 

Daten nicht zur Verfügung gestellt hätte [SCATE, S. 62], [Wilk11, S. 205]. Auch wenn das Scannen 

der Erhaltung der Lesbarkeit dienen soll, und andernfalls ein dauerhafter Verlust der Daten zu 

befürchten wäre, kann die Erforderlichkeit des Scannens bejaht werden [Wilk11, S. 204]. Dies ist bei 

solchen Papierdokumenten der Fall, die nur einmal existieren und mit der Zeit verblassen, z. B. 

Ausdrucke auf Thermopapier. Auch die notwendige schnelle Verfügbarkeit der Daten an 

verschiedenen Orten, wie bei Patienteninformationen, kann für die Erforderlichkeit der elektronischen 

Datenvorhaltung durch Scannen der Originaldokumente sprechen. 

R.2.2 Sicherheitsrisiken und mögliche Konsequenzen 

Sicherheitsrisiken beim ersetzenden Scannen können nicht nur Konsequenzen im Hinblick auf die 

Erfüllung der gesetzlichen Dokumentations- und Aufbewahrungspflichten haben, sondern auch mit 

beweisrechtlichen Risiken verbunden sein. Papierdokumenten wird aufgrund ihrer spezifischen 

Eigenschaften und der Tatsache, dass sie sich in der Vergangenheit als zuverlässiges Perpetuierungsmedium 

bewährt haben, im Rechtsverkehr ein hohes Vertrauen entgegengebracht. Dieses 

Grundvertrauen in eine nachweisbare Dokumentation von rechtlich relevanten Erklärungen besteht 

gegenüber elektronischen Dokumenten nicht, da sie ohne weiteres keine vergleichbaren 

Sicherheitsmerkmale aufweisen. Gleiches gilt für eingescannte Dokumente. Daher müssen die 

Scanverfahren so ausgestaltet sein, dass sie eine vergleichbare Vertrauensgrundlage erzeugen können. 

R.2.2.1 Rechtliche Konsequenzen nicht ordnungsgemäßer Dokumentation und 

Aufbewahrung 

Die ordnungsgemäße Aufbewahrung von Dokumenten trägt notwendigerweise dazu bei, dass das 

Handeln nachvollzogen und auf seine Rechts- und Ordnungsmäßigkeit überprüft werden kann [Fisc06, 

S. 43]. Nach der Vernichtung oder der Rückgabe der Papierdokumente muss die verantwortliche Stelle 

oder die Person, die zur ordnungsgemäßen Aufbewahrung von Dokumenten verpflichtet ist, in der 

Lage sein, die Eindeutigkeit, Richtigkeit und die Übereinstimmung der elektronischen Dokumente mit 

den früheren papiernen Originalen nachweisen zu können [Scha11, S. 63]. Eine Verletzungshandlung 

besteht dann, wenn nicht ausgeschlossen werden kann, dass das eingescannte Dokument nicht dem 



Original entspricht und im Ergebnis nicht als glaubwürdige Grundlage herangezogen werden kann 

[SCATE, S. 60]. 

Die materiell-rechtlichen Konsequenzen, die aus der Verletzung der Dokumentations- und 

Aufbewahrungspflicht resultieren, unterscheiden sich danach, welche geschützten Interessen – 

öffentliche oder individuelle – von ihr betroffen sind. 

R.2.2.1.1 Konsequenzen bei Verletzung öffentlicher Interessen 

Die materiell-rechtlichen Konsequenzen, die aus der Verletzung von Dokumentations- und 

Aufbewahrungspflichten resultieren können, ergeben sich aus dem jeweils zur Anwendung 

kommenden Rechtsgebiet. So können die Verletzungen der medizinischen Dokumentations- und 

Aufbewahrungspflicht zum einen eine Verletzung von berufs- oder standesrechtlichen Pflichten sein, 

die Gegenstand berufsrechtlicher Verfahren sein können. Zum anderen kann die Verletzung solcher 

Pflichten auch strafrechtliche Konsequenzen nach sich ziehen. Ein Arzt verletzt die ihm nach § 203 

StGB obliegende ärztliche Schweigepflicht, 18 wenn Dritte unberechtigten Zugriff auf ärztliche 

Dokumentation erlangen. Zudem kann er sich wegen Verletzung des Datenschutzes nach §§ 43, 44 

BDSG strafbar machen. 19 Ein Arzt setzt sich dem Vorwurf der Urkundenfälschung nach § 267 StGB 

aus, 20 wenn er die Patientendaten gezielt nachträglich manipuliert, z. B. die von seinem Laborpersonal 

ermittelten und in die Krankenakte des Patienten eingetragenen Messwerte nachträglich verändert 

werden [LaUh02, § 111 Rn. 2]. 

Werden handels- und steuerrechtliche Aufbewahrungspflichten verletzt, kann dies zunächst zu 

finanziellen Nachteilen führen. So können sowohl Steuervergünstigungen versagt als auch die 

Bilanzansätze berichtigt oder eine Steuerschätzung gemäß § 162 Abs. 2 S. 2 AO vorgenommen 

werden. Nach § 162 Abs. 2 S. 2 AO sind die Besteuerungsunterlagen insbesondere zu schätzen, wenn 

der Steuerpflichtige seine Bücher und Aufzeichnungen, die er nach den Steuergesetzen zu führen hat, 

der Finanzbehörde nicht oder nicht vollständig vorlegen kann. Im Ergebnis könnte dies bedeuten, dass 

eingescannte Besteuerungsunterlagen, bei denen das Original bereits vernichtet worden ist und die 

nicht lesbar, nicht verfügbar oder nicht vollständig sind, zu einer nachteiligen Steuerschätzung führen 

können. Der Grund, warum der Steuerpflichtige seine Bücher nicht vorlegen kann, ist für die 

Finanzbehörde ohne Bedeutung. Auf die Unmöglichkeit der Nichtvorlage kann der Steuerpflichtige 

sich nur dann berufen, wenn sie auf Maßnahmen der Finanzverwaltung oder Finanzgerichte 

zurückzuführen sind [Cöster in PaKo09, § 162 Rn. 61]. 

Darüber hinaus können die Verletzungen der Buchführungs- und Aufzeichnungspflicht nach § 379 AO 

als eine Steuerordnungswidrigkeit geahndet werden. 

Im Handels- und Steuerrecht ergeben sich die gleichen Rechtsfolgen. Die Verletzung der handelsrechtlichen 

Buchführungspflicht zieht auch die Verletzung der steuerrechtlichen Buchführungspflichten 

nach sich. Denn die Mängel der kaufmännischen Buchführung beeinträchtigen die 

steuerrechtliche Beweiskraft der handelsrechtlichen Bücher, woraus als Folge die Schätzung der 

Besteuerungsgrundlagen gemäß § 162 Abs. 1 Satz 1 AO resultieren kann [BaHo10, § 238 Rn. 21]. Ein 

Verstoß gegen die handelsrechtlichen Buchführungspflichten (GoBS) kann gemäß §§ 331 bis 335 

HGB als Straftat mit einer Freiheits- oder einer Geldstrafe oder als eine Ordnungswidrigkeit mit einem 

Bußgeld sanktioniert werden. 

R.2.2.1.2 Konsequenzen bei Verletzung individueller Interessen 

Sind individuelle Interessen von der Vernichtung des Originals nach dem Scannen betroffen, ist zu 

unterscheiden, ob die ordnungsgemäße Dokumentation und Aufbewahrung eine vertragliche 

18 Die Verletzung der Schweigepflicht kann zu einer Geld- oder eine Freiheitsstrafe bis zu einem Jahr führen. Siehe zur 

Problematik des § 203 StGB auch Kapitel R.2.6.2. 

19 Jeder unbefugte Zugriff auf personenbezogene Daten kann mit einer Geldbuße nach § 43 Abs. 2 BDSG bis zu 300.000 

Euro geahndet werden. 

20 Als Strafe sieht § 267 Abs. 1 StGB Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren vor. Im Rahmen der Strafzumessung 

kann die Qualität der falschen Urkunde berücksichtigt werden, ob sie z. B. infolge ungeschickter Vorgehensweise sofort 

als Fälschung erkannt werden kann. 



Hauptleistungs- oder bloße Nebenpflicht 21 darstellt. Individuell kann ein Dienstleister dazu verpflichtet 

sein, die Dokumente aufzubewahren und herauszugeben. Besteht ein Anspruch eines Dritten auf die 

Herausgabe und ist dies der aufbewahrenden Stelle nicht möglich, kann der Anspruchsberechtigte 

Schadensersatzansprüche geltend machen, wenn die Vernichtung des papiernen Originals ursächlich 

für die Entstehung des Schadens war [SCATE, S. 86]. 

Wenn jedoch die Dokumentation und die Aufbewahrung lediglich eine Nebenpflicht (Sekundärpflicht) 

darstellen, so können Schadensersatzansprüche nicht unmittelbar geltend gemacht und auch nicht 

selbständig eingeklagt werden. Denn die Sekundärpflichten dienen nur dazu, die Erfüllung der 

Primärpflicht zu unterstützen. Solange die Primärpflicht erfüllt wird, kann kein Anspruch aus der 

Nebenpflicht begründet werden. Ihre Verletzung kann erst dann geltend gemacht werden, wenn sie 

ursächlich für die bei der geschädigten Person eingetretene Verletzung ist. Die Vorgangsdokumentation 

erfolgt, um eine ordnungsgemäße Bearbeitung der Aufgaben nachzuweisen, so dass 

regelmäßig eine Verletzung dieser Aufgabe selbst, jedoch nicht die unterbliebene Aufbewahrung – in 

dem Fall die Vernichtung des Originals – die schadensbegründende Handlung darstellt [SCATE, S. 

46f.], [RFJK07, S. 110]. 

Ein anderes Ergebnis könnte sich allerdings ergeben, wenn sich aus der Verletzung der 

Aufbewahrungspflichten Folgeschäden ergeben. Eine fehlerhafte ärztliche Dokumentation oder eine 

fehlende Zugriffsmöglichkeit auf sie, kann z. B. bei einer erneuten Behandlung dazu führen, dass eine 

unsachgemäße Nachbehandlung vorgenommen wird (vgl. [Fisc06, S. 46 f.] und [SCATE, S. 86]). Dies 

könnte dann der Fall sein, wenn das gescannte Dokument z. B. nicht lesbar, nicht verkehrsfähig oder 

nicht vollständig ist. 

Wird die Vertraulichkeit von gescannten Dokumenten nicht gewahrt, können sich ebenfalls Schadensersatzansprüche 

aus der Verletzung des Daten- und Geheimnisschutzes ergeben. Dabei kommen bei 

einem Verstoß gegen die ärztliche Schweigepflicht deliktische Ansprüche nach § 823 Abs. 2 BGB i. v. 

M. § 203 StGB oder aus § 823 Abs. 1 BGB (Verletzung des allgemeinen Persönlichkeitsrechts) in 

Betracht. Werden solche Verletzungen von einer öffentlichen Stelle begangen, können ebenfalls 

Schadensersatzansprüche wegen Amtspflichtverletzungen gemäß Art 34 GG i. V. m. § 839 BGB 

bestehen [Schu09 et al., § 839 Rn 1]. 

R.2.3 Beweisrecht 

R.2.3.1 Beweiswert des Scanproduktes 

Der Zweck der Beweissicherung muss auch nach dem Scannen von Papierdokumenten erreichbar sein, 

selbst wenn das Original bereits vernichtet worden ist [Wilk11, S. 79]. Das Scanprodukt soll 

grundsätzlich dazu dienen, die frühere Existenz des Originals darzulegen und die Vermutung der 

Übereinstimmung des Scanproduktes zu begründen. Je nach Sachverhalt kann das Nachweisinteresse 

entweder gegenüber der Vertragspartei oder einem Dritten bestehen. 22 

Ein gescanntes Dokument, das in elektronischer Form vorliegt, weist jedoch im Unterschied zu 

Papierdokumenten keine Urkundeneigenschaften auf, da es nicht in verkörperter Form vorliegt und 

auch ohne technische Hilfsmittel nicht lesbar ist. Demnach kann dieses lediglich als Gegenstand des 

Augenscheins nach § 371 Abs. 1 S. 2 ZPO als Beweismittel in den Prozess eingeführt werden 

[Musi12, § 371 Rn 12]. 

Zudem weisen nicht originär elektronische Dokumente, welcher nicht mit einer qualifizierten 

elektronischen Signatur versehen sind, gegenüber Papierurkunden einen geringeren Beweiswert auf. 

Grund für den geringeren Beweiswert ist das große Vertrauen, das Papierdokumenten entgegen 

gebracht wird. Es beruht in erster Linie auf ihrer hohen Fälschungssicherheit. Diese ist aus rechtlicher 

21 In der Regel die ordnungsgemäße Dokumentation und Aufbewahrung Nebenpflicht sein, um die Hauptleistungspflicht, 

nämlich die ordnungsgemäße Bearbeitung der übertragenen Aufgaben, zu erfüllen. 

22 So dienen beispielsweise Verwaltungsunterlagen, medizinische Dokumentation und schriftliche Verträge nicht 

ausschließlich dazu, diese erst bei streitenden Verfahren als Beweismittel vorzulegen. Durch ihre klarstellende Funktion 

sollen Unklarheiten im Vorfeld bereinigt werden können; siehe dazu [HaBi1993, S. 689]. 



Sicht dann gegeben, wenn die Unversehrtheit des Dokuments und die Veränderungen daran erkennbar 

sind. Das beruht darauf, dass nachträglich eingefügte Veränderungen oder Zeichen leicht durch einen 

Sachverständigen zu erkennen sind. Darüber hinaus sind Papierdokumente ohne technische Hilfsmittel 

lesbar und die handschriftliche Unterschrift – als ein biometrisches Merkmal – erlaubt eine eindeutige 

Zuordnung zum Aussteller [JaWi09, S. 101]. Darüber hinaus können Kopien, auch wenn sie in 

Papierform vorliegen, vom Original unterschieden werden. Gescannte Dokumente bedürfen dagegen 

für ihre Lesbarkeit technischer Hilfsmittel, sie können ohne Qualitätsverlust verändert und/oder 

vervielfältigt werden. Wenn die Sicherheitsziele durch ausreichende organisatorische und technische 

Maßnahmen nicht erreicht werden können, besteht die Gefahr, dass das Vertrauen in elektronische 

Dokumente und damit auch in den elektronischen Rechts- und Geschäftsverkehr verloren gehen 

könnte. So kann in einem Prozess beispielsweise die Richtigkeit des Inhalts des gescannten 

Dokuments bestritten werden, d. h. ob der Inhalt des Originals mit dem des Ausgangsdokuments 

übereinstimmt. 

Die Vernichtung des papiernen Originals führt beim ersetzenden Scannen daher zu einer 

grundsätzlichen Veränderung der Beweissituation [SCATE, S. 61]. Da ein gescanntes Dokument keine 

Urkundenqualität aufweist, ist es umso wichtiger, dass alle Sicherheitsziele des ersetzenden Scannens 

eingehalten und glaubhaft durch die Beweisführer dargelegt werden können. Insbesondere dürfte 

entscheidend sein, wie einer Behauptung der Fälschung des Originals oder eines Fehlers im Übertragungsvorgang 

begegnet werden kann. Der Beweiswert kann deutlich erhöht werden, wenn 

beispielsweise der Scanprozess Maßnahmen zur Minimierung dieser Risiken vorsieht und die 

Ordnungsmäßigkeit des Scanverfahrens nachgewiesen werden kann. 

Zusammenfassend kann festgehalten werden, dass mit gescannten Dokumenten im Rahmen der freien 

Beweiswürdigung grundsätzlich Beweis geführt werden kann. Da gescannte Dokumente jedoch 

keinerlei Urkundeneigenschaften aufweisen und ihnen auch im übrigen ein geringerer Beweiswert 

zukommt als den zugrunde liegenden Originaldokumenten, geht dies stets mit einer Verschlechterung 

der Beweissituation einher. Ob dieses Risiko in Kauf genommen wird, muss im Rahmen der 

Risikoeinschätzung (z. B. Dokumentenart, Prozesskosten, Schadensersatzansprüche) durch jeden 

Einzelnen selbst entschieden werden. Je weniger sicher der Scanprozess ausgestaltet ist, desto weniger 

vorhersagbar ist der Ausgang der Beweisaufnahme mit einem Scanprodukt. 

R.2.3.2 Die Beweiswirkung des § 371a ZPO 

Auf Grund der zunehmenden Digitalisierung des Geschäftsverkehrs auf allen Ebenen und in allen 

Bereichen besteht zunehmender Bedarf, auch elektronischen Dokumenten eine den Papierdokumenten 

entsprechende Beweiskraft zukommen zu lassen. Wegen der Möglichkeit unerkannter Manipulationen 

stellen elektronische Dokumente jedoch keine Urkunden dar, sondern Augenscheinobjekte. Deshalb 

hat der Gesetzgeber in § 371a ZPO für private und für öffentliche elektronische Dokumente, die mit 

einer qualifizierten Signatur versehen sind, Beweiserleichterung geschaffen (zum Folgenden siehe 

auch [Roßn11, S. 928]). 

Für private qualifiziert signierte elektronische Dokumente ergibt sich nach § 371a Abs. 1 Satz 2 ZPO 

bei erfolgreicher Signaturprüfung nach dem Signaturgesetz ein Anschein der Echtheit der Erklärung, 

der nur durch Tatsachen entkräftet werden kann, die ernstliche Zweifel an der Abgabe der Erklärung 

durch den Signaturschlüssel-Inhaber begründen. 23 Dieser erste Anschein für die Echtheit der Erklärung 

umfasst die Unverfälschtheit der Erklärung und die Zuordnung der Erklärung zum Signaturschlüssel- 

Inhaber. 24 

Für ein öffentliches elektronisches Dokument, das qualifiziert signiert ist, gilt nach § 371a Abs. 2 Satz 

2 ZPO die gesetzliche Vermutung der Echtheit nach § 437 Abs. 1 ZPO, sofern sich das Dokument 

nach Form und Inhalt als öffentliches Dokument darstellt. In Anlehnung an den Begriff der 

öffentlichen Urkunde in § 415 Abs. 1 ZPO definiert § 371a Abs. 2 Satz 1 ZPO das öffentliche 

23 Dadurch soll das Vertrauen in die Rechtssicherheit und Verkehrsfähigkeit elektronische Dokumente gewährleistet 

werden – BT-Drs. 15/4067, 34. 

24 Der Schutz des Empfängers geht damit weiter als bei Urkunden, für deren Echtheit der Empfänger vollen 

Beweis erbringen muss – s. §§ 439f. ZPO. 



elektronische Dokument als ein elektronisches Dokument, das von einer öffentlichen Behörde 

innerhalb der Grenzen ihrer Amtsbefugnisse oder von einer mit öffentlichem Glauben versehenen 

Person innerhalb des ihr zugewiesenen Geschäftskreises in der vorgeschriebenen Form erstellt worden 

ist. Die gesetzliche Vermutung der Echtheit hat somit zwei Voraussetzungen. Zum einen müssen – wie 

bei privaten elektronischen Dokumenten – die Voraussetzungen einer qualifizierten Signatur vorliegen 

und im Zweifelsfall bewiesen werden. Zum anderen muss sich das Dokument nach Form und Inhalt 

als öffentliches Dokument darstellen. Angesichts der einfachen Möglichkeit, das Erscheinungsbild zu 

fälschen, wird es dabei vor allem auf das Zertifikat des Signaturschlüssel-Inhabers ankommen. So 

muss z.B. nach § 37 Abs. 3 VwVfG bei einem Verwaltungsakt in elektronischer Form das Zertifikat 

die erlassende Behörde erkennen lassen (siehe hierzu [Roßn03a, S. 469]). Diesen Eintrag ins Zertifikat 

darf der Zertifizierungsdiensteanbieter nach § 5 Abs. 2 SigG nur nach Einwilligung oder Bestätigung 

der Behörde vornehmen. 

Ist danach von der Echtheit der Erklärung auszugehen, entspricht die Beweiswirkung echter 

elektronischer Dokumente denen echter (Papier-)Urkunden: Auf sie finden die Vorschriften über die 

Beweiskraft privater und öffentlicher Urkunden entsprechende Anwendung. Demgemäß erbringt ein 

privates elektronisches Dokument nach § 371a Abs. 1 Satz 1 ZPO entsprechend § 416 ZPO vollen 

Beweis dafür, dass die in ihnen enthaltenen Erklärungen vom Aussteller abgegeben worden sind. 

Öffentliche elektronische Dokumente begründen nach § 371a Abs. 2 Satz 1 ZPO gemäß §§ 415 Abs. 

1, 417, 418 Abs. 1 ZPO vollen Beweis für den beurkundeten Vorgang, für amtliche Anordnungen, 

Verfügungen und Entscheidungen sowie für die in ihnen bezeugten Tatsachen. 

§ 371a ZPO gilt allerdings nur für Willens- und Wissenserklärungen [S. BT-Drs. 15/4067, 34.] 

Vielfach ist der Inhalt des Originaldokuments eine Erklärung. Das Scanprodukt ist jedoch nur ein 

technisches Abbild, dem selbst kein eigener Erklärungsgehalt zukommt. Wird eine elektronische 

Signatur in einem automatischen Scanprozess an das elektronische Scanprodukt angefügt, wird keine 

Erklärung signiert. Die Signatur ist kein Unterschriftenersatz, sondern nur ein Sicherungsmittel, das 

später bekunden kann, dass das Scanprodukt nach der Signierung nicht mehr verändert wurde, und 

stellt mithin die Integrität sicher ([SCATE, S. 90], [RoWi06, S. 2148]). 

Daher können in der Regel nur originär elektronische Dokumente § 371a ZPO in Anspruch nehmen. 

Dies könnte nur eine qualifiziert signierte Erklärung der scannenden Stelle sein, die die 

Übereinstimmung von Ausgangs- und Zieldokument bezeugt. Die Beweiserleichterung gilt in diesem 

Fall nur für die Übereinstimmungserklärung 25 und nicht auch für den Inhalt des Zieldokuments 

[SCATE, S. 90f.], [RoWi06, S. 2148]. 

R.2.4 Gefährdung und Sicherung des Scanproduktes 

R.2.4.1 Bildveränderung 

Bildveränderungen können ganz unterschiedliche Gründe und Ursachen haben. Nicht alle 

Bildveränderungen haben negative Auswirkungen, vielmehr kann auch eine Verbesserung der 

optischen Qualität erreicht werden. 

25 S. zum Transfervermerk Anlage C.2.3. 



R.2.4.1.1 Bildverbesserung 

Bildverbesserungen sind in erster Linie solche Maßnahmen, die die Lesbarkeit des Scanobjektes 

erhöhen. Das äußere Erscheinungsbild kann so verarbeitet werden, dass das Scanprodukt eine optisch 

bessere Qualität aufweist als das Ausgangsdokument. So können Vergrößerungen sehr kleiner Schrift 

vorgenommen, Flecken entfernt oder der Kontrast optimiert werden, so dass ursprünglich schlecht 

lesbare Dokumente am Bildschirm deutlich besser zu lesen sind [SCATE, S. 20]. Diese Maßnahmen 

führen nicht zu einer Veränderung des Dokumentinhalts. 

Es wird jedoch auch bei Verbesserungen am elektronischen Dokument ein vom Ausgangsdokument 

abweichendes Abbild erzeugt. Eine genaue abstrakte Abgrenzung, wann nicht mehr von bildlicher 

Übereinstimmung gesprochen werden kann, ist nicht möglich. Sie beruht im konkreten Fall in weiten 

Teilen auf einer subjektiven Einschätzung. Die Entscheidung darüber obliegt dem Anwender unter 

Abwägung der Vorteile einerseits und dem Interesse an einem möglichst originalen Abbild andererseits 

[SCATE, S. 52]. 

Zu empfehlen ist immer eine möglichst restriktive Anwendung. Soweit es vom Aufwand her vertretbar 

ist, wird für den Fall, dass eine bildliche Übereinstimmung gefordert wird, empfohlen, das in Frage 

stehende Ausgangsdokument doppelt zu verarbeiten, um einmal die optische Qualität zu erhöhen und 

um andererseits ein völlig identisches Abbild festzuhalten. Getätigte Veränderungen sollten in jedem 

Fall im Transfervermerk festgehalten werden, um Veränderungen nachvollziehen zu können und so 

die Qualität des Scanproduktes abzuschätzen [SCATE, S. 97]. 

R.2.4.1.2 Fehler und Manipulationen 

Bildveränderungen können auch das Ziel verfolgen, den Inhalt zu verändern. Zu unterscheiden ist 

hierbei zwischen Fehlern einerseits und Manipulation andererseits. 

R.2.4.1.2.1 Fehler 

Fehler haben entweder technische oder menschliche Gründe und sind unfreiwilliger Natur. 

Technische Gründe sind auf einen Mangel am Scansystem zurückzuführen, der dazu führt, dass der 

Scanner nicht ordnungsgemäß arbeitet. Die Ursachen sind vielschichtig, fehlerhafte Konfiguration der 

Scanner-Optik, Verschmutzung der Linse, mangelhafte Auflösung, mehrfacher Einzug 26 oder 

technisches Versagen können Gründe sein. 

Technische Fehler können nicht vollständig verhindert werden. Allerdings kann durch eine hohe 

Basisqualität und regelmäßige, sorgfältige Wartung der technischen Systeme ein hoher Grad an 

Zuverlässigkeit gewährleistet werden. Verantwortlich dafür sind nicht nur die Hersteller und 

Kundendienste, auch die zum Scannen verantwortlichen Personen können hierzu beitragen. 

Menschliche Gründe liegen dann vor, wenn die verantwortliche Person bei der Vorbereitung, 

Durchführung oder Nachbereitung Fehler begeht. Auch hier sind die Möglichkeiten denkbar weit und 

können nur exemplarisch aufgezeigt werden. So können Einstellungen am Scanner, die der 

bestmöglichen Qualität des Scanproduktes dienen sollen, falsch programmiert werden. Auch kann das 

Ausgangsdokument insgesamt vertauscht, versehentlich umgedreht oder in der Reihenfolge verändert 

eingelegt worden sein. 

Auch die Ursachen menschlicher Fehler können minimiert werden. Notwendig hierfür ist in erster 

Linie eine ausführliche Handlungsanweisung, die im Unternehmen als verbindliche Grundlage 

anzuwenden ist und die Mitarbeiter für einen verantwortungsbewussten Umgang sensibilisieren soll. 

26 Werden bei einem mehrseitigen Dokument mehrere Seiten gleichzeitig eingezogen, wird das Original nur 

unvollständig erfasst. 



R.2.4.1.2.2 Manipulation 

Manipulationen stellen eine gezielte und verdeckte Einflussnahme auf den Dokumenteninhalt dar, um 

die Beweisrichtung zu verändern. Sie können am Ausgangsdokument, im Scanprozess oder in der 

Nachbereitung am Zieldokument stattfinden. 

So kann das Ausgangsdokument vor der Erfassung verfälscht oder ausgetauscht werden, es können 

Blätter hinzugefügt, entnommen oder die Reihenfolge verändert werden. Manipulationen am 

Ausgangsdokument sind am Zieldokument nicht mehr feststellbar, insbesondere nicht, nachdem das 

Ausgangsdokument vernichtet worden ist. 

Beim Scanprozess kann der Scanner oder die Datenübertragung manipuliert werden, um Inhalte 

vorsätzlich zu verändern oder zu unterdrücken. Möglich ist, den Scanner mit einer falschen Software 

zu manipulieren, die Datenübertragung über das Netzwerk oder lokal anzugreifen oder Malware 

einzuspielen. Eine mögliche Sicherung kann nur präventiver Art sein und muss die Sensibilisierung 

der Mitarbeiter und ihre besondere Verpflichtung zur ordnungsgemäßen Einhaltung der Vorschriften 

umfassen. Eine elektronische Signatur hilft in diesem Stadium nicht weiter, da diese nur die Integrität 

des (fertigen) Zieldokuments gewährleisten kann und erst ab dem Zeitpunkt gilt, in welchem das 

Zieldokument mit der Signatur versehen wurde. 

Ohne technische Sicherung sind Manipulationen am Zieldokument durch Veränderung oder Löschung 

von Inhalten spurlos möglich [SCATE, S. 20]. Um ein Auffinden zu erschweren oder unmöglich zu 

machen, können Metadaten verfälscht oder falsch zugeordnet werden. Durch ungeeignete 

Nachbearbeitung wie zu starke Rausch-Filter, zu starke Bildkompression oder Farbreduktion kann 

eine Unlesbarkeit erreicht werden, die das Dokument völlig unbrauchbar machen kann. 

Denkbar ist weiterhin, Scanner so zu konfigurieren, dass optimale Einstellungen erreicht werden, die 

von dem einzelnen Mitarbeiter nicht ohne weiteres oder nur mit übergeordneter Autorisierung 

verändert werden kann. Dies bietet sich insbesondere dann an, wenn vorwiegend Dokumente mit 

gleichartigen Einstellungen gescannt werden sollen. 

R.2.4.1.3 Barcode 

Die Originale können vor dem Scannen mit Barcodes oder Strichcodes versehen werden, die helfen 

die Scanprodukte zu kontrollieren, zu sortieren und wiederzufinden. Diese Codes gehören zu den 

Metadaten einer Datei, enthalten also Informationen zu den Eigenschaften eines Dokuments, zum 

Beispiel Aussteller, Seitenanzahl, Zugehörigkeit zu einer Akte, oder dienen lediglich der Trennung der 

Dokumente, damit der Scanner erkennt, aus wie vielen Einzelseiten das Dokument besteht. 

In der Regel wird das Aufbringen keine Bildveränderung darstellen. Ein beliebiger Betrachter des 

Scanproduktes wird erkennen, dass es sich dabei, wie bei einem Poststempel, um einen nachträglich 

aufgebrachten Schriftzug handelt. Werden jedoch Inhalte überklebt, so dass Informationen unterdrückt 

werden, oder wird ein inhaltlich falscher Barcode auf das Dokument geklebt, so dass dieses nicht mehr 

aufgefunden oder nicht indexiert werden kann, liegt eine unzulässige Manipulation vor, die in jedem 

Fall zu vermeiden ist. 

Wird ein Barcode eingesetzt, stellt sich die Frage nach der geeigneten Stelle. Möglich wäre zum einen 

ein separates leeres Blatt, das vor das eigentliche Dokument, zu dem es gehört, angefügt wird. Zu 

denken wäre aber auch daran, den Barcode direkt auf die erste Seite des Dokuments zu kleben. 

Keinesfalls dürfen hierdurch andere Informationen, sei es Titel, Autor, Datum oder Seitenzahl, 

überklebt werden. Der Barcode darf deshalb nur auf leeren Flächen angebracht werden. 

Die Benennung einer einheitlichen Stelle für das Aufbringen ist so kaum möglich, da es eine Vielzahl 

von Ausgestaltungsvarianten gibt. Möchte man nichtsdestotrotz eine einheitliche Stelle festlegen, so 

ist in erster Linie an den Blattrand 27 zu denken, zum Beispiel der Freiraum zwischen der Lochung, da 

dieser in der Regel unbeschrieben ist. Um zu vermeiden, dass sich jemand zu einem späteren 

Zeitpunkt darauf beruft, es wäre eine wichtige Information überklebt worden, sollte eine Stelle 

gewählt werden, die in der Regel unbeschrieben bleibt. Dann könnte die Beweislast auf den 

27 Sofern Informationen am Blattrand überhaupt ausgelesen werden können. 



Behauptenden verlegt werden, der zu beweisen hätte, dass dort tatsächlich eine Information stand, die 

überklebt worden ist, da ein Anscheinsbeweis dafür spräche, dass die Stelle frei war. 

R.2.4.2 Signatur und Zeitstempel 

R.2.4.2.1 Authentizität und Integrität eines Dokuments 

Elektronische Signaturen können bei entsprechender Ausgestaltung die Authentizität und Integrität des 

Zieldokuments sicherstellen. Authentizität und Integrität bezeichnen verschiedene Eigenschaften eines 

Dokuments, die im folgenden Abschnitt kurz erläutert werden. 

Authentizität bedeutet, dass der in der Urkunde angegebene mit dem tatsächlichen Aussteller der 

Urkunde übereinstimmt. Auf einem Papierdokument wird dies durch die handschriftliche Unterschrift 

bezeugt. Diese kann mittels mikroskopischer, messtechnischer und chemischer Analyseverfahren 

durch einen Schriftsachverständigen auf ihre Echtheit überprüft werden. Die Echtheit einer 

Unterschrift lässt sich aus allgemeinen (zum Beispiel das angewandte Druckverfahren) und ihr 

eigenen individuellen Merkmalen und Spuren ableiten. So lässt sich beispielsweise die 

Entstehungsreihenfolge von Schriftzügen nachvollziehen und das Alter einer handschriftlichen 

Schreibleistung anhand der verwendeten Tinte bestimmen. Auch mikroskopisch kleine 

Beschädigungen im Schriftbild lassen Rückschlüsse auf den Urheber zu. 

Darüber hinaus lassen sich Rückschlüsse auf die Echtheit einer gesamten Urkunde herleiten. So kann 

die Art und Weise der Verfälschung (zum Beispiel Rasuren oder Hinzufügungen) erkannt werden oder 

das Dokument auf nicht eingefärbte Schreibdruckrillen (Durchdruckspuren) untersucht werden, mit 

deren Hilfe eine Zusammengehörigkeit von mehrseitigen Schriftstücken festgestellt werden kann. All 

diese Merkmale können auf Grund des Spurenmaterials nur an Originalen erhoben werden. Mit dem 

Scannen gehen diese Merkmale verloren und sind auf dem Scanprodukt nicht mehr vorhanden. Aus 

diesem Grunde kann ein Scanprodukt nie an den Beweiswert des Originals heranreichen. 

Die Integrität eines Dokuments garantiert die inhaltliche Echtheit, stellt also die Unversehrtheit der 

Daten seit ihrer Signierung sicher und garantiert, dass die Daten vollständig und unverändert sind. Ein 

Verlust der Integrität bedeutet, dass Daten unerlaubt verändert oder Angaben verfälscht wurden. 28 

Weder die Authentizität noch die Integrität des Ausgangsdokuments kann anhand des Scanproduktes 

überprüft werden [SCATE, S. 102f.]. Wird das Ausgangsdokument nach dem Scannen vernichtet, tritt 

in jedem Fall eine Verschlechterung der Beweissituation ein, da der Nachweis der Echtheit nur am 

Original(papier)dokument zu führen ist [SCATE, S. 102]. 

Möglichkeiten der Kompensation umfassen weitestgehend fortgeschrittene elektr Signaturen und 

Transfervermerke, die aber lediglich in begrenztem Umfang den Beweisverlust ausgleichen können. 

Darauf wird an entsprechender Stelle eingegangen. 

R.2.4.2.2 Signaturen 

Es existieren mehrere Arten elektronischer Signaturen, die im Signaturgesetz geregelt sind. Sie 

verfolgen unterschiedliche Funktionen und bieten unterschiedliche Sicherheits- und Nachweisniveaus. 

Einfache elektronische Signaturen gemäß § 2 Nr. 1 SigG sind Daten in elektronischer Form, die 

anderen elektronischen Daten beigefügt oder mit ihnen logisch verknüpft sind und der Authentifizierung 

dienen. Sie haben jedoch aus rechtlicher Sicht keinerlei Sicherungswert und rufen keine 

Rechtsfolgen hervor [Wilk11, S. 61], da sie weder Integrität noch Authentizität gewährleisten können, 

so dass sie hier außen vor bleiben sollen. 

28 Siehe Fehler: Referenz nicht gefunden (Tabelle "Definition der Sicherheitsziele"). 



Fortgeschrittene elektronische Signaturen gemäß § 2 Nr. 2 SigG weisen zusätzlich zu den Merkmalen 

des § 2 Nr. 1 SigG vier weitere Merkmale auf. So müssen sie ausschließlich dem Signaturschlüssel- 

Inhaber zugeordnet sein (lit. a), die Identifizierung des Signaturschlüssel-Inhabers ermöglichen (lit. b), 

mit Mitteln erzeugt worden sein, die der Signaturschlüssel-Inhaber unter seiner alleinigen Kontrolle 

halten kann (lit. c) sowie mit den Daten, auf die sie sich beziehen, so verknüpft sein, dass eine 

nachträgliche Veränderung der Daten erkannt werden kann (lit. d). Fortgeschrittene elektronische 

Signaturen bieten daher hinreichenden Integritätsschutz, wenn die Algorithmen und Parameter genutzt 

werden, die die Bundesnetzagentur für noch geeignet hält. Nach den gesetzlichen Anforderungen ist 

für fortgeschrittene elektronische Signaturen keine sichere Signaturerstellungseinheit und kein 

qualifiziertes Zertifikat gefordert. Neben der Begriffsbestimmung in § 2 Nr. 2 SigG und den 

Datenschutzanforderungen des § 14 SigG enthält das Signaturgesetz keinerlei Anforderungen an die 

Komponenten, Prozesse und Dienste für fortgeschrittene elektronische Signaturen. Die Herausgeber 

von nicht-qualifizierten Zertifikaten müssen nicht zwingend eine Verifizierung der Identität des 

Signaturschlüssel-Inhabers vornehmen oder einen Verzeichnis- oder Sperrdienst anbieten. Die 

Authentizität des lediglich mit einer fortgeschrittenen elektronischen Signatur versehenen Dokuments 

ist daher im Allgemeinen nicht ausreichend gewährleistet [Roßn03b, S. 164 ff.], [Wilk11, S. 64]. 

Qualifizierte elektronische Signaturen gemäß § 2 Nr. 3 SigG weisen alle Merkmale der fortgeschrittenen 

elektronischen Signaturen auf. Zusätzlich müssen diese auf einem zum Zeitpunkt ihrer 

Erzeugung gültigen qualifizierten Zertifikat beruhen (lit. a) und mit einer sicheren Signaturerstellungseinheit 

erzeugt werden. Der Zertifizierungsdiensteanbieter muss unter anderem die Identität 

des Signaturschlüssel-Inhabers verifizieren sowie einen Verzeichnisdienst und einen Sperrdienst 

anbieten. Das qualifizierte Zertifikat kann gemäß § 2 Nr. 7 SigG nur für natürliche Personen 

ausgestellt werden. 

Rechtsfolgen der Verwendung qualifiziert elektronischer Signaturen sind unter anderem die Erfüllung 

der elektronischen Form nach § 126a BGB, § 3a Abs. 2 VwVfG, § 87a Abs. 3, 4 AO oder § 36a Abs. 

2 SGB I. Unter Umständen kommt auch die Beweiserleichterung des § 371a ZPO zum Zuge. 29 

Schließlich besteht für Zertifizierungsdiensteanbieter nach § 15 SigG die Möglichkeit, sich bei der 

Bundesnetzagentur akkreditieren zu lassen. Hierbei wir die Einhaltung der Vorgaben des Signaturgesetzes 

und der Signaturverordnung geprüft. Die hieraus resultierenden qualifizierten elektronischen 

Signaturen mit Anbieter-Akkreditierung erbringen nach § 15 Abs. 1 Satz 4 SigG den Nachweis der 

umfassend geprüften technischen und administrativen Sicherheit der entsprechenden Signaturen 

(hierzu näher [Roßn01, S. 1817]). 

Die Verwendung geeigneter Verfahren erlaubt den mathematischen Nachweis, dass keine 

Veränderung am Scanprodukt erfolgt ist [SCATE, S. 105]. Wird ein digitales Dokument mit einer 

fortgeschrittenen elektronischen Signatur gemäß § 2 Nr. 2 SigG versehen, lässt sich ermitteln, ob das 

Dokument nach Unterzeichnung verändert worden ist; sie sichert mithin die Integrität des 

elektronischen Dokuments. Die Verwendung einer qualifizierten elektronischen Signatur erlaubt 

darüber hinaus die Feststellung der Authentizität des Dokuments [Wilk11, S. 210]. 

Die Entscheidung für oder gegen das Anbringen von qualifizierten elektronischen Signaturen muss 

dem einzelnen Anwender obliegen. Um diese Entscheidung herbeizuführen, sollte eine erste 

Einteilung anhand des Schutzbedarfs des elektronischen Dokumentes vorgenommen werden. 

Grundsätzlich gilt, dass für ein Dokument mit normalem Schutzbedarf keine qualifizierte 

elektronische Signatur notwendig ist, für einen sehr hohen Schutzbedarf hingegen schon. 

Beurteilungsmaßstab sollte die antizipierte Verwendung durch den Anwender sein sowie die 

Wahrscheinlichkeit, das gescannte Dokument nicht nur intern, sondern extern im Geschäftsverkehr zu 

verwenden, wo es im Zweifel als Beweismittel dienen muss. Soll die Bestätigung des korrekten 

Scanprozesses in den Genuss der Beweiserleichterung des § 371a ZPO kommen, ist eine qualifizierte 

elektronische Signatur unumgänglich. 

29 S. zur Beweiswirkung des § 371a ZPO Anlage C.1. 



Um Integrität und Authentizität bestmöglich zu wahren, sollte die Signatur unmittelbar anschließend 

an den Transformationsprozess angebracht werden, um den Zeitraum einer möglichen Manipulation 

an dem ungesicherten Dokuments zu minimieren. 

R.2.4.2.3 Zeitstempel 

Gemäß § 2 Nr. 14 SigG ist ein qualifizierter Zeitstempel eine elektronische Bescheinigung eines 

Zertifizierungsdiensteanbieters, der mindestens die Anforderungen der §§ 4 bis 14 sowie § 17 oder 

§ 23 SigG und der sich darauf beziehenden Vorschriften der Signaturverordnung nach § 24 SigG 

erfüllt, darüber, dass ihm bestimmte elektronische Daten zu einem bestimmten Zeitpunkt vorgelegen 

haben. 

Qualifizierte Zeitstempel dienen beispielsweise dazu, Post- und Eingangsstempel zu ersetzen. Durch 

ihre Anwendung soll eine Vor- oder Rückdatierung kenntlich gemacht und somit verhindert werden 

[Roßn05, § 2 SigG 1997 Rn. 77], [BR-Drs. 966/96, 32]. Die Zeitangabe in einer elektronischen 

Signatur ist hierfür nicht ausreichend, da diese die Systemzeit des Rechners wiedergibt. Die 

Systemzeit eines Rechners ist aber im Allgemeinen leicht manipulierbar und deshalb für die 

Aufnahme als Metadatum in der Regel nicht ausreichend. 

Qualifizierte Zeitstempel werden dergestalt umgesetzt, dass von den Daten, die mit einem 

qualifizierten Zeitstempel versehen werden sollen, ein Hashwert gebildet wird, der an den 

Zeitstempeldiensteanbieter übermittelt wird. Dieser ermittelt Datum und Uhrzeit nach der gemäß § 4 

EinhZeitG 30 definierten gesetzlichen Zeit, die von der Physikalisch-Technischen Bundesanstalt in 

Braunschweig per Funk verbreitet wird. Der Zeitstempeldiensteanbieter bildet einen neuen Datensatz, 

der bei Bedarf aus einem Verweis auf das Zertifikat des Diensteanbieters, dem Hashwert und der 

ermittelten Uhrzeit besteht und mit seiner eigenen qualifizierten Signatur versehen wird. 31 

Da der qualifizierte Zeitstempel die Möglichkeit der eindeutigen Zuordnung einer Uhrzeit zu einem 

Hashwert gewährleistet, bieten sich Beweisvorteile bei den Fragen des Zeitpunkts der Abgabe einer 

Willenserklärung oder deren Zugang beim Empfänger. Wurde ein Dokument mit einem qualifizierten 

Zeitstempel versehen, der auf einer qualifizierten elektronischen Signatur basiert, kann vor Gericht 

§ 371a ZPO Berücksichtigung finden. Gegenstand der von § 371a ZPO geforderten Erklärung ist die 

Tatsache, dass der Hashwert dem Zeitstempeldiensteanbieter zu einem bestimmten Zeitpunkt 

vorgelegen hat. Bewiesen wird daher die Echtheit und Unverfälschtheit der Zeitangabe gemäß § 371a 

Abs. 1 Satz 2 ZPO. 

Hinsichtlich der Datumsangabe kann durch den qualifizierten Zeitstempel ein deutlich höherer 

Beweiswert erzielt werden, da bei Papierdokumenten die Identität und Authentizität nach § 416 ZPO 

beurteilt wird, die Echtheit des Datums und die Frage, ob dieses bei Erstellung des Dokuments 

gefälscht wurde, nur der freien Beweiswürdigung unterliegt. Die Echtheit des Datums des 

qualifizierten Zeitstempels hingegen unterfällt der Wirkung des § 371a ZPO, so dass § 416 ZPO gilt. 

Begründet wird also eine gesetzliche Vermutung für die Echtheit des Datums. 

R.2.4.3 Transfervermerk 

Der Transfervermerk soll das Ziel haben, dem Scanprodukt zu größtmöglichem Beweiswert zu 

verhelfen und somit ein verkehrsfähiges Beweismittel zu schaffen. Da das Ausgangsdokument nach 

dem Scannen vernichtet werden soll, enthält der Transfervermerk typischerweise neben Angaben zum 

Scanprozess auch solche zum Ausgangsdokument selbst. Der Transfervermerk kann entweder in das 

Zieldokument integriert werden, zusammen mit dem Zieldokument in einer Akte abgelegt oder aber in 

den Metadaten gespeichert werden. 

30 Gesetz über die Einheiten im Messwesen und die Zeitbestimmung (Einheiten- und Zeitgesetz - EinhZeitG). 

31 BSI, IT-Grundschutz, https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m05/m05067.html zuletzt 

abgerufen am 15.02.2012. 



Angaben zum Ausgangsdokument dienen dazu, die Integrität und Authentizität desselben bewerten zu 

können. Solche Informationen können zum Beispiel die Beschaffenheit des Ausgangsdokuments, die 

Nutzung von Vorder- und Rückseite, oder, soweit vorhanden, auch auffällige Merkmale, zum Beispiel 

Wasserzeichen, sein. Soll das Originaldokument zurückgegeben werden, kann auch der Lagerort 

vermerkt werden, was bei einem eventuellen Nachscannen hilfreich sein kann. Da die Beurteilung der 

Unterschrift ohne Sachverständigen in der Regel nicht möglich ist, können hierzu keine Angaben 

aufgenommen werden. Sollte jedoch im Einzelfall die Unterschrift des Ausstellers im Beisein der für 

die Transformation zuständigen Person vorgenommen worden sein, kann dies durchaus im Vermerk 

notiert werden. All dies liefert Anhaltspunkte, um vor Gericht die Echtheit des Dokuments trotz 

dessen Vernichtung zu belegen (näher dazu [Wilk11, S. 229f.]). 

Angaben zum Transformationsvorgang dienen dazu, den Prozess für Dritte nachvollziehbar zu 

machen. Dazu ist zum einen die Bezeichnung des Systems, mit dem die Transformation stattgefunden 

hat, notwendig, um die Sicherheitseigenschaften der verwendeten Technik nachzuvollziehen. Möglich 

ist dies durch Herstellerangaben, die Gerätenummer, zusätzliche besondere Merkmale sowie durch ein 

Qualitätszertifikat für den Scanner [Wilk11, S. 244]. 

Auch die verantwortliche Stelle oder Person, die das Dokument gescannt hat, ist so genau wie möglich 

zu bezeichnen, um diese zurückverfolgen zu können. 

Weiterhin muss der Zeitpunkt der Transformation vermerkt werden. Dies dient dem Schutz vor 

Fälschung durch Rück- oder Vordatierung und erneuter Transformation. Da die Systemzeit im 

Allgemeinen manipulierbar und fehleranfällig ist, stellt sie keine hinreichend vertrauenswürdige 

Quelle dar, um einen Anscheinsbeweis zu rechtfertigen [Wilk11, S. 246]. Eine Lösung bietet hier der 

so genannte qualifizierte Zeitstempel, der eine externe Zeitquelle heranzieht. In seiner Ausgestaltung 

umfasst der qualifizierte Zeitstempel den Transfervermerk und signiert damit auch die im Zeitstempel 

angegebenen Erklärungen, die Voraussetzung für eine Anwendung des § 371a ZPO auf das 

Scanprodukt. Als entgeltliche Dienstleistung kann der qualifizierte Zeitstempel jedoch mit 

zusätzlichen Kosten verbunden sein. Die Entscheidung für oder gegen den Einsatz von Zeitstempeln 

sollte daher unter Beachtung des Schutzbedarfs für jedes Dokument selbständig getroffen werden. Für 

Archive bietet sich die kostengünstigere Möglichkeit eines Archivzeitstempels als eines gemeinsamen 

Nachweises für viele Dokumente an [Wilk11, S. 246]. 

Die Wirkung des Transfervermerks reicht, wie die fortgeschrittene elektronische Signatur, nicht an 

eine eigenhändige Unterschrift heran. Sie kann jedoch in gewissem Maße einen Beweis für die 

Ordnungsgemäßheit des Scanvorgangs erbringen, der im Streitfall im Rahmen der freien 

Beweiswürdigung herangezogen werden kann. Es verbleibt aber ein Restrisiko, dass im Streitfall nur 

die Hinzuziehung des Originals genügend Beweis erbringen kann. 

Eine Möglichkeit wäre, das Scanprodukt dem Eigentümer oder Urheber des Originaldokuments 

zuzustellen, welcher dann innerhalb einer Frist Widerspruch einlegen könnte, wenn das Original nicht 

mit dem Scanprodukt übereinstimmt. Die Qualitätsprüfung würde dann durch den Dokumentenersteller 

durchgeführt. Um hier Rechtssicherheit zu erreichen, ist jedoch der Gesetzgeber gefragt, 

welcher angehalten wird, hierfür eine gesetzliche Regelung zu erlassen. 

R.2.4.4 Qualitätssicherung / Sichtprüfung 

Trotz bester Vorkehrungen ist es nicht ausgeschlossen, dass das Scanprodukt nicht die optimale 

Qualität aufweist. Mängel können auf ganz unterschiedlichen Gründen beruhen, allen voran auf den 

oben beschriebenen technischen oder menschlichen Fehlern. Die Qualitätskontrolle hat daher den 

Zweck, das Dokument auf Vollzähligkeit, Vollständigkeit, Fehler- und Manipulationsfreiheit hin zu 

prüfen, um diese zukünftig zu vermeiden. 

Vollständigkeit bedeutet, dass alle zum Dokument gehörenden Bestandteile gescannt vorliegen. 

Bedeutung erlangt dies zum Beispiel, wenn farbige Bestandteile zum Dokument gehören, soweit der 

Farbe eine eigenständige Bedeutung zukommt (z.B. farbige Kürzel in der Verwaltung oder 

verschiedenfarbige Durchschläge) [SCATE, S. 52] oder wenn ein Dokument aus verschiedenen 



Teildokumenten besteht [SCATE, S. 61, 67], die in einem inneren Zusammenhang stehen (wie etwa 

Akten 32 ). 

Vollzähligkeit bezeichnet hingegen allein die Tatsache, dass die Anzahl der Seiten des Ausgangs- und 

des Zieldokuments übereinstimmen. 

Grundsätzlich gibt es unterschiedliche Möglichkeiten, eine Qualitätssicherung durchzuführen. So kann 

eine vollständige Sichtprüfung aller gescannten Dokumente durchgeführt werden, die jedoch sehr 

aufwändig ist und damit in der Regel nicht zu empfehlen sein wird. Möglich ist weiterhin, lediglich 

Stichproben vorzunehmen. Diese werden üblicherweise von der Art und Wichtigkeit der Dokumente 

abhängig sein. Die Quote der Stichproben hängt von einer Vielzahl von Faktoren ab. Eine generelle 

Empfehlung ist auf Grund der Vielzahl der möglichen Dokumentarten nicht möglich. Die Stichprobe 

erbringt eine gewisse Wahrscheinlichkeit, mit der gewisse Arten von Fehlern entdeckt werden können. 

Je höher die Quote, desto größeres Gewicht kann dieser im Rahmen der Beweiswürdigung 

beigemessen werden. Die abschließende Entscheidung muss dem jeweiligen Anwender der TR 

überlassen bleiben und sollte in einer internen Arbeitsanweisung festgelegt werden. 

Zunächst ist zu klären, was durch eine Qualitätssicherung überhaupt erreicht werden kann. Eine 

Sichtprüfung kann die Sicherstellung der optischen Qualität ermöglichen. Eine vollständige 

Sichtprüfung wird aber in der Regel nicht notwendig sein, da diese Art der Fehler auf technischen 

Einstellungen basiert und sich daher wiederholt. Hier ist also eine Stichprobe völlig ausreichend. Die 

Vollständigkeit des Scanprodukts kann durch einen Sichtvergleich in der Regel festgestellt werden. 

Probleme bereitet dies bei großen Mengen zu scannender Dokumente, allerdings sollte sich der 

Anwender im eigenen Interesse einer Qualitätssicherung so genau wie möglich durchführen. Die 

inhaltliche Richtigkeit kann nicht völlig durch eine vollständige Sichtprüfung sichergestellt werden. 

Wurde bereits das Ausgangsdokument manipuliert, werden Ausgangs- und Zieldokument 

übereinstimmen. Eine Qualitätssicherung in Form einer Sichtprüfung hilft dann nicht weiter. Treten 

Manipulationen (oder Fehler) am Zieldokument auf, kann eine Sichtprüfung durchaus Aufschluss 

geben und diese aufdecken. Allerdings stellt sich die Frage der Praktikabilität. Insbesondere bei 

großen Mengen an Daten, sei es Zahlentabellen, Bilanzen oder Ähnliches, ist ein manueller Eins-zu- 

Eins-Abgleich nicht zu leisten, da dies den manuellen Vergleich jeder einzelnen Zahl voraussetzt. Zu 

denken wäre hier daran, nur bedeutsame Zahlen oder Daten abzugleichen, wie Zwischenergebnisse 

oder Endsummen. In jeden Fall muss das Verhältnis zwischen Nutzen und Aufwand gewahrt bleiben. 

R.2.5 Mehrseitige, beglaubigte Dokumente 

Problematisch kann es sein, Dokumente ersetzend zu scannen, bei denen die Verbindung mehrerer 

Seiten durch eine öffentliche Stelle bestätigt wurde, z. B. die notarielle Beglaubigung mehrseitiger 

Dokumente durch ein Siegel (Aufkleber oder Stempel) oder eine Siegelschnur. Die Verbindung mit 

einem Siegel oder einer Siegelschnur dient dazu, die Zusammengehörigkeit der Einzelseiten als ein 

Dokument und somit die Vollständigkeit zu sichern. Indem das Siegel oder die Siegelschnur im 

Rahmen der organisatorischen Vorbereitung der Dokumente für das Scannen aufgelöst wird, wird 

nicht nur die Urkundenqualität des Dokuments aufgehoben. In der Zukunft kann auch kein Beweis 

mehr erbracht werden, dass das papierne Dokument vormals notariell beglaubigt worden war. Dies ist 

insbesondere bei Willenserklärungen von Bedeutung, bei denen die notarielle Beurkundung gesetzlich 

vorgeschrieben ist. 33 Das Scannen solcher Dokumente, bei denen die Verbindung von Einzelseiten 

durch eine öffentliche Stelle besonders bestätigt worden ist, ist mittels geeigneter Hardware (z. B. 

Flachbettscanner) zwar grundsätzlich möglich. Jedoch sollten die Originaldokumente aufgrund der 

zusätzlichen Beweisrisiken nach dem Scanprozess nicht vernichtet oder zurückgegeben, sondern 

besonders aufbewahrt (oder asserviert) werden (siehe auch [SCATE, S. 50] und [RoJa08, S. 23]). 

32 Die Akte ist nur dann vollständig, wenn alle Dokumente gescannt vorhanden sind. 

33 Gesetzlich vorgeschrieben ist die notarielle Beurkundung z. B. für § 15 Abs. 2 GmbHG für die Abtretung eines Anteils 

an einer GmbH oder § 311b Abs. 1 Satz 1 BGB bei Grundstückskaufverträgen. 



R.2.6 Datenschutzrechtliche und strafrechtliche Beurteilung des externen 

Scannens 

Abhängig von der Menge der zu scannenden Akten und der vorhandenen Infrastruktur in den 

Unternehmen kann es von Interesse sein, die Digitalisierung von einem externen Dienstleister 

vornehmen zu lassen. Dies wirft Fragen bezüglich der Zulässigkeit der Weitergabe der Daten in 

datenschutzrechtlicher, aber auch in strafrechtlicher Hinsicht auf. 

R.2.6.1 Datenschutzrecht 

Darüber hinaus erlangt die Verarbeitung personenbezogener Daten eine besonders hohe Bedeutung, 

wenn das Scannen von Papierdokumenten externe Dienstleister übernehmen. In diesen Fällen ist § 11 

BDSG (oder die entsprechenden Landesdatenschutzgesetze zu berücksichtigen), der die Datenverarbeitung 

im Auftrag reguliert. Wenn die Datenerhebung durch den Auftraggeber grundsätzlich 

zulässig ist, ist das Scannen durch externe Dienstleister im Allgemeinen unbedenklich, denn die 

Datenweitergabe vom Auftraggeber an den Auftragnehmer ist gemäß § 3 Abs. 8 Satz 3 BDSG keine 

Datenübermittlung an Dritte. Trotzdem liegt hierin eine Nutzung der Daten gemäß § 3 Abs. 5 BDSG. 

Somit ist ohne Einwilligung des Betroffenen die Nutzung der Daten nur im Rahmen der gesetzlichen 

Ermächtigungsgrundlagen, insbesondere §§ 12 ff. BDSG und §§ 28 ff. BDSG zulässig [Roßn03, Kap. 

4.6 Rn. 101]. Die durch den externen Dienstleister stattfindende Datenverarbeitung muss allen 

Anforderungen genügen, die auch von dem Auftraggeber zu erfüllen wären [Simi10, § 11 Rn. 1, 43], 

wobei zu beachten ist, dass sich die Sicherungsmaßnahmen zur Gewährleistung des Datenschutzes 

dann sowohl auf das Papierdokument als auch auf das Scanprodukt beziehen müssen [SCATE, S. 62]. 

Allerdings können Spezialnormen die Weitergabe besonderer Daten verbieten. Zu nennen ist etwa 

§ 30 AO für Daten, die dem Steuergeheimnis unterliegen, und die nur unter den Voraussetzungen des 

§ 30 Abs. 4 AO offenbart werden dürfen sowie § 80 Abs. 5 SGB X, welcher die Auftragsverarbeitung 

von Sozialdaten durch nicht-öffentliche Stellen an enge Voraussetzungen knüpft (Störung des 

Betriebsablaufs, Nr. 1, sowie erhebliche wirtschaftliche Vorteile, wenn nicht der gesamte Datenbestand 

vom Auftragnehmer gespeichert wird, Nr. 2). Auch § 107 BBG beschränkt den Zugriff auf 

Dokumente, hier Personalakten der Bundesbeamten, auf einige wenige Mitarbeiter der 

Personalverwaltung. Insoweit ist hier zu prüfen, ob für die zu scannenden Unterlagen gesetzliche 

Bestimmungen die Weitergabe verbieten. 

{Zunächst ist zu klären, ob die Weitergabe der Dokumente mit personenbezogenen Daten zum Zweck 

des externen Scannens eine Auftragsdatenverarbeitung oder eine Funktionsübertragung auf einen 

Dritten darstellt [JaRoWi11b, S. 643]. 

Bei der Auftragsdatenverarbeitung ist für öffentliche Stellen des Bundes und für nicht-öffentliche 

Stellen § 11 BDSG zu beachten, wenn nicht Fachgesetze eine speziellere Regelung treffen (z.B. § 80 

SGB X). Für Landesbehörden gelten i. d. R. die dem § 11 BDSG nachgebildeten Vorschriften der 

jeweiligen Landesdatenschutzgesetze. Die Verantwortlichkeit für die Einhaltung des Datenschutzes 

liegt damit bei der Auftragsdatenverarbeitung beim Auftraggeber. Insbesondere stellt dies keine 

Datenübermittlung im Sinne von § 3 Abs. 4 Satz 2 Nr. 3 BDSG dar, weil der Dienstleister zwar 

„Empfänger“ der Daten, aber im Verhältnis zum Auftraggeber gemäß § 3 Abs. 8 Satz 3 BDSG nicht 

„Dritter“ ist [Simi11, § 3 Rn. 244], [Simi11, § 11 Rn. 31], [SCATE, S. 62]. 

Bei einer Funktionsübertragung hingegen liegt eine Übermittlung der Daten gemäß § 3 Abs. 4 Nr. 3 

BDSG vor, so dass eine Datenverarbeitung vorliegt, die nur bei Einwilligung oder bei einer 

gesetzlichen Befugnisnorm zulässig ist. 

Zur Beurteilung können verschiedene Kriterien herangezogen werden. Für eine Beauftragung spricht, 

dass die Vorgehensweise des Dienstleisters durch Weisungen engen Grenzen unterworfen ist und kein 

Gestaltungsspielraum besteht. Auch hat der Dienstleister kein eigenes inhaltliches Interesse an den 

Daten. Gegen eine reine Beauftragung und für eine Funktionsübertragung spricht hingegen die 

fehlende Einflussmöglichkeit des Auftraggebers, die Durchführung der Datenverarbeitung auf eigene 



Rechnung und die Verfolgung eigener Geschäftszwecke, die über den reinen Datenumgang 

hinausgehen [JaRoWi11b, S. 643f.]. Genaueres wird regelmäßig im zu Grunde liegenden Geschäftsbesorgungsvertrag 

geregelt sein, der bei der Qualifikation heranzuziehen ist.} 

Die Zulässigkeit der Auftragsdatenverarbeitung richtet sich nach § 11 BDSG, wenn nicht speziellere 

Datenschutzgesetze der Länder einschlägig sind. Die Datenverarbeitung durch Funktionsübertragung 

ist zulässig, wenn eine Rechtsvorschrift dies erlaubt oder anordnet, ansonsten nur bei Einwilligung des 

Betroffenen. 

Die datenschutzrechtliche Einwilligung ist gemäß § 4a Abs. 1 Satz 3 BDSG in schriftlicher Form zu 

erteilen, soweit nicht eine andere Form angemessen ist, und nur wirksam, wenn sie auf der freien 

Entscheidung des Betroffenen beruht, $ 4a Abs. 1 Satz 1 BDSG. Sie ist außerdem besonders hervorzuheben, 

wenn sie zusammen mit anderen Erklärungen vorgelegt wird, § 4a Abs. 1 Satz 4 BDSG. 

Eine zulässige Datenverarbeitung im Auftrag legitimiert den Umgang mit personenbezogenen Daten 

durch den Auftraggeber. Daraus folgt aber nicht die Zulässigkeit der Offenbarung von Daten, die 

besonderen gesetzlichen Verschwiegenheitspflichten, wie z. B. der ärztlichen Schweigepflicht oder 

dem Anwälten obliegenden Mandantengeheimnis, unterliegen. Die Offenbarung von gesetzlich 

geschützten Geheimnissen ist nur zulässig, wenn gesetzliche Offenbarungsbefugnisse und -pflichten 

bestehen oder wenn der Betroffene in die Weitergabe seiner Daten an beauftragte Dienstleister 

wirksam eingewilligt hat. An die Einwilligung sind aufgrund der besonderen Bedeutung der Daten 

höhere Anforderungen zu stellen. Die Inanspruchnahme eines externen Scandienstleisters ist daher 

nicht ohne Weiteres zulässig, wenn die in den Dokumenten enthaltenen Informationen einer 

gesetzlichen Schweigepflicht unterliegen. Es bedarf einer gesonderten Prüfung im Einzelfall. 

siehe auch Tätigkeitsbericht des Bundesbeauftragten für Datenschutz 2008/09, Seite 26. 

{Die Weitergabe von Daten die besonderen Geheimhaltungspflichten unterliegen, wie etwa dem 

Patienten- oder Mandantengeheimnis, bedarf gesonderten Voraussetzungen. Geheimhaltungspflichten 

schützen vor allem das Vertrauensverhältnis zwischen dem Geheimnisträger und dem Betroffenen.} 

Da nach § 1 Abs. 3 Satz 2 BDSG die Wahrung besonderer Geheimhaltungspflichten unberührt bleibt, 

kann nicht jede datenschutzrechtliche Einwilligung zur Legitimierung der Offenbarung solcher 

geheimnisgeschützter Daten ausreichen [JaRoWi11a, S. 228], [JaRo11, S. 142]. 

Solche Geheimnisse dürfen nur offenbart werden, wenn gesetzliche Offenbarungspflichten 34 bestehen 

oder der Betroffene (etwa Patient, Mandant) wirksam in die Offenbarung eingewilligt hat [JaRo11, S. 

142 mit weiteren Nachweisen]. Die Erklärung zur Entbindung von der gesetzlichen Schweigepflicht 

ist nicht formgebunden und kann auch konkludent erfolgen oder sogar als mutmaßliche Einwilligung 

fingiert werden. Da aber die datenschutzrechtliche Erklärung einerseits und die Entbindung von der 

Schweigepflicht andererseits eine unterschiedliche inhaltliche Reichweite [JaRo11, S. 145] 35 sowie 

gegebenenfalls unterschiedliche Adressaten 36 haben, können beide nicht gleichgesetzt werden werden 

[JaRo11, S. 144f], [JaRoWi11b, S. 645]. Eine wirksame datenschutzrechtliche Einwilligung kann eine 

Entbindung von der Schweigepflicht allenfalls dann ersetzen, wenn sie ausdrücklich eine 

Datenweitergabe umfasst [JaRo11, S. 145]. 

Zusammenfassend kann festgehalten werden, dass Anwender, die besonderen Geheimnispflichten 

unterliegen, sowohl eine datenschutzrechtliche Einwilligung über die Verarbeitung der Daten als auch 

eine Entbindung von der Schweigepflicht zu Zwecken der Datenverarbeitung beim Betroffenen 

einholen müssen. 

34 Zum Beispiel § 53 StPO, § 383 ZPO, §§ 295, 296, 297, 298 SGB V, § 284 in Verbindung mit § 295 SGB V; 

Infektionsschutzgesetz. 

35 Schutz vor den Risiken der modernen Datenverarbeitung einerseits, Schutz vor einer Weitergabe sensitiver 

Informationen andererseits. 

36 Verantwortliche Stelle einerseits, Geheimnisträger andererseits. 



R.2.6.2 § 203 StGB 

Fehlt eine Entbindung von der Schweigepflicht, 37 stellt die Beauftragung eines externen Scandienstleisters 

eine unbefugte Offenbarung und damit eine Verletzung von Privatgeheimnissen gemäß 

§ 203 StGB dar. 

Gemäß § 203 Abs. 1 StGB ist es den dort genannten Berufsgruppen untersagt, Geschäftsgeheimnisse 

oder dem persönlichen Lebensbereich angehörende Geheimnisse zu offenbaren, die ihnen in ihrer 

beruflichen Funktion anvertraut worden sind. Zu diesen Berufsträgern gehören unter anderem 

Angehörige von Heilberufen, Rechtsanwälte, Wirtschaftsprüfer, Steuerberater, aber auch 

Sozialpädagogen oder Angehörige von privaten Kranken-, Lebens- und Unfallversicherungen. 

Gemäß § 203 Abs. 3 Satz 2 StGB stehen diesen Geheimnisträgern berufsmäßig tätige Gehilfen gleich, 

so dass eine Weitergabe der Geheimnisse an diese Personen nicht dem Tatbestand des § 203 StGB 

unterfällt. Berufsmäßig tätige Gehilfen sind alle Personen, die als befugte Mitwisser in den 

organisatorischen und weisungsgebundenen internen Bereich des Auftraggebers eingegliedert sind, 

unabhängig davon, ob sie zeitweise oder nur gelegentlich für den Auftragnehmer tätig sind. Externe 

Dritte fallen nicht darunter [Fisc11, § 203 StGB Rn. 21], weil .... 

Werden Dienstleistungsunternehmen mit dem Scannen beauftragt, so sind diese regelmäßig nicht in 

die Unternehmensstruktur des Auftraggebers eingegliedert und nicht in dem Maße weisungsgebunden, 

dass ihnen kein Umsetzungsspielraum verbleibt. Da aus diesen Gründen externe Scandienstleister 

nicht unter den Gehilfenbegriff des § 203 Abs. 3 Satz 2 StGB fallen, ist eine Weitergabe solcher 

Daten, die besonderen Verschwiegenheitspflichten unterliegen, strafbar. 

Ein besonderes Problem stellt in diesem Zusammenhang die besondere Verpflichtung des 

Dienstleisters dar. Denkbar und praktisch gehandhabt wird dies auf zweierlei Art. Zum einen 

unterwerfen sich externe Scandienstleister häufig mittels einer Vereinbarung oder Selbstverpflichtung 

den Wirkungen des § 203 StGB. Da Strafbarkeiten aber nicht vereinbart werden können, sind die 

Vereinbarungen faktisch wirkungslos [Bie12, S. 867]. Zum anderen werden externe Dienstleister 

häufig nach dem Verpflichtungsgesetz zur Geheimhaltung verpflichtet. Damit sind diese dann gemäß 

§ 203 Abs. 2 Satz 1 Nr. 2 StGB der Schweigepflicht unterworfen. Verkannt wird jedoch, dass die 

Geheimhaltungspflicht auch gegenüber anderen Geheimnisträgern besteht, der Auftraggeber (zum 

Beispiel ein Arzt) auch anderen Geheimnisträgern zur Verschwiegenheit verpflichtet ist und sich 

mithin bei Offenbarung des Geheimnisses strafbar macht [Fisc11, § 203 StGB Rn. 30b]. Eine 

Verpflichtung des externen Scandienstleisters ändert an der Strafbarkeit also nichts. 

Bei einem Verstoß gegen § 203 StGB droht neben Freiheitsentzug bis zu einem Jahr auch die 

Verhängung eines Berufsverbots gemäß § 70 Abs. 1 StGB. 

Anwender, die besonderen Verschwiegenheitspflichten unterliegen, müssen daher bei den Betroffenen 

eine Entbindung von der Schweigepflicht einholen, damit sie die betreffenden Dokumente durch 

externe Dienstleister scannen lassen können oder andernfalls vom Scannen Abstand nehmen. 

Alternativ kann bei einem entsprechenden Wunsch der Anwender nach Digitalisierung ihrer Bestände 

dies intern durchgeführt werden. 

R.2.7 Strafbarkeit der Vernichtung von Originaldokumenten 

37 Gesetzliche Offenbarungspflichten bestehen nicht, da zu Zwecken des Scannens die Erforderlichkeit der 

Offenbarung fehlen wird.

BSI TR-RESISCAN - AuthentiDate

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?