Ulshöfer IT | News | Rechtssicheres Scannen


Rechtssicheres Scannen Sichtweise eines Dienstleisters In der Regel steht der Dienstleister an letzter Stelle der Prozesskette, aber er soll das Ergebnis liefern, das allen Belangen gerecht wird. Die Erwartungshaltung ist hoch, sei es zum Thema Vollständigkeit, Erkennungsrate bei OCR-Lesung oder eben Rechtssicherheit. Vollständigkeit - im Sinne: werden 1 Mio. Blatt oder 1,133 Mio. Blatt übernommen? - ist nie genau zu quantifizieren und somit im Übernahmestatus nicht ohne weiteres zu gewährleisten. Auftraggeber und Auftragnehmer müssen sich aufeinander verlassen und sich im Klaren darüber sein, dass trotz noch so ausgeklügelter Kontrollmechanismen der Mensch und die verwendeten "Hilfsmittel" (Scanner, Software) Fehler machen. Legt man Maßstäbe des FMEA (Failure Mode and Effects Analysis = Fehlermöglichkeits- und Einflussanalyse) zugrunde, stößt man schnell an die Grenzen des wirtschaftlich Machbaren. Eine der Aufgabe und der Sachlage entsprechende Inhaltsbeurteilung ist ebenfalls nicht möglich, insofern kann zum Inhalt (content) keine verbindliche Aussage gemacht bzw. Garantie übernommen werden. Wie wird die Vollständigkeit eines Vertrages bewiesen, durch Paginieren? Sicher ist dies möglich und wird auch praktiziert, aber es ist nicht die Regel, auch da bleibt erfahrungsgemäß der Faktor "Mensch" als Restrisiko. Was die OCR Ausleserate betrifft, auch hier erwartet man den "Persilschein", eine Treffergenauigkeit von 99,98 % ist in Ausschreibungen zu finden. Ist es also das Ziel, alles "schönzurechnen" und den Ball dahingehend an den Kunden zurückzuspielen, indem man die Rahmenbedingungen für solche Forderungen entsprechend realitätsfremd formuliert? Einzubeziehen sind selbstverständlich die verschiedensten Gesetze, Vorschriften etc. Hier kann man beispielsweise auf die Dokumentation Nr. 564 des bmwi (Bundesministerium für Wirtschaft und Technologie, www.bmwi.de) zurückgreifen oder die entsprechenden Stellungnahmen des Deutschen EDV-Gerichtstages e. V.. Trotz des Tatbestandes, dass die Dokumentation Nr. 564 bereits 2007 (erste Befragung von Kunden, Dienstleistern und Herstellern zu diesem Thema) entstand, sind heutzutage hieraus immer noch wesentliche Bestandteile zu entnehmen. Aktuell findet man in den "Legal Requirements for Document Management in Europe" (Bezug dieses Whitepaper über den VOI, www.voi.de) weitere Rechtsvorschriften für Deutschland, Frankreich, Großbritannien, Italien, Österreich, Schweiz und Spanien. Auch wenn es primär um Dokumentenmanagement geht, die einschlägigen Vorschriften und Regeln verdeutlichen die Problematik. Und zu guter Letzt, die eingesetzte Technik. - Stand heute gibt es keine Herstellererklärungen für Scanner. Weder zu dem Bereich Controller, also in wie weit wird bereits im Scanner ein Bild manipuliert, noch zum Thema Transaktionssicherheit, Letzteres betrifft auch die sogenannten VBS (Vorgangsbearbeitungssystem) oder DMS (Dokumenten-Managment-Systeme). Aussagen zur eingesetzten Technik, z. B. in Bezug auf Doppeleinzug, beantworten nicht die Frage: "Habe ich wirklich zuvor 50 Blatt in den Scannereinzug gelegt und anschließend auch 50 verschiedene Images, also für jedes Blatt eines, erhalten?" Von sicherer Metadatenverknüpfung ganz zu schweigen. Siehe die Problematik der Indizierung und Qualität der Quelldaten. Wie ist in diesem Zusammenhang die Initiative des BSI (Bundesamt für Sicherheit in der Informationstechnik, Ausschreibung März 2011) zu sehen, eine Technische Richtlinie - TR RESISCAN - Rechtssicheres dokumentenersetzendes Scannen, via Ausschreibung, zu erstellen? Die Definition der funktionalen Anforderungen kann eigentlich, wenn man die zuvor beschriebene Praxis berücksichtigt, nur auf Basis sehr genauer und somit zwangsläufig eng gefasster Rahmenbedingen basieren. Dass Vorgaben oft unnötigerweise reglementieren oder sich im Laufe der Zeit überholen, sieht man beispielsweise an dem Modul Scannen, innerhalb des zertifizierungspflichtigen DOMEA Konzepts. Die Forderungen sind nicht unüblich, in der Regel auch angebracht, aber warum dafür ein Zertifikat? Erfüllung eines Leistungsprofils sollte zur Akzeptanz reichen. Die organisatorischen Gestaltungsanforderungen oder wie es in dem Konzept heißt "Gestaltungsmöglichkeiten" sind vielfältig. Wird das gewünschte Ziel erreicht, mit einer Richtlinie alle Aspekte des wirtschaftlichen Handelns abzudecken? Werden alle Beteiligte, angemessen, mit ins Boot genommen? Eine breite, öffentliche eventuell auch auf Verbandsebene (VOI, BITKOM, etc.) angesiedelte Diskussion und Einflussnahme ist hier wünschenswert. Artikel in der BIT: BIT Juni 2011 Über TR Resiscan auf KKS Netzwerk.de Kontakt: lothar.walther@ulshoefer.de.

Rechtssicheres Scannen

Sichtweise eines Dienstleisters

In der Regel steht der Dienstleister an letzter Stelle der Prozesskette, aber er soll das Ergebnis liefern, das allen Belangen gerecht wird. Die Erwartungshaltung ist hoch, sei es zum Thema Vollständigkeit, Erkennungsrate bei OCR-Lesung oder eben Rechtssicherheit.

Vollständigkeit - im Sinne: werden 1 Mio. Blatt oder 1,133 Mio. Blatt übernommen? - ist nie genau zu quantifizieren und somit im Übernahmestatus nicht ohne weiteres zu gewährleisten. Auftraggeber und Auftragnehmer müssen sich aufeinander verlassen und sich im Klaren darüber sein, dass trotz noch so ausgeklügelter Kontrollmechanismen der Mensch und die verwendeten "Hilfsmittel" (Scanner, Software) Fehler machen. Legt man Maßstäbe des FMEA (Failure Mode and Effects Analysis = Fehlermöglichkeits- und Einflussanalyse) zugrunde, stößt man schnell an die Grenzen des wirtschaftlich Machbaren.

Eine der Aufgabe und der Sachlage entsprechende Inhaltsbeurteilung ist ebenfalls nicht möglich, insofern kann zum Inhalt (content) keine verbindliche Aussage gemacht bzw. Garantie übernommen werden. Wie wird die Vollständigkeit eines Vertrages bewiesen, durch Paginieren? Sicher ist dies möglich und wird auch praktiziert, aber es ist nicht die Regel, auch da bleibt erfahrungsgemäß der Faktor "Mensch" als Restrisiko.

Was die OCR Ausleserate betrifft, auch hier erwartet man den "Persilschein", eine Treffergenauigkeit von 99,98 % ist in Ausschreibungen zu finden. Ist es also das Ziel, alles "schönzurechnen" und den Ball dahingehend an den Kunden zurückzuspielen, indem man die Rahmenbedingungen für solche Forderungen entsprechend realitätsfremd formuliert? Einzubeziehen sind selbstverständlich die verschiedensten Gesetze, Vorschriften etc. Hier kann man beispielsweise auf die Dokumentation Nr. 564 des bmwi (Bundesministerium für Wirtschaft und Technologie, www.bmwi.de) zurückgreifen oder die entsprechenden Stellungnahmen des Deutschen EDV-Gerichtstages e. V.. Trotz des Tatbestandes, dass die Dokumentation Nr. 564 bereits 2007 (erste Befragung von Kunden, Dienstleistern und Herstellern zu diesem Thema) entstand, sind heutzutage hieraus immer noch wesentliche Bestandteile zu entnehmen. Aktuell findet man in den "Legal Requirements for Document Management in Europe" (Bezug dieses Whitepaper über den VOI, www.voi.de) weitere Rechtsvorschriften für Deutschland, Frankreich, Großbritannien, Italien, Österreich, Schweiz und Spanien. Auch wenn es primär um Dokumentenmanagement geht, die einschlägigen Vorschriften und Regeln verdeutlichen die Problematik.

Und zu guter Letzt, die eingesetzte Technik. - Stand heute gibt es keine Herstellererklärungen für Scanner. Weder zu dem Bereich Controller, also in wie weit wird bereits im Scanner ein Bild manipuliert, noch zum Thema Transaktionssicherheit, Letzteres betrifft auch die sogenannten VBS (Vorgangsbearbeitungssystem) oder DMS (Dokumenten-Managment-Systeme). Aussagen zur eingesetzten Technik, z. B. in Bezug auf Doppeleinzug, beantworten nicht die Frage: "Habe ich wirklich zuvor 50 Blatt in den Scannereinzug gelegt und anschließend auch 50 verschiedene Images, also für jedes Blatt eines, erhalten?" Von sicherer Metadatenverknüpfung ganz zu schweigen. Siehe die Problematik der Indizierung und Qualität der Quelldaten.

Wie ist in diesem Zusammenhang die Initiative des BSI (Bundesamt für Sicherheit in der Informationstechnik, Ausschreibung März 2011) zu sehen, eine Technische Richtlinie - TR RESISCAN - Rechtssicheres dokumentenersetzendes Scannen, via Ausschreibung, zu erstellen? Die Definition der funktionalen Anforderungen kann eigentlich, wenn man die zuvor beschriebene Praxis berücksichtigt, nur auf Basis sehr genauer und somit zwangsläufig eng gefasster Rahmenbedingen basieren. Dass Vorgaben oft unnötigerweise reglementieren oder sich im Laufe der Zeit überholen, sieht man beispielsweise an dem Modul Scannen, innerhalb des zertifizierungspflichtigen DOMEA Konzepts. Die Forderungen sind nicht unüblich, in der Regel auch angebracht, aber warum dafür ein Zertifikat? Erfüllung eines Leistungsprofils sollte zur Akzeptanz reichen. Die organisatorischen Gestaltungsanforderungen oder wie es in dem Konzept heißt "Gestaltungsmöglichkeiten" sind vielfältig. Wird das gewünschte Ziel erreicht, mit einer Richtlinie alle Aspekte des wirtschaftlichen Handelns abzudecken? Werden alle Beteiligte, angemessen, mit ins Boot genommen? Eine breite, öffentliche eventuell auch auf Verbandsebene (VOI, BITKOM, etc.) angesiedelte Diskussion und Einflussnahme ist hier wünschenswert.

Artikel in der BIT: BIT Juni 2011
Über TR Resiscan auf KKS Netzwerk.de
Kontakt: lothar.walther@ulshoefer.de.