Die TR fordert in den organisatorischen Maßnahmen u. a. die Festlegung von Verantwortlichkeiten, Abläufen und Aufgaben im Scanprozess. Aus den Unterpunkten dazu ist in der neuen Version die Empfehlung für ein frühes Scannens entfallen (A.O.1). Unter „frühem Scannen” versteht man, dass der Scanprozess unmittelbar nach Posteingang erfolgt und nicht erst nach Durchlaufen des Dienstwegs als Papiereingang oder nach Abschluss der Bearbeitung. Die Maßnahme war zwar vorher nicht verbindlich vorgegeben, doch die bloße Erwähnung half in Projekten zum Scannen bei der Durchsetzung einer Optimierung des Postlaufs. Gerade in traditionell orientierten Verwaltungsbereichen besteht eine gewisse Tendenz, sich mit bestimmten prozessualen Fragen nicht befassen zu wollen und diesen durch spätes Scannen zu entgehen. Aus der TR-RESISCAN ist für diesen Fall nun eine wichtige Argumentationshilfe entfallen.
Dem Trend zur Etablierung kontinuierlicher Verbesserungsprozesse („Kaizen“) folgt, dass Überprüfungen der Wirksamkeit und Vollständigkeit, der vorgesehenen Maßnahmen regelmäßig durchgeführt werden müssen (A.O.4). Hierdurch wird die bisherige Konstruktion aufgehoben, dass diese Überprüfungen als Soll-Vorschrift ausgeprägt waren, die konkrete Ausgestaltung aber in Form von Muss-Bestimmungen. Zum Ausgleich ergibt sich (vermeintlich) eine Abschwächung hinsichtlich des Überprüfungsintervalls von drei Jahren durch die Nutzung der Formulierung „SOLLTE“ statt „SOLL“.
Personelle Maßnahmen
Bei den personellen Maßnahmen ist die „Sensibilisierung der Mitarbeiterinnen und Mitarbeiter für Informationssicherheit“ als eigenständiger Gliederungspunkt entfallen. Stattdessen sollen im Rahmen der Schulungsmaßnahmen zur Sicherheit im Scanprozess nun zusätzlich auch die sicherheitsbewusste Handhabung von Dokumenten, Daten und IT-Systemen sowie der zu ergreifenden Vorsichtsmaßnahmen geschult werden (ID A.P.3 a). Die Vereinfachung ist aus zweierlei Gründen sehr zu begrüßen. Zum einen waren die beiden Maßnahmen bislang redundant, und zum anderen gehören regelmäßige Sensibilisierungen ohnehin zur gelebten Praxis in Behörden und Unternehmen. Weniger Aufmerksamkeit erfordert die Differenzierung der Adressatinnen und Adressaten der Maßnahmen. Manche richteten sich an „die Mitarbeiter“ andere an die „Mitarbeiter, die den Scanvorgang durchführen“. Die Unterscheidung wurde von einigen Kundinnen und Kunden mitunter überlesen. Diese Fehlerquelle fällt nun weg, da sich alle Maßnahmen an die Beteiligten im Scanprozess richten. Ansonsten finden sich in den personellen Maßnahmen nur redaktionelle Änderungen.
Technische Maßnahmen
Die weitreichendsten Änderungen finden sich im Bereich der technischen Maßnahmen. Gleich zu Beginn startet das Kapitel mit einem Paukenschlag. So wurde die Anforderung, den IT-Grundschutz umzusetzen, von einer Soll- in eine Muss-Anforderung gehoben (ID A.T.1). Mit dieser Verschärfung wird Salz zielgenau in die Wunde gestreut, die erfahrungsgemäß bei vielen Anwendern der TR-RESISCAN besteht. Kaum eine Behörde oder Institution setzt alle erforderlichen Grundschutzmaßnahmen um. In der Praxis zeigt sich auch, dass eine nachträgliche Umsetzung im Rahmen einer RESISCAN-Einführung nicht möglich ist, da der Aufwand für die Grundschutzmaßnahmen regelmäßig die Kalkulation der Scan-Projekte übersteigt und überdies die Zuständigkeit für das Scannen in den Bereichen Organisation, Poststelle oder Schriftgutverwaltung liegt, während IT-Sicherheitsfragen von entsprechenden Beauftragten bzw. der IT-Abteilung verantwortet werden. In letzter Konsequenz kann diese Änderung bedeuten, dass (Resi-)Scanprojekte erst angefangen werden, nachdem umfangreiche IT-Sicherheitsmaßnahmen umgesetzt wurden. Sollten die Verantwortlichen zu dem Schluss kommen, erst einmal zu Scannen, ohne sich in allen Punkten nach der TR zu richten, weil die Umsetzung des Grundschutzes mittelfristig nicht erreichbar scheint, erzielt diese Änderung unter Umständen einen genau gegenteiligen Effekt. Ob es eine Erleichterung darstellt, dass alternativ die ISO 27001/27002 umgesetzt werden kann, ist fraglich. Im Behördenumfeld ist der Grundschutz gesetzt und privatwirtschaftlichen Anwender/-innen stellt sich weiterhin das Problem, dass die ISO tendenziell weniger konkrete Vorgaben macht als der Grundschutz. Infolgedessen ist immer unsicher, inwieweit die geforderte Äquivalenz der Maßnahmen gegeben ist.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
In die gleiche Richtung zielen weitere Verschärfungen, von denen die meisten in den prozessbezogenen Maßnahmen relevant sind, zu denen wir noch kommen werden. Als generelle Maßnahme müssen in Bezug auf die Kommunikationsverbindungen des konkret eingerichteten Scansystems nun die Anforderungen der BSI TR-02102-1 „Kryptografische Verfahren: Empfehlungen und Schlüssellängen" eingehalten werden. Hier ist zu prüfen, ob die verwendeten Technologien (zum Beispiel TLS, IPsec, SSH) richtlinienkonform eingesetzt werden (ID A.T.2). Dafür kann je verwendeter Technologie die Prüfung weiterer Normenteile (TR-02102-2, TR-02102-3 und TR-02102-4) erforderlich sein. In der Praxis wird für die Prüfung dieser Frage typischerweise die IT-Abteilung einzubinden sein.
Auch die Maßnahme „Zuverlässige Speicherung“ (ID A.T.4) ist möglicherweise neu zu bewerten, wenn, wie später noch gezeigt werden wird, Anforderungen an die Integritätssicherung verschärft werden.
:quality(80)/p7i.vogel.de/wcms/84/eb/84eb7194ee6289e3c73c9c933bdc81b4/0130039226v2.jpeg "Dr. Fabian Mehring, Bayerischer Staatsminister für Digitales, und Dr. Lydia Hüskens, Ministerin für Infrastruktur und Digitales des Landes Sachsen-Anhalt. (Bild: © Canva / StMD / Laurence Chaperon)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e4ef813f113e94116528fe50d90083/0130154878v2.jpeg "Ein Marktplatz für alle(s): Der Marktplatz Deutschland Digital wird als Produkt des IT-Planungsrats von der FITKO gesteuert. Betreiberin ist die govdigital eG. (Bild: FITKO)")
:quality(80)/p7i.vogel.de/wcms/36/9b/369b07a162c4b04a779d3fcf3662128c/0130098712v2.jpeg "Steffen Jäger, Präsident des Gemeindetages Baden-Württemberg (v. l. ), stellvertretender Ministerpräsident und Innenminister Thomas Strobl, Landrat Dr. Achim Brötel, Präsident des Landkreistags Baden-Württemberg, Oberbürgermeister Dr. Frank Mentrup, Präsident des Städtetages Baden-Württemberg. (Bild: © Innenministerium Baden-Württemberg)")
:quality(80)/p7i.vogel.de/wcms/ef/c1/efc1c5b178a6cac442692393c945ac7f/0130038942v2.jpeg "Dr. Benjamin Grimm, Minister der Justiz und für Digitalisierung des Landes Brandenburg, und Dörte Schall, Ministerin für Arbeit, Soziales, Transformation und Digitalisierung des Landes Rheinland-Pfalz. (Bild: © Canva / Karoline Wolf, Hasselblad H5D / MASTD)")
:quality(80)/p7i.vogel.de/wcms/b5/12/b512833e6c222fb02a8c826c32528feb/0130089738v2.jpeg "Agentische KI kann Prozesse beschleunigen und Ressourcen freisetzen, setzt im Public Sector aber klare Zuständigkeiten, transparente Datenflüsse und überprüfbare Entscheidungslogiken voraus. (Bild: © Nattanon - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/28/d428e401715116a6fff9973329db3adb/0129841581v1.jpeg "Telekom und ServiceNow arbeiten auch beim Deutschland-Stack zusammen; Kunden sollen vom Ende-zu-Ende-Service auf der souveränen KI-Plattform profitieren. (Bild: Deutsche Telekom)")
:quality(80)/p7i.vogel.de/wcms/f0/ee/f0ee419a72cbda6a871bce73ed14f209/0130070259v2.jpeg "Maschinen arbeiten lassen, sodass der Mensch Zeit für Härtefälle und Ausnahmen hat. Diese Zukunftsvision könnte – gemäß eines Positionspapiers von Sopra Steria – schon bald Realität werden. (Bild: © InfiniteFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/b7/31b7e5a5e348f195797a8db971ffee7b/0129879207v1.jpeg "Der Deutschland-Stack liefert den Bauplan. Cloud-Plattformen liefern das Fundament. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/80/1b8062cd6c319ce97108535842cef301/0129203995v1.jpeg "Der drohende Verlust des Arbeitsplatzes geht landläufig mit Existenzängsten einher. Gemäß einer aktuellen Studie haben Menschen, die ihre Lebensgrundlage durch KI bedroht sehen, wenig Vertrauen in demokratische Strukturen. (Krakenimages.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/d0/f6d05e3e7070b464940ad765e38dd6b7/0129840778v2.jpeg "Hans-Christian Witthauer ist seit 2024 Vorstand der Bayerischen Verwaltungsschule und hat mehrere Lehraufträge, unter anderem an der Hochschule der Bundeswehr in München, inne. (Bild: BVS)")
:quality(80)/p7i.vogel.de/wcms/0a/06/0a068eaa8abb7a7033202019478dc96c/0129802655v2.jpeg "Die ÖFIT-Vorstudie nimmt sieben bestehende GenKI-Systeme für die Verwaltung unter die Lupe. (Bild: © Artlana – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/37/913718808a561724cad78b0e552f26f4/0129804269v2.jpeg "Wo Schatten ist, da ist auch Licht: Die Verwaltung muss klare Strukturen für die KI-Nutzung aufbauen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d2/ba/d2baca41279b3cab0582425cc2e5e52f/0130137648v2.jpeg "Matthias Hundt, Berlins Staatssekretär für Digitalisierung und CDO. (Bild: © Urban Ruths)")
:quality(80)/p7i.vogel.de/wcms/87/fc/87fc207bc08f4796ea65610263391d8b/0130114075v1.jpeg "Lousia Specht-Riemenschneider hat am 17. März 2026 angekündigt, ihr Amt als BfDI aus gesundheitlichen Gründen niederzulegen. (Bild: Florian Weichselbaumer)")
:quality(80)/p7i.vogel.de/wcms/fc/40/fc4081a53e73da6fbc555d4c1e02af87/0129834364v2.jpeg "Auf dem eIDAS Summit im Juni 2025 hielt Prof. Dr. Luise Hölscher, Staatssekretärin im Bundesdigitalministerium, die Eröffnungskeynote. (Bild: bitkom e.V.)")
:quality(80)/p7i.vogel.de/wcms/d8/01/d8011c1a4155bc8c81458f988b02b235/0129416843v3.jpeg "(Bild: Auvaria)")
:quality(80)/p7i.vogel.de/wcms/51/bb/51bbfb6bfbf04a7eb587be843ad60510/0129467316v1.jpeg "(Bild: SEP)")
:quality(80)/p7i.vogel.de/wcms/a7/07/a707fc6e5404af8069a0517a64a23599/0129649753v4.jpeg "(Bild: Red Hat )")
:quality(80)/p7i.vogel.de/wcms/24/36/2436a75f672fce3439288d8ba9094abc/0129650639v2.jpeg "Johannes Rosenboom ist SVP Sales, Marketing und BDM Public und KRITIS Sector bei Materna. (Bild: www.henning-photographie.de)")
:quality(80)/p7i.vogel.de/wcms/9a/dd/9adda3170a0349cdecf8355ecb1b5f3d/0124723437v3.jpeg "Podiumsdiskussion „Neustaat digital: souverän, resilient, bürgernah\" beim 18. eGovernment Summit. (©Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/a5/77/a57764d9ab42cddc9ce74c79f8afbff5/0124379835v2.jpeg "Dr. Markus Richter, Staatssekretär im BMI und Beauftragter der Bundesregierung für Informationstechnik, ist Schirmherr des eGovernment Summit 2025. (© Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/82/1f/821f31598dfc3f1aca3ead28fcf3529b/0123901076v2.jpeg "Rauchende Köpfe und zündende Ideen: Auf dem eGovernment Summit diskutieren Expertinnen und Experten über die Zukunft der Verwaltungsdigitalisierung. (© Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238b9e6c5bec4995cff976c5a00870e/0127069863v2.jpeg "Glitter and glamour: Wir präsentieren die Gewinnerinnen und Gewinner der eGovernment Readers' Choice Awards 2025. (Bild: © Offenblende/Christoph Wehrer )")
:quality(80)/p7i.vogel.de/wcms/f4/28/f42807d575943540de71f909fa871105/0125662510v1.jpeg "(Bild: Sophos via shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/71/80/7180526003a0e18ec27f4ea35b590a74/0125015548v1.jpeg "Stimmen Sie für Ceyoniq in der Kategorie „eAkte“ ab. (Bild: Ceyoniq)")
:quality(80)/p7i.vogel.de/wcms/0a/4a/0a4a09b1d8a5e718a0f9357810b613ee/0125273923v2.jpeg "Mit der digitalen Dachmarke will der IT-Planungsrat für wiedererkennbare und vertrauenswürdige Online-Angebote in der öffentlichen Verwaltung sorgen. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/11/a4/11a4262cb4795d3c5c4f8b494db16798/0125243090v2.jpeg "Der IT-Planungsrat dient als zentrales politisches Gremium dazu, die föderale IT-Strategie von Bund und Ländern zu koordinieren. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b6/69/b669d70fd07e52da911b10385ef06f11/0122476909v1.jpeg "Alle notwendigen Schritte während der elektronischen Wohnsitzanmeldung lassen sich über das Internet durchführen. (© scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c0/39/c039b6ec71a9daf12d9edeadadfc8313/0128512845v2.jpeg "Trotz fortschreitender Digitalisierung bleibt der parallele Umgang mit Papier notwendig: Neben neuen Papieranträgen sind viele Altbestände noch nicht vollständig digitalisiert. Daher werden Originale bislang aus rechtlichen Gründen aufbewahrt und zusätzlich für die interne Bearbeitung eingescannt. (Bild: © Rawpixel.com – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/f8/08f87dd392485cb96818c2917c289578/0128403426v1.jpeg "Quantencomputer gefährden klassische Verschlüsselung daher verlangt NIS 2 ein belastbares Kryptokonzept und die frühzeitige Vorbereitung auf quantenresistente Verfahren wie PQC und hybride Ansätze. (Bild: Fraunhofer IOF)")