Gründerlexikon 2.0

Warum überhaupt digital signieren?

Mit wachsender Beliebtheit von Rechnungstools im SaaS Bereich werden auch die gesetzlichen Vorschriften für digitale Rechnungsstellung interessanter. In diesem Zusammenhang tauchen Begriffe wie elektronische Signatur oder qualifizierte Zertifikate immer wieder auf. Doch was genau steckt dahinter? Was muss? Was kann? Und was bringt eine digitale Signatur überhaupt? Dieser Artikel erläutert Unterschiede der verschiedenen Begriffe, gesetzliche Grundlagen sowie wichtige Aspekte in der Anwendung.

Hinter dem Verfahren des digitalen Signierens von elektronischen Dokumenten steckt im Wesentlichen, dass jeder Empfänger von elektronischen Dokumenten die eindeutige Identität des Versenders (Authentizität), sowie die Unversehrtheit des Dokuments (Integrität) als vertraulich bestätigt erhält.

Wie funktionieren Signatur- und Prüfprozesse?

Aus technischer Sicht wird die eindeutige Identifizierung einer Person mit Hilfe einer verschlüsselten Prüfsumme (auch: Hash) ermöglicht. Diese beweisrelevante Unterschrift ermöglicht dem Empfänger Änderungen oder nachträgliche Manipulationen im Dokument festzustellen. Die Unterschrift wird während des Signaturvorgangs erstellt und danach im Dokument mitgeführt. Die Echtheit und Unversehrtheit kann allerdings nur nachgewiesen werden, wenn die Signatur erst nach der eindeutigen Identifizierung des Versenders nachgewiesen wurde.

Aus diesem Grund muss die Unterschrift nach ihrer Erfassung gegen ein bei einem sog. Signaturdienstanbieter hinterlegtes Unterschriftenprofil verglichen werden, welches alle relevanten biometrischen Merkmale, wie Druck und Schreibgeschwindigkeit, enthält.

Sind alle Schritte erfolgreich abgeschlossen, kann die Überprüfung der Unterschrift vorgenommen werden, d.h. für den Empfänger wird sichtbar, ob die Unterschrift tatsächlich von der berechtigten Person stammt.

Das Verfahren ist also eine Kombination aus online und offline Prüfung. Jede Signatur ist einem physischen Unterschriftenprofil zuzuordnen. Die Verschlüsselung erfolgt digital, die Prüfung letztlich online.

Wer darf signieren und was ist dabei zu beachten?

Nicht unbedingt die tatsächliche Identität des Versenders (also der Person, die eine Rechnung versendet) muss bei einem Signaturdienstanbieter hinterlegt sein, es reicht die einer berechtigten Person. So reicht es i.d.R. aus, wenn man sich als Nutzer bei einem Signaturdienst oder einem entsprechenden Dienstleister anmeldet, der selbst an einen Signaturdienst angebunden ist und damit Identität für den Endnutzer stellt.

Das bedeutet, nicht jeder Nutzer muss seine Rechnung selbst digital unterschreiben, sondern kann dies durch externe Dienste ausführen lassen. Diese Vorgehensweise wurde offiziell vom Bundesministerium für Finanzen zugelassen und macht den Signaturprozess damit massentauglich.

Welche unterschiedlichen Signaturstandards gibt es?

Die gesetzliche Grundlage für die elektronische Signatur liefert das Signaturgesetz (§2 SigG). Daraus geht hervor, dass sich grundsätzlich drei Stufen unterscheiden lassen.

Die einfachste Form ist eine einfache elektronische Signatur. Diese soll zunächst nur den Urheber einer Nachricht kennzeichnen. Sie erfordert weder eine Verschlüsselung, noch eine online Prüfung und liefert damit keinen hohen Vertrauenswert beim elektronischen Rechnungsversand.

Die fortgeschrittene elektronische Signatur hingegen beabsichtigt, dass die Unterschrift eindeutig einer Person zuzuordnen ist und damit eine Manipulation erkennbar macht. Im Zweifel kann es hier allerdings sein, dass der Empfänger selbst den Nachweis eines sicheren Zertifikates erbringen muss, also dass die Signatur ordnungsgemäß und sicher erzeugt wurde.

Die in Deutschland gängige und  sicherste Variante ist die qualifizierte elektronische Signatur. Die Zuordnung zum Urheber wird hierbei durch ein sog. qualifiziertes Zertifikat nachgewiesen. Ein solches Zertifikat muss per Definition immer einer natürlichen Person zuzuordnen sein. Denn auch im realen Leben unterschreibt nicht die Firma, sondern immer eine natürliche Person, ggf. in Vertretung für eine Firma, das Dokument. Diese Form der Signatur ist gesetzlich einer handschriftlichen Unterschrift gleichgestellt und kann im Rechtsverkehr, also auch beim elektronischen Versand von Rechnungsdokumenten, eingesetzt werden.

Welche Gesetze spielen beim Rechnungsversand in Deutschland, Österreich und der Schweiz eine Rolle?

In allen drei Ländern ist die digitale Signatur beim Rechnungsversand erforderlich. Die Rechtssprechung ist in allen drei Länder sehr ähnlich.

In Deutschland erfordert der §14 des Umsatzsteuergesetz (UstG) eine qualifizierte elektronische Signatur auf Rechnungsdokumenten. Erst dann ist der Empfänger zum Vorsteuerabzug nach § 14 Abs. 1 UStG berechtigt. Nicht signierte elektronische Dokumente nimmt das Finanzamt i.d.R. gar nicht erst an.

Ähnliche verhält es sich in Österreich nach dem österreischichen Umsatzsteuergesetzt (UStG). In § 11 Abs. 2 zweiter Unterabsatz UStG heißt es, dass auf dem elektronsichen Weg übermittelten Rechnungen nur dann als Rechnung gelten, wenn die Echtheit und Unversehrtheit des Dokumentes gewährleistet ist. Seit 2008 wurde die fortgeschrittene digitale Signatur von der qualifizierten Signatur abgelöst (vgl. §2 Nr. 3 OSiG). Damit sind Begrifflichkeiten und Bestimmungen gleich zu den in Deutschland.

In der Schweiz erfordert der Art. 22 MWSTV 2010, dass elektronisch oder in vergleichbarer Weise übermittelte und aufbewahrte Daten und Informationen, die für den Vorsteuerabzug, die Steuererhebung oder den Steuerbezug relevant sind, die gleiche Beweiskraft haben wie Daten und Informationen, die ohne Hilfsmittel lesbar sind. Dabei müssen Nachweise über Ursprung, Nichtabstreitbarkeit und Integrität nachgewiesen werden. Diese schöne Formulierung sagt letztlich, dass eine qualifizierte elektronische Signatur Pflicht ist beim elektronischen Rechnungsversand.

In der Praxis: Wie und wo kann man Rechnungsdokumente am einfachsten signieren lassen?

Es gibt viele Möglichkeiten, Rechnungen digital signieren zu lassen. Entweder meldet man sich direkt bei einem Signaturdienst wie z.B. smskaufen.de an. Die digitale Signatur kostet knapp 20 Cent und ist recht einfach und schnell erstellt. Der Dienst erfordert jedoch, dass die Rechnung bereits gesetzeskonform (mit allen Kriterien für eine Rechnung) erstellt wurde.

Noch einfacher, sicherer und bequemer sind ganzheitliche Buchhaltungsportale wie Fastbill.com. Hier hat der Kunde die Möglichkeit schnell und einfach seine Rechnungen im Baukaustenprinzip aus Kunden, Leistungs- und Abrechnungsteilen zu erstellen. Pflichtfelder wie z.B. fortlaufende Rechnungsnummer und Bankdaten werden automatisch hinzugefügt. Die Erstellung dauert nur wenige Sekunden. Die anschließende Signatur kann per Knopfdruck ausgeführt werden. Eine Anmeldung bei einem weiteren Dienst ist nicht nötig. Die Signatur kostet in diesem Fall sogar nur 10 Cent.

Wie und wo können Signaturen geprüft werden?

Bei diesem komplexen Verschlüsselungsvorgang könnte leicht der Verdacht aufkommen, dass für eine Prüfung spezielle Software und teure Experten nötig sind. Doch im Gegenteil, die Prüfung wird entweder direkt im PDF Reader durchgeführt. Oft tritt hier jedoch ein bekannter Prüffehler auf. Deshalb bieten einige online Anbieter einen schnellen und einfachen Prozess, bei dem die Rechnung hochgeladen und sofort ein Prüfprotokoll ausgestellt wird.

Der angesprochene Prüffehler durch den PDF Reader resultiert daher, dass unabhängig von den rechtlich relevanten Listen von Zertifizierungsdienstanbietern (z.B. die der Bundesnetzagentur in Deutschland) die Firma Adobe eine eigene Vertrauensliste (ATL) führt, die zur Beurteilung einer Rechnungssignatur in D-A-CH leider nicht geeignet ist.
Dadurch fehlen relevante Stammzertifikate, gegen die eine Unterschrift geprüft wird. Ein Fehler ist oft die Folge.

Wichtig: Dieser Prüffehler ist kein Hinweis auf eine fehlerhafte Signatur, sondern sagt lediglich, dass die Prüfung nicht korrekt durchgeführt werden kann!

Wer möchte, kann die Zertifikate der jeweiligen Zertifizierungsdienstleister manuell von deren Websites laden und Sie im PDF Reader der Vertrauensliste hinzufügen und dort pflegen. Die Pflege muss jedoch regelmäßig stattfinden und ist aufwändig.

Die einfachste Variante ist eine Online-Prüfung. Dienste wie Signaturpruefen.de bieten eine einfache und sichere Variante der sofortigen Online-Prüfung: http://signaturpruefen.de/signaturpruefung.html
Nachdem das Dokument hochgeladen wurde, wird der Vergleich des Signatur-Hashwertes mit dem bei der Bundesnetzagentur hinterlegten Profil sofort ausgeführt. Das Dokument wird nach 20 Minuten wieder gelöscht. Die Bestätigung gibt es sofort in Form eines PDF-Protokolls.

Über den Autor

Christian Häfner arbeitet mit seinem Team FastBill.com. FastBill ist eine ganzheitliche webbasierte Lösung für Kunden-, Auftrags-, und Rechnungsverwaltung und ist speziell für die Bedürfnisse vonSelbstständigen und kleinen Firmen konzipiert. FastBill bietet neben der Rechnungserstellung auch einen integrierten Signaturservice an. Die Anmeldung bei einem dritten Anbieter ist damit nicht mehr erforderlich.
Damit wird der Mehrwert im Alltag schnell spürbar. FastBill Complete, das Komplett-Paket von FastBill, ist in den ersten 3 Monaten kostenlos und in vollem Funktionsumfang testbar. Danach kostet der Dienst 5,95€ im Monat für jeden Mitarbeiter, ohne Einschränkung und vollständig skalierbar für jedes Geschäft.
 

Quelle: