Elektronisch unterschreiben

Spezial

Identifikation - Die Vorgaben der Bundesnetzagentur zum elektronischen Datenaustausch werden nun auch für die Rechnungsstellung angewendet. Notwendig ist damit unter anderem eine verifizierbare digitale Unterschrift.

04. Oktober 2010

Im Geschäftsverkehr der EVU werden Daten nach dem Electronic Data Interchange for Administration, Commerce and Transport übermittelt, kurz EDIFACT. Dieser Standard gilt nun auch für das Rechnungswesen der Energiekonzerne. Gesetzliche Grundlagen müssen berücksichtigt werden.

Wie stellt man die Authentizität und Integrität der Rechnung sicher? Die qualifizierte digitale Signatur (QDS) berechtigt laut Umsatzsteuergesetz bei über E-Mail übermittelten Nachrichten zum Vorsteuerabzug. Alternativ können Nachrichten mit einem anderen gesicherten Nachrichtentransport (AS2) elektronisch übertragen werden. Als dritte Alternative ist der Umsatzsteuernachweis auf dem Papierweg erbringbar. Dieser lässt aber durch den Systembruch keine automatisierte Abarbeitung zu und führt somit zu manuellem Mehraufwand.

Elektronische Dokumente, die mit einer QDS signiert sind, können nach §126a BGB in Deutschland die per Gesetz oder Verordnung notwendige Schriftform ersetzen. Durch die Signatur wird sichergestellt, dass die Echtheit der Herkunft (Authentizität) und die Unversehrtheit des Inhalts (Integrität) auf elektronischem Wege gegeben ist.

Im ersten Schritt wendet sich der Marktpartner, der elektronische Rechnungen versenden möchte, an einen von der Bundesnetzagentur (BNetzA) akkreditierten Zertifizierungsdienstleister. Dort, oder bei einer akkreditierten Registrierungsstelle, erhält er die notwendigen Zertifikate und technischen Komponenten, um seine ausgehende Korrespondenz mit einer qualifizierten digitalen Signatur versehen zu können.

Bei kleinen Mengen an Zertifikaten können Netzbetreiber sich diese bei einem akkreditierten Zertifizierungsdienstleister besorgen und sich über das PostIdent-Verfahren identifizieren. Bei größeren Mengen an Zertifikaten ist es aber sinnvoll, mit dem Zertifizierungsdienstleister eine Registrierungsstelle einzurichten.

Die personengebundene Verantwortung trägt dabei der Geschäftsführer. Er hat die Möglichkeit, sie zu delegieren. Die gemeldete Person erhält mit der einmaligen Identifizierung ein Zertifikat, mit dem sie Rechnungen oder elektronische Nachrichten digital signieren kann.

Das Zertifikat auf der Signaturkarte hat die gleiche Qualität wie ein Personalausweis. Damit hat jede Person mit Zugriff auf die Signaturkarten die Möglichkeit, rechtsverbindliche Verträge elektronisch zu unterzeichnen. Es empfiehlt sich, mit dem Erwerb einer Signaturkarte Attributeinschränkungen auf Rechnungen und Gutschriften zu registrieren.

Um eine Nachricht mit einer QDS zu versehen, bedarf es jedoch noch der geeigneten Hardware. Ein Kartenlesegerät mit Signaturkarte stellt sicher, dass die Sicherheitsanforderungen während des Signiervorgangs erfüllt sind. Das Gerät und die Signaturkarte sind bei den von der Bundesnetzagentur akkreditierten Anbietern erhältlich.

Bei der QDS muss kein öffentlicher Schlüssel an die Marktpartner publiziert werden, denen der Netzbetreiber eine elektronische Rechnung ausstellt. Wichtig ist nur die Kenntnis, dass der Empfänger die Signatur verarbeiten kann. Mit der Verarbeitung dieser wird die Echtheit der Herkunft und die Integrität der Mitteilung, in diesem Fall der Rechnung, sichergestellt.

Beim Signieren wird aus der Rechnung ein Code berechnet (Hashcode). Er wird mit dem persönlichen Zertifikat versehen, und hieraus entsteht eine Signatur, die als abgesetzte Signatur mit einer EDIFACT per E-Mail versendet werden kann. Hiermit ist die Nachricht qualifiziert digital signiert und kann als elektronische Rechnung (INVOIC im EDIFACT-Standard) versendet werden. Beim Versenden kann die INVOIC mit der QDS revisionssicher wegen späterer Nachfragen archiviert werden.

Weniger manueller Aufwand

Der Empfänger archiviert die elektronische Rechnung gemeinsam mit dem Zertifikat. Das ist gesetzlich vorgeschrieben, bei Vorsteuerabzug. Die Verarbeitung beim Empfänger besteht darin, dass aus der Rechnung ein Code berechnet wird, der mit dem Code aus der Signatur von einer Verifikationssoftware verglichen wird. Diese beiden Codes müssen übereinstimmen. Außerdem kann der Empfänger auf Grundlage des Zertifi-kats erkennen, wer der Absender ist. Diese Informationen sowie der Herausgeber des Zertifikates sind darin enthalten.

Im nächsten Schritt werden die Pflichtfelder laut Umsatzsteuergesetz §14 auf Vollständigkeit überprüft. Sind diese Felder vollständig gefüllt, kann die Vorsteuer abgezogen und die Rechnung weiter verarbeitet werden.

Die Vorteile der qualifizierten digitalen Signatur sind eindeutig. Sie erhöht unter anderem die Sicherheit, denn eine Manipulation der elektronischen Nachricht bemerkt der Empfänger jetzt sofort.

Die Archivierung und Kontrolle der Pflichtfelder laut Umsatzsteuergesetz berechtigt zum Vorsteuerabzug. Der Umsatzsteuernachweis auf Papier kann entfallen, damit entfällt auch manueller Aufwand. Durch das elektronische Format wird eine automatisierte Archivierung möglich. Sie muss nach der Abgabenordnung, dem Handelsgesetzbuch, den Grundsätzen zum Datenzugriff und der Prüfbarkeit digitaler Unterlagen sowie den Grundsätzen ordnungsmäßiger Buchführung erfolgen.

Voraussetzung für das Arbeiten mit qualifizierten digitalen Signaturen ist, dass beide beteiligten Marktpartner diese verarbeiten können. Der Rechnungssteller muss sich nach der Zertifizierung nur die Hardware, also Chipcard und Lesegerät, beschaffen und diese in seine Systemlandschaft integrieren. Für die Signaturkartenbeschaffung fallen je nach Vorgabe der lokalen Finanzbehörde regelmäßig alle zwei, drei oder fünf Jahre und abhängig vom Kartentyp Kosten an.

Károly Rick & Thomas Piontek (Logica)

Erschienen in Ausgabe: 08/2010