Elektronische Signatur, Teil 2: Digitale Rechnungen müssen signiert sein

Wer elektronisch signierte Rechnungen akzeptiert, muss diese Dokumente ebenso für die Steuer aufbewahren wie Papierschreiben. Wie das geht und auf welche Weise man zuvor am besten prüft, ob die Signatur überhaupt gültig ist, verrät dieser Schwerpunktbeitrag von Sabine Philipp.

Dieser Beitrag ist mehr als 15 Jahre alt.
Bild: Kati Molin

E-Rechnungen verarbeiten, prüfen und aufbewahren

Von Sabine Philipp

Welche Art von elektronischer Signatur Unternehmen für die Rechnungsstellung brauchen, hat Teil 1 dieser Serie erläutert – und betont, dass es am höflichsten ist, dem Rechnungsempfänger im Anschreiben gleich zu sagen, wie er die Signatur am einfachsten überprüfen kann. Damit wechseln wir auch die Perspektive und betrachten die Sache nun aus Sicht des Adressaten.

Die qualifizierte elektronische Signatur entfällt
Rückwirkend zum 1. Juli 2011 eröffnet das Steuer­vereinfachungs­gesetz erweiterte Möglichkeiten, E-Mail- und PDF-Rechnungen etc. für den Vorsteuerabzug zu verwenden. Eine qualifizierte elektronische Signatur ist seitdem nicht mehr zwingend notwendig.

Rechnungseingang in drei Schritten

Schritt 1: Sehen Sie zunächst nach, ob die Rechnung überhaupt korrekt ist. Denn wie bei der schriftlichen Variante muss eine Rechnung nach § 14 Umsatzsteuergesetz (UStG) eine Reihe von Anforderungen (laufende Rechnungsnummer, Steuernummer etc.) erfüllen, damit Sie den Abzug geltend machen können.

Schritt 2: Testen Sie, ob die Signatur gültig ist. Dazu benötigen Sie das entsprechende Programm, das Sie sich entweder herunterladen oder direkt im Internet nutzen. (Darum gehört der Link zur passenden Prüfsoftware gleich in die Rechnungsmail.)

Wichtig: Diese Übersicht dient lediglich der Orientierung und ersetzt keinesfalls die fach­männische Beratung durch Rechts­experten. Die Inhalte wurden sorg­fältig recherchiert, dennoch sind Ab­weichungen vom tat­sächlichen Sach­verhalt nicht auszuschließen.

Leider kann ein Nichtfachmann das Ergebnis nicht immer beurteilen, da er oft nur schwer erkennen kann, ob die verschiedenen Codes und Ketten, die bei der Prüfung ausgegeben werden, stimmig sind. Deshalb gibt es spezialisierte Dienstleister, die die Rechnungen verifizieren; sie lassen die entsprechende Software laufen, erstellen das Prüfprotokoll und schicken es zurück bzw. speichern das Ganze revisionssicher ab – womit wir bei Schritt 3 wären.

Schritt 3: Nach dem Signaturtest erhalten Sie ein Prüfprotokoll, das Sie revisionssicher archivieren müssen, ebenso wie den Signaturprüfschlüssel, alle anderen Unterlagen, die in der Mail waren, und natürlich auch die Mail selbst. Das Umsatzsteuergesetz schreibt vor, dass die Rechnungen über den gesamten Aufbewahrungszeitraum von zehn Jahren lesbar sein müssen.

Thema: Elektronische Signatur
Teil 1 sagt, welche Signaturform steuersicher ist, Teil 2 erklärt, wie Empfänger von E-Rechnungen die Signaturen prüfen, und Teil 3 gibt schließlich Tipps für die Abwicklung in der Praxis. Darüber hinaus berichten zwei separate Hintergrundartikel darüber, wie die technische Seite der elektronischen Signatur aussieht, und nennen erprobte Anwendungsbeispiele für die E-Signatur in der Praxis.

Abheften, aber wie?

Fatalerweise sind die meisten Datenträger keineswegs so haltbar, wie man wünschen möchte, und auch die Formate ändern sich ständig. Wer einmal versucht hat, seine alte Diplomarbeit zu öffnen, kann ein Lied davon singen. Das bedeutet, dass Sie neben sämtlichen Daten auch das Programm bereithalten müssen, das diese öffnen kann.

Darüber hinaus muss eine gültige Langzeitarchivierung auf einem Datenträger geschehen, der keine nachträglichen Änderungen zulässt. Hierfür gibt es verschiedene Möglichkeiten. Am einfachsten ist der Einsatz von Archivierungssoftware. Dann ist es möglich, verschiedene WORM-Medien (Write Once Read Many) zu nutzen, die nur einmal beschreibbar sind. WORM-tauglich können z.B. CD-R oder DVD±R sowie die beiden WORM-Formate von Ultra Density Optical (UDO) sein. Daneben gibt es festplattenbasierende Speichersysteme wie EMC Centera oder NetApp SnapLock, bei denen Sie bestimmte Bereiche abtrennen und als Archivspeicher definieren können.

Bevor Zertifikate verfallen

Nach § 17 Signaturverordnung (SigV) sind Daten mit einer qualifizierten elektronischen Signatur rechtzeitig neu zu signieren, wenn sie

„für längere Zeit in signierter Form benötigt werden, als die für ihre Erzeugung und Prüfung eingesetzten Algorithmen und zugehörigen Parameter als geeignet beurteilt sind.“

Wer Dokumente längerfristig archivieren möchte, muss also unter Umständen nachstempeln, selbst wenn bereits qualifizierte Signaturen vorliegen. Laut Bundesnetzagentur trat dieser Fall 2008 ein; es ging um qualifizierte Signaturen, deren Verfahren auf dem Hash-Algorithmus SHA-1 oder einem RSY-Schlüssel mit 1024 Bit beruht.

Aber keine Panik: Die meisten Rechnungen werden nicht betroffen sein. Ob Ihre es sind, können Sie z.B. dem Prüfprotokoll entnehmen, das den Signaturalgorithmus aufführt. Um die Daten nachzusignieren, müssen Sie sich auch weder an den Aussteller wenden, noch eine eigene Signaturkarte beantragen. Sie können hier ebenfalls einen Dienstleister beauftragen, der elektronische Rechnungen prüft. Falls Sie selbst Rechnungen verschickt haben, die von diesem Spezialfall betroffen sind, sollten Sie Ihre Kunden rechtzeitig warnen.

Was Unternehmer im Umgang mit elektronisch signierten Rechnungen sonst noch beachten sollten, verrät Fachmann Thomas Ströbele in Teil 3 dieser Serie.
Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Nützliche Links