Internet-Auftritt von MB EDV-Systeme GmbH

Die elektronische Signatur

Dokumente können heute auf elektronischem Weg immer einfacher, schneller und sehr kostengünstig übermitteltwerden. Längst haben sich neben Faxgeräten auch Faxserver und vor allem die E-Mail als das Kommunikationsmittel in den Geschäftsprozessen etabliert.
Es liegt daher Nahe, das Unternehmungen zurzeit prüfen, wie sie Angebote, Auftragsbestätigungen, Rechnungen …also auch rechtsverbindliche Dokumente auf elektronischem Wege, kostengünstig übertragen können.

Die Geschäftsprozesse erfordern dabei ein Vertrauen in die

• Identität des Kommunikations-Partners
• Integrität der Nachricht
• Verbindlichkeit der Nachricht.
• (zunehmend auch) Rechtsverbindlichkeit einer Nachricht

Hinzu kommt die Notwendigkeit eine Reihe rechtlicher Vorschriften beachten zu müssen, wenn es um die elektronische Übermittlung (zBsp. von Rechnungen) geht. Unternehmen die sich ernsthaft mit dem Thema elektronische Übermittlung von Dokumenten auseinander setzten, landen zwangsläufig beim Thema „Signatur“. Die nachfolgende Übersicht soll Antworten auf die wichtigsten Fragen geben, kann aber keinesfalls das qualifizierte Beratungsgespräch ersetzen.

Die nun folgende Abhandlung besteht aus zwei Teilen:

1) Dem Informationsteil

Hier werden Grundlagen und Begriffe erläutert und erklärt. Auf technische, sowie juristische Details und Fremdwörter wurde so weit wie möglich verzichtet.

2) Dem Praxisteil
Hier werden Fragen zum Nutzen und zum praktischen Betrieb einer Lösung erläutert.

Informationsteil

Warum ist eine elektronische Signatur notwendig?
Bei einem Papierdokument mit einer eigenhändigen Unterschrift, kann man davon ausgehen, dass die unterschriftsberechtigte Person den Inhalt kannte und dieser nach seiner Unterschrift nicht mehr verändert wurde.
Elektronisch übermittelte Dokumente (auch Dateien), können nicht eindeutig auf den Absender zugeordnet werden, sie sind i.d.R. beliebig oft reproduzierbar, leicht manipulierbar. Daher ist ein Verfahren erforderlich, dass sicher stellt, dass:

1. Eine eindeutige Zuordnung zum Inhaber möglich ist
2. Eine Manipulation nach dem Versand ausgeschlossen werden kann.
3. Die gesetzlichen Vorschriften dort eingehalten werden wo diese gefordert sind; so zum Beispiel beim elektronischen Versandt von Rechnungen als .pdf.

Ist jedes elektronisch signierte Dokument / jede Datei auch (unleserlich) verschlüsselt?
Nein. Die Verschlüsselung kann zusätzlich vorgenommen werden um es, unberechtigten Dritten, unmöglich zu machen Kenntnis von einer Nachricht zu erhalten.

Wie funktioniert die elektronische Signatur?
Bei der einfachen Signatur wird auf das Dokument ein Merkmal gebracht, dass dem Empfänger zeigt, wer der Absender ist und dass dieser das Dokument so versendet hat.
Als Beispiel: Die eingescannte Unterschrift auf einem Fax / unter einer E-Mail.
Achtung: In Deutschland hat die einfache Signatur keine Rechtsfolge, man könnte sie also „als schmückendes Beiwerk“ bezeichnen! Begründung: Jeder kann die Unterschrift einscannen, sich Zugang zum System verschafft haben usw. Bei der Fortgeschrittenen elektronischen Signatur ist sicher gestellt, dass nur der Versender Zugang zum System hatte. Hier als Beispiel der biometrische Fingerabdruck der sicherstellt, dass nur der berechtigte Benutzer Zugang zum System hatte. In Deutschland auch ohne Rechtsfolge! Bei der qualifizierten elektronischen Signatur, ist sicher gestellt, dass eine Nachricht einer natürlichen Person zugeordnet werden kann und dass die Nachricht nach dem Zeitpunkt der Versendung nicht mehr verändert wurde. Der Empfänger hat die Möglichkeit dieses zu prüfen. Nur die qualifizierte elektronische Signatur hat in Deutschland rechtliche Gültigkeit (wie die eigenhändige Unterschrift!).
Aus diesem Grunde befassen wir uns im Folgenden nur noch mit der qualifizierten elektronischen Signatur.

Wie funktioniert die qualifizierte elektronische Signatur?
Über ein anerkanntes Trust Center wird auf eine natürliche Person eine SMART Karte ausgestellt. Diese wird zusätzlich mit einem PIN Code geschützt. Eine ähnliche Karte ist vom HBCI Banking her bekannt.
Erstellt der Versender eine Nachricht muss er diese zum Zeitpunkt des Versendens über eine Signatursoftware qualifiziert elektronisch signieren. Dazu muss er seine Chipkarte in das Lesegerät einstecken und über den PIN Code freischalten. Erst dann wird an die Nachricht untrennbar ein Zertifikat gehängt. Dieses Zertifikat ist ein Datenblock, Ein Bestandteil des Datenblocks ist der öffentliche Schlüssel. Dieser Schlüssel ist untrennbar mit den persönlichen Daten des Versenders verbunden. Das Zertifikat hat einen definierten Aufbau und ist unterschrieben von der herausgebenden Zertifizierungsstelle. Über den öffentlichen Schlüssel hat der Empfänger die Möglichkeit zu prüfen, ob der Versender tatsächlich der ist, für den er sich ausgibt und er kann prüfen, ob die Nachricht nach dem Zeitpunkt der Versendung manipuliert wurde.

Das Zertifikat kann als „elektronischer Stempel“ auf eine E-Mail gebracht werden. Auch bei Faxen ist es möglich einen solchen „Stempel“ auf das Fax zu drucken.

 

Was ist das Ergebnis einer qualifizierten elektronische Signatur?
Authenzität: Der Empfänger kann sicher über den Absender sein.
Nachweisbarkeit: Der Sender kann nachweisen die Nachricht geschickt zu haben.
Integrität: Die Nachricht kann auf dem Versandweg nicht (unbemerkt) verändert worden sein.

Vertraulichkeit (nur wenn die Nachricht zusätzlich noch unleserlich verschlüsselt wird) Nur der Empfänger kann die Nachricht lesen.
Rechtssicherheit: Die Nachricht ist rechtlich bindend.

Welche rechtlichen Rahmenbedingungen sind zu beachten?
EU Richtlinie 1999/93/EG
SigG (Signaturgesetz) vom 16.5.2001, Novellierung Ende 2004
Des Weiteren wird der Einsatz der elektronischen Signatur in diversen Gesetzen und Ausführungsbestimmungen, wie zBsp. dem BGB, der ZPO … konkretisiert.
Die eingesetzte Software hat den § 17 SigG und § 15 SigV zu entsprechen.

Welche gesetzlichen Grundlagen¹ sind zu beachten, wenn Rechnungen elektronisch übermittelt werden?
EU-Richtlinie 2001/115/EG zu mehrwertsteurlichen Anforderungen an die Rechnungsstellung
§ 14 Abs. 3 UstG (Unsatzsteuergesetz)
GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit elektronischer Daten; siehe hierzu auch unseren besonderen Erläuterungen ausschließlich zu diesem Thema)
GOBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme)
§ 141 Abgabenordnung
Dem Erzeuger und dem Empfänger einer elektronisch übermittelten Rechnung werden durch den Gesetzgeber bestimmte Pflichten auferlegt.

Bei Nichtbeachtung des § 14 Abs. 3 USTG. kann das Finanzamt den Vorsteuerabzug verweigern bzw. zurückfordern.

Praxisteil

Welchen (monetären) Nutzen hat ein Unternehmen durch die qualifizierte elektronische Signatur von Rechnungen?
Rechnungen werden heute in Unternehmungen elektronisch erstellt, dann ausgedruckt und per Brief versendet. Nach der Postlaufzeit durchlaufen die Schriftstücke die Unternehmung des Rechnungsempfängers bis sie, mit einem Eingangsstempel versehen, zum Bearbeiter gelangen.
Die Erstellungs- und Versendungskosten pro Rechnung werden von Unternehmensberatungen nach Analysen mit 3,- bis zu 10,-€ angegeben. Im Schnitt mit 4,20€. Neben diesen reinen Lohn- und Versandkosten ergibt sich zusätzlich eine deutliche Ersparnis durch die Verkürzung des Zahlungsziels um bis zu 4 Tage, weil die Rechnung nachweislich dem Empfänger schneller zugestellt wird. Hinzu kommt, dass Rechnungsempfänger Zahlungen nicht mehr mit dem Argument hinauszögern können,Rechnungen seien nicht zugestellt worden.
Im Rahmen einer vorgeschalteten Analyse wäre es möglich das Einsparungspotential einer Investition in die elektronische Rechnungserstellung zu ermitteln. I.d.R. armortisiert sich die Investition in eine Umstellung auf den elektronischen Rechnungsversand sehr schnell und trägt dauerhaft zu einer deutlichen Kostenreduzierung bei.

Welche Argumente sprechen für die elektronische Rechnungserstellung?

• Die elektronisch (korrekt) erstellte Rechnung wird steuerlich wie eine Papiergebundene behandelt.
• Konsolidierung und Prozessbeschleunigung auf Seiten des Rechnungserstellers und des – empfängers
• Übergabe im vom Empfänger gewünschten elektronischen Format, damit Kundenbindung
• Einfache Integration in bestehende Prozesse
• Marketinginstrument

Welche Argumente sprechen gegen die elektronische Rechnungserstellung?

• Zu geringes Rechnungsvolumen
• Keinerlei Akzeptanz bei Lieferanten

Muss auf Seiten des Empfängers eine umfangreiche EDV Anlage vorgehalten werden?
Nein.
Es ist möglich, Rechnungen qualifiziert elektronisch per Fax zu versenden.

Kostet die Prüfung / Prüfungssoftware auf Seiten des Empfängers etwas, wie viel?
Nein, die Prüfungssoftware ist kostenlos. Hier ist schematisch die Prüfung eines signierten Dokumentes dargestellt:

Ist besonderes EDV Know How erforderlich?
Nein, auf beiden Seiten nicht.

Sind besondere Anforderungen bei der Sicherheit erforderlich?
Ja. Das Procedere muss in ein Sicherheitskonzept der Unternehmung integriert werden. Auch ein Grund dafür, warum eine solche Lösung niemals von Systemhäusern installiert werden sollte die sich nicht ausdrücklich seitens des Herstellers qualifiziert haben.
Sind die Sicherheitsmaßnahmen teuer?
Nein. I.d.R handelt es sich um organisatorische Maßnahmen. Die –nebenbei bemerkt- das Sicherheitsniveau der Unternehmung erhöhen.

Kann man eine solche Lösung in Eigenregie installieren?
Nein, Vorbeugend eine erweiterte Antwort: Auch von sog. Billiglösungen vom „Händler um die Ecke“ / Freewarelösungen die kostenlos aus dem Internet geladen werden könnten, sei dringend gewarnt. Alle technischen und organisatorischen Maßnahmen müssen exakt erfüllt und implementiert werden, nur dann kann rechtlich verbindlich signiert werden. Bei einer fehlerhaften Installation / Verfahrensweise, kann das Finanzamt die Vorsteuer zurückverlangen. Auch rückwirkend, etwa bei einer Buchprüfung zu einem späteren Zeitpunkt.

Muss eine Person jede Rechnung / jedes Dokument einzeln signieren?
Wie muss man sich den Ablauf in der Praxis vorstellen?
Nein. Jedes einzelne Dokument kann, muss aber nicht einzeln signiert werden. Eine „Stapelverarbeitung“ ist möglich.
Das Procedere bei einem Mitteständigen Unternehmen sieht, grob vereinfacht, wie folgt aus.
Eine Software zur qualifizierten Signatur ist, zBsp. auf dem Kommunikationsserver installiert worden.
Gem. den gesetzlichen Anforderungen ist eine verantwortliche Person benannt und mit einer Signaturkarte eines Trust Centers ausgestattet worden, hier im Beispiel der SysAdmin.
Dieser steckt morgens um 8:00h diese Karten in das Lesegerät und schaltet die Karte für einen definierten Benutzerkreis, hier wieder als Beispiel die Buchhaltung, frei. Außerdem wurden auf dem Server die Verzeichnisse hinterlegt, die signiert werden. Damit wird vermieden, dass andere Dokumente, zBsp. eine Gehaltserhöhung für einen Mitarbeiter, signiert werden. Weitere Merkmale, etwa die Anzahl der Signaturen oder ein Zeitfenster können eingerichtet werden. Die Mitarbeiter der Buchhaltung erstellen wie gewohnt Ihre Rechnung.
Diese wird an den Signaturserver übergeben, signiert und elektronisch an den Empfänger versendet.
Der Empfänger prüft die Rechnung auf Echtheit und Integrität und kann sie weiter verarbeiten.

Hat man durch die Signatur einen Engpass oder Zeitverlust?
Nein, das Gegenteil ist der Fall, da Drucker langsamer arbeiten.
Mit einer Signaturkarte können 4.800 Signaturen je Stunde durchgeführt werden. Ein Ausbau bis zu 48.000 Signaturen pro Stunde ist möglich.
Die Anforderungen an den Server sind gering, ab Pentium 4, 256 MB RAM.

Welche Dokumente / Dateien können signiert werden?
Bei der Lösung digiSeal server praktisch alle (.pdf, .tiff, Fax, .doc usw.) bitte sprechen Sie uns an.
Eine Abarbeitung verschiedener Dokumententypen parallel ist möglich.