02.07.2015

Digitale Signatur: Alles kann – nichts muss!

FastBill Redaktion
FastBill Redaktion
Unternehmertum, Finanzen und Buchhaltung
Digitale Signatur: Alles kann – nichts muss!

Zusammenfassung

In diesem Beitrag erfährst du, was eine digitale Signatur ist und wann diese erforderlich ist. Außerdem lernst du die unterschiedlichen Signaturstandards kennen.
5 Minuten Lesezeit

Was du erfährst

  • Was eine digitale Signatur ist
  • Welche unterschiedlichen Signaturstandards es gibt
  • Wie du eine digitale Signatur prüfen kannst
  • Was du bei einer Rechnung immer überprüfen solltest

Das Thema Digitale Signatur sorgte in den letzten Jahren immer wieder für Diskussionen. Es gab viele Gesetzesänderungen, Rückzieher seitens der Politik und – in Folge dessen – auch viel Verwirrung bei Unternehmern.

Fakt ist: rein rechtlich ist eine digitale Signatur auf Rechnungen nicht mehr erforderlich. Jedoch kann ein rechnungsstellendes Unternehmen noch digitale Signaturen verwenden – sofern es das möchte. FastBill bietet digitale Signaturen weiterhin an!

Was ist eine digitale Signatur?

Die digitale Signatur bestätigt die Vertrauenswürdigkeit eines Dokuments. Technisch betrachtet wird mit Hilfe einer verschlüsselten Prüfsumme (auch: Hash) eine beweisrelevante Identifizierung des Unterzeichners ermöglicht. Die während einer Signaturerstellung erfasste Unterschrift wird dabei im signierten Dokument mitgeführt.

Um die Echtheit der unterschreibenden Person nachzuweisen, darf eine elektronische Signatur erst nach seiner Identifizierung erstellt werden. Erst dann kann geprüft werden, ob die während des Authentifizierungs- oder Signaturvorgangs erfasste Unterschrift auch tatsächlich von der berechtigten Person stammt.

Es geht bei dem Verfahren also nicht darum, die Authentizität des einzelnen Rechnungserstellers zu bestätigen, sondern die einer zentralen und überprüften Absenderidentität.

Ziel ist es, einem möglichen Missbrauch durch z.B. Abfangen und Manipulieren eines Dokuments im Internet vorzubeugen. Grundsätzlich gilt, dass alle Teilnehmer einer vertrauenswürdigen elektronischen Kommunikation eindeutig identifizierbar sein müssen.

Wenn also jeder FastBill-Nutzer ein eigenes Signaturzertifikat erzeugen möchte, müsste er dafür sein Unterschriftenprofil bei einem Signaturdienst prüfen und hinterlegen lassen. Da dieser Teil der realen Identifikation entsprechend umständlich und für Einzelfälle zu teuer wäre, stellt FastBill diese Identität für seine Kunden zentral zur Verfügung.

Welche unterschiedlichen Signaturstandards gibt es?

Grundsätzlich lassen sich drei Stufen von Signaturstandards unterscheiden. Die gesetzliche Grundlage für die digitale/elektronische Signatur liefert das Signaturgesetz (§2 SigG).

Einfache elektronische Signatur

Die einfachste Form ist eine einfache elektronische Signatur. Diese soll zunächst nur den Urheber einer Nachricht kennzeichnen, liefert jedoch keinen hohen Vertrauenswert beim elektronischen Rechnungsversand.

Fortgeschrittene elektronische Signatur

Die fortgeschrittene elektronische Signatur hingegen beabsichtigt, dass die Unterschrift eindeutig einer Person zuzuordnen ist und damit eine Manipulation erkennbar macht. Im Zweifel kann es hier allerdings sein, dass der Anwender den Nachweis eines sicheren Zertifikates erbringen muss, und dass die Signatur ordnungsgemäß und sicher erzeugt wurde.

Qualifizierte elektronische Signatur

Die sicherste Variante ist die qualifizierte elektronische Signatur. Die Zuordnung zum Urheber wird hierbei durch ein sog. qualifiziertes Zertifikat nachgewiesen. Ein weiterer Sicherheitsaspekt ist, dass ein solches Zertifikat immer einer natürlichen Person zuzuordnen sein muss. Denn auch im realen Leben unterschreibt nicht die Firma, sondern immer eine natürliche Person, ggf. in Vertretung für eine Firma, ein Dokument.

Diese Form der Signatur ist gesetzlich einer handschriftlichen Unterschrift gleichgestellt und kann im Rechtsverkehr, also auch beim elektronischen Versand von Rechnungsdokumenten, eingesetzt werden. Deshalb ist es auch die qualifizierte elektronische Signatur, die wir unseren Kunden anbieten.

Gesetzlicher Rahmen für Rechnungssignaturen in der EU

Digitale Signaturen erzeugen nicht nur einen seriösen Eindruck beim Kunden, sondern waren lange Zeit auch gesetzlich erforderlich.

Mittlerweile ist dem nicht mehr so. Zum 1. Juli 2011 wurde der Signaturzwang durch die Änderung einer EU-Richtlinie rückwirkend aufgehoben. Unternehmer können nun entscheiden, ob sie eine digitale Signatur nutzen wollen oder nicht.

Von den Änderungen unberührt bleiben allerdings die Aufbewahrungsfristen für Geschäftsdokumente!

Wie kann ich eine digitale Signatur prüfen?

Nicht selten führt die Prüfung eines signierten Dokuments im PDF Reader zu einem Prüffehler. Grund dafür ist, dass unabhängig von den rechtlich relevanten Listen von Zertifizierungsdienstanbietern (z.B. die der Bundesnetzagentur in Deutschland) die Firma Adobe eine eigene Vertrauensliste (ATL) führt, die zur Beurteilung einer Rechnungssignatur leider nicht geeignet ist. Durch das Fehlen der Stammzertifikate entstehen dann die o.g. Prüffehler im PDF Reader.

Deshalb führt leider kein Weg daran vorbei, die Zertifikate der jeweiligen Zertifizierungsdienstleister manuell von deren Websites zu laden und Sie im PDF Reader der Vertrauensliste hinzuzufügen und dort zu pflegen. Der Prüffehler ist also kein Hinweis auf eine fehlerhafte Signatur. Er zeigt lediglich auf, dass ein Vergleich zum hinterlegten Unterschriftenprofil nicht möglich ist, da das Stammzertifikat nicht vorliegt.

Eine Alternative zum manuellen Hinzufügen eines Stammzertifikats im PDF Reader ist eine Online-Prüfung. Dienste wie Signaturpruefen.de bieten eine einfache und sichere Variante der sofortigen Online-Prüfung. Nachdem das Dokument hochgeladen wurde, wird der Vergleich des Signatur-Hashwertes mit dem bei der Bundesnetzagentur hinterlegten Profil sofort ausgeführt. Das Dokument wird nach 20 Minuten wieder gelöscht.

Die Bestätigung gibt es sofort in Form eines PDF-Protokolls.

Auch ohne digitale Signatur einiges zu beachten

Der Nachweis über die Echtheit der Herkunft und Unversehrtheit des Dokuments muss nach wie vor erbracht werden. Dazu muss ein verlässlicher Prüfpfad existieren, der die Kontrolle vom Eingang der Leistung bis zur Bezahlung der Rechnung ermöglicht.

Damit ist also konkret sicherzustellen:

  1. die Echtheit der Rechnungsherkunft
  2. die Unversehrtheit des Inhalts
  3. die Lesbarkeit der Rechnung
  4. die üblichen Rechnungsangaben nach §§ 14, 14a USt
  5. eine elektronische Aufbewahrung im Originalzustand.

Wurde die Rechnung also per Mail verschickt, dann muss sie auch elektronisch als PDF aufbewahrt werden. Ein Ausdruck würde in diesem Fall nicht ausreichen. Der Rechnungsempfänger muss dem vorgesehenen Übermittlungsverfahren für Rechnungen nach wie vor zustimmen.