Glossar

Um den elektronischen Handel rechtlich abzusichern, wurde 1998 das Signaturgesetz verabschiedet. Für die Anerkennung durch das Finanzamt war bis 2011 eine gesicherte Übertragung der Rechnungen erforderlich, die mittels digitaler / elektronischer Signatur sichergestellt wurde.

Laut BMF-Schreiben vom 2. Juli 2012 zum Steuervereinfachungsgesetz 2011 sind eine qualifizierte elektronische Signatur oder das EDI-Verfahren zum Versenden oder Empfangen elektronischer Rechnungen nicht mehr zwingend erforderlich. Die elektronische Übermittlung und Bereitstellung von Rechnungen auf andere Weise werden anerkannt. Mercateo versendet Ausgangsrechnungen dennoch mit einer elektronischen Signatur, denn sie bietet Kunden die Vorteile der Echtheit und Unversehrtheit der Rechnung sowie der revisionssicheren Archivierung.

Über einen sogenannten privaten Signaturschlüssel wird ein "Siegel" auf die übermittelten Daten aufgebracht. Dieses Siegel kann der Empfänger mit Hilfe eines zugehörigen öffentlichen Schlüssels überprüfen. Der Empfänger kann dann feststellen, wer der Absender des Schreibens ist und ob die übermittelten Daten unverfälscht sind.

Signaturarten

Es gibt verschiedene Arten von Signaturen.

Eine qualifizierte Signatur ist an strenge Auflagen gekoppelt, so dass in der Praxis eine Signaturkarte eines entsprechenden zertifizierten Anbieters notwendig ist. Bei dieser Signaturform kann mindestens zehn Jahre ab Erstellung einer Signatur überprüft werden, ob die Signatur zum Zeitpunkt der Signierung des Dokumentes gültig war. Diese Art der Signatur ermöglicht die Übertragung eines beliebigen Formats. Die Daten müssen bei einer Rechnungsprüfung in menschenlesbarer Form angezeigt werden können.

Eine einfache Signatur stellt die unversehrte Ankunft der Dokumente bei dem Empfänger sicher. Diese Signaturvariante ist nur bei AS1 oder AS2 erlaubt. Hierbei werden die Daten per E-Mail oder HTTP (versehen mit einer einfachen digitalen Signatur) zum Geschäftspartner übertragen. Vor Verwendung einer solchen Lösung schließen beide Unternehmen miteinander üblicherweise einen Vertrag darüber, welche operativen Anforderungen die jeweils andere Seite erfüllen muss.

Das Prinzip der digitalen Signatur

Das Prinzip der digitalen Signatur beruht auf mathematischen, asymmetrischen Verschlüsselungsverfahren. Das beinhaltet, dass bei der Signaturbildung und -prüfung ein Paar unterschiedlicher, aber zusammengehöriger Schlüssel eingesetzt werden. Jeder Benutzer erhält ein solches Schlüsselpaar zugeteilt: seinen öffentlichen (public key) und seinen geheimen privaten Schlüssel (private key). Nachrichten, die mit dem privaten Schlüssel verschlüsselt werden, können nur mit dem öffentlichen Schlüssel wieder lesbar gemacht werden und umgekehrt. Der öffentliche Schlüssel des Benutzers ist im Netzwerk allgemein zugänglich.

Bei der Signatur wird für die zu übermittelnde Nachricht der sogenannte Hashwert berechnet, eine Art Quersumme über alle Zeichen, der je nach Inhalt der Nachricht unterschiedlich ausfällt. Dieser Hashwert wird anschließend mit dem geheimen privaten Schlüssel des Absenders verschlüsselt. Danach kann dieser Hashwert nur mit dem öffentlichen Schlüssel des Absenders wieder erfolgreich lesbar gemacht werden, er stellt die digitale Signatur dar. Sowohl das Originaldokument als auch die Signatur und der öffentliche Schlüssel werden an den Empfänger übermittelt.

Die Überprüfung der Signatur erfolgt in umgekehrter Reihenfolge. Mit Hilfe des öffentlichen Schlüssels wird der verschlüsselte Hashwert wieder lesbar gemacht, parallel dazu wird der Hashwert aus der übermittelten Nachricht ein zweites Mal errechnet. Wenn der entschlüsselte und der neu errechnete Hashwert übereinstimmen, ist sichergestellt, dass die Nachricht im Inhalt unverfälscht ist und zur Signatur der zum öffentlichen Schlüssel passende geheime Schlüssel verwendet wurde – sie also authentisch vom richtigen Absender stammt.

Weiterführende Links zu diesem Thema: