RTR - Rundfunk & Telekom Regulierungs-GmbH

Elektronisch übermittelte Rechnungen

Fortgeschrittene elektronische Signaturen

Bereits Ende 2003 wurde eine Verordnung des Bundesministers für Finanzen kundgemacht, der zufolge die Echtheit der Herkunft und die Unversehrtheit des Inhalts einer elektronisch übermittelten Rechnung (ausgenommen im EDI-Verfahren) nur dann gewährleistet ist, wenn die Rechnung mit einer fortgeschrittenen elektronischen Signatur versehen ist, die auf einem von einem Zertifizierungsdiensteanbieter ausgestellten Zertifikat beruht. Im Erlass des Bundesministeriums für Finanzen vom 13.07.2005 wird diese Anforderung konkretisiert.

Die Anforderungen an fortgeschrittene elektronische Signaturen sind im Signaturrecht nicht detailliert geregelt und können lediglich aus der Begriffsbestimmung abgeleitet werden: Eine fortgeschrittene elektronische Signatur ist eine elektronische Signatur, die

  • ausschließlich dem Signator zugeordnet ist,
  • die Identifizierung des Signators ermöglicht,
  • mit Mitteln erstellt wird, die der Signator unter seiner alleinigen Kontrolle halten kann, und
  • mit den Daten, auf die sie sich bezieht, so verknüpft ist, dass jede nachträgliche Veränderung der Daten festgestellt werden kann.

Um zu einer einheitlichen Auslegung dieser Definition beizutragen, hat die Aufsichtsstelle eine Interpretation des Begriffs vorgenommen und in einem Positionspapier veröffentlicht. Dieses Dokument orientiert sich an einem Arbeitspapier des Forum of European Supervisory Authorities for Electronic Signatures (FESA), ist jedoch für Finanzverwaltungsbehörden nicht bindend.

Technische Umsetzung und Kosten

Welche Lösung für ein Unternehmen im konkreten Fall zweckmäßig ist, hängt von der Häufigkeit der elektronischen Rechnungslegung ab. Wenn sich die Anzahl der Rechnungen in Grenzen hält, kann es durchaus genügen, die Rechnungen als PDF-Dateien zu erstellen, mit einer fortgeschrittenen oder sicheren elektronischen Signatur zu versehen (siehe Anwendungen) und per E-Mail an den Empfänger zu senden.

Theoretisch würde es genügen, Rechnungen als elektronisch signierte Mails im Format S/MIME zu senden (siehe Anwendungen). Derartige Mails müssten jedoch so archiviert werden, dass die elektronischen Signaturen während der gesamten vorgeschriebenen Aufbewahrungsdauer von sieben Jahren geprüft werden können. Elektronisch signierte PDF-Dateien können vermutlich einfacher archiviert werden als elektronisch signierte Mails.

Die Kosten einer solchen Lösung beschränken sich im günstigsten Fall auf das Zertifikat und den Personalaufwand für die Einrichtung des Systems. Eine allgemeine Aussage ist jedoch nicht möglich, weil die Kosten in erheblichem Maß von der Komplexität des Systems und vom jeweiligen Verrechnungsmodell abhängen.

Neben PDF kommt auch der österreichische XML-Rechnungsstandard ebInterface in Betracht, der von zahlreichen Umsetzungspartnern unterstützt wird.

Zertifikate für elektronisch signierte Rechnungen

Mehrere Zertifizierungsdiensteanbieter bieten Zertifikate für fortgeschrittene elektronische Signaturen an. Zertifizierungsdienste, die laut Sicherheits- und Zertifizierungskonzept für fortgeschrittene elektronische Signaturen geeignet sind, sind in der von der RTR-GmbH geführten Liste mit dem Buchstaben "F" gekennzeichnet. Mitunter wird das Zertifikat als Teil eines Gesamtpakets für die elektronische Rechnungslegung angeboten.

Wenn die Rechnungslegung einschließlich Auslösung der Signaturfunktion automatisiert ablaufen soll, ist die sichere elektronischen Signatur wegen der hierfür erforderlichen PIN-Eingabe ungeeignet. Es ist jedoch zulässig, mit nur einer PIN-Eingabe eine bestimmte Anzahl bereits vorliegender Rechnungen simultan mit sicheren elektronischen Signaturen zu versehen.

In jedem Fall können Zertifikate nur an natürliche Personen ausgestellt werden, weil das Signaturgesetz nur natürliche Personen als Signatoren vorsieht. Die Verwendung eines Pseudonyms im Zertifikat ist jedoch zulässig (speziell beim qualifizierten Zertifikat ist jedoch § 8 Abs. 4 SigG zu beachten, dem zufolge bei Verwendung eines Pseudonyms keine Verwechslungsgefahr mit Namen oder Kennzeichen bestehen darf).

Falls Rechnungen im Namen des Unternehmers von einem Dritten (z. B. einem auf elektronische Rechnungslegung spezialisierten Dienstleister) ausgestellt werden und falls der Dritte bevollmächtigt wird, Rechnungen elektronisch zu signieren, so hat er seine eigenen Signaturerstellungsdaten zu verwenden. Die Weitergabe der Signaturerstellungsdaten des Unternehmers an den Dritten ist unzulässig (§ 21 SigG).

Grenzüberschreitende Rechnungslegung

Die Echtheit der Herkunft und die Unversehrtheit des Inhalts elektronisch übermittelter Rechnungen müssen nach der europäischen Richtlinie 2001/115/EG gewährleistet werden. In zahlreichen Mitgliedstaaten der Europäischen Union geschieht dies durch den Einsatz fortgeschrittener elektronischer Signaturen. In anderen Mitgliedstaaten müssen elektronisch übermittelte Rechnungen mit einer sicheren elektronischen Signatur versehen sein. In manchen Mitgliedstaaten kann auf elektronische Signaturen in Rechnungen verzichtet werden. Authentische Informationen finden Sie auf der Website der Europäischen Kommission.

Da die Echtheit der Herkunft und die Unversehrtheit des Inhalts einer Rechnung hauptsächlich für den Vorsteuerabzug relevant sind, brauchen jene Rechnungen, in denen keine Umsatzsteuer angegeben werden muss, auch nicht mit einer elektronischen Signatur versehen zu werden.

Allgemein ist die Anerkennung ausländischer Zertifikate in Österreich in § 24 SigG geregelt (vgl. auch FAQ). Inwieweit fortgeschrittene elektronische Signaturen aus Österreich im Ausland anerkannt werden, sollte bei den zuständigen ausländischen Behörden nachgefragt werden.