blog@netplanet

Der EU-Ministerrat hat als einer der letzten Aktivitäten vor der Sommerpause eine Änderung der Mehrwertsteuerdirektive 2006/112/EC beschlossen und im Artikel 233 (was tief blicken lässt, was für ein EU-Bürokratieungetüm diese Direktive 2006/112/EC ist) hinzugefügt, der es nun den Beteiligten einer Rechnungsstellung überlässt, die Authentizität, Integrität und und Lesbarkeit einer Rechnung sicherzustellen und zwar nun unabhängig davon, ob die Rechnung auf Papier gedruckt oder elektronisch daherkommt.

Damit sind wir doch schon mal ein gutes Stück weiter, denn die EU entzieht den nationalen Regierungen hiermit die Rechtsgrundlage, elektronische Rechnungen nur mit mehr oder weniger sinnvollen Authentifizierungsmechanismen rechtsgültig zu machen, wobei Rechtsgültigkeit im Sinne der Finanzbehörden ist, dass eine Umsatzsteuerabzugsfähigkeit gegeben ist. Während in einzelnen Ländern einfach eine nicht mehr veränderbare PDF-Datei einer Rechnung den nationalen Bestimmungen genügt, will man beispielsweise in Österreich schon eine fortgeschrittene elektronische Signatur, was bedeutet, dass der Rechnungssteller eine Rechnung elektronisch mit einem Zertifikat signieren muss. Diese Signatur kann dann der Rechnungsempfänger prüfen (muss das sogar) und die Rechnung damit als gültig abheften.

In Deutschland nimmt man es da noch eine Packung genauer und möchte eine qualifizierte Signatur auf elektronischen Rechnungen sehen. Diese Art von Signatur unterscheidet sich darin, dass das Zertifikat zur Erstellung einer Signatur von einem offiziell akkreditierten Zertifikatsherausgeber kommt, was den Rechnungssteller ein paar Euro kostet, neben den Ausgaben zur Produktion von elektronischen Rechnungen.

Nun hat also die EU die Zügel formell gelockert, so dass das Bundesfinanzministerium, das schon unabhängig von der heutigen Entscheidung an einer Lockerung gearbeitet hat, heute nun auch grünes Licht bzw. Dampf von Seiten der EU bekommt. Warten wir es mal ab, ob bis Ende des Jahres dann tatsächlich ein Gesetzesentwurf herauskommt, der näher an der Praxis ist, als bisher. Bei unserer aktuellen Kindergarten-Bundesregierung glaube ich das erst dann, wenn es beschlossen ist.

[via Heise online]

• 

Häufig passiert folgendes: Eine Rechnung wird ausgestellt, ausgedruckt, eingetütet und an den Kunden geschickt. Der verliert die Rechnung oder erhält sie niemals, es kommt möglicherweise zum Zahlungsverzug, es wird telefoniert und der Kunde braucht nochmal die Rechnung.

Häufig wird dabei der Fehler gemacht, dass die Rechnung nochmal ausgedruckt und an den Kunden geschickt wird, gerade von Unternehmern, die ihre Rechnungen manuell erstellen. Eigentlich ist das aber nicht erlaubt, denn eine Rechnung ist eigentlich ein Original und wenn der Kunde die Rechnung nochmal benötigt, dann ist ihm eine Kopie auszustellen, zumindest wenn die Rechnungsnummer unverändert bleibt.

Bei elektronischen Rechnungen ist das vermeintlich einfacher – man könnte dem Kunden ja einfach nochmal die Rechnungsdatei schicken – aber das ist gleich auf zweierlei Weisen problematisch. Zum einen möchten die deutschen Finanzbehörden gefälligst eine qualifizierte elektronische Signatur auf elektronischen Rechnungen sehen und zum anderen beweist eine einfache elektronische Rechnung gar nichts, denn der Nachweis von Original und Kopie ist nicht durchführbar.

Und hier punktet dann tatsächlich die elektronisch signierte Rechnung, denn mit der Signatur wird der Zeitpunkt der Erstellung festgehalten, bei einer qualifizierten elektronischen Signatur, wie sie deutsche Finanzbehörden sehen möchten, ist zudem ein Zeitstempel einer Zertifizierungsstelle notwendig, der damit eine rechtsverbindliche Aussage gibt, dass die Rechnung tatsächlich zu diesem Zeitpunkt erstellt und signiert wurde.

Ruft also ein Kunde an und möchte eine noch nicht bezahlte Rechnung nochmals zugestellt bekommen (oder ich rufe ihn an und bitte um Begleichung…), dann bekommt er einfach die originale Rechnungsdatei, die ich damals elektronisch signiert habe. Sie wird immer das Original bleiben, so lange der Kunde diese Datei aufhebt, wozu er selbst nach dem Verifizieren der Signatur und dem Ausdrucken verpflichtet ist.

• 

Der Januar ist in Sachen Zahlungspünktlichkeit schlicht zum Vergessen. Das liegt nicht unbedingt daran, dass der Januar in vielen Branchen schlicht die Saure-Gurken-Zeit ist, sondern vor allem am ziemlich unglücklichen Aufbau dieses Monats. Neujahr fiel dieses Jahr auf einen Donnerstag. Klassischer Fall, um mit einem Urlaubstag schon mal vier freie Tage am Stück zu produzieren. Mit weiteren fünf Tagen der nächsten Woche lassen sich dann gleich mal 11 freie Tage bilden.

Macht man die ganz große Rechnung mit Weihnachten, so konnte man rechnerisch die gesamten Kalenderwochen 51, 1 und 2 mit schlappen 12 zu nehmenden Urlaubstagen zu einem 21 Tage langen Urlaub ausbauen. In Deutschland in Baden-Württemberg, Bayern und Sachsen-Anhalt sogar nur mit 11 zu nehmenden Urlaubstagen, weil in der Kalenderwoche 2 noch der Dreikönigstag als Feiertag auftaucht.

Sprich: Für viele hat das berufliche Engagement erst letzte Woche Montag begonnen und das hängt jetzt ordentlich in den Zahlungsläufen mit.

Übrigens geht der Trick mit den 12 bzw. 11 einzureichenden Urlaubtagen für den Jahreswechsel 2008/2009 nicht mehr, da der Zweite Weihnachtsfeiertag auf einen Samstag fällt und deshalb ein Urlaubstag mehr notwendig wird, wenn man drei Wochen die Beine hochlegen will. Aber mit 13 bzw. 12 zu nehmenden Urlaubstagen ist das auch ein reifes Ergebnis für diese hitverdächtige Ballung von Feiertagen.

• 

Einer unserer Domain-Lieferanten verschickt seit einiger Zeit seine Rechnungen nicht mehr, sondern stellt sie elektronisch im gesicherten Bereich seiner Homepage als downloadbare PDF-Datei zur Verfügung. So weit, so gut, nämlich eine sehr praktische Sache. Das holt man sich, wenn man es braucht (nämlich dann, wenn die Buchhaltung nach dem Beleg schreit), jagt es durch den OpenLimit-Viewer, der ein Prüfprotokoll generiert und ebenfalls als PDF-Datei ausgibt, druckt beides aus und gut ist.

Was offensichtlich einige, die ihre Rechnungen mit einer qualifizierten, elektronischen Signatur ausstatten, nicht wissen, ist der Umstand, dass Kryptografie ein Bereich ist, der sich stetig im Wandel befindet. Was heute dadurch sicher ist, dass der Schlüsselraum so groß oder der Algorithmus so schwer zu berechnen ist, kann morgen schon anders sein. Genau das Problem hat SHA-1 erlebt.

SHA-1 ist ein Algorithmus zur Erzeugung eines so genannten Hashes. Vereinfacht gesagt: Einer eindeutigen Prüfsumme, die dazu genutzt wird, einen digitalen Fingerabdruck einer Datei zu erzeugen. So ein mit SHA-1 erzeugter Fingerabdruck war lange Zeit hinreichend stabil, das heißt, niemand anderes konnte auf die Schnelle einen identischen Fingerabdruck einer Datei erstellen. Das ist seit Februar 2005 vorbei, denn da gab es die ersten Meldungen, dass SHA-1 geknackt war – man konnte offensichtlich das Knacken einer digitalen SHA-1-Prüfsumme manipulieren. Sprich: SHA-1 begann, nicht mehr vertrauenswürdig zu sein. Das passiert mit den besten Algorithmen und ist per se erst einmal nichts verwerfliches.

Da die stärksten Algorithmen durchaus (theoretisch) einmal unpässlich werden könnten, veröffentlicht der Gesetzgeber jedes Jahr einen Algorithmenkatalog, in dem definiert ist, welche Algorithmen noch “gut” sind und für qualifizierte, elektronische Signaturen genutzt werden dürfen und sollen. Diese weitgehend für Laien unlesbaren Dokumente stellen quasi die “Jahreslosung” in Sachen nutzbare Algorithmen dar – nutzt jemand einen Algorithmus für seine qualifizierten elektronischen Signaturen, der nicht mehr empfohlen wird, ist die Signatur nicht vertrauenswürdig und das signierte Dokument damit auch nicht.

Das passiert vielen Rechnungsausstellern, die an sich guten Willen zeigen, seit Anfang des Jahres eben mit SHA-1, das offiziell seit 1. Januar 2008 nicht mehr genutzt werden sollte und ab 30. Juni 2008 nach Ablauf der Übergangsfrist auch nicht mehr als Hashing-Algorithmus anerkannt wird. Wer also eine qualifizierte, elektronische Signatur nach dem 30. Juni 2008 noch mit dem SHA-1-Algorithmus einsetzt, hat ein Problem. Beziehungsweise – und das ist das pikante an elektronischen Signaturen – der Rechnungsempfänger hat eines, denn er darf so eine Rechnung eigentlich gar nicht akzeptieren.

Gängige Signaturanwendungen berücksichtigen diesen Umstand übrigens, wenn man denn die Anwendung auch regelmäßig aktualisiert. Zum einen nutzen diese Anwendungen dann SHA-1 erst gar nicht mehr und zum anderen wird bei Prüfungen auch explizit darauf hingewiesen, wenn SHA-1 genutzt wurde und dass die Prüfung eigentlich fehlgeschlagen ist.

•