Seite 2: Sign oder nicht sig

Inhaltsverzeichnis

Die qualifizierte Signatur geht mit ihren Anforderungen sogar über die notarielle Beglaubigung schriftlicher Dokumente hinaus, indem sie den kompletten Werdegang einer Information vom Urheber bis zum Archiv reglementiert. Zertifikate, mit denen man eine Nachricht qualifiziert signieren kann, müssen Jahr für Jahr von einer ihrerseits aufwendig zertifizierten Stelle erworben werden und sind typischerweise an eine Chipkarte geknüpft, die sich mit einem speziellen Lesegerät ansprechen lässt. Mit all dem Aufwand kann sich zudem niemals ein Unternehmen authentifizieren, sondern immer nur eine natürliche Person. Ergo muss ein Betrieb für jeden Mitarbeiter, der elektronische Rechnungen bearbeiten soll, eine eigene Signatur pflegen.

Vor diesem Hintergrund wird verständlich, warum wir im Web auch bei seriösen Dienstleistern schon unverhohlene Anleitungen gefunden haben, elektronische Rechnungen einfach auszudrucken und als herkömmlichen Posteingang zu deklarieren. Manche Ratgeber empfehlen sogar, die Ausdrucke zu knicken und etwas anzuschmuddeln. Dann komme ein Buchprüfer nicht so schnell dahinter, dass er einen sinnlosen Popanz prüft, während die Buchführung in Wirklichkeit auf totgeschwiegene elektronische Datensätze zugreift.

Diese Tricklösung verstößt freilich gegen die Vorschriften. Wer dabei ertappt wird, muss sich vermutlich auf eine Bußgeldforderung einstellen – auf jeden Fall aber auf einen Buchprüfer, der ab sofort jeden Winkel mit Argusaugen absucht.

Nicht so streng

Die erwähnten Anforderungen auf Basis von EU-Konzepten sind seit 2005 im deutschen Recht verankert. Experten halten die deutsche Umsetzung der EU-Vorgaben schon lange für übertrieben. Im Juli 2010 kam daher eine neue Parole aus Brüssel. Daraufhin müssen es die EU-Staaten spätestens ab Ende 2012 den Geschäftsleuten überlassen, wie sie elektronische Rechnungen als unverfälscht nachweisen.

Die ungeliebte qualifizierte Signatur in herkömmlichen EMails wird auch weiterhin zulässig sein, aber nicht mehr zwingend erforderlich. Als Alternative zeichnen sich geschlossene E-Mail-Systeme ab. Das für 2011 zur Verabschiedung vorgesehene De-Mail-Gesetz soll die Grundlage für solche Systeme liefern, über die sich beliebige Dokumente rechtssicher zustellen lassen. Wer über einen De-Mail-Dienst Nachrichten wie die bereits verfügbaren ePost-Briefe verschicken oder elektronisch empfangen will, muss sich mit seinem Personalausweis über das Post-Ident-Verfahren registrieren und erhält dann ein spezielles E-Mail-Konto, das nur den Teilnehmern am betreffenden Maildienst offen steht.

Bei Nachrichten, die man über so einen Dienst empfängt, gibt es keinen Zweifel über den tatsächlichen Absender. Verschlüsselte Mails sollten bei diesem Verfahren genauso gut vor Manipulationsversuchen geschützt sein wie sonst auch, doch in dieser Hinsicht birgt das De-Mail-Konzept eine Stolperfalle. Der Gesetzentwurf sieht nämlich keine vom Absender bis zum Empfänger durchgehende Verschlüsselung vor, sondern im Gegenteil sogar die zwischenzeitliche Ent- und Verschlüsselung beim Provider, damit dieser die beförderten Dokumente für behördliche Kontrollen zugänglich machen kann. Deshalb eignen sich weder ePost-Briefe noch künftige De-Mail-Nachrichten, um nach aktueller Rechtslage die qualifizierte Signatur für elektronische Rechnungen zu ersetzen. Dieser Mangel wird aller Wahrscheinlichkeit nach bis Ende 2012 durch die geänderte Rechtslage wegfallen.

Wer sich in dieser Erwartung schon heute für ein ePost- oder De-Mail-Konto registriert, bindet sich enger, als er vielleicht vorhersieht. Die daraufhin zugewiesene Adresse muss nämlich nach aktueller Planung zwingend den Namen des Dienstanbieters enthalten. Sollte sich später herausstellen, dass nach Verabschiedung des Gesetzes zahlreiche günstigere Provider in den Markt einsteigen, zieht der Umstieg auf einen anderen Vertragspartner auf jeden Fall eine neue De-Mail-Adresse nach sich und verursacht Arbeit und Kosten, zum Beispiel für neue Briefbögen und Visitenkarten.