Moin Moin

Elektronische Rechnung ist in letzter Zeit ein wichtiges Thema bei uns. Dabei hat sich herausgestellt, Entweder verschickt man die Rechnungsemails über Outlook einzeln und kann dann die Email kryptographisch signieren - was in den meisten Fällen kaum handelbar ist - oder per Massenemail, da geht in Sachen Signierung gar nichts. 

Und das ist blöd!

Denn, UstG §14, Abs.1 fordert schließlich, dass Herkunft und Unversehrtheit sicherzustellen sind. Das kann eine einfache Email mit Anhang nicht wirklich. Es scheint mir so, als ob alle, inklusive Datev meinen, eine Email mit einem PDF-Dokument als Anhang wäre ausreichend. Mag vielleicht auch gehen, wenn man sämtliche Prüfungen dem Rechnungsempfänger aufbürdet. Obwohl, dann hätte sich der Gesetzgeber den Teil mit Herkunft und Unversehrtheit auch schenken können, deshalb denke ich auch wenn ich kein Jurist bin, das bedarf schon entsprechender Sicherstellungen durch den Absender von Rechnungsmails.

OK, Datev bietet zumindest an, per Datev-Verschlüsselung die Mails auszuliefern. Ist auch nicht schwer, da die Datev-Verschlüsselung erst nach dem lokalen Exchange greift - bei der Datev, die dann die verschlüsselte Mail über den originären Mailprovider der Kanzlei in Richtung Empfängerprovider schickt. Das wäre natürlich hinreichend.

Nur: die meisten Mandanten wollen keine Verschlüsselung. Soweit nicht andere personenbezogene Daten involviert sind (bei Rechnungen eher nicht), dürfen Steuerberater dann auch unverschlüsselte Emails schicken - bei einer entsprechender Vereinbarung (Lohndaten sind z.B. davon stets auszuschließen, da sie Daten Dritter enthalten. Und eine freiwillige und informierte Einwilligung eines Arbeitsnehmers, ein Minenfeld für eine Kanzlei. Denn wenn nur ein Arbeitsnehmer sich beschwert ... hat man den Salat. Entschuldigung, abgewichen). 

Bleibt aber die Frage, Wie kann der Mandant erkennen, dass die Rechnung wirklich vom Steuerberater kommt und nicht etwa unterwegs irgendwie verändert wurde?

Kann man groß rangehen und ein elektronisches Siegel an dem PDF-Dokument anbringen. Ist in Datev nicht vorgesehen, wenn man nicht jedes PDF dann signiert und dann einzeln in Outlook die Emails generiert, hat sich das Siegel erledigt. 

Aber um den Absender und die Originalität des PDF-Dokuments zu bestätigen geht's auch eine Nummer kleiner, Der mIdentity hat auch ein Zertifikat zum signieren von Emails. D.h., die Transportemail samt Anhang signiert bestätigt Herkunft und Unversehrtheit der Rechnung. Geht zwar bei Einzelrechnungen über Outlook, aber nicht bei Massemails direkt über den Exchange.

Datev scheint dies trotzdem als ausreichend gesetzeskonform zu halten. Mag stimmen, wenn man die gesamte Prüfung dem Empfänger und dessen Rechnungsprüfung zu schiebt.

Aber eigentlich erschient mir dies als sch... . Nicht erst seit gestern gibt es Fake-Rechnungen (einige wirklich gut gemacht und offenbar mit Kenntnissen über Geschäftsverbindungen). Die Möglichkeit, eine elektronische Signatur (mIdentity-Zertifikat ist da völlig ausreichend bereits) anzubringen ist für den Rechnungsempfänger ein echter Mehrwert. Und für den Rechnungssteller ein einfaches Mittel um mit Sicherheit UstG §14 Abs. 1 zu genügen, also keinen Angriffpunkt zu bieten.

In diesem Zusammenhang finde ich es auch schon als Seltsam, dass Datev Emails an unsere Kanzlei grundsätzlich signiert, also die Herkunft und die Unversehrtheit des Inhaltes damit feststellbar macht. Selbst für Emils, die nur 

Offenbar hält Datev dies für wichtig. Und gerade bei Rechnungen soll das nicht mehr wichtig sein???

Ich habe erfahren, dass Datev den Prozess elektronische Rechnung gerade neu entwickelt. ( 😉 das Leck war nicht in Datev 😉 ) Ich wünsche mir, das die elektronische Signierung von Massenemails darin möglich und als Mindeststandard auch definiert wir.

Und es sollte auch möglich sein die PDF-Dokumente per elektronischem Siegel zu authentifizieren. Besser noch, per qualifizierter elektronischer Signatur zu unterzeichnen. Denn StBVV §14 ist angesichts eIDAS ein Anachronismus - und hart auf hart, so denn jemand mal wirklich klagt, kann ich mir nicht vorstellen, dass dieser Paragraph Bestand haben kann. Dann wäre die Unterschrift einfach durch die qualifizierte elektronische Signatur des Steuerberater ersetzbar (beides gilt heute ja gesetzlich ohnehin schon als gleich - bis auf §14 StBVV), und das müsste der Datevprozess dann sowieso abbilden.

Sprich wenn es neu entwickelt wird, tut euch und uns  da draußen den Gefallen und baut Signierungsmöglichkeiten mit ein. Am besten standardmäßig vorgegeben für mehr Rechtssicherheit.

QJ

Anhang:

Einmal gibt es die Peinlichkeit für eine Kanzlei, wenn Kriminelle gefälschte Rechnungen schicken, die nicht recht einfach als Fakes identifiziert werden können (kein Signatur, kein Vertrauen, eine einfache Regel für Rechnungsempfänger, wenn denn die Kanzlei signieren kann).

Dann stellt sich die Frage nach einem Haftungsrisiko, wenn eine Fake-Rechnung hinreichend genau einer unsignierten  Rechnungsemail der Kanzlei entspricht und es eben kein Sicherheitsmerkmal von der Kanzlei gibt. Ich weiß es nicht, kann mir aber ein erhebliches Risiko vorstellen, besser ich befürchte es!

Und schließlich, mit etwas Willen kann das PDF-Dokument dann auch verändert werden und dann steht Dokument gegen Dokument. Zwar wird die Datev-Dokumentation zur Rechnung zumindest gute Indizien liefern - vermutlich sogar hinreichend, der Mandant könnte aber dann immer noch auf eine (offensichtliche) Veränderung auf dem Transportweg argumentieren. "Offensichtlich" wird der Mandant. Und die veränderte Rechnung? Wird schwer sein, dies dem Mandanten nachzuweisen, dass er diese Veränderung vorgenommen hat. Wird zwar am Ende wohl reichen, aber das gibt natürlichen einen Imageverlust, denkbar wäre auch, dass Mandanten darin Inkompetenz in der Kanzlei zu erkennen glauben.

Es wäre ein verdammt schlechtes Szenario! Und es gibt überall Mandanten-Kandidaten dafür.