Elektronische Rechnungen als Service
Elektronische Rechnungen als Service Die Behandlung elektronischer Rechnungen lässt sich im Prinzip gut outsourcen. Doch einige juristische Fallstricke gilt es dabei zu beachten.
- Elektronische Rechnungen als Service
- Fremdsignaturen versus Vertretungsmodell
- Gesetzeskonformes Prüfen
Das Interesse am Austausch elektronischer Rechnungen nimmt zu. Allerdings gibt es bei elektronischen Rechnungen Anforderungen, die an Papierrechnungen nicht gestellt werden. Wesentlich ist vor allem, dass der Versender die Rechnung laut Signaturgesetz (UStG §14, 14a) mit einer qualifizierten elektronischen Signatur versehen muss, um die Integrität und Authentizität sicherzustellen. Weiterhin wird der Empfänger gemäß GDPdU verpflichtet, Signatur und Zertifikat zu prüfen, die Prüfung nachzuweisen und zehn Jahre revisionssicher zu archivieren. Wohlweislich hat der Gesetzgeber somit auch bestimmt, dass die Einführung elektronischer Rechnungen nicht einseitig geschehen kann, sondern das Einverständnis des Partners einzuholen ist. Häufig ist aber vor allem eine Seite daran interessiert, die dann möglichst viele Partner für das neue Verfahren gewinnen will. Vor diesem Hintergrund wächst das Interesse, Dienstleister hinzuzuziehen, die als beauftragte Dritte agieren. Dieses Bedürfnis wird von § 14 Abs. 2 Satz 4 UStG explizit anerkannt. Im Extremfall prüft der Sender die Signatur unmittelbar nach dem Aufbringen und sendet gleich das Prüfprotokoll mit, oder der Empfänger nimmt die Rechnungsdaten entgegen, signiert und prüft sie. In diesen Extremfällen übernimmt eine Seite die Rolle des beauftragten Dritten. Generell bei den Dienstleistungsmodellen und erst recht in den geschilderten Extremfällen ergibt sich rechtlich eine Reihe von Problemen.
Massensignaturen Als Dienstleister kommen Rechenzentren in Betracht, die Rechnungen in großer Stückzahl produzieren. Die Eingabe der PIN bei jedem Signaturvorgang ist in einem RZ-Betrieb nicht praktikabel. Dies wurde in der Signaturverordnung bereits anerkannt, sodass es für den Rechnungssteller lediglich darauf ankommt, seiner Sorgfaltspflicht nachzukommen. Demnach kann es erforderlich sein, die Freischaltung des Signaturschlüssels auf einen Zeitrahmen oder eine Anzahl von Signaturen zu beschränken. Die im Gesetz geforderte alleinige Kontrolle über die SmartCard kann auch durch Verschließen der zugehörigen Systeme erfolgen. In diesem Fall kann auch ein sehr langes Zeitintervall eingestellt werden, weil kein Unbefugter Zugang zur Karte erhält. Dass der Signaturkarte keine ungewollten Dokumente untergeschoben werden, die dann über die Signatur eine rechtliche Wirksamkeit bekämen, wird auf unterer Ebene dadurch vermieden, dass die Anwendungs-Software zum Signieren über eine Zulassung der Bundesnetzagentur verfügen muss. Auf der Prozessebene geschieht dies durch eine hohe Automatisierung, klare Arbeitsanweisungen und rigide Kontrollen inklusive Protokollierungen. Außerdem kann über Attribute im benutzten Zertifikat definiert werden, für welche Zwecke es eingesetzt werden darf – und damit auch für welche nicht. Beispielsweise können über dieses Verfahren Wertgrenzen vorgegeben werden, sodass ein bestimmtes Zertifikat nur für Rechnungen bis zu einer bestimmten Höhe benutzt werden darf.
