Der Unsinn einer qualifizierten elektronischen Signatur
Bei der qualifizierten elektronischen Signatur wird das Ziel verfolgt, den Absender eines Beleges zweifelsfrei feststellen zu können und zudem soll eine Manipulationsmöglichkeit der Inhalte ausgeschlossen werden. Hierfür werden aufwändige organisatorische und technische Verfahren eingesetzt.
Der organisatorische Aufwand ist u.a. die Bereitstellung einer sicheren Umgebung für die Aufbewahrung eines privaten Schlüssels. Der technische Aufwand ist die eigentliche elektronische Signatur, zu der jeweils ein private und öffentliche Schlüssel erstellt und verfügbar sein müssen. Jeder Beleg muss dann signiert werden.
Die Kernfragen “Nachvollziehbarkeit des Absenders, Prüfung auf Originalinhalt” sind jedoch weitaus einfacher zu beantworten. Gibt es ein einfaches Verfahren, jederzeit den Originalbeleg vom Absender anfordern zu können, ist natürlich eine zweifelsfreie Prüfung möglich. Kommt dieser aus dem Archiv des Rechnungserstellers oder direkt aus der ERP-Software, ist keine Manipulation mehr möglich. Mehr noch, es ist auch eine Kontrolle denkbar, ob der Absender keine nachträgliche Manipulation des Beleges vorgenommen hat. Für die Umsetzung eines solchen vereinfachten Verfahrens, welches keine laufenden Kosten verursacht, gibt es eine Lösung. Sie basiert auf dem TimeLine® MessageService. Sie verursacht nur einmalig Kosten, erledigt die Aufgabe völlig automatisch und bedarf nur sehr geringer technischer Anforderungen.
In der Praxis wird auf einen Beleg ein Code sowie eine spezielle E-Mail-Adresse gedruckt. Nun wird an diese Adresse eine E-Mail mit diesem Code gesendet. Postwendend wird vom System der Originalbeleg zurück gesandt. Vorliegender Beleg und Originalbeleg können nun verglichen werden. Dies ist eine schnelle, zweifelsfreie Prüfung, welche auch für den Anwender bzw. den Prüfer ohne besondere Sachkenntnis durchführbar ist.
Die Frage, ob dies die Finanzämter so akzeptieren, ist jedoch zugegebenermaßen bisher unbeantwortet. Aber! Nun kann man jedoch auch eine signierte Rechnung ausdrucken, man kann sie vorher manipulieren und behaupten diese auf dem postalischen Weg erhalten zu haben. Damit ist die Signatur dann wertlos. Bei dem oben vorgeschlagenen Verfahren ist die Versandart unbedeutend, jeder Beleg ist prüfbar. Das Verfahren ist simpel und preiswert und man fragt sich mal wieder, warum die Kirche nicht im Dorf gelassen wird, warum wird so gerne übertrieben?
Mittwoch, 17. März 2010 10:54
Hallo Volker,
der vorgeschlagene Weg über TimeLine® MessageService hört sich gut an, aber die Finanzverwaltung wird das Problem haben, dass erstens die gesetzlich vorgeschriebene Signatur fehlt und zweitens eine “individuelle” Lösung darstellt, deren Sicherheit und Funktionsweise erst von jedem einzelnen zuständigen FA nachvollzogen werden muss. Da nach den aktuellen Vorschriften der Prüfer die Daten selbst in Augenschein nimmt ist eine Manipulation wie oben beschrieben schwer möglich und würde bei einer Gegenprüfung sofort auffallen und keinen Kavaliersdelikt darstellen.
Ich denke wenn die qualifizierte elektronische Signatur weniger stigmatisiert würde und mehr Entwicklung in diesem Gebiet betrieben würde, würden handhabbarere Lösungen verfügbar sein.
Mittwoch, 17. März 2010 11:10
Hallo Tobias,
ja, das Gesetz wird das Problem sein. Ein unsinniges Gesetz. Bei einem elektronisch gefaxten Beleg wird sogar vorgeschrieben, es erneut zu kopieren und dann abzulegen, so es sich um eine Themopapierfax handelt. Wo ist hier bitte sichergestellt, dass die Rechnung dann wirklich vom richtigen Absender kommt? Und wie erkennt ein Prüfer, ob eine Rechnung per Post gekommen ist, oder aus einer PDF gedruckt wurde? Und nur mit dem von mir beschriebenen Verfahren kann der Prüfer im gleichen Moment eine Gegenprüfung vornehmen. Egal ob Fax-, Post- oder -E-Mail-Beleg.
Mittwoch, 17. März 2010 23:39
Definitiv ein guter Grundgedanke. Wenn man das System bzw. das Verfahren niederschreiben und erklären würde, natürlich mit entsprechenden Methodiken zur Sicherung der Übertragung etc. dann könnte man das Konzept sicher an entsprechender Stelle vorlegen.
Wär auf jeden Fall super, wenn ich mir vorstelle meine Rechnungen direkt online verifizieren zu können. Im Idealfall vielleicht noch mit zusätzlichen Informationen über den Bearbeiter oder ähnliches.