Kann man Gpg4win im Geschäftsverkehr dazu verwenden ZUGFeRD Rechnungen, E-Rechnung, XRechnung per Email zu signiert versenden und wird diese Verfahren vom Finanzamt anerkannt. Aus logischer Sicht sollte das möglich sein, da man ja mit signierten Dateien die Authetizität und Unverfälschlichkeit nachweisen kann. Gibt es hierzu ein paar Experten-Meinungen. Das BSI hat hier auch einen Link, aber zur Thematik ZUGFeRD findet man bis jetzt dort keine Hinweise: BSI - GPG4Win
Hallo @R2D2,
erstmal Danke für die guten Fragen. Wie an der langen Zeit bis zur Antwort siehst: Wir wissen es nicht genau, was wohl heißt: In der Praxis wird das nicht so einfach funktionieren.
Vielleicht ein paar Ideen:
- Gpg4win nutzt ja GnuPG als Krypto-Motor und GnuPG kann sowohl CMS, als auch OpenPGPv4 (und LibrePGP).
- CMS (also “cryptographic message syntax”) Cryptographic Message Syntax – Wikipedia ist die Grundlage für “qualifizierte Signaturen”, alsohttps://de.wikipedia.org/wiki/Qualifizierte_elektronische_Signatur
- Grob gilt da:
Eine qualifizierte elektronische Signatur (QES) ist eine durch die eIDAS Verordnung (EU) Nr. 910/2014 geregelte Form der elektronischen Signatur, die im Rechtsverkehr die handschriftliche Unterschrift ersetzt, wenn dies durch eine Rechtsvorschrift nicht ausgeschlossen ist. Sie werden von qualifizierten Vertrauensdiensteanbietern (VDA) ausgegeben.
-
Wenn Du also ein Zertifikat von einem der in Europe qualifizierten Vertrauensdienstenanbieter hast, z.B. https://www.telesec.de/de/produkte/signaturkarte/ueberblick , dann kannst Du mit GnuPG - sofern die Karte und der Leser technisch unterstützt sind - qualifiziert Signieren.
-
Sofern in den Verordnungen und Gesetzen für die Steuer das nicht verboten ist - muss das Finanzamt solche Signaturen als gleichberechtigt zur Schriftform anerkennen. (Hier ist der Punkt bei welchem ich die Steuergesetze und Verordnungen nicht gut genug kenne.)
-
Wie sich das zu den Standards bei den E-Rechnungen verhält, weiß ich nicht.
Also: theoretisch sind wir technisch und von der Gesetzeslage nahe dran, aber ich vermute da wird es noch den ein oder anderen Fallstrick geben. (Ich sag mal böse: Da würde sich finanzielle Förderung lohnen - aber das ist den Fördermittelgeben die ich über die Jahre kennengelernt habe meist zu praktisch. >;) )
Gruß,
Bernhard
Hallo Bernhard,
danke für die Ausführungen. Das heißt dann, dass jeder einzelne Unternehmer wieder mehr Geld für ein Zertifikat ausgeben muss. Ich werde dann später nochmal beim Finanzamt nachfragen, ob es auch mit einem selbstsignierten kostenlosen Zertifikat mit Gpg4win geht. Das ist wünschenswert, denn man sollte auch eine kostenlose Möglichkeit haben bei dieser neuen Regulierung. Oder es sollte so etwas wie Let’s Encrypt geben oder vom Finanzamt eine kostenlose Alternative.
Grüße
R2D2
Hallo @R2D2,
wenn der Rechnungsempfänger belegen kann, dass die Rechnung von Dir kann, könnte es schon sein, dass das als Rechnung gilt. Berichte mal, was Du herausfindest.
Bernhard
AFAIK muss es für elektronische Rechungen keine Signatur geben, genau so wenig wie für eine Rechung auf Papier. Man kann die elektronische Rechnung daher mit einer einfachen, unsignierten Mail schicken.
Wie gesagt, werde ich mich dann spätestens 2027 beim Finanzamt erkundigen. Jedoch ist es aus logischer Sicht und den Erklärungen von Bernhard Reiter bei digitalen Dokumenten anders. Diese Dokumente kann man durch Signierung Fälschungssicher machen und einem Absender zuordnen. Es stellt sich nur die Frage, ob dazu ein kostenloses selbstsigniertes Zertifikat und der mit dem Geschäftspartner ausgetauschte öffentlichen Schlüssel ausreicht. Dies wäre wünschenswert. Oder es gäbe dann auch eine kostenlose Alternative vom Finanzamt. Das könnte ein kostenloses Zertifikat ausstellen für jeden Unternehmer und damit auch Open Source Projekte wie Gpg4win unterstützen. Das wäre doch mal ein Fortschritt und eine kleine Entlastung für die Unternehmen, die nun alle auf digital Rechnung umstellen müssen.
R2D2
Ich habe heute mit einem Softwarehersteller gesprochen, der eine Email Verschlüsselungssoftware entwickelt hat, und der mir gesagt hat, dass das Finanzamt davon ausgeht, dass die versendete E-Rechnung und die nachvollziehbare Überweisung ausreichend sind. Also, dass man dafür prinzipiell keine Email Verschlüsselung und Authentifizierung benötigt. Diese Info habe ich allerdings noch nicht vom Finanzamt bestätigt. Jedoch wenn es dann wirklich so sein mag, dann würde der Einsatz von Gpg4win trotzdem Sinn machen, da man damit den Emailverkehr mit seinen Geschäftspartnern absichern kann. Eine E-Rechnung sollte jedoch immer geprüft werden, da man die angehängte xml Datei des PDF Dokuments manipulieren kann. Also besser Betrag und Kontoangaben vor einer Überweisung prüfen.