Qualifizierte elektronische Massensignatur

• Warum sind qualifizierte elektronische Massensignaturen erforderlich?
• Die Umstellung von Gutschrifts- und Rechnungsverfahren auf papierlose Abwicklung erfordert aus umsatzsteuerlichen Gründen eine qualifizierte elektronische Signatur.
• Die nachstehenden Graphiken veranschaulichen den Ablauf der qualifizierten elektronischen Massensignatur im Gutschrifts- und Rechnungsverfahren bei E.ON.
• Einzelheiten zu Signaturbeauftragungen, Ansprechpartnern und häufig gestellten Fragen erreichen Sie über die entsprechenden Verweise auf der linken Seite.

Folgende Gesellschaften haben die E.ON Business Services GmbH berechtigt, für sie Rechnungen/Gutschriften qualifiziert elektronisch zu signieren.

E.ON Avacon AG
Schillerstraße 3
38350 Helmstedt

E.ON Avacon Vertrieb GmbH
Schillerstraße 3
38350 Helmstedt

E.ON Avacon Wärme GmbH
Jacobistraße 3
31157 Sarstedt

E.ON Bayern AG
Heinkelstraße 1
93049 Regensburg

E.ON Bayern Netz GmbH
Heinkelstraße 1
93049 Regensburg

E.ON Bayern Vertrieb AG
Heinkelstraße 1
93049 Regensburg

E.ON Energy from Waste Heringen GmbH
In der Aue 3
36266 Heringen (Werra)

E.ON Facility Management GmbH
Denissstrasse 2
80335 München

E.ON Hanse
Schleswag-HeinGas-Platz 1
25450 Quickborn

KommEnergie GmbH
Bahnhofstraße 1
82223 Eichenau

E.ON Service Plus GmbH
Luitpoldstraße 27
84034 Landshut

E.ON Thüringer Energie AG
Schwerborner Straße 30
99087 Erfurt

E.ON Wasserkraft GmbH
Luitpoldstraße 27
84034 Landshut

Open Grid Europe GmbH
Kallenbergstr. 5
45141 Essen

EnergieNetze Bayern GmbH
Heinkelstraße 1
93049 Regensburg

EnergieNetze Schaafheim GmbH
Heinkelstraße 1
93049 Regensburg

E.ON edis AG
Langewahler Straße 60
15517 Fürstenwalde/Spree

Die E.ON IT GmbH hieß bis zum 31.03.2010 E.ON IS GmbH.

Sie haben Fragen oder wünschen weitere Informationen? Wir stehen Ihnen gerne jederzeit zur Verfügung.

Warum ist eine qualifizierte elektronische Massensignatur erforderlich?

Eine qualifizierte elektronische Signatur ist deswegen erforderlich, weil die Umstellung des Gutschriftsverfahrens auf papierlose Abwicklung durch Mailversand aus umsatzsteuerlichen Gründen nur mit qualifiziert elektronisch signierten Gutschriftsanzeigen zulässig ist.

Welches sind die wesentlichen rechtlichen Grundlagen im eBilling?

Sofern ein Unternehmer elektronische Rechnungen versenden will, sei es durch ihn selbst oder durch Dritte bzw. elektronische Rechnungen empfangen und weiterverarbeiten will, sind insbesondere das Umsatzsteuergesetz (UStG), die Grundsätze ordnungsgemäßer DV-Systeme (GOBS) vom 07.11.1995, die Grundsätze zum Datenzugriff und Prüfbarkeit digitaler Unterlagen (GDPdU), gemäß Schreiben des Bundesministeriums für Finanzen vom 16.07.2001, die Vorschriften zur Abgabenordnung (AO), diverse Schreiben des Bundesministeriums der Finanzen, insbesondere das Schreiben vom 29.01.2004 sowie die Vorschriften des Signaturgesetzes (SigG) und der Signaturverordnung (SigV) zu beachten.

Ist eine elektronische Signatur auch auf den Leistungserfassungsblättern notwendig?

Nein, die elektronische Signatur ist nur auf den Gutschriftsanzeigen notwendig, nicht jedoch auf den Anlagen zur Gutschriftsanzeige. Diese können auch unsigniert gemailt werden.

Muss die signierte Gutschriftsanzeige archiviert werden?

Ja, die signierte Gutschriftsanzeige/ Belastungsanzeige muss inklusive der dazugehörigen Signaturdatei und dem dazugehörigen Verifikationsprotokoll unveränderlich archiviert werden. Ebenso sollten die Leistungserfassungsblätter gespeichert und archiviert werden.

Wie lange sind Aufbewahrungspflichten für elektronische Rechnungen?

Nach § 147 Abs. 1 AO betragen die Aufbewahrungspflichten für Unternehmen, die für die Besteuerung relevant sind, also auch Rechnungen, insbesondere auch elektronische Rechnungen zehn Jahre. Aus § 14 b UStG ergibt sich eine Aufbewahrungspflicht für Rechnungen, die der Unternehmer selbst oder durch einen Dritten in seinem Namen hat ausstellen lassen. Ebenso ist der Rechnungsempfänger verpflichtet, die empfangenen Rechnungen, die er vom Leistungserbringer unmittelbar oder von einem von ihm beauftragten Dritten erhalten hat, ebenso zehn Jahre aufzubewahren.

Worauf wird die elektronisch signierte Gutschriftsanzeige bei dem Internet-Verifikationsdienst geprüft?

Die elektronisch signierte Gutschriftsanzeige wir auf Authentizität (Absenderidentität) sowie auf Integrität (Unversehrtheit des Dokuments) geprüft.

Enthält die E-Mail zur Gutschriftsanzeige eine standardisierte Betreffzeile?

Ja, die standardisierte Betreffzeile ist wie folgt aufgebaut:

GSV  Name des Prozesses (hier: Gutschriftsverfahren)

Q81  SAP-System (hier: Testsystem Q81)  

300  SAP-Mandant  

3190  SAP-Buchungskreis (hier 3190 = E.ON Bayern)  

4550095542  SAP-Bestellnummer  

G  Kennzeichen (G=Gutschrift; L=Leistungserfassungsblatt)  

5106321715  SAP-Belegnummer (hier: Nr. der Gutschriftsanzeige)  

2007  Geschäftsjahr bei E.ON  

002

  lfd. Nummer (z.B. bei Duplikatserstellung)

Wie erfolgt die Signaturprüfung mit SIGNATURE-CHECK?

Öffnen Sie die Internetseite www.signature-check.de, von dort können Sie die Verifikation starten.

a)  Starten Sie den Dialog zum Prüfdienst mit der Schaltfläche "Start". Es öffnet sich automatisch ein neues Dialogfenster des Verifikationsdienstes.

b)  In dem neuen Fenster geben Sie die signierte Datei und die zugehörige Signatur-Datei an, welche Sie beide vom Versender erhalten haben.

c) Über die Schaltfläche "Prüfung starten" lösen Sie den Verifikationsvorgang aus und erhalten nach kurzer Zeit automatisch das Prüf- bzw. Verifikationsergebnis. Dieses kann sowohl ausgedruckt, als auch elektronisch gespeichert werden.

Wie erfolgt die Prüfung der Signaturen?

Im Trustcenter der AuthentiDate wird ein so genannter Hash-Wert (digitaler Fingerabdruck) des Dokumentes nach einem von der Bundesnetzagentur (BNetzA) freigegebenen Verfahren erzeugt. Dieser wird automatisch mit der Signaturdatei auf "Übereinstimmung" geprüft und somit die Integrität (Unverändertheit) der Daten festgestellt. Gleichzeitig wird die Gültigkeit des Zertifikates, mit dem die Signatur erstellt wurde, durch eine Online-Abfrage bei dem Herausgeber des Zertifikats und der Bundesnetzagentur überprüft. Das zentrale System zur Prüfung und Einholung der Auskünfte von Zertifikatsausstellern befindet sich im Trustcenter der AuthentiDate International AG. Die AuthentiDate International AG ist akkreditierter Zertifizierungsdienst gemäß Signaturgesetz.

Meine Daten, Dokumente oder Rechnungen sind vertraulich. Ist die Vertraulichkeit meiner Daten gewährleistet?

Ja, die Vertraulichkeit Ihrer Daten ist gewährleistet. Die Prüfung der Signatur findet in einem akkreditierten und geprüften Trustcenter statt. Die Übermittlung der Daten erfolgt ausschließlich verschlüsselt (SSL 128 bit). Im Trustcenter wird der zur Signaturprüfung erforderliche Hash-Wert (digitale Fingerabdruck) des Dokumentes ermittelt und die Signaturprüfung durchgeführt. Dieser Vorgang läuft vollautomatisch ab, ohne dass Mitarbeiter oder Personen die Daten einsehen. Das Prüfergebnis wird ebenfalls verschlüsselt an Sie zurück übermittelt und in Ihrem Browser-Fenster angezeigt. Es werden weder Dokumente noch Prüfberichte im Trustcenter gespeichert.

Wofür wird das zurückgesendete Verifikationsprotokoll benötigt?

Das zurückgesendete Verifikationsprotokoll meldet die erfolgreiche Prüfung von 

Authentizität  (=dem Absender zugeordnet)

Identität  (=des Absenders)

Gültigkeit  (=zum Signaturzeitpunkt)

und stellt die geprüften Daten im Protokoll dar. Das zurückgesendete Verifikationsprotokoll muss dann gespeichert und unveränderlich archiviert werden.

Welche Bedeutung hat ein negatives Prüfergebnis?

Ein negatives Prüfergebnis bedeutet entweder, dass die mathematische Überprüfung der Signatur fehlgeschlagen ist oder dass die Zertifikatskette des Signaturzertifikats nicht erfolgreich geprüft werden konnte. Ein Fehlschlagen der mathematischen Prüfung deutet immer auf eine nachträgliche Veränderung der signierten Datei hin.

Was kann die Ursache für eine fehlgeschlagene Signaturprüfung sein?

Ursache dafür ist im Allgemeinen, dass die signierte Datei (Dokument, Rechnung, etc.) nach Erstellung der Signatur verändert wurde. Bitte prüfen Sie in jedem Fall zuerst die nachfolgenden Punkte:

a) Haben Sie die richtigen Daten zur Prüfung angegeben? Dokumente enden meist auf .pdf / .doc / .xls / .zip etc. Signatur Dateien enden entweder auf .ads oder .cms. Führen Sie mit diesen Daten die Prüfung nochmals durch.

b)  Eine häufige Ursache für ungültige Signaturen ist, dass das Dokument (z.B. PDF Datei) bei Erhalt oder Anzeige mit dem Befehl "Speichern unter?" gespeichert wurde. Dies verändert i.d.R. das Dokument und macht die Signatur ungültig. Wenn Sie das Dokument umbenennen wollen, speichern Sie es zuerst und benennen die Datei dann in der Dateiansicht (Explorer) um. Haben Sie trotzdem versehentlich das Dokument mit dem Befehl "Speichern unter?" abgelegt, müssen Sie die Signaturprüfung mit den ursprünglich erhaltenen Dateien (z.B. aus der original E-Mail) durchführen, oder Dokument und Signatur vom Versender erneut anfordern.

Kann ich das Prüf- bzw. Verifikationsergebnis auf meinem PC/System speichern?

Ja, das Verifikationsergebnis kann ausgedruckt und/oder als elektronischer Prüfbericht gespeichert werden. Damit kann das Ergebnis der Prüfung jederzeit elektronisch archiviert werden. Bitte beachten Sie unbedingt dazu auch die Hinweise im Prüfbericht.

Kann ich auch Signaturen prüfen, die ich bereits vor längerer Zeit erhalten habe?

Ja, eine qualifizierte Signatur kann grundsätzlich über einen längeren Zeitraum geprüft/verifiziert werden. Das Verifikationsergebnis wird nicht verfälscht, wenn eine Signatur erst mehrere Jahre nach der Signaturerstellung verifiziert wird. Bei der Verifikation wird geprüft, ob das Zertifikat - mit dem die betreffende Signatur erstellt wurde - zu dem Zeitpunkt gültig war, zu dem die Signatur erstellt wurde. Hierbei ist es natürlich nicht relevant, ob das Zertifikat zum Zeitpunkt der Verifikation gültig ist oder nicht. Alleine der Erstellungszeitpunkt der Signatur und die Gültigkeit des Zertifikats zu diesem bestimmten Zeitpunkt sind rechtlich relevant.