Rechnung per Email und die qualifizierte Signatur

[Aloaha]

Zitat:

"Der Originalzustand des übermittelten ggf. noch verschlüsselten Dokuments muss jederzeit überprüfbar sein."
[Ich muss also dafür sorgen, dass das gespeicherte Dateiformat auch noch in vielen Jahren bei einer Betriebsprüfung "lesbar" ist]

Mit PDF moeglich. PDF ist oeffentlich dokumentiert. Damit koennte man sich selbst in 1000 Jahren noch selbst einen PDF Viewer bauen!

Zitat:

"vor einer weiteren Verarbeitung der elektronischen Abrechnung die qualifizierte elektronische Signatur im Hinblick auf die Integrität der Daten und die Signaturberechtigung geprüft werden und das Ergebnis
dokumentiert wird;"
[Ich muss also vor einer "weiteren Verarbeitung" wie Ausdrucken oder Archivieren erst prüfen, ob die Signatur auch echt ist, und dies separat (auf Papier? in elektronischer Form?) dokumentieren]

Der Empfänger hat eine Rechnung auf Richtigkeit in Bezug auf
die Anforderungen zu überprüfen. Bei einer elektronischen Rechnung
muss weiter die digitale Signatur überprüft und das Ergebnis
dokumentiert werden.
Grundsätzlich ist ohne Bedeutung, ob der Rechnungsempfänger die
Herkunft und Unverfälschtheit der Rechnung überprüft. Wird dem
Rechnungsempfänger bspw. eine Rechnung per eMail übersendet,
kann er den Text der Rechnung problemlos lesen, da dieser nicht
verschlüsselt ist. Lediglich der Teil der Datei, der die elektronische
Signatur, also den verschlüsselten Hashwert enthält, ist ihm nicht
zugänglich. Er erkennt allerdings, dass der Rechnung ein
verschlüsselter Teil angefügt ist. Der Empfänger kann somit, soweit er
selbst Unternehmer ist und die abgerechneten Leistungen für sein
Unternehmen erbracht wurden, den ausgewiesenen - und lesbaren -
Umsatzsteuerbetrag als Vorsteuer berücksichtigen.
Nimmt der Rechnungsempfänger allerdings den Vorsteuerabzug
ohne Überprüfung der elektronischen Signatur vor und stellt sich
heraus, dass die elektronische Rechnung nicht ordnungsgemäß
erstellt wurde, zB. wenn der Rechnungsaussteller lediglich eine
einfache elektronische Signatur verwendet hat, trägt der Rechnungsempfänger
das Risiko, dass die Vorsteuer nicht abgezogen werden
darf. Ggf. ist dann der durchgeführte Vorsteuerabzug wieder
rückgängig zu machen.

Zitat:

"die Speicherung der elektronischen Abrechnung auf einem Datenträger erfolgt, der Änderungen nicht mehr zulässt."
[Ich müsste also jede eRechnung auf einem separaten, nicht wiederbeschreibbaren / änderbaren Datenträger speichern. Das auch noch in einem Datenformat, dass auch in Jahren noch lesbar ist (s.o.)]

Gute Programme bauen einen RFC3161 komformen Zeitstempel in das Dokument ein. Damit ist es ueberpruefbar unveraenderlich und es wird egal wo/wie es gespeichert wird!

Zitat:

"der Signaturprüfschlüssel aufbewahrt wird;"
[Ich muss also von jeder eigehenden eRechnung einen Signaturschlüssel aufbewahren]

Bei PKCS7 und bei PDF steckt der Schluessel im Dokument selbst! Also keine Panik auf der Titanic.


Es hoert sich also alles viel komplizierter an als es wirklich ist!

Stefan

[Aloaha]

Zitat:

Zitat von bosc

Da brenn ich die Original Rechnungen einmal alle halbe Jahre auf eine CD und gut ist, hoffe ich zumindest.

Oh nein. Du kannst ja den Inhalt der CD auf HD kopieren, aender und eine neue CD schreiben. Die ganzen CD Geschichten sind ein Geruecht. Ohne Zeitstempel (RFC 3161) wuerde ich da nichts riskieren!

Stefan

[Aloaha]

Zitat:

Zitat von uwe.h

Ich werde wahnsinnig ... das ist doch UNDURCHFÜHRBAR ... zumindest für 90% der mittelständischen Betriebe! Das Versenden MIT Signatur ist ja noch das kleinste Problem, aber der ERHALT und die o.g. Prüfungs- und Dokumentationspflichten ... wer ist bereit das zu machen?

Hat jemand Kontakt zur überregionalen Presse oder TV, um diesen Verwaltungswahn mal zu Thematisieren? ... DAS kann doch nicht sein!

Uwe

Ruhig Blut :-). Auch auf die Gefahr hin mich zu wiederholen.

Wenn PKCS7 oder PDF Signaturen benutzt werden.

- Steckt der Schluessel in der Datei
- Steckt das Zertifikat in der Datei

und wenn dann noch die ganze Signatur Zeitgestempelt ist kann JEDERZEIT in gueltiges Pruefprotokoll angefertigt werden. Ohne Zeitstempel sieht das natuerlich ganz anders aus.

Stefan

[Stuck Mojo]

Zitat:

Zitat von Aloaha

Diese Aussage ist schlicht und einfach falsch und ein vielfach verbreiteter Irrglaube. [...]

Dann erkläre mir mal, was SigG § 17 (Produkte für qualifizierte elektronische Signaturen) Absatz 4 bedeutet:

Zitat:

(4) Die Erfüllung der Anforderungen nach den Absätzen 1 und 3 Nr. 1 sowie der Rechtsverordnung
nach § 24 ist durch eine Stelle nach § 18 zu bestätigen. Zur Erfüllung der Anforderungen
nach den Absätzen 2 und 3 Nr. 2 und 3 genügt eine Erklärung durch den Hersteller des Produkts
für qualifizierte elektronische Signaturen. Der Hersteller hat spätestens zum Zeitpunkt des Inverkehrbringens
des Produkts eine Ausfertigung seiner Erklärung in schriftlicher Form bei der Regulierungsbehörde
für Telekommunikation und Post zu hinterlegen. Herstellererklärungen, die den
Anforderungen des Gesetzes und der Rechtsverordnung nach § 24 entsprechen, werden im Amtsblatt
der Regulierungsbehörde für Telekommunikation und Post veröffentlicht.

wo kommt nun der Irrglaube her?

Zitat:

Zitat von Aloaha

Man sollte sich jedoch immer bewusst sein das eine qualifizierte Signaturkarte wertvoll ist und diese a) sorgfaeltig verwahrt werden sollte und b) nur Software einer vertrauenswuerdigen Firma anvertraut wird.

hättest du alles gelesen, war dies genau das Thema auf das ich u.A. hinaus wollte.

Zitat:

Zitat von Aloaha

Das stimmt wieder nicht! Es koennen nicht alle Komponenten geprueft zertifiziert werden. Dann muesste das das OS selbst auch sein. Die Treiber, die Hardware/Prozessor usw.

...siehe SigG § 17 da stehen die Anforderungen drin.

Im übrigen finde ich es witzig, dass dein Namen mich an ein Produkt errinert, dass u.A. auch "qualifizierte" Signaturen in PDF-Dateien erstellen können soll und deren Verkäufer exakt die gleiche Meinung vertreten, wie du hier. Nämlich, dass die Software vollkommen egal ist. Problem ist dabei nur, dass ich mit genau diesen Aussagen im Gepäck vor diverser Zeit bei der BNetzagentur angerufen habe (über zig Ecken kommt man da wirklich an Kontaktdaten) und mir meine Zweifel an diesen deutlich bestätigt wurden!

Zitat:

Zitat von Aloaha

[...]und b) nur Software einer vertrauenswuerdigen Firma anvertraut wird.

...das Produkt an das ich mich erinerre hat für eine einzelne Signatur eines einzelnen PDF Dokumentes mehrfach nach meiner Pin gefragt... ist das vertrauenswürdig?

Gruß
Jan

[Aloaha]

Zitat:

Zitat von unclefu86

Ach nebenbei: Das mit der Gesundheitskarte wird ein ziemlicher Schwachsinn. Siehe CCC-Vortrag…

Ich war und bin eigentlich ein sehr grosser Fan vom CCC. Aber was ich dort gerade gelesen hat laesst mich doch an deren Verstandt zweifeln. Ich habe nie soviel geballte Unwissenheit in einem Vortrag gesehen.

Wir haben die erste HBA/eGK konforme Applikation entwickelt und sind damit schon seit Monaten auf dem Markt. Ich bin deshalb bestimmt nicht neutral.

Aber die HBAs/eGKs sind doch ganz einfach und schlicht ganz einfache Signaturkarten. Wenn die so teuflisch waeren dann bitte schmeisst alle ganz schnell eure Bankkarten weg.

Die HBAs/eGKs koennten schon seit einem Jahr ausgegeben werden wenn die Akzeptanz der Bevoelkerung da waere. Da fehlt es ganz einfach an fundierter Aufklaerung. Vielleicht wuerde es dann unserem Gesundheitssystem dann auch wieder ein wenig besser gehen :-)

Zitat:

Zitat von unclefu86

Unabhängig davon kann trotzdem was schief gehen, wenn man keinen Klasse 3 Reader hat und einem ein Trojaner oder sonstwas dazwischen geschmuggelt würde…

Bei Klasse 1 stimmt das. Klasse 2 sind aber genauso sicher. Die PIN verlaesst nie den Leser.

Zitat:

Zitat von unclefu86

Und das mit den 20 € pro Jahr ist doch wohl (leider) ein Mythos!!! Die Gesamtkosten liegen bei 200 €, weil es ja noch mehr als die Zertifikatskosten gibt! Außerdem weiß ich nicht, was passiert, wenn ich mal meine Karte / PIN verliere oder wenn sonst etwas ist, weswegen ich die Karte umtauschen muss! Ist das Zertifikat dann weg? (Und damit das Geld?)

Die Kosten liegen definitiv nicht bei 200 Euro/Jahr. Dann wuerde die ganze Geschichte wirklich keinen Sinn mehr machen. Wenn Karte/PIN weg dann Zertifikat definitiv auch weg. Deinen private Key gibt es NUR in der Karte und nirgendwo sonst. Der wird in der Karte generiert und kann die Karte nicht verlassen. Das ist doch auch gut so oder waehre es gut wenn der private key irgendwo archiviert wuerde?

Zitat:

Zitat von unclefu86

@Beitrag #91: Uwe.h, hier frage ich mich auch nochmals, was ist denn mit einem (eigentlich nötigen) Zeitstempelserver? Wer mietet den zu welchen Kosten an und wer bietet den denn auch an?! Das Thema ist ja sowieso dermaßen heikel, aber eigentlich wäre volle Sicherheit nur gegeben, wenn man zusätzlich zu den genannten Auflagen als Versender / Unterzeichner einen solchen für seine PKI betreibt! D.h. im Endeffekt dass jeder der keine eigene PKI hat (Privatleute, KMU wahrscheinlich!!), sowieso schon mal das gesamte Thema vergessen kann, oder? Was meinen die anderen?

Es gibt eine ganze Reihe von Anbietern. Aber Vorsicht. Viele sind NICHT 100%ig RFC konform und somit zeigt zum Beispiel der Adobe Reader solche Zeitstempel NICHT an! Immer vorher den Dienst testen.

Zitat:

Zitat von unclefu86

Ansonsten kann ich dir uwe.h nur sagen, dass du den Ausschnitt ja schon vorhin gepostet hast. Zum PDF-Format konkret: Ich denke schon, dass das ja DAS Archivierungsformat der Zukunft ist und wird! Oder gibt es hier Experten, die anderer Meinung sind?

Noe, ich stimme Dir 100% zu. :-)

Stefan

[Aloaha]

Zitat:

Zitat von Stuck Mojo

Dann erkläre mir mal, was SigG § 17 (Produkte für qualifizierte elektronische Signaturen) Absatz 4 bedeutet:
wo kommt nun der Irrglaube her?

Es ist nirgendswo definiert das eine Software akkreditiert werden MUSS!

Zitat:

Zitat von Stuck Mojo

hättest du alles gelesen, war dies genau das Thema auf das ich u.A. hinaus wollte.

Schon klar! Wie Du an meinen Postings siehst habe ich in der Tat ALLE postings sehr ausfuehrlich gelesen. Davon abgesehen ist man sowieso als Software Hersteller fuer seine Software haftbar. Nicht nur wenn man das deklariert.

Zitat:

Zitat von Stuck Mojo

...siehe SigG § 17 da stehen die Anforderungen drin.

Auch klar. Du wirst mir glauben das ich und diverse Anwaelte sich schon aus rein beruflichen Gruenden damit sehr gut befassen und befasst haben.

Zitat:

Zitat von Stuck Mojo

Im übrigen finde ich es witzig, dass dein Namen mich an ein Produkt errinert, dass u.A. auch "qualifizierte" Signaturen in PDF-Dateien erstellen können soll und deren Verkäufer exakt die gleiche Meinung vertreten, wie du hier.

Weshalb witzig. Ich bin Teil von Aloaha. Da gibt es nichts zu verbergen. Oder soll ich lieber ein Pseudonym benutzen?

Zitat:

Zitat von Stuck Mojo

Nämlich, dass die Software vollkommen egal ist. Problem ist dabei nur, dass ich mit genau diesen Aussagen im Gepäck vor diverser Zeit bei der BNetzagentur angerufen habe (über zig Ecken kommt man da wirklich an Kontaktdaten) und mir meine Zweifel an diesen deutlich bestätigt wurden!

Tja, die gute BNetzA. Die sollen sich erstmal endlich bemuehen ein 2048 Bit Root Certifikat zu erstellen. 1024 Bit wird ende 2007 ungueltig. Das ist nur noch ein gutes Jahr!

Bitte schreib Dir auf was ich jetzt sage. Die BNetzA wird es nicht schaffen ein 2048 Bit Zertifikat zu erstellen und deshalb einfach erklaeren das 1024 Bit ab 2008 doch nicht unsicher ist. LOL - sehr vertrauenserweckend wenn das kommt. Aber genau das wird vermutlich geschehen. Sehe ich zumindest so in der grossen Glaskugel.

Zitat:

...das Produkt an das ich mich erinerre hat für eine einzelne Signatur eines einzelnen PDF Dokumentes mehrfach nach meiner Pin gefragt... ist das vertrauenswürdig?

Das liegt dran. Es soll Leute geben die vertippen sich bei der PIN Eingabe schnell.

Stefan

[Stuck Mojo]

Zitat:

Zitat von Aloaha

Es ist nirgendswo definiert das eine Software akkreditiert werden MUSS!

Habe ich das geschrieben? Oder wo steht das? Für mich ist dieser Satz ziemlich klar:

Zitat:

Zur Erfüllung der Anforderungen nach den Absätzen 2 und 3 Nr. 2 und 3 genügt eine Erklärung durch den Hersteller des Produkts für qualifizierte elektronische Signaturen.

...

Zitat:

Zitat von Aloaha

Schon klar! Wie Du an meinen Postings siehst habe ich in der Tat ALLE postings sehr ausfuehrlich gelesen.[...]

hatte früh angefangen zu antworten, so dass ich deine nachgezogenen Antworten erst im Nachhinein gelesen hatte. (sah mir zu beginn extrem nach Gurilla Marketing aus )

Zitat:

Zitat von Aloaha

Weshalb witzig. Ich bin Teil von Aloaha. Da gibt es nichts zu verbergen. Oder soll ich lieber ein Pseudonym benutzen?

nein, konnte ich ja auch nur raten

Zitat:

Zitat von Aloaha

Tja, die gute BNetzA. Die sollen sich erstmal endlich bemuehen ein 2048 Bit Root Certifikat zu erstellen. 1024 Bit wird ende 2007 ungueltig. Das ist nur noch ein gutes Jahr!

Bitte schreib Dir auf was ich jetzt sage. Die BNetzA wird es nicht schaffen ein 2048 Bit Zertifikat zu erstellen und deshalb einfach erklaeren das 1024 Bit ab 2008 doch nicht unsicher ist. LOL - sehr vertrauenserweckend wenn das kommt. Aber genau das wird vermutlich geschehen. Sehe ich zumindest so in der grossen Glaskugel.

die BNetzA hat mir nur das bestätigt, was ich mir auch dachte. Den Einsatz einer Software, die erstmal die mehrfache Pineingabe erfordert (die mit 100prozentiger Sicherheit nicht falsch war) und zu der keine Herstellererklärung vorliegt, sollte man sich seeehr gut überlegen.
Wobei ich dir mit dem Ganzen Zertifikatskram bei denen Zustimmen muss... ein wildes durcheinander. Zu den Schlüssellängen kann ich nichts sagen, da ich da nicht vom Fach bin

Das Ganze ist allerdings auch schon eine Weile her... so August '05 - da kann sich an der Software ja einiges geändert haben. Allerdings kann man auch seit dem immernoch keine Herstellererklärung, weder auf euren Seiten, noch auf der BNetzA-Seite finden (ich weiß, die sind nicht wirklich immer aktuell).

Gruß
Jan

[Aloaha]

Zitat:

Zitat von Stuck Mojo

hatte früh angefangen zu antworten, so dass ich deine nachgezogenen Antworten erst im Nachhinein gelesen hatte. (sah mir zu beginn extrem nach Gurilla Marketing aus )

Nein, um Gottes Willen nicht. Aber ich bin da in einer Zwickmuehle. Einerseits koennte ich ein Pseudonym benutzen und dann weiss keiner das ich gewissermassen vom Fach bin oder aber ich lasse erkennen wer ich bin und dann sieht das wie Schleichwerbung aus. In diesem Fall dachte ich die Schleichwerbung waere das kleinste Uebel.

Es ist doch Fakt das in Sachen digitaler Signatur ganz einfach das Chaos vorherrscht. Kaum jemand weiss genau wie man die ganzen Vorschriften und Gesetze auslegen soll/muss. Solange da kein Licht in den Dschungel gebracht wird sieht es fuer den kleinen Mann immer schlecht aus. Grosse Firmen haben Ihre Anwaelte die alles mal kurz abklopfen. Kleine Leute stehen im Zweifelsfall mit einem Bein im Knast. Weshalb muessen in DE Vorschriften/Gesetze immer so undeutlich sein? Tse Tse Tse. Andere Laender sind da besser dran.

Zitat:

Zitat von Stuck Mojo

die BNetzA hat mir nur das bestätigt, was ich mir auch dachte. Den Einsatz einer Software, die erstmal die mehrfache Pineingabe erfordert (die mit 100prozentiger Sicherheit nicht falsch war) und zu der keine Herstellererklärung vorliegt, sollte man sich seeehr gut überlegen.

Die Person bei der BNetzA am Telefon wird im Zweifelsfall am Telefon immer eine Antwort geben die auf der sicheren Seite ist. Das heisst jedoch nicht das die Antwort 100%ig korrekt ist.

Ich gebe auch zu das wir in der Tat einmal einen Bug hatten der die PIN 3x abfragte. Signaturen koennen verschieden lang sein. Aloaha muss jedoch schon vor dem Signieren die Laenge wissen. Bei dem Bug schlug die Laengenberechnung fehl. Als Fallback gab es eine Funktion die dann eine Dummy Signatur erstellt hat um die Laenge daran zu messen. Bei einigen Zertifikaten schlug die Laengenberechnung fehl und die Fallback Funktion sprang ein. Es gibt aber schon seit Ewigkeiten diese Laengenberechnung nicht mehr und damit auch die Fallback Funktion nicht mehr.

Zitat:

Zitat von Stuck Mojo

Wobei ich dir mit dem Ganzen Zertifikatskram bei denen Zustimmen muss... ein wildes durcheinander. Zu den Schlüssellängen kann ich nichts sagen, da ich da nicht vom Fach bin

Ganz schlimm ist es meines Erachtens das deutsche akkreditierte Signaturen keinem international gebraeuchlichen Standard entsprechen. Das Resultat ist folgendes. Deutsche Signaturen werden im Ausland und bei Standard Software als ungueltig angezeigt obwohl sie gueltig sind. Es kann zum Beispiel sein das das Root Zertifikat des Benutzer Zertifikates abgelaufen ist. Windows Programme wie Outlook, Adobe etc zeigen dann gleicht die rote Flagge (was auch so sein sollte). Allerdings ist es leider in DE normal/erlaubt/so definiert.

Ich moechte nun auch nicht ueber den Sinn oder Unsinn der deutschen Zertifikate diskutieren. Die muessen die Deutschen nun mal so schlucken. Aber foerdern wird das sicherlich die Akzeptanz NICHT!

Zitat:

Zitat von Stuck Mojo

Das Ganze ist allerdings auch schon eine Weile her... so August '05 - da kann sich an der Software ja einiges geändert haben. Allerdings kann man auch seit dem immernoch keine Herstellererklärung, weder auf euren Seiten, noch auf der BNetzA-Seite finden (ich weiß, die sind nicht wirklich immer aktuell).

Wir betrachten Herstellererklaerungen als Marketing. Es haben auch nur die oben erwaehnten kleinen Leute damit Probleme. Grosse Firmen klopfen unsere Software mit ihren Anwaelten ab und sind dann zufrieden.

Nichts desto Trotz werden wir bald ein Tool mit Erklaerung auf den Markt bringen. Ganz einfach um diese Unsicherheit von den Leuten zu nehmen. Das Tool wird aber NUR die D-Sign multicard zusammen mit PC/SC 2 Lesern unterstuetzen. Multicard deshalb weil es momentan die einzige Karte mit secure PIN caching ist. Sobald es andere Karten gibt werden die dann aber auch unterstuetzt werden.

Gruss
Stefan

[Sven]

Zitat:

Zitat von Aloaha

Der Empfänger hat eine Rechnung auf Richtigkeit in Bezug auf
die Anforderungen zu überprüfen. Bei einer elektronischen Rechnung
muss weiter die digitale Signatur überprüft und das Ergebnis
dokumentiert werden.
Grundsätzlich ist ohne Bedeutung, ob der Rechnungsempfänger die
Herkunft und Unverfälschtheit der Rechnung überprüft. Wird dem
Rechnungsempfänger bspw. eine Rechnung per eMail übersendet,
kann er den Text der Rechnung problemlos lesen, da dieser nicht
verschlüsselt ist. Lediglich der Teil der Datei, der die elektronische
Signatur, also den verschlüsselten Hashwert enthält, ist ihm nicht
zugänglich. Er erkennt allerdings, dass der Rechnung ein
verschlüsselter Teil angefügt ist. Der Empfänger kann somit, soweit er
selbst Unternehmer ist und die abgerechneten Leistungen für sein
Unternehmen erbracht wurden, den ausgewiesenen - und lesbaren -
Umsatzsteuerbetrag als Vorsteuer berücksichtigen.
Nimmt der Rechnungsempfänger allerdings den Vorsteuerabzug
ohne Überprüfung der elektronischen Signatur vor und stellt sich
heraus, dass die elektronische Rechnung nicht ordnungsgemäß
erstellt wurde, zB. wenn der Rechnungsaussteller lediglich eine
einfache elektronische Signatur verwendet hat, trägt der Rechnungsempfänger
das Risiko, dass die Vorsteuer nicht abgezogen werden
darf. Ggf. ist dann der durchgeführte Vorsteuerabzug wieder
rückgängig zu machen.

Der Text kommt mir doch irgendwie bekannt vor
Von daher verweise ich an dieser Stelle auch noch mal auf die Linkliste Steuerrecht in meiner Signatur

oder einfach den Direktlink zur Datei
Ernst & Young: Steuern transparent - Die elektronische Signatur (22.06.2006)

[Aloaha]

Jau,

den Text gibt es fast ueberall. Auch bei Wiesinger und Schenk (wis.de).

Ich habe den Text von Wiesinger und Schenk noch viel eher als dem 22.6 bekommen :-)

Stefan

[Sven]

interessant zu wissen wer alles von wem abkupfert.

[Aloaha]

Zitat:

Zitat von Sven

interessant zu wissen wer alles von wem abkupfert.

Das stimmt :-). Wahrscheinlich findet man diverse Textpassagen noch X-Mal im Netz. Jedenfalls kam mir das ganze PDF Dokument sehr bekannt vor.

Stefan

[tom-tom]

Hi,

ein sehr interessanter Beitrag... hier.. aber das ganze geht ja eigentlich noch weiter.
Sowie ich das verstanden habe, muss/sollte oder was auch immer die entsprechende Kommunikation (z.b. EMail) auch revisionssicher archiviert werden.

Jetzt nutzen wir aber eine selbst geschriebene E-Mail -Lösung und halten die Daten dort vor.... andere speichern das in Outlook oder Thunderbird.

Wenn ich das hier : http://www.project-consult.net/portal.asp?sr=497
richtig gelesen habe, müsste dann aber die E-Mail auch noch einmal signiert(?) oder zu mindestens archiviert werden.... oder ist Thunderbird ein Archiv? Aber das ist doch nicht revisionssicher...

Wenn ich den Gedanken weiterspinne wäre das nur revisionssicher, wenn es schon signiert geschickt würde. Das bedeutet, dass alle geschäftsrelevanten Kommunikationen per E-Mail/Kontaktdatenbanken! etc. sofort eine Signatur bekommen müssten und dann revisionssicher archiviert werden sollen...?

Was ist die Konsequenz, wenn eine E-Mail mit Rechnungsanhang nicht revisionssicher gespeichert wird... denn anscheinend würde der Anhang allein nicht ausreichen und kein Steuerprüfer glaubt das, wenn man behauptet einen Datenträger erhalten zu haben.

Ähnliches Problem beim Download... ich sage dann dem Kunden da ist Dein Download und schicke ihm keinen Link???
Fragen über Fragen... je länger ich mich damit auseinandersetze je attraktiver wird die Postlösung

Dort ist eine Papierrechnung gleich eine Papierrechnung...

[DomPromo]

Hallo,

ich möchte die Software digiseal Reader von www.secrypt.de zum überprüfen von signierten Rechnungen benutzen.
Im Programm unter Optionen / Einstellungen Online-Dienste / Zeitstempel kann man einen Server für einen Zeitstempeldienst eintragen.
Muss ich hier einen Server eintragen, damit qualifizierte elektronische Signaturen korrekt geprüft werden?
Wenn ja, welchen Zeitstempelserver kann ich hier eintragen, der korrekt arbeitet?

Schöne Grüße
DomPromo

[rami8585]

Also ich verstehe hier die ganze Diskussion irgendwie nicht.

Ich schreibe meine Rechnungen als PDF, speicher sie ab und versende sie an meine Kunden. Natürlich mit allen Infos wie Steuernummer, Bankverbindung etc...

Die Hauptsache ist doch:

1) Der Kunde kann an der Rechnung nichts ändern - wenn er es doch will dann kriegt er´s auch irgendwie hin, klar. Aber er betrügt dann das FA, das könnte er dann aber auch ohne meine Rechnung.

2) Der Kunde erhält die Rechnung schneller. In jeder meiner Online-Rechnungen steht ausführlich dran, dass auf Wunsch die Rechnung auch auf Papier per Post zugesandt wird. Dh. der Kunde hat die Möglichkeit, diese per Post anzufordern.

...und bisher hatte ich noch nie Probleme damit.

Also - wo ist denn nun das Problem ?