E-Rechnungsverordnung

Was Sie über elektronische Rechnungsstellung wissen müssen

10.08.2021
Von    und  IDG ExpertenNetzwerk
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Gerrit Feuerherdt ist Rechtsanwalt bei der Luther Rechtsanwaltsgesellschaft mbH und berät schwerpunktmäßig im IT- und Datenschutzrecht und zu Fragen der Digitalisierung. Er studierte Rechtswissenschaften an der Universität zu Köln mit dem Schwerpunkt Geistiges Eigentum und Wettbewerbsrecht.
Die E-Rechnungsverordnung des Bundes wird bald verpflichtend. Lesen Sie, was dahintersteckt und worauf sich Unternehmen einstellen müssen.
Mit Verabschiedung der E-Rechnungsverordnung verfolgt die Bundesregierung ihre Digitalstrategie weiter, mit der die Verwaltung modernisiert und Bürokratie abgebaut werden soll.
Mit Verabschiedung der E-Rechnungsverordnung verfolgt die Bundesregierung ihre Digitalstrategie weiter, mit der die Verwaltung modernisiert und Bürokratie abgebaut werden soll.
Foto: Andrey_Popov - shutterstock.com

XRechnung, CEN-Datenmodell und ZUGFeRD - das sind Begriffe, die zukünftig jedem Unternehmer, der mit der öffentlichen Hand zusammenarbeitet, etwas sagen sollten. In diesem Artikel erfahren Sie, was sich dahinter verbirgt und wie die E-Rechnungsverordnung aus rechtlicher Sicht zu beurteilen ist.

Was bringt die E-Rechnungsverordnung?

Hintergrund für die Veränderung ist die Verordnung über die elektronische Rechnungsstellung im öffentlichen Auftragswesen des Bundes - die E-Rechnungsverordnung (E-Rech-VO) der Bundesregierung. Sie wurde bereits am 6. September 2017 verabschiedet und regelt die Abrechnung von Leistungen nach Erfüllung öffentlicher Aufträge. Seit dem 27. November 2020 ist demnach die elektronische Rechnungsstellung und -übermittlung für alle Unternehmer, die im Auftrag des Bundes tätig werden, Pflicht. Die Verordnung beruht auf einem deutschen Gesetz, das aber letztlich europäische Vorgaben umsetzen soll.

Kernelement der elektronischen Rechnung ist ein strukturiertes elektronisches Format, das die automatische Verarbeitung des Dokuments ermöglicht. PDF-Dateien, Bilddokumente und eingescannte Papierrechnungen sind damit ausgeschlossen. Die Rechnung muss in dem Format ausgestellt und übermittelt werden, wofür jedoch auch ein entsprechender Dienstleister eingesetzt werden kann. Ausnahmen gelten lediglich für Rechnungen, die nach Erfüllung eines Direktauftrags bis zu einem Betrag von 1.000 Euro gestellt werden, bestimmte Verteidigungs- und sicherheitsspezifische Aufträge betreffen oder im Rahmen von Organleihen gestellt werden.

Wie wird die E-Rechnung weiterverarbeitet?

Neben der Pflicht zur elektronischen Rechnungsstellung für Unternehmer regelt die Verordnung auch die Pflicht für öffentliche Stellen, elektronische Rechnungen anzunehmen und weiterzuverarbeiten. Diesbezüglich tritt die Verordnung gestaffelt in Kraft: Für die obersten Bundesbehörden und Verfassungsorgane des Bundes gilt sie seit dem 27. November 2018; die übrigen Bundesbehörden sind seit dem 27. November 2019 verpflichtet.

Für Unternehmer bedeutet das, dass sie nach Erfüllung eines öffentlichen Auftrags die Rechnung bereits vor Inkrafttreten der generellen Verpflichtung elektronisch stellen dürfen. Dabei darf die entsprechende Verwaltungsstelle diese ab dem jeweiligen Zeitpunkt nicht zurückweisen. Das Bundesministerium des Innern (BMI) hat zusammen mit der Freien Hansestadt Bremen und den Bundesländern NRW und Rheinland-Pfalz bereits Referenzprozesse zur Einführung der E-Rechnung entworfen.

Wie läuft die elektronische Rechnungsausstellung?

Für das Format sieht die Verordnung grundsätzlich den nationalen Datenaustauschstandard XRechnung vor. Hierbei handelt es sich nicht um ein eigenständiges Dateiformat, sondern um ein Datenmodell, welches im Juni 2017 vom IT-Planungsrat als maßgeblich für die Umsetzung der europäischen Vorgaben festgelegt wurde und auf XML basiert. Dadurch wird insbesondere das von der Richtlinie geforderte Kriterium der Interoperabilität erfüllt.

Zudem ist der Standard XRechnung grundsätzlich technologieneutral und ohne Lizenzkosten einsetzbar. Dadurch kann dieser Standard bei Bedarf sowohl tiefgehend angepasst in die IT-Landschaft und in die gängigen Rechnungsprozesse eines Unternehmens oder nur rudimentär im Rahmen kostenfreier Produkte integriert werden. Letztere Variante dürfte aus Kostengründen insbesondere für KMU von Interesse sein.

Neben der grundsätzlichen Pflicht zur Nutzung der XRechnung sieht die Verordnung auch die Möglichkeit vor, eine andere Norm zu nutzen, wobei aus dieser Formulierung schon ersichtlich wird, dass XRechnung bevorzugt verwendet werden sollte. Die alternativ genutzte Norm muss den europäischen Vorgaben genügen, das heißt, sie muss insbesondere auch interoperabel sein.

Die europäischen Anforderungen an das Datenmodell ergeben sich aus der Definition des Europäischen Komitees für Normung CEN (Comité Européen de Normalisation). Dort bietet sich als Alternative zur XRechnung insbesondere ZUGFeRD an. Dabei handelt es sich um ein Dokumentenformat, das aus zwei Bestandteilen besteht. Es kombiniert die visuelle Darstellung der Rechnung (als PDF) und die maschinenlesbare strukturierte Darstellung der Daten (als XML).

Allen vorgenannten Datenaustauschstandards gemein ist, dass sie mit verschiedenen, vereinheitlichten Datenfeldern arbeiten, um einen elektronischen Austausch von Rechnungen automatisiert durchführen zu können. Neben Feldern für den Absender und dessen Rechnungsdaten (Auftragsnummer, Zahlungsbedingungen, Bankverbindung, etc.) gehört unter anderem auch die sogenannte Leitweg-ID zu den zwingend auszufüllenden Datenfeldern. Die Leitweg-ID ermöglicht die Weiterleitung der Rechnung durch die Zentrale Rechnungseingangsplattform des Bundes an die jeweilige Bundesbehörde, die die Rechnungsempfängerin ist. Dabei kann eine Behörde auch mehrere Leitweg-IDs besitzen, sofern innerhalb ihrer Organisationsstruktur verschiedene verantwortliche Stellen für Beauftragung und Zahlung existieren. Rechnungssteller sollten daher auf die Angabe der korrekten Leitweg-ID achten., insbesondere bei mehreren Aufträgen für dieselbe Behörde. Die korrekte Leitweg-ID kann grundsätzlich dem jeweiligen Auftrag entnommen werden, sie kann aber im Zweifel (z. B. bei älteren Aufträgen) auch direkt bei der Behörde angefragt werden. Manche Behörden veröffentlichen ihre Leitweg-IDs auch auf ihrer Website (so beispielsweise die Bundesnetzagentur).

Wie geht E-Rechnungsübermittlung?

Die Rechnungsübermittlung muss zwingend über ein Verwaltungsportal des Bundes erfolgen. Als Unternehmer muss man sich mit einem Nutzerkonto beim Verwaltungsportal registrieren, wodurch eine eindeutige und schnelle Zuordnung der elektronischen Rechnungen erfolgen soll. Zudem soll der Eingang sowie die formelle Fehlerhaftigkeit einer eingereichten E-Rechnung automatisiert erkannt und der Rechnungssteller hierüber benachrichtigt werden.

Wo greift die E-Rechnungsverordnung?

Die E-Rechnungsverordnung gilt nur für den Bereich des Bundes. Die Bundesländer und damit auch die Kommunen werden nicht erfasst. Vielmehr müssen die Länder die europäischen Vorgaben zur E-Rechnung individuell umsetzen. Auch hier wird in der Regel XRechnung als Standardformat vorgegeben.
Stichtag war der 18. April 2020. Mittlerweile haben alle Länder entsprechende Umsetzungen vorgenommen, in der Regel in einem eigenen E-Government-Gesetz und jeweiliger Rechtsverordnung. Einige Länder haben sich auch an das Verwaltungsportal des Bundes angeschlossen. Lediglich in Hamburg ist die Übermittlung der Rechnung (als PDF) nur per E-Mail möglich. In vielen Bundesländern ist auch eine Übermittlung über DE-Mail möglich.

Was bedeutet das für Datenschutz und -sicherheit?

Solange das Verwaltungsportal des Bundes noch nicht einsatzbereit oder zwingend zu nutzen ist, beziehungsweise die Länder auch alternative Übermittlungswege (etwa E-Mail) zulassen, stellt sich bei der Übermittlung von Rechnungen die Frage, welche technischen und gesetzlichen Vorgaben zu beachten sind. Insbesondere werden hier Aspekte der Datensicherheit und des Datenschutzes relevant, sofern in der E-Rechnung personenbezogene Daten enthalten sind - wovon in der Regel ausgegangen werden kann.

An dieser Stelle wirkt sich die Datenschutzgrundverordnung (DSGVO) aus, die angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten fordert. Angesichts der sich stetig zuspitzenden Gefahrenlage auf dem Feld der Cybersecurity sind solche Maßnahmen unerlässlich, um die Vertraulichkeit und Integrität der Daten zu schützen und datenschutzkonform zu agieren.

Eine mögliche Maßnahme stellt zum Beispiel Verschlüsselung dar. Hierbei handelt es sich um ein kryptografisches Verfahren, mit dessen Hilfe der Zugriff Unberechtigter eingeschränkt werden soll. Man unterscheidet die Transportverschlüsselung und die Ende-zu-Ende-Verschlüsselung. Bei der Transportverschlüsselung liegen die Daten beim Sender und beim Empfänger unverschlüsselt vor. Lediglich während des Übertragungsvorgangs werden die Daten verschlüsselt.

Sie können aber sowohl beim Sender als auch beim Empfänger dem Zugriff eines Unberechtigten ausgesetzt sein, wie zum Beispiel bei einem Hackerangriff. Ein höheres Maß an Sicherheit bietet die Ende-zu-Ende-Verschlüsselung, bei der die Daten auch beim Sender und Empfänger verschlüsselt werden. Die Ende-zu-Ende-Verschlüsselung hat aber auch bedeutende Nachteile: Sie ist kostenintensiver und bedarf der vorherigen Abstimmung mit den Kommunikationspartnern, da es hier verschiedene technische Standards gibt, die untereinander nicht kompatibel sind.

Die Notwendigkeit der verschlüsselten Kommunikation und der anzuwendende Grad an Sicherheit ist unter Experten umstritten. Einigkeit herrscht aber über den Punkt, dass sich Transportverschlüsselung mittlerweile als Mindeststandard etabliert hat und dementsprechend auch angewandt werden sollte, wenn Dokumente, die personenbezogene Daten enthalten, elektronisch übermittelt werden. Darüber hinaus kann bei erhöhtem Schutzbedarf (beispielsweise bei Gesundheitsdaten) auch eine Ende-zu-Ende-Verschlüsselung geboten sein.

Die Folgen der E-Rechnungsverordnung

Mit Verabschiedung der E-Rechnungsverordnung verfolgt die Bundesregierung ihre Digitalstrategie weiter. Eines der Handlungsfelder zur Verwirklichung dieser Strategie ist die Verwaltungsmodernisierung und der daraus folgende Bürokratieabbau. Mit der Einführung der Pflicht zur elektronischen Rechnungsstellung geht die Bundesregierung über die von der europäischen Richtlinie geforderten Maßnahmen hinaus, die lediglich eine Pflicht der Verwaltung zur Entgegennahme von elektronischen Rechnungen vorgibt. Gleichwohl kann die Verpflichtung zur E-Rechnung die Entwicklung eines einheitlichen Standards in den Unternehmen fördern und so auch die elektronische Rechnungsstellung von Unternehmern untereinander vereinfachen.

Dies könnte neben den offensichtlichen Kosteneinsparungen bei der Rechnungsstellung auch die Optimierung von Unternehmensprozessen mit sich bringen und so positive Effekte für die Wirtschaft erzielen. So können die Dauer sowohl der Bearbeitung als auch der Zahlung einer Rechnung unter Umständen erheblich verkürzt und auf diese Weise der Cashflow und die Liquidität des Unternehmens gefördert werden.

Insbesondere mit Blick auf die derzeitige Corona-Krise und dem daraus resultierenden Zwang, die firmeninternen Prozesse (wie beispielsweise Kommunikation und Kollaboration) weiter zu digitalisieren, bietet es sich an, auch die Einführung der E-Rechnung in Angriff zu nehmen, um Synergiepotenziale, zum Beispiel auch im Zusammenhang mit digitaler Archivierung zu nutzen.

Bei der Umsetzung der E-Rechnungsverordnung sollten Unternehmen aber auch die gesetzlichen Vorgaben zum Datenschutz sowie zur IT-Sicherheit stets im Blick haben. Anderenfalls drohen nicht nur öffentlichkeitswirksame Datenpannen, sondern gegebenenfalls auch Bußgelder und Schadensersatzansprüche. (jd/bw)