E-Rechnungsverordnung

Was Sie über elektronische Rechnungsstellung wissen müssen

18.09.2019
Von    und
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Die E-Rechnungsverordnung des Bundes wird bald verpflichtend. Lesen Sie, was dahintersteckt und worauf sich Unternehmen einstellen müssen.

XRechnung, CEN-Datenmodell und ZUGFeRD - das sind Begriffe, die zukünftig jedem Unternehmer, der mit der öffentlichen Hand zusammenarbeitet, etwas sagen sollten. In diesem Artikel erfahren Sie, was sich dahinter verbirgt und wie die E-Rechnungsverordnung aus rechtlicher Sicht zu beurteilen ist.

Mit Verabschiedung der E-Rechnungsverordnung verfolgt die Bundesregierung ihre Digitalstrategie weiter, mit der die Verwaltung modernisiert und Bürokratie abgebaut werden soll.
Mit Verabschiedung der E-Rechnungsverordnung verfolgt die Bundesregierung ihre Digitalstrategie weiter, mit der die Verwaltung modernisiert und Bürokratie abgebaut werden soll.
Foto: Andrey_Popov - shutterstock.com

Was bringt die E-Rechnungsverordnung?

Hintergrund für die Veränderung ist die Verordnung über die elektronische Rechnungsstellung im öffentlichen Auftragswesen des Bundes - die E-Rechnungsverordnung (E-Rech-VO) der Bundesregierung. Sie wurde bereits am 6. September 2017 verabschiedet und regelt die Abrechnung von Leistungen nach Erfüllung öffentlicher Aufträge. Ab dem 27. November 2020 wird demnach die elektronische Rechnungsstellung und -übermittlung für alle Unternehmer, die im Auftrag des Bundes tätig werden, Pflicht. Die Verordnung beruht auf einem deutschen Gesetz, das aber letztlich europäische Vorgaben umsetzen soll.

Kernelement der elektronischen Rechnung ist ein strukturiertes elektronisches Format, das die automatische Verarbeitung des Dokuments ermöglicht. PDF-Dateien, Bilddokumente und eingescannte Papierrechnungen sind damit ausgeschlossen. Die Rechnung muss in dem Format ausgestellt und übermittelt werden, wofür jedoch auch ein entsprechender Dienstleister eingesetzt werden kann. Ausnahmen gelten lediglich für Rechnungen, die nach Erfüllung eines Direktauftrags bis zu einem Betrag von 1.000 Euro gestellt werden, bestimmte Verteidigungs- und sicherheitsspezifische Aufträge betreffen oder im Rahmen von Organleihen gestellt werden.

Wie wird die E-Rechnung weiterverarbeitet?

Neben der Pflicht zur elektronischen Rechnungsstellung für Unternehmer regelt die Verordnung auch die Pflicht für öffentliche Stellen, elektronische Rechnungen anzunehmen und weiterzuverarbeiten. Diesbezüglich tritt die Verordnung gestaffelt in Kraft: Für die obersten Bundesbehörden und Verfassungsorgane des Bundes gilt sie seit dem 27. November 2018; die übrigen Bundesbehörden werden ab dem 27. November 2019 verpflichtet. Für Unternehmer bedeutet das, dass sie nach Erfüllung eines öffentlichen Auftrags die Rechnung bereits vor Inkrafttreten der generellen Verpflichtung elektronisch stellen dürfen. Dabei darf die entsprechende Verwaltungsstelle diese ab dem jeweiligen Zeitpunkt nicht zurückweisen. Das Bundesministerium des Innern (BMI) hat zusammen mit der Freien Hansestadt Bremen und den Bundesländern NRW und Rheinland-Pfalz bereits Referenzprozesse zur Einführung der E-Rechnung entworfen.

Wie läuft die elektronische Rechnungsausstellung?

Für das Format sieht die Verordnung grundsätzlich den nationalen Datenaustauschstandard XRechnung vor. Hierbei handelt es sich nicht um ein eigenständiges Dateiformat, sondern um ein Datenmodell, welches im Juni 2017 vom IT-Planungsrat als maßgeblich für die Umsetzung der europäischen Vorgaben festgelegt wurde und auf XML basiert. Dadurch wird insbesondere das von der Richtlinie geforderte Kriterium der Interoperabilität erfüllt.

Zudem ist der Standard XRechnung grundsätzlich technologieneutral und ohne Lizenzkosten einsetzbar. Dadurch kann dieser Standard bei Bedarf sowohl tiefgehend angepasst in die IT-Landschaft und in die gängigen Rechnungsprozesse eines Unternehmens oder nur rudimentär im Rahmen kostenfreier Produkte integriert werden. Letztere Variante dürfte aus Kostengründen insbesondere für KMU von Interesse sein.

Neben der grundsätzlichen Pflicht zur Nutzung der XRechnung sieht die Verordnung auch die Möglichkeit vor, eine andere Norm zu nutzen, wobei aus dieser Formulierung schon ersichtlich wird, dass XRechnung bevorzugt verwendet werden sollte. Die alternativ genutzte Norm muss den europäischen Vorgaben genügen, das heißt sie muss insbesondere auch interoperabel sein. Die europäischen Anforderungen an das Datenmodell ergeben sich aus der Definition des Europäischen Komitees für Normung CEN (Comité Européen de Normalisation). Hier bietet sich als Alternative zur XRechnung insbesondere ZUGFeRD an. Dabei handelt es sich um ein Dokumentenformat, das aus zwei Bestandteilen besteht. Es kombiniert die visuelle Darstellung der Rechnung (als PDF) und die maschinenlesbare strukturierte Darstellung der Daten (als XML).

Wie geht E-Rechnungsübermittlung?

Die Rechnungsübermittlung muss zwingend über ein Verwaltungsportal des Bundes erfolgen, welches sich momentan allerdings noch im Aufbau befindet. Als Unternehmer muss man sich mit einem Nutzerkonto beim Verwaltungsportal registrieren, wodurch eine eindeutige und schnelle Zuordnung der elektronischen Rechnungen erfolgen soll. Zudem soll der Eingang sowie die formelle Fehlerhaftigkeit einer eingereichten E-Rechnung automatisiert erkannt und der Rechnungssteller hierüber benachrichtigt werden.

Wo greift die E-Rechnungsverordnung?

Die E-Rechnungsverordnung gilt nur für den Bereich des Bundes. Die Bundesländer und damit auch die Kommunen werden nicht erfasst. Vielmehr müssen die Länder die europäischen Vorgaben zur E-Rechnung individuell umsetzen. Auch hier wird in der Regel XRechnung als Standardformat vorgegeben. Allerdings ist bereits abzusehen, dass abweichende Ausnahmen für den Verzicht auf eine elektronische Rechnung sowie unterschiedliche Übermittlungslösungen angeboten werden. Zu diesen Lösungen kann unter anderem auch E-Mail oder DE-Mail zählen. Für alle Länder gleich ist jedoch der Zeitrahmen der Umsetzung: Grundsätzlich müssen bis zum 18. April 2020 ausreichende gesetzliche Regelungen zur E-Rechnung geschaffen werden. Diese dürften in der Regel in die jeweiligen E-Government-Gesetze und eigene Rechtsverordnungen aufgenommen werden.

Was bedeutet das für Datenschutz und -sicherheit?

Solange das Verwaltungsportal des Bundes noch nicht einsatzbereit oder zwingend zu nutzen ist, beziehungsweise die Länder auch alternative Übermittlungswege (etwa E-Mail) zulassen, stellt sich bei der Übermittlung von Rechnungen die Frage, welche technischen und gesetzlichen Vorgaben zu beachten sind. Insbesondere werden hier Aspekte der Datensicherheit und des Datenschutzes relevant, sofern in der E-Rechnung personenbezogene Daten enthalten sind - wovon in der Regel ausgegangen werden kann. An dieser Stelle wirkt sich die Datenschutzgrundverordnung (DSGVO) aus, die angemessene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten fordert. Angesichts der sich stetig zuspitzenden Gefahrenlage auf dem Feld der Cybersecurity sind solche Maßnahmen unerlässlich, um die Vertraulichkeit und Integrität der Daten zu schützen und datenschutzkonform zu agieren.

Eine mögliche Maßnahme stellt zum Beispiel Verschlüsselung dar. Hierbei handelt es sich um ein kryptografisches Verfahren, mit dessen Hilfe der Zugriff Unberechtigter eingeschränkt werden soll. Man unterscheidet die Transportverschlüsselung und die Ende-zu-Ende-Verschlüsselung. Bei der Transportverschlüsselung liegen die Daten beim Sender und beim Empfänger unverschlüsselt vor. Lediglich während des Übertragungsvorgangs werden die Daten verschlüsselt. Sie können aber sowohl beim Sender als auch beim Empfänger dem Zugriff eines Unberechtigten ausgesetzt sein, wie zum Beispiel bei einem Hackerangriff. Ein höheres Maß an Sicherheit bietet die Ende-zu-Ende-Verschlüsselung, bei der die Daten auch beim Sender und Empfänger verschlüsselt werden. Die Ende-zu-Ende-Verschlüsselung hat aber auch bedeutende Nachteile: Sie ist kostenintensiver und bedarf der vorherigen Abstimmung mit den Kommunikationspartnern, da es hier verschiedene technische Standards gibt, die untereinander nicht kompatibel sind.

Die Notwendigkeit der verschlüsselten Kommunikation und der anzuwendende Grad an Sicherheit ist unter Experten umstritten. Einigkeit herrscht aber über den Punkt, dass sich Transportverschlüsselung mittlerweile als Mindeststandard etabliert hat und dementsprechend auch angewandt werden sollte, wenn Dokumente, die personenbezogene Daten enthalten, elektronisch übermittelt werden. Darüber hinaus kann bei erhöhtem Schutzbedarf (beispielsweise im Gesundheitsdaten) auch eine Ende-zu-Ende-Verschlüsselung geboten sein.

Die Folgen der E-Rechnungsverordnung

Mit Verabschiedung der E-Rechnungsverordnung verfolgt die Bundesregierung ihre Digitalstrategie weiter. Eines der Handlungsfelder zur Verwirklichung dieser Strategie ist die Verwaltungsmodernisierung und der daraus folgende Bürokratieabbau. Mit der Einführung der Pflicht zur elektronischen Rechnungsstellung geht die Bundesregierung über die von der europäischen Richtlinie geforderten Maßnahmen hinaus, die lediglich eine Pflicht der Verwaltung zur Entgegennahme von elektronischen Rechnungen vorgibt. Gleichwohl kann die Verpflichtung zur E-Rechnung die Entwicklung eines einheitlichen Standards in den Unternehmen fördern und so auch die elektronische Rechnungsstellung von Unternehmern untereinander vereinfachen.

Dies könnte neben den offensichtlichen Kosteneinsparungen bei der Rechnungsstellung auch die Optimierung von Unternehmensprozessen mit sich bringen und so positive Effekte für die Wirtschaft erzielen. Bei der Umsetzung der E-Rechnungsverordnung sollten Unternehmen aber auch die gesetzlichen Vorgaben zum Datenschutz sowie zur IT-Sicherheit stets im Blick haben. Anderenfalls drohen nicht nur öffentlichkeitswirksame Datenpannen, sondern gegebenenfalls auch Bußgelder und Schadensersatzansprüche. (jd)