Fast alle unsere Kunden akzeptieren inzwischen Rechnungen in Form von PDF-Dateien ohne Papier. Wenn jemand das mal nicht akzeptiert, versuchen wir ihn zu bekehren und gehen dabei in unserem missionarischen Eifer manchmal über die Grenzen dessen hinaus, was König Kunde verträgt.

Akzeptieren wir aber selber auch bloße PDF-Dateien als Rechnung?

Nein.

Sind wir Heuchler?

1 Brief an Auftragnehmerin

Einer Auftragnehmerin unseres [href:/oas Sprachendienst-Geschäfts] antwortete ich:

In der Anlage sende ich Ihnen meine Rechnung in PDF Datei. Es müsste fur das Finanzamt auch genügen.

Grundsätzlich sollte man ja nachweisen können, dass die Forderung tatsächlich erhoben wurde. Um das einigermaßen sauber zu machen, kommen folgende Methoden in Frage:

1. Sie schicken jede Rechnung sowohl digital als auch in Papierform.
2. Sie bescheinigen uns auf Papier, dass alles, was wir gegenüber dem Finanzamt über ihre Forderungen behaupten, grundsätzlich wahr ist und Sie gerne dafür die Hand ins Feuer legen.
3. Sie verwenden eine fortgeschritten digitale Signatur nach OpenPGP/MIME.

Natürlich ist Methode 3 dies beste. Diese Methode zu verwenden, erfordert keine Guru-Kenntnisse, keine großen Installationsaufwand. Außerdem zieht man daraus sofort unmittelbaren Nutzen, nicht nur in der Kommunikation mit anderen OpenPGP-Anwendern.

MS-Windows-Benutzern empfehle die Installation von GPG4Win oder PGP. Die Installation und Anwendung ist leicht. Man muss nur beachten, dass man seinen Schlüssel anschließend sorgfältig pflegt und ihn bei öffentlichen Servern, z.B. pgp.uni-mainz.de, anmeldet.

Der OpenPGP-Standard stellt die Verbindlichkeit und Vertraulichkeit her, ohne die zu arbeiten in der heutigen Zeit eigentlich nur noch lächerlich wäre, wenn es nicht so viele Leute täten.

Selbst für sich allein kann heute kaum niemand ohne so etwas wie OpenPGP seine Informationen vernünftig verarbeiten. Denn was macht man mit den vielen Passwörtern, etwa denen vom Portal der Bahn, der Bank, des Internet-Zugangsanbieters, des Kurierdienstes, der diversen Versandhändler? Alle im Kopf behalten? Überall das gleiche simple Passwort verwenden? Passwörter im eigenen Intranet offen sichtbar hinterlegen? Nein, alles falsch, man hinterlegt die Zugangsdaten in PGP-verschlüsselter Form, und zwar so, dass genau die Leute Zugang haben, die ihn haben sollen. Und das ist nur eine von zahlreichen geschäftsinternen Anwendungen von OpenPGP.

Vielleicht verlangt das Finanzamt ja wirklich keine aussagekräftigen Unterlagen. Vielleicht kommen wir auch mit bloßen PDF-Dateien durch. Vielleicht akzeptiert das Finanzamt unsere Behauptungen über deren Echtheit als Nachweise. Aber im Interesse solider Geschäftsabläufe will ich mich eigentlich nicht auf Behauptungen stützen. Nicht einmal auf meine eigenen. Irgendwann kommt ja doch mal die Situation, wo man überprüfen möchte oder gar nachweisen muss, dass man nichts verwechselt hat und dass eine bestimmte Rechnung wirklich vom Absender stammt.

Für welche der drei oben genannten Methoden sind Sie also?

2 OpenPGP und Projektarchiv: zeitgestempelte digitale Signatur für die Praxis

Alle Dokumente, die bei uns eingehen, werden in ein SVN-Projektarchiv aufgenommen. Damit ist der Zeitpunkt des Eingangs und jeder Änderung von uns leicht nachvollziehbar. Durch Hinterlegung von Prüfsummen können wir ferner auch gegenüber Dritten den Zeitpunkt jeder Textverarbeitungshandlung nachweisen. Diese Funktion des Zeitnachweises fehlt bei OpenPGP. Beim SVN-Projektarchiv fehlt wiederum der Nachweis, dass ein Dokument wirklich seinem Eigentümer gehört. Diesen Nachweis liefert die OpenPGP-Anwendungen.

Durch die Kombination von OpenPGP und einem Versionierungssystem wie Subversion haben wir effektiv einen Nachweisbarkeitsgrad, der alles papierbasierte weit übertrifft, auch wenn er vielleicht nicht formell die Anforderungen der “qualifizierten Signatur” nach dem Signaturgesetz erfüllt. Doch über den Sinn dieser Anforderungen kann man streiten. Auch in der analogen Welt gibt es eine gewisse Eigenverantwortung für die Pflege der eigenen Signaturwerkzeuge, die einem kein Zertifizierungssystem abnehmen kann.

Kunden und Partner von A2E bekommen übrigens auch jeweils ihr eigenes SVN-Projektarchiv, über das sie mit uns gemeinsam ihre Daten nicht nur jederzeit übersichtlich abrufen sondern auch bearbeiten können. Zum perfekten Tandem des nachweisbaren Arbeitens fehlt dann nur noch der Identitätsnachweis, den man durch einen wohlgepflegten OpenPGP-Schlüssel erbringt.

3 Weitere Lektüre

• Hartmut Pilch: Digitale Signatur im Geschäftsverkehr