Digitale Signatur bei der E-Rechnung: Ist sie Pflicht?
Muss eine E-Rechnung digital signiert werden? Wir klären, wann eine elektronische Signatur erforderlich ist und welche Alternativen es gibt.
Eine Frage, die in jedem zweiten Kundengespräch auftaucht: „Muss ich meine E-Rechnungen eigentlich digital signieren?" Die kurze Antwort: Nein, in Deutschland nicht. Die etwas längere: Es kommt auf das Land, das Format und die internen Prozesse an. Wer den Hintergrund nicht kennt, riskiert, sich mit teuren Signatur-Dienstleistern zu binden, die niemand braucht.
Dieser Beitrag räumt mit dem Mythos auf und erklärt, was statt einer Signatur tatsächlich gefordert ist.
Die Rechtslage in Deutschland
Bis Ende 2011 war die qualifizierte elektronische Signatur (QES) bei elektronischen Rechnungen Pflicht. Mit dem Steuervereinfachungsgesetz 2011 wurde diese Pflicht gestrichen. Seitdem gilt § 14 Abs. 3 UStG:
„Die Echtheit der Herkunft, die Unversehrtheit des Inhalts und die Lesbarkeit der Rechnung müssen gewährleistet sein."
Wie genau, ist Sache des Unternehmers. Die qualifizierte Signatur ist eine mögliche Methode, aber nicht die einzige. Gleichwertig sind:
- Innerbetriebliches Kontrollverfahren mit verlässlichem Prüfpfad zwischen Rechnung und Leistung.
- EDI-Verfahren mit vereinbarten Sicherheitsmaßnahmen.
- Qualifizierte elektronische Signatur (QES) nach eIDAS.
In der Praxis nutzen über 95 % der deutschen Unternehmen Variante 1.
Was heißt „innerbetriebliches Kontrollverfahren"?
Klingt formal, ist aber Alltag in jedem Unternehmen:
- Eingangsrechnung kommt rein.
- Sachbearbeiter prüft: Bestellung vorhanden? Lieferung erhalten? Preis korrekt?
- Freigabe und Buchung.
Genau dieser klassische Drei-Wege-Abgleich (Rechnung – Bestellung – Wareneingang) ist das innerbetriebliche Kontrollverfahren. Es muss nur dokumentiert sein – als Verfahrensbeschreibung in der Verfahrensdokumentation. Mehr in GoBD und Verfahrensdokumentation.
Unversehrtheit – was schützt das XML?
Bei strukturierten Formaten wie XRechnung und ZUGFeRD ist die Unversehrtheit konzeptionell schon gut gesichert:
- Fest definiertes XML-Schema mit Validierung gegen Schematron.
- Quersummen in den Beträgen (BT-106 bis BT-115) erkennen Manipulationen sofort.
- GoBD-konforme Archivierung schützt vor nachträglicher Änderung.
Eine kryptografische Signatur ist also kein „muss" – die Architektur des Formats erledigt einen Großteil der Arbeit.
Wann ist eine Signatur trotzdem sinnvoll?
In manchen Konstellationen lohnt sie sich:
| Szenario | Empfehlung |
|---|---|
| Versand an italienische Empfänger über SDI | Signatur erforderlich (PAdES/XAdES) |
| Geschäftspartner in Frankreich, Spanien | je nach Vertragspartner und Plattform |
| B2G über Peppol | nicht erforderlich, aber Transportwege werden über AS4/TLS gesichert |
| Hochsensible Branchen (Pharma, Rüstung) | freiwillig, oft im Rahmenvertrag geregelt |
| Standard-B2B in Deutschland | nicht erforderlich |
Mehr zum SDI-Modell in E-Rechnung Italien-Vergleich.
Signaturarten im Überblick
Wer signieren möchte oder muss, sollte die drei Stufen nach eIDAS kennen:
| Stufe | Bezeichnung | Beispiel |
|---|---|---|
| EES | Einfache elektronische Signatur | gescannte Unterschrift im PDF |
| FES | Fortgeschrittene elektronische Signatur | Hashwert + privater Schlüssel |
| QES | Qualifizierte elektronische Signatur | mit Zertifikat eines Vertrauensdiensteanbieters |
Nur die QES erfüllt das Schriftformerfordernis. Anbieter sind z. B. D-Trust, Bundesdruckerei, Adobe Sign, DocuSign mit deutschem Zertifikat. Kosten: ab ca. 1 € pro Signatur, im Volumen deutlich günstiger.
Signatur in PDF/A-3 (ZUGFeRD)
Bei ZUGFeRD ist das XML in ein PDF/A-3 eingebettet. Eine PAdES-Signatur signiert das gesamte PDF inklusive Anhang. Wichtig: Die Signatur muss nach dem Einbetten des XML angebracht werden, sonst bricht sie beim Hinzufügen des Anhangs.
Reihenfolge:
- Rechnungsdaten erfassen.
- PDF/A-3 erzeugen.
- ZUGFeRD-XML einbetten.
- PDF mit PAdES signieren.
- Versenden und archivieren.
Signatur in XRechnung (XML)
XRechnung ist reines XML. Hier kommt XAdES zum Einsatz – eine XML-Signatur, die in einem <Signature>-Element direkt im Dokument liegt. In Deutschland ist das selten relevant, weil B2G über Peppol/AS4 läuft und der Transport bereits abgesichert ist.
Häufige Missverständnisse
- „Ohne Signatur ist die Rechnung ungültig." → Falsch. Sie muss nur die Pflichtangaben enthalten und maschinenlesbar sein.
- „Signatur ersetzt die Archivierung." → Falsch. Sie ist eine Zusatzmaßnahme.
- „Eine eingescannte Unterschrift ist eine elektronische Signatur." → Nur als EES, ohne Beweiskraft.
- „QES bringt steuerliche Vorteile." → Keine. Auch ohne QES ist der Vorsteuerabzug möglich, wenn die Rechnung den Anforderungen entspricht.
Was ersetzt die Signatur in der Praxis?
Drei Bausteine sichern Ihre Rechnungen ohne Krypto:
- Verfahrensdokumentation: Beschreibt den Workflow von Erstellung bis Archivierung.
- GoBD-konformer Speicher: WORM-Archiv, revisionssicher, Zugriffsprotokolle. Mehr in Unveränderbarkeit.
- Zugriffsschutz und Backups: Sorgt für Lesbarkeit über zehn Jahre. Mehr in Aufbewahrungspflicht.
Häufige Fragen
Akzeptiert das Finanzamt unsignierte E-Rechnungen?
Ja, seit 2011 ohne Einschränkungen. Voraussetzung: Echtheit, Unversehrtheit, Lesbarkeit sind gewährleistet.
Brauche ich eine Signatur für Peppol?
Nein. Peppol nutzt AS4-Transport mit TLS und Zertifikaten zwischen den Access Points. Die Authentizität entsteht auf Transportebene.
Was, wenn mein Kunde eine Signatur verlangt?
Sie können freiwillig signieren. Klären Sie vorher, ob PAdES (PDF) oder XAdES (XML) gewünscht ist und welches Zertifikat akzeptiert wird.
Wie sieht es bei innergemeinschaftlichen Rechnungen aus?
Auch hier ist die Signatur in Deutschland keine Pflicht. Manche EU-Staaten haben aber eigene Vorgaben für ihre Empfänger – siehe Vergleich der EU-Länder.
Wenn ich heute keine Signatur nutze, ist das ein GoBD-Verstoß?
Nein. Wer ein nachvollziehbares Kontrollverfahren dokumentiert hat, ist GoBD-konform. Signaturen sind ein Zusatzwerkzeug, kein Ersatz für saubere Prozesse.