Erfolgreiche und sichere Umsetzung E-Rechnung trifft IT-Security

Anbieter zum Thema

EBV Elektronik GmbH & Co. KG

PROFI Engineering Systems AG

WatchGuard Technologies GmbH

Seit dem 1. Januar 2025 müssen Unternehmen in Deutschland elektronische Rechnungen empfangen können – unabhängig von ihrer Größe. Was auf den ersten Blick nach einem reinen Buchhaltungsthema aussieht, betrifft in Wahrheit auch IT-Sicherheit und Compliance.

In vielen Unternehmen ist die E-Rechnung mittlerweile auf der Agenda – doch oft wird sie rein als steuerliche Pflicht betrachtet. Dabei handelt es sich um einen sensiblen digitalen Geschäftsprozess, der technisch abgesichert und organisatorisch verankert sein muss.

Die neue Pflicht – und ihre technischen Implikationen

Elektronische Rechnungen im Sinne des Gesetzgebers sind strukturierte Daten, in Formaten wie XRechnung (UBL) oder ZUGFeRD (CII). Ein einfaches PDF genügt nicht. Diese strukturierten XML-Formate ermöglichen die automatisierte Verarbeitung durch ERP-, DMS- oder Buchhaltungssysteme.

Damit ergeben sich neue technische Anforderungen:

• Auch strukturierte Daten sind anfällig für Manipulation, wenn keine geeigneten Schutzmaßnahmen vorhanden sind.

• Die Übertragung muss abgesichert erfolgen – was in der Praxis noch zu selten der Fall ist.

Praxisproblem: Rechnungen als Mailanhang

Trotz wachsender Sensibilisierung werden Rechnungen in der Praxis häufig weiterhin als Mailanhang (PDF oder XML) verschickt – unverschlüsselt, ohne Signatur, ohne Zugriffsschutz. Damit entstehen erhebliche Risiken:

• Abgreifen von Rechnungsdaten durch Dritte (z. B. bei mangelnder TLS-Konfiguration),

• Manipulation von Beträgen oder Kontoverbindungen auf dem Übertragungsweg,

• fehlende Nachvollziehbarkeit der Zustellung.

Auch strukturierte XML-Rechnungen verlieren an Wert, wenn sie unkontrolliert im Mailverkehr zirkulieren – denn weder Zustellung noch Unveränderbarkeit sind damit gewährleistet.

Manipulation der strukturierten Daten – wie schützt man sich?

Um die Integrität von Rechnungsdaten zu gewährleisten, sind gezielte Schutzmaßnahmen erforderlich, etwa:

• Digitale Signaturen, um Absenderauthentizität und Unverändertheit zu prüfen,

• Hash-Werte, um Manipulationen automatisiert zu erkennen,

• GoBD-konforme Archivierungssysteme, die Änderungen verhindern oder protokollieren.

Diese Maßnahmen sorgen dafür, dass strukturierte Rechnungen im gesamten Lebenszyklus nachvollziehbar, sicher und prüfungstauglich bleiben.

Plattformen und Peppol: Mehr Sicherheit durch kontrollierte Zustellung

Ein wesentlicher Sicherheitsvorteil ergibt sich durch die Nutzung zertifizierter E-Rechnungsplattformen oder des Peppol-Standards (Pan-European Public Procurement Online). Hierbei werden strukturierte Rechnungsdaten:

• nur zwischen identifizierten Teilnehmern ausgetauscht (über eindeutige Peppol-IDs),

• immer über gesicherte Übertragungswege zugestellt (Peppol verwendet u. a. TLS und digitale Signaturen),

• protokolliert und nachverfolgbar übertragen.

Zusätzlicher Vorteil: Viele Plattformen protokollieren und bestätigen auch den Empfang automatisch – was im Streitfall als rechtssichere Nachweisführung dient.

GoBD als Sicherheitsrahmen

Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern und Unterlagen in elektronischer Form (GoBD) gelten auch sicherheitsseitig. Sie fordern u. a.:

• Unveränderbarkeit: Rechnungsinhalte dürfen nach Erstellung nicht verändert werden können.

• Protokollierung: Jeder Zugriff und jede Änderung am Archiv müssen nachvollziehbar sein.

• Zugriffsrechte: Nur berechtigte Personen dürfen Rechnungsdaten einsehen oder exportieren können.

Verstöße gegen diese Grundsätze sind nicht nur ein Compliance-Problem, sondern im Zweifel auch ein Sicherheitsvorfall.

Cloudlösung oder Inhouse-System?

Ob Cloud oder On-Premises – entscheidend ist die technische und organisatorische Absicherung. Bei Cloudlösungen sollten geprüft werden:

• Welche Verschlüsselungsverfahren werden verwendet?

• Gibt es eine 2-Faktor-Authentifizierung?

• Werden GoBD-Anforderungen erfüllt?

• Wie erfolgt die Mandantentrennung – besonders relevant im Kontext der DSGVO, etwa beim Schutz personenbezogener Daten in Mehrmandantensystemen?

Eine strukturierte Rechnung, die am Ende unsicher gespeichert oder übertragen wird, gefährdet sowohl steuerliche als auch datenschutzrechtliche Anforderungen.

Verantwortlichkeiten im Unternehmen

Die Umstellung auf E-Rechnung ist nicht alleinige Aufgabe der Buchhaltung. Sie betrifft: IT-Verantwortliche (für Infrastruktur, Schnittstellen, Sicherheitsvorgaben), Compliance-Beauftragte (für rechtliche und organisatorische Rahmenbedingungen), Datenschutz (für die Bewertung von Cloudanbietern oder externen Plattformen) und die Geschäftsleitung – die konkret haftet, z. B. durch:

• steuerrechtliche Haftung bei Nicht-Einhaltung der GoBD,

• Bußgelder bei Datenschutzverstößen,

• persönliche Verantwortung im Rahmen der Organisationspflichten (§ 130 OWiG).

Ein interdisziplinärer Projektansatz – ggf. begleitet durch spezialisierte Berater – ist daher dringend zu empfehlen.

Fazit: Digitalisierung mit Sicherheitsbrille

Die E-Rechnung ist keine bloße Formatfrage – sie ist ein sicherheitsrelevanter Prozess. Nur wenn Übertragungswege, Archivierung, Rollenrechte und technische Integrität zusammenspielen, ist die Umsetzung erfolgreich. Plattformen wie Peppol bieten hier einen wichtigen Mehrwert. Wer frühzeitig in sichere Prozesse investiert, stärkt nicht nur die Effizienz, sondern schützt auch seine Daten und seine Organisation.

Über den Autor: Als freiberuflicher Trainer und Berater bietet Jochen Treuz seit 1997 erfolgreich Seminare sowie Trainings direkt am Arbeitsplatz an. Er berät und begleitet Unternehmen bei allen Fragen rund um die Elektronische Rechnungsabwicklung. Im Bereich Rechnungswesen werden in Unternehmen oft noch nicht alle Möglichkeiten genutzt, die Abläufe weitgehend zu digitalisieren und zu automatisieren. Mit seinem Buch “E-Rechnungen für Dummies” geht er genau auf die Umsetzung in diesem Bereich ein. Erfahren Sie direkt vom Experten, wie Sie alle Anforderungen reibungslos und rechtssicher erfüllen können.

(ID:50460359)