ZUGFeRD, XRechnung und Co.: Wie elektronische Rechnungen zum Sicherheitsrisiko werden
Inhalt
Rechnungen auf Papier oder reine PDF-Dokumente sollen in der EU bald an vielen Stellen verschwinden und durch maschinenlesbare Dokumente ersetzt werden. Der Grundstein für diese Entwicklung wurde bereits 2014 mit der europäischen eInvoicing-Direktive gelegt.
Schon länger üblich sind solche elektronischen Rechnungen, wenn Unternehmen sie an staatliche Stellen senden. Wer etwa für Bundesbehörden einen Auftrag erledigt, muss die Rechnung bereits seit 2020 in einem unterstützten elektronischen Format ausstellen.
Seit 2025 ist auch für Rechnungen zwischen Unternehmen (B2B) eine elektronische Rechnungsstellung vorgesehen(öffnet im neuen Fenster) , es gelten allerdings verschiedene Ausnahmen und Übergangsregelungen. Die Stoßrichtung ist jedoch klar: Unternehmen müssen zunehmend elektronische Rechnungen empfangen und ausstellen können. Perspektivisch soll damit auch Umsatzsteuerbetrug auf EU-Ebene besser bekämpft werden können.
Grundsätzlich spricht nichts gegen maschinenlesbare Rechnungen, sie hätten einige Vorteile. Doch die technische Umsetzung ist alles andere als optimal. Das gesamte E-Rechnungswesen ist unnötig komplex und auf die Sicherheit wurde bei der Entwicklung offenbar wenig Wert gelegt.
Auf europäischer Ebene gilt für elektronische Rechnungen der Standard EN 16931. Wobei: "Standard" ist nicht ganz korrekt. Es handelt sich eher um einen Meta-Standard, unter dem sich eine Vielzahl von Syntaxen, Profilen, Erweiterungen und weiteren Standards versammeln.
EN 16931 wurde vom Europäischen Komitee für Normung (CEN) spezifiziert. Es gibt hierbei zunächst eine semantische Spezifikation, die lediglich beschreibt, welche Informationen in einer elektronischen Rechnung enthalten sein müssen. In weiteren Teilen der Spezifikation werden sie dann auf konkrete Syntaxen gemappt.
Ein Konglomerat an Standards, Syntaxen, Profilen und Erweiterungen
Dabei gibt es zwei für öffentliche Stellen verpflichtende XML-Syntaxen namens CII (Cross Industry Invoice) und UBL (Universal Business Language). Neben CII und UBL können optionale Syntaxen definiert werden. Weiterhin gibt es die Möglichkeit, die Spezifikation weiter einzuschränken, was als CIUS (Core Invoice Usage Specification) bezeichnet wird, oder Erweiterungen zu definieren.
In Deutschland gibt es den Standard XRechnung, der mit EN 16931 kompatibel ist und gleichzeitig eine CIUS und eine Erweiterung ist. XRechnung wurde von der beim Bremer Senator für Finanzen angesiedelten Koordinierungsstelle für IT-Standards (KoSIT) definiert.
Neben XRechnung gibt es eine weitere deutsche Spezifikation für elektronische Rechnungen namens ZUGFeRD . Von ZUGFeRD gibt es mehrere Profile, von denen einige mit EN 16931 kompatibel sind, andere nicht. Ebenso gibt es ein ZUGFeRD-Profil, das mit XRechnung kompatibel ist.
Viel komplexer, als es sein sollte
Falls die geneigten Leser nun verwirrt sind, sei ihnen versichert: Sie sind damit nicht alleine. Dieses Konglomerat an Standards und Profilen ist viel komplexer, als es sein sollte.
Dabei muss man unterscheiden zwischen Komplexität, die durch die Rahmenbedingungen unvermeidbar ist, und unnötiger Komplexität, die noch obendrauf kommt. Dass elektronischen Formaten für Rechnungen eine gewisse Komplexität inhärent ist, liegt schlicht daran, dass die dahinterliegende Gesetzgebung, etwa was Umsatzsteuern angeht, oft bereits komplex ist. Noch mehr gilt das für europaweite Standards, die Dutzende unterschiedliche rechtliche Rahmenbedingungen abbilden müssen.
Doch nichts davon rechtfertigt, dass etwa die gleichen Informationen in zwei verschiedenen Syntaxen abbildbar sind. Die Ursache für die unterschiedlichen Syntaxen dürfte vor allem sein, dass man sich nicht getraut hat, eine echte Standardisierung durchzusetzen, da die Verfechter der jeweiligen Syntaxen alle darauf beharrt hätten, ihre Syntax zum Standard zu machen.
Zwei Syntaxen für die EU-Standards
Wer mit Personen spricht, die mit der Thematik vertraut sind, hört, dass manche schon froh sind, dass es "nur" zwei Syntaxen sind. Ursprünglich wurden fünf Syntaxen für die EU-Standards in Erwägung gezogen.
Dass in Deutschland mit XRechnung und ZUGFeRD zwei unterschiedliche Standards für E-Rechnungen existieren, hängt zumindest teilweise auch mit den unterschiedlichen Syntaxen zusammen. Bei ZUGFeRD nutzt man CII; XRechnung, das für die öffentliche Verwaltung vorgesehen ist, muss aber aufgrund der EU-Regelungen beide Syntaxen unterstützen. Das wollte man bei ZUGFeRD nicht.
Dazu kommt: ZUGFeRD ist ein hybrides Format, bei dem eine PDF-Datei eine menschenlesbare Rechnung enthält. Zusätzlich sind die Rechnungsdaten als XML-Anhang enthalten. Bei XRechnung wollte man auf ein reines maschinenlesbares Format setzen.
PDF-Lösung hat ihre Tücken
Die Verwendung von einem Hybridformat wie ZUGFeRD ist einerseits verständlich. In der Praxis dürften die wenigsten Personen Software auf ihrem Computer haben, die in der Lage ist, elektronische Rechnungen anzuzeigen. Doch die PDF-Lösung hat auch ihre Tücken. So ist es etwa möglich, eine ZUGFeRD-Rechnung zu erstellen, bei der im menschenlesbaren PDF-Teil andere Geldbeträge verzeichnet sind als im XML-Anhang.
Dass der Wildwuchs an Standards demnächst eingedämmt wird, ist wohl nicht zu erwarten. Wie man hört, soll EN-16931 demnächst überarbeitet und eine dritte Syntax namens EDIFACT aufgenommen werden. Grund dafür ist der Druck aus der Industrie, die bereits EDIFACT an vielen Stellen einsetzt.
Neben der hohen Komplexität erlebt man, wenn man sich mit dem E-Rechnungs-Ökosystem beschäftigt, auch manche Kuriositäten und vieles, das schlicht unprofessionell wirkt.