1/3 Einsatz der qualifizierten elektronischen Signatur bei der

1/3
Einsatz der qualifizierten elektronischen Signatur bei der
Vollständigkeitserklärung für Verpackungen
Die Hinterlegung der Vollständigkeitserklärung erfolgt
ausschließlich elektronisch. Auch der Nachweis, dass die
Vollständigkeitserklärung von einer nach § 10 Abs. 1
VerpackV berechtigten Person geprüft wurde, erfolgt
dadurch, dass der Prüfer eine Datei – die VEPrüfbescheinigung – mit seiner qualifizierten
elektronischen Signatur versieht.
Für viele ist der Umgang mit der elektronischen Signatur
noch ungewohnt. Die nachfolgenden Hinweise sollen den
Einsatz der elektronischen Signatur erleichtern und die
häufigsten Fehler vermeiden helfen.
Bei der elektronischen Signatur muss man sich von vielen
Vorstellungen trennen, die man landläufig mit dem Wort
„Unterschrift“ verbindet, vor allem davon, dass ein
handschriftlicher Namenszug eine Erklärung abschließt.
Ob Daten elektronisch signiert sind und ob die Signatur
echt ist, lässt sich nicht durch bloßen Augenschein,
sondern nur mit technischen Hilfsmitteln erkennen.
Wie die individuelle Unterschrift macht die elektronische
Signatur den Aussteller einer Urkunde eindeutig erkennbar
und garantiert die Echtheit der Urkunde.
Qualifizierte elektronische Signatur
gewährleistet:
AUTHENTIZITÄT:
es ist eindeutig und
rechtsverbindlich
nachvollziehbar, wer
signiert hat!
INTEGRITÄT:
die signierten Daten
können nachträglich
nicht unbemerkt
verändert werden!
Die elektronische Signatur gewährleistet Authentizität und
Integrität der damit verknüpften Daten ausschließlich
durch kryptografische, d. h. mathematische Verfahren.
Verpackungsverordnung
§ 10
(1) Wer Verkaufsverpackungen nach § 6 in Verkehr bringt, ist verpflichtet, jährlich bis zum 1. Mai
eines Kalenderjahres für sämtliche von ihm mit
Ware befüllten Verkaufsverpackungen, die er im
vorangegangenen Kalenderjahr erstmals in den
Verkehr gebracht hat, eine Vollständigkeitserklärung, die von einem Wirtschaftsprüfer, einem
Steuerberater, einem vereidigten Buchprüfer oder
einem unabhängigen Sachverständigen nach
Anhang I Nr. 2 Abs. 4 geprüft wurde, abzugeben
und nach Absatz 5 zu hinterlegen.
....
(5) Hersteller und Vertreiber haben die Vollständigkeitserklärungen bei der örtlich zuständigen Industrie- und Handelskammer in
elektronischer Form für drei Jahre gemäß den
Anforderungen von Anhang VI zu hinterlegen. Die
Prüfbescheinigung nach Absatz 1 Satz 1 der
Wirtschaftsprüfer, Steuerberater, vereidigten
Buchprüfer oder unabhängigen Sachverständigen
nach Anhang I Nr. 2 Abs. 4 ist mit qualifizierter
elektronischer Signatur gemäß § 2 des Signaturgesetzes zu versehen.
Anhang VI (zu § 10 Abs. 5)
1. Die Hinterlegung der Daten nach § 10 Abs. 5
und 6 bei den Industrie- und Handelskammern
bzw. bei der nach § 32 Abs. 2 des Umweltauditgesetzes errichteten Stelle erfolgt ausschließlich
elektronisch in einer Internet-basierten Datenbank, die von der Hinterlegungsstelle eingerichtet
und zur Verfügung gestellt wird. Die Prüfbescheinigung nach § 10 Abs. 1 ist mit qualifizierter elektronischer Signatur gemäß § 2
Signaturgesetz zu versehen.
2. ....
3. Ausgestaltung und Vollständigkeitserklärung
Die in Nummer 2 genannten Angaben sind von
den verpflichteten Unternehmen in die von den
Industrie- und Handelskammern eingerichtete
Datenbank einzustellen. Das nach der Eingabe
aus der Datenbank generierte Dokument ist durch
eine gemäß § 10 Abs. 1 berechtigte Person zu
bestätigen.
Die wichtigste Regel beim Einsatz der qualifizierten elektronischen Signatur
lautet daher:
Die zu signierende Datei selbst darf nicht verändert werden.
2/3
Vollständigkeitserklärung und VE-Prüfbescheinigung im Zusammenhang:
Das Unternehmen, das eine VE abgeben will, meldet sich bei der Internetplattform
(www.ihk-ve-register.de) an und gibt die vom Prüfer vorabgeprüften Daten ein. Aus
den Angaben generiert das System eine VE-Prüfbescheinigung als PDF-Datei.
Ä
Das Unternehmen stellt diese PDF-Datei dem Testierer elektronisch zu Verfügung.
Der Testierer prüft die Richtigkeit der Daten und bestätigt diese mit seiner qualifizierten elektronischen Signatur.
Ä
Der Testierer stellt die signierte VE-Prüfbescheinigung dem Unternehmen
elektronisch zur Verfügung.
Ä
Das Unternehmen gibt die VE dadurch verbindlich ab, indem es die signierte VEPrüfbescheinigung in die Datenbank lädt. Die Gültigkeit der Signatur wird automatisch verifiziert.
Der technische Ablauf stellt sicher, dass die VE-Prüfbescheinigung die tatsächlich im System
hinterlegten Daten wiedergibt. Jede Veränderung würde vom System entdeckt und nicht akzeptiert.
Welche Signaturausstattung wird benötigt, wo bekommt man sie?
Die benötigte Signaturausstattung setzt sich aus drei Komponenten zusammen:
1. Individuelle Signaturchipkarte eines signaturgesetzkonformen Trustcenters. Die Karte ist nicht
übertragbar und muss persönlich oder per PostIdent-Verfahren beantragt werden. Anbieter
sind z.B. D-TRUST, S-TRUST, Signtrust, TC Trustcenter, Telesec.
2. Chipkartenlesegerät mit eigener Tastatur und PC-SC- oder CT-API-Schnittstelle. Geeignete
Produkte sind z.B. Reiner SCT cyberJack Pinpad, Reiner SCT cyberJack e-com, SCM
Chipdrive Pinpad, Kobil KAAN advanced, Kobil KAAN professional.
3. Software zum qualifizierten Signieren von Dateien nach PKCS#7-Standard. Geeignete
Produkte sind z.B. SecCommerce SecSigner 3.5.0, digi Seal office PRO 2.5.0 oder
OPENLiMiT CC Sign Basiskomponente 2.1.
Eine Liste aller signaturgesetzkonformen Trustcenter, Kartenlesegeräte und
Signaturanwendungskomponenten ist auf der Website der Bundesnetzagentur veröffentlicht
(http://www.bundesnetzagentur.de).
Zahlreiche IHKs bieten einen komfortablen Signaturservice an. Hier können Sie eine individuelle IHKSignaturkarte (99,00 € zzgl. MwSt.) aus dem Hause D-TRUST beantragen und gleichzeitig ein
Kartenlesegerät „Reiner SCT cyber Jack Pinpad“ (49,00 € zzgl. MwSt.) bestellen.
Bitte beachten Sie, dass die Verpackungsverordnung eine qualifizierte elektronische Signatur
vorschreibt. Vollständigkeitserklärungen mit einfacher oder fortgeschrittener elektronischer
Signatur werden vom System abgewiesen. Da die Bezeichnungen ähnlich sind, kann es leicht zu
Verwechslungen kommen!
Planen Sie einen zeitlichen Vorlauf ein: Nach der Bestellung können 2 bis 3 Wochen vergehen, bis
Sie Ihre Signaturkarte in der Hand haben!
Wie wird die VE-Prüfbescheinigung signiert?
Voraussetzung ist, dass eine Signatursoftware installiert ist, die es ermöglicht, pdf-Dokumente im
PKCS#-7-Format zu signieren.
Hierfür gibt es eine Reihe von frei am Markt zu beziehenden Standardlösungen. Eine Liste aller
Signaturanwendungskomponenten, bei denen der jeweilige Hersteller die entsprechende Erklärung
nach § 17 SigG bei der Bundesnetzagentur hinterlegt hat, ist auf der entsprechenden Internetseite
einsehbar.
3/3
http://www.bundesnetzagentur.de/enid/9413273cc0c13af7235c22de0c37b02d,0/Bestaetigungen/Signaturanwendungskomponenten_vv.html
Allerdings unterstützen nicht alle der dort aufgeführten Lösungen den PKCS#7-Standard. Im Zweifel
sollte die Produktbeschreibung des jeweiligen Herstellers Auskunft über die Kompatibilität zu den
technischen Standards geben.
Hinweise zur Bedienung der Software insbesondere zum Signieren von Dokumenten im PKCS#7Format sind dem jeweils mitgelieferten Handbuch zu entnehmen. Darüber hinaus bietet jeder
Hersteller einen technischen Support.
Die Endungen von Signaturdateien im PKCS#7-Format können je nach verwendeter Software
variieren. Üblich sind z.B. .p7m, .p7s oder .pkcs7. Nach erfolgreicher Signierung der PDFPrüfbescheinigung muss diese an das VE-pflichtige Unternehmen in elektronischer Form übermittelt
werden und kann dann vom Unternehmen zum Abschluss der Hinterlegung im VE-Register
hochgeladen werden.
Wie man Fehler vermeidet:
Speichern Sie die VE-Prüfbescheinigung nicht mit der Acrobat-Vollversion!
Die PDF-Prüfbescheinigung sollte nach Erzeugung und Übermittlung immer direkt auf dem jeweiligen
Rechner abgelegt/gespeichert werden. Zum Kopieren und Verschieben der Datei sollten
ausschließlich die Standard-Windows-Befehle verwendet werden.
Wenn die VE-Prüfbescheinigung mit der 'Speichern-unter'- Funktion beispielsweise mit 'AcrobatProfessional' abspeichert wird, verändert dieses die ursprüngliche Datei so, dass sie später beim
Hochladen nicht mehr als Ursprungsdokument erkannt wird. Bei Verwendung der Software 'Adobe
Acrobat Reader' tritt dieses Problem nicht auf.
Nehmen Sie keine Änderungen vor, hängen Sie keine Dateien an!
Nach wie vor sorgt der alte IDW- Prüfhinweis IDW PH 9.950.3 in diesem Punkt gelegentlich für
Verwirrung. Dort wird unter Ziffer 42 ein abweichendes Verfahren angegeben, nämlich eine Kopie der
Bescheinigung des Wirtschaftsprüfers mit der „Vollständigkeitserklärung“ für Verkaufsverpackungen in
einem PDF-Dokument zusammenzufassen“. Dieses Verfahren ist mit dem VE- Register nicht
kompatibel. Das VE-Register akzeptiert ausschließlich ein unverändertes PDF-Dokument mit einer
gültigen qualifizierten elektronischen Signatur im PKCS7#-Format.
Signieren Sie die Prüfbescheinigung nicht mehrfach!
Die VE-Prüfbescheinigung ist gemäß § 10 Abs. 1 VerpackV nur durch einen Prüfer elektronisch zu
signieren. Der schriftliche Prüfbericht, auf dessen Grundlage die Eingabe der VE-Daten erfolgt, kann
dagegen von mehreren Personen unterzeichnet werden. Der Prüfbericht gehört aber nicht zur
Vollständigkeitserklärung.
Verschlüsseln Sie Ihre Signatur nicht!
Möglicherweise ist im Signierprogramm eine Option zur Verschlüsselung der Signaturinhalte
eingestellt. Eine so signierte Datei kann vom VE-Register nicht gelesen werden, da der entsprechende
Entschlüsselungscode fehlt. Die Verschlüsselungsoption in der Signierssoftware muss also deaktiviert
werden. Zur sicheren Übermittlung der VE-Daten zwischen Unternehmen und Prüfer stehen andere
Verfahren zur Verfügung.
Verwenden Sie zum Signieren nicht die Acrobat-Funktion „Dokument“ >“Unterschreiben“!
Neben dem PKCS#7 Standardformat gibt es weitere Möglichkeiten, Dokumente elektronisch zu
signieren. Beispielsweise lassen sich Signaturelemente direkt über die Funktion in Adobe Acrobat im
PDF-Dokument ablegen. Diese Dateien können vom IHK-VE-Register nicht gelesen werden und
werden daher mit einer entsprechenden Rückmeldung abgewiesen.
Trotz Beachtung dieser Hinweise können im Einzelfall beim Hochladen der Signaturdatei in das VERegister Fehlermeldungen auftreten. Hinweise dazu sind unter „Fragen und Antworten“ Ö
„Anwendungsspezifische und technische Fragen zum VE-Register“ zu finden.
Ö https://www.ihk-ve-register.de/inhalt/fragen_antworten/6_Technik/index.jsp
Wenn es trotzdem noch Probleme gibt stehen die IHK-Ansprechpartner zur Verfügung.
Ö https://www.ihk-ve-register.de/inhalt/anspr/index.jsp).