1/3 Einsatz der qualifizierten elektronischen Signatur bei der
Transcrição
1/3 Einsatz der qualifizierten elektronischen Signatur bei der
1/3 Einsatz der qualifizierten elektronischen Signatur bei der Vollständigkeitserklärung für Verpackungen Die Hinterlegung der Vollständigkeitserklärung erfolgt ausschließlich elektronisch. Auch der Nachweis, dass die Vollständigkeitserklärung von einer nach § 10 Abs. 1 VerpackV berechtigten Person geprüft wurde, erfolgt dadurch, dass der Prüfer eine Datei – die VEPrüfbescheinigung – mit seiner qualifizierten elektronischen Signatur versieht. Für viele ist der Umgang mit der elektronischen Signatur noch ungewohnt. Die nachfolgenden Hinweise sollen den Einsatz der elektronischen Signatur erleichtern und die häufigsten Fehler vermeiden helfen. Bei der elektronischen Signatur muss man sich von vielen Vorstellungen trennen, die man landläufig mit dem Wort „Unterschrift“ verbindet, vor allem davon, dass ein handschriftlicher Namenszug eine Erklärung abschließt. Ob Daten elektronisch signiert sind und ob die Signatur echt ist, lässt sich nicht durch bloßen Augenschein, sondern nur mit technischen Hilfsmitteln erkennen. Wie die individuelle Unterschrift macht die elektronische Signatur den Aussteller einer Urkunde eindeutig erkennbar und garantiert die Echtheit der Urkunde. Qualifizierte elektronische Signatur gewährleistet: AUTHENTIZITÄT: es ist eindeutig und rechtsverbindlich nachvollziehbar, wer signiert hat! INTEGRITÄT: die signierten Daten können nachträglich nicht unbemerkt verändert werden! Die elektronische Signatur gewährleistet Authentizität und Integrität der damit verknüpften Daten ausschließlich durch kryptografische, d. h. mathematische Verfahren. Verpackungsverordnung § 10 (1) Wer Verkaufsverpackungen nach § 6 in Verkehr bringt, ist verpflichtet, jährlich bis zum 1. Mai eines Kalenderjahres für sämtliche von ihm mit Ware befüllten Verkaufsverpackungen, die er im vorangegangenen Kalenderjahr erstmals in den Verkehr gebracht hat, eine Vollständigkeitserklärung, die von einem Wirtschaftsprüfer, einem Steuerberater, einem vereidigten Buchprüfer oder einem unabhängigen Sachverständigen nach Anhang I Nr. 2 Abs. 4 geprüft wurde, abzugeben und nach Absatz 5 zu hinterlegen. .... (5) Hersteller und Vertreiber haben die Vollständigkeitserklärungen bei der örtlich zuständigen Industrie- und Handelskammer in elektronischer Form für drei Jahre gemäß den Anforderungen von Anhang VI zu hinterlegen. Die Prüfbescheinigung nach Absatz 1 Satz 1 der Wirtschaftsprüfer, Steuerberater, vereidigten Buchprüfer oder unabhängigen Sachverständigen nach Anhang I Nr. 2 Abs. 4 ist mit qualifizierter elektronischer Signatur gemäß § 2 des Signaturgesetzes zu versehen. Anhang VI (zu § 10 Abs. 5) 1. Die Hinterlegung der Daten nach § 10 Abs. 5 und 6 bei den Industrie- und Handelskammern bzw. bei der nach § 32 Abs. 2 des Umweltauditgesetzes errichteten Stelle erfolgt ausschließlich elektronisch in einer Internet-basierten Datenbank, die von der Hinterlegungsstelle eingerichtet und zur Verfügung gestellt wird. Die Prüfbescheinigung nach § 10 Abs. 1 ist mit qualifizierter elektronischer Signatur gemäß § 2 Signaturgesetz zu versehen. 2. .... 3. Ausgestaltung und Vollständigkeitserklärung Die in Nummer 2 genannten Angaben sind von den verpflichteten Unternehmen in die von den Industrie- und Handelskammern eingerichtete Datenbank einzustellen. Das nach der Eingabe aus der Datenbank generierte Dokument ist durch eine gemäß § 10 Abs. 1 berechtigte Person zu bestätigen. Die wichtigste Regel beim Einsatz der qualifizierten elektronischen Signatur lautet daher: Die zu signierende Datei selbst darf nicht verändert werden. 2/3 Vollständigkeitserklärung und VE-Prüfbescheinigung im Zusammenhang: Das Unternehmen, das eine VE abgeben will, meldet sich bei der Internetplattform (www.ihk-ve-register.de) an und gibt die vom Prüfer vorabgeprüften Daten ein. Aus den Angaben generiert das System eine VE-Prüfbescheinigung als PDF-Datei. Ä Das Unternehmen stellt diese PDF-Datei dem Testierer elektronisch zu Verfügung. Der Testierer prüft die Richtigkeit der Daten und bestätigt diese mit seiner qualifizierten elektronischen Signatur. Ä Der Testierer stellt die signierte VE-Prüfbescheinigung dem Unternehmen elektronisch zur Verfügung. Ä Das Unternehmen gibt die VE dadurch verbindlich ab, indem es die signierte VEPrüfbescheinigung in die Datenbank lädt. Die Gültigkeit der Signatur wird automatisch verifiziert. Der technische Ablauf stellt sicher, dass die VE-Prüfbescheinigung die tatsächlich im System hinterlegten Daten wiedergibt. Jede Veränderung würde vom System entdeckt und nicht akzeptiert. Welche Signaturausstattung wird benötigt, wo bekommt man sie? Die benötigte Signaturausstattung setzt sich aus drei Komponenten zusammen: 1. Individuelle Signaturchipkarte eines signaturgesetzkonformen Trustcenters. Die Karte ist nicht übertragbar und muss persönlich oder per PostIdent-Verfahren beantragt werden. Anbieter sind z.B. D-TRUST, S-TRUST, Signtrust, TC Trustcenter, Telesec. 2. Chipkartenlesegerät mit eigener Tastatur und PC-SC- oder CT-API-Schnittstelle. Geeignete Produkte sind z.B. Reiner SCT cyberJack Pinpad, Reiner SCT cyberJack e-com, SCM Chipdrive Pinpad, Kobil KAAN advanced, Kobil KAAN professional. 3. Software zum qualifizierten Signieren von Dateien nach PKCS#7-Standard. Geeignete Produkte sind z.B. SecCommerce SecSigner 3.5.0, digi Seal office PRO 2.5.0 oder OPENLiMiT CC Sign Basiskomponente 2.1. Eine Liste aller signaturgesetzkonformen Trustcenter, Kartenlesegeräte und Signaturanwendungskomponenten ist auf der Website der Bundesnetzagentur veröffentlicht (http://www.bundesnetzagentur.de). Zahlreiche IHKs bieten einen komfortablen Signaturservice an. Hier können Sie eine individuelle IHKSignaturkarte (99,00 € zzgl. MwSt.) aus dem Hause D-TRUST beantragen und gleichzeitig ein Kartenlesegerät „Reiner SCT cyber Jack Pinpad“ (49,00 € zzgl. MwSt.) bestellen. Bitte beachten Sie, dass die Verpackungsverordnung eine qualifizierte elektronische Signatur vorschreibt. Vollständigkeitserklärungen mit einfacher oder fortgeschrittener elektronischer Signatur werden vom System abgewiesen. Da die Bezeichnungen ähnlich sind, kann es leicht zu Verwechslungen kommen! Planen Sie einen zeitlichen Vorlauf ein: Nach der Bestellung können 2 bis 3 Wochen vergehen, bis Sie Ihre Signaturkarte in der Hand haben! Wie wird die VE-Prüfbescheinigung signiert? Voraussetzung ist, dass eine Signatursoftware installiert ist, die es ermöglicht, pdf-Dokumente im PKCS#-7-Format zu signieren. Hierfür gibt es eine Reihe von frei am Markt zu beziehenden Standardlösungen. Eine Liste aller Signaturanwendungskomponenten, bei denen der jeweilige Hersteller die entsprechende Erklärung nach § 17 SigG bei der Bundesnetzagentur hinterlegt hat, ist auf der entsprechenden Internetseite einsehbar. 3/3 http://www.bundesnetzagentur.de/enid/9413273cc0c13af7235c22de0c37b02d,0/Bestaetigungen/Signaturanwendungskomponenten_vv.html Allerdings unterstützen nicht alle der dort aufgeführten Lösungen den PKCS#7-Standard. Im Zweifel sollte die Produktbeschreibung des jeweiligen Herstellers Auskunft über die Kompatibilität zu den technischen Standards geben. Hinweise zur Bedienung der Software insbesondere zum Signieren von Dokumenten im PKCS#7Format sind dem jeweils mitgelieferten Handbuch zu entnehmen. Darüber hinaus bietet jeder Hersteller einen technischen Support. Die Endungen von Signaturdateien im PKCS#7-Format können je nach verwendeter Software variieren. Üblich sind z.B. .p7m, .p7s oder .pkcs7. Nach erfolgreicher Signierung der PDFPrüfbescheinigung muss diese an das VE-pflichtige Unternehmen in elektronischer Form übermittelt werden und kann dann vom Unternehmen zum Abschluss der Hinterlegung im VE-Register hochgeladen werden. Wie man Fehler vermeidet: Speichern Sie die VE-Prüfbescheinigung nicht mit der Acrobat-Vollversion! Die PDF-Prüfbescheinigung sollte nach Erzeugung und Übermittlung immer direkt auf dem jeweiligen Rechner abgelegt/gespeichert werden. Zum Kopieren und Verschieben der Datei sollten ausschließlich die Standard-Windows-Befehle verwendet werden. Wenn die VE-Prüfbescheinigung mit der 'Speichern-unter'- Funktion beispielsweise mit 'AcrobatProfessional' abspeichert wird, verändert dieses die ursprüngliche Datei so, dass sie später beim Hochladen nicht mehr als Ursprungsdokument erkannt wird. Bei Verwendung der Software 'Adobe Acrobat Reader' tritt dieses Problem nicht auf. Nehmen Sie keine Änderungen vor, hängen Sie keine Dateien an! Nach wie vor sorgt der alte IDW- Prüfhinweis IDW PH 9.950.3 in diesem Punkt gelegentlich für Verwirrung. Dort wird unter Ziffer 42 ein abweichendes Verfahren angegeben, nämlich eine Kopie der Bescheinigung des Wirtschaftsprüfers mit der „Vollständigkeitserklärung“ für Verkaufsverpackungen in einem PDF-Dokument zusammenzufassen“. Dieses Verfahren ist mit dem VE- Register nicht kompatibel. Das VE-Register akzeptiert ausschließlich ein unverändertes PDF-Dokument mit einer gültigen qualifizierten elektronischen Signatur im PKCS7#-Format. Signieren Sie die Prüfbescheinigung nicht mehrfach! Die VE-Prüfbescheinigung ist gemäß § 10 Abs. 1 VerpackV nur durch einen Prüfer elektronisch zu signieren. Der schriftliche Prüfbericht, auf dessen Grundlage die Eingabe der VE-Daten erfolgt, kann dagegen von mehreren Personen unterzeichnet werden. Der Prüfbericht gehört aber nicht zur Vollständigkeitserklärung. Verschlüsseln Sie Ihre Signatur nicht! Möglicherweise ist im Signierprogramm eine Option zur Verschlüsselung der Signaturinhalte eingestellt. Eine so signierte Datei kann vom VE-Register nicht gelesen werden, da der entsprechende Entschlüsselungscode fehlt. Die Verschlüsselungsoption in der Signierssoftware muss also deaktiviert werden. Zur sicheren Übermittlung der VE-Daten zwischen Unternehmen und Prüfer stehen andere Verfahren zur Verfügung. Verwenden Sie zum Signieren nicht die Acrobat-Funktion „Dokument“ >“Unterschreiben“! Neben dem PKCS#7 Standardformat gibt es weitere Möglichkeiten, Dokumente elektronisch zu signieren. Beispielsweise lassen sich Signaturelemente direkt über die Funktion in Adobe Acrobat im PDF-Dokument ablegen. Diese Dateien können vom IHK-VE-Register nicht gelesen werden und werden daher mit einer entsprechenden Rückmeldung abgewiesen. Trotz Beachtung dieser Hinweise können im Einzelfall beim Hochladen der Signaturdatei in das VERegister Fehlermeldungen auftreten. Hinweise dazu sind unter „Fragen und Antworten“ Ö „Anwendungsspezifische und technische Fragen zum VE-Register“ zu finden. Ö https://www.ihk-ve-register.de/inhalt/fragen_antworten/6_Technik/index.jsp Wenn es trotzdem noch Probleme gibt stehen die IHK-Ansprechpartner zur Verfügung. Ö https://www.ihk-ve-register.de/inhalt/anspr/index.jsp).