XML-Signatur bei elektronischen Transaktionen: Das gilt es zu wissen!

Veröffentlicht 22.09.2022

Christina Elbert Vice President Product Sales d.velop

Die XML Signatur ist digital

Dieser Artikel zur XML-Signatur enthält Informationen zu den Rahmenbedingungen für den Einsatz digitaler Unterschriften in Unternehmen. Wir übernehmen keine Verantwortung für die Richtigkeit und Vollständigkeit dieses Leitfadens. Der vorliegende Leitfaden ersetzt nicht die Beratung durch einen Juristen.

Was ist das XML-Format?

Durch das XML-Format können Anwender:innen Daten in einer Struktur speichern, die für Maschinen (im Gegensatz zum klassischen PDF) lesbar sind. Der Ausdruck „XML“ steht für „Extensible Markup Language“, was übersetzt so viel wie „erweiterbare Auszeichnungssprache“ bedeutet. Das XML-Format ist ein Standard, der den Austausch strukturierter Informationen zwischen Anwendungen ermöglicht. Da eine XML-Datei als Textdokument formatiert ist, lässt sie sich mit einem einfachen Texteditor anzeigen, lesen und bearbeiten.

Was ist ein XML-File?

Ein XML-File bzw. eine XML-Datei kann als textbasierte Datenbank betrachtet werden. Die XML-Datei verwendet benutzerdefinierte Tags wie z.B. „<h1>“ und hat die HTML-Datei mittlerweile als Standard-Methode für das Speichern und Übertragen zwischen Programmen ersetzt.

Was ist eine XML-Signatur?

Bei einer XML-Signatur handelt es sich um eine Spezifikation zur Nutzung der digitalen Signatur im XML-Format. Mit einer XML-Signatur können sämtliche XML-Daten signiert werden, die in einem XML-Dokument eingebettet sind. Weitere Bezeichnungen für die XML-Signatur sind XML-Sig, XML-DSig oder auch XMLDsig.

Welches Signaturformat brauche ich für eine XML-Datei?

Je nachdem, welche Art von Dokument unterschrieben wird, wird ein bestimmtes „Signaturformat“ – sozusagen die „Sprache“ der Signatur – herangezogen. Bei einer XML-Datei ist das Signaturformat üblicherweise XAdES. Die Formate sind in internationalen Spezifikationen definiert.

Welche XML-Signaturverfahren gibt es?

Es gibt zwei Signaturverfahren, die „interne“ und die „externe“ Signatur. Bei der internen Signatur wird die Signatur direkt auf dem XML-Dokument angebracht. Bei der externen Signatur wird sie dagegen in einer separaten Signaturdatei erstellt. Das heißt, hier bestehen die Originaldatei und eine Signaturdatei.

Wann ist eine XML-Signatur nicht mehr gültig?

Bei externen Signaturen kann gewählt werden, ob eine weitere Signaturdatei erstellt, oder die vorhandene erweitert oder ersetzt werden soll. Grundsätzlich ist es sinnvoll, pro Unterzeichner eine eigene Signaturdatei zu erstellen. Werden nach der XML-Signatur Änderungen am Originaldokument vorgenommen, wird die Signatur „gebrochen“ und ist nicht mehr gültig.

Nachhaltigkeit (unter)schreibt man digital!
Das Whitepaper für alle, die New Work leben.

Wie erstelle ich eine XML-Signatur?

Mithilfe von Signatur-Lösungen lassen sich ganz einfach XML-Dokumente digital unterschreiben. Das folgende Video zeigt, wie Sie mithilfe von d.velop sign eine XML-Signatur in wenigen Schritten durchführen, und was Sie dabei beachten sollten:

Internationaler Einsatz der XML-Signatur am Beispiel von Unternehmen in Polen

Für die internationale Anwendung der XML-Signatur gelten oftmals unterschiedliche Anforderungen und Regelungen, die Unternehmen stets beachten sollten. Beispielsweise gilt aufgrund einer neuen Verordnung seit dem 1. Oktober 2018, dass Jahresabschlüsse in Polen digital erstellt und in dieser Form beim Registergericht eingereicht werden müssen.

Jahresabschlüsse in Polen digital einreichen

Die Jahresabschlüsse sind als XML-Datei vorzulegen und müssen in diesem Format digital signiert werden – alle anderen Formen sind unzulässig. Das Signaturformat ist dabei XAdES. Durch die neue Regelung sollen die Offenlegung der Abschlüsse beschleunigt und vereinfacht werden und die Daten für jedermann einsehbar sein.
Auch der Lagebericht muss in elektronischer Form erstellt und signiert werden. Hierbei ist zu beachten, dass Jahresabschluss und Lagebericht dasselbe Signaturdatum haben. Die spätere Einreichung des Lageberichts ist nach unseren Informationen nicht möglich. Alle Geschäftsführer:innen und unterschriftsberechtigten Personen (z.B. der Vorstand) sind verpflichtet, beide Dokumente zu unterzeichnen.

ePUAP-Signatur als Alternative zur QES-Signatur

Für eine gültige Abgabe muss entweder eine qualifizierte elektronische Signatur (QES) nach eIDAS-VO oder eine ePUAP-Signatur durchgeführt werden. ePUAP ist eine elektronische Plattform für Dienstleistungen der öffentlichen Verwaltung in Polen, die vor allem zur Kommunikation mit der Verwaltung in Polen verwendet wird. Polnische Staatsbürger mit einem Wohnsitz in Polen haben die Möglichkeit, mithilfe einer PESEL-Nummer (eine polnische Personenkennzahl) zu signieren. Alle anderen Personen, die diese Anforderungen nicht erfüllen, können mit der qualifizierten elektronischen Signatur nach eIDAS signieren.

Das gilt seit 2020 für XML-Dokumente in Polen

Seit 2020 müssen alle Anträge – nicht nur die Jahresabschlüsse – im Registerverfahren unter Nutzung der qualifizierten elektronischen Signatur oder der ePUAP-Signatur digital eingestellt werden. Die eIDAS-konforme Fernsignatur ermöglicht es, Signaturen von überall und jederzeit durchzuführen, ebenso eine qualifizierte elektronische Signatur. Für den Signaturprozess sind keine Hardware-Komponenten wie Signaturpads oder TAN-Generatoren notwendig. Aufgrund des einfachen Handlings findet diese oft Anwendung bei europäischen Unternehmen, die einen Sitz in Polen haben.

Wie kann ich ein XML-Dokument qualifiziert signieren?

Prozessablauf der Erstellung einer XML-Signatur
  1. Das Dokument – in diesem Fall der Jahresabschluss – muss im XML-Format erstellt werden.
  2. Der Autor unterschreibt das XML-Dokument als Erster.
  3. Im Anschluss daran signieren alle unterschriftsberechtigten Personen mit externer Signatur. Dabei kann die aktuelle Signaturdatei erweitert werden, oder es wird eine Signaturdatei pro Unterzeichner erstellt.
  4. Im internationalen Raum muss auf die entsprechende Endung der XML-Datei geachtet werden. Der Dateiname der Signaturdatei muss z.B. für Polen die Dateiendung XAdES haben. Ist dem nicht so, muss die Signaturdatei manuell umbenannt werden.
  5. Haben alle verpflichteten Personen unterschrieben, kann das Dokument zum Abschlussprüfer versendet werden. Der Abschlussprüfer nimmt die signierten Dokumente entgegen und prüft diese auf ihre inhaltliche Korrektheit.
  6. Sobald der Prüfer die Dokumente bestätigt hat, sind diese bereit, zum Registergericht geschickt zu werden. Dazu muss sich das Unternehmen online registrieren. Im Fallbeispiel ist dies für polnische Unternehmen unter anderem auf der Webseite der Regierung möglich: https://ekrs.ms.gov.pl/rdf/rd/.
  7. Die qualifiziert signierte XML-Datei kann nun hochgeladen werden. 

eIDAS International: Kraftverkehr Nagel und die Hürden bei der Anerkennung der QES in Polen

Live-Demo zur XML-Signatur

Wie die XML-Signatur für Dein Unternehmen aussehen kann, zeigen wir Dir gern in einer individuellen Demo. In dieser beantworten wir Dir auch all Deine offenen Fragen.