Elster und Coala
Inhaltsverzeichnis
Elster vs. Coala
vermutlich würde jeder behaupten, dass diese beiden Spezies nichts miteinander zu tun haben. Das stimmt so aber nicht ganz - zumindest wenn wir das Ganze nicht im biologischen Kontext betrachten.
Elster steht (zumindest hier) für Elektronische Steuererklärung - gemeint ist das IT-Projekt des deutschen Staates, zur elektronischen Übermittlung von Steuerdaten. Coala ist schlichtweg der Name der zweiten Version von Elster, bzw. konkreter, des Übermittlungsverfahrens.
Die Datenübermittlung erfolgt in einem genau spezifizierten XML-Format. Wobei die Schemata von Umsatzsteuervor- sowie Lohnsteueranmeldung mehr oder weniger öffentlich zugänglich sind. Ebenso ist die Übermittlung von Lohnsteuerbescheinigungen mittels Coala bereits vorgesehen, bzw. möglich.
Die Jahressteuererklärungen (Einkommen-, Umsatz- und Gewerbesteuer) sind derweil nur mittels dem Telemodul übermittelbar. Um da dran zu kommen, ist jedoch ein NDA zu akzeptieren (:mad:)
Rechtsgrundlagen
Warum wird das Ganze jetzt plötzlich aktuell?
Die deutsche Gesetzgebung hat am 15. Dezember 2003 beschlossen, dass künftig (soll heißen ab dem Veranlagungszeitraum Januar 2005, resp. 1. Quartal) die Umsatzsteuervoranmeldungen sowie die Lohnsteueranmeldungen auf elektronischem Wege abzugeben sind. Grund hierfür dürfte die wesentliche Arbeitserleichterung (Wegrationalisierung von Schreibkräft(inn)en) seitens der Finanzverwaltung sein.
Hierzu wurden § 18 Abs. 1 Satz 1 UStG und § 41a Abs. 1 EStG entsprechend abgeändert.
Teilnahmerklärung
Auf den bekannten Steueranmeldungsvordrucken muss der Unternehmer grundsätzlich versichern, dass die Erklärung wahrheitsgemäß erstellt wurde.
Da die Abgabe dieser Erklärung online (zumindest derweil) nicht rechtswirksam möglich ist, ist vor Übermittlung des ersten Datensatzes die Abgabe einer sog. Teilnahmeerklärung nötig, siehe § 6 StDÜV.
Verschlüsselung
Bevor die Daten an die Clearingstelle der Finanzverwaltung übermittelt werden, werden sie komprimiert und sodann verschlüsselt.
Die Verschlüsselung beruht auf einem Mix aus 2048-bittiger RSA-Verschlüsselung (asymmetrisch) sowie 3DES (symmetrische Verschlüsselung) -> PKCS#7-Verfahren, Inhaltstyp enveloped-data (übrigens sehr ähnlich dem S/MIME-Verfahren bei der E-Mail-Verschlüsselung).
Die Datenrückübertragung erfolgt ebenfalls mit aktivierter Vergeheimnissung. Entweder wieder mittels Kombination aus asymmetrischer und symmetrischer oder nur per symmetrischer Verschlüsselung. Welches Verfahren angewandt werden soll, kann der Client bei seiner Anfrage festlegen.
Authentifizierung
Gegenwärtig findet gegenüber der Clearingstelle keine Authentifizierung statt. Soll heißen, der Finanzverwaltung ist nicht bekannt, ob die abgegebene Steueranmeldung tatsächlich vom Steuerpflichtigen stammt.
Insbesondere in Anbetracht der Tatsache, dass auf Rechnungen seit Mitte 2003 die Steuernummer (inzwischen reicht auch die USt-ID) anzugeben ist, kann einem dies Bauchschmerzen bereiten.
Auch der Bundesdatenschutzbeauftragte Peter Schaar ist durch diesen Mangel an Authentifizierung beunruhigt, siehe zum Beispiel den Artikel bei heise online.
Die Lösung der Finanzverwaltung hierzu ist aber nicht weniger seltsam - in Anbetracht der Situation, dass sich die digitale Signatur nach wie vor nicht durchsetzen kann, sollen (sodann parallel zur digitalen Signatur) X.509 Zertifikate eingeführt werden, die dann von der Finanzverwaltung unterschrieben sind.
Soll heißen, man kann bei einem noch zu schaffenden Portal der Finanzverwaltung, unter Angabe von Steuernummer und weiteren Kriterien, ein eigenes Zertifikat abholen können. Wer dann Daten an die Clearingstelle übermitteln möchte (bzw. vielmehr muss), muss dann dieses Zertifikat mitsenden.
Oben beschriebenes Verfahren soll im Laufe des Jahres 2005 pilotiert werden und schon 2006 eingeführt werden.
Viel Spaß dann damit :-)
Ebenfalls interessant zum Thema ist das Editorial iX, Januar 2005, von Christian Kirch.
Digitale Signatur
Die von der Oberfinanzdirektion München veröffentlichte Elster-DTD sieht eine digitale Signatur grundsätzlich vor. Diese wird (so gefordert) im Tag <SigUser> im NutzdatenHeader erwartet. Sie ist gemäß PKCS#1 unter Anwendung des XML-DSig Formats zu bilden. Als Algorithmus ist RSA mit SHA1 zu verwenden, siehe hier.
Gegenwärtig ist jedoch weder für die Übermittlung von Steueranmeldungen noch bei den Lohnsteuerbescheinigungen eine solche erforderlich. Bei den Lohnsteuerbescheinigungen ist sie jedoch wenigstens vorgesehen.
Eigenwerbung ;)
Ich schreibe derzeit (zumindest soweit es mir die Zeit erlaubt) eine Anwendung namens Taxbird, die ungefähr das Selbe können soll, wie ElsterAnmeldung von der Finanzverwaltung. Zumindest in dem Rahmen, den die Coala Schnittstelle erlaubt.
-- StefanSiegl