Mit dem Inkrafttreten des RRSIF (Verordnung über die Anforderungen an Fakturierungsinformationssysteme) im Jahr 2027 muss jedes in Spanien verwendete Fakturierungsprogramm eine Liste technischer Anforderungen erfüllen, die weit über das hinausgeht, was die meisten Freiberufler und KMU gewohnt sind. Es genügt nicht mehr, dass die Rechnung die Daten des Ausstellers, den Gegenstand und den Betrag enthält: Das System, das sie erzeugt, muss nun die Integrität, Rückverfolgbarkeit und Unveränderlichkeit jedes Datensatzes gewährleisten, und die Rechnung selbst muss neue Elemente wie den steuerlichen QR-Code enthalten. Dieser Artikel sammelt alle Anforderungen im Checklisten-Format, damit Sie überprüfen können, ob Ihre aktuelle Software konform ist — oder genau wissen, was Sie vom Anbieter verlangen müssen.
Die zwei Ebenen der Anforderungen
Das RD 1007/2023 operiert auf zwei Ebenen, die nicht verwechselt werden sollten:
Ebene 1: Das Fakturierungsinformationssystem (SIF). Dies sind die Anforderungen, die das Fakturierungsprogramm als Software erfüllen muss: wie es Datensätze erzeugt, schützt, verkettet und aufbewahrt. Geregelt hauptsächlich in den Artikeln 7, 8, 10, 11 und 12 des RD 1007/2023 und entwickelt in der Orden HAC/1177/2024.
Ebene 2: Die Rechnung als Dokument. Dies sind die zusätzlichen Elemente, die die ausgestellte Rechnung in ihrer sichtbaren Darstellung (Papier oder elektronisch) enthalten muss: der QR-Code, der VeriFactu-Vermerk (falls zutreffend) und die Mindestdaten gemäß der Fakturierungspflichtenverordnung (RD 1619/2012), die weiterhin gilt und ergänzend ist.
SIF-Anforderungen (die Software)
Allgemeine Grundsätze (Art. 8 RD 1007/2023)
Das Informationssystem muss sechs wesentliche Eigenschaften der Fakturierungsdatensätze gewährleisten:
- Integrität: Datensätze können nicht ohne Spuren verändert werden.
- Aufbewahrung: Sie müssen für den gesetzlichen Zeitraum gespeichert werden (mindestens 4 Jahre).
- Zugänglichkeit: Die Steuerbehörde muss auf sie zugreifen und sie extrahieren können.
- Lesbarkeit: Sie müssen in einem elektronisch lesbaren Format vorliegen.
- Rückverfolgbarkeit: Jeder Datensatz muss zu seinem Ursprung zurückverfolgt werden können.
- Unveränderlichkeit: Ein einmal erzeugter Datensatz kann weder geändert noch gelöscht werden.
Registrierungsdatensatz (Art. 10 RD 1007/2023)
Für jede ausgestellte Rechnung (vollständig oder vereinfacht) muss das SIF gleichzeitig mit oder unmittelbar vor der Rechnung einen Datensatz erzeugen, der mindestens enthält:
| Feld | Beschreibung |
|---|---|
| Steuer-ID (NIF) des Ausstellers | Steueridentifikationsnummer des zur Rechnungsausstellung Verpflichteten |
| Name/Firma des Ausstellers | Vollständiger Name oder Firmenbezeichnung |
| Steuer-ID (NIF) des Empfängers | Wenn nach RD 1619/2012 erforderlich |
| Name/Firma des Empfängers | Wenn erforderlich |
| Rechnungsaussteller | Angabe, ob vom Verpflichteten selbst, vom Empfänger oder von einem Dritten ausgestellt |
| ID und Name des Dritten/Empfänger-Ausstellers | Falls zutreffend (Art. 5 und 6 RD 1007/2023) |
| Rechnungsnummer | Und Serie, falls vorhanden |
| Ausstellungsdatum | Der Rechnung |
| Leistungsdatum | Wenn abweichend vom Ausstellungsdatum |
| Rechnungstyp | Vollständig oder vereinfacht |
| Regimeschlüssel | Anwendbares USt-Regime |
| Leistungsbeschreibung | Rechnungsgegenstand |
| Bemessungsgrundlage | Nach Steuersatz |
| Steuersatz | Angewandter USt-Prozentsatz |
| Erhobene Steuer | USt-Betrag |
| Gesamtbetrag | Der Rechnung |
| Steuerbefreite Bemessungsgrundlage | Bei USt-befreiten Umsätzen, mit Angabe des Grundes |
| Nicht steuerbare Bemessungsgrundlage | Bei nicht steuerbaren Umsätzen, mit Angabe des Grundes |
| Gleichwertigkeitszuschlag | Falls zutreffend |
| Einbehaltung | Bei Einkommensteuer- oder anderer Einbehaltung |
| Daten des vorherigen Datensatzes | Nummer, Serie, Datum und erste 64 Zeichen des Hashs des unmittelbar vorhergehenden Datensatzes (Verkettung) |
| SIF-Identifikation | Systemidentifikationscode, Name, Version und Steuer-ID des Herstellers |
| Erzeugungsdatum und -zeit | Des Datensatzes selbst (Datum, Stunde, Minute und Sekunde) |
| Fingerabdruck (Hash) | SHA-256-Hash, berechnet über die Felder des Datensatzes |
Stornierungsdatensatz (Art. 11 RD 1007/2023)
Bei Stornierung einer Rechnung muss das SIF einen Stornierungsdatensatz erzeugen, der mit dem ursprünglichen Registrierungsdatensatz verknüpft ist. Er enthält:
- Steuer-ID und Name des Stornierenden.
- Angabe, wer die Stornierung erzeugt (Verpflichteter, Empfänger oder Dritter).
- Nummer, Serie und Datum der stornierten Rechnung (Verweis auf den ursprünglichen Registrierungsdatensatz).
- Verkettungsdaten mit dem vorherigen Datensatz.
- SIF-Identifikation.
- Erzeugungsdatum und -zeit.
- Hash des Stornierungsdatensatzes.
Ein Stornierungsdatensatz löscht nicht den ursprünglichen Registrierungsdatensatz — er ergänzt ihn. Der Originaldatensatz bleibt intakt und unveränderlich im System.
Digitaler Fingerabdruck und Verkettung (Art. 12 RD 1007/2023)
Jeder Fakturierungsdatensatz (Registrierung oder Stornierung) muss einen digitalen Fingerabdruck enthalten, der mittels der Funktion SHA-256 über definierte Felder berechnet wird. Dieser Fingerabdruck stellt sicher, dass jede nachträgliche Änderung des Inhalts erkennbar ist.
Zusätzlich muss jeder neue Datensatz die ersten 64 Zeichen des Hashs des unmittelbar vorhergehenden Datensatzes zusammen mit dessen Rechnungsnummer, Serie und Datum enthalten. Dies erzeugt eine kryptografische Kette, in der jeder Datensatz vom vorherigen abhängt — wird ein Datensatz verändert oder gelöscht, bricht die Kette und das System muss einen Alarm auslösen.
Vor der Erzeugung eines neuen Datensatzes muss das SIF überprüfen, ob der letzte bestehende Datensatz korrekt verkettet ist. Erkennt es einen Bruch in der Integritätskette, muss es ein Anomalie-Ereignis protokollieren.
Ereignisprotokoll (nur No-VeriFactu)
Im No-VeriFactu-Modus (wenn die Datensätze nicht an die AEAT gesendet werden) muss das SIF ein unveränderliches Ereignisprotokoll führen, das dokumentiert:
- Systemstarts und -abschaltungen.
- Erkannte Anomalien in der Verkettung.
- Erkennungen von Manipulationen oder Änderungsversuchen.
- Änderungen der Systemkonfiguration.
- Alle für die Rückverfolgbarkeit relevanten Vorfälle.
Im VeriFactu-Modus ist das Ereignisprotokoll nicht verpflichtend, da die Datensatzverwahrung bei der AEAT liegt.
Elektronische Signatur
- VeriFactu-Modus: Lokale elektronische Signaturen für jeden Datensatz sind nicht erforderlich. Datensätze gelten als signiert, wenn sie mit dem elektronischen Zertifikat des Steuerpflichtigen oder seines Vertreters an die AEAT übermittelt werden.
- No-VeriFactu-Modus: Eine qualifizierte elektronische Signatur ist für jeden Fakturierungs- und Ereignisdatensatz erforderlich, als Mechanismus zur Gewährleistung von Authentizität und Integrität bei fehlender AEAT-Übermittlung.
Verantwortungserklärung (Art. 13 RD 1007/2023)
Der SIF-Hersteller oder -Produzent muss eine Verantwortungserklärung (Declaración Responsable) ausstellen, die bescheinigt, dass das System alle Anforderungen des RD 1007/2023 und der Orden HAC/1177/2024 erfüllt. Diese Erklärung muss:
- Die Software identifizieren (Name, Version, Identifikationscode).
- Den Hersteller identifizieren (Firmenbezeichnung, Steuer-ID).
- Datiert und unterzeichnet sein.
- Leicht aus der Software heraus oder von der Website des Herstellers zugänglich sein.
- Mit jeder neuen Softwareversion aktualisiert werden.
- Nicht von Dritten oder vom Nutzer veränderbar sein.
Ohne diese Erklärung gilt die Software als nicht konform und ihre Nutzung kann Bußgelder von bis zu 50.000 € pro Geschäftsjahr nach sich ziehen.
Rechnungsanforderungen (das Dokument)
Steuerlicher QR-Code (Art. 6.5 RD 1619/2012, geändert)
Jede über ein an das RRSIF angepasstes SIF ausgestellte Rechnung muss einen QR-Code enthalten mit:
- Steuer-ID des Ausstellers.
- Steuer-ID des Empfängers (bei vollständigen Rechnungen).
- Rechnungsnummer und Serie.
- Ausstellungsdatum.
- Gesamtbetrag.
- Rechnungstyp.
- Informationen über das erzeugende System.
Technische Spezifikationen:
- Größe: zwischen 30×30 mm und 40×40 mm.
- Norm: ISO/IEC 18004.
- Position: am Anfang der Rechnung, sichtbar.
- Bei elektronischen Rechnungen kann der grafische QR durch seinen Inhalt im maschinenlesbaren Format ersetzt werden.
VeriFactu-Vermerk (nur wenn zutreffend)
Rechnungen, die von einem SIF im VeriFactu-Modus (mit Datensatzübermittlung an die AEAT) ausgestellt werden, müssen den Vermerk enthalten:
„Im elektronischen Portal der AEAT überprüfbare Rechnung" oder einfach „VERI*FACTU"
Im No-VeriFactu-Modus ausgestellte Rechnungen dürfen diesen Vermerk nicht enthalten.
Mindestrechnungsinhalt (RD 1619/2012, weiterhin gültig)
Das RD 1007/2023 ersetzt nicht die Fakturierungspflichtenverordnung (RD 1619/2012). Rechnungen müssen weiterhin die bereits verpflichtenden Daten enthalten: fortlaufende Nummer, Daten des Ausstellers und Empfängers, Beschreibung, Bemessungsgrundlage, USt-Satz, erhobene Steuer, Datum usw. Was das RRSIF hinzufügt, ist die Schicht der Systemanforderungen (Hash, Verkettung, QR) und die Pflichten des Softwareprodukts (Verantwortungserklärung, Ereignisprotokoll).
Visuelle Zusammenfassung: Compliance-Checkliste
Ihr SIF muss...
- Einen Registrierungsdatensatz für jede ausgestellte Rechnung erzeugen.
- Einen SHA-256-Hash für jeden Datensatz berechnen.
- Jeden Datensatz mit dem vorherigen verketten (erste 64 Zeichen des vorherigen Hashs).
- Kettenbrüche erkennen und Anomalien protokollieren.
- Datensätze mindestens 4 Jahre aufbewahren.
- Sicherstellen, dass Datensätze nicht ohne Spuren geändert oder gelöscht werden können.
- Datum und Uhrzeit (bis zur Sekunde) in jedem Datensatz enthalten.
- Das SIF (Name, Version, Code, Steuer-ID des Herstellers) in jedem Datensatz identifizieren.
- Eine zugängliche, aktuelle Verantwortungserklärung des Herstellers besitzen.
- Bei No-VeriFactu: jeden Datensatz elektronisch signieren und ein Ereignisprotokoll führen.
- Bei VeriFactu: Datensätze über eine sichere Verbindung an die AEAT übermitteln, mit automatischem Wiederholungsversuch bei Fehler.
Ihre Rechnung muss...
- Einen steuerlichen QR-Code (30-40 mm, ISO/IEC 18004) mit Identifikationsdaten enthalten.
- Bei VeriFactu: den Vermerk „Im elektronischen Portal der AEAT überprüfbare Rechnung" oder „VERI*FACTU" enthalten.
- Alle bisherigen Anforderungen des RD 1619/2012 erfüllen (Ausstellerdaten, Empfänger, Gegenstand, Bemessungsgrundlage, Steuersatz, erhobene Steuer, Gesamtbetrag, Datum, fortlaufende Nummer).
Was passiert, wenn meine Software diese Anforderungen nicht erfüllt?
Ab 2027 ist die Nutzung eines SIF, das diese Anforderungen nicht erfüllt, mit bis zu 50.000 € pro Geschäftsjahr für den Nutzer sanktionierbar, ohne dass die AEAT Betrug nachweisen muss. Dem Hersteller drohen Bußgelder von bis zu 150.000 € pro Geschäftsjahr für jedes verkaufte nicht konforme Programm.
Die Empfehlung ist klar: Fordern Sie die Verantwortungserklärung bei Ihrem Anbieter an, überprüfen Sie, ob sie für die von Ihnen verwendete Version aktuell ist, und konsultieren Sie im Zweifelsfall Ihren Steuerberater vor dem Pflichttermin.
Weiterführende Lektüre: VeriFactu vs No-VeriFactu: Unterschiede, Fristen 2027 und welchen Modus wählen
Weiterführende Lektüre: VeriFactu-Fakturierungssoftware 2027: 21 Programme im Vergleich
Weiterführende Lektüre: Elektronische Rechnungsstellung in Europa 2026-2030: Umsetzung Land für Land
InvoSeal erfüllt alle Anforderungen des RD 1007/2023 und der Orden HAC/1177/2024: SHA-256-Hash, Verkettung, steuerlicher QR, Ereignisprotokoll, elektronische Signatur und Verantwortungserklärung. Zudem bietet es dualen Modus (VeriFactu / No-VeriFactu), damit die Entscheidung bei Ihnen liegt. Lesen Sie unsere Dokumentation oder kontaktieren Sie uns.
Heute schon erledigt?
InvoSeal erfüllt RD 1007/2023 in beiden Modi — VeriFactu und No-VeriFactu — ab dem ersten Tag. Verantwortungserklärung veröffentlicht.
InvoSeal 14 Tage kostenlos testen →