Regelmäßig erreichen uns beunruhigte Rückfragen von Kunden, die berichten, dass unsere ZUGFeRD-konformen PDF-Rechnungen angeblich „nicht valide“ seien. Die Quelle dieser Diagnose? Der sogenannte ZUGFeRD Validator des Mustang Projects – ein Open-Source-Werkzeug, das sich selbstbewusst zum Richter über PDF-Gültigkeit aufschwingt.
Die zentrale „Fehlermeldung“ lautet:
Das ZUGFeRD-PDF ist nicht valide.
Signatur: unknown
Klingt dramatisch. Ist es aber nicht. Ganz im Gegenteil: Diese Meldung ist fachlich falsch – und, man darf es wohl sagen, irreführend. Ob bewusst oder nur aus Übermut, bleibt offen.
Zunächst zur Beruhigung: Nein, diese Meldung bedeutet nicht, dass das PDF fehlerhaft ist. Und nein, sie hat rein gar nichts mit einer elektronischen Signatur im Sinne von eIDAS oder dem Signaturgesetz zu tun. Der Hinweis „Signatur: unknown“ bezieht sich nicht auf eine fehlgeschlagene Validierung, sondern lediglich auf das Nichtvorhandensein eines bestimmten (mehr oder weniger willkürlich festgelegten) Text-Schnipsels im PDF.
Denn was macht der „Validator“ eigentlich? Nun, keine tiefgreifende Validierung, keine Signaturprüfung, keine semantische Kontrolle. Stattdessen sucht er nach sogenannten Magic Strings – also nach Stichwörtern wie „Ghostscript“ oder „Lexware“, die in der PDF-Datei enthalten sein könnten. Fehlen diese, wird kurzerhand behauptet, das PDF sei „nicht valide“. Das ist in etwa so, als würde man behaupten, ein Auto sei kein Auto, nur weil kein „VW“-Logo drauf ist.
Wer es nicht glauben mag, möge selbst einen Blick in den Sourcecode werfen. Dort offenbart sich die ganze „Tiefe“ dieser Logik.
Fakt ist: Unsere PDFs entsprechen dem ZUGFeRD-Standard (z.B. ZUGFeRD 2.x, Profil EN_16931). Das eingebettete XML ist valide, strukturell korrekt und regelkonform. Und das PDF selbst? Technisch einwandfrei. Dass ein Open-Source-Tool mit begrenzter Prüfungstiefe daraus etwas anderes konstruiert, ist ärgerlich – und leider geeignet, bei Kunden unnötige Verunsicherung zu erzeugen.
Wir fordern daher: Wenn ein Tool sich „Validator“ nennt, sollte es auch valide Ergebnisse liefern – oder zumindest klarstellen, was es nicht prüft.