Die Einführung der E-Rechnungspflicht ab dem 01.01.2025 markiert einen wichtigen Meilenstein in der Digitalisierung des Rechnungswesens. Fortan müssen B2B-Rechnungen in standardisierten, maschinenlesbaren Formaten wie XRechnung oder ZUGFeRD erstellt werden. Auch der Versand per E-Mail bleibt weiterhin möglich, was die Effizienz im Rechnungsprozess steigert – jedoch auch neue Sicherheitsanforderungen mit sich bringt. E-Mails sind ein zentraler Bestandteil des E-Rechnungsprozesses, aber gleichzeitig anfällig für Cyber-Angriffe wie Phishing, Spam, Ransomware oder Malware. Diese Bedrohungen können dazu führen, dass Rechnungen manipuliert, abgefangen oder sogar missbräuchlich verändert werden. Um solche Risiken zu minimieren, ist der Schutz der E-Mail-Kommunikation unverzichtbar.
Transportverschlüsselung reicht nicht aus bei Versand von E-Rechnung
Ein Urteil des Oberlandesgerichts (OLG) Schleswig vom 18.12.2024 (Az. 12 U 9/24) zeigt, dass mangelhafte Sicherheitsvorkehrungen dazu führen können, dass Unternehmen am Ende auf unbezahlten Forderungen sitzen bleiben.
Der Fall: Manipulierte Rechnung führt zur Fehlüberweisung
Im vorliegenden Fall erhielt ein Privatkunde eine Handwerkerrechnung über 15.000 € per E-Mail. Unbemerkt wurde diese unbefugt manipuliert, sodass die Bankverbindung verändert war. Der Kunde überwies den Betrag daraufhin an einen unbekannten Dritten. Erst später fiel der Betrug auf. Als der Handwerksbetrieb die Zahlung einforderte, verweigerte der Kunde diese mit der Begründung, bereits gezahlt zu haben. Zudem argumentierte er, dass die unsichere E-Mail-Kommunikation des Unternehmens den Betrug ermöglicht habe.
OLG: Unternehmen haftet für unzureichende Datensicherheit
Das Gericht entschied, dass die Überweisung auf das falsche Konto die Zahlungspflicht gegenüber dem Handwerksbetrieb nicht erfüllte. Allerdings könne der Kunde einen Schadensersatzanspruch nach Art. 82 DSGVO geltend machen. Der Handwerksbetrieb habe beim Versand der Rechnung gegen zentrale Datenschutzgrundsätze (Artt. 5, 24, 32 DSGVO) verstoßen, da die E-Mail nicht ausreichend geschützt war.
Transportverschlüsselung reicht nicht aus!
Besonders brisant: Das OLG stellte klar, dass die verwendete Transportverschlüsselung nicht den Anforderungen der DSGVO entsprach. Aufgrund des hohen Betrugsrisikos reiche diese Methode nicht aus, um personenbezogene Daten wie Bankverbindungen sicher zu übermitteln. Das Gericht empfahl stattdessen eine Ende-zu-Ende-Verschlüsselung.
Ende-zu-Ende-Verschlüsselung als Standard
Auch wenn eine Ende-zu-Ende-Verschlüsselung zusätzlichen technischen Aufwand erfordere, sei dies keine unzumutbare Belastung. Angesichts der steigenden Cyberkriminalität und bekannten Angriffsmethoden müsse auch ein mittelständisches Unternehmen geeignete Maßnahmen zur IT-Sicherheit ergreifen. Dazu gehören der Einsatz sicherer Software und die Beratung durch IT-Experten.
Fazit: Unternehmen müssen Sicherheitsstandards anpassen
Das Urteil setzt ein klares Signal: Unternehmen, die Rechnungen per E-Mail versenden, müssen für ausreichenden Datenschutz sorgen. Die alleinige Nutzung einer Transportverschlüsselung ist nach Ansicht des Gerichts nicht genug.
Die DSGVO gibt jedoch keine verbindliche Verschlüsselungsmethode vor, sondern verlangt einen risikobasierten Ansatz. Unternehmen müssen angemessene Schutzmaßnahmen ergreifen, die sich am individuellen Risiko orientieren. Eine generelle Verpflichtung zur Ende-zu-Ende-Verschlüsselung wäre mit diesem flexiblen Ansatz kaum vereinbar und würde die unternehmerische Entscheidungsfreiheit einschränken. Derzeit ist Ende-zu-Ende-Verschlüsselung im B2C-Bereich nicht etabliert, da viele Verbraucher nicht über die notwendigen technischen Mittel oder Kenntnisse verfügen. Technologien wie OpenPGP oder S/MIME erfordern spezielle Software und Know-how. Eine verpflichtende Ende-zu-Ende-Verschlüsselung könnte daher die Kommunikation zwischen Unternehmen und Kunden erheblich erschweren oder sogar verhindern.
Kombination aus Transportverschlüsselung
Aus meiner Sicht bietet die Kombination aus Transportverschlüsselung und einer digitalen Signatur bereits ein hohes Sicherheitsniveau. Die digitale Signatur stellt die Authentizität und Integrität der E-Mail sicher und kann Manipulationen verhindern, ohne die Kommunikation unnötig zu verkomplizieren.
Ein digitales Zertifikat dient dabei als Nachweis der Echtheit des Absenders. Es wird von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt und enthält den öffentlichen Schlüssel sowie die Identitätsdaten des Absenders. Beim Signieren einer E-Mail wird die Nachricht mit dem privaten Schlüssel des Absenders verschlüsselt, während der Empfänger die Signatur mit dem öffentlichen Schlüssel aus dem Zertifikat überprüft. So kann sichergestellt werden, dass die E-Mail tatsächlich von der angegebenen Person stammt und nicht nachträglich verändert wurde.