Online-Forum für Betriebswirtschaft, Wirtschaftsrecht und Steuerrecht der Versorgungs- und kommunalen Unternehmen

Elektronische Rechnungen – wie sicher übertragen?

30.03.2025 Seit Januar 2025 müssen Unternehmen in Deutschland elektronische Rechnungen empfangen und archivieren können. Bei der elektronischen Rechnung handelt es sich um ein sog. strukturiertes Format, welches die Vorgaben der EN 16931 erfüllt. Ein strukturiertes Format ist i.d.R. ein XML-Dokument, aus welchem die Rechnungsangaben nur mit hohem Aufwand entnommen werden können oder indem ein Drittprogramm verwendet wird.

Rechnungen für Dienstleistungen oder Lieferungen per E-Mail zu versenden, ist ein einfacher, aber riskanter Weg. Das lehrt ein Fall, der vor dem OLG Schleswig verhandelt wurde. Eine mit der Rechnung als Anhang versandte PDF-Datei eines Installationsbetriebs wurde von Betrügern abgefangen und die tatsächlichen Kontodaten durch die Kontodaten der Betrüger ersetzt. Die gefälschte Rechnung landete dann mit der originalen EMail-Adresse des tatsächlichen Rechnungsstellers im Postfach des Empfängers. Dieser hatte die Manipulation aber nicht erkannt und auf das falsche Konto überwiesen. Vor Gericht stellte sich die Frage, ob er damit von den Forderungen des Handwerksbetriebs frei geworden sei.

Erfüllt habe der Kunde die Forderung des Handwerksbetriebs mit der Zahlung zwar nicht, führt das OLG mit seinem Urteil vom 18.12.2024 – 12 U 9/24 aus. Noch einmal zahlen müsse er aber dennoch nicht: Der Kunde hafte nicht, wenn eine Rechnung auf dem Weg zu ihm manipuliert werde. Es besteht nach Auffassung des Gerichts ein Schadensersatzanspruch des Kunden gegen den Installateur, den es der Werklohnforderung nach § 242 BGB entgegenhalten könne. Dieser ergebe sich aus Art. 82 Abs. 2 Datenschutz- Grundverordnung (DS-GVO). Der Installationsbetrieb habe mit der Rechnungsstellung personenbezogene Daten der Auftraggeberin computertechnisch verarbeitet und deswegen die in Art. 5, 24 und 32 DS-GVO enthaltenen Grundsätze beachten müssen. Das habe er mit Versand der Rechnung als E-Mail-Anhang nicht getan.

Die Transportverschlüsselung, die das Unternehmen beim Versand der Mail in Form von SMTP über TLS verwendet haben will, sei unzureichend und nicht zum Schutz der Daten „geeignet“ im Sinne der DS-GVO. Gerade bei sensiblen oder persönlichen Inhalten komme nur eine Ende- zu-Ende-Verschlüsselung in Betracht, wenn durch Verfälschung der angehängten Rechnung für den Kunden ein hohes finanzielles Risiko besteht. Dass Kunden von Unternehmen bei einem Datenhacking Vermögenseinbußen drohen, wertet das OLG als Risiko, das dem Versand von Rechnungen per E-Mail immanent ist, und fordert deshalb eine entsprechende Voraussicht und ein proaktives Handeln der Unternehmen.

Den dafür erforderlichen technischen und finanziellen Aufwand müsse auch ein mittelständischer Handwerksbetrieb auf sich nehmen. Helfen kann es z.B., eine E-Mail-Adresse zu verwenden, die nicht einsehbar ist. Oder ein Übertragungsportal zu nutzen, in dem E-Mails über ein geschlossenes Netzwerk ausgetauscht werden – oder die Rechnungen eben wie früher per Post zu verschicken.

– MS –

Zurück zur Übersicht der aktuellen Meldungen
Copyright 2025 vkw-online

Autoren:

Fachartikel:

Erweiterte Suche