Verschlüsselung beim Rechnungsversand per E-Mail: Rechtliche Anforderungen, Risiken und Best Practices

Der digitale Rechnungsversand per E-Mail ist für Unternehmen inzwischen Standard. Doch Datenschutz und Sicherheit spielen dabei eine entscheidende Rolle. Neben technischen Aspekten sind insbesondere die rechtlichen Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu beachten. Welche Verschlüsselungsmethoden sind erforderlich, um die Integrität und Vertraulichkeit von Rechnungen sicherzustellen? Welche Konsequenzen drohen bei Missachtung? Dieser Beitrag gibt einen überblick über die aktuelle Rechtslage, gerichtliche Entscheidungen und Best Practices für Unternehmen.

1. Rechtliche Grundlagen: Warum ist Verschlüsselung beim Rechnungsversand notwendig?

1.1 Datenschutzrechtliche Anforderungen nach der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen dazu, personenbezogene Daten angemessen zu schützen. Da eine Rechnung Namen, Adressen, Rechnungsbeträge und gegebenenfalls Bankverbindungen enthält, handelt es sich um personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO.

Gemäß Art. 32 DSGVO müssen Verantwortliche und Auftragsverarbeiter "geeignete technische und organisatorische Maßnahmen" ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Verschlüsselung ist eine zentrale Maßnahme zur Wahrung der Vertraulichkeit elektronischer Kommunikation.

1.2 IT-Sicherheitsgesetz und branchenspezifische Vorgaben

Neben der DSGVO sind branchenspezifische Regelungen zu beachten, etwa die Anforderungen an Berufsgeheimnisträger gemäß § 203 StGB oder die IT-Sicherheitsrichtlinien der Finanz- und Gesundheitsbranche. Unternehmen, die Rechnungen mit sensiblen Kundendaten versenden, sind angehalten, hohe Sicherheitsstandards einzuhalten.

2. Gerichtliche Entscheidungen zur Verschlüsselung beim Rechnungsversand

2.1 OLG Schleswig: Ende-zu-Ende-Verschlüsselung ist notwendig

Das Oberlandesgericht Schleswig (Urteil vom 18. Dezember 2024, Az. 12 U 9/24) entschied, dass eine Transportverschlüsselung allein nicht ausreicht, um den gesetzlichen Anforderungen der DSGVO zu genügen. In dem Fall wurde eine unverschlüsselte Rechnung abgefangen und manipuliert, wodurch der Kunde einen erheblichen finanziellen Schaden erlitt. Das Gericht stellte fest:

"Nach Ansicht des Senats ist eine reine Transportverschlüsselung beim Versand von geschäftlichen E-Mails mit personenbezogenen Daten nicht ausreichend und kann keinen 'geeigneten' Schutz im Sinne der DSGVO darstellen. Vielmehr ist die Ende-zu-Ende-Verschlüsselung zurzeit das Mittel der Wahl."

Dieses Urteil legt nahe, dass Unternehmen den Rechnungsversand mittels sicherer Verschlüsselungsmethoden umsetzen müssen, um Haftungsrisiken zu minimieren.

2.2 Weitere relevante Urteile und Aufsichtsbehörden-Stellungnahmen

Bereits zuvor haben Datenschutzaufsichtsbehörden klargestellt, dass eine unverschlüsselte E-Mail-Kommunikation nicht DSGVO-konform ist. Die Bayerische Datenschutzbehörde befand in einem ähnlichen Fall, dass ein Unternehmen gegen Art. 32 DSGVO verstoßen hatte, weil es E-Mails mit sensiblen Informationen unverschlüsselt verschickte (Az. 2023/DSGVO-BA). Unternehmen sollten sich daher nicht nur auf allgemeine Verschlüsselungsstandards verlassen, sondern die spezifischen Anforderungen der Datenschutzbehörden prüfen.

3. Verschlüsselungsmethoden im Rechnungsversand: Ein Überblick

3.1 Transportverschlüsselung vs. Ende-zu-Ende-Verschlüsselung

Es gibt zwei Hauptmethoden zur Absicherung der E-Mail-Kommunikation:

• Transportverschlüsselung (TLS): Verschlüsselt die Verbindung zwischen Mailservern, sodass E-Mails nicht während der Übertragung abgefangen werden können. Allerdings bleiben die E-Mails auf den Mailservern unverschlüsselt gespeichert.
• Ende-zu-Ende-Verschlüsselung (S/MIME, PGP/GPG): Verschlüsselt die gesamte E-Mail inklusive Anhang, sodass nur der vorgesehene Empfänger sie entschlüsseln kann. Selbst die Mailserver des Anbieters haben keinen Zugriff auf den Inhalt.

3.2 Sichere Alternativen: Kundenportale und gesicherte PDF-Dokumente

• Kundenportale: Rechnungen werden in einem geschützten Portal hinterlegt, auf das der Kunde über einen personalisierten Link zugreifen kann. Dies bietet eine höhere Sicherheit als der direkte Versand per E-Mail.
• Passwortgeschützte PDFs: Eine einfache, aber weniger sichere Alternative ist die Versendung von Rechnungen als passwortgeschütztes PDF. Das Passwort sollte auf einem separaten Weg (z.B. per SMS) übermittelt werden.

4. Empfehlungen für Unternehmen: So setzen Sie eine sichere E-Mail-Verschlüsselung um

Um rechtliche Risiken zu vermeiden, sollten Unternehmen folgende Maßnahmen ergreifen:

1. Einrichtung einer Ende-zu-Ende-Verschlüsselung: Implementieren Sie S/MIME oder PGP/GPG zur sicheren Kommunikation mit Kunden.
2. Einsatz sicherer Mail-Gateways: Nutzen Sie Gateways, die automatische Verschlüsselung für ausgehende Rechnungs-E-Mails bieten.
3. Schulung der Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter für Datenschutz und IT-Sicherheit.
4. Kundenkommunikation optimieren: Informieren Sie Kunden darüber, wie sie verschlüsselte E-Mails empfangen und entschlüsseln können.
5. Regelmäßige Sicherheitsupdates und Compliance-Prüfungen: Überprüfen Sie Ihre Verschlüsselungslösungen regelmäßig auf Sicherheitslücken und aktualisieren Sie diese entsprechend.

5. Fazit

Die Anforderungen an die E-Mail-Verschlüsselung sind durch aktuelle Urteile und die DSGVO klar definiert. Unternehmen, die Rechnungen per E-Mail versenden, sollten nicht nur Transportverschlüsselung nutzen, sondern auf Ende-zu-Ende-Verschlüsselung setzen oder alternative Lösungen wie Kundenportale implementieren. Eine konsequente Umsetzung von Sicherheitsmaßnahmen schützt nicht nur die Kunden, sondern auch das eigene Unternehmen vor rechtlichen und finanziellen Risiken.