Ungeschützter Geschäftsverkehr:
Warum E-Mail als Übertragungsweg für Rechnungen ungeeignet ist
Warum E-Mail als Übertragungsweg für Rechnungen ungeeignet ist
Das Schleswig-Holsteinische Oberlandesgericht (OLG) hat mit einem kürzlich gefällten Urteil (Az.: 12 U 9/24) ein deutliches Zeichen gesetzt: Der Versand von Rechnungen per E-Mail birgt erhebliche Sicherheitsrisiken und kann für Unternehmen teuer werden.
In dem verhandelten Fall wurde eine per E-Mail versandte, einfache PDF-Rechnung von Hackern erheblich manipuliert – mit gravierenden Folgen.
Was genau ist passiert?
Die unverschlüsselt per E-Mail übermittelte PDF-Rechnung wurde von den Hackern inhaltlich verändert. Und zwar so, dass die Kontodaten des Rechnungsstellers durch eine fremde Bankverbindung ersetzt wurden.
Mit fatalen Folgen: Der Kunde beglich die Rechnung auf das falsche Konto. Doch die Zahlung wurde vom OLG nun nicht als erfüllend anerkannt. Mit anderen Worten: das Geld ist weg, die Schuld ist aber nicht beglichen.
E-Mail-Urteil mit Signalwirkung
Allein das sollte bereits aufhorchen lassen – und bestätigt, wie unsicher der Versand von Transaktionsdokumenten wie Rechnungen per E-Mail sein kann. Doch das eigentliche Signal dieser Entscheidung liegt in einem anderen Punkt:
Das Gericht stellte nämlich auch klar, dass Unternehmen beim Versand von Rechnungen per E-Mail technische und organisatorische Maßnahmen ergreifen müssen, um eine Manipulation durch Dritte zu verhindern. Andernfalls könnten sie nicht nur finanziellen Schaden erleiden, sondern auch haftbar gemacht werden – beispielsweise nach Art. 82 DSGVO.
Was bedeutet das Urteil für die beiden betroffenen Parteien?
Folgen für den Rechnungssteller,
der die unverschlüsselte E-Mail verschickt hat
Das Unternehmen behält formal zwar seinen Anspruch auf die ursprünglich gestellte Rechnungssumme, da die Zahlung durch den Kunden nicht als Erfüllung der Zahlungspflicht gewertet wurde. Es ist jedoch schadenersatzpflichtig.
- Zusätzlich könnte das Unternehmen aufgrund von Datenschutzverstößen nach Art. 82 DSGVO haftbar gemacht werden, weil es beim Versand der Rechnung per E-Mail keine ausreichenden Sicherheitsmaßnahmen getroffen hat.
- Das Gericht stellt klar, dass eine reine Transportverschlüsselung (z. B. TLS) nicht ausreicht, um die Rechnung vor Manipulation zu schützen. Es wäre eine End-to-End-Verschlüsselung erforderlich gewesen.
- Das Unternehmen muss zukünftig sicherstellen, dass Rechnungen auf einem gesicherten Übertragungsweg (z. B. über Peppol oder E-Rechnungsplattformen) verschickt werden, um Haftungsrisiken zu vermeiden.
Für den Rechnungsempfänger,
der die Zahlung an den falschen Empfänger geleistet hat
Der Kunde müsste die Rechnung streng genommen erneut bezahlen, da die ursprüngliche Zahlung auf das falsche Konto ging und rechtlich nicht als Erfüllung der Schuld anerkannt wurde.
- Allerdings hat das Gericht dem Kunden einen Schadenersatzanspruch nach Art. 82 DSGVO zugesprochen. Das bedeutet, dass er den verlorenen Betrag theoretisch vom Unternehmen zurückfordern kann, weil dieses nicht genügend Schutzmaßnahmen getroffen hat.
- Dennoch bleibt für den Kunden eine große Unsicherheit: Ob er sein Geld tatsächlich zurückerhält, hängt davon ab, ob das Unternehmen finanziell in der Lage ist, den Schaden zu ersetzen.
Präzedenzwirkung und Signalwirkung des Urteils
Das Urteil zeigt deutlich, dass vor allem die Unternehmen für den sicheren Versand ihrer Rechnungen verantwortlich sind. Wer auf unsichere Übertragungswege wie E-Mail setzt und keine zusätzlichen Schutzmaßnahmen trifft, riskiert nicht nur finanzielle Verluste, sondern auch juristische Konsequenzen.
Zugleich stärkt das Urteil die Position von Rechnungsempfängern: Sie können sich in solchen Fällen auf Datenschutzverstöße berufen und Schadenersatz verlangen. In der Praxis bedeutet das, dass Unternehmen dringend von der Nutzung unsicherer Übertragungswege abrücken sollten.
Technischer Hintergrund: Darum ist E-Mail keine sichere Lösung für Rechnungen!
Seit Jahren warnen Digitalisierungs- und Geschäftsprozess-Spezialisten wie die erfahrenen Provider aus dem TRAFFIQX® Netzwerk davor, dass E-Mail als Transportweg für elektronische Rechnungen nicht mehr zeitgemäß ist. Die digitale Transformation der Geschäftsprozesse schreitet voran. Doch während Unternehmen zunehmend in IT-Sicherheitsmaßnahmen investieren, bleibt der Versand von Rechnungen per E-Mail oft ein Einfallstor für Betrug.
E-Mails sind angreifbar: Phishing, Spoofing und Man-in-the-Middle-Attacken sind bekannte Angriffsmethoden, die es Cyberkriminellen ermöglichen, Rechnungen zu manipulieren oder Kunden zu täuschen. Die einfache Transportverschlüsselung per TLS reicht nach Ansicht des OLG Schleswig nicht aus, um ein angemessenes Sicherheitsniveau zu gewährleisten. Vielmehr sollte End-to-End-Verschlüsselung zum Standard werden, um die Integrität von Rechnungsdokumenten zu schützen.
E-Rechnungsplattformen als zukunftssichere Alternative
Die Lösung für sichere Rechnungsübertragung liegt in modernen E-Rechnungsplattformen und Netzwerken wie Peppol. Diese Systeme sorgen für einen strukturierten und manipulationssicheren Datenaustausch zwischen Unternehmen und Behörden.
Ein wesentliches Argument für den Einsatz von Peppol & Co. ist die rechtssichere Dokumentation des Versand- und Empfangsprozesses. Denn Unternehmen, die ihre Rechnungen über solche Netzwerke austauschen, können jederzeit nachweisen
- wann eine Rechnung versendet wurde,
- in welcher Form sie beim Empfänger eingegangen ist und
- ob sie inhaltlich unverändert geblieben ist.
Ein Blick in die Zukunft: Digitale Meldesysteme erfordern sichere Übertragungswege
Mit der Einführung der verpflichtenden eRechnung in Deutschland ab 2025 und der ViDA-Initiative auf EU-Ebene beginnt ein struktureller Wandel im digitalen Rechnungsverkehr. Doch das ist nur der erste Schritt: Bis 2030 soll der gesamte B2B-Rechnungsprozess durch digitale Meldesysteme ergänzt werden, die eine Echtzeitmeldung an die Finanzbehörden ermöglichen.
Diese Entwicklung macht es umso dringlicher, dass Unternehmen auf sichere und automatisierte Prozesse setzen. Wer heute noch auf E-Mail als Rechnungsübertragungsweg vertraut, geht ein erhebliches Risiko ein und verpasst die Chance, sich frühzeitig auf die kommenden Anforderungen vorzubereiten.
Jetzt handeln und auf zukunftssichere Lösungen umsteigen!
Das Urteil des OLG Schleswig-Holstein unterstreicht die Notwendigkeit, den Rechnungsaustausch sicherer zu gestalten. Unternehmen, die weiterhin auf E-Mail setzen, setzen sich nicht nur dem Risiko finanzieller Verluste aus, sondern müssen auch mit Haftungsfragen rechnen.
Die digitale Rechnungsstellung ist keine Frage des "Ob", sondern des "Wie". Wer seine Prozesse frühzeitig auf sichere Übertragungswege wie Peppol oder spezialisierte E-Rechnungsplattformen umstellt, sichert nicht nur seine eigenen Abläufe ab, sondern sorgt auch für eine langfristig stabile und compliance-konforme Rechnungsverarbeitung.
Mit TRAFFIQX® gestalten Unternehmen schon heute ihre Rechnungsprozesse sicher, effizient und gesetzeskonform. Der Wandel ist in vollem Gange – gehen wir ihn gemeinsam an!
Sie wollen mehr erfahren? Vereinbaren Sie gleich einen kostenlosen Beratungstermin mit unserem Experten Lars Becher, Key Account Manager und Subject Matter Expert für eInvoicing und CTC im TRAFFIQX® Netzwerk.
Rufen Sie Ihn an: +49 (0)6359 - 9 37 90
