Huidige eisen aan de beveiliging van het verzenden van facturen per e-mail
Met een uitspraak van 10 februari 2025 (zaaknr. 12 U 9/24) heeft het Oberlandesgericht van Schleswig-Holstein de eisen aan IT-beveiliging bij elektronische verzending van facturen door ondernemers aanzienlijk geconcretiseerd. Centraal in deze beslissing staat de expliciete verplichting om bij het verzenden van factuurdocumenten per e-mail te zorgen voor een passend beschermingsniveau met betrekking tot de vertrouwelijkheid van persoonsgegevens. De uitspraak maakt duidelijk dat reeds het versturen van gevoelige documenten zoals facturen in principe end-to-end-encryptie vereist om te voldoen aan de privacyvoorschriften van de Algemene Verordening Gegevensbescherming (AVG) en de Bundesdatenschutzgesetz (BDSG).
Juridische achtergrond: Bescherming van persoonsgegevens in e-mailverkeer
Het OLG Schleswig-Holstein moest zich in deze zaak buigen over de vraag of een ondernemer bij het versturen van facturen per e-mail gehouden is technische en organisatorische maatregelen te nemen die toegang voor onbevoegden tot de daarin opgenomen persoonsgegevens uitsluiten. De specifieke situatie betrof de verzending van een factuur die, naast de gebruikelijke factuurgegevens, ook persoonlijke gegevens van de ontvanger bevatte. De ontvanger beklaagde zich over het ontbreken van transport- of zelfs end-to-end-encryptie, omdat derden in theorie tijdens de overdracht inzage hadden kunnen krijgen in de vertrouwelijke informatie.
Volgens art. 5 lid 1 sub f AVG en art. 32 AVG zijn verantwoordelijken verplicht om de bescherming van persoonsgegevens zowel door technische als organisatorische maatregelen te waarborgen. Encryptie van elektronische communicatie is hierbij een bruikbare methode om de integriteit en vertrouwelijkheid van de gegevens te garanderen.
Eisen aan e-mailcommunicatie: De beslissing van de rechtbank
De rechters in Schleswig-Holstein benadrukten dat er al bij het versturen van facturen – ook als deze op het eerste gezicht minder gevoelig lijken dan andere persoonsgegevens – een verhoogde beschermingsbehoefte bestaat. Facturen kunnen naast naam en adres ook informatie bevatten over consumentengedrag, bankgegevens, contractonderdelen en andere beschermwaardige informatie. Toegang door onbevoegden tot dergelijke gegevens kan aanzienlijke nadelen opleveren voor de betrokkene.
De rechtbank stelde duidelijk dat het niet toepassen van end-to-end-encryptie bij het versturen van een factuur niet voldoet aan de eisen van de AVG, tenzij met de ontvanger ondubbelzinnig is overeengekomen om van dergelijke beschermingsmaatregelen af te zien en deze daarbij volledig is geïnformeerd. Een dergelijk afstand doen moet begrijpelijk worden gedocumenteerd en uit vrije wil geschieden.
Praktisch belang voor ondernemingen en het belang van de uitspraak
De uitspraak is aanleiding om interne processen rond het elektronisch verzenden van documenten kritisch te evalueren. IT-beveiliging wordt vanuit privacyoogpunt niet beperkt tot de bescherming van het eigen IT-systeem, maar omvat ook de beveiligde overdracht van gegevens naar buiten. Ondernemingen die herhaaldelijk of geautomatiseerd facturen per e-mail aan klanten of zakenpartners sturen, staan voor de uitdaging om een veilige verzending te waarborgen. Afhankelijk van de technische infrastructuur en het bedrijfsmodel kan dit de implementatie van encryptiegebaseerde communicatiesystemen of individuele communicatieafspraken met de geadresseerden noodzakelijk maken.
Met betrekking tot aansprakelijkheidskwesties wijst het OLG erop dat schendingen van de privacyverplichtingen kunnen leiden tot schadevergoedingsclaims op basis van art. 82 AVG. Het aantonen dat alle verplichte beschermingsmaatregelen technisch en organisatorisch zijn geïmplementeerd, blijft dan ook een voortdurende taak voor de verantwoordelijke gegevensverwerkende partijen.
Verdere implicaties en geselecteerde openstaande vragen
Samenspel met andere rechtsvoorschriften
Naast de AVG zijn er andere voorschriften die in acht moeten worden genomen. Zo kan bijvoorbeeld de Abgabenordnung (AO) en het Handelsgesetzbuch (HGB) eisen stellen aan de bewaring en onveranderbaarheid van elektronische factuurdocumenten, terwijl het fiscale geheim volgens § 30 AO onder eigen beschermingsbepalingen valt.
Voortdurende ontwikkelingen in het IT-beveiligingsrecht
Gezien de snelle ontwikkeling van technische standaarden en de regelmatige herbeoordeling van de stand van de techniek volgens art. 32 AVG, moet de geschiktheid van genomen beveiligingsmaatregelen voortdurend aan de actuele eisen worden aangepast. Het Oberlandesgericht Schleswig-Holstein wijst er daarbij expliciet op dat de stand van de techniek continu verandert en dat bedrijven verplicht zijn tot regelmatige controle en aanpassing.
Bescherming van vertrouwen en aansprakelijkheidsrisico’s
De uitspraak benadrukt dat er voor bedrijven aanzienlijke noodzaak tot handelen kan bestaan om het vertrouwen van klanten en zakenpartners te waarborgen. In geschilgevallen kan het doorslaggevend zijn om duidelijke documentatie en transparantie rond de genomen maatregelen te kunnen overleggen — om zo effectief verhaals- en schadeclaims het hoofd te bieden.
Vooruitzicht
De uitspraak uit Schleswig-Holstein kan dienen als leidraad voor de omgang met gevoelige documentverzending per e-mail en legt de lat voor privacybescherming in het dagelijkse bedrijfsleven hoog. Ondernemingen worden daardoor geconfronteerd met hoge verwachtingen rondom encryptietechnologie en gerichte risicoafweging.
Voor verdere verduidelijking van specifieke rechtsvragen of bij onzekerheden over de eisen aan veilige elektronische communicatie staan de advocaten van MTR Legal Rechtsanwalt graag tot uw beschikking.
