Aktuelle Anforderungen an die Sicherung des Rechnungsversands per E-Mail
Mit Urteil vom 10. Februar 2025 (Az. 12 U 9/24) hat das Schleswig-Holsteinische Oberlandesgericht die Anforderungen an die IT-Sicherheit beim elektronischen Versand von Rechnungen durch Unternehmer maßgeblich konkretisiert. Zentraler Bestandteil dieser Entscheidung ist die explizite Verpflichtung, beim Versand von Rechnungsdokumenten per E-Mail für ein angemessenes Schutzniveau im Hinblick auf die Vertraulichkeit personenbezogener Daten zu sorgen. Das Urteil verdeutlicht, dass bereits der Versand sensibler Dokumente wie Rechnungen grundsätzlich einer Ende-zu-Ende-Verschlüsselung bedarf, um datenschutzrechtlichen Vorgaben nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) zu entsprechen.
Rechtlicher Hintergrund: Schutz personenbezogener Daten im E-Mail-Verkehr
Das OLG Schleswig-Holstein hatte sich in der vorliegenden Sache mit der Frage auseinanderzusetzen, ob ein Unternehmer beim Versand von Rechnungen per E-Mail verpflichtet ist, technische und organisatorische Maßnahmen zu ergreifen, die einen Zugriff Unbefugter auf die darin enthaltenen personenbezogenen Daten ausschließen. Die konkrete Konstellation betraf die Übermittlung einer Rechnung, die neben üblichen Abrechnungsdaten auch persönliche Angaben des Rechnungsempfängers enthielt. Der Empfänger beanstandete das Fehlen einer Transport- oder gar Ende-zu-Ende-Verschlüsselung, da auf dem Übertragungsweg theoretisch Dritte Einblick in die vertraulichen Informationen hätten erhalten können.
Gemäß Art. 5 Abs. 1 lit. f DSGVO sowie Art. 32 DSGVO sind Verantwortliche verpflichtet, den Schutz personenbezogener Daten sowohl durch technische als auch organisatorische Maßnahmen sicherzustellen. Die Verschlüsselung elektronischer Kommunikation stellt dabei eine praxisrelevante Methode dar, um Integrität und Vertraulichkeit der Daten zu gewährleisten.
Anforderungen an die E-Mail-Kommunikation: Die Entscheidung des Gerichts
Die Schleswig-Holsteinischen Richter betonten, dass bereits beim Versand von Rechnungen – selbst wenn diese auf den ersten Blick weniger sensibel erscheinen als andere personenbezogene Daten – ein erhöhtes Schutzbedürfnis bestehe. Rechnungen können neben Name und Anschrift auch Angaben zum Verbraucherverhalten, Bankverbindungen, Vertragsgegenständen oder weiteren schützenswerten Informationen enthalten. Der Zugriff Unbefugter auf solche Informationen kann zu erheblichen Nachteilen für die betroffene Person führen.
Das Gericht stellte klar, dass die Nichtanwendung einer Ende-zu-Ende-Verschlüsselung beim Versand einer Rechnung den Anforderungen der DSGVO nicht genügt, sofern keine Vereinbarung mit dem Empfänger besteht, auf derartige Schutzmaßnahmen ausdrücklich zu verzichten und dieser dabei umfassend aufgeklärt wurde. Solch ein Verzicht müsse nachvollziehbar dokumentiert und freiwillig erfolgen.
Praktische Tragweite für Unternehmen und die Bedeutung des Urteils
Das Urteil gibt Anlass, interne Prozesse zum elektronischen Dokumentenversand kritisch zu überprüfen. IT-Sicherheit wird aus datenschutzrechtlicher Sicht nicht allein auf die Absicherung des eigenen IT-Systems beschränkt, sondern umfasst auch den sicheren externen Datentransfer. Unternehmen, die wiederholt oder automatisiert Rechnungen per E-Mail an Kunden oder Geschäftspartner versenden, stehen vor der Herausforderung, eine sichere Übermittlung zu gewährleisten. Dies kann – je nach technischer Infrastruktur und Geschäftsmodell – die Implementierung verschlüsselungsbasierter Kommunikationssysteme oder individueller Kommunikationsvereinbarungen mit den Adressaten notwendig machen.
In Bezug auf Haftungsfragen weist das OLG darauf hin, dass Verstöße gegen die datenschutzrechtlichen Pflichten zu Schadensersatzansprüchen gemäß Art. 82 DSGVO führen können. Der Nachweis, dass sämtliche einzuhaltenden Schutzmaßnahmen technisch und organisatorisch umgesetzt wurden, bleibt daher eine fortwährende Aufgabe für die datenverarbeitenden Stellen.
Weiterführende Implikationen und ausgewählte offene Fragen
Wechselspiel mit anderen Rechtsvorschriften
Neben der DSGVO sind weitere Vorschriften zu beachten. So kann etwa die Abgabenordnung (AO) und das Handelsgesetzbuch (HGB) Anforderungen an die Aufbewahrung und die Unverfälschbarkeit elektronischer Rechnungsdokumente stellen, während das Steuergeheimnis nach § 30 AO eigenen Schutzansprüchen unterliegt.
Laufende Entwicklungen im IT-Sicherheitsrecht
Angesichts der schnellen Entwicklung technischer Standards und regelmäßiger Neubewertung des Stands der Technik nach Art. 32 DSGVO muss die Angemessenheit getroffener Sicherheitsmaßnahmen stets an aktuelle Anforderungen angepasst werden. Das Schleswig-Holsteinische Oberlandesgericht betont hierbei ausdrücklich, dass der Stand der Technik ständigen Veränderungen unterliegt und Unternehmen zu einer regelmäßigen Überprüfung und Anpassung verpflichtet sind.
Vertrauensschutz und Haftungsrisiken
Das Urteil unterstreicht, dass für Unternehmen erheblicher Handlungsbedarf bestehen kann, Vertrauensschutz gegenüber Kunden und Geschäftspartnern sicherzustellen. In Streitfällen kann es entscheidend sein, hinsichtlich ergriffener Maßnahmen klar dokumentiert und transparent vorzugehen, um etwaigen Regress- und Schadensersatzansprüchen wirkungsvoll begegnen zu können.
Ausblick
Die Entscheidung aus Schleswig-Holstein kann als Leitlinie für den Umgang mit sensiblen Dokumentenversänden per E-Mail dienen und legt die Messlatte für den Datenschutz im unternehmerischen Alltag hoch. Unternehmen sehen sich damit hohen Erwartungen hinsichtlich Verschlüsselungstechnologien und gezielter Risikoabschätzung gegenüber.
Für weitere Klärung konkreter Rechtsfragen oder bei Unsicherheiten im Zusammenhang mit den Anforderungen an die sichere elektronische Kommunikation stehen die Rechtsanwälte von MTR Legal Rechtsanwälte gern zur Verfügung.
