Gericht macht E-Mail-Rechnungen zur Haftungsfalle

Veröffentlicht: 10.02.2025

Aktualisierung: 10.02.2025

Geschrieben von: Yvonne Bachmann

Lesezeit: ca. 2 Min.

10.02.2025

ca. 2 Min.

In einem digitalen Umfeld sind mehrere Sicherheitsschlösser zu sehen

Dmitrydesign / Depositphotos.com

Das OLG Schleswig hat entschieden: Wer Rechnungen per E-Mail versendet, muss mehr für die IT-Sicherheit tun. Was bedeutet das Urteil?

Inhaltsverzeichnis

1. Handel in der Pflicht: Das OLG Schleswig-Urteil zur E-Mail-Verschlüsselung

2. Rechtliche Einordnung: Was bedeutet das Urteil konkret?

3. Fazit: Sicherheitsniveau erhöhen, aber pragmatisch bleiben

Inhaltsverzeichnis

1. Handel in der Pflicht: Das OLG Schleswig-Urteil zur E-Mail-Verschlüsselung

2. Rechtliche Einordnung: Was bedeutet das Urteil konkret?

3. Fazit: Sicherheitsniveau erhöhen, aber pragmatisch bleiben

Obwohl sie im Verbrauchergeschäft meist gar keine Pflicht sind, sind Rechnungen, die per Mail versandt werden, im Online-Handel gang und gäbe. Aber dahingehend ist auch die Sicherheit der enthaltenen sensiblen Daten ein wichtiger Aspekt. Das OLG Schleswig verlangt eine ausreichende Verschlüsselung. Was bedeutet das konkret und welche Optionen haben Online-Shops?

Handel in der Pflicht: Das OLG Schleswig-Urteil zur E-Mail-Verschlüsselung

Das Oberlandesgericht (OLG) Schleswig hat mit seinem Urteil vom 18. Dezember 2024 (Az.: 12 U 9/24) eine klare Ansage gemacht: Unternehmen, die Rechnungen per E-Mail verschicken, müssen deren Sicherheit deutlich erhöhen. In dem zugrunde liegenden Fall manipulierten unbekannte Dritte eine per E-Mail versandte Bau-Rechnung, änderten die Bankverbindung und veranlassten so eine Fehlüberweisung in Höhe von 15.000 Euro auf das Konto der Kriminellen.

Das Gericht entschied, dass eine einfache Transportverschlüsselung nicht ausreicht, sondern eine Ende-zu-Ende-Verschlüsselung erforderlich sei, um dem Schutz sensibler Daten zu genügen. Das Gericht argumentierte, dass bei einem hohen finanziellen Risiko durch mögliche Verfälschungen eine reine Transportverschlüsselung keinen „geeigneten“ Schutz darstellt.

Das Bauunternehmen konnte die Zahlung trotz der möglicherweise offensichtlichen Manipulationen (z. B. neues Layout, andere Bankverbindung) nicht noch einmal von der Kundin verlangen, sondern ging leer aus.

Rechtliche Einordnung: Was bedeutet das Urteil konkret?

Die DSGVO verpflichtet Unternehmen dazu, angemessene Schutzmaßnahmen für personenbezogene Daten zu ergreifen. Die Wahl der Mittel richtet sich nach dem Risiko. Laut OLG Schleswig reicht eine einfache Transportverschlüsselung (TLS) für eine E-Mail mit Bankdaten nicht aus, da Angreifer während des Transports oder durch Phishing die Daten manipulieren können.

Allerdings hat dieses Urteil in der Fachwelt Diskussionen ausgelöst, da die Umsetzung einer Ende-zu-Ende-Verschlüsselung im B2C-Bereich als praxisfern angesehen wird. Viele Menschen verfügen nicht über die technischen Mittel oder das Wissen, um Ende-zu-Ende-verschlüsselte E-Mails zu empfangen und zu entschlüsseln. Zudem schreibt die DSGVO keine spezifischen Verschlüsselungsmethoden vor.

Fazit: Sicherheitsniveau erhöhen, aber pragmatisch bleiben

Online-Händlerinnen und -Händler sind seit einer Weile mit der neuen E-Rechnungspflicht konfrontiert, hinzu kommen allgemeine DSGVO-Anforderungen und die üblichen bürokratischen Hürden. Es ist also nur allzu verständlich, wenn der Frust über eine neue Anforderung groß scheint. Das OLG Schleswig hält jedoch zusätzliche Sicherheitsanforderungen an den Rechnungsversand für notwendig.

Eine Ende-zu-Ende-Verschlüsselung ist jedoch in der Praxis oft schwer umzusetzen. Unternehmen sollten daher alternative Lösungen wie Kundenportale oder passwortgeschützte PDFs in Betracht ziehen, um den Anforderungen gerecht zu werden, ohne die Benutzerfreundlichkeit für ihre Kunden zu beeinträchtigen.

Sieh dir diesen Beitrag auf Instagram an

Ein Beitrag geteilt von OnlinehändlerNews (@onlinehaendlernews)

Artikelbild: http://www.depositphotos.com

Veröffentlicht: 10.02.2025

Letzte Aktualisierung: 10.02.2025

Lesezeit: ca. 2 Min.

Artikel weiterempfehlen

Yvonne Bachmann

Expertin für IT-Recht

KOMMENTARE

18 Kommentare

Kommentar schreiben

Martin Bergs

13.02.2025

Antworten

kurze Frage, DSVGO soll uns schützen, hat mal jemand versucht eine erfolgreiche Meldung zu machen, gegen einen Werbetreibenden der Leute zu müllt mit seinen Newslettern, nie dazu angemeldet, lt. DSVGO widerrechtlich, gibt es ein Meldeformular, völlig komplex, nach Einreichung passiert NIIIIICHTS, keine Rückmeldung, als hätte man es lassen können und ohne DSVGO...Fazit, viele Richtlinien, nichts wird so heiss gegessen wie es gekocht wird

12.02.2025

Antworten

Meinung: Es sollten künftig sowohl in Richterämtern als auch der EU nur noch die Personen Entscheidungen treffen dürfen, die eine entsprechende Qualifikation dafür nachweisen können. Ein Auditor darf auch nur Branchen nach seinem Scope auditieren und für jeden Job braucht man Detailwissen. Das reine Rechtswissen genügt heute einfach offenbar nicht mehr - daher plädiere ich dafür, dass ein Nachweis über Fachkunde erbracht werden muss (Richterbefähigung + IT-Ausbildung oder Studium) ansonsten muss der Fall an Fachkundige übergeben werden.

Lux

12.02.2025

@CF: Ich habe mich wegen der Gesetztesänderung zur Rechnungsstellung, gerade erst mit (XML) "ZUGFeRD" Rechnungen auseinander gesetzt. Man kann XML Rechnungen zwar auch einzeln ausgeben, aber typischer Weise bettet man diese in eine PDF Datei ein (das macht die Rechnungssoftware). So hat man eine menschlich prüfbare, sichtbare Rechnungsversion und zudem die XML Daten fürs zuverlässige, automatische einlesen in der Buchhaltung. Es funktioniert also auch mit eingebettem XML! - Grundsätzlich kann man jede Datei signieren, auch eine pure XML Datei. Aber das wäre dann aktuell schon noch etwas Freakhaft. Bei gültig signierten PDF Dateien zeigt einem Acrobat die Gültigkeit der Signatur direkt über dem Dokument an, das ist also ganz unkompliziert. - Wenn man sich die Entscheidung des Gerichts im Detail ansieht (ist verlinkt), würde ich nicht sagen, dass es da an Kompetenz gefehlt hat. Ein Richter in diesem Fachbereich, sollte sicher kein IT Analphabet sein, aber ein Profi muß er darin nicht sein. Dafür gibt es ggf. Sachverständige die mit ins Boot geholt werden können. (Fachkräftemagel -> Richtermangel -> kein zeitnaher gerichtlicher Rechtsschutz mehr möglich.)

Lux

11.02.2025

Antworten

Nachtrag: Ausprobieren kann man das signieren von PDFs übrigens z.B. bei sign-me.de von D-Trust (Bundesdruckerei-Gruppe). Beim Erstellen des Accounts, weisst man mit dem Personalausweis (und Ausweisapp) nach, dass man der ist, der man behauptet zu sein. Kostenlos ist allerdings auch nur die Nutzung der Einfachen Elektronische Signatur (EES). Aber man bekommt zumindest ein paar Coins mit den man auch die höherwertige Signaturen 2-5 mal benutzen kann. Vielleicht ist das eine Lösung, wenn man mal was dringen signiert für den Versand an Behörden braucht. Neue Coins sind astronomisch teurer -wahrscheinlich weil die freie Wirtschaft einbezogen werden muß- man die bei Reinert SCT kaufen. Wenn ich mich recht erinnere kostet jede Signatur dann 1€ oder sogar noch mehr. Absurd...

12.02.2025

Ist halt die moderne Stempelgebühr von Ämtern :-)

Lux

11.02.2025

Antworten

Ich würde tatsächlich sagen das Urteil ist zeitgemäß! Heute würde niemand mehr einen Onlineshop ohne HTTPS anbieten. HTTPS bedeutet das die Daten verschlüsselt und signiert übertragen werden. Werden sie manipuliert, warnt der Browser. Damit das funktioniert gibt es ein paar wenige Trustcenter denen die Browser grundsätzlich vertrauen. Nur wenn die bei der Kommunikation verwendeten Zertifikate noch gültig sind, und von einem vertrauenswürdigen Trustcenter (oder einem Ableger davon) unterzeichnet worden sind, gibt es KEINE Sicherheitswarnung. So eine Signaturstrategie gibt es auch für PDF Dateien. Dabei wird dann nicht der Transportweg gesichert, sondern das Dokument signiert. Wird es nachträglich verändert, wird die Signatur ungültig. Und durch die Signierung der Signatur durch Trustcenter kann geprüft werden, ob der Signierer wirklich der ist, als der er sich ausgibt. Man unterscheidet 3 Signaturstufen: Einfache elektronische Signatur (EES), Fortgeschrittene elektronische Signatur (FES) und die Qualifizierte elektronische Signatur (QES). Bei der EES sieht man zwar, dass das Dokument nicht verändert wurde, man kann aber nicht erkennen, ob der der die Signatur angebracht hat, auch wirklich der ist, der er behauptet zu sein. Die FES beinhaltet hingegen schon eine sichere Identifizierung des Signierers. Die EFS wäre wohl das was hier nötig ist. Die QFS ist noch ein Level höher und z.B. bei Behörden nötig. HTTPS hat lange benötigt, bis es überall eingeführt war. Wohl auch weil die Trustcenter viel Geld für Ihre Leistungen haben wollten. Die komplette Durchsetzung von HTTPS hat letztlich "Lets Encrypt" als gemeinnützige, kostenlose Lösung gebracht, deren Nutzung heute bei den Hostern Gang und Gäbe ist. Zum signieren von PDF gibt es viele gebührenpflichtige Anbieter. Immer wird pro Signatur abgerechnet. Kostenlos wird dabei oft ausschließlich die EFS angeboten, bei der so wichtige Nachweis der Identität fehlt. Die EU gibt vor, dass in den nächsten Jahren eine Lösung geschaffen werden muß, die eine kostenlose Signaturmöglichkeit durch private Nutzer bietet. Es ist nur konsequent, dass der Staat hier in der Pflicht ist, er stellt ja auch die Personalausweise die die offline Identifizierung ermöglichen aus. Eine Lösung ist also in Sicht. Fehlt dann nur noch eine Lösung wie Let's Encrypt, die auch von gewerblichen Nutzern ohne eine weitere Kostenquelle darzustellen eingesetzt werden kann, so dass auch die PDF Signatur zur Selbstverständlichkeit wird.

11.02.2025

Sh. Antwort von cf. Auch wir haben Kunden, welche weder wissen, in welchem Ort sie wohnen, noch kennen diese ihre PLZ oder können ihre Straße richtig schreiben bzw. Formularfelder richtig ausfüllen, geschweige eine mitgeteilte Paketscheinnummer nachverfolgen. Und von solchen Kunden erwartet man dann, dass diese signierte pdf prüfen, cryptierte Rechnungen öffnen oder sonst wie die Integrität einer E-Rechnung prüfen können. Ich glaube nicht, dass dies klappt und nur noch größere Probleme hervorbringt. Fraglich ist auch, wie eine Email unter den Millionen Emails im Net abgefangen und verändert werden kann. Hier müsste meiner Meinung nach, ein PC mit einem Virus infiziert worden sein.

12.02.2025

Dann bleibt nur noch die Frage wie ich meine E-Rechnungen im xml-Format mit einem pdf-Tool sichern soll ;-) Vielleicht hätten die Erfinder der xml-Rechnung direkt eine Sicherungsmethode einbauen sollen, wie blockchain oder was auch immer. Der Vorschlag ist grundsätzlich gut, aber halt nur für pdf...

Markus

11.02.2025

Antworten

Briefrechnung wäre dann ja auch unzulässig. Verbrecher könnten den Brief aus dem Briefkasten entwenden oder Mitarbeiter bei der Post, und dann eine manipulierte dem Empfänger in den Briefkasten werfen. Vielleicht ist der Rechnungsempfänger mal in der Pflicht vor der Überweisung die Bankdaten zu überprüfen. Wer sagt denn, dass er selber die Rechnung nicht manipuliert hat. Hat er sich selber die 15k auf ein anderes Konto überwiesen. Was ist, wenn sein PC gehackt wurde und dort im E-Mail-Programm die Manipulation durchgeführt wurde. Es gibt so viele Möglichkeiten. Aber nun ist ein Fall aufgetreten und schon muss die ganze Welt etwas ändern. Vielleicht verbucht man das mal als Pech gehabt. Enkeltrickbetrug gibt es doch auch. Kann man nun mal nicht viel machen außer Aufklärung.

12.02.2025

Es ist doch noch nicht lange her, dass hier der Beitrag zum Thema "Betrug durch Angestellte bei Lieferdiensten" erschienen ist, wo Pakete geöffnet und die Ware gegen Schrott getauscht wurde. Ist also gar nicht so abwegig (und hoffentlich nicht die nächste Idee die hier veröffentlicht wurde ) :-) Oh, was ist wohl mit Briefwahl? Kann ich bei einem für mich nicht passenden Wahlergebnis jetzt klagen, dass die Wahlbriefe hätten vertauscht werden können? :-)

Ivonne

11.02.2025

Antworten

Willkommen in 2025, das Jahr der Papierrechnung. Ich hab langsam den Eindruck, man möchte den Onlinehandel auf biegen und brechen in die Knie zwingen.

Oliver

11.02.2025

Antworten

Meine Kunden haben ja schon bezahlt, daher ist beim Rechnungsversand das finanzielle Risiko eher bei Null und die Rechnung dient lediglich der Information und es geht mit keiner Zahlungspflicht einher. Aber heiß das, dass hier die nächste große Abmahnwelle kommt ? Michaela M. hätte da sicherlich Freude dran....

Ivonne

11.02.2025

Würde mich echt interessieren, wie das aussieht, wenn die Rechnung einfach nur eine Information ist, weil der Kunde per Paypal, Sofortüberweiung oder Klarna bezahlt hat.

13.02.2025

Wann reichen wir endkich eine Sammelklage gegen MM ein? Warum unterstützt der HB uns nicht dabei??

11.02.2025

Antworten

Wie immer irgendwelche Theoretiker am Werk. Auch die Idee mit passwortgeschütztem pdf ist nur semi, denn wie soll ich dem Kunden das Passwort sicher übermitteln, so dass er das auch versteht, dass er es zum Öffnen der Rechnung benötigt. Die meisten schaffen es gerade einmal ihre Adresse in die Felder im Shop einzutragen (und zeitweise das nichtmal vollständig). Solche Urteile führen dann dazu, dass die Digitalisierung zurückgenommen wird und wo immer möglich wieder Papierrechnungen gedruckt werden - soviel zum Umweltschutz. Möchte wohl gerne mal wissen wie viele Ende-zu-Ende verschlüsselte E-Mails diese Richter privat am Tag so empfangen. Ich hoffe doch, dass sie selber dieses ausschließlich verwenden - nicht das womöglich noch jemand einen Geburtstagsgruß oder Einkaufszettel abfängt und verändert....

K.I

11.02.2025

Meinung: Dem können wir nur zustimmen! Nicht nur Politiker sind weltfremd und ganz weit weg von der Realität - auch unsere Richter!

ralf

11.02.2025

Das Umweltschutz egal ist, sieht man ja schon an der GPSR, soviel dazu. Aber wer hätte gedacht, dass die Papierrechnung nun wieder eine Renaissance bekommt. Liegt aber auch daran, das Richter an Gerichten noch in der Vordigitalen Welt liegen. Hinzu kommt, dass die EU so viele neue Richtlinien erlässt, dass Richter auch gar nicht mehr nachkommen können. Man kann es dem Richter noch nicht einmal verüblen und bezweifele, dass er so viele Informatikkenntnisse hat um überhaupt das ganze richtig beurteilen zu können. Aber der Kundin wiederum kann man ja auch nicht wirklich was vorwerfen, denn woher sollte sie wissen, dass diese Rechnung gefälscht ist und Firmen ändern auch mal Layout und Bankverbindung. Von der einen Seite betrachtet ist das Urteil gerecht. Beide sind einfach Opfer von Dritten geworden und die haben praktisch das Baununternehmen beklaut.

richard

11.02.2025

Wer es nicht verstanden hat. Vorkasse ist ja beim Onlinehandel eine sichere Sache, sodass das Geld beim Verkäufer sicher ankommt und er nur noch die E-Rechnung als Beleg hinterherschickt. Was das Gericht beurteilt hat, hat ja mit dem Bauhandwerk zu tun und da wird tatsächlich die Rechnung nach Leistung geschickt und dann auch erst bezahlt. Ihr könnt das also mit dem Onlinehandel nicht vergleichen. Und mal erhlich, wer jetzt jammert, dass die Bauhandwerker ihre Rechnung sicher verschicken müssen, damit so was nicht passiert, hat es nicht verstanden. Hier wird der Kunde durch das Gericht geschützt. Oder wollt ihr eine Rechnung zweimal bezahlen, nur weil der Versender nicht aufgepasst hat? Ich glaube nicht!

Gericht macht E-Mail-Rechnungen zur Haftungsfalle

Handel in der Pflicht: Das OLG Schleswig-Urteil zur E-Mail-Verschlüsselung

Rechtliche Einordnung: Was bedeutet das Urteil konkret?

Fazit: Sicherheitsniveau erhöhen, aber pragmatisch bleiben

Yvonne Bachmann

Kommentar schreiben

Ihre Antwort schreiben

Ihre Antwort schreiben

Ihre Antwort schreiben

Ihre Antwort schreiben

Ihre Antwort schreiben

Ihre Antwort schreiben

Ihre Antwort schreiben

Ihre Antwort schreiben