Manipulierte PDF-Rechnungen, dem Risiko vorbeugen.
Handwerksbetriebe sollten Rechnungen per E-Mail nur Ende-zu-Ende-verschlüsselt verschicken oder auf altmodische Weise per Post. Das lehrt ein vom OLG Schleswig entschiedener Fall. Denn der Kunde haftet nicht, wenn eine Rechnung auf dem Weg zu ihm manipuliert wurde. Ab 2028 sind Unternehmen (auch Kleinunternehmer mit weniger als 800.000 EUR Umsatz) zum Versand von eRechnungen verpflichtet und werden eine sichere Übertragung gewährleisten. Bis zu dieser Zeit müssen Unternehmen versuchen, das Risiko zu begrenzen und Vorsorge zu betreiben.
Hintergrund des Urteils: Ein Handwerksbetrieb versandte drei Teilrechnungen jeweils als PDF-Datei per E-Mail an eine Kundin. Die Schlussrechnung wurde gehackt und die Kontodaten wurden manipuliert. Deswegen überwies die Kundin den Rechnungsbetrag auf das Konto unbekannter Dritter. Vor Gericht stellte sich die Frage, ob sie damit von der Forderung des Handwerkers frei geworden ist.
Das Schleswig-Holsteinisches Oberlandesgericht (OLG) führte dazu aus, die Kundin habe die Forderung des Handwerksbetriebs mit der Zahlung zwar nicht erfüllt (Urteil vom 18.12.2024 >hier<), noch einmal zahlen müsse sie dennoch nicht. Das OLG bejaht einen Schadensersatzanspruch der Kundin gegen das Unternehmen, den es der Werklohnforderung nach § 242 BGB entgegenhalten kann.
Der Schadensersatzanspruch ergibt sich für die Richterinnen und Richter aus Art. 82 Abs. 2 DSGVO. Der Betrieb habe mit der Rechnungsstellung personenbezogene Daten der Auftraggeberin computertechnisch verarbeitet und deswegen die in Artikel 5 Absatz 2 und Artikel 24 und 32 DSGVO enthaltenen Grundsätze beachten müssen. Das habe er mit Versand der Rechnung als E-Mail-Anhang nicht getan.
Die Transportverschlüsselung, die das Unternehmen beim Versand der Mail in Form von SMTP über TLS verwendet haben will, sei unzureichend und nicht zum Schutz der Daten „geeignet“ im Sinne der DSGVO. Gerade bei sensiblen oder persönlichen Inhalten komme nur eine Ende-zu-Ende-Verschlüsselung in Betracht, wenn durch Verfälschung der angehängten Rechnung für den Kunden ein hohes finanzielles Risiko besteht.
Dass Kunden von Unternehmen bei einem Datenhacking Vermögenseinbußen drohen, wertet das OLG als Risiko, das durch den Versand von Rechnungen per E-Mail enthalten ist, und fordert deshalb eine entsprechende Voraussicht und ein proaktives Handeln der Unternehmen. Den dafür erforderlichen technischen und finanziellen Aufwand müsse auch ein mittelständischer Handwerksbetrieb auf sich nehmen – oder die Rechnungen eben wie früher per Post verschicken.
TIPP: Der Zentralverband des Deutschen Handwerk (ZDH) hat zur Hilfestellung eine Informationsseite mit Details, weiterführenden Links sowie FAQs zur eRechung für die Betriebe erarbeitet: E-Rechnung für Betriebe und Organisationen | ZDH
