Rechnungslegung: Gericht fordert sichere Verschlüsselung von Mails mit Rechnungen

Das OLG Schleswig hat mit seiner Entscheidung vom 18.12.2024 (Az: 12 U 9/24) entschieden, dass Handwerksbetriebe Rechnungen per E-Mail nur mit Ende-zu-Ende-Verschlüsselung versenden sollten. Ohne diese Sicherheitsmaßnahme bleibt das Unternehmen für Manipulationen haftbar.

Sachverhalt

In dem verhandelten Fall hatte ein Installationsunternehmen Teilrechnungen per E-Mail verschickt. Die Mail mit der Schlussrechnung über 15.000 Euro wurde von Cyberkriminellen abgefangen und die Kontodaten in der Rechnungs-PDF manipuliert. Die Kundin überwies den Betrag auf ein falsches Konto, war jedoch nach Entscheidung des Gerichts nicht verpflichtet, erneut an das Unternehmen zu zahlen.

Das OLG urteilte, dass das Unternehmen durch unzureichende Sicherheitsvorkehrungen einen Datenschutzverstoß begangen habe. Eine bloße Transportverschlüsselung (TLS) genüge nicht – Rechnungen sollten entweder per Post oder per Ende-zu-Ende-verschlüsselter E-Mail versandt werden, um Manipulationen auszuschließen.

Handlungsempfehlung

Um wirtschaftliche Schäden in Folge krimineller Handlungen für Unternehmen des Baugewerbes abzuwenden, sollten E-Mails mit sensiblen Daten, wie beispielsweise Rechnungsdaten, künftig ausschließlich verschlüsselt versendet werden.

Arten der E-Mail-Verschlüsselung

Die Verschlüsselung von E-Mails sorgt dafür, dass die Vertraulichkeit und Integrität der Kommunikation geschützt und datenschutzrechtliche Anforderungen erfüllt werden.

Es gibt grundsätzlich zwei Arten der E-Mail-Verschlüsselung:

• Transportverschlüsselung (TLS): Hier wird nur die Verbindung zwischen dem E-Mail-Programm und dem E-Mail-Server verschlüsselt, sodass E-Mails während der Übertragung geschützt sind. Dies wird inzwischen von den allermeisten E-Mail-Anbietern unterstützt. Allerdings liegen die E-Mails beim E-Mail-Anbieter und an den Knotenpunkten des Versands im Klartext vor und können von Angreifern mitgelesen oder manipuliert werden.

• Ende-zu-Ende-Verschlüsselung (E2EE): Diese Art der Verschlüsselung sichert den Inhalt der E-Mail selbst. Die E-Mail wird auf dem Gerät des Senders verschlüsselt und kann nur auf dem Gerät des Empfängers entschlüsselt werden. Selbst wenn die E-Mail während der Übertragung oder auf dem Server abgefangen wird, bleibt der Inhalt geschützt.

Möglichkeiten der Ende-zu-Ende-Verschlüsselung

Eine ausreichende Sicherheit bietet somit nur die vom OLG geforderte Ende-zu-Ende-Verschlüsselung. Jeder Nutzer verfügt dabei über ein kryptografisches Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel. Der Absender verwendet den öffentlichen Schlüssel des Empfängers, um die E-Mail zu verschlüsseln. Der Empfänger entschlüsselt die E-Mail mit seinem privaten Schlüssel. Dieses Verfahren wird von den meisten E-Mail-Programmen unterstützt und stellt sicher, dass nur der beabsichtigte Empfänger die E-Mail lesen kann.

Zwei Standards haben sich hierfür etabliert:

• S/MIME (Secure/Multipurpose Internet Mail Extensions) ist ein weit verbreiteter Standard zum Senden digital signierter und verschlüsselter Nachrichten. Im Zusammenhang mit S/MIME wird meistens von Zertifikaten statt Schlüsseln gesprochen. Die Zertifikate werden von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt und müssen erworben und in das E-Mail-Programm integriert werden.Vorteile: Einfache Handhabung, hohe Sicherheit, Zertifikate werden vom Anbieter verwaltet. S/MIME ist in Unternehmensumgebungen verbreitet.
  Nachteil: Kostenpflichtig. Die Kosten variieren je nach Validierungsstufe und Funktionsumfang, jedoch sind Zertifikate bereits ab 10 Euro pro Jahr verfügbar.

• PGP /GPG (Pretty Good Privacy /GNU Privacy Guard) ist ein offener und kostenloser Verschlüsselungsstandard, bei dem Benutzer ihre eigenen Schlüsselpaare erstellen und verwalten. Da nicht alle E-Mail-Programme PGP/GPG unterstützen, müssen Plugins oder zusätzliche Software im E-Mail-Programm installiert werden. PGP/GPG wird eher von der Open-Source-Community und von Privatpersonen genutzt.Vorteil: kostenlos.
  Nachteil: Komplexere Handhabung, geringere Verbreitung in Unternehmen.

Hinweis: S/MIME und PGP/GPG sind nicht kompatibel. Sender und Empfänger müssen sich daher auf denselben Standard verständigen.

Integrierte Verschlüsselung in Outlook (MS365)

Aufgrund der weitverbreiteten Nutzung der Office-Lösungen von Microsoft bietet die in MS365 integrierte Verschlüsselungsoption eine weitere Möglichkeit zum Schutz der E-Mail-Kommunikation. Voraussetzungen auch hier: Absender und Empfänger müssen über Microsoft 365-Abonnement mit aktivierter Azure Information Protection (AIP) verfügen und Outlook als E-Mail-Programm verwenden. AIP ist allerdings keine Ende-zu-Ende-Verschlüsselungslösung im traditionellen Sinne. Die Verschlüsselung erfolgt über Berechtigungen in Microsofts Cloud-Diensten, so dass Microsoft Zugriff auf den Prozess hat.

Bewertung

Die Sicherheit der geschäftlichen E-Mails von Unternehmen des Baugewerbes ist essenziell. Die vom OLG Schleswig angeregte Nutzung der Ende-zu-Ende-Verschlüsselung bietet dafür den höchsten Schutz. Welche Methode die richtige ist, hängt von den Anforderungen des jeweiligen Betriebs ab:

• S/MIME: Ideal für Unternehmen – sicher und komfortabel, aber kostenpflichtig.
• PGP/GPG: Kostenlos, aber technisch anspruchsvoller.
• MS 365: Praktisch für Microsoft-Nutzer, jedoch keine klassische E2EE.

Unabhängig von der Wahl müssen Sender und Empfänger denselben Standard verwenden. Unternehmen sollten sich daher schnellstmöglich mit Ihren Geschäftspartnern abstimmen.

Fazit

Vor dem Hintergrund der seit 01.01.2025 geltenden eRechnungspflicht im B2B-Bereich ist die Empfehlung des Gerichts „Rechnungen entweder per Post zu versenden oder per Ende-zu-Ende verschlüsselter Mail“, als nicht ganz zeitgemäß zu interpretieren. Denn Papierrechnungen sind ab 2027 im B2B-Bereich (überwiegend) nicht mehr zulässig.

Aber das Urteil des OLG Schleswig unterstreicht die Notwendigkeit sicherer Kommunikation.

Nicht zuletzt wird daran aber auch deutlich, welchen Vorteil Netzwerke wie PEPPOL (EU), TRAFFIQX (u.a. DATEV) oder crossinx (Unifiedpost) haben, über die Unternehmen sicher Dokumente und Rechnungen austauschen können. Die Anbieter solcher Netzwerke beschäftigen sich professionell mit sicherem Datenaustausch. Manipulationen wie oben beschrieben sind beim Versenden über solche Netzwerke sehr selten, so Frau Dipl.-Ing. Arch. Leyla Afsar, Referatsleiterin Digitalisierung und Innovation im Zentralverband des Deutschen Baugewerbes e.V.

eRechnungs-Experten aus großen Konzernen waren sich schon auf dem eRechnungsgipfel im Juni 2024 in Berlin sicher, dass die E-Mail als Transportweg für eRechnungen ein Auslaufmodell ist und dass die Zukunft dem PEPPOL-Netzwerk gehört.

Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum Thema finden Sie unter dem folgenden Link:

https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/E-Mail-Verschluesselung/e-mail-verschluesselung_node.html