Rechtssicherer Rechnungsversand per E-Mail

Schutz vor Manipulation durch Dritte

Aufgrund zweier obergerichtlicher Urteile stellt sich für Unternehmen die Frage, welche Sicherheitsstandards sie beim Übersenden von Rechnungen per E-Mail einzuhalten haben und wie sie sich vor dem Verlust von Zahlungsansprüchen gegenüber ihren Kunden durch die Manipulation von Dritten schützen können.

Die Manipulation von per E-Mail versendeten Rechnungen beschäftigte in den vergangenen Jahren wiederholt die Gerichte. Zwei Obergerichte haben in ihren Urteilen unterschiedliche Sicherheitsanforderungen an die Übermittlung von Rechnungen per E-Mail gestellt. Das Oberlandesgericht Karlsruhe (Az.: 19 U 83/22) und das Oberlandesgericht Schleswig-Holstein (Az.: 12 U 9/24) entschieden über Fälle, bei denen eine per E-Mail versandte Rechnung von Hackern abgefangen und manipuliert erneut versendet wurde.

Der Forderungsbetrag wurde von den Kunden auf das in der manipulierten E-Mail angegebene Konto überwiesen. Das OLG Karlsruhe verurteilte die Kundin zur Zahlung an das Unternehmen, während das OLG Schleswig-Holstein einen Schadensersatzanspruch der Kundin in Höhe des Rechnungsbetrags aus Art. 82 DSGVO bejahte und somit die Klage abwies. Dabei stellten die Gerichte unterschiedliche Anforderungen an die Sicherheitsvorkehrungen bei dem Versenden einer Rechnung per E-Mail.

Anders als das OLG Karlsruhe forderte das OLG Schleswig-Holstein angesichts des bestehenden hohen finanziellen Risikos durch Verfälschung der angehängten Rechnung des Unternehmers eine Ende-zu-Ende-Verschlüsselung. Auf Basis des Urteils des Oberlandesgerichts Schleswig-Holstein werden an Unternehmen neue Anforderungen gestellt. 

Die Unternehmen haften für eine unsichere Datenübermittlung, wenn dem Rechnungsempfänger dadurch ein Schaden entsteht. Das Urteil zeigt aber auch, dass dies nur derzeit als ausreichend angesehen wird. Der Sicherheitsstandard hat sich somit dem anzupassen, was im geschäftlichen Verkehr erwartet werden kann und zumutbar ist. Es ist somit nicht auszuschließen, dass die Sicherheitsanforderungen in Zukunft weiter erhöht werden. Unternehmen ist zu raten, ihre Übermittlungswege von Rechnungen stetig zu überprüfen.

Es sind daher folgende Maßnahmen zu empfehlen:

• Implementierung einer Ende-zu-Ende-Verschlüsselung und/oder Nutzung einer digitalen Signatur, um die Rechnungen vor Manipulationen von Dritten zu schützen und deren Echtheit nachzuweisen.

• Information der Kunden, welche Hinweise eine Fälschung nahelegen. Dies können Fehler in der Anrede, Tippfehler sowie allgemein grammatikalisch falsche Sätze sein.

• Mitteilung der Kontoverbindung zusätzlich auch auf anderem Wege, z.B. telefonisch, postalisch oder über die Website.

Werden keine Maßnahmen ergriffen, besteht für Unternehmen ein Risiko, sich schadensersatzpflichtig zu machen und somit den Zahlungsanspruch gegenüber dem Kunden zu verlieren.

Schlussendlich bleibt aber auch noch abzuwarten, ob der Bundesgerichtshof das Urteil des Oberlandesgerichts Schleswig-Holstein bestätigt und ob die Richterinnen und Richter in der Begründung zu den Sicherheitsanforderungen Stellung beziehen.