Rechnung per Email versenden und der Datenschutz

Eine Fra­ge, die auch bei uns immer von Kun­den­sei­te auf­schlägt, dreht sich um die Mög­lich­keit, eine Rech­nung elek­tro­nisch — zumeist als PDF als Mail-Anhang — zu ver­sen­den. Da hät­te sich ja im Mai 2018 durch die DSGVO alles geän­dert. Wir wol­len in die­sem Bei­trag die an uns her­an­ge­tra­ge­nen Fra­gen auf­grei­fen und beantworten.

Auf wel­che Daten fin­det die DSGVO bzw. das Daten­schutz-Recht Anwendung?

Huch, was hat das jetzt mit der elek­tro­ni­schen Rech­nung zu tun? Lösen wir gleich auf. Betrach­ten wir dazu Art. 4 Abs. 1 DSGVO Begriffsbestimmungen:

“Im Sin­ne die­ser Ver­ord­nung bezeich­net der Aus­druck: 1. „per­so­nen­be­zo­ge­ne Daten“ alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son (im Fol­gen­den „betrof­fe­ne Per­son“) bezie­hen; als iden­ti­fi­zier­bar wird eine natür­li­che Per­son ange­se­hen, die direkt oder indi­rekt, ins­be­son­de­re mit­tels Zuord­nung zu einer Ken­nung wie einem Namen, zu einer Kenn­num­mer, zu Stand­ort­da­ten, zu einer Online-Ken­nung oder zu einem oder meh­re­ren beson­de­ren Merk­ma­len iden­ti­fi­ziert wer­den kann, die Aus­druck der phy­si­schen, phy­sio­lo­gi­schen, gene­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozia­len Iden­ti­tät die­ser natür­li­chen Per­son sind;”

Salopp gesagt: kei­ne per­so­nen­be­zo­ge­nen Daten (direkt oder indi­rekt), kei­ne Anwen­dung des Daten­schutz-Rechts. Aber …

Was schreibt das Daten­schutz-Recht für die elek­tro­ni­sche Über­mitt­lung einer Rech­nung von per­so­nen­be­zo­ge­nen Daten vor?

Hier tum­meln sich zahl­rei­che grenz­wer­ti­ge Aus­sa­gen — gera­de im Inter­net — dazu. Den meis­ten Anklang und Zuspruch fin­det bis­lang wohl die Aus­sa­ge, per­so­nen­be­zo­ge­ne Daten müs­sen bei elek­tro­ni­scher Über­mitt­lung zwin­gend ver­schlüs­selt wer­den. Stün­de so in der DSGVO.

Doch schau­en wir ein­fach mal nach. Art. 32 DSGVO befasst sich mit der Sicher­heit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. Und in der Tat, hier taucht der Begriff “Ver­schlüs­se­lung” sogar direkt auf. Dann ist die Aus­sa­ge wohl rich­tig: Kei­ne Ver­schlüs­se­lung, kein Ver­sand per Email. Doch im Kon­text gele­sen, stellt sich das etwas anders dar (Art. 32 Abs. 1 lit a — d):

“[…] die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:
a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.”

Vor der Auf­zäh­lung fin­det sich eine genau zu betrach­ten­de For­mu­lie­rung, näm­lich “gege­be­nen­falls unter ande­rem”. Das ist nach unse­rem Dafür­hal­ten etwas ande­res als “zwin­gend not­wen­dig”. Und das steht da nicht. Wie sehen Sie das?

Also, Ver­schlüs­se­lung wäre ein Mit­tel zum Zweck, aber nicht das ein­zi­ge. Aber die wei­te­ren genann­ten Grund­wer­te der Infor­ma­ti­ons­si­cher­heit — Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit — geben natür­lich ein Ziel vor. Für Emails oder Emails mit Anhän­gen mit per­so­nen­be­zo­ge­nen Daten wäre das die Sicher­stel­lung der Ver­mei­dung unbe­rech­tig­ter Kennt­nis­nah­me (Ver­trau­lich­keit) und Mani­pu­la­ti­on (Inte­gri­tät) auf dem Übertragungsweg.

Auf was ist daher beim Ver­sand von Rech­nun­gen per Email zu achten?

Erst mal, ist zu prü­fen, ob über­haupt ein Per­so­nen­be­zug in der Rech­nung vor­han­den ist. Eine Rech­nung von Fir­ma A an Fir­ma B (bei­des juris­ti­sche Per­so­nen) wird — mal abge­se­hen von einem per­sön­lich adres­sier­ten Ansprech­part­ner in der Buch­hal­tung (wenn über­haupt, die Anga­ben z.Hd. Buch­hal­tung wäre ja aus­rei­chend) — für gewöhn­lich kei­ne per­so­nen­be­zo­ge­ne Daten ent­hal­ten. Dem­nach wäre in die­ser Kon­stel­la­ti­on der Daten­schutz außen vor.

Anders sieht es aus, wenn eine Fir­ma oder eine Behör­de einen End­kun­den bzw. Bür­ger per Email eine Rech­nung zusen­det. Hier wäre zumin­dest der Rech­nungs­emp­fän­ger als natür­li­che Per­son mit sei­nen Anga­ben als per­so­nen­be­zo­ge­nes Datum nach Art. 4 DSGVO ein­zu­stu­fen. Das Daten­schutz-Recht wür­de hier dem­nach zur Anwen­dung kom­men. Wer­fen wir noch mal einen kur­zen Blick auf Art. 4 DSGVO

“Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewährleisten;”

Hier wird dem Absen­der auf­er­legt, ein mög­li­ches Risi­ko durch unbe­rech­tig­te Kennt­nis­nah­me und Miss­brauch der Anga­ben auf der Rech­nung für den Emp­fän­ger in Ver­bin­dung mit der Ein­tritts­wahr­schein­lich­keit für die­ses mög­li­che Risi­ko zu betrach­ten. Auf die­ser Basis wären geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zur Ver­rin­ge­rung der Ein­tritts­wahr­schein­lich­keit und des Risi­kos durch den Absen­der zu ergreifen.

Was sagen die Auf­sichts­be­hör­den zur Rech­nung per Email?

In eini­gen Tätig­keits­be­rich­ten der Daten­schutz­auf­sich­ten in den letz­ten Jah­ren ist nach­zu­le­sen (u.a. Sei­ten 44/​45 im TB 2016/​2017 der Ham­bur­ger Behör­de), dass ein unge­schütz­ter Ver­sand von Bank­ver­bin­dun­gen natür­li­cher Per­so­nen als unzu­läs­sig im Sin­ne des Daten­schut­zes ein­ge­stuft wird. Die­se Pro­ble­ma­tik kann leicht umge­gan­gen wer­den, in dem die Bank­ver­bin­dung oder ande­re Zah­lungs­mit­tel wie Kre­dit­kar­ten­da­ten des Rech­nungs­emp­fän­gers schlicht nicht in den Rech­nun­gen erschei­nen bzw. nur mit eini­gen Zif­fern zur Prü­fung der kor­rekt hin­ter­leg­ten Anga­ben für Last­schrift /​ Abbu­chung.

Wäre noch das Pro­blem mit den Kun­den­stamm­da­ten wie Name, Anschrift und mög­li­cher­wei­se Kun­den­num­mer. Hier kön­nen zwar Risi­ken abge­lei­tet wer­den wie Phis­hing oder Iden­ti­täts­dieb­stahl, doch dafür wer­den im Zwei­fel eini­ge Anga­ben mehr not­wen­dig sein. Den­noch wäre für den Trans­port­weg abzu­wä­gen, ob nicht wei­te­re Schutz­maß­nah­men die­se Risi­ken auch im Hin­blick auf die Ein­tritts­wahr­schein­lich­keit mini­mie­ren könnten.

Hil­fe­stel­lung sei­tens der Aufsichtsbehörden

Ende Novem­ber 2018 hat uns das das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) in einer zur Ver­öf­fent­li­chung frei­ge­ge­be­nen Email bestä­tigt, dass eine Lösung aus Sicht der Auf­sichts­be­hör­de kein gro­ßes Ding ist.

“Da die deut­schen E‑Mail-Pro­vi­der inzwi­schen regel­mä­ßig Trans­port­ver­schlüs­se­lung für E‑Mails ein­set­zen (so dass die Inhal­te unter­wegs nicht mehr gele­sen wer­den kön­nen), kön­nen E‑Mails mit „nor­ma­lem“ geschäft­li­chem Inhalt aus unse­rer Sicht ohne Ende-zu-Ende-Ver­schlüs­se­lung (ohne Inhalts­ver­schlüs­se­lung) ver­sandt wer­den. Nur bei sen­si­blen Daten (z. B. Ver­sen­dung von Gesund­heits­da­ten durch Arzt oder Kran­ken­haus, umfang­rei­che Finanz­da­ten­ver­sen­dung durch Ban­ken oder Steu­er­be­ra­ter) hal­ten wir eine Inhalts­ver­schlüs­se­lung für gebo­ten (sie­he dazu näher auch unter https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​F​A​Q​_​Z​i​p​.​pdf ).”

Eini­ge tech­ni­sche Nach­fra­gen von uns zu die­ser Aus­sa­ge lau­fen beim BayL­DA seit­her mit einer eige­nen Bear­bei­tungs­num­mer. Wir hal­ten Sie selbst­ver­ständ­lich dazu infor­miert. Nach Aus­sa­ge des BayL­DA soll sich die­se Nach­richt auch im kom­men­den Tätig­keits­be­richt wie­der­fin­den. Auch die Daten­schutz­auf­sicht Nord­rhein-West­fa­len hat sich die­ser Sicht­wei­se ange­schlos­sen (hier geht es zur Mel­dung des LDI NRW): “Bei beson­ders schüt­zens­wer­ten Daten (z.B. Kon­to­be­we­gungs­da­ten, Finan­zie­rungs­da­ten, Daten zum Gesund­heits­zu­stand, Man­dan­ten­da­ten von Rechts­an­wäl­ten und Steu­er­be­ra­tern, Beschäf­tig­ten­da­ten) ist eine allei­ni­ge Trans­port­ver­schlüs­se­lung mög­li­cher­wei­se nicht ausreichend.”

Tipp für die Email-Inhalte

Da hier kei­ne der sei­tens des BayL­DA oder LDI NRW genann­ten sen­si­blen bzw. beson­ders schüt­zens­wer­ten Daten auf bzw. in der Rech­nung zu fin­den sind, wäre der Über­tra­gungs­weg Email daher für die Vari­an­te PDF Anhang als zuläs­sig ein­zu­stu­fen. Ein Tipp des LDI NRW dazu wäre noch zu berück­sich­ti­gen: Den Betreff und Text der Email soll­te man wei­test­ge­hend frei von per­so­nen­be­zo­ge­nen Daten hal­ten. Name und Email-Adres­se las­sen sich ja nicht ver­mei­den. Aber wei­te­re Anga­ben aus der Rech­nung ver­blei­ben ein­fach im PDF und fin­den sich nicht noch­mals im Email-Text wieder.

Also dann jetzt raus mit der elek­tro­ni­schen Rech­nung per Email

Zum Fair­play mit­ein­an­der soll­te stets gehö­ren, den Emp­fän­ger zu die­sem The­ma anzu­hö­ren. Es gibt durch­aus Fir­men, aber auch Kun­den und Bür­ger, die kei­ne elek­tro­ni­schen Rech­nun­gen erhal­ten wol­len. Die­ser Wunsch soll­te respek­tiert und alter­na­ti­ve Mög­lich­kei­ten zur Ver­fü­gung gestellt wer­den. Alter­na­ti­ven wären der klas­si­sche Post­weg, aber auch die Vari­an­te ver­schlüs­sel­ter Down­load aus dem geschütz­ten Kun­den­be­reich. Sie soll­ten auch mög­li­che wei­te­re Rechts­vor­schrif­ten nicht außer acht las­sen, sie­he nächs­ten Abschnitt.

Recht­li­cher Hinweis

Auch wenn sich hin­sicht­lich der Nut­zung von elek­tro­ni­schen Rech­nun­gen in den letz­ten Jah­ren vie­les bewegt hat, soll­ten Sie bei der Betrach­tung die­ses The­mas nicht nur auf die Vor­aus­set­zun­gen des Daten­schutz-Rechts schau­en. Zahl­rei­che wei­te­re Punk­te sind zu beach­ten, wie Pflicht­an­ga­ben auf elek­tro­ni­schen Rech­nun­gen, nach­voll­zieh­ba­re Pro­zes­se zu Emp­fang und Ver­ar­bei­tung von elek­tro­ni­schen Rech­nun­gen (gera­de bei Unter­neh­men und Behör­den), aber auch Archi­vie­rung und Auf­be­wah­rungs­pflich­ten (nicht abschlie­ßen­de Auf­zäh­lung). Sie soll­ten daher bit­te stets auch den Fach­an­walt Ihrer Wahl bzw. ger­ne auch Steu­er­be­ra­ter und /​ oder Wirt­schafts­prü­fer kon­sul­tie­ren, um alle ande­ren recht­li­chen Anfor­de­run­gen abde­cken zu kön­nen. Ihr(e) Daten­schutz­be­auf­trag­te® wird Ihnen da im Zwei­fel nicht wei­ter­hel­fen kön­nen bzw. darf dies womög­lich als Rechts­be­ra­tung auch gar nicht leis­ten. Die­ser Bei­trag stellt eben­falls kei­ne Rechts­be­ra­tung dar.

Bid­nach­weis: https://​pix​a​bay​.com/​d​e​/​r​e​c​h​n​u​n​g​-​b​i​l​l​-​u​m​s​c​h​l​a​g​-​g​e​l​d​-​1​5​3​4​13/