Rech­nung per Email ver­sen­den und der Datenschutz

Eine Fra­ge, die auch bei uns immer von Kun­den­sei­te auf­schlägt, dreht sich um die Mög­lich­keit, eine Rech­nung elek­tro­nisch — zumeist als PDF als Mail-Anhang — zu ver­sen­den. Da hät­te sich ja im Mai 2018 durch die DSGVO alles geän­dert. Wir wol­len in die­sem Bei­trag die an uns her­an­ge­tra­ge­nen Fra­gen auf­grei­fen und beantworten.

Auf wel­che Daten fin­det die DSGVO bzw. das Daten­schutz-Recht Anwendung?

Huch, was hat das jetzt mit der elek­tro­ni­schen Rech­nung zu tun? Lösen wir gleich auf. Betrach­ten wir dazu Art. 4 Abs. 1 DSGVO Begriffsbestimmungen:

“Im Sin­ne die­ser Ver­ord­nung bezeich­net der Aus­druck: 1. „per­so­nen­be­zo­ge­ne Daten“ alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son (im Fol­gen­den „betrof­fe­ne Per­son“) bezie­hen; als iden­ti­fi­zier­bar wird eine natür­li­che Per­son ange­se­hen, die direkt oder indi­rekt, ins­be­son­de­re mit­tels Zuord­nung zu einer Ken­nung wie einem Namen, zu einer Kenn­num­mer, zu Stand­ort­da­ten, zu einer Online-Ken­nung oder zu einem oder meh­re­ren beson­de­ren Merk­ma­len iden­ti­fi­ziert wer­den kann, die Aus­druck der phy­si­schen, phy­sio­lo­gi­schen, gene­ti­schen, psy­chi­schen, wirt­schaft­li­chen, kul­tu­rel­len oder sozia­len Iden­ti­tät die­ser natür­li­chen Per­son sind;”

Salopp gesagt: kei­ne per­so­nen­be­zo­ge­nen Daten (direkt oder indi­rekt), kei­ne Anwen­dung des Daten­schutz-Rechts. Aber …

Was schreibt das Daten­schutz-Recht für die elek­tro­ni­sche Über­mitt­lung einer Rech­nung von per­so­nen­be­zo­ge­nen Daten vor?

Hier tum­meln sich zahl­rei­che grenz­wer­ti­ge Aus­sa­gen — gera­de im Inter­net — dazu. Den meis­ten Anklang und Zuspruch fin­det bis­lang wohl die Aus­sa­ge, per­so­nen­be­zo­ge­ne Daten müs­sen bei elek­tro­ni­scher Über­mitt­lung zwin­gend ver­schlüs­selt wer­den. Stün­de so in der DSGVO.

Doch schau­en wir ein­fach mal nach. Art. 32 DSGVO befasst sich mit der Sicher­heit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten. Und in der Tat, hier taucht der Begriff “Ver­schlüs­se­lung” sogar direkt auf. Dann ist die Aus­sa­ge wohl rich­tig: Kei­ne Ver­schlüs­se­lung, kein Ver­sand per Email. Doch im Kon­text gele­sen, stellt sich das etwas anders dar (Art. 32 Abs. 1 lit a — d):

“[…] die­se Maß­nah­men schlie­ßen gege­be­nen­falls unter ande­rem Fol­gen­des ein:
a) die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten;
b) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicherzustellen;
c) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wiederherzustellen;
d) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Verarbeitung.”

Vor der Auf­zäh­lung fin­det sich eine genau zu betrach­ten­de For­mu­lie­rung, näm­lich “gege­be­nen­falls unter ande­rem”. Das ist nach unse­rem Dafür­hal­ten etwas ande­res als “zwin­gend not­wen­dig”. Und das steht da nicht. Wie sehen Sie das?

Also, Ver­schlüs­se­lung wäre ein Mit­tel zum Zweck, aber nicht das ein­zi­ge. Aber die wei­te­ren genann­ten Grund­wer­te der Infor­ma­ti­ons­si­cher­heit — Ver­trau­lich­keit, Inte­gri­tät und Ver­füg­bar­keit — geben natür­lich ein Ziel vor. Für Emails oder Emails mit Anhän­gen mit per­so­nen­be­zo­ge­nen Daten wäre das die Sicher­stel­lung der Ver­mei­dung unbe­rech­tig­ter Kennt­nis­nah­me (Ver­trau­lich­keit) und Mani­pu­la­ti­on (Inte­gri­tät) auf dem Übertragungsweg.

Auf was ist daher beim Ver­sand von Rech­nun­gen per Email zu achten?

Erst mal, ist zu prü­fen, ob über­haupt ein Per­so­nen­be­zug in der Rech­nung vor­han­den ist. Eine Rech­nung von Fir­ma A an Fir­ma B (bei­des juris­ti­sche Per­so­nen) wird — mal abge­se­hen von einem per­sön­lich adres­sier­ten Ansprech­part­ner in der Buch­hal­tung (wenn über­haupt, die Anga­ben z.Hd. Buch­hal­tung wäre ja aus­rei­chend) — für gewöhn­lich kei­ne per­so­nen­be­zo­ge­ne Daten ent­hal­ten. Dem­nach wäre in die­ser Kon­stel­la­ti­on der Daten­schutz außen vor.

Anders sieht es aus, wenn eine Fir­ma oder eine Behör­de einen End­kun­den bzw. Bür­ger per Email eine Rech­nung zusen­det. Hier wäre zumin­dest der Rech­nungs­emp­fän­ger als natür­li­che Per­son mit sei­nen Anga­ben als per­so­nen­be­zo­ge­nes Datum nach Art. 4 DSGVO ein­zu­stu­fen. Das Daten­schutz-Recht wür­de hier dem­nach zur Anwen­dung kom­men. Wer­fen wir noch mal einen kur­zen Blick auf Art. 4 DSGVO

“Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen tref­fen der Ver­ant­wort­li­che und der Auf­trags­ver­ar­bei­ter geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewährleisten;”

Hier wird dem Absen­der auf­er­legt, ein mög­li­ches Risi­ko durch unbe­rech­tig­te Kennt­nis­nah­me und Miss­brauch der Anga­ben auf der Rech­nung für den Emp­fän­ger in Ver­bin­dung mit der Ein­tritts­wahr­schein­lich­keit für die­ses mög­li­che Risi­ko zu betrach­ten. Auf die­ser Basis wären geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zur Ver­rin­ge­rung der Ein­tritts­wahr­schein­lich­keit und des Risi­kos durch den Absen­der zu ergreifen.

Was sagen die Auf­sichts­be­hör­den zur Rech­nung per Email?

In eini­gen Tätig­keits­be­rich­ten der Daten­schutz­auf­sich­ten in den letz­ten Jah­ren ist nach­zu­le­sen (u.a. Sei­ten 44/​45 im TB 2016/​2017 der Ham­bur­ger Behör­de), dass ein unge­schütz­ter Ver­sand von Bank­ver­bin­dun­gen natür­li­cher Per­so­nen als unzu­läs­sig im Sin­ne des Daten­schut­zes ein­ge­stuft wird. Die­se Pro­ble­ma­tik kann leicht umge­gan­gen wer­den, in dem die Bank­ver­bin­dung oder ande­re Zah­lungs­mit­tel wie Kre­dit­kar­ten­da­ten des Rech­nungs­emp­fän­gers schlicht nicht in den Rech­nun­gen erschei­nen bzw. nur mit eini­gen Zif­fern zur Prü­fung der kor­rekt hin­ter­leg­ten Anga­ben für Last­schrift /​ Abbu­chung.

Wäre noch das Pro­blem mit den Kun­den­stamm­da­ten wie Name, Anschrift und mög­li­cher­wei­se Kun­den­num­mer. Hier kön­nen zwar Risi­ken abge­lei­tet wer­den wie Phis­hing oder Iden­ti­täts­dieb­stahl, doch dafür wer­den im Zwei­fel eini­ge Anga­ben mehr not­wen­dig sein. Den­noch wäre für den Trans­port­weg abzu­wä­gen, ob nicht wei­te­re Schutz­maß­nah­men die­se Risi­ken auch im Hin­blick auf die Ein­tritts­wahr­schein­lich­keit mini­mie­ren könnten.

Hil­fe­stel­lung sei­tens der Aufsichtsbehörden

Ende Novem­ber 2018 hat uns das das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (kurz BayL­DA) in einer zur Ver­öf­fent­li­chung frei­ge­ge­be­nen Email bestä­tigt, dass eine Lösung aus Sicht der Auf­sichts­be­hör­de kein gro­ßes Ding ist.

“Da die deut­schen E‑Mail-Pro­vi­der inzwi­schen regel­mä­ßig Trans­port­ver­schlüs­se­lung für E‑Mails ein­set­zen (so dass die Inhal­te unter­wegs nicht mehr gele­sen wer­den kön­nen), kön­nen E‑Mails mit „nor­ma­lem“ geschäft­li­chem Inhalt aus unse­rer Sicht ohne Ende-zu-Ende-Ver­schlüs­se­lung (ohne Inhalts­ver­schlüs­se­lung) ver­sandt wer­den. Nur bei sen­si­blen Daten (z. B. Ver­sen­dung von Gesund­heits­da­ten durch Arzt oder Kran­ken­haus, umfang­rei­che Finanz­da­ten­ver­sen­dung durch Ban­ken oder Steu­er­be­ra­ter) hal­ten wir eine Inhalts­ver­schlüs­se­lung für gebo­ten (sie­he dazu näher auch unter https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​F​A​Q​_​Z​i​p​.​pdf ).”

Eini­ge tech­ni­sche Nach­fra­gen von uns zu die­ser Aus­sa­ge lau­fen beim BayL­DA seit­her mit einer eige­nen Bear­bei­tungs­num­mer. Wir hal­ten Sie selbst­ver­ständ­lich dazu infor­miert. Nach Aus­sa­ge des BayL­DA soll sich die­se Nach­richt auch im kom­men­den Tätig­keits­be­richt wie­der­fin­den. Auch die Daten­schutz­auf­sicht Nord­rhein-West­fa­len hat sich die­ser Sicht­wei­se ange­schlos­sen (hier geht es zur Mel­dung des LDI NRW): “Bei beson­ders schüt­zens­wer­ten Daten (z.B. Kon­to­be­we­gungs­da­ten, Finan­zie­rungs­da­ten, Daten zum Gesund­heits­zu­stand, Man­dan­ten­da­ten von Rechts­an­wäl­ten und Steu­er­be­ra­tern, Beschäf­tig­ten­da­ten) ist eine allei­ni­ge Trans­port­ver­schlüs­se­lung mög­li­cher­wei­se nicht ausreichend.”

Tipp für die Email-Inhalte

Da hier kei­ne der sei­tens des BayL­DA oder LDI NRW genann­ten sen­si­blen bzw. beson­ders schüt­zens­wer­ten Daten auf bzw. in der Rech­nung zu fin­den sind, wäre der Über­tra­gungs­weg Email daher für die Vari­an­te PDF Anhang als zuläs­sig ein­zu­stu­fen. Ein Tipp des LDI NRW dazu wäre noch zu berück­sich­ti­gen: Den Betreff und Text der Email soll­te man wei­test­ge­hend frei von per­so­nen­be­zo­ge­nen Daten hal­ten. Name und Email-Adres­se las­sen sich ja nicht ver­mei­den. Aber wei­te­re Anga­ben aus der Rech­nung ver­blei­ben ein­fach im PDF und fin­den sich nicht noch­mals im Email-Text wieder.

Also dann jetzt raus mit der elek­tro­ni­schen Rech­nung per Email

Zum Fair­play mit­ein­an­der soll­te stets gehö­ren, den Emp­fän­ger zu die­sem The­ma anzu­hö­ren. Es gibt durch­aus Fir­men, aber auch Kun­den und Bür­ger, die kei­ne elek­tro­ni­schen Rech­nun­gen erhal­ten wol­len. Die­ser Wunsch soll­te respek­tiert und alter­na­ti­ve Mög­lich­kei­ten zur Ver­fü­gung gestellt wer­den. Alter­na­ti­ven wären der klas­si­sche Post­weg, aber auch die Vari­an­te ver­schlüs­sel­ter Down­load aus dem geschütz­ten Kun­den­be­reich. Sie soll­ten auch mög­li­che wei­te­re Rechts­vor­schrif­ten nicht außer acht las­sen, sie­he nächs­ten Abschnitt.

Recht­li­cher Hinweis

Auch wenn sich hin­sicht­lich der Nut­zung von elek­tro­ni­schen Rech­nun­gen in den letz­ten Jah­ren vie­les bewegt hat, soll­ten Sie bei der Betrach­tung die­ses The­mas nicht nur auf die Vor­aus­set­zun­gen des Daten­schutz-Rechts schau­en. Zahl­rei­che wei­te­re Punk­te sind zu beach­ten, wie Pflicht­an­ga­ben auf elek­tro­ni­schen Rech­nun­gen, nach­voll­zieh­ba­re Pro­zes­se zu Emp­fang und Ver­ar­bei­tung von elek­tro­ni­schen Rech­nun­gen (gera­de bei Unter­neh­men und Behör­den), aber auch Archi­vie­rung und Auf­be­wah­rungs­pflich­ten (nicht abschlie­ßen­de Auf­zäh­lung). Sie soll­ten daher bit­te stets auch den Fach­an­walt Ihrer Wahl bzw. ger­ne auch Steu­er­be­ra­ter und /​ oder Wirt­schafts­prü­fer kon­sul­tie­ren, um alle ande­ren recht­li­chen Anfor­de­run­gen abde­cken zu kön­nen. Ihr(e) Daten­schutz­be­auf­trag­te® wird Ihnen da im Zwei­fel nicht wei­ter­hel­fen kön­nen bzw. darf dies womög­lich als Rechts­be­ra­tung auch gar nicht leis­ten. Die­ser Bei­trag stellt eben­falls kei­ne Rechts­be­ra­tung dar.

 

Bid­nach­weis: https://​pixabay​.com/​d​e​/​r​e​c​h​n​u​n​g​-​b​i​l​l​-​u​m​s​c​h​l​a​g​-​g​e​l​d​-​1​5​3​4​13/

9 thoughts on “Rech­nung per Email ver­sen­den und der Datenschutz

  1. Hal­lo,
    dür­fen an unbe­stä­tig­te Email-Adres­sen (der Email-Adres­sat hat nicht bestä­tigt, dass das die kor­rek­te Email ist) Rech­nun­gen geschickt wer­den? Ist das aus daten­schutz­rech­li­chen Grün­den ver­bo­ten oder erlaubt? Die Rech­nun­gen wer­den als PDF-Datei angehangen.
    Über eine Ant­wort wür­de ich mich sehr freuen.
    Lie­be Grüße

    1. Hal­lo!
      Da kom­men gleich meh­re­re Punk­te zusam­men, die ich mal als Gegen­fra­gen for­mu­lie­ren werde:

      1. Was ist, wenn die Email-Adres­se jemand ande­rem gehört (da kei­ne Bestä­ti­gung vor­liegt durch­aus ein Risi­ko) und damit die Rech­nungs­da­tum jeman­dem Unbe­rech­tig­ten gegen­über offen­ge­legt werden?
      2. Wel­che per­so­nen­be­zo­ge­nen Daten sind in die­sem Moment von die­ser unbe­rech­tig­ten Offen­le­gung betroffen?
      3. Was sind mög­li­che Fol­gen für Sie als Versender?

      Ich wür­de hier durch­aus ein Risi­ko einer mel­de­pflich­ti­gen Daten­pan­ne dro­hen sehen, die dann ein Fall für https://​lfd​.nie​der​sach​sen​.de/​s​t​a​r​t​s​e​i​t​e​/​m​e​l​d​e​f​o​r​m​u​l​a​r​e​/​m​e​l​d​u​n​g​_​v​o​n​_​d​a​t​e​n​s​c​h​u​t​z​v​e​r​l​e​t​z​u​n​g​e​n​_​n​a​c​h​_​a​r​t​i​k​e​l​_​3​3​_​d​s​_​g​vo/ wird.

      Je nach Inhalt der Rech­nung wäre mög­li­cher­wei­se auch eine Inhalts­ver­schlüs­se­lung der Email samt Anhang not­wen­dig. Ist die­se sicher­ge­stellt? Auch kein tri­via­les The­ma, denn sel­ten ste­hen sei­tens der Emp­fän­ger not­wen­di­ge “öffent­li­che Schlüs­sel” für eine Ver­schlüs­se­lung mit SMIME oder PGP zur Ver­fü­gung. Ande­re Lösun­gen wie Mail­por­ta­le oder PDF-PIN müs­sen auch erst mal umständ­lich beschafft und kon­fi­gu­riert werden.

      Abge­se­hen davon: Bevor vom von frü­her gewohn­ten Post­ver­sand­weg abge­wi­chen wird (gibt ja gute Grün­de dafür), soll­te das mit dem Emp­fän­ger stets zuvor abge­stimmt sein.

  2. Herz­li­chen Dank für die­se Infor­ma­tio­nen. Uns stellt sich gera­de die Fra­ge, wenn sich nach Zah­lungs­er­in­ne­rung ein/​e “ver­meint­li­cher” Kunde/​Kundin …oder die “ver­meint­li­che” Buchhalterin/​der Buch­hal­ter mel­det und um eine Rech­nungs­ko­pie bit­tet, ist man dann ver­pflich­tet die­se Per­son zu legi­ti­mie­ren und wie soll man das machen? Man kann sich ja schlecht den Chef/​die Che­fin geben las­sen, der/​die bestä­tigt, dass der/​die Mitarbeiter/​in bei ihm/​ihr ange­stellt ist, bzw. wie soll man denn wis­sen, dass man auch tat­säch­lich den Chef am Tele­fon hat. Den Arbeits­ver­trag anfor­dern geht auch nicht. Eine Fir­men-E-Mail-Adres­se ist ein guter Indi­ka­tor aber vie­le Ein­zel­un­ter­neh­men haben immer noch Adres­sen bei irgend­wel­chen Pro­vi­dern ohne Fir­men­be­zug. E‑Mail Adres­sen kön­nen auch gefälscht sein, …hach die Welt ist ein­fach böse…
    Aber was kann ich tun um sicher­zu­stel­len, dass auch nur jemand der dazu berech­tigt eine Rech­nungs­ko­pie erhält auf der unter Umstän­den der Name eines Ansprech­part­ners ver­merkt ist und zu erken­nen ist, was da gekauft wur­de oder wel­che Dienst­leis­tung in Anspruch genom­men wurden.
    Wie packe ich sowas in ein Ver­fah­rens­ver­zeich­nis und wie vie­le Jahr­hun­der­te wer­de ich im Straf­la­ger Zwangs­ar­beit ver­rich­ten müs­sen, bis ich die zu erwar­ten­de Stra­fen abge­ar­bei­tet habe…Okay da ging der Gaul mit mir durch… Eigent­lich geht es mir wirk­lich nur dar­um zu erfah­ren ob ich den Anru­fer legi­ti­mie­ren muss…

    1. Moin!
      Sor­ry for delay in der Ant­wort. Die ursprüng­li­che Rech­nung wur­de ja aller Wahr­schein­lich­keit nach per Post oder an eine zuvor vom Kun­den benann­te Mail-Adres­se ver­schickt. Und genau einen die­ser Wege wür­de ich bei einer sol­chen Anfor­de­rung erneut nut­zen. Post­weg an die Fir­men­an­schrift oder eben an die zuvor hin­ter­leg­te Email-Adres­se. Den Anfra­gen­den kann man ja dann dar­auf hin­wei­sen, wie der Ver­sand erfolgt. Eine neue Mail-Adres­se oder Post­an­schrift wür­de ich da ein­fach nicht akzep­tie­ren. Dann kann nix anbren­nen und es droht auch kein Gulag 🙂

  3. Vie­len Dank für ihre Aus­füh­run­gen. Ich sehe dies, von der Daten­schutz­sei­te eben­so. Dies wäre Grund­sätz­lich das im B2B Bereich der Daten­schutz nur begrenzt zum Zuge kommt. Fir­men Adres­sen, sind in der Regel, nicht geheim und ent­hal­ten kei­ne per­sön­li­chen Daten. Dies wäre auch bei Ein­zel­fir­men so zu sehen. Wenn die Rech­nung kei­ne Dienst­leis­tun­gen ent­hält aus der wie­der­um auf per­sön­li­che Daten zu schlie­ßen wäre. Grund­sätz­lich soll­te man aber immer den Kun­den fra­gen ob er ein­ver­stan­den ist, da die Auf­be­wah­rung usw. ande­re Rechts­vor­schrif­ten ent­hält die höher als der Daten­schutz ist.
    Bin exter­ner Daten­schutz­be­auf­trag­ter und “bera­te” auch in die­se Rich­tung, wenn es um Rech­nun­gen geht. Klar wer die ein­fa­che Mög­lich­keit hat zu ver­schlüs­seln soll­te ein­fach auch die­se E‑Mails ver­schlüs­selt ver­sen­den. Macht es schon leich­ter für den gesam­ten Ablauf des E‑Mailsverkehrs.

    1. Hal­lo!
      Das ist ja genau der Punkt, den wir im Arti­kel beto­nen: Prü­fen, ob per­so­nen­be­zo­ge­ne Daten in der Rech­nung vor­han­den sind bzw. vor­han­den sein müs­sen. Kein Per­so­nen­be­zug, auch kei­ne Anwen­dung des Daten­schutz­rechts. Und wie im letz­ten Abschnitt geschrie­ben: Es gehört zum guten Ton, vor­her zu fra­gen. Aus­nah­me: Die elek­tro­ni­sche Rech­nung ist von vorn­her­ein ver­trag­lich vereinbart.

  4. Ich erstel­le eine Web­site für mei­nen Shop im Graz und inter­es­sie­re mich daher für das The­ma IT Recht. Vie­len Dank für die Erklä­rung, wie ich recht­lich rich­tig Rech­nung per E‑Mail ver­sen­den kann. Jetzt wer­de ich bestimmt kein Feh­ler damit tun.

  5. Inter­es­sant, dass es bei dem Rech­nungs­ver­sand per E‑Mail einen Unter­schied macht, ob nur die Fir­ma ange­schrie­ben wird, oder die Rech­nung an eine bestimm­te Per­son gewandt ist. Unse­re Fir­ma ist sehr klein, wir wer­den even­tu­ell mal einen exter­nen Daten­schutz­be­auf­trag­ten enga­gie­ren, da unse­re Kol­le­gin eigent­lich ande­re Auf­ga­ben hat. Es wäre blöd, den Pro­zess der Rech­nung per E‑Mail umzustellen.

  6. Inter­es­sant, das das Ver­sen­den von Rech­nun­gen per Email Daten­schutz Impli­ka­tio­nen haben kann. Ich wer­de viel­leicht mal einen Steu­er­be­ra­ter fra­gen. Aller­dings ist das viel­leicht auch ein Gebiet für einen Datenschutzbeauftragten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.