Eine Frage, die auch bei uns immer von Kundenseite aufschlägt, dreht sich um die Möglichkeit, eine Rechnung elektronisch — zumeist als PDF als Mail-Anhang — zu versenden. Da hätte sich ja im Mai 2018 durch die DSGVO alles geändert. Wir wollen in diesem Beitrag die an uns herangetragenen Fragen aufgreifen und beantworten.
Auf welche Daten findet die DSGVO bzw. das Datenschutz-Recht Anwendung?
Huch, was hat das jetzt mit der elektronischen Rechnung zu tun? Lösen wir gleich auf. Betrachten wir dazu Art. 4 Abs. 1 DSGVO Begriffsbestimmungen:
“Im Sinne dieser Verordnung bezeichnet der Ausdruck: 1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;”
Salopp gesagt: keine personenbezogenen Daten (direkt oder indirekt), keine Anwendung des Datenschutz-Rechts. Aber …
Was schreibt das Datenschutz-Recht für die elektronische Übermittlung einer Rechnung von personenbezogenen Daten vor?
Hier tummeln sich zahlreiche grenzwertige Aussagen — gerade im Internet — dazu. Den meisten Anklang und Zuspruch findet bislang wohl die Aussage, personenbezogene Daten müssen bei elektronischer Übermittlung zwingend verschlüsselt werden. Stünde so in der DSGVO.
Doch schauen wir einfach mal nach. Art. 32 DSGVO befasst sich mit der Sicherheit der Verarbeitung personenbezogener Daten. Und in der Tat, hier taucht der Begriff “Verschlüsselung” sogar direkt auf. Dann ist die Aussage wohl richtig: Keine Verschlüsselung, kein Versand per Email. Doch im Kontext gelesen, stellt sich das etwas anders dar (Art. 32 Abs. 1 lit a — d):
“[…] diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.”
Vor der Aufzählung findet sich eine genau zu betrachtende Formulierung, nämlich “gegebenenfalls unter anderem”. Das ist nach unserem Dafürhalten etwas anderes als “zwingend notwendig”. Und das steht da nicht. Wie sehen Sie das?
Also, Verschlüsselung wäre ein Mittel zum Zweck, aber nicht das einzige. Aber die weiteren genannten Grundwerte der Informationssicherheit — Vertraulichkeit, Integrität und Verfügbarkeit — geben natürlich ein Ziel vor. Für Emails oder Emails mit Anhängen mit personenbezogenen Daten wäre das die Sicherstellung der Vermeidung unberechtigter Kenntnisnahme (Vertraulichkeit) und Manipulation (Integrität) auf dem Übertragungsweg.
Auf was ist daher beim Versand von Rechnungen per Email zu achten?
Erst mal, ist zu prüfen, ob überhaupt ein Personenbezug in der Rechnung vorhanden ist. Eine Rechnung von Firma A an Firma B (beides juristische Personen) wird — mal abgesehen von einem persönlich adressierten Ansprechpartner in der Buchhaltung (wenn überhaupt, die Angaben z.Hd. Buchhaltung wäre ja ausreichend) — für gewöhnlich keine personenbezogene Daten enthalten. Demnach wäre in dieser Konstellation der Datenschutz außen vor.
Anders sieht es aus, wenn eine Firma oder eine Behörde einen Endkunden bzw. Bürger per Email eine Rechnung zusendet. Hier wäre zumindest der Rechnungsempfänger als natürliche Person mit seinen Angaben als personenbezogenes Datum nach Art. 4 DSGVO einzustufen. Das Datenschutz-Recht würde hier demnach zur Anwendung kommen. Werfen wir noch mal einen kurzen Blick auf Art. 4 DSGVO
“Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten;”
Hier wird dem Absender auferlegt, ein mögliches Risiko durch unberechtigte Kenntnisnahme und Missbrauch der Angaben auf der Rechnung für den Empfänger in Verbindung mit der Eintrittswahrscheinlichkeit für dieses mögliche Risiko zu betrachten. Auf dieser Basis wären geeignete technische und organisatorische Maßnahmen zur Verringerung der Eintrittswahrscheinlichkeit und des Risikos durch den Absender zu ergreifen.
Was sagen die Aufsichtsbehörden zur Rechnung per Email?
In einigen Tätigkeitsberichten der Datenschutzaufsichten in den letzten Jahren ist nachzulesen (u.a. Seiten 44/45 im TB 2016/2017 der Hamburger Behörde), dass ein ungeschützter Versand von Bankverbindungen natürlicher Personen als unzulässig im Sinne des Datenschutzes eingestuft wird. Diese Problematik kann leicht umgegangen werden, in dem die Bankverbindung oder andere Zahlungsmittel wie Kreditkartendaten des Rechnungsempfängers schlicht nicht in den Rechnungen erscheinen bzw. nur mit einigen Ziffern zur Prüfung der korrekt hinterlegten Angaben für Lastschrift / Abbuchung.
Wäre noch das Problem mit den Kundenstammdaten wie Name, Anschrift und möglicherweise Kundennummer. Hier können zwar Risiken abgeleitet werden wie Phishing oder Identitätsdiebstahl, doch dafür werden im Zweifel einige Angaben mehr notwendig sein. Dennoch wäre für den Transportweg abzuwägen, ob nicht weitere Schutzmaßnahmen diese Risiken auch im Hinblick auf die Eintrittswahrscheinlichkeit minimieren könnten.
Hilfestellung seitens der Aufsichtsbehörden
Ende November 2018 hat uns das das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) in einer zur Veröffentlichung freigegebenen Email bestätigt, dass eine Lösung aus Sicht der Aufsichtsbehörde kein großes Ding ist.
“Da die deutschen E‑Mail-Provider inzwischen regelmäßig Transportverschlüsselung für E‑Mails einsetzen (so dass die Inhalte unterwegs nicht mehr gelesen werden können), können E‑Mails mit „normalem“ geschäftlichem Inhalt aus unserer Sicht ohne Ende-zu-Ende-Verschlüsselung (ohne Inhaltsverschlüsselung) versandt werden. Nur bei sensiblen Daten (z. B. Versendung von Gesundheitsdaten durch Arzt oder Krankenhaus, umfangreiche Finanzdatenversendung durch Banken oder Steuerberater) halten wir eine Inhaltsverschlüsselung für geboten (siehe dazu näher auch unter https://www.lda.bayern.de/media/FAQ_Zip.pdf ).”
Einige technische Nachfragen von uns zu dieser Aussage laufen beim BayLDA seither mit einer eigenen Bearbeitungsnummer. Wir halten Sie selbstverständlich dazu informiert. Nach Aussage des BayLDA soll sich diese Nachricht auch im kommenden Tätigkeitsbericht wiederfinden. Auch die Datenschutzaufsicht Nordrhein-Westfalen hat sich dieser Sichtweise angeschlossen (hier geht es zur Meldung des LDI NRW): “Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend.”
Tipp für die Email-Inhalte
Da hier keine der seitens des BayLDA oder LDI NRW genannten sensiblen bzw. besonders schützenswerten Daten auf bzw. in der Rechnung zu finden sind, wäre der Übertragungsweg Email daher für die Variante PDF Anhang als zulässig einzustufen. Ein Tipp des LDI NRW dazu wäre noch zu berücksichtigen: Den Betreff und Text der Email sollte man weitestgehend frei von personenbezogenen Daten halten. Name und Email-Adresse lassen sich ja nicht vermeiden. Aber weitere Angaben aus der Rechnung verbleiben einfach im PDF und finden sich nicht nochmals im Email-Text wieder.
Also dann jetzt raus mit der elektronischen Rechnung per Email
Zum Fairplay miteinander sollte stets gehören, den Empfänger zu diesem Thema anzuhören. Es gibt durchaus Firmen, aber auch Kunden und Bürger, die keine elektronischen Rechnungen erhalten wollen. Dieser Wunsch sollte respektiert und alternative Möglichkeiten zur Verfügung gestellt werden. Alternativen wären der klassische Postweg, aber auch die Variante verschlüsselter Download aus dem geschützten Kundenbereich. Sie sollten auch mögliche weitere Rechtsvorschriften nicht außer acht lassen, siehe nächsten Abschnitt.
Rechtlicher Hinweis
Auch wenn sich hinsichtlich der Nutzung von elektronischen Rechnungen in den letzten Jahren vieles bewegt hat, sollten Sie bei der Betrachtung dieses Themas nicht nur auf die Voraussetzungen des Datenschutz-Rechts schauen. Zahlreiche weitere Punkte sind zu beachten, wie Pflichtangaben auf elektronischen Rechnungen, nachvollziehbare Prozesse zu Empfang und Verarbeitung von elektronischen Rechnungen (gerade bei Unternehmen und Behörden), aber auch Archivierung und Aufbewahrungspflichten (nicht abschließende Aufzählung). Sie sollten daher bitte stets auch den Fachanwalt Ihrer Wahl bzw. gerne auch Steuerberater und / oder Wirtschaftsprüfer konsultieren, um alle anderen rechtlichen Anforderungen abdecken zu können. Ihr(e) Datenschutzbeauftragte® wird Ihnen da im Zweifel nicht weiterhelfen können bzw. darf dies womöglich als Rechtsberatung auch gar nicht leisten. Dieser Beitrag stellt ebenfalls keine Rechtsberatung dar.
Bidnachweis: https://pixabay.com/de/rechnung-bill-umschlag-geld-153413/
