Eine Frage, die auch bei uns immer von Kundenseite aufschlägt, dreht sich um die Möglichkeit, eine Rechnung elektronisch — zumeist als PDF als Mail-Anhang — zu versenden. Da hätte sich ja im Mai 2018 durch die DSGVO alles geändert. Wir wollen in diesem Beitrag die an uns herangetragenen Fragen aufgreifen und beantworten.
Auf welche Daten findet die DSGVO bzw. das Datenschutz-Recht Anwendung?
Huch, was hat das jetzt mit der elektronischen Rechnung zu tun? Lösen wir gleich auf. Betrachten wir dazu Art. 4 Abs. 1 DSGVO Begriffsbestimmungen:
“Im Sinne dieser Verordnung bezeichnet der Ausdruck: 1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;”
Salopp gesagt: keine personenbezogenen Daten (direkt oder indirekt), keine Anwendung des Datenschutz-Rechts. Aber …
Was schreibt das Datenschutz-Recht für die elektronische Übermittlung einer Rechnung von personenbezogenen Daten vor?
Hier tummeln sich zahlreiche grenzwertige Aussagen — gerade im Internet — dazu. Den meisten Anklang und Zuspruch findet bislang wohl die Aussage, personenbezogene Daten müssen bei elektronischer Übermittlung zwingend verschlüsselt werden. Stünde so in der DSGVO.
Doch schauen wir einfach mal nach. Art. 32 DSGVO befasst sich mit der Sicherheit der Verarbeitung personenbezogener Daten. Und in der Tat, hier taucht der Begriff “Verschlüsselung” sogar direkt auf. Dann ist die Aussage wohl richtig: Keine Verschlüsselung, kein Versand per Email. Doch im Kontext gelesen, stellt sich das etwas anders dar (Art. 32 Abs. 1 lit a — d):
“[…] diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.”
Vor der Aufzählung findet sich eine genau zu betrachtende Formulierung, nämlich “gegebenenfalls unter anderem”. Das ist nach unserem Dafürhalten etwas anderes als “zwingend notwendig”. Und das steht da nicht. Wie sehen Sie das?
Also, Verschlüsselung wäre ein Mittel zum Zweck, aber nicht das einzige. Aber die weiteren genannten Grundwerte der Informationssicherheit — Vertraulichkeit, Integrität und Verfügbarkeit — geben natürlich ein Ziel vor. Für Emails oder Emails mit Anhängen mit personenbezogenen Daten wäre das die Sicherstellung der Vermeidung unberechtigter Kenntnisnahme (Vertraulichkeit) und Manipulation (Integrität) auf dem Übertragungsweg.
Auf was ist daher beim Versand von Rechnungen per Email zu achten?
Erst mal, ist zu prüfen, ob überhaupt ein Personenbezug in der Rechnung vorhanden ist. Eine Rechnung von Firma A an Firma B (beides juristische Personen) wird — mal abgesehen von einem persönlich adressierten Ansprechpartner in der Buchhaltung (wenn überhaupt, die Angaben z.Hd. Buchhaltung wäre ja ausreichend) — für gewöhnlich keine personenbezogene Daten enthalten. Demnach wäre in dieser Konstellation der Datenschutz außen vor.
Anders sieht es aus, wenn eine Firma oder eine Behörde einen Endkunden bzw. Bürger per Email eine Rechnung zusendet. Hier wäre zumindest der Rechnungsempfänger als natürliche Person mit seinen Angaben als personenbezogenes Datum nach Art. 4 DSGVO einzustufen. Das Datenschutz-Recht würde hier demnach zur Anwendung kommen. Werfen wir noch mal einen kurzen Blick auf Art. 4 DSGVO
“Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten;”
Hier wird dem Absender auferlegt, ein mögliches Risiko durch unberechtigte Kenntnisnahme und Missbrauch der Angaben auf der Rechnung für den Empfänger in Verbindung mit der Eintrittswahrscheinlichkeit für dieses mögliche Risiko zu betrachten. Auf dieser Basis wären geeignete technische und organisatorische Maßnahmen zur Verringerung der Eintrittswahrscheinlichkeit und des Risikos durch den Absender zu ergreifen.
Was sagen die Aufsichtsbehörden zur Rechnung per Email?
In einigen Tätigkeitsberichten der Datenschutzaufsichten in den letzten Jahren ist nachzulesen (u.a. Seiten 44/45 im TB 2016/2017 der Hamburger Behörde), dass ein ungeschützter Versand von Bankverbindungen natürlicher Personen als unzulässig im Sinne des Datenschutzes eingestuft wird. Diese Problematik kann leicht umgegangen werden, in dem die Bankverbindung oder andere Zahlungsmittel wie Kreditkartendaten des Rechnungsempfängers schlicht nicht in den Rechnungen erscheinen bzw. nur mit einigen Ziffern zur Prüfung der korrekt hinterlegten Angaben für Lastschrift / Abbuchung.
Wäre noch das Problem mit den Kundenstammdaten wie Name, Anschrift und möglicherweise Kundennummer. Hier können zwar Risiken abgeleitet werden wie Phishing oder Identitätsdiebstahl, doch dafür werden im Zweifel einige Angaben mehr notwendig sein. Dennoch wäre für den Transportweg abzuwägen, ob nicht weitere Schutzmaßnahmen diese Risiken auch im Hinblick auf die Eintrittswahrscheinlichkeit minimieren könnten.
Hilfestellung seitens der Aufsichtsbehörden
Ende November 2018 hat uns das das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) in einer zur Veröffentlichung freigegebenen Email bestätigt, dass eine Lösung aus Sicht der Aufsichtsbehörde kein großes Ding ist.
“Da die deutschen E‑Mail-Provider inzwischen regelmäßig Transportverschlüsselung für E‑Mails einsetzen (so dass die Inhalte unterwegs nicht mehr gelesen werden können), können E‑Mails mit „normalem“ geschäftlichem Inhalt aus unserer Sicht ohne Ende-zu-Ende-Verschlüsselung (ohne Inhaltsverschlüsselung) versandt werden. Nur bei sensiblen Daten (z. B. Versendung von Gesundheitsdaten durch Arzt oder Krankenhaus, umfangreiche Finanzdatenversendung durch Banken oder Steuerberater) halten wir eine Inhaltsverschlüsselung für geboten (siehe dazu näher auch unter https://www.lda.bayern.de/media/FAQ_Zip.pdf ).”
Einige technische Nachfragen von uns zu dieser Aussage laufen beim BayLDA seither mit einer eigenen Bearbeitungsnummer. Wir halten Sie selbstverständlich dazu informiert. Nach Aussage des BayLDA soll sich diese Nachricht auch im kommenden Tätigkeitsbericht wiederfinden. Auch die Datenschutzaufsicht Nordrhein-Westfalen hat sich dieser Sichtweise angeschlossen (hier geht es zur Meldung des LDI NRW): “Bei besonders schützenswerten Daten (z.B. Kontobewegungsdaten, Finanzierungsdaten, Daten zum Gesundheitszustand, Mandantendaten von Rechtsanwälten und Steuerberatern, Beschäftigtendaten) ist eine alleinige Transportverschlüsselung möglicherweise nicht ausreichend.”
Tipp für die Email-Inhalte
Da hier keine der seitens des BayLDA oder LDI NRW genannten sensiblen bzw. besonders schützenswerten Daten auf bzw. in der Rechnung zu finden sind, wäre der Übertragungsweg Email daher für die Variante PDF Anhang als zulässig einzustufen. Ein Tipp des LDI NRW dazu wäre noch zu berücksichtigen: Den Betreff und Text der Email sollte man weitestgehend frei von personenbezogenen Daten halten. Name und Email-Adresse lassen sich ja nicht vermeiden. Aber weitere Angaben aus der Rechnung verbleiben einfach im PDF und finden sich nicht nochmals im Email-Text wieder.
Also dann jetzt raus mit der elektronischen Rechnung per Email
Zum Fairplay miteinander sollte stets gehören, den Empfänger zu diesem Thema anzuhören. Es gibt durchaus Firmen, aber auch Kunden und Bürger, die keine elektronischen Rechnungen erhalten wollen. Dieser Wunsch sollte respektiert und alternative Möglichkeiten zur Verfügung gestellt werden. Alternativen wären der klassische Postweg, aber auch die Variante verschlüsselter Download aus dem geschützten Kundenbereich. Sie sollten auch mögliche weitere Rechtsvorschriften nicht außer acht lassen, siehe nächsten Abschnitt.
Rechtlicher Hinweis
Auch wenn sich hinsichtlich der Nutzung von elektronischen Rechnungen in den letzten Jahren vieles bewegt hat, sollten Sie bei der Betrachtung dieses Themas nicht nur auf die Voraussetzungen des Datenschutz-Rechts schauen. Zahlreiche weitere Punkte sind zu beachten, wie Pflichtangaben auf elektronischen Rechnungen, nachvollziehbare Prozesse zu Empfang und Verarbeitung von elektronischen Rechnungen (gerade bei Unternehmen und Behörden), aber auch Archivierung und Aufbewahrungspflichten (nicht abschließende Aufzählung). Sie sollten daher bitte stets auch den Fachanwalt Ihrer Wahl bzw. gerne auch Steuerberater und / oder Wirtschaftsprüfer konsultieren, um alle anderen rechtlichen Anforderungen abdecken zu können. Ihr(e) Datenschutzbeauftragte® wird Ihnen da im Zweifel nicht weiterhelfen können bzw. darf dies womöglich als Rechtsberatung auch gar nicht leisten. Dieser Beitrag stellt ebenfalls keine Rechtsberatung dar.
Bidnachweis: https://pixabay.com/de/rechnung-bill-umschlag-geld-153413/
Vielen Dank für Ihren Beitrag.
Wenn der Rechnungsversand per E‑Mail erst neu eingeführt wird im Unternehmen, kann man es dennoch mit dem Vertragsverhältnis legitimieren oder wäre eine Einwilligung sinnvoller?
An der Einwilligung käme man glaube ich im Falle vom Versand besonderer Arten personenbezogener Daten nicht herum, aber mir scheint das im Normalfall eigentlich schon Teil der Vertragserfüllung zu sein.
Danke für Ihre Zeit.
Hallo!
In der Tat könnte man es unter die Rechtsgrundlage Vertragsdurchführung packen. Dennoch sollte man den Empfänger nicht “überrumpeln”. Denn noch ist nicht jede Organisation darauf vorbereitet, in größeren Mengen digitale Rechnungen zu erhalten und weiter zu bearbeiten.
Hallo,
dürfen an unbestätigte Email-Adressen (der Email-Adressat hat nicht bestätigt, dass das die korrekte Email ist) Rechnungen geschickt werden? Ist das aus datenschutzrechlichen Gründen verboten oder erlaubt? Die Rechnungen werden als PDF-Datei angehangen.
Über eine Antwort würde ich mich sehr freuen.
Liebe Grüße
Hallo!
Da kommen gleich mehrere Punkte zusammen, die ich mal als Gegenfragen formulieren werde:
1. Was ist, wenn die Email-Adresse jemand anderem gehört (da keine Bestätigung vorliegt durchaus ein Risiko) und damit die Rechnungsdatum jemandem Unberechtigten gegenüber offengelegt werden?
2. Welche personenbezogenen Daten sind in diesem Moment von dieser unberechtigten Offenlegung betroffen?
3. Was sind mögliche Folgen für Sie als Versender?
Ich würde hier durchaus ein Risiko einer meldepflichtigen Datenpanne drohen sehen, die dann ein Fall für https://lfd.niedersachsen.de/startseite/meldeformulare/meldung_von_datenschutzverletzungen_nach_artikel_33_ds_gvo/ wird.
Je nach Inhalt der Rechnung wäre möglicherweise auch eine Inhaltsverschlüsselung der Email samt Anhang notwendig. Ist diese sichergestellt? Auch kein triviales Thema, denn selten stehen seitens der Empfänger notwendige “öffentliche Schlüssel” für eine Verschlüsselung mit SMIME oder PGP zur Verfügung. Andere Lösungen wie Mailportale oder PDF-PIN müssen auch erst mal umständlich beschafft und konfiguriert werden.
Abgesehen davon: Bevor vom von früher gewohnten Postversandweg abgewichen wird (gibt ja gute Gründe dafür), sollte das mit dem Empfänger stets zuvor abgestimmt sein.
Herzlichen Dank für diese Informationen. Uns stellt sich gerade die Frage, wenn sich nach Zahlungserinnerung ein/e “vermeintlicher” Kunde/Kundin …oder die “vermeintliche” Buchhalterin/der Buchhalter meldet und um eine Rechnungskopie bittet, ist man dann verpflichtet diese Person zu legitimieren und wie soll man das machen? Man kann sich ja schlecht den Chef/die Chefin geben lassen, der/die bestätigt, dass der/die Mitarbeiter/in bei ihm/ihr angestellt ist, bzw. wie soll man denn wissen, dass man auch tatsächlich den Chef am Telefon hat. Den Arbeitsvertrag anfordern geht auch nicht. Eine Firmen-E-Mail-Adresse ist ein guter Indikator aber viele Einzelunternehmen haben immer noch Adressen bei irgendwelchen Providern ohne Firmenbezug. E‑Mail Adressen können auch gefälscht sein, …hach die Welt ist einfach böse…
Aber was kann ich tun um sicherzustellen, dass auch nur jemand der dazu berechtigt eine Rechnungskopie erhält auf der unter Umständen der Name eines Ansprechpartners vermerkt ist und zu erkennen ist, was da gekauft wurde oder welche Dienstleistung in Anspruch genommen wurden.
Wie packe ich sowas in ein Verfahrensverzeichnis und wie viele Jahrhunderte werde ich im Straflager Zwangsarbeit verrichten müssen, bis ich die zu erwartende Strafen abgearbeitet habe…Okay da ging der Gaul mit mir durch… Eigentlich geht es mir wirklich nur darum zu erfahren ob ich den Anrufer legitimieren muss…
Moin!
Sorry for delay in der Antwort. Die ursprüngliche Rechnung wurde ja aller Wahrscheinlichkeit nach per Post oder an eine zuvor vom Kunden benannte Mail-Adresse verschickt. Und genau einen dieser Wege würde ich bei einer solchen Anforderung erneut nutzen. Postweg an die Firmenanschrift oder eben an die zuvor hinterlegte Email-Adresse. Den Anfragenden kann man ja dann darauf hinweisen, wie der Versand erfolgt. Eine neue Mail-Adresse oder Postanschrift würde ich da einfach nicht akzeptieren. Dann kann nix anbrennen und es droht auch kein Gulag 🙂
Vielen Dank für ihre Ausführungen. Ich sehe dies, von der Datenschutzseite ebenso. Dies wäre Grundsätzlich das im B2B Bereich der Datenschutz nur begrenzt zum Zuge kommt. Firmen Adressen, sind in der Regel, nicht geheim und enthalten keine persönlichen Daten. Dies wäre auch bei Einzelfirmen so zu sehen. Wenn die Rechnung keine Dienstleistungen enthält aus der wiederum auf persönliche Daten zu schließen wäre. Grundsätzlich sollte man aber immer den Kunden fragen ob er einverstanden ist, da die Aufbewahrung usw. andere Rechtsvorschriften enthält die höher als der Datenschutz ist.
Bin externer Datenschutzbeauftragter und “berate” auch in diese Richtung, wenn es um Rechnungen geht. Klar wer die einfache Möglichkeit hat zu verschlüsseln sollte einfach auch diese E‑Mails verschlüsselt versenden. Macht es schon leichter für den gesamten Ablauf des E‑Mailsverkehrs.
Hallo!
Das ist ja genau der Punkt, den wir im Artikel betonen: Prüfen, ob personenbezogene Daten in der Rechnung vorhanden sind bzw. vorhanden sein müssen. Kein Personenbezug, auch keine Anwendung des Datenschutzrechts. Und wie im letzten Abschnitt geschrieben: Es gehört zum guten Ton, vorher zu fragen. Ausnahme: Die elektronische Rechnung ist von vornherein vertraglich vereinbart.
Ich erstelle eine Website für meinen Shop im Graz und interessiere mich daher für das Thema IT Recht. Vielen Dank für die Erklärung, wie ich rechtlich richtig Rechnung per E‑Mail versenden kann. Jetzt werde ich bestimmt kein Fehler damit tun.
Interessant, dass es bei dem Rechnungsversand per E‑Mail einen Unterschied macht, ob nur die Firma angeschrieben wird, oder die Rechnung an eine bestimmte Person gewandt ist. Unsere Firma ist sehr klein, wir werden eventuell mal einen externen Datenschutzbeauftragten engagieren, da unsere Kollegin eigentlich andere Aufgaben hat. Es wäre blöd, den Prozess der Rechnung per E‑Mail umzustellen.
Interessant, das das Versenden von Rechnungen per Email Datenschutz Implikationen haben kann. Ich werde vielleicht mal einen Steuerberater fragen. Allerdings ist das vielleicht auch ein Gebiet für einen Datenschutzbeauftragten.