Sind Rechnungen per E-Mail datenschutzkonform?
Bei Rechnungen gilt es, auf viele Dinge zu achten. Da wären zunächst einmal die Pflichtangaben. Dazu kommen zahlreiche Vorgaben und Verordnungen, die sich zum Beispiel auf die Verarbeitung, die Archivierung und die Aufbewahrungsfristen beziehen.
In jüngerer Vergangenheit sorgt aber noch ein anderer Punkt immer wieder für Verunsicherung: der Datenschutz.
Viele Unternehmen nutzen die Möglichkeit, ihre Rechnungen elektronisch zu verschicken. Meist erfolgt das als PDF im Anhang einer E-Mail. Seit im Mai 2018 die DSGVO in Kraft getreten ist, ist nun aber regelmäßig davon die Rede, dass sich auch mit Blick auf den elektronischen Rechungsversand einiges geändert hätte.
Nur: Stimmt das wirklich? Müssen Unternehmen besondere Maßnahmen ergreifen, damit sie nach wie vor E-Mail-Rechnungen verschicken können? Oder bleibt an diesem Punkt letztlich alles beim Alten und Rechnungen per E-Mail sind datenschutzkonform?
Wir bringen etwas Licht ins Dunkel!:
Inhalt
Was versteht die DSGVO unter personenbezogenen Daten?
Bevor wir uns um die Rechnung per E-Mail kümmern, muss erst einmal geklärt sein, was die Datenschutz-Grundverordnung (DSGVO) eigentlich unter personenbezogenen Daten versteht. Denn immerhin entscheiden diese Daten maßgeblich darüber, ob das Datenschutzrecht Anwendung findet oder ob nicht.
In Art. 4 Abs. 1 heißt es in den Begriffsbestimmungen dazu:
| Im Sinne dieser Verordnung bezeichnet der Ausdruck:
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; |
Das bedeutet zunächst einmal, dass der Datenschutz gar kein Thema ist, wenn in einer Rechnung keine personenbezogenen Daten auftauchen. Allerdings ist das bei den meisten Rechnungen nicht der Fall. Insbesondere dann nicht, wenn die Rechnung für einen Endkunden bestimmt ist.
Was gilt laut DSGVO für die elektronische Übermittlung von personenbezogenen Daten?
Gerade diese Frage ist oft der Auslöser für die Verunsicherung. Denn die Vorgaben aus der Verordnung werden gerne so ausgelegt, als dass personenbezogene Daten bei einer elektronischen Übermittlung verschlüsselt werden müssen.
In Art. 32, der sich mit der Sicherheit bei der Verarbeitung von personenbezogenen Daten beschäftigt, ist auch wirklich von der Verschlüsselung die Rede. Insofern scheint die Auslegung im ersten Moment richtig. Allerdings relativiert sich die Sache mit der Verschlüsselung, wenn der ganze Artikel gelesen wird. So heißt es in Abs. 1 und 2 von Art. 32:
| (1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (2) Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. |
Der entscheidende Hinweis ist die Formulierung “gegebenenfalls unter anderem” vor der Aufzählung der Maßnahmen. Denn diese Formulierung besagt nicht, dass die personenbezogenen Daten unbedingt und auf jeden Fall verschlüsselt werden müssen. Vielmehr ist die Verschlüsselung eine mögliche Maßnahme.
Andererseits muss natürlich die Informationssicherheit gewährleistet sein. Und im Fall von E-Mails und E-Mail-Anhängen, die personenbezogene Daten enthalten, fallen in erster Linie die Vertraulichkeit und die Integrität ins Gewicht.
Das heißt im Klartext: Es muss sichergestellt sein, dass die Daten weder in die Hände eines unberechtigten Dritten gelangen noch auf dem Übertragungsweg manipuliert werden können.
Worauf kommt es beim Versand von Rechnungen per E-Mail an?
Verschickt ein Unternehmen eine Rechnung an ein anderes Unternehmen und sind beide juristische Personen, wird die Rechnung oft gar keinen Personenbezug haben. In der Rechnung wird bestenfalls der Name des Ansprechpartners in der Buchhaltung auftauchen.
Aber selbst diese Angabe könnte umgangen werden, indem die Rechnung einfach zu Händen der Buchhaltung geschickt wird. In Sachen Datenschutz müsste hier also nichts weiter beachtet werden.
Ist die E-Mail-Rechnung hingegen für einen Endkunden bestimmt, fallen die Angaben zum Rechnungsempfänger als natürliche Person unter die personenbezogenen Daten gemäß Art. 4 DSGVO. Schließlich sind in der Rechnung beispielsweise der Name, die Anschrift und die Kundennummer aufgeführt.
Darüber ist der Rechnungsempfänger eindeutig als natürliche Person zu identifizieren. Folglich muss der Absender Maßnahmen ergreifen, um das Risiko einer unberechtigten Kenntnisnahme und eines Missbrauchs der Daten so gering wie möglich zu halten.
Fast alle deutschen E-Mail-Provider setzen regelmäßig Transportverschlüsselungen ein. Die Inhalte können dadurch unterwegs nichts ausgelesen werden. Die Gefahr, dass eine E-Mail abgefangen und Daten wie Name, Anschrift oder Kundennummer für einen Identitätsdiebstahl oder Phishing missbraucht werden, lässt sich zwar nicht komplett ausschließen.
Dennoch vertreten die Aufsichtsbehörden die Ansicht, dass eine normale geschäftliche E-Mail durchaus ohne Inhaltsverschlüsselung verschickt werden kann. Nur wenn sensible und besonders schützenswerte Daten elektronisch übermittelt werden, dürfte eine Inhaltsverschlüsselung notwendig sein.
Zu solchen Daten können beispielsweise Angaben zum Gesundheitszustand oder Informationen über Kontobewegungen gehören. Entsprechende Stellungnahmen gibt es unter anderem vom Bayerischen Landesamt für Datenschutzaufsicht und vom Landesbeauftragen in Nordrhein-Westfalen.
Wichtig zu wissen ist aber auch, dass der unverschlüsselte Versand von Bankverbindungen meist als Verstoß gegen den Datenschutz gewertet wird. Aus diesem Grund sollten die Bankverbindung oder die Kreditkartendaten des Rechnungsempfängers nicht komplett ausgeschrieben werden. Vielmehr sollten nur einige Ziffern genannt und die übrigen Zahlen durch Xe ersetzt werden. Der Rechnungsempfänger kann so prüfen, ob die hinterlegten Daten für eine Lastschrift richtig sind. Gleichzeitig hält der Absender die Datenschutzvorgaben ein.
Sind Rechnungen per E-Mail datenschutzkonform?
Sofern die Rechnung keine besonders schützenswerten Daten enthält – und das ist in aller Regel der Fall – spricht grundsätzlich nichts dagegen, sie in Form einer PDF als E-Mail-Anhang zu verschicken.
Ratsam ist aber, im Betreff und Text der E-Mail auf personenbezogene Daten zu verzichten. Abgesehen vom Namen und der E-Mail-Adresse, braucht eine E-Mail solche Daten aber auch nicht. Sie können stattdessen in der Rechnung im Anhang verbleiben und müssen in der E-Mail selbst nicht noch einmal wiederholt werden.
Die DSGVO ändert also letztlich nichts daran, dass Unternehmen ihre Rechnungen als E-Mail-Anhang verschicken können. Doch wie auch schon davor, gebietet es einfach die Fairness, die Wünsche des Rechnungsempfängers zu berücksichtigen.
Möchte er keine elektronische Rechnung, sollte der Absender auf den klassischen Postweg ausweichen. Auch ein verschlüsselter Download im geschützten Kundenbereich kann eine Alternative sein.
Hinweis:
Dieser Beitrag versteht sich nicht als Rechtsberatung. Bei juristischen Fragen rund um die Rechnung sind ein Rechtsanwalt, ein Steuerberater oder ein Betriebsprüfer die richtigen Ansprechpartner.
Mehr Ratgeber, Tipps, Anleitungen und Vorlagen:
- Eine Fächermappe basteln – so geht’s
- Spam vermeiden – Infos & Musterbrief
- Anleitung für eine Grußkarte zum Aufstellen
- Die Unterschrift im Geschäftsbrief
- Rentenkonto klären – so geht’s, Teil 2
- Rentenkonto klären – so geht’s, Teil 1
- Warum ein Einschreiben ohne Rückschein sinnvoller ist
- DSGVO: die wichtigsten Verbraucherrechte & Briefvorlagen, Teil 3
Thema: Sind Rechnungen per E-Mail datenschutzkonform?
Übersicht:
Fachartikel
Verzeichnis
Über uns
- Die aktuellen Regelungen zum Einwegpfand – mit Musterbrief, 2. Teil - 16. April 2024
- Die aktuellen Regelungen zum Einwegpfand – 1. Teil - 15. März 2024
- 10 Tipps zum Korrekturlesen, Teil 2 - 23. Februar 2024