Durch die fehlerhaft unterlassene Aufklärung, wie und wo die Rechnung verändert wurde, hat das OLG dann auch leider die wesentlichen Schutzziele der DSGVO und damit ein für den Einzelfall
angemessenes Schutzniveau der Daten im gesamten Rechnungslauf
überhaupt nicht geprüft.
Sowohl im Datenschutz als auch im Bereich der IT-Sicherheit heißen
die drei grundlegenden Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit.
Im Fall einer E-Rechnung heißt dies:
- Vertraulichkeit erfordert einen angemessenen Schutz der Daten vor unbefugtem Zugriff während des Transports und in der Speicherung. Die Daten können nicht von Unbefugten gelesen werden.
- Integrität: erfordert die Sicherstellung, dass die Rechnung nicht unbefugt nachträglich geändert wird. Damit wird zugleich die Authentizität des Dokuments und die klare Zurechenbarkeit zum Absender gewährleistet.
- Verfügbarkeit: garantiert, dass die Rechnung gegen Verlust oder Vernichtung durch entsprechende Sicherungs- und Backup-Lösungen geschützt und somit dem Empfänger vom Aussteller ggf. auch erneut zur Verfügung gestellt werden kann.
Wie ausgeführt schützt eine
Verschlüsselung zwar den Transportweg bis zum Endgerät und damit die Vertraulichkeit,
garantiert aber weder die Authentizität noch Integrität der Rechnung. Hierbei hilft die Ende-zu-Ende-Verschlüsselung letztlich nicht weiter, da sie weder die Richtigkeit der Rechnung beim Versand, noch die Richtigkeit nach der Entschlüsselung auf dem Endgerät gewährleisten kann und will.
Eine wesentlich praxistauglichere Möglichkeit gegenüber der Ende-zu-Ende-Verschlüsselung wird dabei vom OLG nicht einmal thematisiert:
die Technologie der digitalen Signatur. Eine qualifizierte elektronische Signatur (QES) nach eIDAS-Verordnung hätte im konkreten Fall tatsächlich Schutz geboten:
- Sie garantiert die Integrität des Dokuments – jede nachträgliche Änderung wäre erkennbar gewesen.
- Sie bestätigt zudem die Authentizität des Absenders.
- Sie ist rechtlich einer handschriftlichen Unterschrift gleichgestellt.
Im Gegensatz zur Verschlüsselung
schützt eine Signatur auch vor Manipulationen, da die Signatur durch jede Veränderung ungültig wird. Die Buchhaltung hätte die gefälschte Kontonummer sofort erkannt, wenn sie die Signatur überprüft hätte.
Digitale Signaturen basieren auf asymmetrischer Kryptographie, bei der der Absender ein Dokument mit seinem
privaten Schlüssel signiert. Der Empfänger kann dann mit dem
öffentlichen Schlüssel des Absenders verifizieren, dass das Dokument tatsächlich vom angegebenen Absender stammt und nach der Signierung nicht verändert wurde.
Die eIDAS-Verordnung der EU definiert
verschiedene Sicherheitsstufen für elektronische Signaturen, von der einfachen elektronischen Signatur bis zur qualifizierten elektronischen Signatur, die rechtlich einer handschriftlichen Unterschrift gleichgestellt ist. Für Rechnungen empfiehlt sich daher mindestens eine fortgeschrittene elektronische Signatur, idealerweise jedoch eine qualifizierte elektronische Signatur.
Ein praktischer Vorteil: Während nur ein Bruchteil der deutschen Unternehmen routinemäßig Ende-zu-Ende-Verschlüsselung nutzen, setzen deutlich mehr digitale Signaturen ein. Die
Implementierung erfordert zudem weniger technisches Know-how und ist mit standardisierten Zertifikaten vergleichsweise einfach umzusetzen. Rechtlich sind Signaturen durch die eIDAS-Verordnung
klar geregelt und anerkannt, während die vom OLG geforderte Verschlüsselungspflicht umstritten bleibt.
Insofern zeigt dieses Beispiel, dass es unerlässlich ist, sich den Prozess als Ganzes anzusehen. Die Kernaspekte bei E-Mail-Rechnungen sind:
- Schutzziele variieren: Verschlüsselung sichert Vertraulichkeit, Signaturen garantieren Integrität. Maßnahmen müssen stets nach dem konkreten Schutzziel geprüft und getrennt betrachtet werden.
- E-Rechnungspflicht ist kein Schutz: Auch elektronische Formate wie XRechnung oder ZUGFeRD bieten keinen inhärenten Schutz vor Betrug. Gegenüber Verbrauchern dürfen weiterhin PDFs versendet werden, die manipulierbar bleiben.
- Praktische Prävention: Bei geänderten Bankverbindungen immer telefonisch nachfragen und bestätigte Konten in einer internen Liste speichern. So können Sie Manipulationen früh erkennen.
Wichtig ist also zu verstehen, dass digitale Signaturen und Verschlüsselung unterschiedliche Schutzziele verfolgen und einander ergänzen.