Der Versand von Rechnungen per E-Mail ist inzwischen weit verbreitet. Allerdings nimmt die Zahl der Fälle zu, in denen Kriminelle Rechnungen abfangen, Kontodaten manipulieren und die geänderten Dokumente an den Empfänger weiterleiten. Wird die Rechnung auf das falsche Konto überwiesen, kann das Unternehmen zwar eine erneute Zahlung auf das korrekte Konto fordern, doch unter bestimmten Umständen können Kunden mit einer Schadenersatzforderung aufrechnen.
Uneinheitliche Rechtsprechung
Die Frage, welche Sicherheitsmaßnahmen Unternehmen beim Versand von Rechnungen per E-Mail ergreifen müssen, wurde bereits vor verschiedenen Oberlandesgerichten verhandelt – mit unterschiedlichen Urteilen:
- OLG Karlsruhe entschied, dass eine Zahlung auf ein manipuliertes Konto die Zahlungsverpflichtung nicht erfüllt. Das Unternehmen hatte ausreichende Sicherheitsmaßnahmen getroffen, und die manipulierte Rechnung enthielt auffällige Unstimmigkeiten. Das Gericht sah daher ein erhebliches Mitverschulden beim Kunden, der die Rechnung nochmals begleichen musste.
- OLG Schleswig-Holstein kam zu einer anderen Einschätzung. Zwar wurde auch hier entschieden, dass der Kunde erneut zahlen muss, allerdings hatte das Unternehmen gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen, indem es keine ausreichenden Sicherheitsmaßnahmen getroffen hatte. Ein Mitverschulden des Kunden wurde verneint, und das Unternehmen erhielt letztlich keine Zahlung.
Besonders hervorgehoben wurde in diesem Urteil, dass eine einfache Transportverschlüsselung für den Versand von Rechnungen per E-Mail nicht ausreicht. Eine End-to-End-Verschlüsselung sei der empfohlene Sicherheitsstandard, auch wenn dies für Unternehmen einen gewissen technischen Aufwand bedeutet.
Empfohlene Sicherheitsmaßnahmen
Bis eine eindeutige Entscheidung des Bundesgerichtshofs (BGH) vorliegt, bleibt unklar, welche Sicherheitsvorkehrungen für Unternehmen verbindlich sind. Dennoch lassen sich folgende Empfehlungen ableiten:
- End-to-End-Verschlüsselung sollte beim Versand von Rechnungen per E-Mail als Standard betrachtet werden. Sie bietet besseren Schutz gegen Manipulationen als eine reine Transportverschlüsselung.
- E-Rechnungen sind keine sichere Alternative, da auch QR-Codes manipuliert und mit gefälschten Bankverbindungen versehen werden können.
- Technischer, finanzieller und organisatorischer Aufwand ist erforderlich, um die IT-Sicherheit entsprechend anzupassen. Angesichts der möglichen finanziellen Verluste durch Betrug ist dies jedoch eine sinnvolle Investition.
- Der Postversand bleibt die sicherste Methode, wenn der Schutz sensibler Daten nicht durch eine End-to-End-Verschlüsselung gewährleistet werden kann oder möchte.
Unternehmen sollten diese Sicherheitsmaßnahmen prüfen und gegebenenfalls anpassen, um sowohl sich selbst als auch ihre Kunden vor finanziellen Risiken durch Rechnungsbetrug zu schützen.