Wir möchten Sie auf einen wichtigen Aspekt hinweisen, der in Bezug auf Ihren Gerichtsstand und die damit verbundenen rechtlichen Rahmenbedingungen von Bedeutung sein könnte. Viele Unternehmen sind verpflichtet, E-Rechnungen zu versenden. In diesem Zusammenhang möchten wir auf eine relevante Problematik aufmerksam machen.
Worum geht es?
Das schleswig-holsteinische Oberlandesgericht hat entschieden, dass die Zahlung einer aufgrund eines Hackerangriffs manipulierten Rechnung auf ein fremdes Konto keine Erfüllung der Werklohnforderung darstellt.
Die irrtümlich zahlende Kundin kann jedoch wiederum einen Schadensersatzanspruch nach Art. 82 DSVO gegen das Unternehmen geltend machen, wenn dieses den Versand der Rechnung per E-Mail nicht ausreichend abgesichert hat.
Das Gericht stellte klar, dass eine bloße Transportverschlüsselung bei geschäftlichen E-Mails mit personenbezogenen Daten nicht ausreicht; vielmehr ist eine Ende-zu-Ende-Verschlüsselung notwendig, um ein angemessenes Schutzniveau zu gewährleisten.
Zudem wurde festgestellt, dass der Kundin kein Mitverschulden trifft, da es ihr nicht zuzumuten sei, die Feinheiten einer manipulierten Rechnung zu erkennen.
Im konkreten Fall hatte die Klägerin, ein Werkunternehmer, einer privaten Kundin eine Schlussrechnung über 15.385,78 EUR per E-Mail zugesendet.
Diese Rechnung wurde durch einen unbekannten Dritten manipuliert, sodass die Beklagte den Betrag auf ein falsches Konto überwies.
Allgemeine Tipps für Rechnungsempfangende:
Wenn Sie regelmäßig Leistungen eines Unternehmens in Anspruch nehmen oder bereits bei der Anlage von Kreditoren in Ihrer Buchhaltung absehen können, dass es sich nicht nur um kleinere Beträge handelt, empfehle ich Ihnen, die Kontonummer (falls nicht bereits bekannt oder wechselnd) des Dienstleisters telefonisch zu bestätigen oder vorab zu erfragen.
Viele Unternehmen haben dies bereits in ihren Kreditorenbuchhaltungen implementiert.
Allgemeine Tipps für Rechnungsstellende:
- Ende-zu-Ende-Verschlüsselung (E2EE): Implementieren Sie E2EE für den Austausch von Rechnungen, um sicherzustellen, dass nur Sender und Empfänger Zugriff auf die Daten haben.Ihr IT-Dienstleister kann Sie hierzu umfassend beraten.
- Transportverschlüsselung: Stellen Sie sicher, dass Ihre E-Mail-Server so konfiguriert sind, dass Rechnungen ausschließlich unter Anwendung einer Transportverschlüsselung (TLS 1.2 oder besser 1.3) versendet werden. Die meisten E-Mail-Server unterstützen mittlerweile TLS 1.3, was auch gemäß Artikel 32 DSGVO grundsätzlich als notwendige Schutzmaßnahme für E-Mail-Empfangende gilt.
- Obligatorische TLS-Verschlüsselung: Die TLS-Verschlüsselung sollte obligatorisch („strict“) sein.
- Rechnungsportale: Eine alternative Möglichkeit besteht darin, E-Rechnungen über ein Rechnungsportal zur Verfügung zu stellen, auf dem Rechnungsempfangende einen Account einrichten können.
Es ist wahrscheinlich nur eine Frage der Zeit, bis der nächste Rechtsstreit im Bereich „Invoice Fraud“ die Gerichte beschäftigt.
Es wäre wünschenswert, wenn wir von dort eine klare Entscheidung erhalten könnten, da das Urteil des OLG Schleswig umstritten ist.
Fazit
Die Sicherheit im Umgang mit Rechnungen und sensiblen Daten ist von entscheidender Bedeutung, um rechtlichen Ansprüchen und finanziellen Verlusten vorzubeugen.
Die Entscheidung des Schleswig-Holsteinischen Oberlandesgerichts verdeutlicht die Notwendigkeit robuster Sicherheitsmaßnahmen beim Versand von E-Rechnungen.
Unternehmen sind gefordert, sowohl technische als auch organisatorische Vorkehrungen zu treffen, um sich vor Cyber-Betrug zu schützen und das Vertrauen ihrer Kunden zu wahren.
Wir empfehlen Ihnen, die genannten Tipps und Best Practices in Ihre internen Prozesse zu integrieren und regelmäßig zu überprüfen.
Nur durch proaktive Maßnahmen können Sie potenzielle Risiken minimieren und sich auf zukünftige Herausforderungen im Bereich der Rechnungsstellung vorbereiten.
Für weitere Informationen oder Unterstützung bei der Implementierung geeigneter Sicherheitsmaßnahmen stehen wir Ihnen gerne zur Verfügung.
Lassen Sie uns gemeinsam daran arbeiten, Ihre Rechnungsprozesse sicherer zu gestalten.