:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
28.04.2025
Darf man Rechnungen per Mail versenden? Risiken, Rechtsprechung und sichere Lösungen
Rechnungen per E-Mail zu versenden ist schnell, günstig und in vielen Unternehmen längst Alltag. Doch ein aktuelles Urteil des Oberlandesgerichts (OLG) Schleswig stellt diese gängige Praxis jetzt infrage: Die bisher weit verbreitete Annahme, dass für Rechnungen eine einfache Transportverschlüsselung (TLS) beim E-Mail-Versand ausreicht, um den Datenschutz zu wahren, gilt nicht mehr.
Was bislang als pragmatische Lösung galt, wird also zum rechtlichen Risiko. Denn: Wenn es zu einem Datenverlust oder Betrug kommt, können Unternehmen haftbar gemacht werden. Dieser Artikel erklärt, worauf es beim sicheren Rechnungsversand wirklich ankommt – und wie sich Unternehmen effektiv absichern können.
Was ist das Problem beim Rechnungsversand per E-Mail?
Rechnungen per E-Mail zu versenden, ist praktisch – viele Unternehmen verlassen sich dabei aber noch allein auf TLS (Transport Layer Security). Das Problem: Die Transportverschlüsselung schützt nur den Übertragungsweg zwischen dem Mailserver des Absenders und dem des Empfängers. Sobald die Nachricht den Empfänger erreicht, liegt sie unverschlüsselt vor – also im Klartext, ohne weiteren Schutz.
Das bedeutet: Wer Zugriff auf den Server hat – etwa über eine Sicherheitslücke oder ein kompromittiertes Postfach –, kann die Rechnung einsehen, weiterleiten oder sogar manipulieren
Cyberkriminelle können genau solche Schwachstellen in der E-Mail-Infrastruktur ausnutzen – etwa durch Man-in-the-Middle-Angriffe auf unsicher konfigurierte Verbindungen oder E-Mail-Spoofing, bei dem gefälschte Absenderadressen eingesetzt werden, um Empfänger zu täuschen. Besonders gefährlich wird das, wenn hohe Rechnungsbeträge im Spiel sind.
Typische Gefahren beim ungesicherten Rechnungsversand per E-Mail via TLS sind:
- Abfangen und Mitlesen: E-Mails können trotz TLS auf bestimmten Strecken mitgelesen werden. Besonders in ungesicherten Netzen besteht ein hohes Risiko.
- Manipulation: Rechnungen lassen sich unterwegs gezielt verändern, etwa durch den Austausch von Kontodaten. Der Rechnungsempfänger bemerkt das oft nicht oder zu spät.
- Haftung: Laut DSGVO (Art. 32) müssen Unternehmen technische und organisatorische Schutzmaßnahmen ergreifen. Ist das nicht der Fall, drohen Haftung und Bußgelder.
- Reputationsschaden: Kommt es zu Betrug, leidet das Vertrauen von Kunden oder Geschäftspartnern.
Was das OLG Schleswig zum Rechnungsversand per E-Mail entschieden hat
Im Dezember 2024 fällte das OLG Schleswig ein Urteil, das weitreichende Konsequenzen für den digitalen Rechnungsversand hat. Im konkreten Fall versandte ein Bauunternehmen eine Rechnung über 15.000 Euro per E-Mail an eine Privatkundin. Die E-Mail wurde jedoch von Dritten abgefangen und manipuliert, insbesondere wurde die Bankverbindung geändert.
Die Kundin überwies den Betrag auf das falsche Konto. Das Unternehmen forderte die Zahlung erneut ein – doch das Gericht entschied zugunsten der Kundin.
Das sind die Kernaussagen des Urteils:
- Unzureichende Sicherheitsmaßnahmen: Das Gericht stellte fest, dass TLS allein nicht ausreicht, um den Anforderungen der DSGVO gerecht zu werden. Insbesondere bei hohem finanziellen Risiko sei eine Ende-zu-Ende-Verschlüsselung erforderlich.
- Haftung des Unternehmens: Das Bauunternehmen wurde für den entstandenen Schaden verantwortlich gemacht, da es keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten ergriffen hatte.
- Ende-zu-Ende-Verschlüsselung zumutbar: Auch von kleinen oder mittleren Unternehmen kann man erwarten, dass sie Ende-zu-Ende-Verschlüsselung umsetzen, gerade bei hohen Rechnungsbeträgen. Angesichts der aktuellen Bedrohungslage – etwa durch die Zunahme von Hackerangriffen – könne man erwarten, dass sich auch ein mittelständischer Handwerksbetrieb über Sicherheitsmaßnahmen informiert und geeignete Software implementiert.
- Schadensersatzanspruch: Die Kundin erhielt einen Schadensersatzanspruch in Höhe des Rechnungsbetrags gemäß Art. 82 DSGVO. Das Unternehmen durfte die Zahlung nicht erneut einfordern.
Was bedeutet das Urteil für Unternehmen?
Das Urteil des OLG Schleswig unterstreicht, wie wichtig es ist, beim E-Mail-Versand von Rechnungen auf angemessene Sicherheitsmaßnahmen zu achten. Es macht außerdem deutlich: Die Schwelle für „zumutbare Schutzmaßnahmen“ liegt niedriger, als viele bislang angenommen haben. Eine durchgehende Ende-zu-Ende-Verschlüsselung gehört heute – auch im B2C-Umfeld – zur datenschutzrechtlichen Pflicht.
Unternehmen müssen im Geschäftsverkehr sicherstellen, dass Unbefugte zu keinem Zeitpunkt Zugriff auf Rechnungsinhalte haben. Eine einfache Transportverschlüsselung wie TLS reicht dafür nicht aus. Auch passwortgeschützte PDF-Rechnungen bieten keinen ausreichenden Schutz – und genügen nicht den Anforderungen der DSGVO.
Digitalisierung allein reicht nicht: Die E-Rechnung braucht sichere Wege
Seit dem 1. Januar 2025 gilt in Deutschland außerdem die E-Rechnungspflicht im B2B-Bereich. Unternehmen müssen Rechnungen nun strukturiert und maschinenlesbar (z. B. im XML-Format, als XRechnung oder ZUGFeRD) ausstellen und empfangen.
Damit wird die Digitalisierung weiter vorangetrieben. Was dabei oft übersehen wird: Auch strukturierte Rechnungen enthalten sensible Daten. Diese Informationen unterliegen denselben Schutzanforderungen wie jede andere personenbezogene oder geschäftskritische Information.
Kurz gesagt: Mit der elektronischen Rechnung ändert sich das Format, nicht aber die Verantwortung. Die Formatumstellung ersetzt keine Sicherheitsmaßnahmen. Wer auf die E-Rechnung umstellt, muss auch den Versandweg absichern – sonst drohen rechtliche Risiken trotz regelkonformer Digitalisierung.
Möglichkeiten zur Ende-zu-Ende-Verschlüsselung – ein Überblick
Es gibt unterschiedliche Wege, E-Mails sicher und durchgängig verschlüsselt zu versenden – je nach technischer Ausstattung, Unternehmensgröße und Anwendungsfall. Im Folgenden stellen wir drei gängige Ansätze vor und ordnen sie mit Blick auf den praktischen Einsatz ein.
1. S/MIME und PGP: Klassische Verschlüsselung per Zertifikat
S/MIME und PGP (Pretty Good Privacy) sind etablierte Standards zur sicheren Verschlüsselung und digitalen Signatur von E-Mails. Beide Verfahren basieren auf asymmetrischer Verschlüsselung mit öffentlichen und privaten Schlüsseln, die zwischen Sender und Empfänger ausgetauscht werden.
In vielen E-Mail-Programmen sind die beiden Verfahren grundsätzlich verfügbar. In der Praxis zeigen sich aber häufig Hürden bei Einrichtung, Verwaltung und Austausch der Schlüssel – insbesondere, wenn nicht regelmäßig mit festen Kommunikationspartnern gearbeitet wird. Für kleinere Unternehmen oder heterogene Empfängergruppen wird der technische und zeitliche Aufwand schnell zu hoch.
2. Webportale mit verschlüsseltem Dokumentenzugriff
Alternativ lassen sich Rechnungen über ein gesichertes Webportal bereitstellen. Der Empfänger erhält eine Benachrichtigung an seine E-Mail-Adresse und lädt die Datei über einen sicheren Link herunter.
Diese Variante ist besonders sinnvoll, wenn keine einheitliche Verschlüsselungsinfrastruktur zwischen den Beteiligten existiert. Die Umsetzung sollte aber möglichst niedrigschwellig und nutzerfreundlich sein – sonst besteht die Gefahr, dass auf inoffizielle und unsichere Kommunikationswege ausgewichen wird.
3. Plattformbasierte Verschlüsselungslösungen
Neben klassischen Verschlüsselungsverfahren und Portalzugängen setzen viele Unternehmen auf zentrale Plattformlösungen, die sich in bestehende Systeme integrieren lassen. Diese bieten häufig eine Kombination aus sicherem Datentransfer, Ende-zu-Ende-Verschlüsselung und benutzerfreundlicher Oberfläche – etwa über Outlook-Add-ins oder browserbasierte Eingabemasken.
Der Vorteil: Auch größere Datenvolumen und automatisierte Workflows lassen sich abbilden, ohne dass auf Empfängerseite spezielle Software oder technisches Vorwissen nötig ist.
Tipps für Unternehmen: Was Sie jetzt tun sollten
Sicherer Rechnungsversand ist nicht nur eine Frage der richtigen Verschlüsselung, sondern ein Zusammenspiel aus Technologie, Prozessen und Awareness im Unternehmen. Wer den Versand rechtskonform und zukunftssicher gestalten will, sollte systematisch vorgehen:
- Versandprozesse prüfen: Verschaffen Sie sich einen Überblick, wie Rechnungen heute versendet werden, welche Systeme beteiligt sind und welche Daten übertragen werden. Identifizieren Sie kritische Punkte – etwa ungesicherte Übertragungswege oder manuelle Zwischenschritte.
- Schutzbedarf definieren: Je höher der Rechnungsbetrag und je sensibler die enthaltenen Informationen, desto umfassender sollten die Schutzmaßnahmen ausfallen. Rechtliche Vorgaben wie die DSGVO und das Urteil des OLG Schleswig stellen hier klare Anforderungen.
- Geeignete Lösungen implementieren: Setzen Sie auf E-Mail-Verschlüsselung mit Ende-zu-Ende-Schutz (z. B. über FTAPI SecuMails) für Einzelrechnungen. Für größere Volumen oder regelmäßig wiederkehrende Abläufe sind automatisierte und auditierbare Workflows sinnvoll.
- Mitarbeiter sensibilisieren: Schulen Sie Ihre Teams zum datenschutzkonformen Arbeiten. Klare Prozesse, verständliche Tools und interne Trainings helfen, Sicherheitslücken zu vermeiden.
- Kommunikation nach außen stärken: Kommunizieren Sie offen, welche Maßnahmen Sie in Sachen Datenschutz ergreifen. Das schafft Vertrauen und positioniert Sie als professionellen und verantwortungsvollen Geschäftspartner.
Mit diesen Maßnahmen schaffen Sie die Basis für Rechnungsprozesse, die effizient und sicher sind.
Fazit: Sicherer Rechnungsversand ist Pflicht und Wettbewerbsvorteil zugleich
Das Urteil des OLG Schleswig macht deutlich, dass Unternehmen beim Rechnungsversand per E-Mail nicht länger auf technische Mindeststandards wie TLS setzen können. Sobald personenbezogene Daten übermittelt werden – und das ist in jeder Rechnung der Fall –, muss der Sender dafür sorgen, dass diese Daten unterwegs nicht abgefangen oder manipuliert werden können. Ende-zu-Ende-Verschlüsselung ist hier also kein Nice-to-have mehr, sie ist rechtlich verpflichtend.
:quality(80):fill(fff,1)/p7i.vogel.de/companies/68/0f/680f2d39f17fe/ftapi-blog-rechnungsversand-per-mail-header.jpeg)