rating service  security service privacy service
 
Ist das Versenden von unverschlüsselten Rechnungen zulässig?
DSGVO Art 32, 82, 83
Stand der Technik nach der DSGVO - End-to-End-Verschlüsselung von eMails - Hinterlegen der Rechnungen auf personalisierter Website sinnvoll - Geldstrafe und Schadenersatzklage

Viele Unternehmen versenden Rechnungen an Ihre Kunden per eMail. Meist werden die PDF-Rechnungen elektronisch signiert und als Anhang verschickt. Zu Recht stellen sich datenschutzbewusste Mitarbeiter die Frage, wie der Vorgang der Rechnungslegung per eMail aus datenschutzrechtlicher Sicht gesehen werden muss, insbesondere ob es einer verschlüsselten Übertragung bedarf.

Die Datenschutz-Grundverordnung (DSGVO) schreibt keine direkten technischen Maßnahmen zur Vertraulichkeit beim Versand vor. In Art 32 DSGVO wird normiert, dass bei einer Datenverarbeitung, Maßnahmen zur Gewährleistung der Sicherheit von Verarbeitungen zu treffen sind. Welche Maßnahmen zur Datensicherheit zu treffen sind, umschreibt die DSGVO mit dem Begriff "Stand der Technik", ohne diesen genauer zu definieren. Die Verschlüsselung von eMails fällt aber jedenfalls unter den Begriff "Stand der Technik" und ist daher geboten um den Sicherheitsmaßnahmen der DSGVO nicht zuwider zu laufen. Ebenfalls offen lässt die DSGVO die Frage, welche Verschlüsselung verwendet werden muss, um dem "Stand der Technik" zu entsprechen.

Die clientbasierte End-to-End-Verschlüsselung von eMails ermöglicht die Verschlüsselung einer eMail über den gesamten Übertragungsweg. Da der Einsatz dieser Anwendungsform insbesondere bei Unternehmen unpraktikabel ist, fällt die Wahl meist auf eine Server-basierte Verschlüsselung. Auch aus datenschutzrechtlicher Sicht ist eine Absender-Empfänger-End-to-End-Verschlüsselung nicht erforderlich.

Zur Server-basierten Verschlüsselung: Fakt ist, dass alle modernen eMail-Server eine Server-Server-Verschlüsselung anbieten (sofern sie aktiviert wurde). Technisch gesehen, handeln Mailserver mit ihrem Gegenüber aus, ob dieser Verschlüsselungen akzeptiert oder nicht. Nur wenn die Gegenseite keine Verschlüsselung akzeptiert, dann wird im Klartext übertragen. Im Verkehr zwischen Benutzer und seinem Mailserver gibt es bei allen Mailprogrammen verschlüsselte und unverschlüsselte Übertragungs-Alternativen.

Soweit die Server-Server-Verbindung verschlüsselt ist, wird den Anforderungen der DSGVO entsprochen. Empfehlenswert ist darüber hinaus - etwa als Anhang im eMail - einen Hinweis an den Benutzer zu geben, er möge seine eMails verschlüsselt abrufen. Gesetzlich vorgeschrieben ist der Hinweis jedoch nicht.

Dort wo der empfangende Server nicht für die Verschlüsselung konzipiert ist, sollte...
a) auf eine Rechnungszustellung per eMail verzichtet werden (hier könnte - sollte ein derartiges E-Mail in falsche Hände kommen - ein Kunde den Vorwurf der mangelnden Sicherheit der Verarbeitung gemäß Art 32 DSGVO machen) oder
b) der Empfänger darauf hingewiesen werden, dass er einen unsicheren Mailserver benutzt und von ihm die Zustimmung eingeholt werden, dass er trotzdem die Mailzustellung wünscht.

Mittelfristig ist es ratsam für Unternehmen mit regelmäßiger eRechnung, auf Mailzustellung zu verzichten und die Rechnungen auf einer personalisierten Website zu hinterlegen.

Die Missachtung der Verpflichtung zu Maßnahmen der Sicherheit von Verarbeitungen wird mit bis zu EUR 10 Mio. oder 2% des letztjährigen weltweiten Jahresumsatzes durch die Aufsichtsbehörde bestraft (Art 83 Abs 4 DSGVO). Daneben können Betroffene für materiellen und immateriellen Schaden eine Schadenersatzklage beim Landesverwaltungsgericht einbringen (Art 82 DSGVO).

mehr --> Ausbildungsreihe "betrieblicher Datenschutzbeauftragter"
mehr --> Verletzen individualisierte Newsletter die Privatsphäre?
mehr --> Wer darf im Namen eines Unternehmens Rechnungen signieren?
mehr --> Dürfen Mitarbeiter auf Rechnungen genannt werden?
mehr --> Welche Konsequenz hat es, wenn E-Mails so verschickt werden, d...
mehr --> Rechtsfragen zur elektronischen Rechnungslegung (E-Rechnung)
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2018 Information gemäß DSGVOwebmaster