Darf man Rechnungen per Mail versenden? Risiken, Rechtsprechung und sichere Lösungen

Warum Unternehmen beim Rechnungsversand per E-Mail jetzt handeln müssen – und wie sich Rechnungen einfach, sicher und automatisiert übermitteln lassen.

Darf man Rechnungen per Mail versenden? Risiken, Rechtsprechung und sichere Lösungen

Rechnungen per E-Mail zu versenden ist schnell, günstig und in vielen Unternehmen längst Alltag. Doch ein aktuelles Urteil des Oberlandesgerichts (OLG) Schleswig stellt diese gängige Praxis jetzt infrage: Die bisher weit verbreitete Annahme, dass für Rechnungen eine einfache Transportverschlüsselung (TLS) beim E-Mail-Versand ausreicht, um den Datenschutz zu wahren, gilt nicht mehr.

Was bislang als pragmatische Lösung galt, wird also zum rechtlichen Risiko. Denn: Wenn es zu einem Datenverlust oder Betrug kommt, können Unternehmen haftbar gemacht werden. Dieser Artikel erklärt, worauf es beim sicheren Rechnungsversand wirklich ankommt – und wie sich Unternehmen effektiv absichern können.

Was ist das Problem beim Rechnungsversand per E-Mail?

Rechnungen per E-Mail zu versenden, ist praktisch – viele Unternehmen verlassen sich dabei aber noch allein auf TLS (Transport Layer Security). Das Problem: Die Transportverschlüsselung schützt nur den Übertragungsweg zwischen dem Mailserver des Absenders und dem des Empfängers. Sobald die Nachricht den Empfänger erreicht, liegt sie unverschlüsselt vor – also im Klartext, ohne weiteren Schutz. 

Das bedeutet: Wer Zugriff auf den Server hat – etwa über eine Sicherheitslücke oder ein kompromittiertes Postfach –, kann die Rechnung einsehen, weiterleiten oder sogar manipulieren

Cyberkriminelle können genau solche Schwachstellen in der E-Mail-Infrastruktur ausnutzen – etwa durch Man-in-the-Middle-Angriffe auf unsicher konfigurierte Verbindungen oder E-Mail-Spoofing, bei dem gefälschte Absenderadressen eingesetzt werden, um Empfänger zu täuschen. Besonders gefährlich wird das, wenn hohe Rechnungsbeträge im Spiel sind. 

Typische Gefahren beim ungesicherten Rechnungsversand per E-Mail via TLS sind:

  • Abfangen und Mitlesen: E-Mails können trotz TLS auf bestimmten Strecken mitgelesen werden. Besonders in ungesicherten Netzen besteht ein hohes Risiko.

  • Manipulation: Rechnungen lassen sich unterwegs gezielt verändern, etwa durch den Austausch von Kontodaten. Der Rechnungsempfänger bemerkt das oft nicht oder zu spät.

  • Haftung: Laut DSGVO (Art. 32) müssen Unternehmen technische und organisatorische Schutzmaßnahmen ergreifen. Ist das nicht der Fall, drohen Haftung und Bußgelder.

  • Reputationsschaden: Kommt es zu Betrug, leidet das Vertrauen von Kunden oder Geschäftspartnern.

Typische Gefahren beim Rechnungsversand via TLS: E-Mail wird abgefangen, Rechnung wird manipuliert, Identitätsdiebstahl, Rechtsverstöße

Was das OLG Schleswig zum Rechnungsversand per E-Mail entschieden hat

Im Dezember 2024 fällte das OLG Schleswig ein Urteil, das weitreichende Konsequenzen für den digitalen Rechnungsversand hat. Im konkreten Fall versandte ein Bauunternehmen eine Rechnung über 15.000 Euro per E-Mail an eine Privatkundin. Die E-Mail wurde jedoch von Dritten abgefangen und manipuliert, insbesondere wurde die Bankverbindung geändert.

Die Kundin überwies den Betrag auf das falsche Konto. Das Unternehmen forderte die Zahlung erneut ein – doch das Gericht entschied zugunsten der Kundin.​

Das sind die Kernaussagen des Urteils:

  • Unzureichende Sicherheitsmaßnahmen: Das Gericht stellte fest, dass TLS allein nicht ausreicht, um den Anforderungen der DSGVO gerecht zu werden. Insbesondere bei hohem finanziellen Risiko sei eine Ende-zu-Ende-Verschlüsselung erforderlich.​

  • Haftung des Unternehmens: Das Bauunternehmen wurde für den entstandenen Schaden verantwortlich gemacht, da es keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten ergriffen hatte.​

  • Ende-zu-Ende-Verschlüsselung zumutbar: Auch von kleinen oder mittleren Unternehmen kann man erwarten, dass sie Ende-zu-Ende-Verschlüsselung umsetzen, gerade bei hohen Rechnungsbeträgen. Angesichts der aktuellen Bedrohungslage – etwa durch die Zunahme von Hackerangriffen – könne man erwarten, dass sich auch ein mittelständischer Handwerksbetrieb über Sicherheitsmaßnahmen informiert und geeignete Software implementiert.

  • Schadensersatzanspruch: Die Kundin erhielt einen Schadensersatzanspruch in Höhe des Rechnungsbetrags gemäß Art. 82 DSGVO. Das Unternehmen durfte die Zahlung nicht erneut einfordern.​

Was bedeutet das Urteil für Unternehmen?

Das Urteil des OLG Schleswig unterstreicht, wie wichtig es ist, beim E-Mail-Versand von Rechnungen auf angemessene Sicherheitsmaßnahmen zu achten. Es macht außerdem deutlich: Die Schwelle für „zumutbare Schutzmaßnahmen“ liegt niedriger, als viele bislang angenommen haben. Eine durchgehende Ende-zu-Ende-Verschlüsselung gehört heute – auch im B2C-Umfeld – zur datenschutzrechtlichen Pflicht.

Unternehmen müssen im Geschäftsverkehr sicherstellen, dass Unbefugte zu keinem Zeitpunkt Zugriff auf Rechnungsinhalte haben. Eine einfache Transportverschlüsselung wie TLS reicht dafür nicht aus. Auch passwortgeschützte PDF-Rechnungen bieten keinen ausreichenden Schutz – und genügen nicht den Anforderungen der DSGVO.

Digitalisierung allein reicht nicht: Die E-Rechnung braucht sichere Wege

Seit dem 1. Januar 2025 gilt in Deutschland außerdem die E-Rechnungspflicht im B2B-Bereich. Unternehmen müssen Rechnungen nun strukturiert und maschinenlesbar (z. B. im XML-Format, als XRechnung oder ZUGFeRD) ausstellen und empfangen.

Damit wird die Digitalisierung weiter vorangetrieben. Was dabei oft übersehen wird: Auch strukturierte Rechnungen enthalten sensible Daten. Diese Informationen unterliegen denselben Schutzanforderungen wie jede andere personenbezogene oder geschäftskritische Information.

Kurz gesagt: Mit der elektronischen Rechnung ändert sich das Format, nicht aber die Verantwortung. Die Formatumstellung ersetzt keine Sicherheitsmaßnahmen. Wer auf die E-Rechnung umstellt, muss auch den Versandweg absichern – sonst drohen rechtliche Risiken trotz regelkonformer Digitalisierung.

Möglichkeiten zur Ende-zu-Ende-Verschlüsselung – ein Überblick

Es gibt unterschiedliche Wege, E-Mails sicher und durchgängig verschlüsselt zu versenden – je nach technischer Ausstattung, Unternehmensgröße und Anwendungsfall. Im Folgenden stellen wir drei gängige Ansätze vor und ordnen sie mit Blick auf den praktischen Einsatz ein.

1. S/MIME und PGP: Klassische Verschlüsselung per Zertifikat

S/MIME und PGP (Pretty Good Privacy) sind etablierte Standards zur sicheren Verschlüsselung und digitalen Signatur von E-Mails. Beide Verfahren basieren auf asymmetrischer Verschlüsselung mit öffentlichen und privaten Schlüsseln, die zwischen Sender und Empfänger ausgetauscht werden.

In vielen E-Mail-Programmen sind die beiden Verfahren grundsätzlich verfügbar. In der Praxis zeigen sich aber häufig Hürden bei Einrichtung, Verwaltung und Austausch der Schlüssel – insbesondere, wenn nicht regelmäßig mit festen Kommunikationspartnern gearbeitet wird. Für kleinere Unternehmen oder heterogene Empfängergruppen wird der technische und zeitliche Aufwand schnell zu hoch.

Sicherer Rechungsversand geht ganz einfach.

Entdecken Sie, wie Sie mit FTAPI SecuMails Rechnungen ohne lästige Zertifikate einfach und sicher versenden.

Mehr erfahren

2. Webportale mit verschlüsseltem Dokumentenzugriff

Alternativ lassen sich Rechnungen über ein gesichertes Webportal bereitstellen. Der Empfänger erhält eine Benachrichtigung an seine E-Mail-Adresse und lädt die Datei über einen sicheren Link herunter.

Diese Variante ist besonders sinnvoll, wenn keine einheitliche Verschlüsselungsinfrastruktur zwischen den Beteiligten existiert. Die Umsetzung sollte aber möglichst niedrigschwellig und nutzerfreundlich sein – sonst besteht die Gefahr, dass auf inoffizielle und unsichere Kommunikationswege ausgewichen wird.

3. Plattformbasierte Verschlüsselungslösungen

Neben klassischen Verschlüsselungsverfahren und Portalzugängen setzen viele Unternehmen auf zentrale Plattformlösungen, die sich in bestehende Systeme integrieren lassen. Diese bieten häufig eine Kombination aus sicherem Datentransfer, Ende-zu-Ende-Verschlüsselung und benutzerfreundlicher Oberfläche – etwa über Outlook-Add-ins oder browserbasierte Eingabemasken.

Der Vorteil: Auch größere Datenvolumen und automatisierte Workflows lassen sich abbilden, ohne dass auf Empfängerseite spezielle Software oder technisches Vorwissen nötig ist. Welche Möglichkeiten es konkret gibt, zeigen wir im nächsten Abschnitt am Beispiel der FTAPI Plattform.

Sichere Lösungen für den Rechnungsversand: So geht’s mit FTAPI

Wer Rechnungen datenschutzkonform und effizient versenden will, braucht Prozesse, die sicher und praxistauglich sind. FTAPI bietet dafür zwei Lösungen, die sich flexibel an unterschiedliche Anforderungen und Branchen anpassen lassen: SecuMails für den verschlüsselten Versand von Rechnungen per E-Mail und SecuFlows für ein automatisiertes Rechnungsmanagement.

SecuMails: Rechnungen per E-Mail verschlüsselt zustellen

Mit FTAPI SecuMails lassen sich Rechnungen über den Browser oder direkt aus Outlook Ende-zu-Ende-verschlüsselt versenden. Der Versand erfolgt in gewohnter Umgebung, ohne zusätzliche Software oder komplexe Infrastruktur. Für die Empfänger ist der Zugriff auf die Rechnung unkompliziert: Sie erhalten eine Nachricht mit einem Link zum sicheren Download.

Auch größere Datenmengen bis 100 GB – etwa bei Rechnungsanlagen oder Sammelbelegen – stellen kein Problem dar. Medienbrüche werden bei dieser Art der E-Mail-Verschlüsselung vermieden, sensible Daten bleiben geschützt. Unternehmen können außerdem selbst entscheiden, welche der insgesamt vier Sicherheitsstufen und welche Zugriffsregeln sie einsetzen.

SecuFlows: Rechnungsprozesse digital abbilden und automatisieren

Wer regelmäßig viele Rechnungen verarbeitet – ob eingehend oder ausgehend – profitiert von automatisierten Abläufen. Mit FTAPI SecuFlows lassen sich wiederkehrende Prozesse digital abbilden und durchgängig absichern. Eingehende Rechnungen können automatisch übernommen und zum Beispiel der Buchhaltung zur Verfügung gestellt werden – ohne manuelles Scannen oder Weiterleiten.

Auch komplexere Freigabeprozesse lassen sich abbilden, etwa mit rollenbasierten Freigaben oder interaktiven Aufgaben für einzelne Mitarbeiter. Dank grafischer Modellierung lassen sich dabei alle Prozesse und Abläufe per Mausklick nach BPMN 2.0-Standard abbilden – vom Rechnungseingang bis zur finalen Ablage im System.

Warum FTAPI? Vorteile auf einen Blick

FTAPI bietet Lösungen, die sich gut in bestehende Prozesse integrieren lassen und Sicherheit dort schaffen, wo sie gebraucht wird: beim Versenden und Verwalten sensibler Daten. Dabei stehen einfache Bedienbarkeit, Compliance und technologische Flexibilität im Mittelpunkt.

  • Schutz sensibler Rechnungsdaten: Ende-zu-Ende-Verschlüsselung mit SecuMails erfüllt gesetzliche Anforderungen (z. B. DSGVO, OLG Schleswig).

  • Viele Rechnungen effizient abwickeln: Automatisierte Workflows mit SecuFlows reduzieren manuelle Arbeit und senken die Fehleranfälligkeit.

  • Kompatibilität mit bestehenden IT-Systemen: Nahtlose Integration in bestehende Umgebungen ohne zusätzliche Tools oder Medienbrüche.

  • Hohe Akzeptanz bei Mitarbeitenden und Kunden: Intuitive Oberfläche und Outlook-Anbindung ermöglichen eine schnelle Einführung mit geringem Schulungsaufwand.

Ob Einzelversand aus der Buchhaltung oder skalierbare Workflows für viele Empfänger: Mit FTAPI lassen sich Rechnungsprozesse sicher, nachvollziehbar und anwenderfreundlich gestalten.

Tipps für Unternehmen: Was Sie jetzt tun sollten

Sicherer Rechnungsversand ist nicht nur eine Frage der richtigen Verschlüsselung, sondern ein Zusammenspiel aus Technologie, Prozessen und Awareness im Unternehmen. Wer den Versand rechtskonform und zukunftssicher gestalten will, sollte systematisch vorgehen:

  1. Versandprozesse prüfen: Verschaffen Sie sich einen Überblick, wie Rechnungen heute versendet werden, welche Systeme beteiligt sind und welche Daten übertragen werden. Identifizieren Sie kritische Punkte – etwa ungesicherte Übertragungswege oder manuelle Zwischenschritte.

  2. Schutzbedarf definieren: Je höher der Rechnungsbetrag und je sensibler die enthaltenen Informationen, desto umfassender sollten die Schutzmaßnahmen ausfallen. Rechtliche Vorgaben wie die DSGVO und das Urteil des OLG Schleswig stellen hier klare Anforderungen.

  3. Geeignete Lösungen implementieren: Setzen Sie auf E-Mail-Verschlüsselung mit Ende-zu-Ende-Schutz (z. B. über FTAPI SecuMails) für Einzelrechnungen. Für größere Volumen oder regelmäßig wiederkehrende Abläufe sind automatisierte und auditierbare Workflows sinnvoll.

  4. Mitarbeiter sensibilisieren: Schulen Sie Ihre Teams zum datenschutzkonformen Arbeiten. Klare Prozesse, verständliche Tools und interne Trainings helfen, Sicherheitslücken zu vermeiden.

  5. Kommunikation nach außen stärken: Kommunizieren Sie offen, welche Maßnahmen Sie in Sachen Datenschutz ergreifen. Das schafft Vertrauen und positioniert Sie als professionellen und verantwortungsvollen Geschäftspartner.

Mit diesen Maßnahmen schaffen Sie die Basis für Rechnungsprozesse, die effizient und sicher sind.

Tipps für Unternehmen zum sicheren Rechnungsversand: Prozesse prüfen, Schutzbedarf definieren, Lösungen implementieren, Mitarbeiter sensibilisieren, nach außen kommunizieren

Fazit: Sicherer Rechnungsversand ist Pflicht und Wettbewerbsvorteil zugleich

Das Urteil des OLG Schleswig macht deutlich, dass Unternehmen beim Rechnungsversand per E-Mail nicht länger auf technische Mindeststandards wie TLS setzen können. Sobald personenbezogene Daten übermittelt werden – und das ist in jeder Rechnung der Fall –, muss der Sender dafür sorgen, dass diese Daten unterwegs nicht abgefangen oder manipuliert werden können. Ende-zu-Ende-Verschlüsselung ist hier also kein Nice-to-have mehr, sie ist rechtlich verpflichtend.

FTAPI unterstützt mit sicheren Lösungen, die sich nahtlos in bestehende Arbeitsumgebungen integrieren lassen – sei es für einzelne Rechnungen per E-Mail oder automatisierte, sichere Workflows. So erfüllen Sie regulatorische Anforderungen, vermeiden Haftungsrisiken und verschicken Rechnungen sicher und effizient.