Der Versand von Rechnungen als PDF per E-Mail ist weit verbreitet und bleibt weiterhin zulässig. Allerdings sind PDF-Rechnungen künftig keine E-Rechnungen mehr, sondern gelten als „sonstige Rechnungen“. Strukturiert elektronische Formate wie XML oder ZUGFeRD erfüllen hingegen die neuen Anforderungen für E-Rechnungen.

Haftung bei manipulierten PDF-Rechnungen

Das OLG Schleswig-Holstein entschied, dass ein Unternehmen für Schäden haftet, wenn eine per unverschlüsselter E-Mail versandte Rechnung manipuliert wird und der Kunde das Geld an ein falsches Konto überweist (Urteil vom 18.12.2024, Az.: 12 U 9/24). Die Begründung: Das Unternehmen hat nicht ausreichend Sicherheitsvorkehrungen getroffen. Eine Ende-zu-Ende-Verschlüsselung wäre erforderlich gewesen, um Datenschutzvorgaben nach DSGVO zu erfüllen.

Unterschiedliche Urteile für B2C- und B2B-Bereich

Während das OLG Schleswig für B2C eine sichere Übermittlung fordert, entschied das OLG Karlsruhe für B2B (Urteil vom 27.07.2023, Az.: 19 U 83/22), dass die Nutzung bestimmter Sicherheitsmechanismen (wie SFP-Einträge) nicht zwingend erforderlich ist. Unternehmen haften dort nicht zwangsläufig für Hackerangriffe auf ihre Rechnungen.

Empfohlene Sicherheitsmaßnahmen für den Rechnungsaustausch

• Verschlüsselung der E-Mail-Kommunikation, insbesondere mit sensiblen Daten
• Nutzung sicherer E-Rechnungsformate wie XML oder ZUGFeRD
• Alternative: Rechnungsversand per Post zur Minimierung des Risikos
• Im B2C-Bereich: Einwilligung des Kunden einholen, falls E-Rechnungen verwendet werden sollen

Fazit

Unternehmen sollten Sicherheitsvorkehrungen für den Rechnungsaustausch verbessern, insbesondere im B2C-Bereich, um Haftungsrisiken zu vermeiden. Der Versand von E-Rechnungen im strukturierten Format oder der klassische Rechnungsversand per Post bieten mehr Sicherheit als der Versand unverschlüsselter PDF-Rechnungen per E-Mail.