Ist die unentgeltliche Übertragung von Gesellschaftsanteilen zur Sicherung der Unternehmensnachfolge als Arbeitslohn zu qualifizieren?, BFH Urt. v. 20.11.2024, VI R 21/22
28. Februar 2025
Gebäude mit Denkmalschutz – Kaufpreis für AfA- Zwecke vollständig auf das Gebäude entfallend aufgrund der damit verbundenen Instandhaltungspflicht? Nicht nach Ansicht des FG Köln (Revision anhängig)
10. März 2025Spätestens mit Einführung der E-Rechnung zum 01. Januar 2025 (wir berichteten[KT1] ) gehört der digitale Versand von Rechnungen für viele Unternehmen in Deutschland zum Alltag. Während die Digitalisierung voranschreitet, rückt der Datenschutz immer mehr in den Fokus.
Ein Urteil des OLG Schleswig-Holstein vom 18. Dezember 2024 (Az.: 12 U 9/24) erhält in diesem Zusammenhang aktuell viel Aufmerksamkeit – aber auch Kritik.
Gegenstand war eine Rechnung, die ein Bauunternehmer seinem Kunden im Anhang einer unverschlüsselten E-Mail zukommen ließ. Diese Rechnung wurde nach dem E-Mail-Versand auf dem Transportweg von Dritten manipuliert, indem diese u.a. die angegebene Kontoverbindung austauschten. Der Kunde überwies die Rechnung nichtsahnend auf das Konto dieser unbekannten Dritten. Nunmehr stritten der Bauunternehmer und der Kunde darüber, ob dieser die Rechnung erneut begleichen müsse.
In seinem Urteil entschied das OLG, dass ein Unternehmer, der seine Rechnungen per E-Mail mit einfacher Transportverschlüsselung (statt der sogenannten Ende-zu-Ende-Verschlüsselung) verschickt, in Fällen von Manipulation durch Dritte zwar einen Anspruch auf (erneuten) Rechnungsausgleich habe, jedoch seinem Kunden nach Artikel 82 DSGVO zum Schadensersatz in gleicher Höhe verpflichtet sei. Denn eine Rechnung enthält personenbezogene Daten und die einfache Transportverschlüsselung bietet für diese kein „angemessenes Schutzniveau“ im Sinne des Artikel 32 DSGVO. Dass der Schaden nicht durch ein Fehlverhalten des Unternehmers, sondern aufgrund des unbefugten Zugriffs Dritter entstanden ist, ist unbeachtlich.
Neben den Anspruch auf Schadensersatz aufgrund der fehlgeleiteten Überweisung könnte aufgrund der Offenbarung der personenbezogenen Daten sogar noch ein Anspruch auf immateriellen Schadensersatz treten. Ein solcher war allerdings nicht Gegenstand des dem Urteil zu Grunde liegenden Rechtsstreits.
In seiner Entscheidung lässt das Gericht u. E. jedoch außer Acht, dass (auch im unternehmerischen) E-Mail-Verkehr die Ende-zu-Ende-Verschlüsselung längst nicht so weit verbreitet ist, wie bei appbasierten Messengerdiensten wie beispielsweise WhatsApp. Insbesondere Privatpersonen verfügen häufig nicht über die technischen Voraussetzungen für eine derartige Ver- und Entschlüsselung ihrer E-Mails. Im unternehmerischen Verkehr dürften die Anforderungen jedoch höher anzulegen sein.
Hinzu kommt u. E., dass das Urteil keine Aussage dazu trifft, ob eine Einwilligung des Kunden zum Rechnungsversand per E-Mail (im Rahmen von AGB oder zum Beispiel als Opt-In) den Unternehmer von seiner Haftung befreien kann. Denn in diesem Fall hätte der Kunde proaktiv dem Versand per E-Mail zugestimmt, mithin auch den damit einhergehenden Risiken.
Diese Gemengelage sorgt nunmehr für viel Unsicherheit im Umgang mit dem digitalen Versand von Rechnungen. Viele Unternehmer schätzen den digitalen Versand, da dieser eine kostengünstige Alternative zum altbewährten Postversand darstellt und zudem für mehr Flexibilität sowie ein modernes Image sorgt.
Wer also nicht auf den klassischen Versand per Post zurückgreifen möchte, der sollte die Sicherheit von Rechnungen per E-Mail erneut für sich bewerten und ggf. Maßnahmen ergreifen, um das Risiko einer Manipulation durch Dritte zu senken. Dazu können neben der Ende-zu-Ende-Verschlüsselung von E-Mails auch der Einsatz digitaler Signaturen oder die Einrichtung von Kundenportalen, über welche die Rechnungen zur Verfügung gestellt werden können, zählen. Darüber hinaus können die Kunden auf die mit Hilfe manipulierter Rechnungen durchgeführten „Betrugsmaschen“ hingewiesen und so sensibilisiert werden. Ob diese Maßnahmen im Fall der Fälle einer gerichtlichen Überprüfung hinsichtlich Art. 32, 82 DSGVO standhalten und einen Schadensersatzanspruch ausschließen, lässt sich zum jetzigen Zeitpunkt allerdings nicht sicher sagen.
Das OLG Schleswig-Holstein hat für sein Urteil die Revision zum BGH zugelassen. Es bleibt abzuwarten, ob die Parteien des Rechtsstreits von dieser Möglichkeit Gebrauch machen und ob der BGH sich dieser Ansicht anschließt.
Sofern Sie Rechnungen per E-Mail an Ihre Kunden versenden, sollten Sie das Urteil zum Anlass nehmen, um die Sicherheitsstandards zu überprüfen und ggf. Vorsorgemaßnahmen treffen. Für etwaige Rückfragen stehen wir Ihnen gerne zur Verfügung!
