Steuern

E-Mail verschlüsseln: Wie schützen Betriebe ihre Rechnungen?

Nach gehackten Rechnungen: Handwerker sollen E-Mails mit Rechnungen verschlüsseln, fordern Gerichte. Wie realistisch ist das – und welche Alternativen gibt es?

4 Min.14.10.2025, 02:00 Uhr (Aktualisiert am 25.02.2026, 09:32 Uhr)
Von
Jörg Wiebking
Jörg Wiebking
Ende-zu-Ende-Verschlüsselung von Mails ist im zu Privatkundenbereich „kaum realisierbar“, warnt das Bauhandwerk.
Ende-zu-Ende-Verschlüsselung von Mails ist im zu Privatkundenbereich „kaum realisierbar“, warnt das Bauhandwerk. Weissblick - stock.adobe.com
Anzeige

Auf einen Blick

Gerichte fordern: Handwerker sollen ihre E-Mails per Ende-zu-Ende-Verschlüsselung schützen. Nur so seien Rechnungen vor Hacks sicher – und damit auch die Kundendaten.

Nun warnt auch der Zentralverband Deutsches Baugewerbe vor dem ungeschützten E-Mail-Versand von Rechnungen: E-Mails seien ein Auslaufmodell.

Einfache Methoden zur Absicherung von Rechnungen und Kundendaten gibt es jedoch aber nicht – vor allem nicht im Privatkundenbereich. Für den Übergang empfiehlt der Verband eine andere Lösung.

Anzeige

Zwei Gerichtsurteile – eine Botschaft: Handwerker müssen ihre E-Mail-Rechnungen besser gegen Hacker schützen. Beide Gerichte verlangen von den Handwerkern eine Ende-zu-Ende-Verschlüsselung für E-Mails. Nur so würden sich personenbezogen Kundendaten wie Rechnungen ausreichend schützen lassen.

Hintergrund: Worum geht es in den Urteilen?

In den beiden Fällen ging es um gehackte E-Mail-Rechnungen. Das Geld der Kunden landete auf den Konten von Betrügern. Eigentlich hätten die Auftraggeber noch einmal bezahlen müssen. Doch die Gerichte verrechneten die Rechnungssummen mit Schadenersatzansprüchen der Kunden.

Die Begründung: Die Handwerker hätten die persönlichen Kundendaten beim Rechnungsversand nicht ausreichend geschützt. Für diese Verstöße gegen die DSGVO  stehe den Kunden Schadenersatz zu – in Höhe der falsch überwiesenen Rechnungen. Vor dem Oberlandesgericht (OLG) Schleswig-Holstein verlor der eine Handwerker so 15.000 Euro – die komplette Auftragssumme . In einem anderen Fall vor dem Landgericht Koblenz waren es nur 25 Prozent , weil der Kunde ebenfalls Fehler gemacht hatte.

Warum die Transport-Verschlüsselung von E-Mails nicht sicher ist

Dass die standardmäßige Transport-Verschlüsselung von E-Mails beim Versand nicht genügt, hatte zuerst das OLG Schleswig-Holstein deutlich gemacht. Auf dieses Urteil und seine Begründung hat sich  danach auch das Landgericht Koblenz bezogen:

Bei einer Transport-Verschlüsselung werden die Daten zwar verschlüsselt versendet, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Sie werden jedoch zwischen Absender und Empfänger in der Regel über mehrere Knotenpunkte im Internet geschickt. An den Knotenpunkten liegen sie unverschlüsselt vor, bevor sie für die jeweils nächste Teilstrecke neu verschlüsselt werden. Hier können Hacker auf die Daten zugreifen.

Demgegenüber werden bei einer Ende-zu-Ende-Verschlüsselung nicht die einzelnen Versandabschnitte verschlüsselt, sondern die E-Mails selbst. Im Klartext lesen können die Mails nur der Absender und der Empfänger. Dazu muss jeder Nutzer über ein kryptografisches Schlüsselpaar verfügen: einen öffentlichen und einen privaten Schlüssel.

Tipp: Sie wollen beim Thema Recht und Rechnungen nichts verpassen? Nutzen Sie den kostenlosen Newsletter von handwerk.com.  Jetzt hier anmelden!

Das Problem: Verschlüsselung ist kompliziert

Die gerichtlich geforderte Ende-zu-Ende-Verschlüsselung ist nicht unkompliziert. Das räumt auch das BSI ein: Anwender müssen selbst aktiv werden und zusätzliche Plug-ins in den meisten E-Mail-Programmen aktivieren, um die Technologie nutzen zu können.

Zudem haben sich zwei Standards zur Verschlüsselung etabliert:

  • S/MIME ist ein weit verbreiteter Standard, der vor allem in Unternehmen eingesetzt wird.
  • OpenPGP wird nach Angaben des BSI meistens im privaten Bereich genutzt.

Diese Wahlmöglichkeit schafft ein weiteres Problem: Sender und Empfänger müssen sich auf eine Methode verständigen.

Bauhandwerk warnt: E-Mails sind Auslaufmodell

Mit dem Urteil des OLG Schleswig-Holstein hat sich inzwischen auch der Zentralverband Deutsches Baugewerbe (ZDB) auseinandergesetzt. Dass der Rechnungsaussteller für die sichere Übermittlung der Rechnung verantwortlich ist, sei grundsätzlich nicht zu beanstanden, so der Verband.

Anzeige

Gleichzeitig stellt der Verband infrage, ob die Ende-zu-Ende-Verschlüsselung „für Bauunternehmen praktikabel und tatsächlich alternativlos ist“. Zwar biete nur die Ende-zu-Ende-Verschlüssung die vom Gericht geforderte Sicherheit. Dass es dafür zwei Standards gibt, sei jedoch ein bedeutender Nachteil: „Sender und Empfänger müssen sich auf denselben Standard verständigen und diesen auch nutzen.“

Das erscheine im Geschäftskundenbereich noch realistisch. Doch mit Privatkunden und öffentlichen Auftraggebern sei das „in der Praxis kaum realisierbar“.

E-Mails seien „ein Auslaufmodell“ für den Transport wichtiger Daten wie Verträgen, Personaldaten oder Rechnungen. „Wichtige Dokumente sollten nicht per E-Mail, sondern über Plattformlösungen und Netzwerke versendet werden“, so der ZDB.

Sicherer Rechnungsversand im B2B-Bereich möglich

Im Geschäftskundenbereich ist der Datenschutz beim Rechnungsversand durch die neue E-Rechnungspflicht weniger problematisch, so der ZDB. „Hier gehört die Zukunft dem PEPPOL-Netzwerk.“

Das PEPPOL-Netzwerk dient der standardisierten, grenzüberschreitenden Abwicklung von Beschaffungsprozessen. Unter anderem kann es zum Versand von E-Rechnungen an den Bund genutzt werden. Doch auch andere Netzwerke, wie sie die großen Anbieter von Bausoftware und die Datev anbieten, können laut ZDB für einen sicheren Transport von E-Rechnungen sorgen.

Alternative Lösungen für Rechnungen an Privatkunden

Für den Versand von PDF-Rechnungen an Privatkunden sieht der ZDB derzeit folgende Möglichkeiten zur Erhöhung der Sicherheit – allerdings mit Einschränkungen:

  • Firmeneigene Rechnungs- und Kundenportale: Hierbei muss jedoch sichergestellt werden, dass der Zugang für die Kunden unabhängig vom E-Mail-Verkehr möglich ist.
  • Rechnung per Download-Link aus der firmeneigenen Cloud: Dabei besteht jedoch die Gefahr, dass der Link ebenfalls manipuliert werden kann.
  • Digitale Signaturen von E-Mails und PDFs: Die Signaturen schützen nicht vor Manipulation, Änderungen seien jedoch erkennbar.

Betriebe sollten bei diesen Lösungen die jeweiligen Vor- und Nachteile für ihre eigenen Abläufe und das Zusammenspiel mit den Kunden bewerten, rät der ZDB. „So können beispielsweise verschlüsselte E-Mails und geschützte PDFs die automatische Rechnungserfassung von PDFs und E-Rechnungen in einem digitalen Prozess stören.“

Tipp für den Übergang: Bankverbindung in den Vertrag

Betriebe müssten selbst geeignete Lösungen finden, die zur eigenen technischen Ausstattung und der ihrer Geschäftspartner passen, so der ZDB.

Bis dahin könnten Betriebe „vorsorglich“ im Bauvertrag die Bankverbindung für die Bezahlung festschreiben, „um mögliche finanzielle Risiken infolge von Zahlungen auf falsche Konten zu begrenzen“.

Tipp: Sie wollen beim Thema Recht und Rechnungen nichts verpassen? Nutzen Sie den kostenlosen Newsletter von handwerk.com.  Jetzt hier anmelden!

Diese Artikel könnten Sie auch interessieren:

Anzeige
Jörg Wiebking
Jörg Wiebking

Autor für Steuern & Finanzen, Recht und IT

Relevante Themen

IT- Recht