Rechnungsversand per Email…

Im online Handel wird der Versand von Rechnungen als pdf-Anlage zu Emails immer mehr Usus. Eine nicht repräsentative Umfrage ergab, dass von 33 online Händlern 14 per Email versenden (aber 0 mit End-to-End-Verschlüsselung, nur TLS-, SSL-Verschlüsselung , 4 hinterlegen die Rechnungen im Kundenkonto).

Die Frage ist, ob ein unverschlüsselter Versand unter der DSGVO noch ausreichend ist und ob die Hinterlegung im Kundenkonto eine zulässige Variante darstellt.

Eine TLS-Verschlüsselung ist keine End-2-End-Verschlüsselung. Bei einer Verschlüsselung mittels SSL/TLS wird nicht die einzelne Email verschlüsselt, sondern die Verbindung zwischen zwei Servern zum Zeitpunkt der Übertragung/des Transports. Auf jedem jeweiligen Server selbst liegt die Email dann unverschlüsselt vor. Und genau da kann man auf die Daten zugreifen.

Dass man Rechnungen besonders behandeln muss (anders als erst einmal Auftragsbestätigungen o.ä., die auch personenbezogene Daten enthalten können, bzw. enthalten) liegt daran, dass man das Umsatzsteuergesetz als Auslegungshilfe zur DSGVO hinzuziehen muss. Sowohl bei Papier- als auch bei elektronischen Rechnungen müssen nach § 14 Absatz 1 UStG n. F. die Echtheit der Herkunft, die Unversehrtheit des Inhalts und die Lesbarkeit der Rechnung gewährleistet werden. EIne 1to1 Verschlüsselung kann hier ein erster Schritt sein.

Zudem ist das Thema „Verschlüsselung“ eines der Schlüsselthemen im wahrsten Sinne des Wortes der Datenschutzgrundverordnung (DSGVO). Verschlüsselung hängt eng mit den anderen wichtigen Themen wie Vertraulichkeit und Integrität zusammen.

Die Frage ist, ob der Inhalt der Rechnung entscheidend für die Verschlüsselungspflicht. Natürlich ist eine Rechnung von Arztleistungen besonders sensibel, aber auch eine Rechnung von einem online-Dating-Portal oder bspw. von Amorelie. Da aber auch bei einfachen Kleidungsversandhändlern sensible Informationen entstehen können, wie z.B. beim Versand von Übergrößen, werden die meisten Händler auch vom Inhalt her verschlüsseln müssen.

-Fortsetzung hinsichtlich Ablegen im Kundenkonto folgt-

Stephanie Iraschko-Luscher

12.07.2019

MGDS – Ihre Unternehmensberatung für Datenschutz im Hamburg