IT-Recht Datenschutzrecht Frankfurt am Main
Home / Digitale Souveränität und sichere elektronische Kommunikation: Schutz vor gefälschten Rechnungen und die Zukunft mit der EU Digital Identity Wallet

Digitale Souveränität und sichere elektronische Kommunikation: Schutz vor gefälschten Rechnungen und die Zukunft mit der EU Digital Identity Wallet

— 1. Oktober 2025 Kommentare deaktiviert für Digitale Souveränität und sichere elektronische Kommunikation: Schutz vor gefälschten Rechnungen und die Zukunft mit der EU Digital Identity Wallet 12

Vortrag am 7. Oktober 2025, 16:45 Uhr, it-sa Nürnberg

Problem der gefälschten Rechnungen

Das Problem taucht immer wieder auf. Täglich werden sehr viele Rechnungen per E-Mail versendet, meist geht es gut.

In einem Fall erhielt der Käufer eines PKW Minuten nach der echten Rechnung eine zweite Rechnung. Rechnungsnummer, Rechnungsbetrag und weitere Angaben waren identisch. Allerdings war die Bankverbindung geändert und es gab noch ein paar andere Abweichungen von der ursprünglichen Rechnung. Der Käufer glaubte an eine Korrektur der Rechnungen zahlte an die neue Bankverbindung. Das Geld ist verloren. Der Verkäufer steht auf der Zahlung des Kaufpreises, der Käufer möchte nicht noch einmal bezahlen.

Das OLG Karlsruhe sieht zwar etliche Fehler beim Verkäufer, aber ein überwiegendes Verschulden beim Käufer, der die ganzen Unstimmigkeiten in der zweiten Mail und der zweiten Rechnung nicht beachtet und trotzdem bezahlt hat. Der Käufer musste nochmals zahlen.

Bei einem Bauvorhaben waren vom Bauherrn bereits drei Abschlagsrechnung bezahlt worden. Auch die Schlussrechnung wurde per Mail übermittelt, jedoch „abgefangen“ und erreichte den Bauherren nicht. Die genauen Umstände sind unklar. Die Schlussrechnung unterschied sich von den Abschlagsrechnung, man hätte Verdacht schöpfen können. Der Rechnungsbetrag wurde auf das erstmals in der Abschlagsrechnung genannte neue Konto überwiesen, ging aber nie beim Bauunternehmen ein. Das Schleswig-Holsteinische Oberlandesgericht war der Meinung, dass Bauunternehmen hätte die Rechnung nur mit Ende-zu-Ende-Verschlüsselung übermitteln dürfen. Deshalb musste der Bauherr nicht nochmals zahlen.

Sichere elektronische Kommunikation

Sichere elektronische Kommunikation setzt voraus, dass man prüfen und nachvollziehen kann, von dem eine Nachricht gesendet wurde (Authentizität) und gewährleistet ist, dass diese nach dem Versand nicht verändert wurde (Integrität). Schon beim Fax war dies nicht gewährleistet, auch wenn viele Menschen daran geglaubt haben. E-Mail basiert auf SMTP (Simple Mail Transfer Protocol), das nicht zu Unrecht ausdrücklich als einfach bezeichnet ist und keinerlei Sicherheitsvorkehrungen mit sich bringt.

Weitere Anforderung an die sichere elektronische Kommunikation ist die Vertraulichkeit. Darüber hinaus wird in manchen Fällen einen Zustellungsnachweis gewünscht.

Angesichts des Umfangs des täglichen E-Mail Verkehr gibt es relativ wenig Probleme und deshalb auch wenig gerichtliche Entscheidungen.

Anforderungen an elektronische Rechnungen

Elektronische Rechnung sollte ursprünglich nach § 14 Umsatzsteuergesetz mit qualifizierter elektronischer Signatur versehen werden. Wegen der angeblich hohen Kosten und schwierigen Handhabung wurde diese Anforderung im Zuge des vermeintlichen Bürokratieabbaus gestrichen. Nach § 14 Abs. 3 Umsatzsteuergesetz besteht aber nach wie vor die Verpflichtung, Authentizität und Integrität der Rechnung zu gewährleisten. Es muss ein verlässlicher Prüfpfad vorhanden sein. Innerbetriebliche Kontrollen müssen eingerichtet sein. Allerdings hat man einen weiten Spielraum, wie elektronische Rechnungen ausgestellt werden.

Inzwischen gibt es zusätzlich die Verpflichtung, (E-Rechnung) im Geschäftsverkehr zwischen Unternehmen (B2B) einzusetzen. Eine elektronische Rechnung (E-Rechnung) ist eine Rechnung, die in einem vorgegebenen strukturierten elektronischen Daten-Format ausgestellt, übermittelt und empfangen wird und eine elektronische Verarbeitung ermöglicht. Es genügt nicht, die Rechnung im Format PDF auszustellen. XRechnung und ZUGFeRD sind Formate, die die Anforderungen erfüllen.

Digitale Souveränität

Mit der Reform der eIDAS VO die europäische Union die Basis für eine sichere elektronische Identität und damit für digitale Souveränität für alle EU-Bürger gelegt. Ende 2026 wird in allen europäischen Mitgliedsstaaten jeweils mindestens eine EU Digital Identity Wallet zur freiwilligen Nutzung zur Verfügung stehen. Damit ist es möglich, öffentliche und private Dienstleistungen im Internet zu nutzen.

Man muss nicht bei jeder Webseite ein „Konto“ anlegen, sondern kann ohne Rückgriff auf Google/Apple/facebook mit einer einheitlichen Identität bei verschiedenen Anbietern anmelden.

Die EU DIW bietet zusätzlich eine Möglichkeit zur qualifizierten elektronischen Signatur, die auch als Fernsignatur mit dem Smartphone bestellt werden kann. Die qualifizierte elektronische Signatur bietet ein hohes Maß an Sicherheit und gewährleistet Authentizität und Integrität.

Vertragliche Absicherung

Auch die qualifizierte elektronische Signatur kann nur die Authentizität und Integrität von den Rechnungen gewährleisten, bei denen sie angewendet wird. In den beschriebenen Fällen wurden die Rechnungen trotz erheblicher Anhaltspunkte für Fälschung anstandslos bezahlt. Der Bauherr hatte drei Rechnungen mit einem Siegel erhalten und die vierte Rechnung trotz fehlendem Siegel nicht beanstandet.

Neben der Absicherung durch qualifizierte elektronische Signatur muss daher auch vertraglich vereinbart werden, dass ausschließlich solche Rechnungen wirksam sind und die Kunden müssen darauf immer wieder aufmerksam gemacht und für die Risiken der unsignierten Rechnung sensibilisiert werden. Dadurch kann man das Risiko vollständig auf die Kunden verlagern.

Im Detail besprechen wir das auf der it-sa 2025.

 

 

 

 

 

Netzwerke