Manipulierte Rechnungen: Warum einfache E-mail-PDFs nicht mehr ausreichen

Ein Handwerksbetrieb verschickt seine Rechnung per E-Mail – am Ende geht das Geld an Betrüger.

Das Oberlandesgericht Schleswig entschied im Dezember 2024: Der Kunde musste nicht doppelt zahlen. Für das Unternehmen bedeutete das: Leistung erbracht, aber kein Geld erhalten (OLG SH, 12 U 9/24).

Was war passiert?

Der Betrieb versandte eine Schlussrechnung über 15.000,00 Euro als PDF-Anhang. Auf dem Weg wurde die Rechnung manipuliert und die Bankverbindung geändert. Der Kunde überwies an Kriminelle.

Das Gericht: Einfache Transportverschlüsselung reicht nicht aus. Unternehmen müssen die Sicherheit ihrer Rechnungen am Risiko orientieren.

Juristische Einordung: Artikel 82 DSGVO

  • Datenschutzverstoß: Der Rechnungsversand war nicht sicher genug.
  • Schaden: Der Kunde verlor Geld durch die Manipulation.
  • Kausalität: Ohne den unsicheren Versand wäre der Schaden nicht entstanden.

Damit lag ein Anspruch auf Schadensersatz nach Artikel 82 DSGVO vor – und dieser wurde gegen den Werklohn aufgerechnet. Ergebnis: Der Kunde musste nicht doppelt zahlen.

Warum ist das für KMU wichtig?

Gerade kleine und mittlere Unternehmen verschicken Rechnungen häufig noch per E-Mail mit PDF-Anhang. Das ist bequem, aber unsicher. Cyberkriminelle nutzen diese Schwachstelle gezielt.

Das Risiko: Im Ernstfall bleibt das Unternehmen auf seiner Forderung sitzen – und verliert nicht nur Geld, sondern auch Vertrauen.

Handlungsmöglichkeiten für Unternehmen

  1. Digitale Signatur:
    Mit einer Signatur wird die Rechnung wie mit einem digitalen Siegel versehen. Manipulationen fallen sofort auf.
  2. Rechnungsportale: Statt Rechnungen per E-Mail zu verschicken, können sie in einem sicheren Portal bereitgestellt werden. Der Kunde lädt die Rechnung dort herunter.
  3. Prüfprozesse: Klare Hinweise auf Rechnungen („Unsere Bankdaten ändern sich nicht ohne Bestätigung“) und Rückrufprozesse bei Änderungen der Bankverbindung.
  4. Moderne Rechnungsformate: ZUGFeRD oder XRechnung kombinieren PDF und strukturierte Daten. So können Rechnungen automatisch verarbeitet werden und sind weniger anfällig für Manipulation.
  5. Mitarbeiter sensibilisieren: Buchhaltung und Verwaltung müssen in der Lage sein, Auffälligkeiten zu erkennen und im Zweifel nachzufragen.

FAQ: Häufig gestellte Fragen zum Rechnungsversand

Reicht es, Rechnungen mit normaler E-Mail zu verschicken?
Nein. Das Risiko von Manipulationen ist zu hoch.

Welche Lösung ist die sicherste?
Eine Kombination aus digitaler Signatur und sicherem Portal ist für viele Unternehmen die praktikabelste Lösung.

Ist das nicht zu teuer für kleine Unternehmen?
Nein. Es gibt inzwischen kostengünstige Cloud-Lösungen, die sich auch für kleinere Betriebe lohnen.

Fazit

Der Fall zeigt: Rechnungen per PDF-Anhang sind kein sicherer Standard mehr. Unternehmen, die weiter auf diesen Weg setzen, riskieren reale finanzielle Verluste. Wer jetzt auf sichere Verfahren umstellt, schützt nicht nur sich selbst, sondern auch seine Kunden.

Über uns

Wir sind Experten für Datenschutz mit juristischem Hintergrundwissen. Unser Team vereint IT- und Rechtsexpertise und unterstützt Unternehmen dabei, praxisnahe und rechtssichere Lösungen umzusetzen.