Rechtsanwalt & Spezialist für Kryptorecht & KI-Recht, Zertifizierter Geldwäschebeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
| IT-Recht
Blog News
Wenngleich die Digitalisierung viele Vorteile mit sich bringt, zeigt sie auch ihre Schwächen. Digitale Geschäftsprozesse sind für viele Betriebe zur Norm geworden. Moderne Unternehmen versenden ihre Rechnungen schon längst per E-Mail. Seit Jahresbeginn 2025 gehören E-Rechnungen im Geschäftsverkehr zwischen Unternehmern sogar zur Pflicht. Doch genau hier lauert eine erhebliche Sicherheitslücke, die oft unterschätzt wird: Cyberkriminelle können sich unbemerkt in den Kommunikationsprozess einschalten, Rechnungen abfangen und gezielt manipulieren.
Wie aber kann man zwischen rechtlichen Anforderungen und Datensicherheit mit dem Thema Rechnungsmanipulation umgehen?
Fälle von Rechnungsmanipulation
Eine besonders perfide Masche besteht darin, die Bankverbindung des Zahlungsempfängers zu ändern. Überweist der Kunde daraufhin den fälligen Betrag auf das von den Tätern angegebene Konto, entsteht eine rechtliche Grauzone: Ist die Zahlung dennoch als erfüllt anzusehen oder muss der Kunde erneut zahlen?
Dazu ein Fall aus dem Jahr 2024
Ein Handwerksbetrieb stellte einer Kundin eine Abschlagsrechnung aus und versandte diese per E-Mail. Doch kurz darauf erhielt die Kundin eine gefälschte Rechnung mit abweichender Bankverbindung. Ohne Verdacht zu schöpfen, beglich sie den Betrag – allerdings an das falsche Konto. Als der Handwerksbetrieb die ausstehende Zahlung anmahnte, stellte sich heraus, dass Betrüger die Rechnung manipuliert hatten.
Das Landgericht (LG) Rostock entschied mit Urteil vom 20.11.2024, dass die Kundin die Rechnung erneut zahlen muss. Die ursprüngliche Schuld sei nicht getilgt, da die Zahlung nicht an den tatsächlichen Gläubiger, sondern an einen Dritten erfolgt sei. Damit trägt die Kundin das Risiko des Betrugs.
Zu einem anderen Urteil kam im gleichen Jahr das Oberlandesgericht (OLG) Schleswig-Holstein
Ein Bauunternehmen hatte mit einer privaten Kundin einen Werkvertrag geschlossen. Nach Fertigstellung der Bauleistung stellte das Unternehmen eine Schlussrechnung über 15.385,78 Euro aus und versandte diese als PDF-Anhang per E-Mail.
Doch noch bevor die Kundin die Rechnung begleichen konnte, griffen Unbekannte das Dokument ab, veränderten die Bankverbindung und versandten die manipulierte Version weiter. Ohne Verdacht zu schöpfen, überwies die Kundin den Betrag auf das falsche Konto. Als das Bauunternehmen den offenen Werklohn erneut anforderte, berief sich die Kundin darauf, dass ihre Zahlungspflicht erfüllt sei.
Das Landgericht Kiel entschied zunächst zugunsten des Bauunternehmens und stellte klar, dass die Zahlung nicht als Erfüllung gelte, da das Geld den tatsächlichen Gläubiger nicht erreicht habe. In der Berufung kam das Oberlandesgericht (OLG) Schleswig-Holstein jedoch zu einem anderen Ergebnis: Die Kundin müsse nicht noch einmal zahlen. Damit revidierte das OLG die Entscheidung der Vorinstanz und stellte fest, dass das Risiko in diesem Fall nicht bei der Kundin liege.
Eine endgültige Rechtssicherheit bleibt damit aus.
Nach § 362 Abs. 1 BGB erlischt eine Forderung nur, wenn die Zahlung tatsächlich beim Gläubiger eingeht. Das OLG Schleswig-Holstein entschied, dass die irrtümliche Überweisung der Kundin auf ein manipuliertes Konto die Schuld nicht tilgte.
Trotzdem wurde die Klage des Bauunternehmens abgewiesen. Der Grund: Es hatte die Rechnung unzureichend gesichert versandt. Nach Art. 82 DSGVO haften Unternehmen für Schäden durch mangelhaften Datenschutz. Dazu zählen auch ungeschützte Rechnungsdaten.
Das OLG stellte fest, dass der Versand ohne starke Verschlüsselung erfolgte, wodurch die Manipulation erst möglich wurde. Sicherheitsmaßnahmen wie Ende-zu-Ende-Verschlüsselung, digitale Signaturen oder geschützte Rechnungsportale hätten den Betrug verhindert. Da das Unternehmen diese nicht ergriff, konnte die Kundin ihren Schadenersatzanspruch gegen die Forderung aufrechnen. Sie musste nicht erneut zahlen.
Wie Kriminelle vorgehen: So werden Bankverbindungen in Rechnungen verändert?
Häufig steckt eine Schadsoftware dahinter, die E-Mails ausspäht. Manchmal erfolgen Täuschungen auch per gefälschter Bankdatenänderung via E-Mail oder Telefon. Die Betrüger nutzen minimal veränderte Absenderadressen, um echt zu wirken. Unvorsichtige Klicks auf manipulierte Anhänge oder Links setzen die Spähsoftware frei.
Bleiben wir beim Beispiel des Bauunternehmens. Dieser versendet eine Rechnung per E-Mail und PDF. Dann geht es in den meisten Fällen schnell: Kriminelle fangen diese ab, ändern die Bankverbindung und leiten die manipulierte Version von einer täuschend echten Adresse weiter.
Aufgepasst im B2B-Bereich
Viele Unternehmen versenden Rechnungen immer noch als PDF per E-Mail. Der Kunde überweist und der Vorgang ist erledigt. Doch rechtlich gesehen handelt es sich dabei nicht um eine E-Rechnung im Sinne des Gesetzes.
Der Gesetzgeber verlangt für eine echte E-Rechnung ein strukturiertes Datenformat, etwa XML. Dieses Format ist maschinenlesbar und dient vor allem dazu, Rechnungsdaten automatisch zu verarbeiten. Der Hintergrund: In Zukunft soll der Staat möglichst schnell auf Rechnungsdaten zugreifen können, um steuerliche Kontrollen effizienter durchzuführen.
Zudem gibt es eine weitere Variante: ZUGFeRD. Dabei handelt es sich um eine Hybridlösung, die ein PDF mit eingebetteten XML-Daten kombiniert. Dadurch bleibt die Rechnung für Menschen lesbar, während Maschinen die Daten automatisch verarbeiten können.
Seit dem 1. Januar 2025 müssen Unternehmen in Deutschland E-Rechnungen empfangen und verarbeiten können.
Ab dem 1. Januar 2027 tritt die nächste Stufe in Kraft: Unternehmen müssen E-Rechnungen auch aktiv versenden können und die entsprechenden technischen Voraussetzungen dafür geschaffen haben. Kleinere Unternehmen mit einem Jahresumsatz unter 800.000 Euro erhalten eine einjährige Übergangsfrist und müssen erst ab dem 1. Januar 2028 verpflichtend elektronische Rechnungen ausstellen.
Die Regelungen gelten derzeit ausschließlich für den Geschäftsverkehr zwischen Unternehmen (B2B).
X-Rechnung oder ZUGFeRD – Welche E-Rechnung ist sicherer?
Die Sicherheit elektronischer Rechnungsformate variiert je nach Struktur und Implementierung. Die X-Rechnung ist ein reines XML-Format, das ausschließlich maschinenlesbar ist und keine visuelle Darstellung enthält. Diese Eigenschaften erschweren unbefugte Änderungen erheblich, da klassische Manipulationen, wie das Ändern von Bankverbindungen in PDF-Dateien, hier nicht anwendbar sind.
Im Gegensatz dazu steht ZUGFeRD als hybrides Format, das eine PDF/A-3-Datei mit eingebetteten XML-Daten kombiniert. Während dies eine benutzerfreundliche Darstellung gewährleistet, besteht ein erhöhtes Risiko für die Manipulationen der Rechnung. Angreifer könnten theoretisch die sichtbare PDF-Rechnung bearbeiten, ohne die eingebetteten XML-Daten zu verändern.
Gut zu wissen: Rechnungen im ZUGFeRD-Format können über verschiedene Übermittlungswege ausgetauscht werden, müssen also nicht per E-Mail versendet werden. Dazu gehört der direkte Datenaustausch, Uploads oder Downloads.
Die E-Rechnung insgesamt weist eine sichere Datenübertragung auf und erfüllt damit die rechtlichen Rahmenbedingungen der GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff).
Wie lassen sich manipulierte Rechnungen erkennen?
Da E-Rechnungen bislang noch nicht für den B2C-Bereich verpflichtend sind, gilt es weiter, auf besondere Schutzmaßnahmen zu achten.
Unternehmen sollten Rechnungen in keinem Fall über allgemein zugängliche E-Mail-Adressen wie info@firma.de versenden. Falls bekannt wird, dass im Namen des Unternehmens gefälschte Rechnungen versendet werden, ist schnelles Handeln erforderlich. In einem solchen Fall muss umgehend das Passwort geändert und das E-Mail-System überprüft werden. Angreifer richten häufig Weiterleitungsregeln ein, um alle eingehenden E-Mails mitlesen zu können.
Empfänger können sich vor Betrug schützen, indem sie jede Rechnung sorgfältig überprüfen. Besonders wichtig ist die Kontrolle der Bankverbindung. Diese sollte mit den offiziellen Angaben auf der Unternehmenswebseite oder früheren Rechnungen übereinstimmen.
Wer Zweifel an der Echtheit einer Rechnung hat, sollte den Absender direkt kontaktieren und nicht auf die Kontodaten der fraglichen E-Mail vertrauen. Unbekannte E-Mails oder verdächtige Anhänge sollten niemals ungeprüft geöffnet werden.
Tipps für mehr Sicherheit bei Rechnungen
Eine der wichtigsten Maßnahmen ist die Absicherung des E-Mail-Versands. Dazu gehört die Einführung von Ende-zu-Ende-Verschlüsselung. Mit dieser lässt sich der Zugriff Dritter verhindern. Auch digitale Signaturen helfen, die Echtheit einer Rechnung zu bestätigen.
Hingegen bewähren sich geschützte Rechnungsportale als eine der wohl sichersten Alternativen zum E-Mail-Versand. Zudem sollten Unternehmen Bankverbindungsänderungen nicht nur per E-Mail kommunizieren, sondern immer zusätzlich auf einem zweiten Kommunikationsweg bestätigen lassen.
Neben der technischen Absicherung heißt es auch: Mitarbeiter sensibilisieren, schulen und klare Richtlinien für den Versand sensibler Daten einführen. Denn nur, wenn Phishing-Angriffe und Betrugsversuche frühzeitig erkannt werden, kann sich ein Schaden in Grenzen halten.
Auch Kunden sollten über Risiken aufgeklärt werden. Eine praktische Maßnahme ist der Hinweis in jeder Rechnung, dass Bankverbindungen nicht ohne vorherige Rückfrage geändert werden. Aktiv Kunden dazu zu ermutigen, sich bei Unsicherheiten telefonisch zu vergewissern, sorgt zeitgleich für Vertrauen.
Wie stellen Sie Ihren Kunden Rechnungen sicher zur Verfügung? Welche Pflichten müssen Sie als Unternehmen bezüglich der E-Rechnung im B2B-Bereich erfüllen und was können Sie tun, wenn Sie Opfer eines Betrugsfalls geworden sind? In allen Fragen rund um Datenschutz, IT-Recht und Steuerrecht stehen wir von SBS LEAGL Ihnen kompetent zur Seite.
Kontaktieren Sie uns gern auf einem unserer vielen verschiedenen Kontaktwege, wie das Direktkontaktformular, per Telefon oder E-Mail oder auch via anwalt.de oder auf Social Media bei Facebook, Instagram, Twitter oder auch YouTube.