Das Versenden einer Rechnung per E-Mail
Die Möglichkeit eine Rechnung elektronisch zu versenden, wird von Unternehmen immer mehr genutzt. Dabei können Unternehmen sowohl Prozesse beschleunigen als auch Kosten sparen.
Bei der elektronischen Rechnung erhält der Rechnungsempfänger die Rechnung nicht per Post, sondern per E-Mail übermittelt. Dabei wird diese per PDF-Datei oder als Bild-Datei an die Mail angehangen.
Worum geht es?
Heutzutage lassen sich E-Mails im Geschäftsverkehr nicht mehr wegdenken.
Mit dem steigenden Fokus auf den Aspekt des Datenschutzes, kommen demnach auch immer häufiger Fragen auf, die das Hin-und Herschicken von Mails im Arbeitsalltag betreffen.
Gerade das Thema des Verschickens von Rechnungen steht hierbei oft im Fokus.
Fraglich dabei ist, inwiefern dieses DSGVO-konform ist, beziehungsweise ob die DSGVO hier überhaupt Anwendung findet.
Entscheidend für das Versenden einer Rechnung per E-Mail ist, ob diese personenbezogene Daten enthält. Personenbezogene Daten sind nach Art. 4 Abs. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Eine natürliche Person gilt dann als identifiziert, wenn eine Zuordnung von Daten direkt (direkter Bezug zur Identität) hergestellt werden kann. Als identifizierbar wird eine natürliche Person angesehen, wenn ihre Identität durch die Kombination des Datums mit einer anderen Information feststellbar wird.
Sobald die Rechnung, welche mit einer Mail abgeschickt werden soll, personenbezogene Daten enthält, gelten die Vorschriften der DSGVO.
Folgen davon sind beispielsweise in Art. 32 Abs. 1 DSGVO festgelegt. So wird eine Verschlüsselung oder auch eine Pseudonymisierung dieser personenbezogenen Daten gefordert.
Wen betrifft es?
Im ersten Schritt sollte sich gefragt werden, ob die Rechnung überhaupt personenbezogene Daten beinhaltet. Dies ist bei einem E-Mail-Verkehr zwischen zwei juristischen Personen meist nicht der Fall. Hier greifen die Vorschriften der DSGVO also nicht. Wenn ein Unternehmen (oder zum Beispiel auch eine Behörde) jedoch einem Kunden (einer natürlichen Person) eine Rechnung per Mail zusendet, ist die Wahrscheinlichkeit sehr hoch, dass diese auch personenbezogene Daten enthält. Demnach findet die DSGVO hier Anwendung und es ergeben sich Voraussetzungen für das Unternehmen, welche erfüllt werden müssen.
Handlungsempfehlung
Aus Art. 4 DSGVO lässt sich herleiten, dass der Verantwortliche (in dem Fall der Absender der E-Mail) mögliche Risiken, die sich durch bspw. Missbrauch der verschickten in der Rechnung enthaltenen Daten, abwägen und diesen vorbeugen muss.
Das kann erreicht werden, indem geeignete technische und organisatorische Maßnahmen getroffen werden. Dies kann zum Beispiel eine Pseudonymisierung darstellen.
Des Weiteren kommen Aufzeichnungen und Informationen über bestehende Löschkonzepte und deren Umsetzung in Betracht.
Auch Notfallmaßnahmen, Sicherungsmaßnahmen für die IT-Systeme und Zugriffsbeschränkungen sollten beachtet werden.
Sollten Sie Fragen zu den für sie geeigneten Maßnahmen haben, wenden Sie sich gerne an uns.