E-Rechnung und DSGVO: Datenschutzanforderungen beim Rechnungsversand
Beim Versand von E-Rechnungen müssen DSGVO-Vorgaben eingehalten werden. Erfahren Sie, welche Datenschutzanforderungen für E-Rechnungen gelten.
Eine Rechnung enthält personenbezogene Daten – Name des Käufers, Adresse, oft eine Kunden- oder Steuernummer, manchmal Bankdaten oder Beschreibungen einer Leistung, die Rückschlüsse auf eine natürliche Person zulassen. Wer E-Rechnungen erstellt, versendet, empfängt oder archiviert, verarbeitet damit personenbezogene Daten im Sinne der DSGVO.
Dieser Beitrag bringt die wichtigsten Datenschutz-Pflichten rund um E-Rechnungen auf einen Stand und gibt eine pragmatische Checkliste.
Welche Daten sind personenbezogen?
Pflichtangaben einer Rechnung enthalten regelmäßig personenbezogene Daten, sobald der Käufer eine Privatperson oder ein Einzelunternehmer ist:
- Vor- und Nachname.
- Adresse.
- E-Mail-Adresse, ggf. Telefonnummer.
- Steuer-ID/USt-IdNr. eines Einzelunternehmers.
- Bankverbindung (bei SEPA-Mandaten oder Lastschrift).
- Beschreibung der Leistung (kann Rückschlüsse zulassen, etwa bei Arzt- oder Anwaltsleistungen).
Bei reinen B2B-Rechnungen an juristische Personen (GmbH, AG) sind die Daten zunächst nicht personenbezogen – außer es werden Ansprechpartner namentlich genannt.
Rechtsgrundlage für die Verarbeitung
Die Rechtsgrundlage ist meist Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) oder lit. c (rechtliche Verpflichtung – steuerrechtliche Pflicht zur Rechnungsstellung). Für die Aufbewahrung greift lit. c (Aufbewahrungspflichten nach HGB und AO).
Eine Einwilligung des Empfängers brauchen Sie für die Verarbeitung im Rahmen der Rechnungsstellung nicht. Aber: Für den Versand per E-Mail im B2C sollten Sie eine Einwilligung dokumentieren, weil das Kommunikationsmittel betrifft.
Verarbeitungsverzeichnis
Nach Art. 30 DSGVO müssen Sie ein Verarbeitungsverzeichnis führen. Für E-Rechnungen ein einfacher Eintrag:
- Zweck: Rechnungsstellung und Aufbewahrung.
- Kategorien betroffener Personen: Kunden.
- Datenkategorien: Name, Adresse, Kontaktdaten, Vertragsdaten, Bankdaten.
- Empfänger: Steuerberater, IT-Dienstleister, ggf. Plattformbetreiber.
- Löschfrist: nach Ablauf der gesetzlichen Aufbewahrung.
- TOM: siehe unten.
Auftragsverarbeitung
Wenn Sie ein Cloud-Tool (siehe Cloud-Lösungen) für die Erstellung oder Archivierung Ihrer E-Rechnungen einsetzen, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter nach Art. 28 DSGVO. Inhaltlich verpflichtend:
- Gegenstand und Dauer der Verarbeitung.
- Art und Zweck.
- Art der Daten.
- Pflichten des Auftragsverarbeiters.
- Technische und organisatorische Maßnahmen.
- Unterauftragsverarbeiter mit Genehmigungsvorbehalt.
Seriöse Anbieter stellen den AVV als Standardvertrag bereit. Ohne AVV kein Einsatz.
Drittlandtransfer
Liegt der Server in den USA oder einem anderen Drittland ohne Angemessenheitsbeschluss, brauchen Sie zusätzliche Garantien:
- EU-US Data Privacy Framework (für US-Anbieter, die zertifiziert sind).
- Standardvertragsklauseln (SCC) der EU-Kommission.
- Transfer Impact Assessment in der Akte.
Die einfachste Lösung: einen Anbieter mit Hosting in der EU wählen.
Technische und organisatorische Maßnahmen
DSGVO Art. 32 verlangt angemessene Sicherheitsmaßnahmen. Für E-Rechnungen besonders relevant:
| Bereich | Maßnahme |
|---|---|
| Versand | TLS-verschlüsselter SMTP, ggf. S/MIME oder Peppol mit AS4 |
| Speicherung | Verschlüsselung at rest, Zugriffskontrollen |
| Zugriff | Rollenbasiert, MFA für Administratoren |
| Backup | Verschlüsselt, getrennt vom Produktivsystem |
| Protokollierung | Zugriffe und Versand-Vorgänge revisionssicher loggen |
Mehr in Sicherheit.
Versand per E-Mail
E-Mail ohne TLS ist datenschutzrechtlich problematisch. Faustregel:
- B2B mit ausschließlich juristischen Personen als Empfänger: Standard-TLS reicht meist.
- Rechnungen an Privatpersonen oder mit besonders sensiblen Daten: Ende-zu-Ende-Verschlüsselung empfohlen.
- Im Gesundheitswesen oder bei Anwaltsleistungen: S/MIME oder Versand über Mandantenportal.
Wer alternative Kanäle wie Peppol einsetzt, ist hier auf der sicheren Seite. Mehr in Peppol.
Aufbewahrung und Löschung
Die steuerliche Aufbewahrungspflicht von 10 Jahren dominiert die Löschfristen. Vorher dürfen Sie nicht löschen, weil Sie sonst gegen § 147 AO verstoßen. Nach Ablauf der Frist müssen Sie löschen – oder die Aufbewahrung anders begründen (z. B. Beweissicherung in einem Streitfall).
In der Praxis: Daten nach 10–11 Jahren systematisch und revisionssicher löschen. Mehr in Aufbewahrungspflicht.
Recht auf Auskunft und Löschung
Betroffene können Auskunft über ihre gespeicherten Daten verlangen (Art. 15 DSGVO). Eine Rechnungskopie an den Käufer ist dabei in der Regel ausreichend. Ein Löschantrag (Art. 17) wird durch die gesetzliche Aufbewahrungspflicht eingeschränkt – Sie dürfen die Löschung verweigern, müssen das aber begründen.
Spezialfall: Peppol
Bei Peppol fließt die Rechnung über einen Access Point. Dieser ist Auftragsverarbeiter, sofern er Daten im Klartext sehen kann. Seriöse Anbieter stellen AVV und SLA. Die Übertragung selbst ist signiert und verschlüsselt (AS4).
Sensibilisierung der Mitarbeiter
Wer mit Rechnungen arbeitet, sollte einmal jährlich ein kurzes Datenschutz-Training durchlaufen. Wichtige Punkte:
- Keine Rechnungen an private E-Mail-Adressen weiterleiten.
- Keine Klartext-Rechnungen in Chats hochladen.
- Bei Phishing-Verdacht (gefälschte Rechnungen) die IT informieren.
Datenschutzpannen melden
Sollten Rechnungen an falsche Empfänger gehen oder ein Datenleck auftreten:
- Innerhalb von 72 Stunden an die Aufsichtsbehörde melden, wenn Risiko für Betroffene besteht.
- Betroffene informieren bei hohem Risiko.
- Vorfall im Risikoregister dokumentieren.
Häufige Fragen
Brauche ich für jeden Cloud-Anbieter einen AVV?
Wenn der Anbieter personenbezogene Daten verarbeitet: ja. Das ist bei Buchhaltungs- und E-Rechnungs-Tools praktisch immer der Fall.
Darf ich Rechnungen mit normaler E-Mail versenden?
Ja, sofern der Mailserver TLS unterstützt. Bei sensiblen Daten zusätzliche Verschlüsselung empfohlen.
Was ist mit US-Anbietern wie Microsoft oder Google?
Möglich, wenn Standort EU oder DPF-Zertifizierung vorliegt. Plus AVV. Plus SCCs als Backup.
Wie lange darf ich Rechnungsdaten speichern?
10 Jahre nach Ende des Geschäftsjahres. Danach löschen, sofern keine andere Rechtsgrundlage vorliegt.
Was tue ich bei einer falsch versendeten Rechnung?
Empfänger zur Löschung auffordern, Vorfall dokumentieren, prüfen, ob meldepflichtig. Bei Einzelfällen meist keine Meldepflicht, aber dokumentieren.