Manipulierte Rechnungen: Warum einfache E-mail-PDFs nicht mehr ausreichen

Ein Handwerksbetrieb verschickt seine Rechnung per E-Mail – am Ende geht das Geld an Betrüger.

Das Oberlandesgericht Schleswig entschied im Dezember 2024: Der Kunde musste nicht doppelt zahlen. Für das Unternehmen bedeutete das: Leistung erbracht, aber kein Geld erhalten (OLG SH, 12 U 9/24).

Was war passiert?

Der Betrieb versandte eine Schlussrechnung über 15.000,00 Euro als PDF-Anhang. Auf dem Weg wurde die Rechnung manipuliert und die Bankverbindung geändert. Der Kunde überwies an Kriminelle.

Das Gericht: Einfache Transportverschlüsselung reicht nicht aus. Unternehmen müssen die Sicherheit ihrer Rechnungen am Risiko orientieren.

Juristische Einordung: Artikel 82 DSGVO

  • Datenschutzverstoß: Der Rechnungsversand war nicht sicher genug.
  • Schaden: Der Kunde verlor Geld durch die Manipulation.
  • Kausalität: Ohne den unsicheren Versand wäre der Schaden nicht entstanden.

Damit lag ein Anspruch auf Schadensersatz nach Artikel 82 DSGVO vor – und dieser wurde gegen den Werklohn aufgerechnet. Ergebnis: Der Kunde musste nicht doppelt zahlen.

Warum ist das für KMU wichtig?

Gerade kleine und mittlere Unternehmen verschicken Rechnungen häufig noch per E-Mail mit PDF-Anhang. Das ist bequem, aber unsicher. Cyberkriminelle nutzen diese Schwachstelle gezielt.

Das Risiko: Im Ernstfall bleibt das Unternehmen auf seiner Forderung sitzen – und verliert nicht nur Geld, sondern auch Vertrauen.

Handlungsmöglichkeiten für Unternehmen

  1. Digitale Signatur:
    Mit einer Signatur wird die Rechnung wie mit einem digitalen Siegel versehen. Manipulationen fallen sofort auf.
  2. Rechnungsportale: Statt Rechnungen per E-Mail zu verschicken, können sie in einem sicheren Portal bereitgestellt werden. Der Kunde lädt die Rechnung dort herunter.
  3. Prüfprozesse: Klare Hinweise auf Rechnungen („Unsere Bankdaten ändern sich nicht ohne Bestätigung“) und Rückrufprozesse bei Änderungen der Bankverbindung.
  4. Moderne Rechnungsformate: ZUGFeRD oder XRechnung kombinieren PDF und strukturierte Daten. So können Rechnungen automatisch verarbeitet werden und sind weniger anfällig für Manipulation.
  5. Mitarbeiter sensibilisieren: Buchhaltung und Verwaltung müssen in der Lage sein, Auffälligkeiten zu erkennen und im Zweifel nachzufragen.

FAQ: Häufig gestellte Fragen zum Rechnungsversand

Reicht es, Rechnungen mit normaler E-Mail zu verschicken? Nein. Das Risiko von Manipulationen ist zu hoch.

Welche Lösung ist die sicherste? Eine Kombination aus digitaler Signatur und sicherem Portal ist für viele Unternehmen die praktikabelste Lösung.

Ist das nicht zu teuer für kleine Unternehmen? Nein. Es gibt inzwischen kostengünstige Cloud-Lösungen, die sich auch für kleinere Betriebe lohnen.

Fazit

Der Fall zeigt: Rechnungen per PDF-Anhang sind kein sicherer Standard mehr. Unternehmen, die weiter auf diesen Weg setzen, riskieren reale finanzielle Verluste. Wer jetzt auf sichere Verfahren umstellt, schützt nicht nur sich selbst, sondern auch seine Kunden.

Uta Rusch Foto
Uta Rusch

Als geschäftsführende Gesellschafterin bewege ich mich an der Schnittstelle von Technologie, Prozessen und Menschen. Mit unserem Team begleite ich digitale Transformationen – und dabei geht es mir selten um die nächste Software. Es geht darum, den Kontext zu vermitteln. In meiner Arbeit geht es mir nie nur um das Was, sondern vor allem um das Warum. Wenn das klar ist, wird auch der Weg zum Ziel für alle verständlich.

Hier - unter Wissenswertes - schreibe ich über digitale Geschäftsprozesse, Transformation und ein Thema, das mich besonders umtreibt: echte Verantwortungsübernahme. Mein Ansatz dabei ist Klarheit – komplexe Zusammenhänge auf das Wesentliche herunterbrechen, Entscheidungsfähigkeit schaffen und Veränderungsbereitschaft ermöglichen. Denn Verantwortung kann nur übernehmen, wer versteht, worum es geht.

Für mich persönlich gibt es keine "Fehler" im klassischen Sinn – solange ich mit dem Wissen handle, das mir in diesem Moment zur Verfügung steht. Ob eine Entscheidung optimal war, weiß ich erst hinterher. Aber genau dieser Erkenntnisgewinn bringt mich weiter. Nur wer entscheidet, kann lernen.

Das gilt allerdings nicht grenzenlos. Wenn Fakten auf dem Tisch liegen, Ergebnisse bekannt sind und trotzdem dieselbe Richtung eingeschlagen wird – dann ist das kein Fehler aus Unwissenheit mehr. Dann ist es das Verweigern von Verantwortung. Und genau das ist der Unterschied, über den ich hier schreibe.

Was mich antreibt, ist die Überzeugung, dass Klarheit und Verantwortung keine Gegensätze sind – sondern zwei Seiten derselben Medaille. Wer Zusammenhänge wirklich versteht, kann auch wirklich Verantwortung übernehmen. Und wer Verantwortung übernimmt, schafft Veränderungen, die im Alltag auch wirklich funktionieren.

Artikel: 5

Ähnliche Beiträge

Cookie-Einstellungen
advantegy GmbH Logo

Um das bestmögliche Erlebnis zu bieten, verwenden wir für den Betrieb dieser Website unbedingt erforderliche Cookies sowie optionale Funktions-, Leistungs- und Targeting-Cookies. Wir verkaufen Deine Daten nicht. In den Einstellungen kannst Du mehr darüber erfahren, welche Cookies wir verwenden, oder diese deaktivieren.

Technisch notwendig

Technisch notwendige Cookies sollten aktiviert sein, damit wir Deine Cookie-Einstellungen speichern können