E-Rechnung Datenschutz Praxisleitfaden für Compliance

E-Rechnung Datenschutz: Compliance-Leitfaden für Datenschutzbeauftragte

[e-rechnung-sicherheit,-gdpr-invoicing_Main featured image for the article]

Lesezeit: ca. 12 Minuten

Jetzt kostenlos testen

Key Takeaways

E-Rechnungen enthalten personenbezogene Daten und unterliegen vollständig der DSGVO.
Vier Säulen der Compliance: Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit müssen gewährleistet sein.
Technische Maßnahmen wie Verschlüsselung, Zugriffskontrollen und digitale Signaturen sind Pflicht.
Auftragsverarbeitung bei externen Dienstleistern muss vertraglich geregelt und geprüft werden.
Speicherfristen: Steuerrechtlich 10 Jahre — das muss mit Löschpflichten der DSGVO abgestimmt werden.

Inhaltsverzeichnis

Warum E-Rechnung Datenschutz jetzt prioritär wird

Schema of E-invoicing workflow showing data flows between ERP, cloud and archive

Die flächendeckende Einführung der E-Rechnungspflicht im B2B-Bereich macht Datenschutz und Informationssicherheit zu einem zentralen Thema. Ab 2025 müssen Unternehmen in Deutschland strukturierte elektronische Rechnungen empfangen können, und ab 2027/2028 auch versenden — das betrifft Millionen von Geschäftsvorgängen mit personenbezogenen Daten.

Wichtig: E-Rechnungen sind nicht nur PDFs. Formate wie XRechnung oder ZUGFeRD enthalten strukturierte Datensätze mit Namen, Adressen, Kundennummern, Steuerdaten und Bankverbindungen. Jede dieser Informationen fällt unter Art. 4 Nr. 1 DSGVO und muss geschützt werden.

Ein typischer Beratungsfall: Ein Mittelständler nutzte einen günstigen Cloud-Dienst ohne AVV; Server standen in den USA — Folge: Prüfungsfeststellungen, Bußgelder und Reputationsschaden.

Der Schlüssel ist, e-rechnung datenschutz als integralen Bestandteil des Rechnungsprozesses zu begreifen, nicht als reine bürokratische Pflicht.

Rechtsrahmen: DSGVO trifft Steuerrecht

Illustration showing balance scales labelled DSGVO and Steuerrecht

Die rechtliche Grundlage für E-Rechnungen ergibt sich aus einem Zusammenspiel zwischen europäischem Datenschutzrecht (DSGVO) und nationalen steuerlichen Vorschriften (UStG, AO, GoBD). Während die DSGVO regelt, wie personenbezogene Daten verarbeitet werden dürfen, schreiben Steuerrecht und GoBD vor, welche Angaben auf Rechnungen sein müssen und wie lange sie aufzubewahren sind.

Spannungsfeld: DSGVO fordert Datenminimierung und zeitnahe Löschung; das Steuerrecht fordert 10 Jahre Aufbewahrung. Lösungen sind z. B. Pseudonymisierung nach Ende der aktiven Nutzung oder dokumentierte Rechtsgrundlagen für die Speicherung.

Nach Art. 6 Abs. 1 lit. c DSGVO ist die Verarbeitung rechtmäßig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist — das deckt die Rechnungsarchivierung ab, sodass keine Einwilligung erforderlich ist. Trotzdem ist Transparenz Pflicht: Die Datenschutzerklärung muss Zweck, Empfänger und Speicherfristen klar nennen.

Zweckbindung und Speicherfristen richtig umsetzen

Diagram showing lifecycle of invoice data from creation to deletion

Zweckbindung heißt: Rechnungsdaten dürfen nur für Abrechnung, Buchhaltung, Steuerdokumentation und gesetzliche Aufbewahrung verwendet werden. Eine Weiterverwendung für Marketing oder Profiling ist ohne separate Rechtsgrundlage unzulässig.

Praxisbeispiel: Vertriebsteams möchten oft Rechnungsdaten für Upselling nutzen — das ist nur mit eigener Rechtsgrundlage (z. B. berechtigtes Interesse nach Abwägung) oder Einwilligung möglich. Technisch sollten diese Daten getrennt werden.

Setzen Sie rollenbasierte Zugriffskontrollen um und protokollieren Sie jeden Zugriff. Die Protokolle selbst sind personenbezogene Daten und müssen geschützt werden. Die steuerliche Aufbewahrungsfrist beginnt mit dem Ende des Kalenderjahres der Rechnungsstellung und beträgt zehn Jahre. Entwickeln Sie ein automatisiertes Lösch- oder Anonymisierungskonzept für das Fristende.

Technische Schutzmaßnahmen für E-Rechnungen

Visual showing encryption, signatures and access control icons

Die TOMs nach Art. 32 DSGVO bilden das Herzstück der e-rechnung sicherheit. Rechnungen enthalten oft sensible Daten — das Risiko ist daher erheblich und verlangt angemessene technische Maßnahmen.

Verschlüsselung

Bei Übertragung mindestens TLS 1.2+, bei E-Mail-Versand idealerweise Ende-zu-Ende mit S/MIME oder PGP. Verschlüsselung im Ruhezustand sollte mindestens auf Datenträger-Ebene erfolgen; für besonders sensible Felder empfiehlt sich Feldebene-Verschlüsselung.

Digitale Signaturen

Signaturen sichern Integrität und Authentizität. Qualifizierte elektronische Signaturen nach eIDAS sind handschriftlichen Unterschriften gleichgestellt. Für Standard-E-Rechnungen genügen oft fortgeschrittene Signaturen oder organisationsinterne Verfahren, solange die GoBD-Anforderungen erfüllt sind.

Zugriffskontrollen und Logging

Implementieren Sie das Prinzip der geringsten Rechte, definieren Sie Rollen (Buchhaltung, Controlling, IT) und protokollieren Sie alle relevanten Aktionen in einem manipulationssicheren Log. Diese Logs sind wichtige Nachweise für Revisionssicherheit und für die Aufklärung bei Vorfällen.

Backup und Disaster Recovery

Rechnungsdaten müssen über zehn Jahre verfügbar bleiben — ein getestetes Backup- und Wiederherstellungskonzept ist Pflicht. Ein Ausfall des Archivs kann steuerliche Konsequenzen und DSGVO-Verstöße wegen verletzter Verfügbarkeit nach sich ziehen.

Auftragsverarbeitung und Dienstleister-Management

Flowchart of controller and processor responsibilities

Nutzen Sie externe Dienstleister (Cloud-ERP, E-Invoicing-Plattformen, Steuerberater), liegt in der Regel eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Ein schriftlicher Auftragsverarbeitungsvertrag (AVV) ist Pflicht.

Achten Sie im AVV besonders auf:

Ort der Datenverarbeitung (EU vs. Drittland)
Unterauftragnehmer und Sub-Prozessoren
Konkret beschriebene Sicherheitsmaßnahmen
Haftung, Löschpflichten und Prüfrechte

Bei Verarbeitung in Drittländern (z. B. USA) sind zusätzliche Garantien nötig — etwa SCCs und eine Transfer Impact Assessment; nach Schrems II genügt SCC allein oft nicht. Mein Praxis-Tipp: Führen Sie ein zentrales Dienstleister-Register und prüfen Sie AVVs mindestens jährlich.

Map of EU with invoicing standards icons

„GDPR-compliant invoicing" bedeutet dieselben Grundprinzipien wie e-rechnung datenschutz, aber mit internationaler Sicht: die DSGVO gilt EU-weit und für Dritte mit EU-Geschäftsbeziehungen. Jede Rechnung an Kunden in anderen EU-Staaten unterliegt der GDPR.

Best Practices: Verwendung standardisierter Formate (XRechnung, Peppol, UBL), Privacy by Design, Verschlüsselung, strikte Zugriffskontrollen sowie regelmäßige Audits. Zudem ist ein Incident-Response-Plan wichtig — Datenpannen sind binnen 72 Stunden zu melden, sofern ein Risiko für Betroffene besteht.

Ein typischer Vorfall: Sammel-E-Mail mit sichtbaren Empfängeradressen — meldepflichtig und vermeidbar durch organisatorische Maßnahmen.

Praxistipps für Compliance-Beauftragte

Checklist for compliance officers with key items ticked

Als Datenschutz- oder Compliance-Beauftragter sollten Sie die E-Rechnungsanforderungen in prüfbare Prozesse übersetzen. Konkrete Maßnahmen:

1. Verzeichnis von Verarbeitungstätigkeiten (VVT) aktualisieren

Erfassen Sie die E-Rechnungsverarbeitung separat im VVT: Zweck, Kategorien (Name, Adresse, Steuer-ID, Bankverbindung), Empfänger, Drittländer, Speicherfristen und TOMs.

2. Datenschutz-Folgenabschätzung (DSFA) prüfen

Bei besonders sensiblen oder umfangreichen Datenverarbeitungen prüfen, ob eine DSFA erforderlich ist. In Standard-Szenarien oft nicht zwingend, aber empfehlenswert zur Risikobewertung.

3. Schulungen und Awareness

Training session with staff learning about secure invoicing

Mitarbeitende in Buchhaltung, Vertrieb und IT benötigen regelmäßige Schulungen zu sicherer E-Mail-Kommunikation, Fehlversand-Handling, Zugriffsrechten und Meldepflichten.

4. Regelmäßige Audits und Reviews

Audit checklist with calendar showing annual review

Planen Sie jährliche Audits: AVVs prüfen, Sicherheitsmaßnahmen aktualisieren, Löschfristen kontrollieren und Vorfälle dokumentieren — all das ist Rechenschaftspflicht.

5. Notfall- und Löschkonzept

Incident response flowchart and automated deletion schedule

Definieren Sie Incident Response und automatisieren Sie Löschprozesse nach Ablauf der Aufbewahrungsfristen. Wählen Sie E-Rechnungstools, die DSGVO-konform und GoBD-fähig sind — z. B. Plattformen wie e-rechn.de, die integrierte Compliance-Features anbieten.

Jetzt kostenlos testen

FAQ

Brauche ich eine Einwilligung meiner Kunden, um E-Rechnungen zu versenden?

Nein, für die Ausstellung und Archivierung von Rechnungen brauchen Sie keine Einwilligung. Die Rechtsgrundlage ergibt sich aus gesetzlichen Pflichten (Steuerrecht, Aufbewahrungspflichten) nach Art. 6 Abs. 1 lit. c DSGVO. Sie müssen Kunden aber transparent in Ihrer Datenschutzerklärung informieren.

Wie lange muss ich E-Rechnungen aufbewahren und wann muss ich sie löschen?

Steuerrechtlich beträgt die Aufbewahrungsfrist zehn Jahre ab Ende des Kalenderjahres, in dem die Rechnung ausgestellt wurde. Nach Ablauf dieser Frist besteht grundsätzlich eine Löschpflicht nach DSGVO, sofern keine anderen Rechtsgrundlagen (z.B. laufende Rechtsstreitigkeiten) eine längere Speicherung rechtfertigen.

Muss ich einen AVV abschließen, wenn ich eine Cloud-E-Rechnungslösung nutze?

Ja. Sobald ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet (z.B. Rechnungen speichert, versendet oder archiviert), liegt eine Auftragsverarbeitung vor und Sie müssen einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abschließen.

Was passiert, wenn ich versehentlich eine Rechnung an den falschen Empfänger sende?

Ein Fehlversand von Rechnungsdaten kann eine meldepflichtige Datenpanne sein, besonders wenn sensible Daten (Bankverbindungen, Steuer-IDs) betroffen sind. Dokumentieren Sie den Vorfall sofort, informieren Sie intern Ihre Datenschutzbeauftragten und prüfen Sie, ob eine Meldung an die Aufsichtsbehörde und/oder Benachrichtigung der betroffenen Personen erforderlich ist.

Welche technischen Maßnahmen sind bei der E-Rechnung Sicherheit Pflicht?

Nach Art. 32 DSGVO müssen Sie ein dem Risiko angemessenes Schutzniveau gewährleisten. Dazu gehören mindestens: Verschlüsselung der Übertragung (TLS 1.2+), Zugriffskontrollen und Berechtigungskonzepte, Protokollierung von Zugriffen, regelmäßige Backups und ein Notfallkonzept. Je sensibler die Daten, desto höher die Anforderungen (z.B. zusätzliche Ende-zu-Ende-Verschlüsselung, digitale Signaturen).

Gelten die DSGVO-Anforderungen auch, wenn ich Rechnungen an Geschäftskunden (B2B) stelle?

Ja. Auch bei B2B-Rechnungen sind häufig personenbezogene Daten enthalten (Name des Ansprechpartners, ggf. private Adresse bei Einzelunternehmern). Die DSGVO gilt unabhängig davon, ob der Kunde eine Privatperson oder ein Unternehmen ist — entscheidend ist, ob personenbezogene Daten verarbeitet werden.

Wie gehe ich mit internationalen Kunden und GDPR invoicing um?

Wenn Sie Rechnungen an Kunden in anderen EU-Ländern oder Drittstaaten senden, gelten dieselben DSGVO-Grundsätze. Bei Drittstaaten müssen Sie zusätzlich prüfen, ob ein Angemessenheitsbeschluss vorliegt oder ob Sie Garantien wie Standardvertragsklauseln (SCCs) und eine Übermittlungsfolgenabschätzung benötigen. Achten Sie auf lokale Besonderheiten (z.B. nationale E-Rechnungsstandards) und dokumentieren Sie Ihre Prozesse.

Kann ich alte Rechnungen anonymisieren statt sie zu löschen?

Theoretisch ja – wenn Sie die Daten vollständig anonymisieren (sodass kein Personenbezug mehr herstellbar ist), gelten sie nicht mehr als personenbezogene Daten. In der Praxis ist echte Anonymisierung schwierig, weil Rechnungen oft eindeutige Identifikationsmerkmale enthalten. Zudem können steuerliche Nachweispflichten eine vollständige Anonymisierung verbieten. Prüfen Sie im Einzelfall, ob Pseudonymisierung mit geeigneten Schutzmaßnahmen ausreichend ist.