E-Rechnung, Datenschutz und Sicherheit: DSGVO-konforme Archivierung und GoBD-Compliance 2025

Sicherheit first: Datenschutz und Compliance bei der E-Rechnung

Mit der E-Rechnungspflicht 2025 entstehen nicht nur neue Möglichkeiten, sondern auch neue Verantwortungen in puncto Datenschutz und Sicherheit. Unternehmen müssen sicherstellen, dass ihre E-Rechnungsprozesse sowohl DSGVO-konform als auch GoBD-compliant sind. Dieser Artikel zeigt, worauf Sie achten müssen.

DSGVO und E-Rechnungen: Personenbezogene Daten im Fokus

E-Rechnungen enthalten in der Regel personenbezogene Daten – von Kundenadressen bis hin zu Kontaktdaten von Ansprechpartnern. Daher unterliegen sie automatisch der Datenschutz-Grundverordnung (DSGVO).

Die kurze Antwort: Ja, E-Rechnungen können absolut DSGVO-konform sein – wenn Sie ein paar wichtige Punkte beachten.

Welche personenbezogenen Daten sind betroffen?

• Rechnungsempfänger: Name, Adresse, E-Mail-Adresse des Unternehmens/der Person
• Ansprechpartner: Namen von Kontaktpersonen, Telefonnummern
• Metadaten: Zeitstempel, IP-Adressen bei der Übertragung
• Zahlungsdaten: Bankverbindungen, Zahlungsreferenzen

DSGVO-konforme E-Rechnungsverarbeitung: Die wichtigsten Grundsätze

1. Rechtsgrundlage für die Verarbeitung

Die Verarbeitung personenbezogener Daten in E-Rechnungen basiert auf:

• Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung (Rechnungsstellung)
• Art. 6 Abs. 1 lit. c DSGVO: Gesetzliche Verpflichtung (Steuerrecht, Handelsrecht)
• Art. 6 Abs. 1 lit. f DSGVO: Berechtigte Interessen (Forderungsmanagement)

2. Datenschutz durch Technikgestaltung

• Datensparsamkeit: Nur notwendige Daten in E-Rechnungen aufnehmen
• Verschlüsselung: Sichere Übertragungswege verwenden
• Zugriffskontrolle: Nur berechtigte Personen erhalten Zugang
• Pseudonymisierung: Wo möglich, Daten unkenntlich machen

3. Betroffenenrechte gewährleisten

Kunden haben auch bei E-Rechnungen Anspruch auf:

• Auskunft: Information über gespeicherte Daten
• Berichtigung: Korrektur falscher Angaben
• Löschung: Nach Ablauf der Aufbewahrungsfristen
• Einschränkung: Beschränkung der Verarbeitung

GoBD-konforme Archivierung: Technische und organisatorische Anforderungen

Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form (GoBD) definieren strenge Regeln für die E-Rechnungsarchivierung.

Die 10 GoBD-Grundsätze für E-Rechnungen:

1. Nachvollziehbarkeit: Alle Verarbeitungsschritte müssen dokumentiert sein
2. Nachprüfbarkeit: Vollständige Rekonstruktion der Geschäftsvorfälle
3. Wahrheit: Inhaltliche Richtigkeit der archivierten Daten
4. Klarheit: Verständliche und eindeutige Darstellung
5. Kontinuität: Lückenlose Archivierung ohne Unterbrechungen
6. Ordnung: Systematische und strukturierte Ablage
7. Datensicherheit: Schutz vor Verlust und unbefugtem Zugriff
8. Unveränderbarkeit: Nachträgliche Änderungen müssen nachvollziehbar sein
9. Verfügbarkeit: Schneller Zugriff für Prüfungen
10. Vollständigkeit: Alle relevanten Daten müssen archiviert werden

Technische Sicherheitsmaßnahmen für E-Rechnungen

Verschlüsselung und sichere Übertragung

• Transport-Verschlüsselung: TLS 1.3 für E-Mail-Versand
• Ende-zu-Ende-Verschlüsselung: Für besonders sensible Daten
• Digitale Signaturen: Gewährleistung von Authentizität und Integrität
• Sichere Protokolle: SFTP, AS2 oder Peppol für den Datenaustausch

Archivierungssysteme und Speicherformate

• Originalformat: E-Rechnungen im ursprünglichen Format (XML, ZUGFeRD) speichern
• PDF/A-Konformität: Langzeitarchivierung mit PDF/A-3 Standard
• Revisionssicherheit: Unveränderbare Speicherung mit Zeitstempel
• Redundanz: Mehrfache Sicherung an verschiedenen Standorten

Praktische Umsetzung: Checkliste für DSGVO und GoBD

Vor der Einführung:

• Datenschutz-Folgenabschätzung (DSFA): Bewertung der Risiken
• Verfahrensverzeichnis: Dokumentation der Datenverarbeitung
• Auftragsverarbeitung: AVV mit Software-Anbietern abschließen
• Technische Maßnahmen: Verschlüsselung und Zugriffskontrolle implementieren

Während des Betriebs:

• Regelmäßige Backups: Automatisierte Datensicherung
• Zugriffsprotokollierung: Wer hat wann auf welche Daten zugegriffen?
• Mitarbeiterschulungen: Sensibilisierung für Datenschutz
• Incident Response: Verfahren für Datenschutzverletzungen

Archivierung und Löschung:

• Aufbewahrungsfristen: 10 Jahre für steuerrelevante Dokumente
• Automatische Löschung: Nach Ablauf der Fristen
• Löschprotokoll: Dokumentation aller Löschvorgänge

Cloud-Archivierung: Worauf achten bei externen Dienstleistern?

EU-Cloud-Anbieter bevorzugen

• Serverstandort: Datenverarbeitung in der EU
• Zertifizierungen: ISO 27001, SOC 2, BSI C5
• DSGVO-Konformität: Explizite Zusicherung des Anbieters
• Auftragsverarbeitung: Umfassende AVV mit dem Cloud-Anbieter

Wichtige Vertragsklauseln

• Datenlokalisierung: Keine Übertragung in Drittländer
• Kündigungsrechte: Schnelle Datenrückgabe bei Vertragsende
• Audit-Rechte: Möglichkeit zur Überprüfung der Sicherheitsmaßnahmen
• Haftungsregelungen: Klare Verantwortlichkeiten bei Datenschutzverletzungen

Häufige Datenschutz-Fallstricke vermeiden

Typische Fehler:

• Unverschlüsselter E-Mail-Versand: E-Rechnungen als ungeschützte Anhänge
• Falsche Empfänger: Versehentlicher Versand an falsche Adressen
• Unzureichende Zugriffskontrolle: Zu viele Mitarbeiter mit Vollzugriff
• Fehlende Löschkonzepte: Daten werden zu lange gespeichert

Best Practices:

• Segmentierte Zugriffe: Rolle-basierte Berechtigungen
• Automatisierung: Reduzierung manueller Fehlerquellen
• Monitoring: Kontinuierliche Überwachung der Datenschutz-Compliance
• Regelmäßige Audits: Überprüfung der Sicherheitsmaßnahmen

Datenschutzverletzungen: Vorbereitet sein für den Ernstfall

Meldepflichten nach DSGVO:

• 72-Stunden-Regel: Meldung an die Aufsichtsbehörde
• Betroffene informieren: Bei hohem Risiko unverzüglich
• Dokumentation: Vollständige Aufzeichnung des Vorfalls
• Schadensbegrenzung: Sofortige Maßnahmen zur Eindämmung

Bußgelder und Sanktionen: Das Risiko minimieren

Die DSGVO sieht empfindliche Strafen vor:

• Bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes
• Zusätzliche Schadenersatzansprüche von Betroffenen
• Reputationsschäden durch öffentliche Berichterstattung

Fazit: Sicherheit als Wettbewerbsvorteil

Datenschutz und Sicherheit bei E-Rechnungen sind nicht nur gesetzliche Pflicht, sondern auch ein wichtiger Wettbewerbsfaktor. Unternehmen, die von Anfang an auf robuste Sicherheitsmaßnahmen setzen, schaffen Vertrauen bei ihren Kunden und vermeiden kostspielige Datenschutzverletzungen.

Die Investition in DSGVO-konforme und GoBD-compliant E-Rechnungssysteme zahlt sich langfristig durch reduzierte Risiken, erhöhte Effizienz und gestärktes Kundenvertrauen aus.

Quellen:

• datenschutzexperte.de: E-Rechnung und Datenschutz - Rechnungsversand per E-Mail
• steuerschroeder.de: E-Rechnungen richtig digitalisieren und archivieren
• accountable.de: E-Rechnung und Datenschutz - Wer sieht meine Rechnungsdaten?
• fiskaly.com: GoBD-konforme Archivierung verstehen
• gab-it.de: E-Rechnungspflicht E-Mail-Archivierung