Seit dem 1. Januar 2025 ist bei Umsätzen zwischen inländischen Unternehmern regelmäßig eine elektronische Rechnung (E‑Rechnung) zu verwenden. E-Rechnungen für Beträge ab 250 Euro müssen die Unternehmen dann annehmen und verarbeiten können. Wenn ein Vertragspartner darauf besteht, muss ein Unternehmen in der Lage sein, diesem eine E-Rechnung zu stellen. Dies gilt nicht für Rechnungen an private Endverbraucher.

Spätestens ab 2028 müssen Gewerbetreibende und Selbstständige prinzipiell nur noch E-Rechnungen ausstellen und verarbeiten. Unternehmen mit mehr als 800.000 Euro Jahresumsatz bereits ab 2027.

Verwendet werden muss ein strukturiertes XML-Format. Die Daten können so automatisiert ausgelesen und zugeordnet werden können.

Den Übertragungsweg einer E-Rechnung legt das Gesetz nicht verbindlich fest. Diese können also weiterhin per E-Mail versendet werden. Die Rechnungssteller sollten dabei eine dedizierte Mailadresse wie rechnung[at]unternehmen.de verwenden. Der Vorteil der E-Rechnung aus datenschutzrechtlicher Sicht ist die vereinfachte Aufbewahrung und spätere Löschung der Rechnungen. Für die Versendung kommen auch Uploads auf speziellen Rechnungsportalen in Frage.

Als Unternehmer müssen Sie jede E-Rechnung vor der Buchung technisch sowie inhaltlich validieren: die technische Validierung beinhaltet die Überprüfung der formalen Struktur der Rechnung, und die inhaltliche Validierung die Überprüfung der Daten der Rechnung auf Richtigkeit.

Unternehmen und Selbstständige müssen ihre Buchhaltung und sämtliche elektronisch eingegangenen Rechnungen korrekt dokumentieren und archivieren. Gemäß der GoBD soll die Archivierung revisionssicher und unveränderbar sein.

Es gibt keine Vorgabe für das zu verwendende E-Rechnungs-Tool. Es können die Angebote der zahlreichen Softwarehersteller genutzt werden. Hier muss zuvor geprüft werden, ob diese den Datenschutzstandards entsprechen. Wer zur Bearbeitung und Archivierung der E-Rechnungen eine Cloud, statt einem Server im eigenen Haus nutzt, sollte auch diese Anwendung hinsichtlich der Sicherheit und Datenschutzkonformität überprüfen. Empfehlenswert sind solche Anbieter, deren Rechenzentren und Hosting in Deutschland stattfinden.

Um die Datenschutzkonformität zu gewährleisten, sollten Unternehmen weiterhin insbesondere darauf achten, dass die übermittelten Rechnungen verschlüsselt werden. Zudem sind eine sichere Speicherung und Zugriffsverwaltung der Daten erforderlich sowie die Erstellung regelmäßiger Backups. Unternehmen sollten nur die notwendigsten Informationen, wie z. B. die E-Mail-Adresse des Empfängers, erheben und regelmäßige Schulungen durchführen, um die Mitarbeiter für Datenschutzthemen zu sensibilisieren.

Das Vierte Bürokratieentlastungsgesetz tritt am 01.01.2025 in Kraft. Dies führt zu Änderungen in verschiedenen Gesetzen, wie u.a. dem Handelsgesetzbuch, der Abgabenordnung, dem Umsatzsteuergesetz oder dem Bürgerlichen Gesetzbuch. Datenschutzrechtlich hat dies Einfluss auf gewisse Aufbewahrungsfristen und Formvorschriften. Die neuen Regelungen, insbesondere die Löschfristen, sind in Systemen und Richtlinien zu ändern.

Cyberkriminalität hat viele Gesichter. Vermehrt gehen Angreifer dazu über, Mitarbeiter über verschiedene Kommunikationswege zu täuschen und zu manipulieren, um dadurch Schwachstellen zu schaffen und ein bestimmtes Verhalten der Mitarbeiter zu erreichen.

Beim E-Mail-Phishing versuchen die Angreifer beispielsweise mit gefakten Mails Anmeldedaten, Kreditkartennummern oder vertrauliche Unternehmensinformationen zu stehlen und den Computer des Opfers mit Malware zu infizieren.

Bei Deepfakes werden gezielt Persönlichkeitsmerkmale des Opfers ausgenutzt, um dieses zu manipulieren. Es werden mit Künstlicher Intelligenz (KI) manipulierte Ton- und Videoaufnahmen z.B. des Vorgesetzten erstellt und die Angst vor oder Vertrauen in den Vorgesetzten genutzt, um vertrauliche Informationen preiszugeben.

Es gibt verschiedene Tipps, wie sie E-Mail-Phishing und Deepfakes verhindern können. Sprechen Sie uns gerne an.