NIS2-Gesetz: 30.000 Organisationen müssen Cybersicherheit neu regeln

Von E-Mail-Verschlüsselung bis zum digitalen Widerrufsbutton – die rechtlichen Anforderungen an die B2C-Kommunikation werden immer konkreter. Ein Urteil des Landgerichts Karlsruhe und neue EU-Vorgaben setzen klare Maßstäbe.

Transportverschlüsselung reicht für Rechnungs-E-Mails

Das Landgericht Karlsruhe hat am 20. Mai 2026 (Az.: 8 O 266/25) eine wegweisende Entscheidung getroffen: Für den Versand von Rechnungen per E-Mail an Privatkunden ist eine Transportverschlüsselung ausreichend. Eine Ende-zu-Ende-Verschlüsselung ist nur dann Pflicht, wenn sie vertraglich vereinbart wurde oder als Branchenstandard gilt.

Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. IT-Sicherheit stärken ohne teure Investitionen

Der Fall hatte es in sich: Ein Ehepaar bestellte Goldbarren im Wert von rund 110.100 Euro. Nach Erhalt der Rechnung per E-Mail überwies es das Geld auf ein Konto, das ein unbekannter Dritter manipuliert hatte. Als der Verkäufer die Lieferung verweigerte – das Geld war auf eine ausländische IBAN geflossen – zogen die Käufer vor Gericht.

Die Richter wiesen die Klage ab. Die Käufer trügen das Zahlungsrisiko selbst. Entscheidend: Die Zahlung auf ein manipuliertes Konto erfüllte den Vertrag nicht, da der Verkäufer für die falschen Bankdaten in der gekaperten Kommunikation nicht verantwortlich war. Auch Schadensersatzansprüche nach der DSGVO lehnte das Gericht ab – die manipulierten Bankdaten seien keine personenbezogenen Daten der Kläger.

Strengere Regeln für E-Mail-Tracking

Die französische Datenschutzbehörde CNIL hat im April 2026 neue Empfehlungen zum Einsatz von Tracking-Pixeln in E-Mails veröffentlicht. Diese unsichtbaren Bilddateien – sie analysieren Öffnungszeiten, Gerätetypen und Standorte – gelten als datenschutzrechtlich sensibel.

Die CNIL betont die Pflicht zur Transparenz und die Notwendigkeit der Nutzerkontrolle. Für Werbezwecke ist in der Regel eine ausdrückliche Einwilligung erforderlich. Unternehmen sollten sich an den Grundsatz der Datenminimierung halten: Nur Informationen sammeln, die für den jeweiligen Zweck unbedingt nötig sind.

NIS2: Cybersicherheit wird Chefsache

Seit Inkrafttreten des NIS2-Umsetzungsgesetzes am 6. Dezember 2025 hat sich die Rechtslage grundlegend geändert. Rund 29.500 bis 30.000 Organisationen sind nun betroffen – ein drastischer Anstieg gegenüber den bisher rund 4.500 regulierten Einrichtungen.

Cybersicherheit ist jetzt Chefsache: Die Geschäftsführung haftet persönlich für Sicherheitsmaßnahmen und muss sich alle drei Jahre fortbilden. Seit dem 6. Januar 2026 müssen betroffene Organisationen über offizielle Portale registriert sein. Bei Sicherheitsvorfällen gilt eine 24-Stunden-Meldepflicht – Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder zwei Prozent des globalen Jahresumsatzes geahndet werden.

Digitaler Widerrufsbutton kommt im Juni

Ab dem 19. Juni 2026 müssen Online-Shops im B2C-Bereich einen digitalen Widerrufsbutton bereitstellen. Die Funktion muss leicht zugänglich sein – etwa in der Fußzeile der Website – und Kunden die Vertragskündigung ohne Pflichtregistrierung oder Login ermöglichen.

Der Jahresstart-Tipp für alle Büros: Warum jetzt der ideale Zeitpunkt für die große Akten-Entrümpelung ist. Experten empfehlen: Gesetzliche Aufbewahrungsfristen kennen und Platz schaffen – mit dieser kostenlosen Übersicht ganz einfach. Endlich Ordnung im Büro: So entsorgen Sie Ihre alten Unterlagen 100% rechtssicher

Die neue Regelung verpflichtet Shops zudem zu einer automatischen Eingangsbestätigung per E-Mail, sobald das Widerrufsformular abgeschickt wurde. Zeitgleich treten auch Änderungen der gesetzlichen Muster-Widerrufsbelehrung in Kraft.

E-Rechnung und Archivierung: Die Übergangsfristen laufen

Seit Januar 2025 müssen B2B-Unternehmen in Deutschland strukturierte elektronische Rechnungen wie XRechnung oder ZUGFeRD empfangen können. Die Übergangsfristen für den verpflichtenden Versand solcher Rechnungen enden im Laufe der Jahre 2026 und 2027.

Steuerexperten weisen auf eine wichtige Nuance hin: Die digitale Rechnung selbst muss GoBD-konform archiviert werden. Die begleitende E-Mail ist jedoch nur dann aufbewahrungspflichtig, wenn sie geschäftsrelevante Zusatzinformationen enthält – etwa Preisvereinbarungen oder Leistungsbeschreibungen. Dient die E-Mail lediglich als Transportmittel für den Anhang, reicht die Archivierung des Rechnungsdokuments.

de | wirtschaft | 69445822 |