Das OLG Schleswig-Holstein ging im Urteil vom 18.12.2024 (12 U 9/24) nun auf beide Punkte ein.
Die falsche Überweisung entbindet den Kunden grundsätzlich nicht von der Zahlungspflicht. Der ursprüngliche Anspruch besteht weiterhin. Gleichzeitig steht dem Kunden jedoch ein Schadensersatzanspruch in Höhe der Fehlüberweisung gegenüber dem Betrieb zu.
Dieser Anspruch stützt sich auf den Art. 82 Abs.1 DSGVO. Konkret verweist das Gericht auf Verstöße gegen die Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 DSGVO) in Zusammenhang mit der Sicherheit der Verarbeitung (Art. 32 DSGVO) für deren Einhaltung der Betrieb verantwortlich ist.
Das Unternehmen hätte diesen Gegenanspruch abwehren können, wenn nachweisbar gewesen wäre, dass es keine Verantwortung für den eingetretenen Schadensfalls trifft, also das Schutzniveau der Verschlüsselung der Rechnungsmail ausreichend gewesen wäre.
Verwendet wurde für den Versand eine Transportverschlüsselung per E-Mail. Bei dieser Verschlüsselungsmethode werden die Daten auf dem Weg zwischen Sender und Empfänger verschlüsselt. Dadurch ist der Übertragungsweg grundsätzlich abgesichert.
Sollte jedoch die Nachricht durch eine Kompromittierung bestimmter Systeme, wie z.B. der Server des Senders abgefangen werden, ist die Nachricht für Dritte im Klartext einsehbar und kann manipuliert werden.
Das Gericht verwies in seinem Urteil dagegen auf eine andere Methode, die „Ende-zu-Ende-Verschlüsselung“. Hier sind die Daten vom Absender bis zum Empfänger durchgehend verschlüsselt sodass auch der Server des Dienstanbieters die Kommunikation nicht entschlüsseln kann. Die Methode ist sicherer, in der Praxis jedoch auch mit höherem Aufwand verbunden, unter anderem, da Sender und Empfänger die zugehörigen Schlüssel benötigen. Grundsätzlich sollte sich daher der Einsatz der Ende-zu-Ende-Verschlüsslung an den Schutzbedarf der zu übermittelnden Informationen orientieren.