Risiko Rechnungsversand per E-Mail

von Tobias

Eine teure Lehrstunde zum Thema Datenschutz musste ein Handwerksbetrieb erfahren. Passiert war folgendes:

Nach getaner Arbeit sandte das Unternehmen eine Rechnung per E-Mail an seinen Kunden. Diese wurde jedoch abgefangen und die auf der Rechnung angegebene Bankverbindung verändert.

Der private Kunde überwies daraufhin eine Zahlung in Höhe von über 15.000 Euro nicht auf das Konto des Handwerkbetriebs, sondern an einen unbekannten Dritten.

Der Handwerksbetrieb forderte nach einer gewissen Zeit die Begleichung der aus seiner Sicht noch offenen Forderung. Der Kunde verweigerte dies mit der Begründung, er habe den Rechnungsbetrag bereits gezahlt und die unzureichend geschützte E-Mail sei in der Verantwortung des Unternehmens. Letztlich klagte der Betrieb auf die Zahlung der noch offenen Forderung.

Neben der Klärung, ob der Anspruch besteht, ging es hier nun auch um die Frage, ob die vom Unternehmen verwendete Transportverschlüsselung einen geeigneten Schutz darstellt.

Wie entschied das Gericht?

Das OLG Schleswig-Holstein ging im Urteil vom 18.12.2024 (12 U 9/24) nun auf beide Punkte ein.

Die falsche Überweisung entbindet den Kunden grundsätzlich nicht von der Zahlungspflicht. Der ursprüngliche Anspruch besteht weiterhin. Gleichzeitig steht dem Kunden jedoch ein Schadensersatzanspruch in Höhe der Fehlüberweisung gegenüber dem Betrieb zu.

Dieser Anspruch stützt sich auf den Art. 82 Abs.1 DSGVO. Konkret verweist das Gericht auf Verstöße gegen die Grundsätze der Verarbeitung personenbezogener Daten (Art. 5 DSGVO) in Zusammenhang mit der Sicherheit der Verarbeitung (Art. 32 DSGVO) für deren Einhaltung der Betrieb verantwortlich ist.

Das Unternehmen hätte diesen Gegenanspruch abwehren können, wenn nachweisbar gewesen wäre, dass es keine Verantwortung für den eingetretenen Schadensfalls trifft, also das Schutzniveau der Verschlüsselung der Rechnungsmail ausreichend gewesen wäre.

Verwendet wurde für den Versand eine Transportverschlüsselung per E-Mail. Bei dieser Verschlüsselungsmethode werden die Daten auf dem Weg zwischen Sender und Empfänger verschlüsselt. Dadurch ist der Übertragungsweg grundsätzlich abgesichert.
Sollte jedoch die Nachricht durch eine Kompromittierung bestimmter Systeme, wie z.B. der Server des Senders abgefangen werden, ist die Nachricht für Dritte im Klartext einsehbar und kann manipuliert werden.

Das Gericht verwies in seinem Urteil dagegen auf eine andere Methode, die „Ende-zu-Ende-Verschlüsselung“. Hier sind die Daten vom Absender bis zum Empfänger durchgehend verschlüsselt sodass auch der Server des Dienstanbieters die Kommunikation nicht entschlüsseln kann. Die Methode ist sicherer, in der Praxis jedoch auch mit höherem Aufwand verbunden, unter anderem, da Sender und Empfänger die zugehörigen Schlüssel benötigen. Grundsätzlich sollte sich daher der Einsatz der Ende-zu-Ende-Verschlüsslung an den Schutzbedarf der zu übermittelnden Informationen orientieren.

Ergibt sich aus dem Urteil nun eine generelle Pflicht zur Ende-zu-Ende-Verschlüsselung für Unternehmen?

Nein, es kommt auch weiter auf den individuellen Sachverhalt an. Grundsätzlich sind nach Art. 32 DSGVO immer die im Verhältnis zum konkreten Risiko angemessenen Sicherheitsmaßnahmen zu treffen. Jedoch zeigt dieser Fall erneut das hohe wirtschaftliche Risiko, das sich aus dieser aktuellen Thematik ergibt. Denn Fälle wie dieser werden in Zukunft mit steigenden technischen Mitteln zur Normalität werden.

Eine weitere Pflicht der DSGVO ist die zur regelmäßigen Überprüfung der eigenen Sicherheitsmaßnahmen. Auch kleine und mittlere Unternehmen geraten, wie das Beispiel zeigt, zunehmend in den Fokus von Hackern und Schadensfälle wie dieser können einen Betrieb schnell in wirtschaftliche Bedrängnis bringen.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

Tobias

Als Wirtschaftsjurist mit dem Titel Bachelor of Laws und zertifizierter Datenschutzbeauftragter (DSB-TÜV) bringt Tobias wertvolle Expertise in unser Team. Mit seinen 6 Jahren Erfahrung in einer Anwaltskanzlei, darunter auch als interner Datenschutzbeauftragter, ist er bestens gerüstet, um unsere Kunden in allen Fragen rund um den Datenschutz kompetent zu unterstützen.

Tobias hat Wirtschaftsrecht an der Hochschule Hof studiert und zeigt sich durch seine vielseitigen Interessen besonders engagiert. Sein Auslandssemester in Vilnius hat ihm nicht nur neue Perspektiven eröffnet, sondern auch Litauisch-Kenntnisse vermittelt.