Das Oberlandesgericht Schleswig-Holstein hat mit seinem Urteil vom 18.12.2024 (Az. 12 U 9/24) die Anforderungen an die Datensicherheit bei der elektronischen Übermittlung von Rechnungen verschärft.
Der Sachverhalt
In dem gegenständlichen (deutschen) Fall hatte ein Handwerksbetrieb (Klägerin) eine Schlussrechnung per E-Mail an eine Privatkundin (Beklagte) versandt. Die E-Mail mit der als PDF angehängten Rechnung wurde jedoch von einem unbekannten Dritten abgefangen und manipuliert – insbesondere wurde die Bankverbindung geändert. Die Kundin überwies daraufhin den Rechnungsbetrag (ca 15.000 €) auf das falsche Konto. Als der Handwerksbetrieb die ausbleibende Zahlung bemerkte, forderte er die erneute Zahlung von der Kundin.
Das Landgericht Kiel hatte zunächst dem Handwerksbetrieb recht gegeben. Das OLG Schleswig-Holstein hob diese Entscheidung jedoch auf und wies die Klage ab.
Rechtliche Beurteilung
Das Gericht stellte zunächst klar, dass die Zahlung auf ein falsches Konto nicht zur Erfüllung der Zahlungsverpflichtung führt. Allerdings bejahte das OLG einen Schadenersatzanspruch der Kundin nach Art 82 Datenschutzgrundverordnung (DSGVO) gegen den Handwerksbetrieb.
Kernpunkt der Entscheidung ist die Feststellung, dass der Handwerksbetrieb gegen seine Pflichten nach Art 5, 25 und 32 DSGVO verstoßen hat, indem er keine ausreichenden technischen Schutzmaßnahmen beim E-Mail-Versand implementiert hatte.
Das Gericht setzte sich dabei intensiv mit den Anforderungen des Art 32 DSGVO an geeignete technische und organisatorische Maßnahmen auseinander und kam zu dem Schluss:
„Nach Ansicht des Senats ist […] eine reine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.“
Beweislastumkehr zugunsten des Kunden
Bedeutsam ist auch die vom Gericht vorgenommene Beweislastverteilung. Gemäß Art 82 Abs 3 DSGVO muss der Verantwortliche (hier: Handwerksbetrieb) beweisen, dass er „in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist“. Dies gelang dem Handwerksbetrieb nicht.
Das Gericht führte aus, dass bei einer nur mit Transportverschlüsselung geschützten E-Mail ein Zugriff durch unbefugte Dritte an verschiedenen Stellen möglich ist. Den Nachweis, dass der Zugriff nicht in seiner Sphäre erfolgte, hatte der Handwerksbetrieb nicht erbracht.
Praxisfolgen
Das OLG Schleswig-Holstein hat die Revision zugelassen, da die Frage des erforderlichen Schutzniveaus beim Versand geschäftlicher E-Mails mit personenbezogenen Daten höchstrichterlich noch nicht geklärt ist. Es bleibt also abzuwarten, ob der Bundesgerichtshof die strengen Anforderungen des OLG Schleswig-Holstein bestätigen wird.
Bis dahin sind Unternehmen jedoch gut beraten, ihre E-Mail-Verschlüsselungspraxis kritisch zu überprüfen und gegebenenfalls auf eine Ende-zu-Ende-Verschlüsselung oder alternative Übermittlungswege umzustellen, um Risiken zu vermeiden.
Sollten Sie Fragen haben, steht Ihnen das KWR-Datenschutzteam gern zur Verfügung.