Neue Anforderungen an die E-Mail-Verschlüsselung bei Rechnungsversand

OLG Schleswig-Holstein verschärft Datenschutzstandards

Das Oberlandesgericht Schleswig-Holstein hat mit seinem Urteil vom 18.12.2024 (Az. 12 U 9/24) die Anforderungen an die Datensicherheit bei der elektronischen Übermittlung von Rechnungen verschärft.

Der Sachverhalt

In dem gegenständlichen (deutschen) Fall hatte ein Handwerksbetrieb (Klägerin) eine Schlussrechnung per E-Mail an eine Privatkundin (Beklagte) versandt. Die E-Mail mit der als PDF angehängten Rechnung wurde jedoch von einem unbekannten Dritten abgefangen und manipuliert – insbesondere wurde die Bankverbindung geändert. Die Kundin überwies daraufhin den Rechnungsbetrag (ca 15.000 €) auf das falsche Konto. Als der Handwerksbetrieb die ausbleibende Zahlung bemerkte, forderte er die erneute Zahlung von der Kundin.

Das Landgericht Kiel hatte zunächst dem Handwerksbetrieb recht gegeben. Das OLG Schleswig-Holstein hob diese Entscheidung jedoch auf und wies die Klage ab.

Rechtliche Beurteilung

Das Gericht stellte zunächst klar, dass die Zahlung auf ein falsches Konto nicht zur Erfüllung der Zahlungsverpflichtung führt. Allerdings bejahte das OLG einen Schadenersatzanspruch der Kundin nach Art 82 Datenschutzgrundverordnung (DSGVO) gegen den Handwerksbetrieb.

Kernpunkt der Entscheidung ist die Feststellung, dass der Handwerksbetrieb gegen seine Pflichten nach Art 5, 25 und 32 DSGVO verstoßen hat, indem er keine ausreichenden technischen Schutzmaßnahmen beim E-Mail-Versand implementiert hatte.

Das Gericht setzte sich dabei intensiv mit den Anforderungen des Art 32 DSGVO an geeignete technische und organisatorische Maßnahmen auseinander und kam zu dem Schluss:

„Nach Ansicht des Senats ist […] eine reine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.“

Beweislastumkehr zugunsten des Kunden

Bedeutsam ist auch die vom Gericht vorgenommene Beweislastverteilung. Gemäß Art 82 Abs 3 DSGVO muss der Verantwortliche (hier: Handwerksbetrieb) beweisen, dass er „in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist“. Dies gelang dem Handwerksbetrieb nicht.

Das Gericht führte aus, dass bei einer nur mit Transportverschlüsselung geschützten E-Mail ein Zugriff durch unbefugte Dritte an verschiedenen Stellen möglich ist. Den Nachweis, dass der Zugriff nicht in seiner Sphäre erfolgte, hatte der Handwerksbetrieb nicht erbracht.

Praxisfolgen

Das OLG Schleswig-Holstein hat die Revision zugelassen, da die Frage des erforderlichen Schutzniveaus beim Versand geschäftlicher E-Mails mit personenbezogenen Daten höchstrichterlich noch nicht geklärt ist. Es bleibt also abzuwarten, ob der Bundesgerichtshof die strengen Anforderungen des OLG Schleswig-Holstein bestätigen wird.

Bis dahin sind Unternehmen jedoch gut beraten, ihre E-Mail-Verschlüsselungspraxis kritisch zu überprüfen und gegebenenfalls auf eine Ende-zu-Ende-Verschlüsselung oder alternative Übermittlungswege umzustellen, um Risiken zu vermeiden.

Sollten Sie Fragen haben, steht Ihnen das KWR-Datenschutzteam gern zur Verfügung.

Ihr Kontakt


Diese Website verwendet Cookies

Damit wir Ihnen während des Aufenthaltes auf unserer Website das bestmögliche Erlebnis bieten können, verwenden wir verschiedene Arten von Cookies. Bitte wählen Sie aus, welche Arten von Cookies Sie zulassen möchten und klicken Sie dann auf "Zustimmen". Mit dem Klick auf "Allen zustimmen" erklären Sie sich mit der Verwendung sämtlicher Cookies einverstanden. Ihre Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Einstellungen ändern. Mehr zum Thema Cookies finden Sie unter: Cookie-Policy. Weitere Informationen zum Thema Datenschutz finden Sie unter: Datenschutz.

Impressum

Betriebsnotwendige und
funktionale Cookies
Statistik-Cookies


Weitere Informationen