Recht & Politik

Nachrichten zu Recht, Justiz, Politik und Wirtschaft

OLG Schleswig

Keine Ende-zu-Ende-Verschlüsselung: Kunde muss manipulierte Rechnung nicht erneut zahlen

Avatar-Foto

ByJPD News

Feb. 7, 2025

Wenn eine per E-Mail versandte Werklohnrechnung gehackt und unbefugt verändert wird und der Kunde deshalb an einen unbekannten Dritten zahlt, muss er nicht noch einmal an den Werkunternehmer zahlen, wenn dieser die Rechnung ohne Ende-zu-Ende-Verschlüsselung versandt hat und deshalb gegen ihn ein Schadensersatzanspruch aus Art. 82 DSGVO besteht.

Zum Sachverhalt:
Die Klägerin verlangt von der Beklagten die erneute Zahlung ihrer Werklohnforderung, nachdem der Betrag wegen einer Manipulation der per E-Mail versandten Rechnung durch kriminell handelnde Dritte dem Konto eines Unbekannten gutgeschrieben wurde.

Die Klägerin betreibt ein Unternehmen für die Installation von Haustechnik. Sie führte für die Beklagte Installationsarbeiten durch und rechnete die erbrachten Leistungen ihr gegenüber in drei Abschlagsrechnungen ab. Diese wurden jeweils als Anlage zu einer E-Mail im pdf-Format übersandt. Die ersten zwei Abschlagsrechnungen beglich die Beklagte per Überweisung an die auf den Rechnungen angegebenen Bankverbindungen der Klägerin.
Die dritte Abschlagsrechnung über rund 15.000,00 €, welche zugleich die Schlussrechnung war, versandte die Klägerin ebenfalls als Anlage im pdf-Format per E-Mail. Diese Rechnung war jedoch auf ungeklärte Weise durch einen Dritten manipuliert worden, so dass die Beklagte den Rechnungsbetrag auf das Konto des unbekannten Dritten überwies. Auf dem Konto der Klägerin ging deshalb auf die Schlussrechnung keine Zahlung ein.
Das Landgericht hat die Beklagte deshalb zur erneuten Zahlung verurteilt, weil eine Erfüllung durch die Zahlung an den unbekannten Dritten nicht eingetreten ist. Es hat ausgeführt, dass die Klägerin auch keine vertragliche Nebenpflicht verletzt hat, so dass die Beklagte keinen Schadensersatzanspruch hat, den sie der Klageforderung gem. § 242 BGB entgegenhalten kann. Die Klägerin hat nach Auffassung des Landgerichts keine Pflichtverletzung begangen, weil die von ihr vorgetragenen Schutzvorkehrungen in Form einer Transportverschlüsselung per SMTP (Simple Mail Transfer Protocol) über TLS (Transport Layer Security) beim E-Mail-Verkehr mit Vertragspartnern ausreichend sind.
Der 12. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts hat auf die Berufung der Beklagten hin das Urteil des Landgerichts abgeändert und die Klage abgewiesen.

Aus den Gründen:
Der 12. Zivilsenat hat entschieden, dass die Zahlung der Beklagten an einen Dritten zwar keine Erfüllung der Forderung bei der Klägerin bewirkt. Im Gegensatz zum Landgericht hat es jedoch einen Schadensersatzanspruch der Beklagten bejaht, den diese der Werklohnforderung der Klägerin nach § 242 BGB entgegenhalten kann, so dass sie die Forderung nicht noch einmal bezahlen muss.
Dieser Schadensersatzanspruch ergibt sich nach der Entscheidung des Senats aus Art. 82 Abs. 2 DSGVO, weil die Klägerin im Zuge der Verarbeitung der personenbezogenen Daten der Beklagten bei Versand der streitgegenständlichen E-Mail mit Anhang gegen die Grundsätze der Art. 5, 24 und 32 DSGVO verstoßen hat. Der Senat hält die Transportverschlüsselung, die beim Versand der streitgegenständlichen E-Mail in Form von SMTP über TLS verwendet worden sein soll, nicht für ausreichend und damit auch nicht als zum Schutz der Daten „geeignet“ im Sinne der DSGVO.

Der Senat führt aus, dass heute jedem Unternehmen, das personenbezogene Daten seiner Kunden computertechnisch verarbeitet, bewusst sein muss, dass der Schutz dieser Daten hohe Priorität ‒ auch beim Versenden von E-Mails ‒ genießt. Unternehmen müssen diesen Schutz durch entsprechende Maßnahmen so weit wie möglich gewährleisten.

Gerade bei sensiblen oder persönlichen Inhalten ist nach der Entscheidung des Senats nur eine Ende-zu-Ende-Verschlüsselung zum Schutz im Sinne der DSGVO geeignet, wenn ein hohes finanzielles Risiko durch Verfälschung der angehängten Rechnung für den Kunden besteht. Dass Kunden von Unternehmen bei einem Datenhacking Vermögenseinbußen drohen, ist ein Risiko, das dem Versand von Rechnungen per E-Mail immanent ist und deshalb eine entsprechende Voraussicht und ein proaktives Handeln erfordert. Der dafür erforderliche technische und finanzielle Aufwand kann auch von einem mittelständischen Handwerksbetrieb erwartet werden, wenn es seine Rechnungen nicht per Post versendet.

(Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 18.12.2024, Aktenzeichen 12 U 9/24, vorgehend Landgericht Kiel, Aktenzeichen 9 O 110/23)

OLG Schleswig-Holstein, 07.02.2025

Cookie Consent mit Real Cookie Banner