IT-Sicherheitsmaßnahmen beim E-Mail-Versand von Rechnungen
Das OLG Schleswig hat in einem Urteil vom 18.12.2024 festgestellt, dass die Anforderungen der DSGVO nicht nur große Technologieunternehmen, sondern auch Handwerker, Bauunternehmer und alle anderen B2C-Wirtschaftsakteure betreffen. Insbesondere bei hohen finanziellen Risiken hält das Gericht eine Ende-zu-Ende-Verschlüsselung der E-Mail-Korrespondenz für erforderlich.
Die Klägerin, ein Heizungsbauer, hatte einem privaten Auftraggeber per E-Mail eine Schlussrechnung über ca. 15.000,00 € zugesandt. Diese Rechnung wurde jedoch auf dem Versandweg manipuliert. Der Privatkunde erkannte die Manipulation nicht und leistete die Zahlung auf das von den Tätern angegebene Konto. Später forderte der Heizungsbauer den Rechnungsbetrag erneut bei seinem Kunden ein. Der Kunde lehnte dies jedoch mit der Begründung ab, dass die Rechnung ungeschützt per E-Mail versandt worden und ihm dadurch ein Schaden entstanden sei. Ihm stände daher ein Schadensersatzanspruch in gleicher Höhe zu.
Das OLG Schleswig hat im Ergebnis dem Kunden des Heizungsbauers Recht gegeben. Zwar führe die Zahlung auf das Konto des unbekannten Dritten nicht zur Erfüllung der Zahlungspflicht, allerdings stehe dem Kunden ein Schadensersatzanspruch aus Art. 82 Abs. 1 DSGVO in Höhe der Überweisung zu, da (jedenfalls angesichts des hohen Rechnungsbetrags) eine Ende-zu-Ende-Verschlüsselung erforderlich gewesen sei. Der Heizungsbauer war nach Art. 32 DSGVO verpflichtet, geeignete technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung zu treffen. Zwar enthalte die DSGVO keine konkreten Vorgaben, wann und in welchem Umfang eine Verschlüsselung erforderlich sei, es gelte aber der Grundsatz: Je höher das potenzielle Risiko für die Betroffenen, desto strenger müssten die Schutzmaßnahmen sein. Das Gericht ging hier angesichts der Höhe des Rechnungsbetrages und der möglichen wirtschaftlichen Folgen einer möglichen Manipulation von einem hohen Risiko aus. Daher hätte eine Ende-zu-Ende-Verschlüsselung als zusätzliche Sicherheitsmaßnahme eingesetzt werden müssen. Der Heizungsbauer hätte aber die Rechnung nur mit einfacher E-Mail versandt und damit gegen seine Verpflichtungen aus der DSGVO verstoßen.
Praxishinweis:
Es bleibt abzuwarten, ob die Entscheidung des OLG Schleswig auch von anderen Oberlandesgerichten geteilt wird bzw. sich möglicherweise zu dieser Frage der Bundesgerichtshof oder auch der EuGH äußert. In jedem Falle gilt für die Beratungspraxis, dass in einem solchen Fall der Unternehmer gut beraten ist, eine außergerichtliche Lösung mit seinem Kunden zu suchen. Anderenfalls ist nicht auszuschließen, dass auch andere Gerichte der Ansicht des OLG Schleswig folgen und der Unternehmer dann keinerlei Vergütung erhält. Es bleibt natürlich als sicherer Weg neben der Ende-zu-Ende-Verschlüsselung (die in der Regel aber insbesondere bei Privatkunden unpraktikabel sein dürfte) die Möglichkeit, die Rechnung auf dem postalischen Wege (so wie in guten alten Zeiten) zu versenden.