Update Datenschutz Nr. 156
OLG Karlsruhe: Hacker manipuliert E-Mail-Rechnung – Muss ein zweites Mal gezahlt werden?
OLG Karlsruhe, Urteil vom 27.07.2023 – 19 U 83/22
Ein Hacker manipuliert eine Rechnung, die per E-Mail versendet wird. Das Opfer überweist Geld auf das Konto des Hackers. Ein heutzutage fast alltäglicher Fall – doch muss das Opfer ein zweites Mal zahlen? Kommt es darauf an, wie der Rechnungssteller sein E-Mail-Postfach oder die versendete E-Mail gesichert hat? Welche Anforderungen sind an die Absicherung von E-Mail-Konten bzw. E-Mails zu stellen? Kommt es dabei auch auf Art. 32 DSGVO an, weil E-Mails und Rechnungen notwendigerweise personenbezogene Daten beinhalten? Mit diesen Fragen befasste sich das OLG Karlsruhe in einem aktuellen Fall.
Der Sachverhalt
Nach Übergabe des Fahrzeugs versandte der Autohändler die Rechnung auf Wunsch des Käufers an dessen geschäftliches E-Mail-Postfach. Im Kopfbereich der Rechnung sowie in deren Fußzeile war ein Konto des Autohändlers bei einer Sparkasse angegeben. Zwei Minuten nach Versand dieser E-Mail erhielt der Käufer eine weitere E-Mail vom E-Mail-Konto des Autohändlers mit einer neuen Rechnung im Anhang. In der Fußzeile dieser E-Mail war ein anderes Empfängerkonto – bei einer anderen Bank – angegeben. Dieses Bankkonto stand in keinem Zusammenhang mit dem Autohändler, sondern mit einem deliktisch handelnden Hacker. Der Käufer überwies den Kaufpreis i. H. v. EUR 13.500 auf das Konto des unberechtigten Dritten. Erst im Nachgang stellte sich heraus, dass die zweite E-Mail aufgrund eines Hackerangriffs von einer unbefugten dritten Person versandt wurde.
Wie war das E-Mail-Konto des Autohändlers geschützt?
Das E-Mail-Konto des Autohändlers wurde von einem externen Anbieter zur Verfügung gestellt. Es war mit einem neunstelligen Passwort – bestehend aus Buchstaben und Zahlen – geschützt. Dieses war nur zwei Personen im Betrieb bekannt und wurde alle zwei bis vier Wochen geändert. Computer und Software des Autohändlers waren über die Windows Firewall geschützt, die regelmäßig aktualisiert wurde. Darüber hinaus waren Computer und Software über die Vollversion einer Internet-Security-Software geschützt. Eine grundsätzlich mögliche Zwei-Faktor-Authentifizierung für den Zugang zum E-Mail-Konto war nicht eingerichtet.
Leider enthält das Urteil einige Sachverhaltslücken, z. B. hinsichtlich der Frage, welchen E-Mail-Anbieter und welche Internet-Security-Software durch den Autohändler verwendete wurde. Zumindest wurde in der zweiten Instanz klargestellt, dass der E-Mail-Anbieter des Autohändlers eine Transportverschlüsselung auf Basis des SSL/TLS-Protokoll bereitstellt.
Vorinstanz stützte sich auf Datenschutzrecht
Die Vorinstanz (LG Mosbach, Urteil vom 24.05.2022 – 1 O 271/21) ging davon aus, dass die Kaufpreiszahlungspflicht gemäß § 362 Abs. 1 BGB erfüllt wurde, da der Autohändler sein E-Mail-Konto nicht gemäß Art. 32 DSGVO abgesichert hatte. Hierbei stützte sich das LG insbesondere darauf, dass die Möglichkeit des Hackers auf die personenbezogenen Daten (E-Mail-Adresse) des Geschäftsführers der Beklagten zuzugreifen, eine Verletzung des Art. 5 Abs. 1a Var. 1 DSGVO i.V.m. Art. 6 Abs. 1 DSGVO darstellte. Art. 5 und 6 DSGVO wiederum seien Schutzgesetze im Sinne des § 823 Absatz 2 BGB. Da die von der Klägerin getroffenen Schutzvorkehrungen folglich nicht ausreichend waren, muss sich die Klägerin den unbefugten Zugriff des Dritten in Bezug auf die unerlaubte Handlung zurechnen lassen.
Zu der Frage, welche Anforderungen an den Schutz von Unternehmen vor Cyberangriffen zu stellen sind, führte das LG zunächst aus, dass dies in der Rechtsprechung noch nicht erörtert worden sei. Es existiere allerdings mit der Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ des „Arbeitskreises technische und organisatorische Datenschutzfragen“ der Konferenz der Datenschutzaufsichtsbehörden („DSK“). Ohne nähere Begründung nahm das LG mit Verweis auf diese Orientierungshilfe an, dass „um eine ausreichende Sicherheit beim Versand von E-Mails zu gewährleisten […] eine Verschlüsselung in der Form der Ende-zu-Ende Verschlüsselung oder der Transportverschlüsselung notwendig“ sei.
Da die Beklagte überdies nach Auffassung des LG gemäß § 370 BGB analog nicht verpflichtet sei, Nachforschungen zu den angegebenen Kontoinhabern oder der Bank anzustrengen, nahm das LG an, dass die Zahlungspflicht infolge Erfüllung, § 364 BGB, erloschen sei.
OLG Karlsruhe: Kein Personenbezug?
Das OLG Karlsruhe gab der Berufung der Klägerin statt. Zur Begründung führte das OLG aus: Die Orientierungshilfe der DSK spiele keine Rolle, da im Streitfall keine personenbezogenen Daten betroffen seien.
Das überrascht zunächst, da es sich zumindest bei den Namen des Mitarbeiters des Autohändlers und bei dem Namen des Mitarbeiters des Käufers um personenbezogene Daten handeln muss. Typischerweise werden auch berufliche E-Mail-Konten, die einen Namen beinhalten (nach dem Schema Vorname.Nachname@Firma.de) als personenbezogen angesehen.
Das OLG hat das Thema nur in wenigen kurzen Sätzen behandelt und nicht vertieft argumentiert. Vermutlich ist das OLG auf den zweiten Blick eher so zu verstehen: Es mag zwar sein, dass die E-Mails und die Rechnungen personenbezogene Daten enthielten, aber für die Rechtsfrage der Erfüllung einer Geldforderung spielt es keine Rolle, ob im Rahmen der Rechnungsstellung, dem Rechnungsversand und der Zahlung die Vorschriften der DSGVO eingehalten wurden. Daher kann, so ist das OLG wohl zu verstehen, ein Verstoß gegen Art. 32 DSGVO auch keine Auswirkung auf die rein zivilrechtliche Frage der ausreichenden Sorgfalt bei geschäftlichen E-Mails haben.
OLG Karlsruhe: Keine Erfüllung und kein Schadensersatzanspruch des zahlenden Kunden
Laut OLG Karlsruhe trat durch die Zahlung auf das Konto des Hackers keine Erfüllung ein. Dem Käufer steht zudem kein Schadensersatzanspruch in Höhe der gezahlten Summe gegen den Verkäufer zu. Zumindest prüfte das OLG aber, ob ein solcher Schadensersatzanspruch aus der Verletzung einer vertraglichen Nebenpflicht herrühren könne. Das Autohaus war gemäß § 241 Abs. 2 BGB verpflichtet, sich „bei der Abwicklung des Schuldverhältnisses so zu verhalten, dass Person, Eigentum und sonstige Rechtsgüter – auch das Vermögen – des anderen Teils nicht verletzt werden“. Der Käufer argumentierte, dass ein Anscheinsbeweis dafürspreche, dass das Hacking durch mangelnde Sicherheitsmaßnahmen des Autohauses ermöglicht wurde. Insbesondere eine Ende-zu-Ende Verschlüsselung oder eine Transportverschlüsselung hätten das Hacking verhindert. Der Käufer macht sinngemäß geltend, die Verwendung der genannten Verfahren sei im Geschäftsverkehr zwischen Unternehmen – wie den Parteien des Rechtsstreits – üblich und zu erwarten.
OLG Karlsruhe: Keine Verpflichtung zu einer Ende-zu-Ende-Verschlüsselung
Das OLG Karlsruhe stellt fest, dass keine gesetzlichen Vorgaben zur Verschlüsselung von E-Mails im Geschäftsverkehr existieren. Insoweit gelte: „Welches Maß an Sicherheitsvorkehrungen von der Klägerin zu fordern war, bestimmt sich daher nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit“. Mit dieser Perspektive prüft das OLG nun, welche berechtigten Sicherheitserwartungen der Rechtsverkehr aufgrund verschiedener Sicherheitsstandards haben dürfte:
- Zunächst bestehe im geschäftlichen Verkehr keine Pflicht zur Nutzung des Sender Policy Frameworks. Dies beschreibt ein Verfahren, mit dem geprüft werden kann, ob der sendende E-Mail-Server berechtigt ist, für die Domäne E-Mails zu versenden. Endnutzer wie der Autohändler, die selbst keinen E-Mail-Server betreiben, haben jedoch auf die Verwendung des Verfahrens keinen Einfluss, so dass dahingehend auch keine Sicherheitserwartung des Käufers bestehen könne.
- Ferner müssten versendete PDF-Dokumente – wozu auch die der Entscheidung zugrundeliegende Rechnung zählt – nicht mit einem Passwort geschützt oder verschlüsselt werden. Ein entsprechender Schutz sei im Geschäftsverkehr nur zu erwarten, wenn besonders sensible Daten wie Betriebs- oder Geschäftsgeheimnisse ausgetauscht werden. Dies sei bei einer bloßen Kaufpreisrechnung nicht der Fall. Zudem argumentierte das OLG: Der Käufer hat bei Erhalt erkannt, dass die Rechnungsdateien nicht verschlüsselt waren. „Bereits dieser Umstand, dass erkennbar eine derartige Sicherheitsmaßnahme nicht getroffen war, steht der Annahme einer insoweit vorliegenden Pflichtverletzung der Klägerin entgegen“.
- Schließlich sei – entgegen den Ausführungen der Vorinstanz – auch keine Verschlüsselung in Form der Ende-zu-Ende-Verschlüsselung vorzunehmen. Eine solche Verschlüsselung sei im geschäftlichen Verkehr nicht erwartbar. Zwar werde sie vom Bundesamt für Sicherheit in der Informationstechnik („BSI“), allerdings sei auch dem BSI bewusst, dass diese nur sehr selten eingesetzt werde, was einer allgemeinen Sicherheitserwartung entgegenstehe.
- Schließlich lägen auch keine sonstigen Pflichtverletzungen des Autohauses bezüglich des Schutzes seines E-Mail-Postfachs vor. Dies ergebe sich insbesondere aus dem verwendeten Passwort für das E-Mail-Konto und dem nur begrenzten Personenkreis, der von dem Passwort Kenntnis hatte. Ferner sei das Passwort in hinreichenden Intervallen geändert worden und das Autohaus habe stets aktuelle Versionen von Virensoftware und Firewall genutzt
Praxishinweis
Das Urteil wird in den kommenden Jahren wohl häufig als Argumentationsgrundlage herangezogen werden: Unternehmen müssen im geschäftlichen E-Mail-Verkehr nicht jede denkbare Sicherheitsmaßnahme treffen. Es ist ausreichend, wenn die erwartbaren und im Verkehr zumutbaren Sicherheitsmaßnahmen getroffen werden. Es kommt nicht auf den Stand der Technik und auf die Empfehlungen des BSI an, sondern allein auf das Maß an IT-Sicherheit an, welches der Verkehr erwartet. Dies ist häufig viel weniger, als das, was in Orientierungshilfen der Aufsichtsbehörden und internationalen Sicherheitsstandards formuliert wird.
Gleichwohl beginnt die Rechtsprechung des IT-Sicherheitsrechts gerade erst ihre Entwicklung. Es ist zu erwarten, dass in den kommenden Jahren zur Thematik noch viele weitere Urteile ergehen werden, häufig wohl auch mit abweichenden Bewertungen. Dies dürfte z. B. auch die Frage betreffen, ob für rein zivilrechtliche Fragen die Anforderungen der DSK an TOMs gemäß Art. 32 DSGVO relevant sind.
Interessant dürfte insofern insbesondere die Frage werden, ob ein Schaden auch dann kausal ist, wenn eine TLS-Verschlüsselung den angemessenen Erwartungen des Verkehrs entspräche, aber nicht umgesetzt wurde, während zeitgleich nicht aufgeklärt werden kann, woher ein Hacker die E-Mail-Daten, die er manipuliert, erlangt hat. Denn in diesem Fall dürfte insbesondere der Umstand, dass eine TLS-Verschlüsselung nur die Verbindungen zwischen den einzelnen Knotenpunkten in der Versendungskette verschlüsselt, die E-Mail an den Knotenpunkten jedoch nicht zwangsläufig verschlüsselt sein muss, enorme Anforderungen an die Darlegungs- und Beweislast stellen.