Zurück zur Übersicht
05.03.2025Fachbeitrag

Update Datenschutz Nr. 201

Schadensersatz für unsicheren Rechnungsversand – OLG Schleswig-Holstein setzt hohe Maßstäbe für die Datensicherheit

Mit Urteil vom 18. Dezember 2024 (Az. 12 U 9/24) hat das Oberlandesgericht Schleswig-Holstein entschieden, dass ein Handwerksbetrieb nicht erneut eine Zahlung verlangen kann, wenn eine Rechnung ohne ausreichende Sicherheitsmaßnahmen per E-Mail versandt wurde und daraufhin manipuliert worden ist.

Das Urteil setzt neue Maßstäbe für die datenschutzrechtlichen Anforderungen an den digitalen Geschäftsverkehr und könnte erhebliche praktische Konsequenzen für Unternehmen nach sich ziehen.

Der Sachverhalt: Rechnungsbetrug durch manipulierte E-Mail

Ein Handwerksunternehmen stellte einer privaten Auftraggeberin eine Schlussrechnung in Höhe von 15.000 € aus. Diese wurde als PDF-Anhang per E-Mail übermittelt. Unbekannte Dritte fingen die E-Mail auf dem Übertragungsweg ab, manipulierten die in dem PDF aufgeführten Kontodaten und leiteten sie an die Beklagte weiter.Die Auftraggeberin beglich daraufhin die Rechnung, allerdings nicht auf das Konto des Unternehmens, sondern auf das manipulierte Konto der Betrüger. Als das Handwerksunternehmen daraufhin die erneute Zahlung forderte, verweigerte die Kundin diese mit der Begründung, dass die ungesicherte Übermittlung der Rechnung per E-Mail fahrlässig gewesen sei und sie dadurch einen Schaden erlitten habe.

Das Landgericht hatte zunächst zugunsten des Unternehmens entschieden. Das OLG Schleswig-Holstein revidierte jedoch die Entscheidung und stellte fest, dass der Beklagten ein Schadensersatzanspruch aus Art. 82 DSGVO zusteht, der der Werklohnforderung entgegengehalten werden kann.

Unsichere Übermittlung – Verstoß gegen die DSGVO

Das Gericht stellte fest, dass das Unternehmen mit der unverschlüsselten Übermittlung der Rechnung gegen die Grundsätze der Datenschutz-Grundverordnung (DSGVO) verstoßen hat.

Insbesondere relevante Vorschriften:

  • Art. 5 Abs. 1 lit. f DSGVO: Unternehmen müssen personenbezogene Daten sicher verarbeiten.
  • Art. 24 DSGVO: Verantwortliche müssen geeignete technische und organisatorische Maßnahmen zum Schutz der Daten ergreifen.
  • Art. 32 DSGVO: Der Verantwortliche hat das Sicherheitsniveau an das bestehende Risiko anzupassen.

Nach Auffassung des OLG war die vom Unternehmen verwendete Transportverschlüsselung (TLS) unzureichend, um den Schutz der personenbezogenen Daten zu gewährleisten. Ende-zu-Ende-Verschlüsselung sei erforderlich gewesen, um eine unbefugte Manipulation der Rechnung zu verhindern.

Da das Unternehmen diesen Schutz nicht gewährleistet hatte, sah das OLG Schleswig-Holstein eine schuldhafte und rechtswidrige Verarbeitung personenbezogener Daten und bejahte daher einen Schadensersatzanspruch aus Art. 82 DSGVO der Beklagten.

Welche Bedeutung hat das Urteil für die Praxis?

Sollte das Urteil Bestand haben, führt es zu einer deutlichen Verschärfung der Anforderungen an den sicheren Rechnungsversand per E-Mail.

1. Unternehmen haften für unzureichend geschützte Rechnungen

Das Urteil verdeutlicht, dass Unternehmen für unsichere Datenübermittlungen haften, wenn daraus ein finanzieller Schaden für den Kunden entsteht. Unternehmen müssen daher sicherstellen, dass technische Schutzmaßnahmen den Anforderungen der DSGVO entsprechen.

2. Ende-zu-Ende-Verschlüsselung als neue Mindestanforderung?

Bislang galt die Transportverschlüsselung (TLS) im Geschäftsverkehr als ausreichend. Das OLG Schleswig-Holstein geht jedoch über diese Praxis hinaus und sieht bei sicherheitskritischen Dokumenten wie Rechnungen eine Ende-zu-Ende-Verschlüsselung als notwendig an.

Diese Auffassung widerspricht jedoch der bisherigen Rechtsprechung, insbesondere einem Urteil des OLG Karlsruhe (Az. 19 U 83/22), das entschied, dass eine Ende-zu-Ende-Verschlüsselung für den Versand von Rechnungen nicht erforderlich sei.

Auch die Datenschutzkonferenz (DSK) hat in ihrer Orientierungshilfe vom 16. Juni 2021 erklärt, dass eine Transportverschlüsselung grundsätzlich ausreichend sei, solange keine besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO betroffen sind.

Das Urteil bezeichnet die Ende-zu-Ende-Verschlüsselung auch nicht als einzig mögliche Maßnahme. Denkbar wäre auch eine Sicherung der PDF durch elektronische Signaturen oder ähnliches.

3. Neue Risiken für Schadensersatzklagen

Außerdem könnte das Urteil zu einer Zunahme von Schadensersatzforderungen nach Art. 82 DSGVO führen. Kunden, die Opfer von Rechnungsbetrug werden, könnten sich verstärkt auf dieses Urteil berufen, um eine erneute Zahlungspflicht abzulehnen.

Zudem stellt sich die Frage, ob sich „professionelle“ Kläger auf dieses Urteil stützen könnten, um Schadensersatzforderungen bei unsicheren Rechnungsübertragungen geltend zu machen.

Was müssen Unternehmen jetzt tun?

Das Urteil macht deutlich: Unternehmen müssen ihre internen Sicherheitsmaßnahmen überprüfen und gegebenenfalls anpassen, um Schadensersatzansprüche und rechtliche Risiken zu vermeiden.

Dringend empfohlene Maßnahmen:

  • Sichere E-Mail-Verschlüsselung implementieren: Maßnahmen gegenüber Manipulationen von Inhalten sollten geprüft und eingeführt werden.
  • Digitale Signaturen nutzen: Diese helfen, die Authentizität von Rechnungen zu gewährleisten.
  • Alternative Übertragungswege erwägen: Der Versand über gesicherte Kundenportale oder per Post kann eine sicherere Alternative darstellen.
  • Bankverbindungen verifizieren: Neue Kontodaten sollten über einen zweiten Kommunikationskanal (z. B. telefonisch oder per Brief) bestätigt werden.
  • Kunden über Sicherheitsmaßnahmen informieren: Unternehmen sollten Kunden aktiv darauf hinweisen, dass sie Rechnungen auf Fälschungen überprüfen und Bankverbindungen bestätigen sollten.

Fazit: Mehr Verantwortung für Unternehmen im digitalen Geschäftsverkehr

Das Urteil des OLG Schleswig-Holstein setzt ein klares Zeichen für höhere Sicherheitsanforderungen beim digitalen Rechnungsversand.

Unternehmen müssen nun sicherstellen, dass ihre IT-Sicherheitsmaßnahmen den gestiegenen Anforderungen entsprechen. Andernfalls drohen nicht nur Bußgelder, sondern auch Schadensersatzforderungen, die sich auf dieses Urteil stützen könnten.

Als PDF herunterladen
Als PDF herunterladen

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf

Ansprechpartner

Dr. Philip Kempermann, LL.M.
Düsseldorf

Weitere Artikel

06.03.2025
EU-Verordnung über den europäischen Gesundheitsdatenraum (EHDS) veröffentlicht
25.02.2025
Der Data Act: Chancen und Herausforderungen für Unternehmen
19.02.2025
EDSA-Leitlinien zur Pseudonymisierung: Ein Leitfaden für den datenschutzkonformen Umgang mit personenbezogenen Daten
28.01.2025
Schadensersatz für unsichere Datentransfers
03.01.2025
EU-Digitalrecht 2025 – Diese Neuerungen sollten Beachtung finden
20.12.2024
Europäischer Datenschutzausschuss veröffentlicht Stellungnahme zum Einsatz von KI-Modellen
06.12.2024
Neues vom Bundesgerichtshof zum Schadensersatz beim sog. Scraping – eine Lose/Lose-Situation für Unternehmen und Verbraucher?
02.12.2024
Haftung des Verantwortlichen für (Unter-)Auftragsverarbeiter – aktuelle Rechtsprechung zu vermeidbaren Haftungsrisiken
27.11.2024
Neue Vorgaben zur Barrierefreiheit: Betroffene Unternehmen müssen bis Juni ihren Webauftritt überarbeiten
15.11.2024
Datenschutzaufsicht: Unterlassene Löschung personenbezogener Daten führt zu Bußgeld von EUR 900.000
11.11.2024
US-Wahl 2024: Konsequenzen für Compliance in Deutschland
04.11.2024
Referentenentwurf des Beschäftigtendatengesetzes (BeschDG): Neue Regelungen für den Einsatz von Künstlicher Intelligenz im Arbeitsverhältnis

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.