Versendet ein Unternehmen an Kunden Rechnungen per E-Mail, so ist die Transportverschlüsselung unzureichend, vielmehr bedarf es einer Ende-zu-Ende-Verschlüsselung (OLG Schleswig, Urt. v. 18.12.2024 - Az.: 12 U 9/24).
Das klägerische Unternehmen baute bei dem verklagten Kunden, einem Verbraucher, eine Heizungsanlage ein. Die Abschlussrechnung übersandte die Firma per E-Mail, wobei beim Versand die Transportverschlüsselung aktiv war.
Unbekannte Dritte hatten die Rechnung unbemerkt manipuliert und die Bankverbindung geändert. sodass der Beklagte den Betrag iHv. 15.000,- EUR auf ein falsches Konto - das der Betrüger - überwies.
Als die Klägerin den Ausgleich der offenen Forderung verlangte, verweigerte der Kunde die Zahlung.
Zu Recht, wie nun das OLG Schleswig entschied.
Der Kunde müsse nicht an die Klägerin zahlen.
Die Zahlung auf das falsche Konto führe zwar nicht zur Erfüllung der Schuld, da die klägerische Baufirma dem Kunden keine Erlaubnis für die Überweisung an einen Dritten erteilt habe.
Allerdings habe der Kunde einen DSGVO-Schadensersatzanspruch, den er der Forderung entgegensetzen könne.
Die Baufirma hätte höhere Sicherheitsmaßnahmen beim Versand der Rechnung per E-Mail treffen müssen. Eine einfache Transportverschlüsselung reiche nicht aus. Notwendig sei vielmehr eine Ende-zu-Ende-Verschlüsselung, um eine Manipulation zu verhindern.
Die DSGVO verpflichte Unternehmen dazu, personenbezogene Daten – hierzu zähle auch eine Rechnung mit Kundendaten – angemessen zu schützen. Da die Firma diesen Schutz nicht gewährleistet habe, hafte sie für den entstandenen Schaden.
“Nach Ansicht des Senats ist danach eine reine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen.
Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.”
Auch wenn die letzte E-Mail hinsichtlich Layout und Farbe anders aufgebaut gewesen sei, treffe den Beklagten kein Mitverschulden:
“Anders als das Landgericht meint, oblag der Beklagten bzw. dem Zeugen A., dessen Verschulden ihr möglicherweise gem. § 278 BGB zuzurechnen wäre, nach Ansicht des Senats keine genaue Überprüfung der letztlich auf dem Computer des Zeugen verfälscht, da hinsichtlich der Kontoverbindung manipuliert vorliegenden Rechnung.
Die von der Klägerin aufgezeigten Unterschiede zu früheren (Abschlags-)Rechnungen betreffend die Farbe, Angaben zum Geschäftsführer, fehlenden QR-Code der Bankverbindung und fehlendes Siegel stellen geringfügige äußere Abweichungen dar, die weder der Beklagten noch dem Zeugen A. bei oberflächlicher Betrachtung auffallen mussten.
Etwas anderes folgt auch nicht daraus, dass die Beklagte erkannt hat, dass die Kontoverbindung verändert war. Angesichts der Tatsache, dass im Geschäftsleben die Kontoverbindung eines Unternehmens aus diversen Gründen geändert wird, kann einer privaten Kundin wie der Beklagten nicht vorgeworfen werden, dass sie vor der Überweisung des offenen Werklohns keine Rücksprache mit der Klägerin genommen hat.”
Anmerkung von RA Dr. Bahr:
Ein Urteil, das in mehrfacher Hinsicht absolutes Kopfschütteln auslöst und nur als glattes Fehlurteil bezeichnet werden kann.
Die Forderung, Rechnungen in dieser Größenordnung (ca. 15.000,- EUR) auch inhaltlich zu verschlüsseln, kann nur als absolut praxisfern und untauglich bezeichnet werden.
Wie soll das in der Praxis funktionieren? Welcher Verbraucher ist technisch in der Lage, inhaltsverschlüsselte Nachrichten ohne größere Probleme zu empfangen?
Wie absurd die Auffassung des Gerichts ist, zeigt auch der gedankliche Vergleich, wenn die Rechnung per Briefpost versandt worden wäre: Wäre das Unternehmen dann auch haftbar, wenn der Brief manipuliert worden wäre? Wohl nicht, oder?
Auch das richterliche Berufen auf die DSGVO ist äußerst abwegig, da Pflichtverletzung (wenn überhaupt) und Schaden in keiner Weise adäquat kausal sind.
Die Krönung der Entscheidung ist, dass die Richter nicht einmal ein Mitverschulden des Empfängers annehmen, obwohl die fragliche E-Mail von den bisherigen abweicht.
Die vorliegende Entscheidung betrifft den B2C-Bereich. Für den B2B-Bereich hat das OLG Karlsruhe vor kurzem entschieden, dass ein SFP-Eintrag beim Versand von E-Mails im B2B-Bereich nicht notwendig ist, vgl. unsere Kanzlei-News v. 04. 08.2023.