Wenn eine per E-Mail versandte Werklohnrechnung gehackt und unbefugt verändert wird und der Kunde deshalb an einen unbekannten Dritten zahlt, muss er nicht noch einmal an den Werkunternehmer zahlen, wenn dieser die Rechnung ohne Ende-zu-Ende-Verschlüsselung versandt hat und deshalb gegen ihn ein Schadensersatzanspruch aus Art. 82 DSGVO besteht.
In dem hier vom Schleswig-Holsteinischen Oberlandesgericht entschiedenen Fall verlangte die klagende Handwerkerin von der beklagten Bestellerin die erneute Zahlung ihrer Werklohnforderung, nachdem der Betrag wegen einer Manipulation der per E-Mail versandten Rechnung durch kriminell handelnde Dritte dem Konto eines Unbekannten gutgeschrieben wurde. Die Handwerkerin betreibt ein Unternehmen für die Installation von Haustechnik. Sie führte für die Bestellerin Installationsarbeiten durch und rechnete die erbrachten Leistungen ihr gegenüber in drei Abschlagsrechnungen ab. Diese wurden jeweils als Anlage zu einer E-Mail im pdf-Format übersandt. Die ersten zwei Abschlagsrechnungen beglich die Bestellerin per Überweisung an die auf den Rechnungen angegebenen Bankverbindungen der Handwerkerin. Die dritte Abschlagsrechnung über rund 15.000,00 €, welche zugleich die Schlussrechnung war, versandte die Handwerkerin ebenfalls als Anlage im pdf-Format per E-Mail. Diese Rechnung war jedoch auf ungeklärte Weise durch einen Dritten manipuliert worden, sodass die Bestellerin den Rechnungsbetrag auf das Konto des unbekannten Dritten überwies. Auf dem Konto der Handwerkerin ging deshalb auf die Schlussrechnung keine Zahlung ein.
Das erstinstanzlich hiermit befasste Landgericht Kiel hat die Bestellerin deshalb zur erneuten Zahlung verurteilt, weil eine Erfüllung durch die Zahlung an den unbekannten Dritten nicht eingetreten ist1. Es hat ausgeführt, dass die Handwerkerin auch keine vertragliche Nebenpflicht verletzt hat, sodass die Bestellerin keinen Schadensersatzanspruch hat, den sie der Klageforderung gem. § 242 BGB entgegenhalten kann. Die Handwerkerin hat nach Auffassung des Landgerichts keine Pflichtverletzung begangen, weil die von ihr vorgetragenen Schutzvorkehrungen in Form einer Transportverschlüsselung per SMTP (Simple Mail Transfer Protocol) über TLS (Transport Layer Security) beim E-Mail-Verkehr mit Vertragspartnern ausreichend sind.
Auf die Berufung der Bestellerin hat das Schleswig-Holsteinische Oberlandesgericht das Urteil des Landgerichts abgeändert und die Klage abgewiesen:
Die Zahlung der Bestellerin an einen Dritten habe zwar keine Erfüllung der Forderung bei der Handwerkerin bewirkt. Im Gegensatz zum Landgericht hat das Schleswig-Holsteinische Oberlandesgericht jedoch einen Schadensersatzanspruch der Bestellerin bejaht, den diese der Werklohnforderung der Handwerkerin nach § 242 BGB entgegenhalten kann, sodass sie die Forderung nicht noch einmal bezahlen muss.
Dieser Schadensersatzanspruch ergibt sich nach der Entscheidung des Oberlandesgerichts aus Art. 82 Abs. 2 DSGVO, weil die Handwerkerin im Zuge der Verarbeitung der personenbezogenen Daten der Bestellerin bei Versand der streitgegenständlichen E-Mail mit Anhang gegen die Grundsätze der Art. 5, 24 und 32 DSGVO verstoßen hat. Das Oberlandesgericht hält die Transportverschlüsselung, die beim Versand der streitgegenständlichen E-Mail in Form von SMTP über TLS verwendet worden sein soll, nicht für ausreichend und damit auch nicht als zum Schutz der Daten „geeignet“ im Sinne der DSGVO.
Das Oberlandesgericht führt aus, dass heute jedem Unternehmen, das personenbezogene Daten seiner Kunden computertechnisch verarbeitet, bewusst sein muss, dass der Schutz dieser Daten hohe Priorität – auch beim Versenden von E-Mails – genießt. Unternehmen müssen diesen Schutz durch entsprechende Maßnahmen so weit wie möglich gewährleisten.
Gerade bei sensiblen oder persönlichen Inhalten ist nach der Entscheidung des Oberlandesgerichts nur eine Ende-zu-Ende-Verschlüsselung zum Schutz im Sinne der DSGVO geeignet, wenn ein hohes finanzielles Risiko durch Verfälschung der angehängten Rechnung für den Kunden besteht. Dass Kunden von Unternehmen bei einem Datenhacking Vermögenseinbußen drohen, ist ein Risiko, das dem Versand von Rechnungen per E-Mail immanent ist und deshalb eine entsprechende Voraussicht und ein proaktives Handeln erfordert. Der dafür erforderliche technische und finanzielle Aufwand kann auch von einem mittelständischen Handwerksbetrieb erwartet werden, wenn es seine Rechnungen nicht per Post versendet.
Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 18. Dezember 2024 – 12 U 9/24
- LG Kiel – 9 O 110/23[↩]
