Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Blog News
Unternehmer müssen in vielerlei Situationen den Datenschutz ausreichend beachten. Insbesondere beim Versand von Rechnungen sollten die datenschutzrechtlichen Vorschriften beachtet werden. So hat das OLG Schleswig kürzlich entschieden, dass der Rechnungsversand per E-Mail Transportverschlüsselung unzureichend ist und eine Ende-zu-Ende-Verschlüsselung erforderlich ist (Urteil vom 18.12.2024, Az. 12 U 9/24).
In dem vor dem OLG Schleswig entschiedenen Fall ging es um ein Unternehmen, welches bei einem Verbraucher eine Heizungsanlage einbaute. Die Abschlussrechnung hatte die Firma dem Verbraucher per E-Mail gesendet. Bei dem Versand der E-Mail war eine Transportverschlüsselung aktiv. Dritte haben daraufhin die Rechnung unbemerkt manipuliert. Sie hatten die Bankverbindung geändert, sodass der Verbraucher den Geldbetrag in Höhe von 15.000 EUR auf das falsche Konto überwiesen hatte. Das Unternehmen verlangte weiterhin die Zahlung der Forderung, wohingegen der Verbrauche sich allerdings wehrte. Das OLG Schleswig entschied, dass der Verbraucher tatsächlich nicht an das Unternehmen zahlen musste.
Das OLG erklärte, dass die Zahlung auf das falsche Konto nicht zu einem Erlöschen der Forderung geführt hatte. Eine Zahlung auf ein fremdes Konto hätte nur dann zum Erlöschen der Forderung geführt, wenn das Unternehmen dem Verbraucher die Einwilligung für eine solche Zahlung gegeben hätte. Das Unternehmen wusste aber selbst nichts von der manipulierten Rechnung.
Allerdings hat auch der Verbraucher einen Anspruch gegen den Unternehmer. Der Kunde hat einen Schadensersatzanspruch nach der DSGVO. Dieser Anspruch konnte der Verbraucher gegen die Forderung aufrechnen.
Das Unternehmen hat die Vorschriften der DSGVO nicht beachtet. Beim Versand einer Rechnung per E-Mail gelten hohe Sicherheitsanforderungen. Eine Transportverschlüsselung ist nicht ausreichend, um den Sicherheitsanforderungen gerecht zu sein. Erforderlich wäre eine Ende-zu-Ende-Verschlüsselung gewesen. Nur so hätte eine Manipulation der Rechnung durch Dritte ausreichend verhindert werden können.
Bei den Kundendaten in einer Rechnung handelt es sich um personenbezogene Daten. Die DSGVO verpflichtet die Unternehmen die Kundendaten ausreichend zu schützen. Sollte ein Unternehmen diesen Schutz nicht bereitstellen, haftet sie entsprechend für einen aufgekommenen Schaden.
Das Gericht hatte ebenfalls geprüft, ob ein Mitverschulden des Verbrauchers vorgelegen hatte. Die E-Mail hatte nämlich ein anderes Layout und eine andere Farbe im Vergleich zu dem üblichen Layout einer Rechnung per E-Mail des Unternehmens. Außerdem lagen Unterschiede hinsichtlich der Angabe zum Geschäftsführer vor und es fehlte ein QR-Code und ein Siegel. Das OLG hatte entschieden, dass es sich bei diesen Unterschieden lediglich um geringfügige Abweichungen handelt. Solche Abweichungen mussten dem Verbraucher nicht unbedingt auffallen, sodass ihn kein Verschulden traf.
Auch dass der Verbraucher erkannte, dass die Kontoverbindung sich geändert hatte, spricht nicht für ein Verschulden. Im Geschäftsleben ist es durchaus üblich, dass die Kontoverbindung sich unter Umständen ändern kann. Der Verbraucher musste nicht zuerst mit dem Unternehmen Kontakt aufnehmen und sich vergewissern, dass die Rechnung der Richtigkeit entspricht.
Ob die Verschlüsselung einer Rechnung auch praktisch umsetzbar ist und nicht völlig umständlich, kann diskutiert werden. Ob Verbraucher eine verschlüsselte Nachricht ohne Probleme öffnen werden können, ist sicherlich nicht ohne weiteres zu bejahen. Einige Stimmen merken an, dass eine Haftung nach der DSGVO unverständlich ist. Insbesondere wenn man den E-Mail Versand mit dem Briefversand vergleicht, fällt auf, dass eine Manipulation im Falle des E-Mail Versands nicht zulasten des Unternehmens gehen würde. Ignoriert werden sollte die Entscheidung auf jeden Fall nicht. Entsprechende praktische Umsetzungsmöglichkeiten im eigenen Betrieb sollten überprüft werden.
Für den B2B-Bereich wurde zuletzt vom OLG Karlsruhe entschieden, dass ein SFP-Eintrag bei einem E-Mail Versand nicht erforderlich ist (Urteil vom 27.07.2023, Az. 19 U 83/22). Ein SFP-Eintrag ist ein Authentifizierungsverfahren, welches entscheidet, welche Server berechtigt sind E-Mails zu versenden. Für den B2B-Bereich gelten also im allgemeinen geringere Sicherheitsanforderungen.
Das Beispiel zeigt deutlich, wie schnell unzureichende Datenschutzmaßnahmen die personenbezogenen Daten von Betroffenen in Gefahr bringen. Dies kann gegebenenfalls Schadensersatzansprüche nach sich ziehen. Um kein Risiko im Datenschutz einzugehen und Schadensersatzansprüche zu vermeiden, ist eine bestmögliche rechtliche Beratung unerlässlich. Unsere Anwälte für Datenschutzrecht helfen Ihnen mit ihrer fachlichen Expertise, Ihre Unternehmen zu schützen.
Zögern Sie nicht, sich bei uns zu melden! Das Team von SBS LEGAL steht Ihnen bei sämtlichen Anliegen rund um das Datenschutzrecht zur Seite.
► Abberufung Datenschutzbeauftragter mit DSGVO vereinbar?