Das Urteil setzt ein klares Signal: Unternehmen, die Rechnungen per E-Mail versenden, müssen für ausreichenden Datenschutz sorgen. Die alleinige Nutzung einer Transportverschlüsselung ist nach Ansicht des Gerichts ungenügend.
Ausgangslage
Im Geschäftsverkehr werden Rechnungen zunehmend auf elektronischem Wege übermittelt. Dabei besteht stets die Gefahr, Opfer eines Hacker-Angriffs zu werden. Genau diese Situation liegt dem Urteil des OLG Schleswig-Holstein vom 18. Dezember 2024 (Az.: 12 U 9/24) zugrunde: Ein Werkunternehmer hatte seine Rechnung i. H. v. rund EUR 15.000 per E-Mail an eine Privatkundin gesandt. Hacker griffen diese E-Mail ab und manipulierten die angehängte PDF-Datei dergestalt, dass darauf die Bankverbindung der Hacker angegeben wurde, auf welche die Schuldnerin anschließend zahlte. Nachdem das LG Kiel die Kundin zur nochmaligen Zahlung des Rechnungsbetrags verurteilte, legte sie Berufung zum Oberlandesgericht ein. Dessen Entscheidung könnte nun weitreichende Folgen für den elektronischen Geschäftsverkehr haben.
Entscheidung des OLG Schleswig-Holstein
Übereinstimmend mit dem LG erkannte auch das OLG dem Gläubiger zunächst den Anspruch auf nochmalige Zahlung des Werklohns zu. Durch die unautorisierte Zahlung an Dritte sei keine Erfüllung des Anspruchs eingetreten. Dabei sei unerheblich, dass die Kundin gutgläubig davon ausging, auf ein Konto des Unternehmers gezahlt zu haben.
Entscheidender Unterschied zum erstinstanzlichen Urteil ist aber, dass das OLG der Auftraggeberin einen entgegengesetzten Anspruch in gleicher Höhe auf Schadensersatz nach Art. 82 DSGVO zubilligte. Die DSGVO bezweckt bekanntlich den Schutz sensibler, insbesondere personenbezogener Daten. Im Streitfall erachteten die Richter Name und Adresse der Privatkundin sowie Informationen über das bestehende Vertragsverhältnis und die Rechnung als solche personenbezogenen Daten.
Streitentscheidender und praxisrelevantester Punkt ist jedoch die Frage, welche Anforderungen an den Umgang mit diesen Daten im E-Mail-Verkehr zu stellen sind: Für den Versand der Rechnung hatte der Kläger die sog. Transportverschlüsselung in Form des SMTP-Standards (Simple Mail Transfer Protocol) über das TLS-Protokoll (Transport Layer Security) gewählt. Nach Auffassung des Gerichts sei diese Verschlüsselungsmethode indes nicht ausreichend. Es orientierte sich dabei an den Informationen des BSI (Bundesamt für Sicherheit in der Informationstechnik) und der Konferenz der Datenschutzaufsichtsbehörden von Bund und Ländern. Beide empfehlen die verwendete Transportverschlüsselung als Mindeststandard, raten beim Umgang mit sensiblen Daten jedoch zur sog. Ende-zu-Ende-Verschlüsselung. Diese erfordert zwar einen technischen Mehraufwand, bietet dafür aber ein höheres Schutzniveau gegenüber Cyberangriffen.
Angesichts der Personenbezogenheit der Daten, vor allem aber wegen des hohen finanziellen Risikos (hier: EUR 15.000), hätte der Unternehmer daher nach Auffassung des Gerichts seine Rechnung mittels Ende-zu-Ende-Verschlüsselung versenden müssen. Obgleich mit der Einrichtung ein gewisser technischer Aufwand verbunden und die Ende-zu-Ende-Verschlüsselung noch nicht standardmäßig verbreitet ist, sei diese vor dem Hintergrund zunehmender Cyberkriminalität bereits von kleineren Unternehmen bei der Verarbeitung sensibler Daten zu fordern. Der Rechnungsversand per „einfacher“ Transportverschlüsselung sei diesen Anforderungen nicht gerecht geworden und stelle daher einen Verstoß gegen die DSGVO dar. Der Kläger könne sich auch nicht damit aus der Verantwortung entziehen, dass sein IT-Berater lediglich eine Transportverschlüsselung für den E-Mail-Verkehr vorgeschlagen hatte.
Der Kundin stehe deshalb ein Schadensersatzanspruch in Höhe des erneut zu zahlenden Werklohns zu. Diesen muss sich der Kläger als Einwendung nach § 242 BGB entgegenhalten lassen, sodass die Kundin den Werklohn im Ergebnis nicht noch einmal zahlen muss.
Auswirkungen für die Praxis
Das OLG-Urteil ist inzwischen rechtskräftig mit weitreichenden Folgen für den geschäftlichen Rechnungsversand. Unternehmen sollten künftig für ihren Mailverkehr mit sensiblen oder persönlichen Daten auf Ende-zu-Ende-Verschlüsselung setzen. Wer den ggf. erheblichen technischen und finanziellen Mehraufwand scheut, dem bleibt vorerst auch noch der Postversand – Digitalisierung lässt grüßen.
Ab 2028 (bzw. bereits ab 2027 für Unternehmen mit einen Vorjahresumsatz über EUR 800.000) scheidet der Rechnungsversand per Post für inländische B2B-Umsätze grundsätzlich aus (ausgenommen Rechnungsbetrag bis EUR 250; Kleinunternehmer). Diese Rechnungen sind dann zwingend als E-Rechnungen zu versenden.
Auch mit der E-Rechnungspflicht bleibt der Versand der E-Rechnung per E-Mail weiterhin möglich, was die Effizienz im Rechnungsprozess steigert – jedoch auch neue Sicherheitsanforderungen mit sich bringt. E-Mails sind ein zentraler Bestandteil des E-Rechnungsprozesses, aber gleichzeitig leider anfällig für Cyber-Angriffe wie Phishing, Spam, Ransomware oder Malware. Diese Bedrohungen können dazu führen, dass Rechnungen manipuliert, abgefangen oder sogar – wie der OLG-Fall eindrücklich gezeigt hat – missbräuchlich verändert werden.
Alternativ zum Mailversand mit Ende-zu-Ende-Verschlüsselung raten entsprechende Branchenverbände zu speziellen E-Rechnungsplattformen und Netzwerken wie z.B. PEPPOL („Pan-European Public Procurement Online“). Diese gewährleisten einen strukturierten, sicheren und effizienten Transportweg für elektronische Rechnungen. Zudem böten diese Systeme eine verlässliche Dokumentation des Versand- und Empfangsvorgangs, wodurch eine bessere Nachvollziehbarkeit gegeben ist.
Abschließend bleibt festzuhalten: Daten-Hacking ist inzwischen ein vorhersehbares Risiko. Es trifft daher denjenigen, der die Daten versendet. Um solche Risiken zu minimieren, ist der Schutz der E-Mail-Kommunikation – auf dem jeweils aktuellen Stand der Technik – unverzichtbar.
