Ein aktuelles Urteil des höheren Regionalgerichts (OLG) Schleswig-Holstein führt zu Aufsehen: Unternehmen, die Rechnungen per E-Mail senden, müssen dann in Zukunft sorgfältig überprüfen, ob eine einfache TLS-Transportverschlüsselung noch ausreicht. Das Gericht sieht die Notwendigkeit einer End-to-End-Verschlüsselung, insbesondere bei hohen finanziellen Risiken mit potenziellen Konsequenzen für den gesamten B2C-Bereich.
Werbung
Rechnung fälschte sich, Money Futs
Das Thema des Urteils vom 18. Dezember 2024 (Az. 12 U 9/24), das erst jetzt veröffentlicht wurde, befasst sich mit einem Fall von Rechnungsbetrug in digitalen Geschäftstransaktionen. Ein Bauunternehmer hatte eine endgültige Rechnung von über 15.000 Euro per E -Mail an einen Privatkunden für die ordnungsgemäße Installation eines Heizsystems gesendet. Aber die Rechnung wurde auf dem Weg zum Empfänger des Verbrechers manipuliert. Sie änderten nicht nur die Bankdetails, sondern auch das Farbdesign und weitere Details des Dokuments. Nach Angaben des Gerichts war es nicht möglich zu klären, wie genau es passieren könnte, dass der Kunde eine manipulierte Rechnung erhielt.
Der Kunde bemerkte jedoch nicht die Manipulation und überwies das Geld auf das Konto einer Online -Bank anstelle der Bauunternehmen. Der Unternehmer beantragte dann die Zahlung erneut. Der Kunde lehnte jedoch mit der Begründung ab, dass die Rechnung per E -Mail ungeschützt wurde und dass er Schaden erlitten hatte. Er machte einen Schadensersatzanspruch in dem gleichen Betrag.
Zahlung ineffektiv – aber Schadensersatzansprüche
Der OLG Schleswig-Holstein entschied, dass der ursprüngliche Anspruch des Bauunternehmers weiterhin existiert. Die falsche Übertragung in die manipulierte Kontoverbindung gibt den Kunden nicht von seiner Zahlungsverpflichtung frei.
Das Gericht verabschiedete dem Kunden gleichzeitig einen Schadensersatzanspruch in demselben Betrag gegen die Baugesellschaft. Der Grund: In der Stellungnahme des Gerichts ist die ungeschützte Versand der Rechnung per E -Mail eine Verstoß gegen die allgemeine Datenschutzverordnung (DSGVO), insbesondere gegen Kunst. 82 Die betroffene Person gewährt die Person im Falle von Datenschutzverstößen.
TDie Transportverschlüsselung reicht nicht aus
Das Urteil zeigt, dass die per E -Mail gesendeten Rechnungen personenbezogene Daten enthalten, einschließlich des Namens, der Adresse und der Rechnungsinformationen des Kunden. Dies bedeutet, dass die Kommunikation in den Umfang der DSGVO fällt. Nach Kunst. 32 DSGVO war das Bauunternehmen daher verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Daten zu gewährleisten. Nach Angaben des Gerichts war dies im vorliegenden Fall nicht geschehen.
Nach Angaben des Gerichts sollte die verwendete Transportverschlüsselung nicht ausreichend geschützt sein, da die Rechnung von Dritten manipuliert werden kann. Die DSGVO enthält keine klaren Anforderungen an wann und inwieweit die Verschlüsselung erforderlich ist. Der risikobasierte Ansatz ist jedoch entscheidend: Je höher das potenzielle Risiko für Betroffene, desto strenger sollten die Schutzmaßnahmen sein.
In diesem Fall bewertete das Gericht das finanzielle Risiko für den Kunden als hoch, da eine gefälschte Rechnung zu erheblichen wirtschaftlichen Konsequenzen führen kann. Daher hätte eine End-to-End-Verschlüsselung als zusätzliche Sicherheitsmaßnahme verwendet werden müssen, um die Vertraulichkeit der übertragenen Daten zu schützen.
Vergleich mit Olg Karlsruhe
Die Entscheidung erinnert an ein Urteil der Olg Karlsruhe vom 27. Juli 2023 (Az. 19 U 83/22). In dem Rechtsstreit, der jedoch zwei Unternehmen betroffen hatte, entschied das Gericht, dass es keine gesetzlichen Anforderungen an Sicherheitsmaßnahmen gab. Vielmehr sind die legitimen Sicherheitserwartungen der jeweiligen Geschäftstransaktionen und die Einheitlichkeit entsprechender Maßnahmen von entscheidender Bedeutung. Dies ist auch sinnvoll: Das Urteil des OLG Schleswig-Holsteins ist nicht auf die Mail-Rechnungen zwischen Unternehmen übertragbar.
Unternehmen sind verpflichtet, nachzuweisen, dass ihre Sicherheitsmaßnahmen den Anforderungen der DSGVO erfüllen. Nach Kunst. 5 Abs. 2 und Kunst. 24 DSGVO, die sogenannte Erklärung und Beweisbelastung liegt bei dem Datenschutz, der für den Datenschutz verantwortlich ist- dh das Unternehmen, das die E-Mails sendet. Dies bedeutet, dass Unternehmen nicht nur Maßnahmen ergreifen, sondern sie auch dokumentieren und im Falle eines Streits nachweisen müssen. Die Baugesellschaft hatte jedoch nicht zu wenig für die ergriffenen Schutzmaßnahmen durchgeführt.
Das Urteil lässt daher eine entscheidende Frage offen: Ob die unzureichende Verschlüsselung tatsächlich die Ursache des Betrugs war. Die Richter konnten eine Kausalität vermuten, ohne sie ausführlicher zu überprüfen. Der ungeklärte Angriffsvektor kann jedoch kaum sagen, ob eine End-to-End-Verschlüsselung die Rechnung hätte verhindert haben könnten.
Kein allgemeiner Zwang zur End-to-End-Verschlüsselung
Es besteht keine allgemeine Verpflichtung, die End-to-End-Verschlüsselung in der Kommunikation zwischen Unternehmen oder zwischen Unternehmen und Verbrauchern zu verschlüsseln. Unternehmen müssen jedoch in der Lage sein, eine Risikoanalyse durchzuführen und nachzuweisen, dass ihre ausgewählten Schutzmaßnahmen dem jeweiligen Risiko angemessen sind.
In der Praxis führt dies normalerweise zu einer abgestuften Lösung – abhängig von der Empfindlichkeit der übertragenen Daten und dem potenziellen Missbrauchsrisiko. In diesem Zusammenhang sollte auch beachtet werden, dass es noch nicht schließlich klargestellt wurde, ob die Zustimmung der Empfänger ausreicht, um eine größere Verschlüsselung zu vermeiden und stattdessen nur die Transportverschlüsselung zu verwenden. Es gibt jedoch gute rechtliche Argumente, die für diese Option sprechen.
Und ansonsten bleibt der Weg, wie der Gerichtshof feststellt, für Unternehmen im B2C -Bereich weiterhin, was ohne größere technische und finanzielle Anstrengungen befolgt werden kann: Abrechnung nach Post.
(AXK)
