Eine Entscheidung des Schleswig-Holsteinischen Oberlandesgerichts (OLG) Schleswig vom 18.12.2024 (Az. 12 U 9/24) sorgt für erhebliche Verunsicherung bei Unternehmen und Dienstleistern:
Das Gericht versagte einem Werkunternehmer trotz vollständig erbrachter Leistung im Ergebnis den Anspruch auf Zahlung des vereinbarten Werklohns, weil die von ihm versandte Rechnung per E-Mail – nach Ansicht des Gerichts – nicht ausreichend gegen Manipulation gesichert war.
Sachverhalt:
Ein Handwerksbetrieb übersandte seine Schlussrechnung über ca. EUR 15.000,00 per E-Mail an die Auftraggeberin. Diese enthielt eine PDF-Datei mit Bankverbindung. Die E-Mail wurde von Dritten abgefangen und manipuliert. Anschließend wurde die Rechnung „nachgebaut“ und die IBAN-Angaben auf ein fremdes Konto geändert. Die Auftraggeberin zahlte den Rechnungsbetrag auf dieses Konto.
Als das Unternehmen die Zahlung anmahnte, verweigerte die Auftraggeberin die nochmalige Zahlung. Sie berief sich darauf, aufgrund eines Datenschutzverstoßes durch den Versender einen Schaden im Sinne von Art. 82 DSGVO erlitten zu haben.
Das OLG schloss sich im Berufungsverfahren dieser Argumentation an und wies die Klage ab.
Wesentliche Aussagen des Urteils:
- Eine lediglich mit Transportverschlüsselung (TLS) versandte E–Mail genügt nicht den Anforderungen des Art. 32 DSGVO
- Der Versand personenbezogener Daten (Name, Adresse, Kontoverbindung) bedarf einer Ende-zu-Ende-Verschlüsselung
- Der infolge der unsicheren Übermittlung ermöglichte Eingriff Dritter begründet einen kausalen Schaden der Auftraggeberin
- Dieser Schaden ist nach Art. 82 DSGVO zu ersetzen, die Forderung der Klägerin daher infolge wirksamer Aufrechnung mit diesem Gegenanspruch erloschen
Einordnung:
Die Entscheidung des OLG Schleswig erzeugt ohne Not mit wenig überzeugender Begründung Rechtsunsicherheit für Unternehmen, die digitale Geschäftsprozesse nutzen. Sie ignoriert dabei zum einen die risikobasierte Systematik der DSGVO. Zum anderen vernachlässigt sie einen der zentralen Grundsätze des Haftungsrechts, nämlich das Mitverschuldensprinzip.
Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 04.05.2023 (C-300/21 – „Österreichische Post“) klargestellt, dass nicht jeder DSGVO-Verstoß automatisch einen Schaden im Sinne des Art. 82 begründet. Es bedarf eines konkreten, individuell nachweisbaren Nachteils. Eine bloße abstrakte Risikoerhöhung (wie sie bei einem unsicheren E-Mail-Versand bestehen mag) ist nach Auffassung des EuGH gerade nicht ausreichend.
Das OLG führt aus:
„Der Zugriff durch einen unbefugten Dritten darauf führte aber im konkreten Fall […] dazu, dass die Beklagte auf ein falsches Konto gezahlt hat und […] den Werklohn nunmehr erneut zahlen soll, so dass ihr ein massiver finanzieller Schaden von über 15.000,– € entstanden ist. Dass Kunden von Unternehmen bei einem Datenhacking solche Vermögenseinbußen drohen, ist ein Risiko, das dem Versand von Rechnungen per Email immanent ist, von der Klägerin bei ihrer Planung zur Emailsicherheit erkannt werden musste und bei ihren Überlegungen zu Schutzmaßnahmen beim Versand von Rechnungen per Email mit einzubeziehen war.“
Die in diesem Zusammenhang als Folge festgestellte grundsätzliche Pflicht zur Ende-zu-Ende-Verschlüsselung beim E-Mail-Versand von Rechnungen (wobei offen ist, ab wann eigentlich ein „massiver finanzieller Schaden“ vorliegt) ist hier unter Berücksichtigung anders lautender Ansichten in der Rechtsprechung jedenfalls ohne schlüssige Begründung nicht recht nachvollziehbar:
Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 01.08.2022 (Rs. C-184/20 – „Verein für Konsumenteninformation“) betont, dass Art. 32 DSGVO keinen absoluten Verschlüsselungsstandard vorgibt, sondern eine risikobasierte Abwägung verlangt.
Auch das Bundesarbeitsgericht (BAG) betont (Urt. v. 05.05.2022 – 2 AZR 225/21) u.a. die Zumutbarkeit der technischen Schutzmaßnahmen. Eine generelle Pflicht zur Ende-zu-Ende-Verschlüsselung ist dort nicht abgeleitet worden.
Erforderlich – und ausreichend – ist regelmäßig eine tatsächliche Einzelfallabwägung unter Berücksichtigung der Art der Daten, des Stands der Technik und des Schutzbedarfs.
Dies hat auch das OLG Schleswig grundsätzlich gesehen. Es nimmt jedoch eine entsprechende Prüfung nicht vor und begründet nicht nachvollziehbar, weshalb bzgl. der E-Mail-Versendung eine fehlerhafte Abwägung seitens des Handwerksbetriebs vorliegt und im konkreten Fall eine Ende-zu-Ende-Verschlüsselung zwingend war. Es sei denn, man hielte die Anknüpfung des Bestehens einer entsprechenden datenschutzrechtlich relevanten Pflicht an die objektive Höhe eines Rechnungsbetrags für ein sinnvolles generelles und allein hinreichendes Kriterium.
Die Entscheidung geht im Weiteren davon aus, dass der Abfluss des Geldes einen in voller Höhe ersatzfähigen Schaden im Sinne des Art. 82 DSGVO darstellt, weil für das Gericht wegen des von ihm festgestellten Verstoßes die Verschuldensvermutung gem. Art. 82 Abs. 3 DSGVO greift.
Das OLG bejaht daher den notwendigen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und dem konkreten Schaden – allerdings ohne den Umstand vollständig rechtlich zu würdigen, dass erst die Überweisung durch die Betroffene dazu geführt hat, dass die gefälschte Rechnung zu einem Schaden führen konnte.
Es verneint hier ein Mitverschulden der Beklagten mangels entsprechender Prüfpflicht, obwohl diese die Kontoverbindung der vorherigen Rechnungen kannte und ihr die Änderung aufgefallen war.
Andere Obergerichte haben vergleichbare Sachverhalte in der Vergangenheit schon anders beurteilt: So etwa das OLG München (Urt. .v. 21.12.2016 – 7 U 3206/16). Hier wurde dem Schuldner ein Mitverschulden im Umfang von 40% angelastet, weil er eine per Mail mitgeteilte „neue“ Kontonummer ungeprüft akzeptierte. Auch das OLG Karlsruhe (Urt. v. 27.07.2023 – 19 U 83/22) das bereits kein Verschulden bei fehlender Ende-zu-Ende-Verschlüsselung erkennt, geht davon aus, dass ein etwaiger Schadensersatzanspruch jedenfalls wegen erheblichen Mitverschuldens zu kürzen wäre.
Das OLG Schleswig dagegen erklärt objektiv vorhandene diverse optische Unterschiede in der gefälschten Rechnung zu früheren Rechnungen betreffend Farbe, Angaben zum Geschäftsführer, fehlenden QR-Code der Bankverbindung und fehlendes Siegel zu geringfügigen äußeren Abweichungen, „die weder der Beklagten noch dem Zeugen A. bei oberflächlicher Betrachtung auffallen mussten“.
Selbst der unstreitige Umstand, dass die Beklagte tatsächlich erkannt hatte, dass die Kontoverbindung verändert war, führt nach Ansicht des Gerichts nicht zu einem Mitverschulden:
„Angesichts der Tatsache, dass im Geschäftsleben die Kontoverbindung eines Unternehmens aus diversen Gründen geändert wird, kann einer privaten Kundin wie der Beklagten nicht vorgeworfen werden, dass sie vor der Überweisung des offenen Werklohns keine Rücksprache mit der Klägerin genommen hat.“
Das überzeugt nicht. Gerade wenn – worauf das OLG haftungsbegründend ja gerade ausdrücklich abstellt – für die Kundin wegen der Höhe der Rechnung ein massiver Schaden drohte, wäre näher zu begründen gewesen, warum sie hier trotz erkannter Abweichungen nicht dazu verpflichtet gewesen sein soll, vor der Anweisung eines namhaften Geldbetrags durch ein Mindestmaß an Sorgfalt den Schaden zu vermeiden.
Selbst wenn man dem Gericht noch darin folgen möchte, dass eine erkannte plötzliche Kontoänderung (die üblicherweise allerdings durch Unternehmen aus naheliegenden Gründen stets ausdrücklich kommuniziert wird, woran es hier notwendigerweise fehlte) noch keine Rückfrage erfordert hätte, wäre es objektiv naheliegend gewesen, aus der zuvor durch das Gericht entschuldigten lediglich „oberflächlichen Betrachtung“ der Rechnung nun eine genauere zu machen. Dann wären die Abweichungen wohl aufgefallen – und spätestens jetzt ein hinreichender Anlass zur Rückversicherung gegeben gewesen.
Das OLG verschiebt hier auf recht lapidare Weise das haftungsrechtliche Risiko bzgl. der Folgen des strafbaren Verhaltens Dritter einseitig zu Lasten einer Partei.
Es schließt seine Ausführungen zum Erfordernis einer Ende-zu-Ende-Verschlüsselung für den Rechnungsversand mit einer weisen Empfehlung:
„Soweit dieser zu erwartende hohe Standard zum Schutz der personenbezogenen Daten beim Versand von Emails mit angehängten Rechnungen nicht sichergestellt werden kann, bleibt für ein Unternehmen – ohne dass hierfür größerer technischer und/oder finanzieller Aufwand betrieben werden müsste – wie eh und je der Versand von Rechnungen per Post das Mittel der Wahl.“
Digitalisierung in Deutschland 2025. More is yet to come… 😉