Schleswig-Holsteinisches OLG, Urt. v. 18.12.2024 – 12 U 9/24 (Revision zugelassen)
Rechnungen sollten per E-Mail nur Ende-zu-Ende-verschlüsselt versendet werden – oder der klassische Weg per Post gewählt werden. Denn der Rechnungsempfänger (Kunde) haftet nicht, wenn eine Rechnung auf dem Weg zu ihm manipuliert wurde. Vielmehr kann dem Rechnungsempfänger ein Schadensersatzanspruch in Höhe der auf das Drittkonto getätigten Überweisung zustehen.
Eine reine Transportverschlüsselung ist beim Versand von geschäftlichen E-Mails mit personenbezogenen Daten zwischen Rechnungsaussteller und Kunden – bei bestehendem hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung des Rechnungsausstellers – für den Rechnungsempfänger nicht ausreichend. Dies stellt keinen „geeigneten“ Schutz im Sinne der DS-GVO dar.
Praxis-Info!
Problemstellung
Ein Installationsunternehmen (Rechnungsaussteller) versandte drei Teilrechnungen über Installationsleistungen an seine Kundin (Rechnungsempfängerin). Diese wurden jeweils als Anlage zu einer E-Mail im pdf-Format übersandt. Die Schlussrechnung über 15.000 € wurde gehackt. Dabei ist die Bankverbindung des Installationsbetriebs durch eine fremde ersetzt (manipuliert) worden. Deswegen überwies die Kundin den Rechnungsbetrag auf das manipulierte Konto eines nicht empfangsbefugten Dritten. Zum Zeitpunkt der Überweisung war der Rechnungsempfängerin nicht bekannt gewesen, dass die Rechnung im Machtbereich des Installationsunternehmens manipuliert worden ist.
Vor Gericht stellte sich die Frage: Hat die Kundin die Forderung des Rechnungsausstellers (erneut) zu begleichen?
Lösung
Die Rechnungsempfängerin hat die Forderung des Installationsunternehmens mit der Zahlung zwar nicht erfüllt, aber noch einmal zahlen muss sie diese dennoch nicht. Ein Versäumnis seitens der Kundin ist nicht festzustellen, da z.B. das Wasserzeichen auf der Kopie der Rechnung nicht erkennbar gewesen ist. Die Manipulation im Zusammenhang mit der Versendung der Rechnung erfolgte in der Sphäre des Installationsbetriebs. Der Rechnungsaussteller als Verantwortlicher für den eingetretenen Schaden hat keinen Anspruch auf (erneute) Zahlung des vereinbarten Werklohns durch die Kundin. Vielmehr hat die Rechnungsempfängerin einen Schadensersatzanspruch nach Art. 82 DS-GVO gegen das Unternehmen, den sie der Werklohnforderung nach § 242 BGB entgegenhalten kann.
Risikovermeidung
Der Schadensersatzanspruch ergibt sich aus Art. 82 Abs. 2 DS-GVO. Der Installationsbetrieb hat mit der Rechnungstellung personenbezogene Daten der Auftraggeberin computertechnisch verarbeitet und hätte deswegen die in Art. 5, 24 und 32 DS-GVO enthaltenen Grundsätze beachten müssen (Gewährleistung der sicheren Verarbeitung personenbezogener Daten). Die Angabe in der Rechnung des Installationsbetriebs (Name, Anschrift, Kunde des Rechnungsausstellers, offene Rechnung über eine Werkleistung) sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DS-GVO. Mit dem Versand der Rechnung als E-Mail-Anhang hat der Rechnungsaussteller die nötigen Sicherheitsanforderungen nicht erfüllt. Die hiermit verbundenen Risiken gehen daher voll zulasten des Installationsunternehmens.
Die Transportverschlüsselung (auch Punkt-zu-Punkt-Verschlüsselung genannt), die der Rechnungsaussteller beim Versand der E-Mail in Form von SMTP (Simple Mail Transfer Protocol – einfaches E-Mail-Übertragungsprotokoll) über TLS (Transport Layer Security – „Sicherheit der Transportschicht“; Verschlüsselungsprotokoll zur sicheren Datenübertragung) verwendet haben soll, ist unzureichend; sie ist nicht zum Schutz der Daten im Sinne der DS-GVO „geeignet“. Warum? Bei der Punkt-zu-Punkt-Verschlüsselung werden E-Mails über unterschiedliche Knotenpunkte im Web zwischen den Servern der E-Mail-Anbieter zur Empfängerin oder dem Empfänger weitergeleitet. In diesen Punkten sind die E-Mails (dazwischen) nicht (immer) verschlüsselt. Das heißt: Internetkriminelle haben die Möglichkeit, sozusagen „in der Mitte“ der Kommunikation anzugreifen, also Daten abzufangen, zu kopieren oder zu verändern.
Gerade bei sensiblen oder persönlichen Inhalten ist nur eine Ende-zu-Ende-Verschlüsselung geeignet, wenn ein hohes finanzielles Risiko durch Verfälschung der angehängten Rechnung für den Kunden besteht. Hierbei werden nicht die einzelnen Abschnitte des Versandkanals verschlüsselt, sondern die E-Mails selbst. Nur die Sender und Empfänger können die E-Mail im Klartext lesen, wenn sie über den notwendigen Schlüssel verfügen. Es kann von einem ausreichenden Schutzniveau beim Versand von geschäftlichen E-Mails ausgegangen werden.
Der zur Vermeidung eines Datenhacking erforderliche technische und finanzielle Aufwand kann auch von einem mittelständischen Handwerksbetrieb erwartet werden. Ansonsten bleibt wie eh und je der Versand von Rechnungen per Post das Mittel der Wahl.
Der Verband elektronische Rechnung (VeR) weist bereits seit geraumer Zeit darauf hin, dass E-Mails als Standardweg für den Versand und Empfang von E-Rechnungen nicht die optimale Lösung darstellen. Versender von E-Rechnungen müssen den Nachweis über den Zugang und die inhaltliche Unverfälschtheit erbringen können. E-Mails allein bieten hierfür keine revisionssichere Dokumentation. Der VeR rät zwar nicht von einer Ende-zu-Ende-Verschlüsselung ab, empfiehlt jedoch moderne E-Rechnungsplattformen und Netzwerke wie PEPPOL („Pan-European Public Procurement Online“, vgl. hierzu ausführlich Hefner, BC 2024, 564 ff., Heft 12). Diese gewährleisten einen strukturierten, sicheren und effizienten Transportweg für elektronische Rechnungen. Zudem böten diese Systeme eine verlässliche Dokumentation des Versand- und Empfangsvorgangs, wodurch eine bessere Nachvollziehbarkeit gegeben ist. |
[Anm. d. Red.]
BC 3/2025
BC20250314