Das Schleswig-Holsteinische Oberlandesgericht (OLG) hat in seinem Urteil vom 18. Dezember 2024 eine weitreichende Entscheidung zur Haftung des Verantwortlichen im Sinne der Datenschutz-Grundverordnung (DSGVO) getroffen. Im Zentrum der Entscheidung stand die Frage, inwieweit ein Unternehmen, das eine Rechnung per E-Mail verschickt, für den Missbrauch dieser Rechnung durch Dritte haftet, wenn es keine ausreichenden Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten getroffen hat.
E-Mail mit Rechnung wird abgefangen und manipuliert
Der Kläger, ein Werkunternehmer, führte für die Beklagte, eine private Kundin, vereinbarungsgemäß Werkleistungen aus und stellte ihr nach Abschluss der Arbeiten eine Schlussrechnung über den noch ausstehenden Werklohn aus. Diese Rechnung wurde der Beklagten per E-Mail übermittelt.
Unbemerkt von den Parteien wurde die E-Mail durch Dritte abgefangen und manipuliert. Dabei änderten die Täter die Bankverbindung in der Rechnung und leiteten die verfälschte Version an die Beklagte weiter. In gutem Glauben überwies die Beklagte den Rechnungsbetrag in Höhe von 15.385,78 Euro auf das in der Rechnung angegebene Konto, das jedoch einem Unbekannten gehörte. Erst später wurde der Betrug entdeckt, als der Kläger die fehlende Zahlung bemerkte und die Beklagte darauf hinwies.
Der Kläger forderte die Beklagte daraufhin zur erneuten Zahlung des Werklohns auf, da die ursprüngliche Zahlung nicht auf sein Konto eingegangen und somit keine Erfüllungswirkung nach § 362 Abs. 1 BGB eingetreten sei. Die Beklagte hingegen vertrat die Auffassung, dass sie ihren Zahlungsverpflichtungen nachgekommen sei, da sie die Rechnung wie erhalten beglichen habe. Zudem machte sie geltend, dass der Kläger es versäumt habe, angemessene Sicherheitsmaßnahmen zum Schutz der übermittelten personenbezogenen Daten, insbesondere ihrer eigenen Bankverbindung, zu ergreifen. Dadurch sei es überhaupt erst zu dem Betrug gekommen. Sie berief sich auf einen Schadensersatzanspruch nach Art. 82 DSGVO und argumentierte, dass der Kläger fahrlässig gehandelt habe, indem er die Rechnung ohne hinreichenden Schutz per E-Mail versandt habe. Insbesondere sei die verwendete Transportverschlüsselung nicht ausreichend gewesen, um eine Manipulation der E-Mail zu verhindern.
Somit standen sich zwei zentrale Rechtsfragen gegenüber: Einerseits die Frage, ob die Zahlung auf das falsche Konto die Schuld der Beklagten erlöschen ließ, und andererseits die Frage, ob die Klägerin aufgrund unzureichender Sicherheitsmaßnahmen für den entstandenen Schaden haften musste.
Gericht bejaht Schadensersatz nach Art. 82 DSGVO
Zwar bestätigte das OLG die Rechtsauffassung, dass die Zahlung auf ein manipuliertes Konto nicht zur Erfüllung im Sinne von § 362 Abs. 2 BGB führe. Entscheidend sei, dass der geschuldete Betrag dem Gläubiger endgültig zur Verfügung stehen müsse. Der Kläger könne den Werklohn daher grundsätzlich erneut verlangen.
Gleichzeitig erklärte das Gericht jedoch, dass der Kundin ein Schadensersatzanspruch in Höhe der auf das Drittkonto getätigten Überweisung zustehen könne, den sie der Klagforderung des Werkunternehmers unter dem Gesichtspunkt der dolo-agit-Einwendung gemäß § 242 BGB entgegenhalten kann.
Ein solcher Schadensersatzanspruch kann insbesondere aus der DSGVO erfolgen. Das Gericht führte aus, dass die personenbezogenen Daten der Beklagten (Name, Adresse, offene Forderung) im Sinne von Art. 4 Nr. 1 DSGVO verarbeitet wurden und die Übermittlung der Rechnung per E-Mail eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO darstelle. Entsprechend konnte die Beklagte einen Schadensersatzanspruch aus Art. 82 DSGVO gegen den Kläger geltend machen.
Die Manipulation der Rechnung durch Dritte begründe nicht per se eine Haftung des Klägers. Vielmehr müsse geprüft werden, ob die technischen und organisatorischen Maßnahmen des Unternehmens zur Absicherung der E-Mail-Kommunikation ausreichend waren.
Anforderungen an die Sicherheit der Datenübermittlung nach Art. 32 DSGVO
Das OLG führte weiter aus, dass Unternehmen gemäß Art. 32 DSGVO verpflichtet seien, geeignete Sicherheitsvorkehrungen zu treffen, um personenbezogene Daten vor unbefugtem Zugriff zu schützen.
Nach Ansicht des OLG genügt eine bloße Transportverschlüsselung mittels TLS (Transport Layer Security) nicht den Anforderungen des Art. 32 DSGVO. Vielmehr sei eine Ende-zu-Ende-Verschlüsselung erforderlich, um ein angemessenes Schutzniveau zu gewährleisten. Das Gericht berief sich hierbei auf die Orientierungshilfe der Datenschutzkonferenz sowie auf Urteile des Europäischen Gerichtshofs (EuGH), die eine hohe Verantwortung des Verantwortlichen für die Sicherheit der Daten betonen (EuGH, C-687/21 und C-340/21).
Zwar enthält die DSGVO keine ausdrücklichen Vorgaben zur Pflicht der Verschlüsselung von E-Mails, jedoch ergibt sich aus der Gesamtschau der Regelungen, dass Unternehmen dazu verpflichtet sind, das Risiko eines unbefugten Zugriffs auf personenbezogene Daten durch geeignete Maßnahmen zu minimieren. Eine Transportverschlüsselung reiche nach Ansicht des Gerichts nicht aus, da sie keinen ausreichenden Schutz gegen sogenannte Man-in-the-Middle-Angriffe biete.
Beweislast und Verschuldensvermutung bei manipulierter Rechnung
Art. 82 Abs. 3 DSGVO sieht eine Verschuldensvermutung zugunsten des Betroffenen vor. Der Verantwortliche muss nachweisen, dass er keinerlei Verschulden trifft. Der Kläger konnte diesen Nachweis nicht führen, da er keine weitergehenden Schutzmaßnahmen ergriffen hatte. Das Gericht stellte klar, dass Unternehmen nicht nur gesetzliche Mindeststandards erfüllen, sondern auch aktuelle technische Entwicklungen berücksichtigen müssen. Angesichts der bekannten Risiken bei der Übermittlung sensibler Daten per E-Mail müsse ein verantwortungsbewusst handelndes Unternehmen die bestmöglichen Schutzmaßnahmen ergreifen.
Ein Mitverschulden der Beklagten gemäß § 254 BGB verneinte das Gericht. Zwar habe die Beklagte eine von früheren Rechnungen abweichende Bankverbindung übersehen. Jedoch sei es für eine private Kundin nicht zumutbar, jede erhaltene Rechnung auf eine mögliche Manipulation hin zu überprüfen. Da der Betrug erst durch die unzureichenden Sicherheitsmaßnahmen des Klägers ermöglicht wurde, sei allein der Kläger für den entstandenen Schaden verantwortlich.
Lese-Tipp: EuGH stärkt Transparenz – Auskunfteien müssen Entscheidungsprozesse offenlegen
Folgen des Urteils für den täglichen Geschäftsverkehr
Das Urteil hat weitreichende Auswirkungen auf die Praxis des geschäftlichen E-Mail-Verkehrs und die Anforderungen an die IT-Sicherheit von Unternehmen. Unternehmen, die Rechnungen oder andere sensible Dokumente per E-Mail versenden, müssen ihre Sicherheitsstandards grundlegend überdenken.
Eine der zentralen Erkenntnisse aus dem Urteil ist, dass eine bloße Transportverschlüsselung nicht als ausreichende Sicherheitsmaßnahme anerkannt wird. Stattdessen empfiehlt das Gericht die Nutzung einer Ende-zu-Ende-Verschlüsselung, um Manipulationen durch Dritte zu verhindern. Unternehmen sind daher angehalten, ihre IT-Infrastruktur zu überprüfen und gegebenenfalls auf sichere Kommunikationswege umzusteigen, etwa durch den Einsatz von digitalen Kundenportalen, auf denen Rechnungen in gesicherter Umgebung bereitgestellt werden.
Zudem zeigt das Urteil, dass Unternehmen proaktiv in Cybersicherheitsmaßnahmen investieren müssen. Dazu gehören Schulungen für Mitarbeiter, um sie für Phishing-Angriffe und andere Manipulationsversuche zu sensibilisieren, sowie der Einsatz von Multi-Faktor-Authentifizierung und signierten E-Mails zur Absicherung des Geschäftsverkehrs. Unternehmen, die diese Maßnahmen nicht ergreifen, riskieren nicht nur Datenschutzverstöße, sondern auch erhebliche finanzielle und haftungsrechtliche Konsequenzen.
Schließlich verdeutlicht das Urteil, dass die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ernst genommen werden muss. Unternehmen sollten daher regelmäßig ihre Datenschutz- und Sicherheitskonzepte evaluieren und dokumentieren, um im Streitfall nachweisen zu können, dass sie angemessene Maßnahmen zum Schutz personenbezogener Daten getroffen haben. Das Urteil ist damit ein klares Signal an Unternehmen, dass Datenschutz und IT-Sicherheit zentrale Bestandteile eines rechtssicheren Geschäftsbetriebs sein müssen.
Fazit
Das Schleswig-Holsteinische Oberlandesgericht hat mit diesem Urteil die Maßstäbe für den Schutz personenbezogener Daten im geschäftlichen E-Mail-Verkehr deutlich angehoben. Unternehmen sind verpflichtet, ein Höchstmaß an Sicherheit zu gewährleisten, um Datenschutzverstöße zu verhindern. Die Entscheidung unterstreicht, dass nicht nur der Schutz personenbezogener Daten, sondern auch der Schutz vor wirtschaftlichen Schäden für Kunden eine zentrale Rolle in der DSGVO spielt. Unternehmen sollten daher ihre Datenschutzmaßnahmen kritisch hinterfragen und gegebenenfalls nachrüsten, um vergleichbare Haftungsfälle zu vermeiden.
Quelle: Urteil Schleswig-Holsteinisches Oberlandesgericht 12 U 9/24 vom 18.12.2024
Sie wollen Komplikationen vermeiden und Ihr Unternehmen fit für Datenschutz und Compliance machen? Wir packen es gemeinsam an! Unsere Experten beraten Sie gerne. Rufen Sie uns an oder schreiben Sie uns:
Fon: +49 (228) 926165-100
E-Mail: info@2b-advice.com
German 
English 
Italian 
French