Das Urteil
Das Gericht entschied am 18.12.2024 (Az. 12 U 9/24), dass die Zahlung eines Werklohns durch einen privaten Kunden auf ein falsches Konto, nachdem die Rechnung per E-Mail unbefugt verändert wurde, nicht die Zahlungsverpflichtung erfüllt (§ 362 Abs. 2 BGB). Der Kunde kann jedoch Schadensersatz für die Überweisung auf das falsche Konto verlangen und dies gegen die Forderung des Werkunternehmers einwenden (§ 242 BGB). Ein solcher Schadensersatzanspruch kann auch aus Art. 82 DSGVO resultieren, wenn personenbezogene Daten schuldhaft und rechtswidrig verarbeitet wurden, was einen Schaden verursachte.
Das Gericht stellte klar, dass ein Verantwortlicher gemäß DSGVO nachweisen muss, dass angemessene Sicherheitsmaßnahmen getroffen wurden, um personenbezogene Daten zu schützen. Eine reine Transportverschlüsselung sei bei hohem finanziellen Risiko nicht ausreichend; End-to-End-Verschlüsselung sei erforderlich.
FAZIT
Das Urteil des Schleswig-Holsteinischen Oberlandesgerichts ist mit Vorsicht zu genießen. Es geht davon aus, dass Rechnungen sensible Daten enthalten. Unseres Erachtens ist die Sensibilität allein durch die Adressdaten des Empfängers nicht zu begründen, auch dann nicht, wenn es sich um den Versand an Privatpersonen handelt. Zudem existiert ein Urteil des OLG Karlsruhe vom 27.07.2023 (Az. 19 U 83/22), das entschieden hat, dass eine End-to-End-Verschlüsselung für den Rechnungsversand zwischen Unternehmen weder üblich noch gesetzlich erforderlich ist.
Die Datenschutzkonferenz, das ist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat zudem am 16. Juni 2021 eine Orientierungshilfe herausgegeben. Diese besagt, dass eine Transportverschlüsselung grundsätzlich für den E-Mail-Versand ausreichend ist, es sei denn, es sind besondere Kategorien von personenbezogenen Daten, auch umgangssprachlich als sensible Daten bezeichnet, enthalten.
Besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO umfassen Informationen, die besonders schützenswert sind. Dazu gehören Daten, die Rückschlüsse auf die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer Person zulassen.
In Fällen, in denen solche besonderen Kategorien von Daten verarbeitet werden, sind strengere Sicherheitsmaßnahmen erforderlich, um die Vertraulichkeit und Integrität der Daten zu gewährleisten. In allen anderen Fällen sollte die Transportverschlüsselung jedoch ausreichen, um den Anforderungen der DSGVO gerecht zu werden.
Es ist auch fraglich, ob der Schaden überhaupt vermeidbar gewesen wäre, selbst wenn die richtige Rechnung End-to-End-verschlüsselt gewesen wäre.
Wir raten Unternehmen daher, bei der Mitteilung von neuen Kontoverbindungen, aufgrund der Manipulationsgefahr, immer eine Validierung über einen zweiten Kommunikationskanal durchzuführen.
Wir beraten unsere Mandanten in Bezug auf Datenschutz und Informationssicherheitsrecht. Profitieren auch Sie auch von unserer langjährigen Expertise in diesen Bereichen und holen Ihr individuelles Beartungsangebot ein!