DSGVO Kundin überweist Werklohn auf Betrüger-Konto: Wer bleibt auf dem Schaden sitzen?

Das Schleswig-Holsteinische Oberlandesgericht (OLG Schleswig) befasste sich in einem Urteil vom 18. Dezember 2024 (Az. 12 U 9/24) mit der Haftung bei unzureichend gesichertem Versand von Rechnungen per E-Mail. Ein Handwerksbetrieb hatte eine Schlussrechnung über 15.000 Euro als PDF-Anhang per E-Mail an eine Kundin gesendet. Diese E-Mail wurde von Dritten abgefangen und manipuliert, sodass die Kundin den Betrag auf ein falsches Konto überwies. ​Der Handwerksbetrieb verlangte von der Kundin jedoch weiterhin Zahlung der 15.000 EUR. Zu Recht?

Urteil des OLG Schleswig

Das OLG Schleswig entschied, dass die Kundin nicht noch einmal zahlen müsse. Zwar wurde die Werklohnforderung des Handwerkbetriebs nicht erfüllt. Jedoch steht der Kundin ein Schadensersatzanspruch gemäß Art. 82 DSGVO in Höhe der getätigten Überweisung zu, den sie der Werklohnforderung entgegenhalten kann.

Der Handwerksbetrieb kann somit von der Kundin nicht die Zahlung verlangen und bleibt auf den Kosten sitzen.

Hintergrund

Art. 82 DSGVO gewährt einen Schadensersatzanspruch im Falle von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO). Im konkreten Fall habe der Handwerksbetrieb beim Versand der E-Mail gegen die Grundsätze der Art. 5, 24 und 32 DSGVO verstoßen.

Der Verantwortliche ist nach dem in Art. 5 Abs. 2 DSGVO verankerten und in Art. 24 DSGVO konkretisierten Grundsatz der Rechenschaftspflicht verpflichtet, darzulegen und nachzuweisen, dass die von ihm ergriffenen Sicherheitsmaßnahmen geeignet waren, die personenbezogenen Daten vor unbefugtem Zugriff in einem der Datenschutz-Grundverordnung entsprechenden Sicherheitsniveau zu schützen. Dies sei dem Handwerkbetrieb im vorliegenden Fall nicht gelungen. Der Senat bewertet die von dem Handwerksbetrieb behauptete Verwendung einer Transportverschlüsselung (SMTP über TLS) beim Versand der streitgegenständlichen E-Mail – deren tatsächliche Anwendung die Beklagte bestreitet – als unzureichend und somit nicht als „geeignet“ im Sinne der DSGVO.

Stattdessen hätte der Betrieb eine Ende-zu-Ende Verschlüsselung nutzen müssen. Damit wäre sichergestellt gewesen, dass nur die Kundin die E-Mail entschlüsseln kann, nicht aber zwischengeschaltete Server oder Dritte.

Fazit

Unternehmen sollten beim Versand von geschäftlichen E-Mails mit personenbezogenen Daten sicherstellen, dass ein geeigneter Schutz im Sinne der DSGVO besteht - insbesondere bei einem hohen finanziellen Risiko durch Verfälschung. Die Transportverschlüsselung (z. B. TLS) reiche laut OLG Schleswig dafür nicht aus, da sie kein Schutz gegen Serverzugriffe oder Man-in-the-Middle-Angriffe biete. Vielmehr sei die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.

Quelle: Urteil des Oberlandesgerichts Schleswig vom 18.12.2024 – 12 U 9/24