Rechnungsversender sind beim Versand von Rechnungen per E-Mail verpflichtet, die E-Mail mittels „Ende-zu-Ende-Verschlüsselung“ zu schützen. Dies sieht zumindest das OLG Schleswig so (vgl. Urteil vom 18.12.2024 - 12 U 9/24). Die heutzutage gängige „Transportverschlüsselung“ reicht nach Ansicht des Gerichts nicht aus, um die datenschutzrechtlichen Sicherheitsanforderungen zu erfüllen.

Während bei der „Transportverschlüsselung“ lediglich der Versandweg der E-Mail, also die Verbindung zwischen den Servern und den Endgeräten, verschlüsselt und geschützt wird, der Inhalt der E-Mail selbst innerhalb dieses Wegs aber unverschlüsselt bleibt, wird bei der „Ende-zu-Ende-Verschlüsselung“ die Nachricht bereits auf dem Gerät des Senders verschlüsselt und erst beim Empfänger selbst entschlüsselt.

Problem dabei: Die „Ende-zu-Ende-Verschlüsselung“ erfordert sowohl beim Versender als auch beim Empfänger besondere Vorkehrungen, so dass der Rechnungsversand wie bisher „auf Knopfdruck“ für viele Rechnungsversender und -empfänger so nicht mehr möglich wäre.

In dem konkreten Fall wurde die versendete Rechnung von einem kriminellen Dritten abgefangen, die Überweisungsdaten (IBAN) verändert und die so veränderte Rechnung an den Empfänger weitergeleitet. Dieser überwies den Rechnungsbetrag sodann auf das falsche Konto – eine Betrugsmasche, die mittlerweile leider nicht selten vorkommt.

Das Gericht entschied, dass der Rechnungsempfänger durch die Überweisung auf das falsche Konto zwar seine Zahlungsverpflichtung nicht erfüllt.

Dieser kann dem weiterhin bestehenden Zahlungsanspruch aber einendatenschutzrechtlichen Schadensersatzanspruch entgegenhalten. Die Höhe des Schadensersatzanspruchs entspricht der Höhe des Rechnungsbetrags, also der auf das Betrügerkonto getätigten Überweisung.

Zur rechtlichen Einordnung: Gem. Art. 82 Abs. 1 DSGVO kann grundsätzlich jede natürliche Person einen materiellen oder immateriellen Schadensersatz gegen einen für die Verarbeitung von personenbezogenen Daten Verantwortlichen geltend machen, wenn dieser gegen Bestimmungen der DSGVO verstößt.

Somit ist zunächst festzustellen, dass das Risiko primär im B2C-Geschäft besteht, da die DSGVO nur zu Gunsten natürlicher Personen gilt. Zu beachten ist allerdings, dass der Anwendungsbereich darüber hinaus auch auf den unternehmerischen Bereich ausgedehnt werden kann, wenn eine enge Verbindung zwischen einer Privatperson und dem Unternehmen besteht, was vor allem bei einem Einzelkaufmann gegeben ist, aber auch z.B. bei Ein-Mann-GmbHs oder ähnlichen engen Verflechtungen. Insofern ist damit wohl auch der B2B-Bereich erfasst.

Ein unbefugter Zugriff eines Dritten auf personenbezogene Daten allein führt allerdings nicht automatisch zu einer Schadensersatzpflicht. Eine Haftung tritt nach Ansicht des Gerichts nur ein, wenn der Verantwortliche nicht nachweisen kann, dass er die nötigen Sicherheitsvorkehrungen gegen einen solchen unbefugten Zugriff getroffen hat. Zudem kann ein Mitverschulden des Empfängers in Betracht gezogen werden, etwa wenn die Manipulation der E-Mail oder der Rechnung offensichtlich ist. Dies ist natürlich eine Frage des Einzelfalls.

Die Anforderungen an diese Sicherheitsvorkehrungen sind je nach Risiko der Datenverarbeitung konkret zu beurteilen. Das OLG Schleswig hat im geschilderten Fall entschieden, dass eine einfache Transportverschlüsselung bei E-Mail-Kommunikation mit angehängten Rechnungen nicht genügt, insbesondere wenn ein hohes finanzielles Risiko durch mögliche Manipulationen besteht. Vielmehr stelle nur die Ende-zu-Ende-Verschlüsselung einen ausreichenden Schutz dar.

Falls ein Rechnungsversender dieses Schutzniveau nicht schaffen kann oder möchte, bliebe ihm nach Ansicht des OLG Schleswig immer noch die Möglichkeit des Rechnungsversandes per Post. In Zeiten von Digitalisierung und eRechnung scheint dieser Vorschlag nicht nur grotesk und aus der Zeit gefallen, sondern zeigt auch, dass in der analogen und der digitalen Welt (wie so oft) mit zweierlei Maß gemessen wird:

Zieht man eine Parallele zwischen analogem Postversand und digitalem E-Mail-Versand der Rechnung, wäre das Äquivalent für den Postversand eben gerade die Transportverschlüsselung: Auch auf dem Postweg bleibt der Inhalt der Nachricht (die Rechnung im Brief) weiterhin lesbar und nur der Transportweg ist „verschlüsselt“, d.h. durch den verschlossenen Briefumschlag (mehr schlecht als recht) geschützt.

Dennoch ist bislang wohl noch niemand auf die Idee gekommen, den Postversand einer Rechnung als unsicher und deshalb unzulässig zu bezeichnen, obwohl es doch auch hier Möglichkeiten gäbe, ein höheres Sicherheitsniveau zu erreichen, etwa durch Chiffrierung des Inhalts. Absender und Empfänger müssten sich dann eben Dechiffriermaschinen zulegen. Eben dies wäre – zurück in der digitalen Welt – die „Ende-zu-Ende-Verschlüsselung“.

Vielleicht beabsichtigt das OLG mit dieser sehr weitgehenden Entscheidung eine Beschäftigung des Bundesgerichtshofs mit der Thematik. Im insofern entscheidenden letzten Satz des Urteils lässt das OLG die Revision mit dem Hinweis zu, dass die Frage, welches Schutzniveau vom Verarbeiter beim Versand geschäftlicher Emails mit personenbezogenen Daten, insbesondere mit angehängten Rechnungen, einzuhalten ist, höchstrichterlich noch nicht geklärt ist. Das letzte Wort ist hier somit wohl noch nicht gesprochen.

Bis dahin bleiben im Wesentlichen drei Handlungsalternativen:

Erstens: Schaffen der technischen Voraussetzungen, sprich: Versand von Rechnungen mit „Ende-zu-Ende-Verschlüsselung“.

Hierzu gibt es technische Lösungen, die eine Verschlüsselung ermöglichen (sog. „S/MIME“ oder „PGP“). Allerdings müssen diese nicht nur beim Versender eingerichtet werden, auch die Empfängerseite muss eines dieser Verfahren unterstützen. Alternativ gibt es z.B. sog. Webportal-Lösungen: Die E-Mail wird dem Empfänger dann automatisch und verschlüsselt auf einem Webportal zur Verfügung gestellt, auf das nur er Zugriff hat.

Für Einzelfälle dürfte es für eine „Ende-zu-Ende-Verschlüsselung“ auch genügen, wenn man die Rechnung als passwortgeschütztes PDF oder in einer kennwortgeschützte ZIP-Datei versendet. Allerdings muss das Passwort dann dem Empfänger auf einem anderen als dem E-Mail-Weg mitgeteilt werden (z.B. per Telefon oder SMS), also keine echte Alternative für massenhaften Rechnungsversand.

Zweitens: Versand der Rechnungen per Post, wie es das OLG Schleswig alternativ empfiehlt. Möchte man allerdings eRechnungen versenden, scheidet diese Alternative selbstverständlich aus.

Drittens: Inkaufnahme des Risikos (aus rechtlicher Sicht freilich ausdrücklich nicht zu empfehlen!). Soweit der Rechnungsbetrag nicht überwiesen werden soll (weil bereits bar bezahlt oder anderweitig eingezogen) oder die Kontoverbindung mit dem Rechnungsempfänger auf andere Weise gesichert geklärt ist, wäre zumindest das Risiko einer Fehlüberweisung reduziert. Ein Restrisiko bleibt dennoch, denn zum einen sollte man die Kreativität der Betrüger nicht unterschätzen („Achtung, neue Kontonummer!“) und zum anderen verbleibt auch ohne Fehlüberweisung im ungenügend geschützten Versand ein abstrakter Datenschutzverstoß. Auch wenn ein materieller Schaden nicht entstanden ist, besteht dann nach der DSGVO ein sog. „immaterieller Schadensersatzanspruch“, der bereits bei einem behaupteten Verlust über die Kontrolle der Daten (also etwa ein befürchtetes Gelangen der E-Mail in unberechtigte Hände) einschlägig sein kann.

Mitwirkende Autorin: Lara Meisner, Rechtsassessorin THORWART