Unverschlüsselte Rechnungen per E-Mail sind riskant
News
25.03.2025
Schleswig-Holsteinisches OLG
Bild: Copyright (C) Andrey Popov
Nach einer Entscheidung des Schleswig-Holsteinischen OLG bleibt ein Bauhandwerksbetrieb nach einer per E-Mail übersandten, nicht Ende-zu-Ende verschlüsselten Handwerkerrechnung auf seiner Werklohnforderung sitzen. Nach der Entscheidung des OLG müssen Rechnungen per E-Mail Ende-zu-Ende verschlüsselt sein, will der Absender sichergehen, nicht am Schluss leer auszugehen.
Rechnungen per E-Mail mit Transportverschlüsselung übersandt
Die Klägerin des Rechtsstreits, der der Entscheidung zugrunde liegt, betreibt ein Unternehmen für die Installation von Haustechnik und rechnete im Auftrag der Beklagten erbrachte Baustellenarbeiten in 3 Tranchen ab. Die Rechnungen wurden nach Angaben der Beklagten jeweils als Anlage zu einer E-Mail im PDF 0-Format mit Transportverschlüsselung übersandt. Die ersten beiden Rechnungen überwies die Beklagte an die auf den Rechnungen angegebenen Bankverbindungen.
Schlussrechnung durch Hackerangriff manipuliert
Die dritte Abschlags- und gleichzeitige Schlussrechnung über gut 15.000 Euro wurde durch einen Hacker in krimineller Absicht manipuliert. Die Vorgehensweise des Hackers und insbesondere die exakte Versandphase, in der die Manipulation erfolgte, war im Verfahren nicht zu klären. Der Hacker hatte die auf der Rechnung angegebene Kontonummer zu seinen Gunsten verändert. Die Beklagte überwies den Schlussbetrag auf die in der Rechnung angegebene Kontonummer des unbefugten Dritten.
Werkunternehmen besteht auf nochmaliger Begleichung der Schlussrechnung
Die Klage der Werklohnunternehmerin auf erneute Zahlung der Rechnung hatte in 1. Instanz Erfolg. Das LG argumentierte, infolge der Überweisung des Rechnungsbetrages an einen unbekannten Dritten sei keine Erfüllung der Werklohnforderung angetreten. Die Klägerin habe durch Übersendung der Einzelrechnungen per E-Mail auch keine vertragliche Pflicht verletzt. Die von der Klägerin getroffenen Schutzvorkehrungen in Form einer Transportverschlüsselung per SMTP 0 (Simple Mail-Transfer-Protocol) seien beim E-Mail-Verkehr mit Vertragspartnern grundsätzlich ausreichend.
Überweisung an Nichtberechtigten hat keine Erfüllungswirkung
Dies sah das Rechtsmittelgericht anders. Das OLG gestand der Vorinstanz allerdings zu, zu Recht die Überweisung des Rechnungsbetrages an einen unbefugten Dritten nicht als Erfüllung der Werklohnforderung im Sinne von § 362 BGB gewertet zu haben. Allerdings habe das LG in seiner Entscheidung übersehen, dass der Beklagten gegenüber der Klägerin ein Schadenersatzanspruch zustehe, der der Klägerin gemäß § 242 BGB unter dem Gesichtspunkt der „dolo-agit-Einwendung“ entgegenzuhalten sei. Nach diesem – auch als Arglisteinrede bezeichneten – Rechtsinstitut liegt in der Geltendmachung eines Anspruchs eine unzulässige Rechtsausübung, wenn der Anspruchsberechtigte infolge eines Gegenanspruchs in gleicher Höhe die Leistung sofort wieder zurückführen müsste.
Schadenersatzanspruch der Beklagten wegen Datenschutzverletzung
Ein solcher Schadenersatzanspruch der Beklagten folgt nach Auffassung des Senats aus Art. 82 Abs. 2 DSGVO. Durch Übersendung der E-Mail mit angehängter Rechnung habe die Klägerin gegen die Datenschutzvorschriften der Art. 4, 5, 24 und 32 DSGVO verstoßen. Nach diesen Bestimmungen habe die Beklagte im Zuge der Verarbeitung personenbezogener Daten für ausreichenden Schutz vor dem Zugriff unbefugter Dritter zu sorgen. Die in der Rechnung enthaltenen Angaben zur Beklagten (Name, Anschrift, Grund der Rechnung) seien ohne weiteres als personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO zu qualifizieren.
Voraussetzungen des datenschutzrechtlichen Schadensersatzanspruches
Ein Schadensersatzanspruch gemäß Art. 82 Abs. 2 DSGVO setzt nach der Entscheidung des OLG lediglich voraus, dass
- eine schuldhaft rechtswidrige Verarbeitung personenbezogener Daten im Sinne von Art. 4 ff. DSGVO zu Grunde liegt,
- der Person, deren Daten verarbeitet wurden, ein Schaden entstanden ist,
- der kausal auf die rechtswidrige Datenverarbeitung zurückzuführen ist (EuGH, Urteil v. 25.1.2024, C-687/21).
Schadenersatz muss nicht explizit geltend gemacht werden
Da es sich bei der „dolo agit-Einwendung“ nicht um eine Einrede, sondern um eine von Amts wegen zu beachtende Einwendung handle, habe die Geschädigte sich nicht ausdrücklich auf Art. 82 Abs. 1 DSGVO berufen müssen (was die Beklagte im konkreten Fall auch nicht getan hatte). Es reiche aus, dass die Beklagte die Voraussetzungen für die Anwendbarkeit des Art. 82 Abs. 1 DSGVO vorgetragen habe und das Gericht auf der Grundlage des festgestellten Sachverhalts einen Schadensersatzanspruch aus Art. 82 DSGVO bejahen könne.
Datenschutz hat hohe Priorität
Der Senat legte Wert auf die Feststellung, dass ein Unternehmen, das personenbezogene Daten seiner Kunden digital verarbeitet, dem Schutz dieser Daten hohe Priorität einräumen muss. Gemäß Art. 5 Abs. 2 DSGVO i.V.m. Art. 24 DSGVO treffe den Verantwortlichen der Datenverarbeitung eine Rechenschaftspflicht, wonach er darzulegen und zu beweisen habe, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, personenbezogene Daten entsprechend dem von der DSGVO geforderten hohen Sicherheitsniveau vor dem Zugriff Unbefugter zu schützen (EuGH, Urteil v. 14.12.2023, C-340/21).
Einfache Transportverschlüsselung ist nicht ausreichend
Die Klägerin hätte nach Auffassung des OLG beachten müssen, dass dem Versand von Rechnungen per E-Mail das Risiko eines unbefugten Zugriffs Dritter immanent sei. Auch von einem mittelständischen Handwerksbetrieb müsse erwartet werden, dass es entsprechende sicherungstechnische Vorkehrungen bei Versendung von Rechnungen per E-Mail trifft. Eine einfache Transportverschlüsselung, bei der lediglich einzelne Abschnitte des Versandkanals verschlüsselt werden, entspreche diesen Anforderungen nicht. Nur bei einer Ende-zu-Ende-Verschlüsselung werde die Nachricht als solche verschlüsselt und sei vor dem Zugriff unbefugter Dritter gefeit.
Bei fehlender IT-Technik bleibt der Postweg als Alternative
Das OLG beschäftigte sich auch mit dem Problem, dass nicht jeder mittelständische Betrieb über die für eine Ende-zu-Ende-Verschlüsselung erforderlichen IT-Kenntnisse bzw. die technischen Voraussetzungen verfügt. In diesem Fall müsse ein Unternehmen seine Rechnungen konventionell auf dem herkömmlichen Postweg versenden, um Zugriffe unbefugter Dritter zu vermeiden. Dies folge nicht zuletzt aus dem hohen finanziellen Risiko, das andernfalls für den Kunden durch Manipulation einer angehängten Rechnung entstehen würde.
Kunde muss nicht nochmals zahlen
Im Ergebnis ging der Bauhandwerkerbetrieb hinsichtlich der erstellten Schlussrechnung nach der Entscheidung des OLG leer aus.
(Schleswig-Holsteinisches OLG, Urteil v. 18.12.2024, 12 U 9/24).
Schlagworte zum Thema:
Rechnung, Cyberkriminalität
-
GWG-Grenzen 2025 und Abschreibungsmöglichkeiten
14.119
-
Diese Unterlagen können 2025 vernichtet werden
7.8803
-
1-%-Regelung - Berechnung bei umsatzsteuerpflichtigem Unternehmer
5.965
-
Meldepflicht für elektronische Kassensysteme
4.269
-
Überblick über die Abschreibungsmöglichkeiten von PCs
3.708
-
Säumniszuschläge, wann sie fällig werden und wie sie richtig gebucht werden
3.5202
-
Kostendeckelung mit der 1-%-Regelung und sachgerechte Schätzung
3.476
-
Privatnutzung von Elektrofahrzeugen: Die 1-%-Regelung
3.185
-
Wie die Bewirtung eigener Arbeitnehmer richtig eingeordnet wird
3.070
-
Wann Leistungen als wiederkehrend bewertet werden
3.022
-
So gewinnen kleine und mittlere Unternehmen Zeit, Liquidität und Nerven
27.03.2025
-
Kassenführung: Bei Einnahmen-Überschussrechnung kein Kassenbuch erforderlich
18.03.2025
-
Kassenführung: Was bei einem Kassenbuch beachtet werden muss
18.03.2025
-
Kassenführung und Bareinnahmen – diese Grundsätze müssen Sie beachten
18.03.2025
-
Kassenführung: Bareinnahmen bei elektronischen Registrierkassen
18.03.2025
-
Überblick über die Abschreibungsmöglichkeiten von PCs
11.03.2025
-
Säumniszuschläge, wann sie fällig werden und wie sie richtig gebucht werden
05.03.20252
-
Termine für Umsatzsteuer-Voranmeldung und Lohnsteuer-Anmeldung Februar 2025
04.03.2025
-
Was ist beim Vorsteuerabzug und der Umsatzsteuer zu beachten
26.02.2025
-
Merkmale von GWG und Berechnung der Anschaffungskosten
13.02.2025
Bild: Haufe Online Redaktion
Aktuelle Informationen aus den Bereichen Steuern und Buchhaltung frei Haus - abonnieren Sie unseren Newsletter:
- Für Praktiker im Rechnungswesen
- Buchhaltung und Lohnbuchhaltung
- Alles rund um betriebliche Steuern