Unternehmen sollen verpflichtet sein, Rechnungsmails an Verbraucher nicht nur transportverschlüsselt, sondern per Ende-zu-Ende-Verschlüsselung zu versenden, da eine Transportverschlüsselung den Sicherheitsanforderungen der DSGVO nicht genüge (OLG Schleswig, Urteil vom 18.12.2024, Az. 12 U 9/24).
Verschlüsselung beim Rechnungsversand per E-Mail
Im zugrunde liegenden Fall hatte ein Unternehmen eine Rechnung per E-Mail an einen Verbraucher versendet und dabei lediglich eine Transportverschlüsselung verwendet. Unbekannte Dritte manipulierten die E-Mail und änderten die Bankverbindung, aber auch Layout und Farbe der E-Mail. Der Kunde überwies den Rechnungsbetrag daraufhin nicht an das Unternehmen, sondern auf das Konto der Betrüger.
In der Folge verklagte das Unternehmen den Verbraucher auf Zahlung. Die Klage wurde jedoch vom Oberlandesgericht Schleswig abgewiesen. Zwar habe die Zahlung des Verbrauchers an die Betrüger keine schuldbefreiende Wirkung gehabt. Dem Verbraucher stünde aber ein Schadensersatzanspruch aus Art. 82 DSGVO gegen das klagende Unternehmen zu, weil es durch einen „nur“ transportverschlüsselten Versand der Rechnungsmail seine Pflicht zum Schutz personenbezogener Daten gemäß Art. 32 DSGVO verletzt habe.
Aus dem Urteil:
„Nach Ansicht des Senats ist danach eine reine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.“
Transportverschlüsselung versus Ende-zu-Ende-Verschlüsselung: Bei der Transportverschlüsselung (z. B. mittels TLS) wird die E-Mail während der Übertragung zwischen den Mailservern verschlüsselt, liegt jedoch auf den Servern der Anbieter und auf den Endgeräten der Kommunikationspartner unverschlüsselt vor. Demgegenüber stellt die Ende-zu-Ende-Verschlüsselung sicher, dass nur der Absender und der vorgesehene Empfänger Zugriff auf den Klartext der Nachricht haben; selbst die beteiligten Mailserver können den Inhalt nicht einsehen. Weitergehende Erläuterungen zum technischen Hintergrund finden Sie beispielsweise auf der Website des BSI.
Kritik am Urteil des OLG Schleswig
Wir halten die Entscheidung des OLG Schleswig für ein Fehlurteil.
Ende-zu-Ende Verschlüsselung bei B2C E-Mails kein Standard
Stand heute kann keine Rede davon sein, dass Ende-zu-Ende Verschlüsselung im B2C-Bereich Standard wäre. Eine Ende-zu-Ende verschlüsselte E-Mail lässt sich nur mit geeigneten technischen Mitteln öffnen, etwa OpenPGP (Pretty Good Privacy), S/MIME (Secure/Multipurpose Internet Mail Extensions) oder etwa durch Nutzung verschlüsselter E-Mail-Portale wie z.B. ProtonMail oder Tutanota. Die allermeisten Verbraucher verfügen als Empfänger aber gerade nicht über solche Mittel oder Erfahrung im Umgang damit. Eine verpflichtende Ende-zu-Ende Verschlüsselung würde die E-Mail-Kommunikation zwischen Kunde und Anbieter daher erschweren oder gar verhindern.
Transportverschlüsselung ggf. plus digitale Signatur ausreichend
Eine Transportverschlüsselung, gegebenenfalls kombiniert mit zusätzlichen Sicherheitsmaßnahmen wie der digitalen Signatur von E-Mails, bietet durchaus ein angemessenes Schutzniveau. Die digitale Signatur gewährleistet die Authentizität und Integrität der Nachricht und könnte Manipulationen wie im vorliegenden Fall verhindern. Zudem ist diese Maßnahme für Unternehmen und Verbraucher leichter umzusetzen und würde die Kommunikation nicht unnötig komplizieren.
DSGVO schreibt keine bestimmten Verschlüsselungsmethoden vor
Zu berücksichtigen ist auch, dass die DSGVO keine spezifischen Verschlüsselungsmethoden vorschreibt, sondern einen risikobasierten Ansatz verfolgt. Unternehmen sind angehalten, basierend auf einer Risikoanalyse angemessene Sicherheitsmaßnahmen zu implementieren. Eine pauschale Verpflichtung zur Ende-zu-Ende-Verschlüsselung bei (Rechnungs-) E-Mails dürfte diesem flexiblen Ansatz widersprechen und die unternehmerische Freiheit bei der Wahl geeigneter Sicherheitsmaßnahmen einschränken.
Auch von Verbrauchern darf verlangt werden, den Kopf anzuschalten
Besonders befremdlich ist jedoch, dass das Oberlandesgericht keinerlei Mitverschulden auf Seiten des Verbrauchers erkennen konnte.
“Anders als das Landgericht meint, oblag der Beklagten bzw. dem Zeugen A., dessen Verschulden ihr möglicherweise gem. § 278 BGB zuzurechnen wäre, nach Ansicht des Senats keine genaue Überprüfung der letztlich auf dem Computer des Zeugen verfälscht, da hinsichtlich der Kontoverbindung manipuliert vorliegenden Rechnung. Die von der Klägerin aufgezeigten Unterschiede zu früheren (Abschlags-)Rechnungen betreffend die Farbe, Angaben zum Geschäftsführer, fehlenden QR-Code der Bankverbindung und fehlendes Siegel stellen geringfügige äußere Abweichungen dar, die weder der Beklagten noch dem Zeugen A. bei oberflächlicher Betrachtung auffallen mussten. Etwas anderes folgt auch nicht daraus, dass die Beklagte erkannt hat, dass die Kontoverbindung verändert war. Angesichts der Tatsache, dass im Geschäftsleben die Kontoverbindung eines Unternehmens aus diversen Gründen geändert wird, kann einer privaten Kundin wie der Beklagten nicht vorgeworfen werden, dass sie vor der Überweisung des offenen Werklohns keine Rücksprache mit der Klägerin genommen hat.“
