Wenn eine per E-Mail versandte Werklohnrechnung gehackt und unbefugt verändert wird und der Kunde deshalb an einen unbekannten Dritten zahlt, muss er nicht noch einmal an den Werkunternehmer zahlen, wenn dieser die Rechnung ohne Ende-zu-Ende-Verschlüsselung versandt hat und deshalb gegen ihn ein Schadensersatzanspruch aus Art. 82 DSGVO besteht. Dies hat das OLG Schleswig-Holstein mit Urteil vom 18.12.2024 (12 U 9/24) entschieden.
Darum ging es im Streitfall
Die Klägerin, ein Unternehmen für Haustechnik, führte Installationsarbeiten für die Beklagte aus und stellte dafür drei Abschlagsrechnungen. Die ersten beiden Rechnungen beglich die Beklagte ordnungsgemäß. Die dritte Rechnung über ca. 15.000 Euro wurde per E-Mail als PDF-Anhang verschickt, war jedoch durch einen Dritten unbemerkt manipuliert worden. Die Beklagte überwies den Betrag auf das Konto eines unbekannten Dritten, wodurch die Klägerin keine Zahlung erhielt.
Das Landgericht entschied zunächst, dass die Beklagte den Betrag erneut zahlen müsse, da die Zahlung an einen unberechtigten Dritten nicht zur Erfüllung der Forderung führte. Zudem verneinte es eine Pflichtverletzung der Klägerin, da die eingesetzten Schutzmaßnahmen – eine Transportverschlüsselung per SMTP über TLS – als ausreichend angesehen wurden.
Das Urteil des Oberlandesgerichts
Das Schleswig-Holsteinische Oberlandesgericht änderte das Urteil ab und wies die Klage ab. Es stellte zwar fest, dass die Zahlung an den unbekannten Dritten keine Erfüllung der Werklohnforderung bewirkte. Allerdings könne sich die Beklagte auf einen Schadensersatzanspruch berufen und müsse daher nicht erneut zahlen.
Dieser Anspruch ergebe sich aus Art. 82 Abs. 2 DSGVO, da die Klägerin gegen die datenschutzrechtlichen Grundsätze der Art. 5, 24 und 32 DSGVO verstoßen habe. Insbesondere sei die verwendete Transportverschlüsselung nicht ausreichend gewesen, um den Schutz der personenbezogenen Daten der Beklagten sicherzustellen.
Bedeutung der Entscheidung
Nach Auffassung des OLG müssen Unternehmen, die personenbezogene Daten verarbeiten, angemessene Schutzmaßnahmen ergreifen. Eine Transportverschlüsselung reicht nicht aus, wenn das finanzielle Risiko für Kunden hoch ist. In solchen Fällen sei eine Ende-zu-Ende-Verschlüsselung erforderlich. Unternehmen müssen bei der elektronischen Übermittlung sensibler Daten proaktiv handeln, um Betrug durch Manipulationen vorzubeugen. Auch kleinere Betriebe können verpflichtet sein, entsprechende Sicherheitsmaßnahmen zu ergreifen oder alternative Übermittlungswege wie den Postversand zu nutzen.
