Wenn eine per E-Mail versandte Werklohnrechnung gehackt und unbefugt verändert wird und der Kunde deshalb an einen unbekannten Dritten zahlt, muss er nicht noch einmal an den Werkunternehmer zahlen, wenn dieser die Rechnung ohne Ende-zu-Ende-Verschlüsselung versandt hat und deshalb gegen ihn ein Schadensersatzanspruch aus Artikel 82 der Datenschutz-Grundverordnung (DS-GVO) besteht. Das hat das Oberlandesgericht (OLG) Schleswig-Holstein entschieden.

Die Klägerin verlangt von der Beklagten die erneute Zahlung ihrer Werklohnforderung, nachdem der Betrag wegen einer Manipulation der per E-Mail versandten Rechnung durch kriminell handelnde Dritte dem Konto eines Unbekannten gutgeschrieben wurde.

Sie betreibt ein Unternehmen für die Installation von Haustechnik und führte für die Beklagte Installationsarbeiten durch. Die erbrachten Leistungen rechnete sie in drei Abschlagsrechnungen ab, die jeweils als Anlage zu einer E-Mail im pdf-Format übersandt wurden. Die ersten zwei Abschlagsrechnungen beglich die Beklagte per Überweisung an die auf den Rechnungen angegebenen Bankverbindungen der Klägerin.

Die dritte Abschlagsrechnung über rund 15.000 Euro, die zugleich die Schlussrechnung war, war jedoch auf ungeklärte Weise durch einen Dritten manipuliert worden, sodass die Beklagte den Rechnungsbetrag auf das Konto des unbekannten Dritten überwies. Auf dem Konto der Klägerin ging deshalb auf die Schlussrechnung keine Zahlung ein.

Das OLG hat die Zahlungsklage gegen die beklagte Kundin abgewiesen. Die Zahlung der Beklagten an einen Dritten habe zwar keine Erfüllung der Forderung bei der Klägerin bewirkt. Die Beklagte habe jedoch einen Schadensersatzanspruch gegen die Unternehmerin, den sie der Werklohnforderung nach Treu und Glauben (§ 242 Bürgerliches Gesetzbuch) entgegenhalten könne, sodass sie die Forderung nicht noch einmal bezahlen müsse.

Der Schadensersatzanspruch ergebe sich aus Artikel 82 Absatz 2 DS-GVO, weil die Klägerin im Zuge der Verarbeitung der personenbezogenen Daten der Beklagten bei Versand der streitgegenständlichen E-Mail mit Anhang gegen die Grundsätze der Artikel 5, 24 und 32 DS-GVO verstoßen habe. Das OLG hält die Transportverschlüsselung, die beim Versand der streitgegenständlichen E-Mail in Form von SMTP über TLS verwendet worden sein soll, nicht für ausreichend und damit auch nicht als zum Schutz der Daten "geeignet" im Sinne der DS-GVO.

Heute müsse jedem Unternehmen, das personenbezogene Daten seiner Kunden computertechnisch verarbeitet, bewusst sein, dass der Schutz dieser Daten hohe Priorität - auch beim Versenden von E-Mails - genießt. Unternehmen müssten diesen Schutz durch entsprechende Maßnahmen so weit wie möglich gewährleisten.

Gerade bei sensiblen oder persönlichen Inhalten sei nur eine Ende-zu-Ende-Verschlüsselung zum Schutz im Sinne der DS-GVO geeignet, wenn ein hohes finanzielles Risiko durch Verfälschung der angehängten Rechnung für den Kunden besteht. Dass Kunden von Unternehmen bei einem Datenhacking Vermögenseinbußen drohen, sei ein Risiko, das dem Versand von Rechnungen per E-Mail immanent ist und deshalb eine entsprechende Voraussicht und ein proaktives Handeln erfordert. Der dafür erforderliche technische und finanzielle Aufwand könne auch von einem mittelständischen Handwerksbetrieb erwartet werden, wenn es seine Rechnungen nicht per Post versendet.

Oberlandesgericht Schleswig-Holstein, Urteil vom 18.12.2024, 12 U 9/24