Datenschutzrisiken beim digitalen Rechnungsversand

21. Februar 2025

Für Unternehmen ist es längst normal Rechnungen per E-Mail zu versenden. Beim digitalen Rechnungsversand existieren aber nicht zu unterschätzende Datenschutzrisiken, wie ein Urteil des Oberlandesgerichts Schleswig (OLG) vom 18.12.2024 (Az. 12 U 9/24) zeigt. Unzureichende Sicherheitsmaßnahmen können nicht nur finanzielle Schäden verursachen, sondern auch erhebliche datenschutzrechtliche Konsequenzen nach sich ziehen. Das Urteil verdeutlicht, dass eine einfache Transportverschlüsselung oft nicht genügt, um Datensicherheit zu gewährleisten.

Gefälschte Rechnung und finanzielle Verluste

Im entschiedenen Fall erhielt ein Kunde eine Rechnung von einem Handwerksbetrieb per E-Mail in Höhe von 15.000 €. Unbekannte Dritte manipulierten jedoch rechtswidrig die Nachricht und änderten die Bankverbindung. Der Kunde zahlte daraufhin den Rechnungsbetrag auf das falsche Konto. Als der Handwerksbetrieb die Zahlung einforderte, weigerte sich der Kunde, den Betrag erneut zu überweisen, und verwies auf die unzureichende Transportverschlüsselung des Rechnungsversands. Das Unternehmen reichte daraufhin Klage ein.

Urteil des OLG Schleswig

Das OLG Schleswig beschloss nun in seinem Urteil, dass der Kunde zwar weiterhin zur Zahlung verpflichtet war, er jedoch ein Schadensersatzanspruch in Höhe der fälschlicherweise getätigten Zahlung gemäß Art. 82 DSGVO habe. Diesen könne er mit der Forderung des Unternehmens verrechnen. Das Gericht stellte fest, dass der Handwerksbetrieb durch einen unsicheren Rechnungsversand die Grundsätze der Art. 5, 24 und 32 Datenschutzgrundverordnung (DSGVO) verletzt habe.

Warum Transportverschlüsselung allein nicht genügt

Besonders schwer wiege die fehlende Ende-zu-Ende-Verschlüsselung, da die Transportverschlüsselung im B2C-Verhältnis nicht ausreiche, um den Zugriff durch Dritte zu verhindern. Bei der Transportverschlüsselung werden E-Mails nur während der Übertragung zwischen Servern geschützt. Auf den Endgeräten oder Mailservern des Empfängers bleiben die Inhalte jedoch unverschlüsselt. Angreifer mit Zugriff auf diese Systeme können Nachrichten manipulieren oder auslesen.

Dies hätte das Unternehmen auch erkennen und gemäß Art. 32 DSGVO geeignete Sicherheitsvorkehrungen treffen müssen. Zwar stelle dies einen höheren technischen Aufwand dar, das befreie aber Verantwortliche nicht von ihrer Pflicht für Datensicherheit zu sorgen. Im konkreten Fall ergäbe sich aus der Höhe des Risikos für den Betroffenen die Pflicht zur Ergreifung von Maßnahmen. Von einem mittelständischen Handwerksbetrieb, wie es der Kläger ist, hätte man verlangen können, sich im Zweifel technisch und rechtlich beraten zu lassen.

Nicht zu vernachlässigen ist allerdings, dass der Schadensersatzanspruch hier nur deshalb bejaht wurde, weil die versendende Handwerksfirma nicht nachweisen konnte, dass die Transportverschlüsselung tatsächlich genutzt wurde bzw. dass sie unter diesen Umständen ausreichend war. Unternehmen sind verpflichtet, nachzuweisen, dass ihre Sicherheitsmaßnahmen den Anforderungen der DSGVO entsprechen. Gemäß Art. 5 Abs. 2 und Art. 24 DSGVO liegt die Darlegungs- und Beweislast beim datenschutzrechtlich Verantwortlichen – also bei dem Unternehmen, das die E-Mails versendet. Das bedeutet, dass nicht nur geeignete Maßnahmen ergriffen, sondern diese auch dokumentiert und im Streitfall nachgewiesen werden müssen. In diesem Fall legte das Bauunternehmen jedoch nicht ausreichend dar, welche Schutzmaßnahmen tatsächlich getroffen wurden.

Praktische Maßnahmen zur Absicherung

Ein allgemeiner Zwang zur Einrichtung einer Ende-zu-Ende-Verschlüsselung gibt es nicht. Vielmehr müssen Verantwortliche im Rahmen eines risikobasierten Ansatzes Abwägen, welche technischen und organisatorischen Maßnahmen sie zur Gewährleistung des Datenschutzes ergreifen müssen. Im Folgenden erklären wir Ihnen kurz einige Möglichkeiten. Vorher ist es jedoch wichtig festzuhalten, dass das Urteil eine zentrale Frage nicht eindeutig beantwortet: War die unzureichende Verschlüsselung tatsächlich die Ursache für den Betrug? Die Richter durften eine Kausalität annehmen, ohne sie im Detail überprüfen zu müssen. Da der genaue Angriffsvektor unbekannt ist, bleibt unklar, ob eine Ende-zu-Ende-Verschlüsselung allein eine vorherige Manipulation der Rechnung hätte verhindern können.

PGP (Pretty Good Privacy) und OpenPGP nutzen beispielsweise asymmetrische Verschlüsselung mit öffentlichen und privaten Schlüsseln. Diese Methode bietet ein hohes Maß an Sicherheit, ist jedoch in der Einrichtung und Verwaltung komplex. S/MIME (Secure/Multipurpose Internet Mail Extensions) basiert auf Zertifikaten vertrauenswürdiger Zertifizierungsstellen und ist in viele E-Mail-Programme integriert. Es bietet eine sichere Verschlüsselung, erfordert aber den Erwerb kostenpflichtiger Zertifikate. Alternativ ermöglichen einige Webmail-Dienste mit Ende-zu-Ende-Verschlüsselung eine automatische Verschlüsselung ohne manuelle Schlüsselverwaltung. Allerdings kann die Kommunikation mit externen Empfängern dadurch erschwert werden.

Fazit

Das Urteil des OLG Schleswig zeigt die Datenschutzrisiken beim digitalen Rechnungsversand auf. Unternehmen sind für die Sicherheit ihrer elektronischen Kommunikationswege verantwortlich und müssen im Rahmen eines risikobasierten Ansatzes entsprechende Maßnahmen ergreifen. Eine unzureichend gesicherte E-Mail kann im schlimmsten Fall nicht nur finanzielle Verluste nach sich ziehen, sondern auch zu erheblichen datenschutzrechtlichen Risiken führen. Das Urteil betrifft hier konkret den b2c-Bereich; im b2b-Bereich kann dies wiederum anders gelagert sein. Unternehmen sollten daher prüfen, ob eine Ende-zu-Ende-Verschlüsselung für ihre Prozesse praktikabel ist oder alternative, sichere Übertragungswege genutzt werden können. Als Externe Datenschutzbeauftragte helfen wir Ihnen, für Ihr Unternehmen maßgeschneiderte Lösungen zu entwickeln.

Kategorien: Datenschutz-Basics · DSGVO · materieller Schaden · Online-Datenschutz · Phishing · Rechtsprechung