Das Schleswig-Holsteinische Oberlandesgericht (OLG) hat mit seinem Urteil (Az. 12 U 9/24) klargestellt, dass Unternehmen für unzureichende Sicherheitsvorkehrungen beim Versand geschäftlicher E-Mails haften können. Der Fall betrifft eine manipulierte Rechnung, die nach einer Sicherheitslücke per E-Mail versandt wurde, wodurch eine Zahlung an ein fremdes Konto erfolgte.
Das Urteil betont, dass eine bloße Transportverschlüsselung bei sensiblen Daten nicht ausreicht. Unternehmen sind verpflichtet, moderne Sicherheitsmaßnahmen wie End-to-End-Verschlüsselung zu nutzen, um Datenschutzverstöße zu vermeiden.
Hintergrund des Falls
Ein Bauunternehmen verschickte eine Schlussrechnung per E-Mail an einen Kunden. Unbekannte Dritte manipulierten die Bankverbindung in der angehängten PDF-Datei. Der Kunde überwies den Rechnungsbetrag von 14.924,20 Euro auf das gefälschte Konto, anstatt auf das Konto des Bauunternehmens.
Das Unternehmen verlangte die Zahlung erneut, da die ursprüngliche Überweisung nicht auf das richtige Konto eingegangen war. Der Kunde berief sich jedoch darauf, dass die Sicherheitslücken des Unternehmens für den Schaden verantwortlich seien.
In erster Instanz gab das Landgericht Kiel dem Bauunternehmen Recht, doch das OLG Schleswig entschied anders.
Kernaussagen des Urteils
1. Keine Erfüllung der Zahlungspflicht bei manipulierten Rechnungen
Das Gericht stellte klar, dass eine Zahlung nur dann als erfüllt gilt, wenn der geschuldete Betrag auf dem Konto des richtigen Empfängers ankommt (§ 362 BGB).
- Die Zahlung auf ein manipuliertes Konto erfüllt die Schuld nicht.
- Der Kunde kann das Unternehmen nicht für den Betrug verantwortlich machen, sofern kein eigenes Verschulden des Unternehmens vorliegt.
2. Haftung des Unternehmens bei unzureichender E-Mail-Sicherheit
Das OLG entschied, dass das Bauunternehmen für die mangelhafte Sicherung seiner Rechnungs-E-Mails haftbar gemacht werden kann.
- Die Nutzung von Transportverschlüsselung (SMTP über TLS) wurde als unzureichend bewertet.
- End-to-End-Verschlüsselung sei derzeit der empfohlene Standard, insbesondere bei sensiblen Daten wie Rechnungen.
Das bedeutet: Unternehmen müssen aktiv Maßnahmen ergreifen, um Datenmanipulationen zu verhindern. Wer das nicht tut, setzt sich einem Schadensersatzanspruch aus Art. 82 DSGVO aus.
3. Schadensersatzanspruch nach DSGVO möglich
Das Gericht entschied, dass der Kunde einen Schadensersatzanspruch nach Art. 82 DSGVO geltend machen kann, wenn der Datenschutzverstoß nachgewiesen wird.
- Die DSGVO verpflichtet Unternehmen zur Umsetzung technischer Schutzmaßnahmen.
- Die Beweislast für die Einhaltung der Datenschutzvorschriften liegt beim Unternehmen.
Ein Unternehmen kann sich nicht einfach darauf berufen, dass es noch nie einen Sicherheitsvorfall gab. Vielmehr müssen präventive Maßnahmen getroffen werden, um Datenverluste zu vermeiden.
Bedeutung des Urteils für Unternehmen
Dieses Urteil hat weitreichende Folgen für alle Unternehmen, die Rechnungen oder andere geschäftliche Dokumente per E-Mail versenden. Die wichtigste Erkenntnis:
- Einfache Transportverschlüsselung reicht nicht aus – Unternehmen müssen auf End-to-End-Verschlüsselung umstellen.
- Sorgfaltspflicht gilt auch für mittelständische Unternehmen – IT-Sicherheit ist nicht nur ein Thema für Großkonzerne.
- Mögliche Haftung bei Cyber-Betrug – Wenn Unternehmen nicht ausreichend schützen, kann ein Kunde Schadensersatzansprüche geltend machen.
Fazit: IT-Sicherheitsmaßnahmen sind Pflicht
Das Urteil des OLG Schleswig unterstreicht, wie wichtig es für Unternehmen ist, ihre IT-Sicherheitsmaßnahmen zu überprüfen und gegebenenfalls anzupassen. Wer Rechnungen per E-Mail versendet, sollte dringend auf eine End-to-End-Verschlüsselung umsteigen, um Datenschutzverstöße und finanzielle Risiken zu vermeiden.
Falls Sie unsicher sind, ob Ihre aktuellen Sicherheitsmaßnahmen den gesetzlichen Anforderungen entsprechen, stehen wir Ihnen gern beratend zur Seite.