WISSENSWERTES | 31.03.2025
E-Mail-Sicherheit im Geschäftsverkehr: OLG Schleswig-Holstein konkretisiert Anforderungen der DSGVO
Mit Urteil vom 18. Dezember 2024 (Az. 12 U 9/24) hat das Schleswig-Holsteinische Oberlandesgericht eine überaus praxisrelevante Entscheidung zur datenschutzrechtlichen Verantwortlichkeit beim Versand von E-Mails im Geschäftsverkehr getroffen. Im Zentrum steht die Frage, ob die Verwendung einer bloßen Transportverschlüsselung beim Versand von Rechnungen per E-Mail den Anforderungen aus Art. 32 DSGVO genügt – insbesondere, wenn die unzureichende Absicherung zu einem erheblichen Vermögensschaden beim Empfänger führt.
Manipulierte PDF-Datei im E-Mail-Anhang
Ein Bauunternehmen versandte im Rahmen eines Werkvertrags eine Schlussrechnung über rund EUR 15.000,00 an eine private Auftraggeberin – per E-Mail, als PDF-Anhang. Was das Unternehmen nicht bemerkte: Die Rechnung war unterwegs kompromittiert worden. Kriminelle hatten die PDF-Datei abgefangen und manipuliert, insbesondere die darin genannte Bankverbindung geändert. Die Empfängerin zahlte deshalb arglos auf das Konto der Täter.
Später – als der tatsächliche Zahlungseingang ausblieb – verlangte das Bauunternehmen die Vergütung erneut. Die Kundin weigerte sich mit Verweis auf den bereits geleisteten (aber fehlgeleiteten) Betrag und machte ihrerseits Schadensersatz geltend.
Materieller Schadensersatzanspruch aus Art. 82 DSGVO
Das Landgericht sprach dem Unternehmen noch die Werklohnforderung zu, das OLG hob diese Entscheidung jedoch auf. Kernaussage: Die Beklagte (Kundin) konnte zwar nicht schuldbefreiend an die Täter leisten. Aber der Klägerin stehe keine (erneute) Zahlung zu, weil die Beklagte dem ihrerseits einen Schadensersatzanspruch aus Art. 82 DSGVO in Höhe der Werklohnforderung entgegenhalten kann.
DSGVO als Maßstab für IT-Sicherheit
Das OLG bestätigt nicht nur, dass ein datenschutzrechtlich Verantwortlicher gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen (TOM) zur Sicherung personenbezogener Daten ergreifen, sondern dies auch vor Gericht darlegen und beweisen können muss (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO
.
E-Mail: Ende-zu-Ende-Verschlüsselung statt Transportverschlüsselung
Besonders deutlich wird das Gericht bei der Bewertung der konkret eingesetzten Schutzmaßnahme: Eine reine Transportverschlüsselung (SMTP über TLS) sei bei sensiblen Daten und einem absehbar hohen Schadensrisiko – wie hier bei der Übermittlung einer erheblichen Rechnung an eine Privatkundin – nicht ausreichend. Stattdessen fordert das Gericht ausdrücklich eine Ende-zu-Ende-Verschlüsselung als geeignete Maßnahme.
Bemerkenswert ist, dass das Gericht nicht nur einen DSGVO-Verstoß annimmt, sondern auch ein Verschulden, das nach Art. 82 Abs. 3 DSGVO widerleglich vermutet wird. Der Klägerin sei es nicht gelungen, den Beweis zu führen, dass sie „in keinerlei Hinsicht“ für die Sicherheitslücke verantwortlich sei.
Ein etwaiges Mitverschulden der Kundin – etwa durch mangelnde Prüfung der veränderten Bankverbindung – verneint das Gericht: Es sei gerade nicht zumutbar, dass ein Privatkunde jede Rechnung auf subtile Unterschiede zu früheren Versionen prüft oder eine Rückversicherung beim Absender einholt.
Praxistipps: Was Unternehmen jetzt konkret beachten sollten
1. Ende-zu-Ende-Verschlüsselung bei sensiblen Inhalten umsetzen
Die DSGVO verlangt kein konkretes Verfahren – wohl aber einen dem Risiko angemessenen Schutz. Bei personenbezogenen Daten in Kombination mit potenziell hohen Vermögensrisiken wird die Ende-zu-Ende-Verschlüsselung aus rechtlicher Sicht immer mehr zum faktischen Standard. O-Ton OLG Schleswig: “Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl”.
2. Sicherheitskonzepte dokumentieren
Unternehmen müssen ihre technischen und organisatorischen Schutzmaßnahmen nicht nur umsetzen, sondern im Streitfall auch konkret darlegen können. Pauschale Hinweise auf „TLS“ oder die oft in den Raum gestellte Behauptung einer “DSGVO-Konformität” reichen nicht.
3. IT-Beratung nicht als Freifahrtschein verstehen
Die Verantwortung bleibt beim Verantwortlichen. Auch wenn ein IT-Berater eine bestimmte Maßnahme empfiehlt, entbindet das nicht von der Pflicht, deren Geeignetheit im Einzelfall rechtlich zu prüfen.
4. Rechnungs- und Kommunikationsprozesse standardisieren
Einheitliche Gestaltung (z. B. feste Layouts, QR-Codes, eindeutige Betreffzeilen) und klare Kommunikationsprozesse erschweren Manipulationen und erhöhen die Erkennbarkeit von Abweichungen.
Fazit
Das Urteil des OLG Schleswig-Holstein ist ein Weckruf für alle Unternehmen, die personenbezogene Daten im digitalen Geschäftsverkehr bewegen – insbesondere, wenn es um Geld geht. Die Entscheidung zeigt deutlich: Datenschutz ist auch IT-Sicherheit. Und wer hier spart, riskiert nicht nur unangenehme Datenpannen, sondern begründet inzwischen auch eine handfeste zivilrechtliche Haftung. Es lässt sich festhalten: die Entscheidung setzt eine in der Rechtsprechung bereits vorhandene Tendenz fort.
Wer auf Nummer sicher gehen will, sollte deshalb dringend seine Kommunikationsprozesse überprüfen – mit kritischem Blick auf Sicherheitsniveau, Verschlüsselungstechnologien und Haftungsrisiken.