Unternehmen, die Rechnungen per E-Mail an Privatkunden versenden, müssen künftig genau prüfen, ob eine einfache TLS-Transportverschlüsselung ausreicht. Das Oberlandesgericht (OLG) Schleswig-Holstein entschied, dass das mit der Verarbeitung verbundene Risiko bei der Auswahl der Sicherheitsmaßnahmen bedacht werden muss (Urteil vom 18. Dezember 2024, Az.: 12 U 9/24).
Der Fall
Das OLG Schleswig verhandelte über einen Fall, in dem ein Bauunternehmen eine Schlussrechnung über etwa 15.000 Euro als Anlage zu einer E-Mail im PDF-Format mit Transportverschlüsselung (TLS) an einen privaten Auftraggeber versandte. Diese Rechnung wurde von einem Hacker in krimineller Absicht manipuliert. Die genaue Vorgehensweise des Hackers und der spezifische Zeitpunkt der Manipulation konnten im Verfahren nicht geklärt werden. Der Hacker änderte die auf der Rechnung angegebene Kontonummer zu seinen Gunsten. Die Beklagte überwies den Schlussbetrag auf die vom unbefugten Dritten angegebene Kontonummer.
Das Bauunternehmen forderte daraufhin die Zahlung erneut vom Auftraggeber, der sich jedoch weigerte und Schadensersatz in gleicher Höhe geltend machte, da die Rechnung ungeschützt per E-Mail versandt worden war.
Aktuelle Urteile zur DSGVO
In unseren regelmäßigen Besprechungen von Urteilen zum Datenschutzrecht erklären wir Ihnen die Konsequenzen für den Unternehmensalltag.
Das Urteil
Das OLG Schleswig entschied, dass die ursprüngliche Werklohnforderung des Bauunternehmens weiterhin besteht, da die Zahlung auf das falsche Konto die Schuld nicht tilgt.
Gleichzeitig sprach das Gericht dem Auftraggeber einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO in Höhe des überwiesenen Betrags zu. Das Gericht argumentierte, dass angesichts des hohen Rechnungsbetrags eine Ende-zu-Ende-Verschlüsselung erforderlich gewesen wäre, um solche Manipulationen zu verhindern. Diesen Schadensersatzanspruch konnte der Auftraggeber gegen die Forderung des Bauunternehmens aufrechnen.
Die Entscheidung des OLG Schleswig betont die Bedeutung angemessener technischer und organisatorischer Maßnahmen beim Versand personenbezogener Daten per E-Mail, insbesondere bei hohen finanziellen Transaktionen. Obwohl die DSGVO keine spezifischen Verschlüsselungsmethoden vorschreibt, verlangt sie einen risikobasierten Ansatz: Je höher das potenzielle Risiko für die betroffenen Personen, desto strenger müssen die Schutzmaßnahmen sein. In diesem Fall wurde die fehlende Ende-zu-Ende-Verschlüsselung im B2C als unzureichend erachtet, was zu einer Haftung des Unternehmens führte.
Datenschutzrechtliche Einschätzung
Vergleich mit Urteil vom OLG Karlsruhe
Die Entscheidung erinnert an das Urteil des OLG Karlsruhe vom 27. Juli 2023 (Az.: 19 U 83/22). In dem Urteil wurde diskutiert, welche Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr erforderlich sind. Das OLG Karlsruhe entschied damals, dass das Fehlen spezifischer Sicherheitsmaßnahmen, wie etwa einer Ende-zu-Ende-Verschlüsselung, nicht automatisch zur Haftung des Absenders führt, sofern die allgemeinen Sicherheitserwartungen des Verkehrs erfüllt sind.
Der Vergleich beider Urteile zeigt, dass die Anforderungen an die E-Mail-Sicherheit je nach Kontext variieren können. Während das OLG Karlsruhe bei allgemeinen Geschäftsvorgängen keine spezifischen Verschlüsselungsmaßnahmen vorschreibt, betont das OLG Schleswig die Notwendigkeit erhöhter Sicherheitsvorkehrungen, insbesondere bei hohen finanziellen Transaktionen im B2C-Bereich.
TLS bietet ausreichende Sicherheit
Das Urteil des OLG Schleswig hat die Diskussion über die Sicherheit von E-Mail-Kommunikation neu entfacht. Während es die Bedeutung des Datenschutzes betont, geht es über die bisher anerkannte Praxis hinaus, Transportverschlüsselung (TLS) im Geschäftsverkehr als ausreichend zu betrachten. Das Gericht fordert bei sicherheitsrelevanten Dokumenten wie Rechnungen eine Ende-zu-Ende-Verschlüsselung.
Diese Forderung ist jedoch kritisch zu hinterfragen. Im B2C-Bereich ist Ende-zu-Ende-Verschlüsselung weder Standard noch realistisch umsetzbar. Technologien wie OpenPGP, S/MIME oder verschlüsselte E-Mail-Dienste sind Verbraucher meist nicht bekannt oder zugänglich. Eine Pflicht würde die Kommunikation mit Kunden erheblich erschweren oder unmöglich machen.
Rechtlich betrachtet schreibt die DSGVO keine konkrete Verschlüsselungsmethode vor. Stattdessen gilt ein risikobasierter Ansatz: Unternehmen müssen geeignete Maßnahmen auf Basis einer Risikoanalyse wählen. Eine pauschale Pflicht zur Ende-zu-Ende-Verschlüsselung würde diese Flexibilität einschränken. Auch das OLG Schleswig erkennt an, dass alternative Maßnahmen – z. B. Transportverschlüsselung kombiniert mit digitaler Signatur – ein angemessenes Sicherheitsniveau bieten können. Die Signatur schützt dabei Authentizität und Integrität der Nachricht, ohne die Kommunikation unnötig zu verkomplizieren.
Höhere Sicherheitsanforderungen gelten laut DSGVO insbesondere für besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO. Rechnungsdaten bzw. Adressdaten rechtfertigen diesen Schutzstatus nicht – auch nicht bei Privatpersonen. Zu den besonders schützenswerten Daten zählen z. B. Informationen zur ethnischen Herkunft, Religion, Gesundheit oder sexuellen Orientierung. Nur wenn solche Daten betroffen sind, gelten erhöhte Sicherheitsanforderungen. In anderen Fällen kann TLS ausreichend sein.
Es ist zudem fraglich, ob der Schaden überhaupt vermeidbar gewesen wäre, selbst wenn die richtige Rechnung Ende-zu-Ende-verschlüsselt gewesen wäre. Hierauf ging das Gericht jedoch nicht ein.
Schadensersatz gemäß Art. 82 DSGVO
Nach Art. 82 Abs. 1 DSGVO hat jede Person Anspruch auf Schadenersatz, wenn ihr durch einen Verstoß gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist.
Es ist jedoch durchaus fraglich ob in diesem Fall überhaupt ein datenschutzrechtlicher Verstoß vorlag. Eine Berufung auf Art. 32 DSGVO ist nicht überzeugend, da es sich bei der geänderten Bankverbindung des Unternehmens nicht um ein personenbezogenes Datum handelt.
Handlungsempfehlungen für Unternehmen
Ungeachtet des Urteils sollten Unternehmen immer geeignete technische Maßnahmen treffen, um den Rechnungsversand sicher zu machen.
E-Mail-Verschlüsselung gemäß Art. 32 DSGVO auf Prüfstand stellen
Unternehmen sollten prüfen, wie sie ihre E-Mail-Kommunikation besser gegen Manipulationen schützen können – etwa durch moderne Verschlüsselungsverfahren oder sichere Übertragungsprotokolle. Eine digitale Signatur macht Rechnungen fälschungssicher und erhöht die Nachvollziehbarkeit für Empfänger. Sie trägt wesentlich zur Integrität und Authentizität der übermittelten Dokumente bei.
Geeigneten Kommunikationskanal wählen
Ende-zu-Ende-Verschlüsselung ist oft technisch anspruchsvoll – insbesondere, weil beide Seiten vorbereitet sein müssen. Verbraucher verfügen in der Regel weder über Zertifikate noch über das nötige Know-how. Eine praktikable Alternative kann ein sicheres Kundenportal sein, über das sensible Daten wie Rechnungen geschützt bereitgestellt werden können. Allerdings: Auch hier erfolgt die Übertragung nur transportverschlüsselt – was in der Praxis allgemein als sicher gilt, aber juristisch nicht überinterpretiert werden sollte.
Beschäftigte sensibilisieren
Der wichtigste Hebel für mehr Sicherheit ist die Schulung der Mitarbeitenden. Sie sollten wissen, wie sie mit sensiblen Daten umgehen und worauf beim E-Mail-Versand zu achten ist. Diese Maßnahme ist vergleichsweise leicht umzusetzen und erzielt oft den größten Effekt.
Tipp: Bei activeMind.academy finden Sie praktische Onlinekurse für Ihre Mitarbeitenden zu den Themen Datenschutz und Informationssicherheit, die im Umgang mit solchen Herausforderungen schulen.
Fazit
Vorweg: Es handelt sich nicht um ein höchstrichterliches Urteil, so dass keine bundesweit verbindliche Wirkung besteht. Andere Gerichte könnten zu einem ähnlichen Ergebnis kommen – müssen es aber nicht.
Die Entscheidung des OLG Schleswig hat zu spürbarer Verunsicherung geführt. Sollte sich diese Rechtsauffassung durchsetzen, könnte die bislang als ausreichend angesehene Transportverschlüsselung für den Versand von Rechnungen nicht mehr genügen.
Dies kann man aber durchaus differenzierter betrachten. Die pauschale Gleichung: Ende-zu-Ende Verschlüsselung mit S/MIME bzw. PGP ist gut und Transportverschlüsselung ist schlecht, greift deutlich zu kurz. Entscheidend ist immer die konkrete technische Umsetzung. Ein veralteter, ungepatchter Router, der S/MIME- oder PGP-Zertifikate verwaltet, bietet wahrscheinlich weniger Sicherheit als ein gut abgesicherter E-Mail-Server im eigenen Rechenzentrum, der ausschließlich moderne TLS-Verbindungen akzeptiert.
Es ist jedoch nicht von der Hand zu weisen, dass Unternehmen eine ausgewogene Sicherheitsstrategie brauchen. Dazu zählt neben Transportverschlüsselung auch die Nutzung sicherer Kommunikationswege und Systeme, die eine praktikable Verschlüsselung ermöglichen. Ende-zu-Ende-Verschlüsselung kann in bestimmten Fällen sinnvoll oder notwendig sein, sollte jedoch nicht als einzige Schutzmaßnahme verstanden werden. Vielmehr empfiehlt sich ein Zusammenspiel aus technischer Absicherung, organisatorischen Maßnahmen und kontinuierlicher Sicherheitsüberprüfung.
Datenschutz ist nicht nur eine rechtliche Pflicht, sondern auch eine Frage des Vertrauens. Unternehmen sollten Sicherheitsmaßnahmen transparent kommunizieren – gleichzeitig aber eine sinnvolle Balance zwischen Schutz, Nutzerfreundlichkeit und praktischer Umsetzbarkeit wahren.
