Unternehmen müssen Rechnungsmails Ende-zu-Ende verschlüsseln

Unternehmen sollen Rechnungsmails an Kunden nicht nur transportverschlüsselt, sondern zwingend per Ende-zu-Ende-Verschlüsselung versenden. Dies entschied jetzt das OLG Schleswig. Diese Art der Verschlüsselung sei erforderlich, da eine bloße Transportverschlüsselung den Sicherheitsanforderungen der DSGVO nicht genüge (Urteil vom 18.12.2024, Az. 12 U 9/24).
Der Fall: Betrug durch manipulierte Rechnungsmail
In dem zugrunde liegenden Fall hatte ein Unternehmen eine Rechnung über den Schlussrechnungsbetrags aus einer Werklohnrechnung per E-Mail an einen Kunden geschickt. Die E-Mail wurde zwar transportverschlüsselt übermittelt, jedoch gelang es unbekannten Dritten, die Nachricht zu manipulieren. Sie änderten die Bankverbindung sowie das Layout der E-Mail, sodass der Kunde den Rechnungsbetrag irrtümlich an die Betrüger überwies. Das betroffene Unternehmen verklagte den Kunden auf Zahlung, da das Geld nicht bei ihm eingegangen war.
Entscheidung des Gerichts: Transportverschlüsselung reicht nicht aus
Das OLG Schleswig wies die Klage ab. Zwar habe die Zahlung des Kunden an die Betrüger keine schuldbefreiende Wirkung, doch stehe ihm ein Schadensersatzanspruch gegen das Unternehmen zu.
Der Grund: Durch die Nutzung einer bloßen Transportverschlüsselung habe das Unternehmen seine Pflicht zur sicheren Verarbeitung personenbezogener Daten nach Art. 32 DSGVO verletzt.
Das OLG Schleswig stellte nun klar, dass eine reine Transportverschlüsselung beim Versand geschäftlicher E-Mails mit personenbezogenen Daten nicht ausreiche, wenn ein hohes Risiko der Manipulation bestehe.
Transport- vs. Ende-zu-Ende-Verschlüsselung: Was ist der Unterschied?
Transportverschlüsselung (z. B. mittels TLS) schützt eine E-Mail nur während der Übertragung zwischen Mailservern. Auf den Servern der Anbieter und den Endgeräten der Kommunikationspartner liegt sie jedoch unverschlüsselt vor.
Ende-zu-Ende-Verschlüsselung stellt sicher, dass nur der Absender und der vorgesehene Empfänger Zugriff auf den Klartext der Nachricht haben – selbst die beteiligten Mailserver können den Inhalt nicht einsehen.
Was Anwältinnen und Anwälte aus diesem Urteil mitnehmen können:
- Unternehmen rechtzeitig beraten: Mandanten sollten über die verschärften Anforderungen an den Rechnungsversand informiert und auf eine mögliche Umstellung auf Ende-zu-Ende-Verschlüsselung vorbereitet werden.
- Prüfung bestehender Datenschutzkonzepte: Unternehmen müssen ihre Verschlüsselungspraxis und IT-Sicherheitsmaßnahmen überprüfen, um Haftungsrisiken nach Art. 82 DSGVO zu vermeiden.
- Alternative Schutzmaßnahmen in Betracht ziehen: Sofern eine Ende-zu-Ende-Verschlüsselung nicht praktikabel ist, sollten Mandanten zumindest vergleichbare Alternativen in Betracht ziehen, zum Beispiel eine Kombination aus Transportverschlüsselung und digitaler Signatur setzen.
- Risikofaktoren berücksichtigen und publik machen: Mandanten aus der Unternehmenspraxis sollten ihre Kunden aktiv über Betrugsrisiken aufklären und Sicherheitsmechanismen wie Zahlungsbestätigungen oder sichere Kundenportale implementieren.
- Rechtliche Entwicklung im Auge behalten: Die Revision gegen dieses Urteil ist zugelassen. Es bleibt abzuwarten, ob das Urteil des OLG Schleswig Bestand haben wird.