Das Schleswig-Holsteinische OLG hat mit Urteil vom 18.12.2024 (Az. 12 U 9/24) entschieden, dass eine reine Transportverschlüsselung beim Versand geschäftlicher E-Mails mit personenbezogenen Daten im Kontext eines Rechnungsversandes unzureichend ist. Erforderlich sei eine Ende-zu-Ende-Verschlüsselung.
Sachverhalt
Die Parteien streiten darüber, ob die Klägerin (erneut) die Zahlung ihrer Werklohnforderung durch die Beklagte verlangen kann, nachdem der Überweisungsbetrag nach Manipulation der Rechnung durch kriminell handelnde Dritte dem Konto eines Unbekannten gutgeschrieben wurde.
Das Landgericht hat der Klage stattgegeben.
Da es sich bei dem Konto, auf das die Beklagte die Leistungsvergütung überwiesen habe, um das Konto eines Dritten und nicht der Klägerin gehandelt habe, sei der geschuldete Leistungserfolg nicht eingetreten. Eine Erfüllung durch Leistung an einen Dritten gem. § 362 Abs. 2 BGB sei durch die Zahlung der Beklagten auf das Konto aus der manipulierten Abrechnung gleichermaßen nicht gegeben. Der Umstand, dass eine Manipulation der in Frage stehenden Rechnung durch einen Dritten vorgenommen worden sei, begründe keine Nebenpflichtverletzung der Klägerin aus ihrem Werkvertrag mit der Beklagten. Die Klägerin habe insoweit substantiiert vorgetragen, ausreichende Mindestschutzmaßnahmen in Form von SMTP (Simple Mail Transfer Protocol) über TLS (Transport Layer Security) beim E-Mail-Verkehr mit Vertragspartnern vorgenommen zu haben.
Gegen diese Entscheidung legte die Beklagte Berufung ein und verfolgte ihren Antrag auf Klageabweisung weiter.
Entscheidung
Das Schleswig-Holsteinische OLG bewertete die zulässige Berufung als begründet. Die Klägerin habe keinen Anspruch auf (erneute) Zahlung des vereinbarten Werklohns durch die Beklagte, ebenso wenig auf Zahlung außergerichtlicher Rechtsanwaltsgebühren.
Für die Erfüllungswirkung bei Zahlung an einen Dritten genüge es zwar nicht, dass der Schuldner nur gutgläubig meint, auf ein Konto des Gläubigers zu zahlen. Dies habe das Landgericht zu Recht betont.
Anders als das Landgericht meint, stehe der Beklagten allerdings ein Schadensersatzanspruch in Höhe der auf das Drittkonto getätigten Überweisung des streitgegenständlichen Betrags zu, den die Beklagte der Klagforderung unter dem Gesichtspunkt einer dolo-agit-Einwendung gemäß § 242 BGB entgegenhalten könne.
Ein solcher Anspruch resultiere vorliegend jedenfalls aus Art. 82 DSGVO. Die DSGVO verlange von Unternehmen, sensible Daten gegen Datenschutzverletzungen zu sichern. Sensible Daten seien z.B. personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden. Als Datenschutzverletzungen würden versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Daten definiert. Um solche Sicherheitsvorfälle zu vermeiden, seien Unternehmen dazu angehalten, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die sichere Verarbeitung personenbezogener Daten zu gewährleisten. Nach Art. 82 Abs. 1 DSGVO habe „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, (…) Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“.
Vorliegend habe die Klägerin im Zuge der Verarbeitung der personenbezogenen Daten der Beklagten bei Versand der streitgegenständlichen E-Mail mit Anhang gegen die Grundsätze der Art. 5, 24 und 32 DSGVO verstoßen.
Ein Verstoß gegen die Vorschriften der DSGVO könne in diesem Zusammenhang nicht schon allein deswegen angenommen werden, weil ein unbefugter Zugriff auf personenbezogene Daten durch Dritte im Sinne von Art. 4 Nr. 10 DSGVO stattgefunden hat. Vielmehr habe der Verantwortliche die Möglichkeit, aber auch die Verpflichtung, nach dem in Art. 5 Abs. 2 DSGVO formulierten und in Art. 24 DSGVO konkretisierten Grundsatz seiner Rechenschaftspflicht darzulegen und zu beweisen, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, um die personenbezogenen Daten entsprechend dem von der DSGVO verlangten Sicherheitsniveau vor dem Zugriff Unbefugter zu schützen
Das sei der Klägerin vorliegend nicht gelungen, da der Senat die Transportverschlüsselung, welche die Klägerin beim Versand der streitgegenständlichen E-Mail verwendet haben will (in Form von SMTP über TLS), nicht für ausreichend und damit auch nicht für „geeignet“ im Sinne der DSGVO halte.
Taste man sich an die Frage einer „geeigneten“ Verschlüsselung „von unten“ heran, sei es nach Ansicht des Senats für einen Geschäftsbetrieb wie den der Klägerin ausgeschlossen, geschäftliche E-Mails mit personenbezogenen Daten völlig ohne jede Verschlüsselung zu versenden. In einer Orientierungshilfe der Datenschutzkonferenz (vgl. https://www.datenschutzkonferenz-online.de/media/oh/20210616_orientierungshilfe_e_mail_verschluesselung.pdf) heiße es weiter zu dem von einem Verarbeiter danach zu verlangenden Schutzniveau, dass sowohl Ende-zu-Ende-Verschlüsselung als auch Transportverschlüsselung für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit der übertragenen Nachrichten mindern. Daher müssten Verantwortliche beide Verfahren in der Abwägung der notwendigen Maßnahmen berücksichtigen.
Nach Ansicht des Senats sei danach eine Transportverschlüsselung beim Versand von geschäftlichen E-Mails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und könne keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr sei eine Ende-zu-Ende-Verschlüsselung das Mittel der Wahl.
Soweit in der Orientierungshilfe der Datenschutzkonferenz zur Einzelfallentscheidung darauf abgestellt werde, dass in Verarbeitungssituationen mit normalen Risiken bereits durch die Transportverschlüsselung eine ausreichende Risikominderung erreicht wird, zeige der zu entscheidende Fall nach Ansicht des Senats deutlich, dass hier keine „Verarbeitungssituation mit normalen Risiken“ vorliege. Dass Kunden von Unternehmen bei einem Datenhacking Vermögenseinbußen drohen, sei ein Risiko, das dem Versand von Rechnungen per E-Mail immanent sei, von der Klägerin bei ihrer Planung zur Emailsicherheit erkannt werden müsse und bei ihren Überlegungen zu Schutzmaßnahmen beim Versand von Rechnungen per E-Mail mit einzubeziehen sei.
Unstreitig sei bei der von der Klägerin (maximal) verwendeten Transportverschlüsselung ein Zugriff durch unbefugte Dritte auf ihrem Computer, ihrem Server oder auf weiteren Servern ohne weiteres möglich; die E-Mail sei definitionsgemäß nur auf dem Transport verschlüsselt. Einen Beweis dafür, dass im konkreten Fall der Zugriff nicht im Bereich der Klägerin, sondern erst im Bereich der Beklagten erfolgt sei, habe die Klägerin, der die Darlegungs- und Beweislast dafür obliege, nicht angeboten.
Anmerkung
Das Schleswig-Holsteinische OLG legt für den Rechnungsversand per E-Mail einen hohen Standard an, wie dieser von den Datenschutzbehörden etwa für die Übermittlung personenbezogener Daten und besonders sensibler Informationen bei Berufsgeheimnisträgern zugrunde gelegt wird.
Die Entscheidung dürfte Unternehmen in der Praxis vielfach vor ein faktisches Problem stellen. Damit eine Ende-zu-Ende-Verschlüsselung erfolgen kann, muss der Empfänger das vom Versender verfolgte Verfahren auch unterstützen bzw. einsetzen. Ein Rechnungsversand über eine PGP-Verschlüsselung erfordert einen vorherigen Austausch von Sicherheitsmerkmalen und dürfte als Standardversandverfahren ausscheiden. Damit dürfte für die Praxis als niederschwelliges Verfahren im Wesentlichen eine S/MIME-Verschlüsselung in Frage kommen, die vom Versender standardmäßig unterstützt werden kann. Ob der Empfänger dann allerdings über ein entsprechend S/MIME-fähiges Postfach verfügt, entzieht sich gleichwohl der Kenntnis des Versenders. Man kann sich – gerade mit Blick auf die erhebliche Verbreitung einer S/MIME-Unterstützung durch zahlreiche Anbieter von E-Mail-Services – zwar auf den Standpunkt stellen, dass es Sache des Empfängers ist, für einen Ende-zu-Ende-verschlüsselten E-Mail-Empfang vorbereitet zu sein.
Während man dies für den B2B-Bereich wohl durchaus in Betracht ziehen kann, dürfte dies im B2C-Bereich Zweifel aufwerfen. Zahlreiche Privatnutzer dürften sich mit E-Mail-Verschlüsselung und vor allem den verschiedenen Arten einer Verschlüsselung oftmals schlicht nicht auskennen, so dass es fraglich erscheint, ob man die Bereithaltung eines S/MIME-fähigen E-Mail-Accounts voraussetzen darf. Zum Teil versuchen sich Unternehmen damit zu behelfen, dass Rechnungen bei Dauerschuldverhältnissen im Nutzer-Account Betroffener hinterlegt werden. Problematisch dabei ist allerdings, dass eine Rechnung dann im Regelfall eben auch erst mit Abruf der Rechnung beim Kunden zugehen dürfte. Um dieses Problem zu umgehen, wird vielfach – auch mit Blick auf eine entsprechende Erwartungshaltung von Kunden – die Zusendung per E-Mail als optionale Variante angeboten, welche der Kunde ausdrücklich zu bestätigen hat. Wenn in diesem Kontext auf das vom Versender verfolgte Verschlüsselungsverfahren hingewiesen wird und der Kunde mit dem betreffenden Rechnungsversand einverstanden ist, dürfte sich die Risikobeurteilung eines betreffenden Versandes in relevanter Weise verschieben lassen.
