heise PlusAbo
Anzeige

Urteil: TLS-Verschlüsselung bei E-Mail-Rechnungen an Privatkunden zu wenig?

Der Fall einer per E-Mail geschickten Privatkunden-Rechnung, die von Kriminellen manipuliert wurde, wanderte vor Gericht. Der Knackpunkt: die Verschlüsselung.

vorlesen Druckansicht 382 Kommentare lesen

(Bild: Wirestock Images/Shutterstock.com)

Lesezeit: 5 Min.
iX Magazin
Von
  • Stefan Hessel
Inhaltsverzeichnis
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Ein aktuelles Urteil des Oberlandesgerichts (OLG) Schleswig-Holstein sorgt für Aufsehen: Unternehmen, die Rechnungen per E-Mail versenden, müssen danach künftig genau prüfen, ob eine einfache TLS-Transportverschlüsselung noch ausreicht. Das Gericht sieht insbesondere bei hohen finanziellen Risiken die Notwendigkeit einer Ende-zu-Ende-Verschlüsselung – mit potenziellen Folgen für den gesamten B2C-Bereich.

Rechnung gefälscht, Geld futsch

Gegenstand des erst jetzt veröffentlichten Urteils vom 18. Dezember 2024 (Az. 12 U 9/24) befasst sich mit einem Fall von Rechnungsbetrug im digitalen Geschäftsverkehr. Ein Bauunternehmer hatte für die ordnungsgemäß erbrachte Installation einer Heizungsanlage eine Schlussrechnung von über 15.000 Euro per E-Mail an einen privaten Auftraggeber gesendet. Doch die Rechnung wurde auf dem Weg zum Empfänger von Kriminellen manipuliert. Sie veränderten nicht nur die Bankverbindung, sondern auch die Farbgestaltung und weitere Details des Dokuments. Wie genau es dazu kommen konnte, dass den Auftraggeber eine manipulierte Rechnung erreichte, ließ sich laut Gericht nicht abschließend klären.

Der Auftraggeber bemerkte die Manipulation jedoch nicht und überwies das Geld auf das Konto einer Onlinebank – anstatt an das Bauunternehmen. Daraufhin forderte der Unternehmer die Zahlung erneut ein. Der Auftraggeber weigerte sich jedoch mit der Begründung, dass die Rechnung ungeschützt per E-Mail versandt wurde und er dadurch einen Schaden erlitten habe. Er machte einen Schadensersatzanspruch in gleicher Höhe geltend.

Zahlung unwirksam – aber Schadensersatzanspruch

Das OLG Schleswig-Holstein entschied, dass die ursprüngliche Forderung des Bauunternehmers weiterhin besteht. Die fehlerhafte Überweisung auf die manipulierte Kontoverbindung entbindet den Auftraggeber nicht von seiner Zahlungspflicht.

Videos by heise

Allerdings sprach das Gericht dem Auftraggeber gleichzeitig einen Schadensersatzanspruch in gleicher Höhe gegen das Bauunternehmen zu. Der Grund: Nach Auffassung des Gerichts ist der ungeschützte Versand der Rechnung per E-Mail ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO), konkret gegen Art. 82, der Betroffenen bei Datenschutzverstößen einen Anspruch auf Schadensersatz einräumt.

Transportverschlüsselung reicht nicht aus

Aus dem Urteil ergibt sich, dass per E-Mail übersandte Rechnungen personenbezogene Daten enthalten, darunter Name, Anschrift und Rechnungsinformationen des Auftraggebers. Damit fällt die Kommunikation in den Anwendungsbereich der DSGVO. Das Bauunternehmen war daher nach Art. 32 DSGVO verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Daten zu gewährleisten. Nach Ansicht des Gerichts war dies im vorliegenden Fall nicht ausreichend geschehen.

Die verwendete Transportverschlüsselung soll, so das Gericht weiter, keinen angemessenen Schutz geboten haben, da die Rechnung durch Dritte manipuliert werden konnte. Zwar enthalte die DSGVO keine klaren Vorgaben dazu, wann und in welchem Umfang Verschlüsselung erforderlich sei. Entscheidend sei jedoch der risikobasierte Ansatz: Je höher das potenzielle Risiko für Betroffene, desto strenger müssten die Schutzmaßnahmen sein.

Das Gericht bewertete das finanzielle Risiko für den Auftraggeber in diesem Fall als hoch, da eine gefälschte Rechnung erhebliche wirtschaftliche Folgen nach sich ziehen kann. Daher hätte eine Ende-zu-Ende-Verschlüsselung als zusätzliche Sicherheitsmaßnahme eingesetzt werden müssen, um die Vertraulichkeit der übermittelten Daten zu schützen.

Vergleich mit OLG Karlsruhe

Die Entscheidung erinnert an ein Urteil des OLG Karlsruhe vom 27. Juli 2023 (Az. 19 U 83/22). In dem Rechtsstreit, der allerdings zwei Unternehmen betraf, hatte das Gericht entschieden, dass es keine gesetzlichen Vorgaben für Sicherungsmaßnahmen gibt. Entscheidend seien vielmehr die berechtigten Sicherheitserwartungen des jeweiligen Geschäftsverkehrs und die Zumutbarkeit entsprechender Maßnahmen. Damit steht auch fest: Auf den E-Mail-Versand von Rechnungen zwischen Unternehmen ist das Urteil des OLG Schleswig-Holstein nicht übertragbar.

Unternehmen sind in der Pflicht, nachzuweisen, dass ihre Sicherheitsmaßnahmen den Anforderungen der DSGVO entsprechen. Nach Art. 5 Abs. 2 und Art. 24 DSGVO liegt die sogenannte Darlegungs- und Beweislast beim datenschutzrechtlich Verantwortlichen – also dem Unternehmen, das die E-Mails versendet. Das bedeutet, dass Unternehmen nicht nur Maßnahmen ergreifen, sondern diese auch dokumentieren und im Streitfall belegen müssen. Allerdings hatte das Bauunternehmen zu den getroffenen Schutzmaßnahmen zu wenig vorgetragen.

Das Urteil lässt deshalb eine entscheidende Frage offen: Ob die unzureichende Verschlüsselung tatsächlich ursächlich für den Betrug war. Die Richter konnten eine Kausalität vermuten, ohne sie näher überprüfen zu müssen. Ob eine Ende-zu-Ende-Verschlüsselung allein eine vorherige Manipulation der Rechnung hätte verhindern können, lässt sich bei dem ungeklärten Angriffsvektor aber kaum sagen.

Kein genereller Zwang zur Ende-zu-Ende-Verschlüsselung

Eine allgemeine Pflicht zur Ende-zu-Ende-Verschlüsselung gibt es weder in der Kommunikation zwischen Unternehmen noch in der zwischen Unternehmen und Verbrauchern. Unternehmen müssen jedoch eine Risikoanalyse durchführen und nachweisen können, dass ihre gewählten Schutzmaßnahmen dem jeweiligen Risiko angemessen sind.

In der Praxis wird dies meist zu einer abgestuften Lösung führen – je nach Sensibilität der übermittelten Daten und dem potenziellen Missbrauchsrisiko. Zu beachten ist in diesem Kontext auch, dass noch nicht abschließend geklärt ist, ob eine Einwilligung der Empfänger ausreicht, um auf eine stärkere Verschlüsselung zu verzichten und stattdessen nur eine Transportverschlüsselung zu nutzen. Es gibt jedoch gute rechtliche Argumente, die für diese Möglichkeit sprechen.

Und ansonsten bleibt, wie das Gericht bemerkt, für Unternehmen im B2C-Bereich auch immer noch der Weg, der ohne größeren technischen und finanziellen Aufwand beschritten werden kann: Rechnungsversand per Post.

(axk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten