Manipulierte Rechnungs-E-Mail: Unternehmer bleibt auf Schaden sitzen

Hand­werks­be­trie­be soll­ten Rech­nun­gen per E-Mail nur Ende-zu-Ende-ver­schlüs­selt ver­schi­cken – oder auf alt­mo­di­sche Weise per Post. Das lehrt ein vom OLG Schles­wig ent­schie­de­ner Fall. Denn der Kunde haf­tet nicht, wenn eine Rech­nung auf dem Weg zu ihm ma­ni­pu­liert wurde.

Ein Handwerksbetrieb verschickte drei Teilrechnungen über Installationsleistungen jeweils als pdf-Datei per E-Mail an eine Kundin. Die Schlussrechnung über 15.000 Euro wurde gehackt und die Kontodaten wurden manipuliert. Deswegen überwies die Kundin den Rechnungsbetrag auf das Konto unbekannter Dritter. Vor Gericht stellte sich die Frage, ob sie damit von der Forderung des Installationsunternehmens frei geworden ist.

Erfüllt habe die Kundin die Forderung des Handwerksbetriebs mit der Zahlung zwar nicht, führt das OLG dazu aus (Urteil vom 18.12.2024 – 12 U 9/24). Noch einmal zahlen müsse sie dennoch nicht. Das OLG bejaht einen Schadensersatzanspruch der Kundin gegen das Unternehmen, den es der Werklohnforderung nach § 242 BGB entgegenhalten kann.

Dem Risiko vorbeugen – oder wieder Briefe versenden

Der Schadensersatzanspruch ergibt sich für die Richterinnen und Richter aus Art. 82 Abs. 2 DS-GVO. Der Installationsbetrieb habe mit der Rechnungstellung personenbezogene Daten der Auftraggeberin computertechnisch verarbeitet und deswegen die in Art. 5, 24 und 32 DS-GVO enthaltenen Grundsätze beachten müssen. Das habe er mit Versand der Rechnung als E-Mail-Anhang nicht getan.

Die Transportverschlüsselung, die das Unternehmen beim Versand der Mail in Form von SMTP über TLS verwendet haben will, sei unzureichend und nicht zum Schutz der Daten „geeignet“ im Sinne der DS-GVO. Gerade bei sensiblen oder persönlichen Inhalten komme nur eine Ende-zu-Ende-Verschlüsselung in Betracht, wenn durch Verfälschung der angehängten Rechnung für den Kunden ein hohes finanzielles Risiko besteht.

Dass Kunden von Unternehmen bei einem Datenhacking Vermögenseinbußen drohen, wertet das OLG als Risiko, das dem Versand von Rechnungen per E-Mail immanent ist, und fordert deshalb eine entsprechende Voraussicht und ein proaktives Handeln der Unternehmen. Den dafür erforderlichen technischen und finanziellen Aufwand müsse auch ein mittelständischer Handwerksbetrieb auf sich nehmen – oder die Rechnungen eben wie früher per Post verschicken.

Quelle: OLG Schleswig, Urteil vom 18.12.2024 – 12 U 9/24
Redaktion beck-aktuell, 7. Februar 2025

Weitere Themen

Ab dem 1. Juli 2025 gelten in Dänemark die Regelungen zur erweiterten Herstellerverantwortung (ERP) für Verpackungen. Obwohl diese Regelung erst 2025 in Kraft tritt, müssen sich die verpflichteten Unternehmen bereits ab dem 1. April 2024 registrieren und Planmengen melden.
Umwelt & Energie

Webinar: Die neue europäische Verpackungsverordnung (PPWR): Was sich für Unternehmen ändert!

Die neue europäische Verpackungsverordnung (Packaging and Packaging Waste Regulation PPWR) ist beschlossen und bringt bedeutende Änderungen für nahezu alle Branchen mit sich. Ab dem 12. August 2026 gelten verbindliche Vorschriften für die nachhaltige und zirkuläre Gestaltung von B2B und B2C Verpackungen. Doch welche konkreten Anpassungen sind erforderlich? Wo gibt es Unterschiede zum bisherigen Recht? Was wird noch an Konkretisierungen zu erwarten sein? Wie können Lösungen aussehen? 

weiterlesen