Handwerksbetriebe sollten Rechnungen per E-Mail nur Ende-zu-Ende-verschlüsselt verschicken – oder auf altmodische Weise per Post. Das lehrt ein vom OLG Schleswig entschiedener Fall. Denn der Kunde haftet nicht, wenn eine Rechnung auf dem Weg zu ihm manipuliert wurde.
Ein Handwerksbetrieb verschickte drei Teilrechnungen über Installationsleistungen jeweils als pdf-Datei per E-Mail an eine Kundin. Die Schlussrechnung über 15.000 Euro wurde gehackt und die Kontodaten wurden manipuliert. Deswegen überwies die Kundin den Rechnungsbetrag auf das Konto unbekannter Dritter. Vor Gericht stellte sich die Frage, ob sie damit von der Forderung des Installationsunternehmens frei geworden ist.
Erfüllt habe die Kundin die Forderung des Handwerksbetriebs mit der Zahlung zwar nicht, führt das OLG dazu aus (Urteil vom 18.12.2024 – 12 U 9/24). Noch einmal zahlen müsse sie dennoch nicht. Das OLG bejaht einen Schadensersatzanspruch der Kundin gegen das Unternehmen, den es der Werklohnforderung nach § 242 BGB entgegenhalten kann.
Dem Risiko vorbeugen – oder wieder Briefe versenden
Der Schadensersatzanspruch ergibt sich für die Richterinnen und Richter aus Art. 82 Abs. 2 DS-GVO. Der Installationsbetrieb habe mit der Rechnungstellung personenbezogene Daten der Auftraggeberin computertechnisch verarbeitet und deswegen die in Art. 5, 24 und 32 DS-GVO enthaltenen Grundsätze beachten müssen. Das habe er mit Versand der Rechnung als E-Mail-Anhang nicht getan.
Die Transportverschlüsselung, die das Unternehmen beim Versand der Mail in Form von SMTP über TLS verwendet haben will, sei unzureichend und nicht zum Schutz der Daten „geeignet“ im Sinne der DS-GVO. Gerade bei sensiblen oder persönlichen Inhalten komme nur eine Ende-zu-Ende-Verschlüsselung in Betracht, wenn durch Verfälschung der angehängten Rechnung für den Kunden ein hohes finanzielles Risiko besteht.
Dass Kunden von Unternehmen bei einem Datenhacking Vermögenseinbußen drohen, wertet das OLG als Risiko, das dem Versand von Rechnungen per E-Mail immanent ist, und fordert deshalb eine entsprechende Voraussicht und ein proaktives Handeln der Unternehmen. Den dafür erforderlichen technischen und finanziellen Aufwand müsse auch ein mittelständischer Handwerksbetrieb auf sich nehmen – oder die Rechnungen eben wie früher per Post verschicken.
Quelle: OLG Schleswig, Urteil vom 18.12.2024 – 12 U 9/24
Redaktion beck-aktuell, 7. Februar 2025
