Der Versand von Rechnungen per E-Mail ohne ausreichende IT-Sicherheitsmaßnahmen kann für Unternehmen unter Umständen teuer werden, wie ein Urteil des Oberlandesgerichts (OLG) Schleswig vom 18. Dezember 2024 (Az. 12 U 9/24) zeigt. In dem Fall hatte eine Kundin mehr als 15.000 Euro auf ein Konto von Betrügern überwiesen, nachdem die per E-Mail versandte Rechnung manipuliert worden war. Das Gericht entschied, dass eine einfache Transportverschlüsselung nicht ausreiche, um die sensiblen Daten angemessen zu schützen und sah darin einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO).

Hintergrund des Falls

Ein Handwerksbetrieb versandte eine Schlussrechnung über 15.385,78 Euro per E-Mail an eine private Kundin. Unbekannte Dritte fingen die E-Mail ab, manipulierten die Bankverbindung und leiteten die geänderte Rechnung an die Kundin weiter. Ohne Verdacht überwies die Kundin den Betrag auf das falsche Konto. Als der Handwerksbetrieb die Zahlung anmahnte, verweigerte die Kundin eine erneute Überweisung mit der Begründung, bereits gezahlt zu haben. Das OLG Schleswig entschied zugunsten der Kundin und stellte fest, dass der Betrieb durch die unzureichende Sicherung der E-Mail gegen die DSGVO verstoßen habe.

Dies wurde damit begründet, dass die verwendete Transportverschlüsselung nicht ausreichend war, um die Risiken eines Rechnungsbetrugs zu minimieren. Die Richter betonten, dass in Fällen mit hohem Schadenspotenzial stärkere Schutzmaßnahmen — etwa eine Ende-zu-Ende-Verschlüsselung oder alternative Übertragungswege — erforderlich sein könnten.

Diskussion um das Urteil

Das Urteil hat unterschiedliche Reaktionen hervorgerufen. Einige Stimmen kritisieren die Entscheidung als überzogen, da die DSGVO keine spezifischen Verschlüsselungsmethoden vorschreibt und eine Transportverschlüsselung in vielen Fällen als ausreichend gilt. Zudem könnte die verpflichtende Einführung von Ende-zu-Ende-Verschlüsselung im B2C-Bereich die Kommunikation erschweren, da nicht alle Kunden über die notwendigen technischen Mittel verfügen.

Interessanterweise hat das OLG Karlsruhe in einem ähnlichen Fall entschieden (Urteil vom 27. Juli 2023, Az. 19 U 83/22), dass keine spezifischen gesetzlichen Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr bestehen und die berechtigten Sicherheitserwartungen des Verkehrs maßgeblich sind. In diesem Fall wurde keine Verpflichtung zur Ende-zu-Ende-Verschlüsselung gesehen.

Da die Revision zugelassen wurde, könnte sich bald der Bundesgerichtshof (BGH) in nächster Instanz mit dem Fall befassen. Es bleibt abzuwarten, ob der BGH hier eine einheitliche Linie zu den Anforderungen an die E-Mail-Verschlüsselung im geschäftlichen Verkehr vorgeben wird.

Empfehlungen für Unternehmen

Unabhängig von der Diskussion zeigt der Fall, wie wichtig eine angemessene IT-Sicherheit im Umgang mit personenbezogenen Daten beim digitalen Rechnungsversand ist. Unternehmen sollten daher:

• Sicherheitsmaßnahmen evaluieren: Prüfen, ob die derzeitigen Verschlüsselungsmethoden den aktuellen Sicherheitsanforderungen entsprechen.
• Ende-zu-Ende-Verschlüsselung in Betracht ziehen: Insbesondere bei sensiblen Daten oder hohen Rechnungsbeträgen kann diese Methode zusätzlichen Schutz bieten.
• Mitarbeiterschulungen durchführen: Sensibilisierung für potenzielle Risiken und Schulungen im Umgang mit sicheren Kommunikationswegen.
• Alternative Versandmethoden prüfen: Bei Unsicherheiten könnte der Versand von Rechnungen auf traditionellem Postweg oder über gesicherte Online-Portale eine Option sein.

Zunehmende Cyberangriffe auf den Mittelstand

Durch proaktive Maßnahmen und die Anpassung an aktuelle Sicherheitsstandards können Unternehmen das Risiko von Cyberangriffen minimieren und den Schutz sensibler Daten sicherstellen. Dies ist umso wichtiger, da die Bedrohung durch Cyberangriffe insbesondere für kleine und mittlere Unternehmen (KMU) stetig zunimmt.

Laut einer Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden im ersten Halbjahr 2024 vermehrt hochvolumige DDoS-Angriffe registriert, die auch KMU betreffen. Zudem sind Ransomware-Angriffe auf kleinere Unternehmen und Kommunen aufgrund oft unzureichender Schutzmaßnahmen weit verbreitet.

Insgesamt verdeutlicht der Fall die Notwendigkeit für Unternehmen, ihre IT-Sicherheitsstrategien regelmäßig zu überprüfen und anzupassen, um rechtliche Anforderungen zu erfüllen und zusätzliche Kosten durch Sicherheitslücken zu vermeiden.