Ein aktuelles Urteil des Oberlandesgerichts Schleswig Holstein (Urteil vom 18.12.24 – 12 U 9/24) sorgt für Aufsehen, da die Richter hier die Auffassung vertreten haben, dass Online-Unternehmer im Geschäftsverkehr mit Verbrauchern Rechnungen unter Umständen mit Ende-zu-Ende-Verschlüsselung versenden müssen. Mehr zu den Hintergründen des Urteils und seinen möglichen Auswirkungen erfahren Sie im folgenden Beitrag.
Der Fall
Im zugrundeliegenden Fall hatte ein Unternehmer im Rahmen eines Bauvertrages verschiedene Leistungen erbracht und nach Abschlagszahlungen noch eine Schlussrechnung über etwas mehr als 15.000 Euro offen.
Auf dem Weg zum Empfänger veränderten jedoch unbekannte Täter die Rechnung, indem sie die Bankverbindung, die farbliche Gestaltung und auch andere Inhalte des Dokuments änderten.
Der Auftragnehmer bemerkte die Manipulation nicht und überwies den um das Skonto gekürzten Betrag auf das angegebene Konto.
Als der Bauunternehmer keine Zahlung erhielt, forderte er die Zahlung erneut an.
Der Auftragnehmer machte jedoch geltend, dass die Manipulation nur durch den unverschlüsselten Versand der Rechnung möglich gewesen sei, ihm dadurch ein Schaden entstanden sei und verlangte daher vom Auftragnehmer Schadensersatz in gleicher Höhe.
Im Rahmen der gerichtlichen Klärung landeten die Parteien zunächst vor dem Landgericht Kiel.
Dieses gab der Klage des Auftragnehmers auf Zahlung der Restforderung statt.
Konkrete gesetzliche Vorgaben für den Versand von geschäftlichen E-Mails gäbe es nicht, diese könnten allenfalls aus den Vorgaben der DSGVO abgeleitet werden.
(Erfahren Sie hier mehr zu den technischen und organisatorischen Maßnahmen der DS-GVO)
Das OLG Schleswig-Holstein, das über die Berufung entschied, kam zu einem ganz anderen Ergebnis als die Vorinstanz.
Denn nach Ansicht der Richter hatte der Auftragnehmer keinen Zahlungsanspruch mehr.
Dem Auftragnehmer stehe ein Schadensersatzanspruch in gleicher Höhe aus Art. 82 DSGVO zu.
Eine grundsätzliche Verschlüsselungspflicht im geschäftlichen E-Mail-Verkehr mit Verbrauchern sah der Senat als gegeben an.
Unter Verweis auf die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Datenschutzkonferenz (Zusammenschluss der Datenschutzbehörden der Länder und des Bundes) könne diese in einer Transportverschlüsselung oder einer Ende-zu-Ende-Verschlüsselung bestehen.
Aufgrund der vorliegenden hohen Summe und des hohen finanziellen Risikos ist nach Auffassung des Gerichts zumindest in diesem Fall die Ende-zu-Ende-Verschlüsselung das Mittel der Wahl.
Dass damit ein höherer technischer Aufwand verbunden sei, müsse das Unternehmen hinnehmen, alternativ könne es die Rechnung auch weiterhin per Post versenden.
Anders als das Landgericht sah das Oberlandesgericht kein Mitverschulden des Unternehmers. Die Manipulation der Rechnung sei so subtil, dass sie bei oberflächlicher Prüfung nicht auffalle, und auch eine Änderung der Bankverbindung komme im Geschäftsverkehr so häufig vor, dass der Auftragnehmer nicht stutzig werden müsse:
Einordnung
Das Urteil ist noch nicht rechtskräftig, die Revision wurde zugelassen, so dass es möglich ist, dass sich der Bundesgerichtshof in absehbarer Zeit erneut mit der Problematik befassen wird.
Dies ist auch sinnvoll, da das OLG Karlsruhe in der jüngeren Vergangenheit anders entschieden hat.
Hier wurde eine Ende-zu-Ende-Verschlüsselung beim Rechnungsversand nicht gefordert.
Allerdings ging es in diesem Urteil um zwei Unternehmer, für die die DSGVO nicht unmittelbar gilt und bei denen auch von einer höheren Sorgfalt bei der Rechnungsprüfung ausgegangen werden kann.
Folgt man jedoch der Logik des Schleswig Holsteinischen Oberlandesgerichts, müssten zumindest Online-Unternehmer, die hochpreisige Waren oder Dienstleistungen im vier- bis fünfstelligen Bereich verkaufen oder erbringen, eine Ende-zu-Ende-Verschlüsselung beim Rechnungsversand einführen.
In der Praxis führt dies zu vielen Problemen, zumal es bis heute keine flächendeckende Lösung zur Ende-zu-Ende-Verschlüsselung von E-Mails gibt, die von jedermann genutzt werden kann.
Grundsätzlich können Verschlüsselungen über gängige E-Mail-Programme durchgeführt werden, dies ist jedoch noch mit diversen technischen Einstellungen verbunden, die viele Verbraucher überfordern würden.
Auch ein Versand per verschlüsselter Zip-Datei und alternativer Nennung des Passwortes, beispielsweise per Telefon, wäre für beide Seiten mit hohem Aufwand verbunden.
Die alternative Möglichkeit, die Rechnung weiterhin per Post zu versenden, wird vom Gericht ausdrücklich erwähnt.
Warum dies jedoch weniger anfällig für Manipulationen sein soll und warum den Empfänger kein Mitverschulden treffen soll, obwohl die Rechnung an mehreren Stellen verändert wurde, sind nur einige der Fragen, die sich aus diesem Urteil ergeben.
