Wenn eine per E-Mail versandte Rechnung gehackt und verändert wird, sodass ein Kunde den Betrag an einen Betrüger überweist, muss er nicht noch einmal an das eigentliche Unternehmen zahlen. Dies gilt, wenn das Unternehmen die Rechnung ohne sichere Ende-zu-Ende-Verschlüsselung versandt hat und dadurch gegen Datenschutzvorgaben verstößt. Das Schleswig-Holsteinische Oberlandesgericht hat kürzlich entschieden, dass dem Kunden in diesem Fall ein Schadensersatzanspruch nach Art. 82 DSGVO zusteht.
Der zugrundeliegende Sachverhalt – Rechnung wurde manipuliert
Ein Handwerksbetrieb stellte einem Kunden mehrere Abschlagsrechnungen für erbrachte Leistungen. Die ersten beiden Rechnungen bezahlte der Kunde korrekt. Die dritte Rechnung, die zugleich die Schlussrechnung über ca. 15.000 Euro war, wurde per E-Mail als PDF-Anhang versandt. Diese Rechnung wurde jedoch von einem unbekannten Dritten manipuliert, sodass der Kunde den Betrag an ein falsches Konto überwies. Das Unternehmen forderte daraufhin erneut die Zahlung von seinem Kunden.
Entscheidung des Gerichts
Das Schleswig-Holsteinische Oberlandesgericht stellte mit Urteil vom 18.12.2024 unter dem Aktz. 12 U 9/24 klar: Die Überweisung des Kunden an den Betrüger erfüllt die Zahlungspflicht gegenüber dem Unternehmen nicht. Allerdings muss der Kunde die Rechnung nicht erneut bezahlen, da ihm ein Schadensersatzanspruch zusteht, den er gegen die Forderung des Unternehmens aufrechnen kann.
Der Grund: Das Unternehmen hat gegen Datenschutzvorgaben der DSGVO verstoßen, indem es die personenbezogenen Daten seines Kunden nicht ausreichend geschützt hat. Konkret verstieß es gegen die Art. 5, 24 und 32 DSGVO, da die Rechnung nur mit einer Transportverschlüsselung (z. B. über SMTP mit TLS) versendet wurde. Diese sei laut Gericht nicht ausreichend sicher.
Unternehmen müssen Rechnungen besser schützen
Das Gericht betonte, dass Unternehmen die Verantwortung haben, personenbezogene Daten sicher zu verarbeiten – auch beim Versand von E-Mails. Besonders wenn durch mögliche Manipulationen hohe finanzielle Schäden drohen, reicht eine einfache Transportverschlüsselung nicht aus. Unternehmen müssen stattdessen eine sichere Ende-zu-Ende-Verschlüsselung nutzen. Dies gelte auch für mittelständische Betriebe, wenn sie Rechnungen nicht per Post versenden.
