Rechnungen per E-Mail zu versenden, gehört heute zum Standard im Geschäftsverkehr. Doch ein aktuelles Urteil zeigt: Wer dabei nicht auf ausreichende Sicherheitsmaßnahmen achtet, riskiert nicht nur finanzielle Verluste, sondern auch erhebliche Haftungsrisiken nach der DSGVO. Unternehmen sollten sich daher fragen: Ist unsere E-Mail-Kommunikation sicher genug – oder könnte sie uns teuer zu stehen kommen?
Was ist passiert?
In dem zugrunde liegenden Fall hatte ein Haustechnikunternehmen für eine Kundin Arbeiten durchgeführt und wie üblich per E-Mail in Rechnung gestellt. Von der dreiteiligen Rechnung wurden dabei die ersten beiden Anteile ordnungsgemäß bezahlt. Bei der dritten und zugleich letzten Rechnung über etwa 15.000 Euro kam es allerdings zu einem folgenschweren Vorfall: Die per E-Mail im PDF-Format versandte Rechnung wurde auf bislang ungeklärte Weise von Dritten manipuliert. Die Bankverbindung in dem PDF war verändert worden – die Kundin überwies daraufhin den Betrag gutgläubig an ein Konto, das nicht zur Handwerksfirma, sondern zu einem unbekannten Dritten gehörte. Das Geld war also weg – und bei der Handwerksfirma kam kein Cent an.
Die Firma verlangte daraufhin nachvollziehbarer Weise von ihrer Kundin erneut die Zahlung. Das Landgericht gab der Klage statt: Die Zahlung an das falsche Konto erfülle die Schuld nicht, und die Firma habe keine Sicherheitsvorkehrungen verletzt – sie nutzte beim E-Mail-Versand immerhin eine gängige Verschlüsselungstechnik.
Der Datenschutz als Spielverderber
Doch das Schleswig-Holsteinische Oberlandesgericht sah das anders – und wies die Klage in der Berufung ab. Die interessante Begründung des Gerichts hat dabei hohe praktische Relevanz und lautet wie folgt:
Zwar erkannte auch der Senat, dass die Zahlung an den falschen Empfänger rechtlich keine „Erfüllung“ der Forderung gegenüber der Handwerksfirma darstellt. Aber – und das ist der entscheidende Punkt – die Kundin hatte nach Auffassung des Gerichts einen Schadensersatzanspruch gegen die Firma. Und genau diesen durfte sie der erneuten Zahlungsforderung entgegensetzen – mit der Folge, dass sie nicht doppelt zahlen muss.
Begründet wurde dieser Anspruch mit einem Verstoß gegen die Datenschutz-Grundverordnung (DSGVO): Die Klägerin habe beim E-Mail-Versand der Rechnung nicht ausreichend auf die Sicherheit der personenbezogenen Daten ihrer Kundin geachtet. Zwar war die E-Mail technisch verschlüsselt (per TLS), doch das genügte dem Gericht nicht. Gerade bei E-Mails mit sensiblen Daten und einem hohen Schadensrisiko – wie eben bei Rechnungen mit fünfstelligen Beträgen – fordert das Gericht eine Ende-zu-Ende-Verschlüsselung. Nur so sei der Schutz der Kundendaten im Sinne der DSGVO gewährleistet.
Und das gilt nicht nur für Großkonzerne: Auch mittelständische Unternehmen und Handwerksbetriebe müssen heute damit rechnen, dass sie für Schäden durch Datenmanipulation haften können – wenn sie keine angemessenen Schutzmaßnahmen treffen. Die einfache E-Mail mit PDF-Anhang ohne zusätzliche Sicherheitsvorkehrungen reicht nach Ansicht des Gerichts nicht mehr aus, um sensible Daten sicher zu übermitteln.
Unsere Empfehlungen für die Praxis:
- Verwenden Sie für den Versand sensibler Daten Ende-zu-Ende-Verschlüsselung oder nutzen Sie sichere Kundenportale, statt einfache PDFs per E-Mail zu verschicken.
- Informieren Sie Ihre Kunden darüber, wie Sie Rechnungen übermitteln – und geben Sie klare Hinweise, wie sie im Zweifel Bankverbindungen verifizieren können.
- Dokumentieren Sie Ihre technischen und organisatorischen Maßnahmen zum Datenschutz – das schützt im Streitfall.
- Ziehen Sie IT- und Datenschutzberatung hinzu, um schwache Stellen in Ihrer Kommunikation zu erkennen und abzusichern.
Wer Rechnungen verschickt, sollte nicht nur an die Buchhaltung denken. Denn was technisch bequem sein mag, kann rechtlich schnell teuer werden. Denn der Fall zeigt eindrucksvoll: Datensicherheit ist nicht nur IT-Sache, sondern auch rechtlich relevant – und zwar ganz handfest. Wer Rechnungen oder andere sensible Informationen per E-Mail verschickt, trägt die Verantwortung dafür, dass dabei der Schutz personenbezogener Daten gewahrt bleibt.
Unternehmen sollten deshalb prüfen, wie sie ihre digitalen Kommunikationswege absichern. Dabei geht es nicht nur um das eigene Sicherheitsgefühl, sondern um die Anforderungen der DSGVO, die im Zweifel auch gegenüber Kunden durchgesetzt werden können.
Als Kanzlei mit Schwerpunkten im IT- und Datenschutzrecht unterstützen wir Ihr Unternehmen dabei, digitale Prozesse sicher und rechtskonform zu gestalten.
Wir unterstützen Sie gerne. Kontaktieren Sie uns.
Gerne prüfen wir, ob Ihre E-Mail-Sicherheitsstrategie auf dem neuesten und vor allem sicheren Stand ist. Kontaktieren Sie uns unter:
Telefon +49 (0)69 27 13 57 0
(Montag – Donnerstag von 8:00 bis 18:00 Uhr & Freitag von 8:00 bis 16:30 Uhr) oder per Kontaktformularauf unserer Webseite.
