Datenschutz-Blog der SDG

Transportverschlüsselung beim Rechnungsversand nicht ausreichend?

02. April 2025 von Martin Brandmüller

OLG-Urteil: E-Mail-Rechnungen müssen end-to-end verschlüsselt sein | DSGVO-Schadenersatz

Aktuelle Rechtsprechung zum digitalen Rechnungsversand

Mit Urteil vom 18.12.2024 hat der 12. Senat des Oberlandesgerichtes Schleswig-Holstein (Az. 12 U 9/24) eine Entscheidung zur E-Mail-Verschlüsselung beim Rechnungsversand getroffen. Das rechtskräftige Urteil stärkt die Position der Rechnungsempfänger und definiert neue Standards für die DSGVO-konforme Kommunikation.

Der Sachverhalt: Man-in-the-Middle-Angriff mit kostspieligen Folgen

Im zugrundeliegenden Fall wurde eine unverschlüsselte Rechnung eines Unternehmens durch einen sogenannten "Man-in-the-Middle"-Angriff abgefangen. Der Angreifer änderte die Bankverbindung in der Rechnung und leitete sie an den eigentlichen, privaten Empfänger weiter. In der Folge überwies die Rechnungsempfängerin den geschuldeten Betrag (ca. 15.000 Euro) auf das Konto eines unbekannten Dritten.

Das rechnungsstellende Unternehmen forderte weiterhin die Zahlung vom Empfänger, da seiner Ansicht nach keine Erfüllung der Zahlungsverpflichtung eingetreten war.

Die Entscheidung des Gerichts: DSGVO-Verstoß durch unzureichende Verschlüsselung

Das OLG stellte in seinem Urteil mehrere wichtige Punkte klar:

  • Die Überweisung auf das Konto des unbekannten Dritten hat nicht zur Erfüllung der werkvertraglichen Zahlungsverpflichtung geführt
  • Der Rechnungsempfängerin steht jedoch ein Schadenersatzanspruch in Höhe der fehlgeleiteten Überweisung aus Art. 82 DSGVO zu, welcher dem Rechnungssteller entgegengehalten werden kann.
  • Eine reine Transportschlüsselung (SMTP, TLS 1.2, 1.3) ist bei E-Mails mit hohem finanziellen Risiko nicht ausreichend
  • Erforderlich wäre eine End-to-End-Verschlüsselung (PGP, S/MIME) gewesen, um das Szenario verhindern zu können.
  • Durch die fehlende End-to-End-Verschlüsselung war die Vertraulichkeit, Integrität und Authentizität der Nachricht nicht gewährleistet.
  • Das Verschulden des Rechnungsstellers wird gesetzlich vermutet – eine Entlastung gelang in diesem Fall nicht. Dies begründet einen Schadenersatzanspruch aus Art. 82 DSGVO

Praktische Konsequenzen für Unternehmen

Die Entscheidung hat weitreichende Folgen für die tägliche Geschäftspraxis:

  1. Überprüfung interner Verschlüsselungsrichtlinien für den E-Mail-Verkehr
  2. Implementierung von End-to-End-Verschlüsselung (PGP, S/MIME) für sensible Inhalte, insbesondere:
    • E-Mails mit besonderen personenbezogenen Daten (Art. 9 DSGVO)
    • Mitteilungen mit Berufsgeheimnissen
    • Nachrichten mit hohem finanziellen Risiko (im Urteilsfall bereits bei 15.000 Euro bejaht)
  3. Alternative Lösungen in Betracht ziehen:
    • Nutzung von Rechnungsportalen mit entsprechenden Verschlüsselungstechniken
    • Klassischer Postversand als analoge Option

Unsicher, ob Ihre aktuellen Prozesse den Anforderungen entsprechen? Gerne unterstützen wir Sie bei der Beratung und Einrichtung.

Haben wir Ihr Interesse geweckt?
Termin vereinbaren