Schadenersatz: Unternehmen aufgepasst: Werklohnrechnungen gehackt und unbefugt verändert

Wirtschaftsrecht

Wenn eine per E-Mail versandte Werklohnrechnung gehackt und unbefugt verändert wird und der Kunde deshalb an einen unbekannten Dritten zahlt, muss er nicht noch einmal an den Werkunternehmer zahlen, wenn dieser die Rechnung ohne Ende-zu-Ende-Verschlüsselung versandt hat und deshalb gegen ihn ein Schadenersatzanspruch gemäß Datenschutz-Grundverordnung (hier: Art. 82 DS-GVO) besteht. Das hat das Oberlandesgericht (OLG) Schleswig-Holstein klargestellt.

Das war geschehen

Die Klägerin verlangt von der Beklagten, erneut ihre Werklohnforderung zu zahlen, nachdem der Betrag wegen einer Manipulation der per E-Mail versandten Rechnung durch kriminell handelnde Dritte dem Konto eines Unbekannten gutgeschrieben wurde.

Die Klägerin betreibt ein Unternehmen für die Installation von Haustechnik. Sie führte für die Beklagte Installationsarbeiten durch und rechnete die erbrachten Leistungen ihr gegenüber in drei Abschlagsrechnungen ab. Diese wurden jeweils als Anlage zu einer E-Mail im PDF-Format übersandt. Die ersten zwei Abschlagsrechnungen beglich die Beklagte per Überweisung an die auf den Rechnungen angegebenen Bankverbindungen der Klägerin.

Die dritte Abschlagsrechnung über rund 15.000 Euro, die zugleich die Schlussrechnung war, versandte die Klägerin ebenfalls als Anlage im PDF-Format per E-Mail. Diese Rechnung war jedoch auf ungeklärte Weise durch einen Dritten manipuliert worden, so dass die Beklagte den Rechnungsbetrag auf das Konto des unbekannten Dritten überwies. Auf dem Konto der Klägerin ging deshalb auf die Schlussrechnung keine Zahlung ein.

Keine Erfüllung durch Zahlung an unbekannten Dritten

Das Landgericht (LG) hat die Beklagte deshalb zur erneuten Zahlung verurteilt, weil eine Erfüllung durch die Zahlung an den unbekannten Dritten nicht eingetreten ist. Es hat ausgeführt, dass die Klägerin auch keine vertragliche Nebenpflicht verletzt hat, sodass die Beklagte keinen Schadenersatzanspruch hat, den sie der Klageforderung gemäß § 242 BGB entgegenhalten kann. Die Klägerin hat nach Auffassung des LG keine Pflichtverletzung begangen, weil die von ihr vorgetragenen Schutzvorkehrungen in Form einer Transportverschlüsselung per SMTP (Simple Mail Transfer Protocol) über TLS (Transport Layer Security) beim E-Mail-Verkehr mit Vertragspartnern ausreichend sind.

So sah es das Oberlandesgericht

Das OLG hat in zweiter Instanz das Urteil des LG geändert und die Klage abgewiesen. Es hat entschieden, dass die Zahlung der Beklagten an einen Dritten zwar keine Erfüllung der Forderung bei der Klägerin bewirkt. Im Gegensatz zum Landgericht hat es jedoch einen Schadenersatzanspruch der Beklagten bejaht, den diese der Werklohnforderung der Klägerin nach § 242 BGB entgegenhalten kann, so dass sie die Forderung nicht noch einmal bezahlen muss.

Dieser Schadenersatzanspruch ergibt sich nach der Entscheidung des OLG aus Art. 82 Abs. 2 DS-GVO, weil die Klägerin im Zuge der Verarbeitung der personenbezogenen Daten der Beklagten bei Versand der streitgegenständlichen E-Mail mit Anhang gegen die Grundsätze der Art. 5, 24 und 32 DS-GVO verstoßen hat. Das OLG hält die Transportverschlüsselung, die beim Versand der streitgegenständlichen E-Mail in Form von SMTP über TLS verwendet worden sein soll, nicht für ausreichend und damit auch nicht als zum Schutz der Daten „geeignet“ im Sinne der DS-GVO.

Das OLG hob hervor, dass heute jedem Unternehmen, das personenbezogene Daten seiner Kunden computertechnisch verarbeitet, bewusst sein muss, dass der Schutz dieser Daten hohe Priorität auch beim Versenden von E-Mails genießt. Unternehmen müssen diesen Schutz durch entsprechende Maßnahmen so weit wie möglich gewährleisten.

Ende-zu-Ende-Verschlüsselung unabdingbar

Gerade bei sensiblen oder persönlichen Inhalten ist nach der Entscheidung des OLG nur eine Ende-zu-Ende-Verschlüsselung zum Schutz im Sinne der DS-GVO geeignet, wenn ein hohes finanzielles Risiko durch Verfälschung der angehängten Rechnung für den Kunden besteht. Dass Kunden von Unternehmen bei einem Datenhacking Vermögenseinbußen drohen, ist ein Risiko, das dem Versand von Rechnungen per E-Mail immanent ist und deshalb eine entsprechende Voraussicht und ein proaktives Handeln erfordert. Der dafür erforderliche technische und finanzielle Aufwand kann auch von einem mittelständischen Handwerksbetrieb erwartet werden, wenn es seine Rechnungen nicht per Post versendet.

Quelle: OLG Schleswig-Holstein, Urteil vom 18.12.2024, 12 U 9/24, PM 1/25

Mai 20, 2025/von JH

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Schadenersatz: Unternehmen aufgepasst: Werklohnrechnungen gehackt und unbefugt verändert

Anschrift

Nützliche Informationen

Kontakt