Der Sachverhalt: manipulierte Rechnung per E-Mail
Ein Handwerksunternehmen übersandte einer privaten Auftraggeberin eine Schlussrechnung per E-Mail als PDF-Anhang. Unbekannte Täter manipulierten die Rechnung und ersetzten die angegebene Bankverbindung durch ein fremdes Konto. Die Kundin überwies daraufhin den Rechnungsbetrag auf dieses Konto.Der Werkunternehmer erhielt keine Zahlung und verlangte anschließend erneut den Werklohn.
Das Landgericht Kiel gab der Klage zunächst statt. Die Zahlung auf das Konto eines unbekannten Dritten entfalte keine Erfüllungswirkung (§ 362 BGB), da der Betrag nicht beim Gläubiger eingegangen sei.
Das OLG Schleswig gelangte hingegen zu einem anderen Ergebnis.
Zwar verneinte auch das Berufungsgericht eine Erfüllung der Forderung. Es bejahte jedoch einen Schadensersatzanspruch der Kundin nach Art. 82 DSGVO.
Die (überraschende) Begründung
Der Versand der Rechnung per E-Mail stelle eine Verarbeitung personenbezogener Daten dar. Unternehmen seien daher gemäß Art. 32 DSGVO verpflichtet, ein angemessenes Sicherheitsniveau zu gewährleisten.
Nach Auffassung des Gerichts genügt eine bloße Transportverschlüsselung (TLS) beim Versand von Rechnungen mit erheblichem Zahlungsrisiko nicht. Vielmehr sei eine Ende-zu-Ende-Verschlüsselung erforderlich.
Da das Unternehmen ein derartiges Sicherheitsniveau nicht nachweisen konnte, liege ein Datenschutzverstoß vor. Der daraus resultierende Schaden – die fehlgeleitete Überweisung – sei daher zu ersetzen. Die Klage auf erneute Zahlung wurde folglich abgewiesen.
Das zentrale Problem: Wo fand die Manipulation tatsächlich statt?
Bemerkenswert ist, dass im Verfahren nicht festgestellt wurde, an welcher Stelle der Angriff tatsächlich erfolgte.
Das Urteil lässt offen, ob
die E-Mail auf dem Übertragungsweg manipuliert wurde,
der Mailserver kompromittiert war oder
der Angriff erst im E-Mail-Account der Empfängerin stattfand.
Gleichwohl stützt das Gericht seine Argumentation maßgeblich auf die Gefahr einer Manipulation auf dem Kommunikationsweg.
Ein Vergleich
Die Argumentation des Gerichts lässt sich anhand einer einfachen Analogie verdeutlichen:
Eine Person versendet Bargeld in einem Umschlag per Post.
Der Umschlag trifft ordnungsgemäß beim Empfänger ein.
Der Empfänger legt das Geld zu Hause in eine Schublade.
Dort wird es später entwendet.
Sollte in einem solchen Fall der Absender haften, weil der Umschlag kein „ausreichend sicheres Transportmittel“ gewesen sei, erscheint dies schwer nachvollziehbar. Der Diebstahl hätte nämlich nicht während des Transports, sondern im Verantwortungsbereich des Empfängers stattgefunden.
Das OLG Schleswig verfolgt jedoch eine andere Logik: Entscheidend sei nicht mehr der konkrete Ort des Angriffs, sondern die Frage, wer durch sein Verhalten ein entsprechendes Risiko geschaffen habe.
Das Problem
Sollte der Angriff erst im E-Mail-Account der Empfängerin erfolgt sein, hätte auch eine Ende-zu-Ende-Verschlüsselung den Schaden nicht verhindert. Erfolgt die Manipulation erst im E-Mail-Account, kommt es auf die Art der Übermittlung der Nachricht nicht mehr an. Zu diesem Zeitpunkt ist die Nachricht bereits beim Empfänger eingegangen und wird dort im Klartext verarbeitet.
Selbst eine Ende-zu-Ende-verschlüsselte Nachricht muss im E-Mail-Client des Empfängers entschlüsselt werden, um gelesen werden zu können. Hat ein Angreifer Zugriff auf diesen Account oder das Endgerät, kann er auch eine zuvor verschlüsselte Nachricht einsehen oder manipulieren.
Demgegenüber sind sogenannte „Man-in-the-Middle“-Angriffe in der Praxis vergleichsweise selten, da die E-Mail hierzu während der Übertragung im Netzwerk abgefangen werden müsste. Vor diesem Hintergrund erscheint die Kausalität zwischen einer etwaigen Pflichtverletzung und dem eingetretenen Schaden zweifelhaft.
Damit kommt es sehr wohl darauf an, an welcher Stelle der Angriff tatsächlich stattgefunden hat. Diese Feststellungen können nicht durch rein normative Erwägungen ersetzt werden. Eine normative Gefährdungshaftung für gewöhnliche E-Mail-Kommunikation lässt sich aus Art. 82 DSGVO jedenfalls nicht ohne Weiteres ableiten.
Prozessrechtliche Bedenken
Auch aus prozessrechtlicher Sicht erscheint die Entscheidung problematisch. Das Berufungsgericht darf keinen neuen Sachverhalt zugrunde legen, der nicht festgestellt wurde. Es ist vielmehr an die Tatsachenfeststellungen des erstinstanzlichen Gerichts gebunden (§ 529 Abs. 1 Nr. 1 ZPO), sofern keine konkreten Zweifel an deren Richtigkeit bestehen.
Das Landgericht hatte lediglich festgestellt, dass die Manipulation im Bereich des Empfängers der E-Mail erfolgt sein könnte. Vor diesem Hintergrund erscheint es zweifelhaft, ob das Berufungsgericht seine Argumentation auf das Risiko des Kommunikationswegs stützen durfte, ohne entsprechende Tatsachenfeststellungen zu treffen.
Hier wirken die Ausführungen des OLG zur Angemessenheit der Sicherheitsmaßnahmen ohne eine technische Begutachtung unzureichend. Sie setzen Annahmen voraus, die zunächst hätten festgestellt werden müssen.
Brauchen Sie einen Rechtsanwalt? Anfrage oder E-Mail an info@ra-roemmelt.de .
Bearbeiter: Rechtsanwalt (RA) Olaf Römmelt – Kanzlei Römmelt Hilden