Diskussion um Verschlüsselung: Versand manipulierter Rechnungen

Anzeige

Der Tätigkeitsbericht 2025 der Datenschutzaufsicht Schleswig-Holstein und ein Urteil des Oberlandesgerichts Schleswig beleuchten den Fall von verschiedenen Seiten.

Das Unternehmen meldet eine Datenpanne

Aus dem Blickwinkel der Datenschutzaufsicht geht es um eine Datenpanne, die das betroffene Unternehmen pflichtgemäß gemeldet hat (Meldung gemäß Art. 33 DSGVO). Folgendes hatte sich ereignet:

• Am Anfang stand eine erfolgreiche Cyberattacke auf die Software Lex Office, die das Unternehmen seit Langem einsetzte.
• Diese Attacke bemerkte das Unternehmen erst am Jahresende, als es die noch offenen Rechnungen durchging.
• Dabei stellte es mehrere offene Rechnungen mit höheren Beträgen fest.
• Telefonische Anfragen bei den entsprechenden Kundinnen und Kunden ergaben, dass diese die Rechnung jeweils längst beglichen hatten. Einen Zahlungseingang konnte das Unternehmen jedoch jeweils nicht feststellen.

Lex Office wurde zum Tatwerkzeug

• Recherchen ergaben, dass sich ein Angreifer über ein gehacktes E-Mail-Konto Zugriff auf Lex Office verschafft hatte.
• Mithilfe der dort hinterlegten Rechnungsvorlagen versandte der Angreifer über das gehackte E-Mail-Konto gefälschte Rechnungen mit manipulierten Bankverbindungen an Kundinnen und Kunden.
• So kam es zur Gutschrift der Zahlungen auf dubiosen polnischen und deutschen Konten, die bei der Feststellung der Manipulationen längst nicht mehr greifbar waren.

Rückfragen fingen die Täter ab

• In manchen Fällen schöpfte eine Kundin oder ein Kunde Verdacht und richtete per Mail eine Rückfrage an das Unternehmen.
• Sie erhielten dann eine Bestätigung der angeblich neuen Bankverbindung. Wenn sie nicht zahlten, folgten sogar Zahlungserinnerungen.
• All diese Mails stammten indessen gar nicht vom Unternehmen. Denn die Täter hatten unbemerkt auch die Systeme der Kundinnen und Kunden manipuliert.
• Ihre Rückfragen gelangten deshalb nicht zum Unternehmen, sondern wurden von den Tätern abgefangen und beantwortet.

Die Kriminalpolizei kann nicht helfen

Als das Unternehmen dies alles aufgedeckt hatte, meldete es den Vorgang ordnungsgemäß der Datenschutzaufsicht. Selbstverständlich wurde auch die Kriminalpolizei zugezogen. Ihre Ermittlungen hatten jedoch keinen Erfolg. Die von den Tätern benutzten IP-Adressen führten nach Nigeria, wo sich letzten Endes alle Spuren verloren.

Die Datenschutzaufsicht schließt den Vorgang ab

Das Unternehmen hatte den Vorfall ordnungsgemäß gemeldet. Deshalb war die Angelegenheit für die Datenschutzaufsicht erledigt. Sie beschränkte sich in ihrem Tätigkeitsbericht 2024 auf die folgenden weisen Ausführungen: „Phishing-Angriffe auf Unternehmen gehören mittlerweile leider fast schon zum Tagesgeschäft. Die effektivste Maßnahme zur Verhinderung derartiger Vorfälle sind gut geschulte Beschäftigte, die derartige Angriffs-E-Mails erkennen. Bei Unstimmigkeiten im Rechnungsverkehr ist eine besondere Vorsicht geboten.“

Es folgt jedoch ein Zivilprozess

Nicht erledigt war die Angelegenheit damit jedoch im Verhältnis zwischen dem Unternehmen und einer Kundin, die dem Unternehmen gut 15.000 € für erbrachte Leistungen schuldete. Die Kundin hatte diesen Betrag in gutem Glauben auf ein Konto gezahlt, das ihr die Täter in einer manipulierten Mail genannt hatten.

Natürlich kam diese Zahlung nie beim Unternehmen an. Deshalb, so die Auffassung des Unternehmens, müsse die Kundin den Betrag eben noch einmal zahlen, aber dieses Mal an das Unternehmen.

Eine Kundin will nicht nochmal zahlen

Die Kundin wollte davon nichts wissen. Sie machte geltend, das Unternehmen habe sich die Datenpanne und die Folgen daraus selbst zuzuschreiben. Denn die Sicherungsmaßnahmen des Unternehmens seien völlig unzureichend gewesen.

Diese Behauptung stützt sie darauf, dass das Unternehmen seine Rechnung als PDF-Datei per E-Mail an sie geschickt hatte. Dabei habe sie keinerlei Schutzvorkehrungen getroffen, um nachträgliche Veränderungen an der Mail oder an der an sie angehängten PDF-Datei durch böswillige Dritte zu verhindern.

Beim Oberlandesgericht hat sie Erfolg

Mit dieser Argumentation hatte die Klägerin beim Oberlandesgericht Schleswig im Ergebnis Erfolg. Die ausführlichen Überlegungen des Gerichts lassen sich recht knapp so zusammenfassen:

• Durch die Zahlung auf ein Konto, das mit dem Unternehmen überhaupt nichts zu tun hat, hat die Kundin ihre Schuld gegenüber dem Unternehmen nicht getilgt.
• Dass die Kundin gutgläubig gemeint hat, auf ein Konto des Unternehmens zu zahlen, ändert daran nichts.
• Sie kann der Forderung des Unternehmens jedoch einen Schadensersatzanspruch entgegenhalten.
• Dieser Schadensersatzanspruch ergibt sich aus Art. 82 DSGVO. Demnach ist das Unternehmen als Verantwortlicher im Sinne dieser Vorschrift dafür verantwortlich, dass er keine ausreichenden Datensicherungsmaßnahmen ergriffen hat und dass es deshalb zu einer Überweisung der Kundin auf das fremde Konto gekommen ist.

Knackpunkt ist die Art der Mail-Verschlüsselung

• Das Unternehmen hat der Kundin die Rechnung mit einer E-Mail zugesandt, bei der lediglich eine sogenannte „Transportverschlüsselung“ bestand. Diese Art der Verschlüsselung hat die Eigenart, dass die versandte E-Mail an bestimmten Punkten des Transportwegs im Klartext vorliegt. Das lässt sich für Manipulationen nutzen.
• Solche Manipulationen sind ausgeschlossen, wenn eine „Ende-zu-Ende-Verschlüsselung“ zum Einsatz kommt. Bei dieser Art der Verschlüsselung wird die E-Mail so verschlüsselt, dass nur der Absender und der Empfänger sie im Klartext lesen können. Denn nur Absender und Empfänger verfügen über den hierfür notwendigen Schlüssel. Dies schließt Manipulationen am Text der Mail durch böswillige Außenstehende in aller Regel aus.

Das Oberlandesgericht legt strenge Maßstäbe an

Angesichts der allgemein bekannten häufigen Angriffe von Hackern hätte das Unternehmen nach Auffassung des Oberlandesgerichts beim Versand einer Rechnung per E-Mail eine Ende-zu-Ende-Verschlüsselung einsetzen müssen.

Das gelte jedenfalls im Verhältnis zwischen einem Unternehmen und einem Endverbraucher, wenn das finanzielle Risiko hoch ist. Beides treffe im vorliegenden Fall zu.

Das Unternehmen ist schadensersatzpflichtig

Nur weil das Unternehmen dies in schuldhafter Weise nicht getan hat, konnte es zu der Überweisung auf das falsche Konto kommen. Den Schaden, der der Kundin daraus entstanden ist, muss das Unternehmen ersetzen.

Deshalb schuldet die Kundin im Ergebnis nichts

Im Ergebnis führt dies dazu, dass die Kundin dem nach wie vor bestehenden Zahlungsanspruch des Unternehmens einen Schadensersatzanspruch in identischer Höhe entgegenhalten kann. „Unter dem Strich“ hat das Unternehmen daher gegen die Kundin keinen Zahlungsanspruch mehr.

Der Rechtstreit geht in die nächste Instanz

Ob der Rechtsstreit damit erledigt ist, bleibt abzuwarten. Das Urteil ist nämlich bisher nicht rechtskräftig. Ganz im Gegenteil: Das Gericht hat die Revision gegen dieses Urteil ausdrücklich zugelassen und eine solche Revision zum Bundesgerichtshof ist auch bereits eingelegt worden. Somit bleibt abzuwarten, wie der Bundesgerichtshof die Sache sieht.

Die Fachwelt ist gespalten

In der juristischen Fachwelt hat die Entscheidung des Gerichts ein teilweise ausgesprochen negatives Echo gefunden. Die Kernfrage lautet dabei: Ist aus den Vorgaben für die Sicherheit der Verarbeitung in Art. 32 DSGVO tatsächlich abzuleiten, dass bei E-Mails mit Rechnungen im Anhang eine Transportverschlüsselung nicht genügt und dass stattdessen eine Ende-zu-Ende-Verschlüsselung geboten ist? Die Meinungen dazu sind geteilt.

Praktische Konsequenzen gibt es aber bereits

Die Entscheidung des Oberlandesgerichts hat erkennbare Auswirkungen auf Unternehmen, insbesondere auf Handwerksbetriebe. Viele Handwerksbetriebe verschicken wegen dieser Entscheidung ihre Rechnungen an Endverbraucher nur noch per Briefpost, keinesfalls mehr per E-Mail. Ihnen ist einfach das Risiko zu groß, dass sie im Ernstfall auf einer Forderung sitzen bleiben, weil sie die Rechnung per E-Mail verschickt haben.

Die Lösung, einen Versand mit einer Mail vorzunehmen, die „Ende-zu-Ende“ verschlüsselt ist, wollen viele Handwerksbetriebe offensichtlich nicht wählen. Vielleicht fürchten sie schlicht den höheren Aufwand, der damit zumindest bei der Einrichtung eines solchen Systems verbunden ist.

Quellen:

Datenschutzaufsicht Schleswig-Holstein, Tätigkeitsbericht 2025, S. 77/78. Der Bericht ist abrufbar unter https://www.datenschutzzentrum.de/tb/tb43/uld-43-taetigkeitsbericht-2025.pdf.

Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 18.12.2024 – 12 U 9/24. Das Urteil ist abrufbar unter https://www.gesetze-rechtsprechung.sh.juris.de/bssh/document/NJRE001598708.

Dr. Eugen Ehmann