Das Manipulieren von Rechnungen nimmt zu. Wir berichteten vor Kurzem über ein Urteil des OLG Schleswig vom 18.12.2024 (Az. 12 U 9/24). Ein Kunde hatte über 15.000 Euro auf ein falsches Konto überwiesen, weil Unbekannte die Rechnung des Handwerksbetriebs manipuliert und die Bankverbindung geändert hatten. Die gefälschte Rechnung wich optisch von früheren Rechnungen ab. Das OLG entschied zugunsten des Kunden: Zwar erfüllte die Zahlung auf das falsche Konto die Schuld nicht, doch der Kunde konnte Schadensersatz nach Art. 82 DSGVO verlangen. Das Gericht sah in der fehlenden Ende-zu-Ende-Verschlüsselung der E-Mail einen Verstoß des Handwerksbetriebs gegen die DSGVO.
In einem vergleichbaren Fall musste nunmehr das LG Rostock (Urteil vom 20.11.2024, Az. 2 O 450/24) entscheiden.
Sachverhalt
Am 08.11.2023 um 14:14 Uhr versandte ein Handwerksbetrieb eine E-Mail mit einer PDF-Datei, die die erste Abschlagsrechnung und die korrekte Bankverbindung enthielt. Um 14:35 Uhr erhielt der Kunde eine fast identische E-Mail mit einer gefälschten PDF-Datei, die eine abweichende Bankverbindung auswies. Während die PDF-Datei „optisch nahezu identisch“ mit der richtigen PDF-Datei war (abgesehen von den Bankverbindungsdaten), enthielt die E-Mail Hinweise auf eine fehlerhafte HTML-Formatierung.
Der Kunde kannte die richtige Bankverbindung aus einer früheren Geschäftsbeziehung und hatte bereits darauf Zahlungen geleistet. Der Handwerksbetrieb behauptet, die Rechnung sei nicht beglichen worden und der Kunde hätte die falsche Bankverbindung erkennen müssen. Der Kunde gibt an, nur die manipulierte E-Mail erhalten zu haben, die auf ein kompromittiertes System des Handwerksbetriebs zurückzuführen sei. Ein Zeuge bestätigte dies durch eine Untersuchung.
Der Kunde machte geltend, dass der Handwerksbetrieb durch mangelnde IT-Sicherheit die Ursache für die Fälschung gesetzt habe und daher hafte.
Entscheidung des Gerichts
Das Gericht verurteilte den Kunden zur erneuten Zahlung. Die Überweisung auf die falsche Bankverbindung führte nicht zur Erfüllung der Schuld. Zudem habe der Handwerksbetrieb nicht schuldhaft verursacht, dass der Kunde auf das falsche Konto zahlte.
Das Gericht prüfte nicht, ob die Mailsysteme des Handwerksbetriebs gehackt wurden, sondern konzentrierte sich auf vertragliche Schutzpflichten und ein mögliches Verschulden des Kunden. Eine Schutzpflichtverletzung verneinte es: Beide Parteien hatten sich auf E-Mail-Kommunikation geeinigt, obwohl deren Unsicherheiten allgemein bekannt sind. Es gibt keine festen Sicherheitsvorgaben für den E-Mail-Verkehr. Zudem sei unklar, ob der Handwerksbetrieb seine Systeme besser hätte absichern können oder ob ein höheres Sicherheitsniveau den Angriff verhindert hätte.
Auch aus der DSGVO ergibt sich keine Pflichtverletzung, da sie nur den Schutz personenbezogener Daten betrifft.
Das Gericht sah ein erhebliches Verschulden des Kunden. Er ignorierte deutliche Hinweise auf eine Manipulation der E-Mail. Die gefälschte Nachricht wies auffällige Zeichenfehler auf. So sind die Umlaute in der E-Mail nicht als Umlaut dargestellt, sondern als Zeichen wie bspw. „Ü“ für „Ü“ oder „ “ für ein „geschütztes Leerzeichen“. Zudem hätte dem Kunden auffallen müssen, dass sich die Bankverbindung gegenüber früheren Zahlungen geändert hatte – insbesondere der Wechsel von „B …kasse“ zu „B Bank“ in den Niederlanden. Diese Unstimmigkeiten waren so ungewöhnlich, dass der Kunde vor der Überweisung die Richtigkeit der Kontodaten hätte prüfen müssen.
Fazit
Im Gegensatz zum OLG Schleswig verfolgt das LG Rostock einen klaren Ansatz: Wer angreifbare Kommunikationsmittel nutzt, muss auch mit den Folgen klarkommen. Das ist grundsätzlich richtig. Allerdings sind sich die Beteiligten der möglichen Folgen nicht immer bewusst.
Dass E-Mails oft mit Postkarten verglichen werden, die jeder mit technischem Know-how lesen kann, ist allgemein bekannt. Weniger bekannt ist jedoch, dass abgefangene E-Mails auch manipuliert werden können. Daher ist eine transparente Aufklärung über die Risiken unerlässlich.
Nach Ansicht der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ist ein Verzicht auf Ende-zu-Ende-Verschlüsselung in der E-Mail-Kommunikation, von absoluten Ausnahmen abgesehen, unzulässig (DSK-Beschluss vom 24.11.2021). Im Land Bremen vertreten der LfDI und die Rechtsanwaltskammer unterschiedliche Positionen. Der LfDI Bremen folgt dem DSK-Beschluss und fordert, dass jegliche Kommunikation zwischen Anwält*innen und Klient*innen verschlüsselt sein muss. Angesichts der Manipulationsgefahr gerichtsrelevanter Informationen ist das zumindest nachvollziehbar. Die Rechtsanwaltskammer sieht diese Forderungen als überzogen an und sucht nach einer gerichtlichen Entscheidung.
Demgegenüber verlangt § 87a Abs. 1 Satz 4 AO, dass Finanzbehörden steuergeheime Daten verschlüsseln müssen. Eine Ausnahme gilt, wenn alle betroffenen Personen schriftlich in eine unverschlüsselte Übermittlung einwilligen. Ein Verzicht auf Ende-zu-Ende-Verschlüsselung ist also nicht grundsätzlich ausgeschlossen. So war es auch in einem Fall des OLG Düsseldorf (Urteil vom 28.10.2021, Az. 16 U 275/20), bei dem eine Gesundheitsakte auf Wunsch einer Krankenversicherten per E-Mail an sie verschickt wurde – jedoch leider an eine falsche E-Mail-Adresse. Eine Einwilligung in den unverschlüsselten Versand von E-Mails ist möglich, wenn die betroffene Person einwilligt und es Alternativen gibt, also z. B. der Versand per Post auch angeboten wird (wir berichteten).
Doch zurück zu dem Versand von Rechnungen per E-Mail. Beide Verfahren (LG Rostock und OLG Schleswig) zeigen: Manipulationen gehen Angriffen auf Mail-Systeme voraus – eine permanente Gefahr besteht nicht. Unternehmen sollten ihre Systeme sorgfältig überwachen und keine Webmailer nutzen, was jedoch gerade bei Kleinunternehmen noch gängige Praxis ist. Im Falle einer Kompromittierung müssen Kunden sofort und umfassend informiert sowie gewarnt werden.
Kunden wiederum sollten Rechnungsmails kritisch prüfen, insbesondere Layout und Zeichensetzung. Je höher der Rechnungsbetrag, desto sorgfältiger sollte die Überprüfung erfolgen.
4. Juli 2025 @ 12:27
Also, Dämliches kann ich nicht erkennen. Es stellt sich schlicht die Frage wie es denn weitergehen soll, wenn jemand auf eine verfälschte Rechnung gezahlt hat. Und das ist über alle Urteile identisch: Die Zahlungspflicht erlischt nicht! Und zwar abschließend!
Eine rechtlich ganz andere Frage ist, ob der Zahlungsverpflichtete einen Gegenanspruch (ggf. in derselben Höhe hat), sog. dolo agit. Das hat das OLG Schleswig bejaht. Kurzform: Daten müssen lt. der DGSVO (gilt nur für natürliche Personen! Nicht B2B) abhängig vom Risiko geschützt werden. Hier ging es um 15.000,- Euro. Da hielt das OLG Schleswig das Risiko für hoch und verlangte auch hohen Schutz, den es (nicht abschließend) durch End-zu-End-Verschlüsselung erfüllt ansehen würde. Es spricht ausdrücklich von einer Einzelfallentscheidung.
Ich halte das Urteil juristisch für nicht so wirklich gelungen (Revision leider nicht erhoben):
1. Lässt sich das Gericht nicht weiter dazu aus, dass ja nicht die durch die DGSVO geschützten Daten des Kunden sondern die Bankdaten des Rechnungsausstellers manipuliert wurden. Man mag ja dazu kommen, dass die DGSVO trotzdem einschlägig ist, aber es fehlt jedwede qualifizierte Ausführung dazu.
2. Wie schaut die Risikobewertung bei 10.000,- Euro aus? Bei 5.000,- Euro? Die nicht weiter ausgeführte zügige Verbindung von Schadenshöhe und Risiko ist schade. Die können miteinander zusammenhängen, müssen es aber nicht bzw. sind dann ja nach Vermögen des Zahlungspflichtigen (oder auch „armen“ Zahlungsempfängers?) unterschiedlich.
3. Die DGSVO zieht auch die Eintrittswahrscheinlichkeit heran. Dazu sagt das Gericht gar nichts. Sicher kommen gefälschte Rechnung vor, es werden in D aber auch 30 – 50 Milliarden Rechnungen jährlich geschrieben. Da wären Ausführungen schön gewesen.
4. Das Gericht stellt ausdrücklich auf Name und Anschrift des Kunden als schützenswerte Daten gem. DGSVO ab. Man könnte über einen Wertungswiderspruch zumindest diskutieren, warum es den bei einer Pseudonymisierung der Daten (DGSVO) – z.B. Angabe einer ID statt Name – zu keinem Schadensersatzanspruch käme.
5. Die Praxisprobleme der End-zu-End-Verschlüsselung durch asynchrone Hybridverschlüsselung wischt das Gericht recht zügig beiseite. Evtl. hat das Gericht diese nicht ganz verstanden. Einem Unternehmen mag man die Erzeugung und Handhabung von Schlüsselpaaren zumuten. Es ist dabei ja aber nicht so, dass der Rechnungsaussteller dies in der Hand hat, sondern der Rechnungsempfänger das Schlüsselpaar erzeugen und den öffentlichen Schlüssel bekanntgeben muss. Da wird Oma Blaschke wohl dran scheiten … und das Gericht verweist auf das BSI und die dortigen Tools. Das ist aber z.B. GpG4Win. Die Doku dazu ist von 2018 und das Handling … optimierungsfähig. Es bedarf also einer Mitwirkungshandlung des Zahlungspflichtigen. Dazu findet sich gar nichts im Urteil.
6. Schließlich fehlen noch qualifizierte Ausführungen zu alternativen Methoden, wie z.B. das PEPPOL-Netzwerk (eher B2B interessant). Aber auch die qeS könnte wieder interessanter werden, jedenfalls hätte diese ausschließlich der Aussteller in der Hand: „Lieber Kunde bezahle nur Rechnungen von mir, bei denen du meine qeS geprüft hast.“ Lesen kann dann zwar immer noch jeder Dritter (Postkarte -> DGSVO), aber der Empfänger merkt, ob die Rechnung verändert wurde. Dann entfiele bei Zahlung ggf. die Kausalität zwischen Schaden und Verstoß bzw. käme ein Mitverschulden in Betracht.
26. Februar 2025 @ 14:12
Das ist ja ziemlich dämlich: sowohl vom Gericht, als auch von allen, die das feiern als „Pflicht der Ende-zu-Ende-Verschlüsselung“ – wie soll das denn gehen? Wie viele VERBRAUCHER (!) haben denn SMIME oder PGP-Signaturen? – Jaja, man kann die Verbraucher nötigen, sich an einem Portal anzumelden und das dort abzurufen. Auch schwierig, denn dann könnte in der unverschlüsselten Mail der Link zu diesem Portal verändert werden.
Jaja, es könnte auch im Kundenkonto abrufbar sein, aber ein Kauf muss ja auch ohne Kundenkonto möglich sein – wenn ich mich also dafür anmelden muss – dann habe ich da wieder ein Problem.
Im B2B spannend: wie viele Rechnungsprogramem können verschlüsselt zugesandte elektronische Rechnungen nach ZUPFERD etc. verarbeiten?
Ich behaupte: gar keines!
Nein, weder das Gericht hat darüber nachgedacht, noch alle, die das nicht als klares Fehlurteil Kennzeichen und es besser NICHT weiter verbreiten.