Datenschutz und ComplianceManipulierte Rechnungs-E-Mail: Handwerksbetrieb bleibt auf Schaden sitzen
Handwerksbetriebe sollten Rechnungen per E-Mail nur Ende-zu-Ende-verschlüsselt verschicken - oder auf altmodische Weise per Post. Das lehrt ein vom OLG Schleswig entschiedener Fall. Denn der Kunde haftet nicht, wenn eine Rechnung auf dem Weg zu ihm manipuliert wurde.
Der Fall
Ein Handwerksbetrieb verschickte drei Teilrechnungen über Installationsleistungen jeweils als pdf-Datei per E-Mail an eine Kundin. Die Schlussrechnung über knapp 15.000 Euro wurde gehackt und die Kontodaten wurden manipuliert. Deswegen überwies die Kundin den Rechnungsbetrag auf das Konto unbekannter Dritter. Vor Gericht stellte sich die Frage, ob sie damit von der Forderung des Installationsunternehmens frei geworden ist.
Das Urteil
Erfüllt habe die Kundin die Forderung des Handwerksbetriebs mit der Zahlung zwar nicht, führt das OLG dazu aus. Noch einmal zahlen müsse sie dennoch nicht. Das OLG bejaht einen Schadensersatzanspruch der Kundin gegen das Unternehmen, den es der Werklohnforderung entgegenhalten kann.
Der Schadensersatzanspruch ergibt sich für die Richterinnen und Richter aus Art. 82 Abs. 2 DS-GVO. Der Installationsbetrieb habe mit der Rechnungstellung personenbezogene Daten der Auftraggeberin computertechnisch verarbeitet und deswegen die in Art. 5, 24 und 32 DS-GVO enthaltenen Grundsätze beachten müssen. Das habe er mit Versand der Rechnung als E-Mail-Anhang nicht getan.
Die Transportverschlüsselung, die das Unternehmen beim Versand der Mail in Form von SMTP über TLS verwendet haben will, sei unzureichend und nicht zum Schutz der Daten "geeignet" im Sinne der DS-GVO. Gerade bei sensiblen oder persönlichen Inhalten komme nur eine Ende-zu-Ende-Verschlüsselung in Betracht, wenn durch Verfälschung der angehängten Rechnung für den Kunden ein hohes finanzielles Risiko besteht.
Fazit
Dass Kunden von Unternehmen bei einem Datenhacking Vermögenseinbußen drohen, wertet das OLG als Risiko, das dem Versand von Rechnungen per E-Mail immanent ist, und fordert deshalb eine entsprechende Voraussicht und ein proaktives Handeln der Unternehmen. Den dafür erforderlichen technischen und finanziellen Aufwand müsse auch ein mittelständischer Handwerksbetrieb auf sich nehmen - oder die Rechnungen eben wie früher per Post verschicken.
Zusätzlich bieten sich auch Hinweise vor und im Zuge der Rechnungsstellung an, etwa wie folgt:
"Derzeit gibt es vermehrt Betrugsversuche mit gefälschten Rechnungen. Achten Sie genau auf die Absenderadresse – nur E-Mails mit der Adresse (…) sind von uns. Wir verschicken nie eine zweite E-Mail, in der wir eine neue IBAN mitteilen. Diese ändert sich nicht und kommt nicht aus dem Ausland Kontaktieren Sie uns bitte in Zweifelsfällen."