02.04.2025
Unser Newsletter wird demnächst umgestellt...

Als Nachfolger des erfolgreichen Portals kostenlose-urteile.de werden wir demnächst auch dessen Newsletter übernehmen und unter dem Namen urteile.news weiter betreiben.

Solange können Sie sich noch über kostenlose-urteile.de bei unserem Newsletter anmelden. Er enthält trotz des Namens kostenlose-urteile.de alle neuen Urteilsmeldungen von urteile.news und verweist auch dahin.

Wir bitten für die Unannehmlichkeiten um ihr Verständnis.

> Anmeldung und weitere Informationen
02.04.2025 
Sie sehen einen Schreibtisch mit einem Tablet, einer Kaffeetasse und einem Urteil.

Dokument-Nr. 34785

Sie sehen einen Schreibtisch mit einem Tablet, einer Kaffeetasse und einem Urteil.
Drucken
Urteil18.12.2024Schleswig-Holsteinisches Oberlandesgericht12 U 9/24
ergänzende Informationen

Schleswig-Holsteinisches Oberlandesgericht Urteil18.12.2024

Unternehmer muss bei Rechnungs­versand per E-Mail eine Ende-zu-Ende-Verschlüsselung vornehmenBei manipulierter Rechnungs-E-Mail hat der Kunde einen Schaden­s­er­satz­an­spruch aus Art. 82 DSGVO

Wenn eine per E-Mail versandte Werklohn­rechnung gehackt und unbefugt verändert wird und der Kunde deshalb an einen unbekannten Dritten zahlt, muss er nicht noch einmal an den Werkunternehmer zahlen, wenn dieser die Rechnung ohne Ende-zu-Ende- Verschlüsselung versandt hat und deshalb gegen ihn ein Schaden­s­er­satz­an­spruch aus Art. 82 DSGVO besteht. Dies hat das Schleswig-Holsteinische Oberlan­des­gericht entschieden.

Die Klägerin verlangt von der Beklagten die erneute Zahlung ihrer Werklohn­for­derung, nachdem der Betrag wegen einer Manipulation der per E-Mail versandten Rechnung durch kriminell handelnde Dritte dem Konto eines Unbekannten gutgeschrieben wurde. Die Klägerin betreibt ein Unternehmen für die Installation von Haustechnik. Sie führte für die Beklagte Insta­l­la­ti­o­ns­a­r­beiten durch und rechnete die erbrachten Leistungen ihr gegenüber in drei Abschlags­rech­nungen ab. Diese wurden jeweils als Anlage zu einer E-Mail im pdf- Format übersandt. Die ersten zwei Abschlags­rech­nungen beglich die Beklagte per Überweisung an die auf den Rechnungen angegebenen Bankver­bin­dungen der Klägerin. Die dritte Abschlags­rechnung über rund 15.000,00 €, welche zugleich die Schlussrechnung war, versandte die Klägerin ebenfalls als Anlage im pdf-Format per E-Mail. Diese Rechnung war jedoch auf ungeklärte Weise durch einen Dritten manipuliert worden, so dass die Beklagte den Rechnungsbetrag auf das Konto des unbekannten Dritten überwies. Auf dem Konto der Klägerin ging deshalb auf die Schlussrechnung keine Zahlung ein.

Landgericht verurteilte den Kunden zur nochmaligen Zahlung, weil durch Zahlung an den Falschen keine Erfüllung eingetreten war

Das Landgericht hat die Beklagte deshalb zur erneuten Zahlung verurteilt, weil eine Erfüllung durch die Zahlung an den unbekannten Dritten nicht eingetreten ist. Es hat ausgeführt, dass die Klägerin auch keine vertragliche Nebenpflicht verletzt hat, so dass die Beklagte keinen Schaden­s­er­satz­an­spruch hat, den sie der Klageforderung gem. § 242 BGB entgegenhalten kann. Die Klägerin hat nach Auffassung des Landgerichts keine Pflicht­ver­letzung begangen, weil die von ihr vorgetragenen Schutz­vor­keh­rungen in Form einer Trans­port­ver­schlüs­selung per SMTP (Simple Mail Transfer Protocol) über TLS (Transport Layer Security) beim E-Mail-Verkehr mit Vertrags­partnern ausreichend sind. Der 12. Zivilsenat des Schleswig-Holsteinischen Oberlan­des­ge­richts hat auf die Berufung der Beklagten hin das Urteil des Landgerichts abgeändert und die Klage abgewiesen.

Oberlan­des­gericht: Kunde hat einen Schaden­er­satz­an­spruch gegen den Unternehmer aus DSGVO

Der 12. Zivilsenat hat entschieden, dass die Zahlung der Beklagten an einen Dritten zwar keine Erfüllung der Forderung bei der Klägerin bewirkt. Im Gegensatz zum Landgericht hat es jedoch einen Schaden­s­er­satz­an­spruch der Beklagten bejaht, den diese der Werklohn­for­derung der Klägerin nach § 242 BGB entgegenhalten kann, so dass sie die Forderung nicht noch einmal bezahlen muss.

Dieser Schaden­s­er­satz­an­spruch ergibt sich nach der Entscheidung des Senats aus Art. 82 Abs. 2 DSGVO, weil die Klägerin im Zuge der Verarbeitung der perso­nen­be­zogenen Daten der Beklagten bei Versand der streit­ge­gen­ständ­lichen E-Mail mit Anhang gegen die Grundsätze der Art. 5, 24 und 32 DSGVO verstoßen hat. Der Senat hält die Trans­port­ver­schlüs­selung, die beim Versand der streit­ge­gen­ständ­lichen E-Mail in Form von SMTP über TLS verwendet worden sein soll, nicht für ausreichend und damit auch nicht als zum Schutz der Daten "geeignet" im Sinne der DSGVO.

OLG: Unternehmen müssen perso­nen­be­zogene Daten schützen

Der Senat führt aus, dass heute jedem Unternehmen, das perso­nen­be­zogene Daten seiner Kunden compu­ter­technisch verarbeitet, bewusst sein muss, dass der Schutz dieser Daten hohe Priorität - auch beim Versenden von E-Mails - genießt. Unternehmen müssen diesen Schutz durch entsprechende Maßnahmen so weit wie möglich gewährleisten.

OLG: Ende-zu-Ende-Verschlüsselung notwendig

Gerade bei sensiblen oder persönlichen Inhalten ist nach der Entscheidung des Senats nur eine Ende-zu-Ende-Verschlüsselung zum Schutz im Sinne der DSGVO geeignet, wenn ein hohes finanzielles Risiko durch Verfälschung der angehängten Rechnung für den Kunden besteht. Dass Kunden von Unternehmen bei einem Datenhacking Vermö­gen­s­einbußen drohen, ist ein Risiko, das dem Versand von Rechnungen per E-Mail immanent ist und deshalb eine entsprechende Voraussicht und ein proaktives Handeln erfordert. Der dafür erforderliche technische und finanzielle Aufwand kann auch von einem mittel­stän­dischen Handwerks­betrieb erwartet werden, wenn es seine Rechnungen nicht per Post versendet.

Quelle: Schleswig-Holsteinisches Oberlandesgericht, ra-online (pm/pt)

Nicht gefunden, was Sie gesucht haben?

Urteile sind im Originaltext meist sehr umfangreich und kompliziert formuliert. Damit sie auch für Nichtjuristen verständlich werden, fasst urteile.news alle Entscheidungen auf die wesentlichen Kernaussagen zusammen. Wenn Sie den vollständigen Urteilstext benötigen, können Sie diesen beim jeweiligen Gericht anfordern.

Wenn Sie einen Link auf diese Entscheidung setzen möchten, empfehlen wir Ihnen folgende Adresse zu verwenden: https://urteile.news/Urteil34785

Bitte beachten Sie, dass im Gegensatz zum Verlinken für das Kopieren einzelner Inhalte eine explizite Genehmigung der ra-online GmbH erforderlich ist.

Die Redaktion von urteile.news arbeitet mit größter Sorgfalt bei der Zusammenstellung von interessanten Urteilsmeldungen. Dennoch kann keine Gewähr für Richtigkeit und Vollständigkeit der über uns verbreiteten Inhalte gegeben werden. Insbesondere kann urteile.news nicht die Rechtsberatung durch eine Rechtsanwältin oder einen Rechtsanwalt in einem konkreten Fall ersetzen.

Bei technischen Problemen kontaktieren Sie uns bitte über dieses Formular.

VILI