Vorsicht beim Rechnungsversand per E-Mail: Ende-zu-Ende-Verschlüsselung erforderlich!
Nach Auffassung des Oberlandesgerichts (OLG) Schleswig ist die weit verbreitete sogenannte Transportverschlüsslung nicht ausreichend sicher.
Wird eine Rechnung per E-Mal versendet und auf dem Weg zum Kunden manipuliert, haftet das Bauunternehmen. Eine erneute Zahlung kann nicht beansprucht werden! (Urteil vom 18. Dezember 2024, Aktenzeichen 12 U 9/24).
In dem zugrunde liegenden Fall hatte ein Bauunternehmen seine Schlussrechnung über 15.000 Euro per Mail mit einer Transportverschlüsselung an den privaten Auftraggeber versandt. Kriminelle manipulierten die Kontoverbindung in der Rechnungsdatei und der Kunde überwies den Betrag an die Betrüger. Das OLG Schleswig wies die Zahlungsklage gegen den Verbraucher ab, da das Bauunternehmen aufgrund der zu unsicheren Transportverschlüsselung gegen die Datenschutzgrundverordnung (DSGVO) verstoßen hatte, indem es personenbezogene Daten, wie die Rechnung, nicht angemessen schützte. Das unverschlüsselte Versenden von Rechnungen und auch die Transportverschlüsselung reichen nicht aus, um die Haftung des Bauunternehmens auszuschließen.
Der BVN meint:
Wer sich mit den Details der Ende-zu-Ende-Verschlüsselung vertraut macht, erkennt schnell, dass kaum ein Kunde / Verbraucher bislang diese Möglichkeiten aufgrund des hohen Aufwands nutzt oder vom Bauunternehmen dazu motiviert werden kann. Das Urteil ist deshalb sehr bedauernswert. Man kommt immer mehr zu der Überzeugung, dass der Schutz der Verbraucher fortlaufend erhöht wird und es praktisch ausgeschlossen wird, dass auch Endverbraucher eigenverantwortliche Wesen sind, die unter Umständen eine Mitschuld zu tragen haben.
Dem Bauunternehmen bleibt für den sicheren Rechnungsversand derzeit wohl nur die Post oder elektronisch über einen Zahlungsdienstleister, der zusätzliche Kosten verursacht.
Unabhängig davon sollten alle Unternehmen ihre IT-Sicherheit laufend prüfen und die Mitarbeiter sensibilisieren. Dies gilt umso mehr, da Banken immer noch nicht verpflichtet sind, die Übereinstimmung von Namen des Empfängers und IBAN zu prüfen!
Auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) finden interessierte alle wichtigen Erläuterungen zu Verschlüsselungstechniken und geeigneter Software für den E-Mail-Verkehr. Des Weiteren wurden Möglichkeiten der Verschlüsselung hier zusammengestellt.
