Rechnungsversand per E-Mail

1. Die Zahlung eines Schlussrechnungsbetrags aus einer Werklohnrechnung durch einen privaten Kunden nicht auf das Konto des Werkunternehmers, sondern auf das Konto eines unbekannten Dritten, nachdem die vom Werkunternehmer per E-Mail versandte Rechnung unbefugt verändert worden ist, führt nicht zur Erfüllung der Zahlungsverpflichtung im Sinne von § 362 Abs. 2 BGB.
2. Dem Kunden kann allerdings ein Schadensersatzanspruch in Höhe der auf das Drittkonto getätigten Überweisung zustehen, den er der Klagforderung des Werkunternehmers unter dem Gesichtspunkt der dolo-agit-Einwendung gemäß § 242 BGB entgegenhalten kann.
3. Ein solcher Schadensersatzanspruch kann aus Art. 82 DSGVO resultieren.
4. Art. 82 Abs. 2 DSGVO - der die in Art. 82 Abs. 1 DSGVO grundsätzlich normierte Haftungsregelung präzisiert – hat drei Voraussetzungen für die Entstehung eines Schadensersatzanspruchs, nämlich
   - erstens eine Verarbeitung personenbezogener Daten im Sinne der Art. 5 Abs. 1 lit. a Var. 1, Art. 6 Abs. 1 UnterAbs. 1 lit. a, Art. 7 in Verbindung mit Art. 4 Nr. 1 und 2 DSGVO unter schuldhaftem Verstoß gegen die Bestimmungen der DSGVO,
   - zweitens einen der betroffenen Person entstandenen Schaden und
   - drittens einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.
5. Ein Verstoß gegen die Vorschriften der Datenschutzgrundverordnung durch den Verantwortlichen kann in diesem Zusammenhang nicht schon allein deswegen angenommen werden, weil ein unbefugter Zugriff auf personenbezogene Daten durch Dritte im Sinne von Art. 4 Nr. 10 DSGVO stattgefunden hat.
6. Umgekehrt ist nach der Rechtsprechung des Europäischen Gerichtshofs der Verantwortliche aber auch nicht gem. Art. 82 Abs. 3 DSGVO von seiner nach Art. 82 Abs. 1 und 2 DSGVO bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens allein deswegen befreit, weil dieser Schaden die Folge eines unbefugten Zugangs zu personenbezogenen Daten durch einen Dritten ist.
7. Vielmehr hat der Verantwortliche die Möglichkeit, aber auch die Verpflichtung, nach dem in Art. 5 Abs. 2 DSGVO formulierten und in Art. 24 DSGVO konkretisierten Grundsatz seiner Rechenschaftspflicht darzulegen und zu beweisen, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, um die personenbezogenen Daten entsprechend dem von der Datenschutzgrundverordnung verlangten Sicherheitsniveau vor dem Zugriff Unbefugter zu schützen.
8. Der Europäische Gerichtshof hat die Anforderungen des Art. 32 DSGVO dahingehend ausgelegt, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen vor den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbunden Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.
9. Nach Ansicht des Senats ist danach eine reine Transportverschlüsselung beim Versand von geschäftlichen E-Mails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.
10. Gemäß Art. 82 Abs. 3 DSGVO wird der Verantwortliche von der Haftung befreit, wenn er in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist. Verantwortung ist dabei das Verschulden im Sinne der deutschen Rechtsterminologie und nicht die datenschutz-rechtliche Verantwortung. Das Verschulden wird nach dem Wortlaut der Norm grundsätzlich vermutet.    
11. Ist bei dem Versand von geschäftlichen E-Mails kein ausreichendes Schutzniveau zur Sicherung der personenbezogenen Daten des Kunden eingehalten, obliegt dem Verantwortlichen der Beweis dafür, dass der dem Kunden entstandene Schaden nicht durch sein Fehlverhalten entstanden ist.
12. Ein Mitverschulden des Kunden iSv § 254 BGB kann aus Abweichungen der E-Mail – hier einer angehängten Rechnung – von früheren Rechnungen resultieren und obliegt einer Prüfung im Einzelfall.
Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 18. Dezember 2024 – 12 U 9/24 (rechtskräftig)

A. Problemstellung
Mit den notwendigen Sicherheitsvorkehrungen beim Versand von E-Mails mit angehängten Rechnungen im Geschäftsverkehr gegenüber Verbrauchern hatte sich das OLG Schleswig zu befassen. Das Urteil ist rechtskräftig geworden.

B. Inhalt und Gegenstand der Entscheidung
Die Parteien streiten darüber, ob die Klägerin (erneut) die Zahlung ihrer Werklohnforderung durch die Beklagte verlangen kann, nachdem der Überweisungsbetrag nach Manipulation der Rechnung durch kriminell handelnde Dritte dem Konto eines Unbekannten gutgeschrieben wurde. Das Landgericht hat der Klage stattgegeben. Der Klägerin stehe gegen die Beklagte ein Anspruch auf Zahlung der ausstehenden Vergütung in Höhe von 15.385,78 € zu. Zwischen den Parteien sei unstreitig, dass sie einen Werkvertrag Form eines Bauvertrags abgeschlossen hätten, die Klägerin ihre vertraglich geschuldeten Werkleistungen erbracht habe und infolge getätigter Abschlagszahlungen gem. § 641 Abs.1 S.1 BGB noch eine von der Beklagten geschuldete Vergütung in Höhe von 15.385,78 € nach Stellung einer Schlussrechnung sowie durch Abnahme des Werkes fällig gewesen sei. Unstreitig sei ebenso, dass seitens der Beklagten in Bezug auf jene Schlussrechnung eine skontogeminderte Zahlung in Höhe von 14.924,20 € auf das Konto eines Dritten erfolgt sei. Allerdings sei durch diese Zahlung der Anspruch der Klägerin auf verbleibende Vergütung ihrer Leistung nicht gem. § 362 BGB erloschen. Die Beklagte habe gegen die Klägerin auch keinen Schadensersatzanspruch wegen Verletzung einer Nebenpflicht gem. §§ 280 Abs. 1, 241 Abs. 2 BGB in der auf das Drittkonto getätigten Überweisungshöhe von 14.924,20 €, den sie der Klageforderung als dolo-agit-Einwendung gem. § 242 BGB entgegenhalten könnte. Der Umstand, dass eine Manipulation der in Frage stehenden Rechnung durch einen Dritten vorgenommen worden sei, begründe keine Nebenpflichtverletzung der Klägerin aus ihrem Werkvertrag mit der Beklagten.
Die Berufung der Beklagten hat Erfolg und führt zur Abweisung der Klage. Zwischen den Parteien ist unstreitig ein Werkvertrag in Form eines Bauvertrages zustande gekommen. Die Klägerin hat ihre vertraglich geschuldeten Werkleistungen erbracht und infolge getätigter Abschlagszahlungen war gem. § 641 Abs.1 S.1 BGB noch eine Vergütung in Höhe von 15.385,78 € nach Stellung einer Schlussrechnung am 26.09.2022 von der Beklagten geschuldet, sowie nach Abnahme des Werkes am 12.01.2023 fällig. Unstreitig ist ebenso, dass seitens der Beklagten in Bezug auf jene Schlussrechnung eine skonto-geminderte Zahlung in Höhe von 14.924,20 € auf das Konto eines Dritten erfolgt ist. Allerdings ist die Forderung der Klägerin dadurch nicht erfüllt im Sinne von § 362 Abs. 2 BGB. Für die Erfüllungswirkung bei Zahlung an einen Dritten genügt es gerade nicht, dass der Schuldner nur gutgläubig meint, auf ein Konto des Gläubigers zu zahlen. Dies hat das Landgericht zu Recht betont. Die Leistung an einen Dritten hat vielmehr nur dann erfüllende Wirkung, wenn dieser tatsächlich vom Gläubiger rechtsgeschäftlich ermächtigt ist, die Leistung im eigenen Namen in Empfang zu nehmen oder der Gläubiger dem Schuldner nach §§ 362 Abs. 2, 185 BGB die Ermächtigung erteilt, die Leistung an einen Dritten zu erbringen. Die Leistung an einen nichtberechtigten Dritten - wie hier wegen der Manipulation der Kontodaten - erlangt hingegen grundsätzlich erst dann erfüllende Wirkung, wenn der nicht empfangsbefugte Dritte die Leistung entsprechend den Weisungen des Schuldners an den Gläubiger weiterleitet oder der Gläubiger die Leistungserbringung an den Dritten ausdrücklich oder schlüssig genehmigt. Diese Voraussetzungen sind unstreitig nicht gegeben.    
Anders als das Landgericht meint, steht der Beklagten allerdings ein Schadensersatzanspruch in Höhe der auf das Drittkonto getätigten Überweisung des streitgegenständlichen Betrags zu, den die Beklagte der Klagforderung unter dem Gesichtspunkt der dolo-agit-Einwendung gemäß § 242 BGB entgegenhalten kann. Ein solcher Anspruch resultiert jedenfalls aus Art. 82 DSGVO. Die DSGVO verlangt von Unternehmen, sensible Daten gegen Datenschutzverletzungen zu sichern. Sensible Daten sind z.B. personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden. Als Datenschutzverletzungen werden versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Daten definiert. Um solche Sicherheitsvorfälle zu vermeiden, werden Unternehmen dazu angehalten, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die sichere Verarbeitung personenbezogener Daten zu gewährleisten. Nach Art. 82 Abs. 1 DSGVO hat „jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, (...) Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter“. Art. 82 Abs. 1 DSGVO eröffnet einen direkten eigenen deliktischen Schadensersatzanspruch mit Verschuldensvermutung, wobei der Verantwortliche nach Abs. 3 den Entlastungsbeweis führen kann.
Der Anwendungsbereich der DSGVO ist in zeitlicher, sachlicher und räumlicher Hinsicht eröffnet. Gemäß Art. 2 Abs. 1 DSGVO gilt diese für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Personenbezogene Daten sind Daten, über die sich ein konkreter Personenbezug herstellen lässt. Demnach geht es um Daten, die konkreten Personen zuzuordnen sind. Die in der streitgegenständlichen E-Mail als Anhang enthaltenen Angaben zur Beklagten (Name, Anschrift, Kunde der Klägerin, offene Rechnung über eine Werkleistung) sind personenbezogene Daten iSv. Art. 4 Nr. 1 DSGVO. Die Versendung der Rechnung mit den enthaltenen Daten per E-Mail an die Beklagte stellt eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO dar ("Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung"). Die Beklagte ist für den geltend gemachten Anspruch aktivlegitimiert. Denn anspruchsberechtigt ist nach Art. 82 Abs. 1 DSGVO jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist. Die Klägerin ist als Verantwortliche iSv. Art. 4 Nr. 7 DSGVO passivlegitimiert iSv. Art. 82 Abs. 1 DSGVO. Im Übrigen hat Art. 82 Abs. 2 DSGVO drei Voraussetzungen für die Entstehung eines Schadensersatzanspruchs, nämlich
- erstens eine Verarbeitung personenbezogener Daten unter schuldhaftem Verstoß gegen die Bestimmungen der DSGVO,
- zweitens einen der betroffenen Person entstandenen Schaden und
- drittens einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden (vgl. EuGH, Urteil v. 25.01.2024 – C-687/21, juris Rn. 58; EuGH, Urteil v. 04.05.2023 – C-300/21 -, juris Rn. 36).

‍
1. Die Klägerin hat - anders als das Landgericht meint – im Zuge der Verarbeitung der personenbezogenen Daten der Beklagen bei Versand der streitgegenständlichen E-Mail mit Anhang gegen die Grundsätze der Art. 5, 24 und 32 DSGVO verstoßen. Der Verantwortliche hat die Verpflichtung, darzulegen und zu beweisen, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, um die personenbezogenen Daten entsprechend dem von der Datenschutzgrundverordnung verlangten Sicherheitsniveau vor dem Zugriff Unbefugter zu schützen. Das ist der Klägerin vorliegend nicht gelungen, da der Senat die verwendete Transportverschlüsselung (in Form von SMTP über TLS) nicht für ausreichend und damit auch nicht für „geeignet“ im Sinne der Datenschutzgrundverordnung hält. Nach Ansicht des Senats ist eine Transportverschlüsselung beim Versand von geschäftlichen E-Mails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl. Der Senat verkennt dabei nicht, dass die End-to-End-Verschlüsselung für ein Unternehmen wie die Klägerin einen gewissen technischen Aufwand erfordert, der sich möglicherweise nicht darauf beschränkt, in dem benutzten Standardmail-Programm lediglich eine Aktivierung vorzunehmen. Vielmehr dürfte hier vielfach eine technische Beratung und der Einsatz von gesonderten Programmen erforderlich sein. Dies ändert aber die an die Verschlüsselung von geschäftlichen E-Mails mit angehängten Rechnungen zu stellenden Anforderungen nicht. Angesichts der allgemein bekannten Hackermöglichkeiten, des gerichtsbekannt rasanten Anstiegs von Hackerangriffen und den im Einzelfall weitreichenden finanziellen Folgen für den einzelnen Kunden, dessen Rechnung verfälscht wird und der selbst keinen Einfluss auf die Verarbeitung seiner Daten hat, ist daher auch von einem kleineren Unternehmen – wie der Klägerin als mittelständischem Handwerksbetrieb – zu erwarten, dass es sich zum Schutz der Daten seiner Kunden zu computertechnischen Sicherheitsanforderungen informiert und sich diesbezüglich beraten, fortbilden und mit der notwendigen Software ausstatten lässt. Dass einer End-to-End-Verschlüsselung im konkreten Fall technische, organisatorische und/oder finanzielle Hindernisse im Weg gestanden hätten, hat die Klägerin nach entsprechendem Hinweis des Senats in der mündlichen Verhandlung, welche Schutzmaßnahmen er erwarte, nicht vorgetragen.
Die Klägerin trifft auch ein Verschulden. Gemäß Art. 82 Abs. 3 DSGVO wird der Anspruchsverpflichtete von der Haftung befreit, wenn er in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist. Verantwortung ist dabei das Verschulden im Sinne der deutschen Rechtsterminologie und nicht die datenschutzrechtliche Verantwortung. Das Verschulden wird nach dem Wortlaut der Norm grundsätzlich vermutet. Um die Feststellung treffen zu können, der Verantwortliche sei "in keinerlei Hinsicht" verantwortlich, hat dieser nachzuweisen, dass er alle Sorgfaltspflichten erfüllt hat und ihm damit nicht die geringste Fahrlässigkeit vorgeworfen werden kann. Diesen Nachweis hat die Klägerin nicht zu führen vermocht. Ihr ist insofern der Vorwurf eines unzureichenden Schutzniveaus für den Versand von E-Mails mit personenbezogenen Daten – insbesondere mit der hier angehängten Rechnung - zu machen.

 
2. Der Beklagten ist unstreitig ein Schaden entstanden, der in dem mangels Erfüllung erneut zu zahlenden Werklohn liegt.

‍
3. Dieser von der Beklagten geltend gemachte Schaden ist auch eine kausale Folge des Verstoßes gegen die Datenschutzgrundverordnung. Da die Klägerin bei Versand ihrer E-Mail mit der angehängten Rechnung kein ausreichendes Schutzniveau zur Sicherung der personenbezogenen Daten der Beklagten eingehalten hat, obliegt ihr der Beweis dafür, dass der der Beklagten entstandene Schaden nicht durch ihr Fehlverhalten entstanden ist (EuGH, Urteil v. 14.12.2023 – C-340/21, juris Rn. 72). Dies ist ihr nicht gelungen. Unstreitig ist bei der von der Klägerin (maximal) verwendeten Transportverschlüsselung ein Zugriff durch unbefugte Dritte auf ihrem Computer, ihrem Server oder auf weiteren Servern ohne Weiteres möglich; die E-Mail ist definitionsgemäß nur auf dem Transport verschlüsselt. Einen Beweis dafür, dass im konkreten Fall der Zugriff nicht im Bereich der Klägerin, sondern erst im Bereich der Beklagten erfolgt ist, hat die Klägerin nicht angeboten.

C. Kontext der Entscheidung
Nur scheinbar im Widerspruch zu der Entscheidung des OLG Schleswig steht ein Urteil des OLG Karlsruhe, das in einem vergleichbaren Fall der beklagten GmbH, der gegenüber die klagende GmbH die Kaufpreisforderung aus einem KfZ-Kaufvertrag geltend machte, keinen Schadensersatzanspruch gem. § 280 Abs. 1, § 241 Abs. 2 BGB in Höhe einer der auf das Drittkonto getätigten Überweisung zugesprochen hat, den sie der Klageforderung unter dem Gesichtspunkt der dolo-agit-Einwendung gem. § 242 BGB entgegenhalten könnte (OLG Karlsruhe, Urteil vom 27. Juli 2023 – 19 U 83/22 –, Rn. 27). Auch das OLG Karlsruhe geht davon aus, dass der Verstoß des Gläubigers einer Geldforderung gegen von ihm geschuldete Sicherheitsvorkehrungen im Zusammenhang mit dem Versand einer geschäftlichen E-Mail, der dazu führt, dass der Schuldner der Forderung den geschuldeten Geldbetrag auf das Konto eines deliktisch handelnden Dritten überweist, nicht zum Erlöschen der Forderung gemäß § 362 BGB führt, sondern allenfalls einen Schadensersatzanspruch des Schuldners begründet, den dieser gemäß § 242 BGB der Forderung entgegenhalten kann. Im konkreten Fall hat das OLG Karlsruhe jedoch eine Pflichtverletzung der Klägerin verneint, weil sie zu einer Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung ihrer Rechnungsmail nicht verpflichtet gewesen sei. Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gebe es nicht; insbesondere ist der sachliche Anwendungsbereich der Datenschutz-Grundverordnung im Streitfall nicht eröffnet, da diese nur für die Verarbeitung von Informationen gilt, die sich auf eine natürliche Person beziehen (Art. 2 Abs. 1, Art. 4 Nr. 1 DSGVO). Auch eine ausdrückliche Vereinbarung zwischen den Parteien ist insoweit nicht erfolgt; insbesondere hat die Beklagte, von der die Initiative dafür ausging, dass die Rechnung überhaupt per E-Mail verschickt wurde, anlässlich der Äußerung ihrer entsprechenden Bitte in der E-Mail ihres Geschäftsführers keinerlei Sicherheitsvorkehrungen, die sie für erforderlich halte, ausdrücklich erwähnt. Welches Maß an Sicherheitsvorkehrungen von der Klägerin zu fordern war, bestimme sich daher nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (OLG Karlsruhe, Urteil vom 27. Juli 2023 – 19 U 83/22 –, Rn. 33). Die Entscheidung hebt die Eigenverantwortung des Rechnungsempfängers dahin gehend hervor, offensichtliche Unregelmäßigkeiten in der Kommunikation zu erkennen und darauf angemessen zu reagieren (Ferner, jurisPR-ITR 2/2025 Anm. 6), so selbst der Mitverschuldenseinwand sehr nahe liegt.

D. Auswirkungen für die Praxis
Soweit ein hoher Standard zum Schutz der personenbezogenen Daten beim Versand von E-Mails mit angehängten Rechnungen nicht sichergestellt werden kann, bleibt für ein Unternehmen – ohne dass hierfür größerer technischer und/oder finanzieller Aufwand betrieben werden müsste – wie eh und je der Versand von Rechnungen per Post das Mittel der Wahl (Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 18. Dezember 2024 – 12 U 9/24 –, Rn. 93). Dies gilt vor allem für an Verbraucher erteilte Rechnungen. Mit dem Wachstumschancengesetz (z (BGBl. I 2024 Nr. 108) sind die Regelungen zur Ausstellung von Rechnungen nach § 14 UStG für nach dem 31. Dezember 2024 ausgeführte Umsätze neu gefasst worden. Seit dem 1. Januar 2025 ist bei Umsätzen zwischen inländischen Unternehmern regelmäßig eine elektronische Rechnung (E‑Rechnung) zu verwenden. Bei der Einführung dieser obligatorischen (verpflichtenden) E‑Rechnung gelten Übergangsregelungen. Insbesondere private Endverbraucher sind von diesen Regelungen nicht betroffen (Einzelheiten: https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Steuerarten/Umsatzsteuer/2024-10-15-einfuehrung-e-rechnung.html).

‍