E-Rechnung: Hacker manipulieren Kontodaten in PDF-Rechnung
Ein Handwerksbetrieb mahnt einen Kunden zur Zahlung über 15.000 Euro an. Die per E-Mail zugestellte Rechnung hatte er doch überwiesen, aber an eine falsche Kontonummer. Die wurde nämlich im PDF-Anhang von Unbekannten geändert. Der Fall landete vor Gericht.
Der Gesetzgeber forciert den digitalen Rechnungsversand und tatsächlich stellen immer mehr Unternehmen um und senden Rechnungen per E-Mail zu. Seit diesem Jahr gibt es eine Pflicht zum elektronischen Rechnungsversand, mit Übergangsfrist für Kleinstunternehmen. Ein Handwerksbetrieb ist der gesetzlichen Pflicht zur E-Rechnung zuvorgekommen, schickte einem Kunden die Schlussrechnung über 15.000 Euro per E-Mail als PDF-Anhang und mahnte wenig später die noch ausstehende Forderung an. Die ersten zwei Abschlagsrechnungen davor hatte der Kunde überwiesen, die Schlussrechnung ebenfalls – allerdings auf das falsche Konto.
Unbekannte hatten die Mail offenbar abgefangen und in der PDF-Rechnung die Kontodaten geändert. Das Geld war weg. Der Handwerker bestand auf der Begleichung und klagte gegen den Kunden, der nicht bereit war, den Betrag nochmals zu bezahlen.
In erster Instanz gab das Landgericht dem klagenden Handwerker recht und schloss sich seinen Argumenten an. Schutzvorkehrungen in Form einer Transportverschlüsselung per SMTP (Simple Mail Transfer Protocol) über TLS (Transport Layer Security) beim E-Mail-Verkehr mit Vertragspartnern seien ausreichend, so das Gericht. Der Beklagte legte Berufung ein.
Der Fall landete beim 12. Zivilsenat des Schleswig-Holsteinischen Oberlandesgerichts, der das Urteil des Landgerichts aufhob und die Klage des Handwerks abwies. Begründung: "Wenn eine per E-Mail versandte Werklohnrechnung gehackt und unbefugt verändert wird und der Kunde deshalb an einen unbekannten Dritten zahlt, muss er nicht noch einmal an den Werkunternehmer zahlen, wenn dieser die Rechnung ohne Ende-zu-Ende-Verschlüsselung versandt hat und deshalb gegen ihn ein Schadensersatzanspruch aus Art. 82 DSGVO besteht".
SMTP über TLS erfüllt keinen Schutz persönlicher Daten nach DSGVO
Der Senat hält die Transportverschlüsselung SMTP über TLS, die in diesem Fall verwendet wurde, nicht für ausreichend und damit auch nicht als zum Schutz der Daten geeignet im Sinne der DSGVO.
Der Senat begründet ferner, dass heute jedem Unternehmen, das personenbezogene Daten seiner Kunden computertechnisch verarbeitet, bewusst sein müsse, dass der Schutz dieser Daten hohe Priorität genieße - auch beim Versenden von E-Mails. Unternehmen müssten diesen Schutz durch entsprechende Maßnahmen so weit wie möglich gewährleisten.
Gerade bei sensiblen oder persönlichen Inhalten ist nach der Entscheidung des Senats nur eine Ende-zu-Ende-Verschlüsselung zum Schutz im Sinne der DSGVO geeignet, wenn ein hohes finanzielles Risiko durch Verfälschung der angehängten Rechnung für den Kunden besteht. Dass Kunden von Unternehmen bei einem Datenhacking Vermögenseinbußen drohen, ist ein Risiko, das dem Versand von Rechnungen per E-Mail "immanent" ist und deshalb eine entsprechende Voraussicht und ein proaktives Handeln erfordert. Der dafür erforderliche technische und finanzielle Aufwand könne auch von einem mittelständischen Handwerksbetrieb erwartet werden, wenn es seine Rechnungen nicht per Post versenden will, so das OLG. (Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 18.12.2024, Aktenzeichen 12 U 9/24, vorgehend Landgericht Kiel, Aktenzeichen 9 O 110/23).
CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden
Die renommierten CRN Channel Award 2025 für Hersteller, Distributoren, IT-Dienstleister, Managerinnern und Manager: Jetzt bewerben – alle Infos hier