In den vergangenen Tagen habe ich hier auf dem Blog wiederholt zum Thema gefälschte bzw. manipulierte Rechnungen berichtet. Der Grund: Auf meinem Schreibtisch häufen sich die Fälle, bei denen Mandanten durch professionell wirkende Fake-Rechnungen in Zahlungsschwierigkeiten geraten sind. Die Kriminellen ändern lediglich die IBAN und geben sie als vermeintliches Konto des Rechnungsausstellers aus. Das Ergebnis: Beträge fließen nicht an den echten Empfänger, sondern an Unbekannte. Nachdem ich bereits aus zivilrechtlicher Perspektive (§§ 280 ff. BGB) die möglichen Haftungsfragen beleuchtet habe, möchte ich nun den Fokus verstärkt auf die sich abzeichnenden Entwicklungen rund um Art. 82 DSGVO richten.
Hintergrund: Fake-Rechnungen und kompromittierte Systeme
Bei den meisten Fällen, die mir vorliegen, tritt ein typisches Muster auf: Kriminelle gelangen an interne E-Mail-Kommunikationen oder an Original-Rechnungen. Sobald diese Daten erbeutet sind, werden die Dokumente kopiert oder „nachgebaut“, sodass sie echten Rechnungen täuschend ähnlich sehen. In den Dokumenten wird lediglich die Bankverbindung ausgetauscht. Wer dann überweist, merkt den Betrug häufig erst, wenn die Zahlungssumme bereits unwiederbringlich bei den Betrügern gelandet ist.
Zwar ist es prinzipiell denkbar, zivilrechtliche Ansprüche aus § 280 BGB geltend zu machen, sofern der Rechnungssteller bzw. ein Beteiligter gegen vertragliche Schutzpflichten verstoßen hat. Allerdings sind Geschädigte oft mit erheblichen Beweisschwierigkeiten konfrontiert: Wer soll nachweisen, ob und wann ein Versäumnis bei der IT-Sicherheit des vermeintlichen Absenders vorgelegen hat?
Genau hier setzt Art. 82 DSGVO an. Aufgrund vermehrter Hinweise aus Literatur und Rechtsprechung zeichnet sich eine Tendenz ab, wonach Geschädigte bei datenschutzrechtlich relevanten Verstößen – wie beispielsweise kompromittierten E-Mail-Systemen – einen Anspruch auf Schadensersatz geltend machen können.
Art. 82 DSGVO als zusätzliche Anspruchsgrundlage
Art. 82 DSGVO räumt jeder Person, die durch einen Verstoß gegen die Datenschutz-Grundverordnung einen Schaden erleidet, einen Anspruch auf Ersatz des materiellen und immateriellen Schadens ein. Der Charme dieser Regelung liegt insbesondere in der Beweislastverlagerung, die in Absatz 3 dieser Vorschrift zum Ausdruck kommt.
Haftungsmaßstab und Beweislastumkehr
Art. 82 Abs. 1 DSGVO lautet:
„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
In Art. 82 Abs. 3 DSGVO wird die entscheidende Kehrtwende bei der Beweislast erläutert:
„Der Verantwortliche oder der Auftragsverarbeiter ist von der Haftung nach Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“
Während bei vertraglichen Ansprüchen aus § 280 BGB üblicherweise der Geschädigte beweisen muss, dass ein Pflichtverstoß beim anderen Vertragspartner vorliegt, kehrt sich diese Beweisführung im Rahmen der DSGVO praktisch um: Nunmehr muss das potenziell in Anspruch genommene Unternehmen darlegen und nachweisen, dass es eben nicht für den datenschutzwidrigen Vorfall verantwortlich ist.
Vergleich mit Ansprüchen nach § 280 BGB
Im klassischen zivilrechtlichen Haftungsgefüge stellt § 280 BGB die Basis für Schadensersatzansprüche bei Pflichtverletzungen dar. Allerdings ist dort die Darlegungs- und Beweislast für sämtliche haftungsbegründenden Voraussetzungen (Pflichtverletzung, Verschulden, Schaden) beim Anspruchsteller.
Wer sich auf Art. 82 DSGVO berufen kann, muss zwar grundsätzlich das Vorliegen eines DSGVO-Verstoßes behaupten. Sobald jedoch Indizien dafür sprechen, dass personenbezogene Daten – hier insbesondere E-Mail-Adressen, Kontoverbindungsdaten oder Kommunikationsinhalte – missbräuchlich genutzt wurden, muss der Verantwortliche entlastend beweisen, dass sämtliche erforderlichen technischen und organisatorischen Maßnahmen getroffen wurden (Art. 32 DSGVO).
Praxisbeispiel: Wird nachgewiesen, dass eine gefälschte Rechnung mit Daten aus dem konkreten E-Mail-Verkehr erstellt wurde, besteht eine starke Vermutung, dass das System des Absenders kompromittiert war. Nun obliegt es diesem, lückenlos nachzuweisen, dass seine IT nicht angegriffen wurde. Andernfalls kann ein Anspruch nach Art. 82 DSGVO erfolgreich sein.
Praxisrelevanz für Empfänger gefälschter Rechnungen
In meiner Praxis bemerke ich, dass Mandanten vielfach von den Möglichkeiten überrascht sind, die Art. 82 DSGVO bietet. Die wiederkehrende Frage lautet: „Gibt es denn überhaupt einen datenschutzrechtlichen Verstoß, wenn nur die IBAN gefälscht wurde?“
Meine Erfahrung zeigt, dass bei gefälschten Rechnungen in aller Regel mehr als nur eine IBAN im Spiel ist. Es werden nämlich personenbezogene Daten wie Name, Anschrift, Rechnungsinhalte, ggf. Angaben zu weiteren Mitarbeitern oder betriebsinterne Informationen missbraucht. Sobald diese Daten unbefugt in fremde Hände gelangen, liegt ein Verstoß gegen die DSGVO nahe.
Vorteil für Betroffene: Die entstehenden Schäden können finanzieller und immaterieller Natur sein – letzterer beispielsweise durch den Ärger, die Aufregung und die aufwendige Kommunikation zur Schadensaufklärung. Deutsche Gerichte zeigen sich zunehmend aufgeschlossen, auch immaterielle Schäden zuzuerkennen, sofern eine spürbare Beeinträchtigung vorliegt (vgl. hierzu etwa LAG Baden-Württemberg, Urteil vom 21.08.2019 – 10 Sa 52/18, das für eine vergleichsweise geringe Datenschutzverletzung einen Schadensersatz zuerkannte).
Zwar befassen sich die meisten veröffentlichten Urteile noch nicht explizit mit dem Sachverhalt gefälschter Rechnungen. Jedoch lässt sich aus den Grundsätzen, die etwa in Entscheidungen zu allgemeinen Datenschutzverstößen (z. B. unzureichende Datensicherheit, unzulässige Weitergabe von Daten) aufgestellt wurden, ableiten, dass eine kompromittierte E-Mail-Kommunikation unter Art. 82 DSGVO fallen kann.
In diesem Zusammenhang ist auch auf die Rechtsprechung des Europäischen Gerichtshofs (EuGH) zu verweisen. Insbesondere aus „Schrems II“ (C-311/18) geht hervor, dass der Schutz personenbezogener Daten hoch zu gewichten ist. Zwar behandelte dieser Fall vorrangig den Datentransfer in Drittländer, zeigt jedoch grundlegend, wie streng Gerichte inzwischen mit Datenschutzverstößen umgehen.
Verantwortlichkeit der Versender und empfohlene Maßnahmen
Ich erlebe immer wieder, dass Unternehmen – sei es aus Unwissenheit oder aus Kostengründen – bei der IT-Sicherheit Abstriche machen. Allerdings verpflichten Art. 5 Abs. 1 lit. f DSGVO und Art. 32 DSGVO dazu, personenbezogene Daten mit angemessenen technischen und organisatorischen Maßnahmen (TOM) zu schützen. Dazu zählen u. a.:
- Sichere E-Mail-Kommunikation: Verschlüsselung (z. B. S/MIME), eindeutige Signaturen, Spam-Filter.
- Aktuelle Systeme: Firewalls, Virenschutz und regelmäßige Updates, damit bekannte Sicherheitslücken geschlossen sind.
- Strenge Zugriffsrechte: Klare Vergabe von Berechtigungen im Unternehmen, Protokollierung der Zugriffe.
- Schulungen: Sensibilisierung von Mitarbeitenden, insbesondere in Bezug auf Phishing, Social Engineering und gefälschte Anhänge.
- Monitoring: Proaktive Überwachung auf Anomalien, z. B. ungewohnte Änderungen von Bankverbindungen oder untypische Login-Versuche.
Unternehmen, die diese Punkte vernachlässigen, laufen Gefahr, neben möglichen Bußgeldern der Aufsichtsbehörden (Art. 83 DSGVO) auch zivilrechtlich nach Art. 82 DSGVO in Anspruch genommen zu werden.
Bedeutung für Unternehmen und mögliche Verteidigungsstrategien
Ich erachte die Umkehr der Beweislast als den Kernpunkt, warum Art. 82 DSGVO zunehmend wichtiger wird. Wer als Verantwortlicher in Anspruch genommen wird, muss detailliert und nachvollziehbar darlegen, dass kein Verschulden an der Datenpanne vorliegt.
Mögliche Verteidigungsstrategien sind:
- Lückenlose Dokumentation aller Datensicherheitsmaßnahmen und entsprechender Kontrollen.
- Darstellung einer klaren organisatorischen Struktur für den Schutz personenbezogener Daten.
- Ggf. Inanspruchnahme externer Zertifizierungen (ISO 27001 o. Ä.), um ein hohes Sicherheitsniveau zu untermauern.
- Falls ein Fremdverschulden vorliegt, Beweisführung, dass die Kompromittierung ausschließlich außerhalb der eigenen Sphäre lag (z. B. Fehler des Empfängersystems, unzureichender Schutz auf Empfängerseite).
Eine solche Verteidigung erfordert jedoch regelmäßig umfangreiche IT-forensische Untersuchungen und eine gute Dokumentation. In vielen der Fälle, die ich bearbeite, kommen die Mandanten erst nach einem tatsächlichen Schadenseintritt auf mich zu, sodass eine lückenlose Aufarbeitung der Vorgänge oft kompliziert wird.
Fazit und Ausblick
Meiner Meinung nach ist die Entwicklung, Schadensersatzansprüche nach Art. 82 DSGVO auf Fälle manipulierter Rechnungen anzuwenden, für Betroffene ein großer Gewinn. Die Beweislastumkehr sorgt dafür, dass nicht mehr der Geschädigte minutiös belegen muss, wann und wie die IT-Systeme kompromittiert wurden. Vielmehr muss der Versender einer möglicherweise verfälschten Rechnung aktiv beweisen, dass keinerlei Verstoß gegen die DSGVO vorliegt.
Die jüngere Rechtsprechung, sowohl auf nationaler Ebene (z. B. LAG Baden-Württemberg, Urteil vom 21.08.2019 – 10 Sa 52/18) als auch durch den Europäischen Gerichtshof (EuGH, etwa in seinen Grundsatzentscheidungen wie „Schrems II“), zeigt, dass das Schutzniveau der DSGVO nicht unterschätzt werden darf. Zwar existieren bisher keine höchstrichterlichen Entscheidungen in Deutschland, die sich explizit mit Fake-Rechnungen und Art. 82 DSGVO befassen. Allerdings ist klar, dass die generellen Grundsätze des Datenschutzrechts auch hier zum Tragen kommen können.
Ich rate allen Unternehmen, die Versendung von Rechnungen und die zugehörigen Kommunikationskanäle gründlich abzusichern. Insbesondere bei Änderung von Zahlungsinformationen ist höchste Vorsicht geboten. Als Kunde sollte man wachsam bleiben, bei ungewöhnlichen IBAN-Anfragen immer Rücksprache halten und sich doppelt versichern, ob die Bankverbindung tatsächlich korrekt ist.
Wer als Geschädigter bereits finanzielle Einbußen erlitten hat, tut gut daran, neben vertraglichen und deliktischen Ansprüchen unbedingt auch die Möglichkeit eines DSGVO-Schadensersatzes zu prüfen. In vielen Fällen ergibt sich hieraus ein deutlich verbessertes Verhandlungsumfeld – und damit realistischere Aussichten, einen Teil des Schadens vom Verantwortlichen ersetzt zu bekommen.
