Art. 82 DSGVO Schadensersatz bei Fake-Rechnungen | IT-Medienrecht

Erfahren Sie, wie Art. 82 DSGVO bei manipulierten Rechnungen und IBAN-Betrug Schadensersatzansprüche revolutioniert. Jetzt Beweislastumkehr & Ihre Rechte…

Das Wichtigste in Kürze

  • Art. 82 DSGVO bietet eine starke Anspruchsgrundlage für Schadensersatz bei manipulierten Rechnungen, insbesondere bei kompromittierten Systemen.
  • Die Beweislastumkehr nach Art. 82 Abs. 3 DSGVO verschiebt die Nachweispflicht vom Geschädigten zum Verantwortlichen.
  • Unternehmen müssen angemessene technische und organisatorische Maßnahmen (TOM) zur Sicherung personenbezogener Daten implementieren (Art. 32 DSGVO).
  • Sowohl materielle als auch immaterielle Schäden können nach der DSGVO geltend gemacht werden.
  • Kunden sollten bei ungewöhnlichen IBAN-Änderungen stets wachsam sein und Rücksprache halten.

Schadensersatz bei Fake-Rechnungen: Die wachsende Bedeutung von Art. 82 DSGVO

In den vergangenen Tagen habe ich hier auf dem Blog wiederholt über gefälschte beziehungsweise manipulierte Rechnungen berichtet. Der Grund ist besorgniserregend: Auf meinem Schreibtisch häufen sich Fälle, in denen Mandanten durch professionell wirkende Fake-Rechnungen in Zahlungsschwierigkeiten geraten sind.

Kriminelle ändern hierbei lediglich die IBAN und geben sie als vermeintliches Konto des Rechnungsstellers aus. Das Ergebnis: Beträge fließen nicht an den echten Empfänger, sondern an Unbekannte. Nachdem ich bereits die möglichen Haftungsfragen aus zivilrechtlicher Perspektive (§§ 280 ff. BGB) beleuchtet habe, richte ich den Fokus nun verstärkt auf die sich abzeichnenden Entwicklungen rund um Art. 82 DSGVO.

Fake-Rechnungen und kompromittierte Systeme: Der Ausgangspunkt

In den meisten Fällen, die mir vorliegen, tritt ein typisches Muster auf: Kriminelle gelangen an interne E-Mail-Kommunikationen oder an Original-Rechnungen. Sobald diese Daten erbeutet sind, werden die Dokumente kopiert oder „nachgebaut“, sodass sie echten Rechnungen täuschend ähnlich sehen. In den Dokumenten wird lediglich die Bankverbindung ausgetauscht.

Wer dann überweist, bemerkt den Betrug häufig erst, wenn die Zahlungssumme bereits unwiederbringlich bei den Betrügern gelandet ist. Dies führt oft zu erheblichen finanziellen Verlusten und organisatorischem Aufwand.

Zwar ist es prinzipiell denkbar, zivilrechtliche Ansprüche aus § 280 BGB geltend zu machen, sofern der Rechnungssteller beziehungsweise ein Beteiligter gegen vertragliche Schutzpflichten verstoßen hat. Allerdings sind Geschädigte oft mit erheblichen Beweisschwierigkeiten konfrontiert. Wer soll nachweisen, ob und wann ein Versäumnis bei der IT-Sicherheit des vermeintlichen Absenders vorgelegen hat?

Genau hier setzt Art. 82 DSGVO an. Aufgrund vermehrter Hinweise aus Literatur und Rechtsprechung zeichnet sich eine Tendenz ab, wonach Geschädigte bei datenschutzrechtlich relevanten Verstößen – wie beispielsweise kompromittierten E-Mail-Systemen – einen Anspruch auf Schadensersatz geltend machen können. Dies verändert die Ausgangslage für Betroffene erheblich.

Art. 82 DSGVO als starke Anspruchsgrundlage

Art. 82 DSGVO räumt jeder Person, die durch einen Verstoß gegen die Datenschutz-Grundverordnung einen Schaden erleidet, einen Anspruch auf Ersatz des materiellen und immateriellen Schadens ein. Der besondere Charme dieser Regelung liegt insbesondere in der Beweislastverlagerung, die in Absatz 3 dieser Vorschrift zum Ausdruck kommt.

Haftungsmaßstab und Beweislastumkehr nach Art. 82 DSGVO

Art. 82 Abs. 1 DSGVO lautet:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“

In Art. 82 Abs. 3 DSGVO wird die entscheidende Kehrtwende bei der Beweislast erläutert:

„Der Verantwortliche oder der Auftragsverarbeiter ist von der Haftung nach Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“

Während bei vertraglichen Ansprüchen aus § 280 BGB üblicherweise der Geschädigte beweisen muss, dass ein Pflichtverstoß beim anderen Vertragspartner vorliegt, kehrt sich diese Beweisführung im Rahmen der DSGVO praktisch um. Nunmehr muss das potenziell in Anspruch genommene Unternehmen darlegen und nachweisen, dass es eben nicht für den datenschutzwidrigen Vorfall verantwortlich ist.

Vergleich mit zivilrechtlichen Ansprüchen (§ 280 BGB)

Im klassischen zivilrechtlichen Haftungsgefüge stellt § 280 BGB die Basis für Schadensersatzansprüche bei Pflichtverletzungen dar. Allerdings liegt dort die Darlegungs- und Beweislast für sämtliche haftungsbegründenden Voraussetzungen (Pflichtverletzung, Verschulden, Schaden) beim Anspruchsteller.

Wer sich auf Art. 82 DSGVO berufen kann, muss zwar grundsätzlich das Vorliegen eines DSGVO-Verstoßes behaupten. Sobald jedoch Indizien dafürsprechen, dass personenbezogene Daten – hier insbesondere E-Mail-Adressen, Kontoverbindungsdaten oder Kommunikationsinhalte – missbräuchlich genutzt wurden, muss der Verantwortliche entlastend beweisen, dass sämtliche erforderlichen technischen und organisatorischen Maßnahmen (Art. 32 DSGVO) getroffen wurden.

Praxisbeispiel: Wird nachgewiesen, dass eine gefälschte Rechnung mit Daten aus dem konkreten E-Mail-Verkehr erstellt wurde, besteht eine starke Vermutung, dass das System des Absenders kompromittiert war. Nun obliegt es diesem, lückenlos nachzuweisen, dass seine IT nicht angegriffen wurde. Andernfalls kann ein Anspruch nach Art. 82 DSGVO erfolgreich sein.

Praxisrelevanz für Empfänger gefälschter Rechnungen

In meiner Praxis bemerke ich, dass Mandanten vielfach von den Möglichkeiten überrascht sind, die Art. 82 DSGVO bietet. Die wiederkehrende Frage lautet: „Gibt es denn überhaupt einen datenschutzrechtlichen Verstoß, wenn nur die IBAN gefälscht wurde?“

Meine Erfahrung zeigt, dass bei gefälschten Rechnungen in aller Regel mehr als nur eine IBAN im Spiel ist. Es werden personenbezogene Daten wie Name, Anschrift, Rechnungsinhalte, gegebenenfalls Angaben zu weiteren Mitarbeitern oder betriebsinterne Informationen missbraucht. Sobald diese Daten unbefugt in fremde Hände gelangen, liegt ein Verstoß gegen die DSGVO nahe.

Immaterielle und materielle Schäden

Die entstehenden Schäden können finanzieller und immaterieller Natur sein. Letzterer beispielsweise durch den Ärger, die Aufregung und die aufwendige Kommunikation zur Schadensaufklärung. Deutsche Gerichte zeigen sich zunehmend aufgeschlossen, auch immaterielle Schäden zuzuerkennen, sofern eine spürbare Beeinträchtigung vorliegt (vgl. hierzu etwa LAG Baden-Württemberg, Urteil vom 21.08.2019 – 10 Sa 52/18, das für eine vergleichsweise geringe Datenschutzverletzung einen Schadensersatz zuerkannte).

Zwar befassen sich die meisten veröffentlichten Urteile noch nicht explizit mit dem Sachverhalt gefälschter Rechnungen. Jedoch lässt sich aus den Grundsätzen, die etwa in Entscheidungen zu allgemeinen Datenschutzverstößen (z. B. unzureichende Datensicherheit, unzulässige Weitergabe von Daten) aufgestellt wurden, ableiten, dass eine kompromittierte E-Mail-Kommunikation unter Art. 82 DSGVO fallen kann.

In diesem Zusammenhang ist auch auf die Rechtsprechung des Europäischen Gerichtshofs (EuGH) zu verweisen. Insbesondere aus „Schrems II“ (C-311/18) geht hervor, dass der Schutz personenbezogener Daten hoch zu gewichten ist. Zwar behandelte dieser Fall vorrangig den Datentransfer in Drittländer, zeigt jedoch grundlegend, wie streng Gerichte inzwischen mit Datenschutzverstößen umgehen. Die Neuerungen im Datenschutzrecht durch aktuelle EuGH-Urteile senken zusätzlich die Hürden für DSGVO-Bußgelder.

Verantwortung von Versendern und empfohlene Sicherheitsmaßnahmen

Illustration: Empfohlene Sicherheitsmaßnahmen für E-Mail-Verkehr und Datenschutz
Wichtige technische und organisatorische Maßnahmen (TOM) zum Schutz personenbezogener Daten und zur Vermeidung von manipulierten Rechnungen.

Ich erlebe immer wieder, dass Unternehmen – sei es aus Unwissenheit oder aus Kostengründen – bei der IT-Sicherheit Abstriche machen. Allerdings verpflichten Art. 5 Abs. 1 lit. f DSGVO und Art. 32 DSGVO dazu, personenbezogene Daten mit angemessenen technischen und organisatorischen Maßnahmen (TOM) zu schützen. Hierbei spielen auch spezifische Sicherheitsvorkehrungen beim E-Mail-Verkehr eine entscheidende Rolle.

Dazu zählen unter anderem:

Unternehmen, die diese Punkte vernachlässigen, laufen Gefahr, neben möglichen Bußgeldern der Aufsichtsbehörden (Art. 83 DSGVO) auch zivilrechtlich nach Art. 82 DSGVO in Anspruch genommen zu werden. Es ist auch zu beachten, dass DSGVO-Verstöße unter Umständen abmahnbar sind.

Verteidigungsstrategien für Unternehmen

Ich erachte die Umkehr der Beweislast als den Kernpunkt, warum Art. 82 DSGVO zunehmend wichtiger wird. Wer als Verantwortlicher in Anspruch genommen wird, muss detailliert und nachvollziehbar darlegen, dass kein Verschulden an der Datenpanne vorliegt.

Mögliche Verteidigungsstrategien sind:

Eine solche Verteidigung erfordert jedoch regelmäßig umfangreiche IT-forensische Untersuchungen und eine gute Dokumentation. In vielen der Fälle, die ich bearbeite, kommen die Mandanten erst nach einem tatsächlichen Schadenseintritt auf mich zu, sodass eine lückenlose Aufarbeitung der Vorgänge oft kompliziert wird.

Fazit

Meiner Meinung nach ist die Entwicklung, Schadensersatzansprüche nach Art. 82 DSGVO auf Fälle manipulierter Rechnungen anzuwenden, für Betroffene ein großer Gewinn. Die Beweislastumkehr sorgt dafür, dass nicht mehr der Geschädigte minutiös belegen muss, wann und wie die IT-Systeme kompromittiert wurden.

Vielmehr muss der Versender einer möglicherweise verfälschten Rechnung aktiv beweisen, dass keinerlei Verstoß gegen die DSGVO vorliegt. Dies verbessert die Position der Geschädigten erheblich.

Ich rate allen Unternehmen, die Versendung von Rechnungen und die zugehörigen Kommunikationskanäle gründlich abzusichern. Insbesondere bei der Änderung von Zahlungsinformationen ist höchste Vorsicht geboten. Als Kunde sollte man wachsam bleiben, bei ungewöhnlichen IBAN-Anfragen immer Rücksprache halten und sich doppelt versichern, ob die Bankverbindung tatsächlich korrekt ist.

Wer als Geschädigter bereits finanzielle Einbußen erlitten hat, tut gut daran, neben vertraglichen und deliktischen Ansprüchen unbedingt auch die Möglichkeit eines DSGVO-Schadensersatzes zu prüfen. In vielen Fällen ergibt sich hieraus ein deutlich verbessertes Verhandlungsumfeld und damit realistischere Aussichten, einen Teil des Schadens vom Verantwortlichen ersetzt zu bekommen.

Häufig gestellte Fragen

Warum ist Art. 82 DSGVO bei manipulierten Rechnungen so wichtig?
Art. 82 DSGVO ermöglicht es Geschädigten, Schadensersatz bei Datenschutzverstößen zu fordern, was bei manipulierten Rechnungen oft der Fall ist, wenn personenbezogene Daten kompromittiert wurden. Der entscheidende Vorteil liegt in der Beweislastumkehr, die die Position der Betroffenen stärkt.
Welche Art von Schäden können nach Art. 82 DSGVO geltend gemacht werden?
Nach Art. 82 DSGVO können sowohl materielle als auch immaterielle Schäden geltend gemacht werden. Immaterielle Schäden können beispielsweise durch Ärger, Aufregung oder den Aufwand zur Schadensaufklärung entstehen, und deutsche Gerichte zeigen sich hier zunehmend aufgeschlossen.
Reicht die Fälschung einer IBAN allein für einen DSGVO-Verstoß aus?
In der Praxis ist bei gefälschten Rechnungen meist mehr als nur die IBAN betroffen. Es werden oft weitere personenbezogene Daten wie Name, Anschrift, Rechnungsinhalte oder betriebsinterne Informationen missbraucht, was einen Verstoß gegen die DSGVO wahrscheinlich macht.
Welche Sicherheitsmaßnahmen sollten Unternehmen ergreifen, um sich vor solchen Betrugsfällen zu schützen?
Unternehmen sind gemäß Art. 5 Abs. 1 lit. f DSGVO und Art. 32 DSGVO verpflichtet, personenbezogene Daten durch angemessene technische und organisatorische Maßnahmen zu schützen. Dazu gehören sichere E-Mail-Kommunikation, aktuelle Systeme, strenge Zugriffsrechte, Mitarbeiterschulungen und proaktives Monitoring.
Was bedeutet die Beweislastumkehr nach Art. 82 Abs. 3 DSGVO für Unternehmen?
Die Beweislastumkehr bedeutet, dass nicht der Geschädigte beweisen muss, dass ein Pflichtverstoß vorliegt, sondern das potenziell in Anspruch genommene Unternehmen darlegen und nachweisen muss, dass es nicht für den datenschutzwidrigen Vorfall verantwortlich ist. Dies erfordert eine lückenlose Dokumentation der Sicherheitsmaßnahmen.
MerkmalArt. 82 DSGVO§ 280 BGB
AnspruchsgrundlageVerstoß gegen DSGVOPflichtverletzung aus Vertrag oder vorvertraglichem Verhältnis
BeweislastBeweislastumkehr: Verantwortlicher muss fehlendes Verschulden nachweisenGeschädigter muss Pflichtverletzung, Verschulden und Schaden nachweisen
SchadensartenMaterieller und immaterieller SchadenMaterieller Schaden (immaterieller Schaden nur in Ausnahmefällen, z.B. § 253 Abs. 2 BGB)
VerschuldenWird vermutet, Verantwortlicher muss sich exkulpierenMuss vom Geschädigten nachgewiesen werden