Haftung aus Art. 82 DSGVO bei Versand von gefälschter Rechnung!

In jüngster Zeit konnte ich in mehreren ähnlichen Fällen erfolgreich für meine Mandanten auftreten, die von Sicherheitslücken im E-Mail-Verkehr betroffen waren. Ein kürzlich erstrittenes Urteil zeigt deutlich, wie wichtig es ist, die Sicherheit von E-Mail-Servern und insbesondere die Verschlüsselung von Rechnungen zu gewährleisten. Dieses Thema ist von großer Bedeutung, da es nicht nur die Vertraulichkeit von Geschäftsdaten betrifft, sondern auch erhebliche finanzielle Risiken birgt. Ich habe bereits in mehreren Artikeln hier auf itmedialaw.com über die Gefahren von gefälschten Rechnungen und falschen IBAN-Überweisungen berichtet, beispielsweise unter hier, hier  und hier. Diese Fälle zeigen, dass Unternehmen und Privatpersonen gleichermaßen von den Folgen mangelnder Sicherheitsmaßnahmen betroffen sein können.

Die Sicherheit von E-Mail-Servern stellt ein zentrales Thema in der heutigen Geschäftswelt dar. Ohne angemessene Sicherheitsmaßnahmen können sensible Daten leicht in falsche Hände geraten, was zu erheblichen finanziellen Verlusten führen kann. Ein kürzlich ergangenes Urteil des Landgerichts Braunschweig (Aktenzeichen 7 O 47/24), in dem ich als Rechtsanwalt die Interessen der Klägerin erfolgreich vertreten habe, verdeutlicht, dass die Verwendung unverschlüsselter E-Mails bei der Übermittlung von Rechnungen und personenbezogenen Daten erhebliche rechtliche Konsequenzen nach sich ziehen kann.

In diesem Fall wurde ein Kaufvertrag per E-Mail übermittelt, bei dem die Bankverbindung der Beklagten manipuliert wurde. Die Klägerin überwies daraufhin den Kaufpreis auf ein falsches Konto, was zu einem erheblichen finanziellen Schaden führte. Das Gericht stellte fest, dass die Beklagte gegen die DSGVO verstoßen hat, indem sie keine ausreichenden Sicherheitsmaßnahmen ergriffen hat. Die Beklagte verwendete weder Transport- noch End-to-End-Verschlüsselung beim Versand der E-Mails, was als unzureichend angesehen wurde. Die Maßnahmen, wie die Verwendung von Antivirus-Software und Firewall, reichten nicht aus, um den Schutz der Daten zu gewährleisten. Das Gericht betonte, dass die Verschlüsselung von E-Mails ein grundlegender Schutz darstellt, der als Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen gilt. Das vollständige Urteil kann hier eingesehen werden.

Als Rechtsanwalt habe ich die Klägerin in diesem Fall erfolgreich vertreten und konnte nachweisen, dass die Beklagte ihre Pflichten aus der DSGVO verletzt hat. Die Entscheidung des Gerichts unterstreicht die Bedeutung der Rechenschaftspflicht und die Notwendigkeit angemessener Sicherheitsmaßnahmen im E-Mail-Verkehr. Unternehmen sollten sich dieser Herausforderungen bewusst sein und entsprechende Maßnahmen ergreifen, um ihre Daten und die ihrer Kunden zu schützen. Sollten Sie Fragen zu diesem Thema haben oder Unterstützung benötigen, zögern Sie nicht, mich zu kontaktieren. Ich bin Ihnen gerne behilflich, Ihre Interessen zu schützen und Ihre Sicherheitsmaßnahmen zu optimieren.

Juristische Konsequenzen

Das Gericht urteilte, dass die Beklagte gegen die DSGVO verstoßen hat, indem sie personenbezogene Daten der Klägerin unter schuldhaftem Verstoß gegen die Bestimmungen der DSGVO verarbeitet hat. Der Schadensersatzanspruch der Klägerin wurde aus Art. 82 Abs. 1 DSGVO hergeleitet. Dieser Artikel sieht vor, dass jede Person, der durch einen Verstoß gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz hat. Die Klägerin hatte alle erforderlichen Voraussetzungen für diesen Anspruch vorgetragen, und das Gericht stellte fest, dass die Beklagte schuldhaft gehandelt hat, indem sie keine ausreichenden Sicherheitsmaßnahmen ergriffen hat.

Das Gericht stimmt der Klägerin zu, dass die Beklagte gegen die Grundsätze der Art. 5, 24 und 32 DSGVO verstoßen hat, indem sie keine geeigneten technischen und organisatorischen Maßnahmen ergriffen hat, um das Schutzniveau der personenbezogenen Daten zu gewährleisten. Die Versendung der Rechnung mit den enthaltenen Daten per E-Mail ohne Verschlüsselung stellt eine Verarbeitung im Sinne von Art. 4 Nr. 2 DSGVO dar. Die Beklagte hat nicht einmal das geringere Schutzniveau der Transportverschlüsselung umgesetzt, sondern ihre E-Mails ohne jegliche Verschlüsselung versandt. Dies wurde als absolut ungeeignet im Sinne der DSGVO angesehen. Die Maßnahmen der Implementierung einer Firewall, eines Anti-Viren-Programms und der Passwortverschlüsselung des Outlook-Accounts entfalten keinerlei Schutzwirkungen gegenüber dem Versand geschäftlicher E-Mails und scheiden von vornherein als geeignete Maßnahmen zum Schutz personenbezogener Daten im E-Mail-Verkehr aus.

Das Gericht betont, dass die Beklagte schuldhaft gehandelt hat. Der Rechtsprechung des Europäischen Gerichtshofs folgend sieht Art. 82 DSGVO ein Haftungsregime für Verschulden vor, bei dem die Beweislast nicht beim Geschädigten liegt, sondern beim Verantwortlichen. Dies bedeutet, dass der Verantwortliche nachweisen muss, dass er alle Sorgfaltspflichten erfüllt hat und ihm nicht die geringste Fahrlässigkeit vorgeworfen werden kann. Die Beklagte hat diesen Nachweis nicht geführt, da sie weder die erforderliche Verschlüsselung noch andere ausreichende Sicherheitsmaßnahmen ergriffen hat.

Das Gericht urteilte, dass die Beklagte gegen die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO verstoßen hat, indem sie nicht darlegen und beweisen konnte, dass ihre Sicherheitsmaßnahmen geeignet waren, um die personenbezogenen Daten entsprechend dem von der DSGVO verlangten Sicherheitsniveau zu schützen. Die Verwendung von Antivirus-Software und Firewall reicht nicht aus, um den Schutz von E-Mails zu gewährleisten, insbesondere wenn keine Verschlüsselung eingesetzt wird. Der EuGH hat die Anforderungen des Art. 32 DSGVO dahingehend ausgelegt, dass die Geeignetheit der vom Verantwortlichen getroffenen Maßnahmen von den nationalen Gerichten zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbundenen Risiken zu berücksichtigen sind. In diesem Fall hat das Gericht festgestellt, dass die Maßnahmen der Beklagten nicht ausreichend waren, um die personenbezogenen Daten der Klägerin zu schützen.

Das Gericht stimmt der Klägerin zu, dass der Schaden von 22.600 Euro eine kausale Folge des Verstoßes gegen die DSGVO darstellt. Da die Beklagte bei Versand ihrer E-Mail mit dem angehängten Vertragsdokument kein ausreichendes Schutzniveau zur Sicherung der personenbezogenen Daten der Klägerin eingehalten hat, obliegt der Beklagten der Beweis dafür, dass der der Klägerin entstandene Schaden nicht durch ihr Fehlverhalten verursacht wurde. Diesen Nachweis hat die Beklagte nicht erbracht.

Ursprünglich wurde die Klage auf Basis von § 280 BGB geführt, wobei die zugrunde liegenden Rechtsfragen in weiten Teilen vergleichbar sind. Es ist jedoch festzuhalten, dass der Sorgfaltsmaßstab bei der Anwendung von Art. 82 DSGVO wesentlich strenger angesetzt ist – bereits geringe Fahrlässigkeit genügt, um einen Schadensersatzanspruch auszulösen. Aufgrund dieser höheren Anforderungen läuft der Anspruch letztlich auf Art. 82 DSGVO hinaus, wenngleich sich eine vergleichbare Haftungsbetrachtung auch aus § 280 BGB ableiten ließe.

Das Problem mit E-Rechnungen

Ein besonderes Problem stellt sich bei der Verwendung von E-Rechnungen dar, insbesondere in XML-Format. Hier kann es schwierig sein, manipulierte Dokumente zu erkennen, da XML-Dateien nicht so leicht wie PDFs auf Veränderungen hin überprüft werden können. Dies erhöht das Risiko von Betrug und Missbrauch erheblich. Unternehmen sollten daher besonders vorsichtig sein, wenn sie E-Rechnungen verwenden, und sicherstellen, dass alle übermittelten Daten angemessen geschützt sind. Die Verwendung von XML-Formaten kann zwar effizient sein, birgt aber auch Risiken, da diese Dateien leicht manipuliert werden können. In Fällen, in denen hohe Beträge überwiesen werden, ist es besonders wichtig, dass zusätzliche Sicherheitsmaßnahmen ergriffen werden, um Missbrauch zu verhindern.

Die DSGVO schreibt vor, dass personenbezogene Daten angemessen geschützt werden müssen, was auch den Versand von Rechnungen umfasst. Die Verwendung von Verschlüsselungstechnologien kann helfen, diese Risiken zu minimieren und die Sicherheit der Daten zu gewährleisten. Ich habe in meinen vorherigen Artikeln auf die Bedeutung der Sicherheit bei der Übermittlung von Rechnungen hingewiesen und betone, dass Unternehmen proaktiv handeln müssen, um ihre Kunden und ihre eigenen Interessen zu schützen.

Herausforderungen bei XML-Dateien

XML-Dateien bieten zwar viele Vorteile, wie die Automatisierung von Prozessen und die einfache Integration in bestehende Systeme, jedoch sind sie auch anfälliger für Manipulationen. Da XML-Dateien in der Regel maschinenlesbar sind, können sie leicht von Hackern verändert werden, ohne dass dies sofort auffällt. Dies kann zu beträchtlichen finanziellen Verlusten führen, wenn beispielsweise die Bankverbindung in einer Rechnung manipuliert wird. Unternehmen sollten daher sicherstellen, dass alle XML-Dateien, die sensible Informationen enthalten, angemessen geschützt sind.

Lösungen zur Risikominimierung

Um die Risiken bei der Verwendung von E-Rechnungen in XML-Format zu minimieren, können Unternehmen verschiedene Maßnahmen ergreifen:

1. Verschlüsselung: Die Verwendung von Verschlüsselungstechnologien, wie Transport- oder End-to-End-Verschlüsselung, kann helfen, die Daten während der Übertragung zu schützen. Dies ist besonders wichtig, wenn personenbezogene Daten oder sensible Finanzinformationen übermittelt werden.

2. Digitale Signaturen: Digitale Signaturen können verwendet werden, um die Authentizität und Integrität von E-Rechnungen zu gewährleisten. Dies kann helfen, Manipulationen zu erkennen und zu verhindern.

3. Zweistufige Authentifizierung: Die Implementierung einer zweistufigen Authentifizierung für den Zugriff auf Systeme, die E-Rechnungen verarbeiten, kann den Schutz vor unbefugtem Zugriff erhöhen.

4. Regelmäßige Sicherheitsaudits: Regelmäßige Sicherheitsaudits und Penetrationstests können helfen, Schwachstellen in den Systemen zu identifizieren und zu beheben, bevor sie von Angreifern ausgenutzt werden können.

5. Schulung des Personals: Das Personal sollte regelmäßig geschult werden, um es auf potenzielle Risiken aufmerksam zu machen und sicherzustellen, dass alle Mitarbeiter die notwendigen Sicherheitsmaßnahmen einhalten.

Durch die Implementierung dieser Maßnahmen können Unternehmen die Sicherheit ihrer E-Rechnungen erhöhen und das Risiko von Betrug und Missbrauch minimieren. Sollten Sie Fragen zu diesem Thema haben oder Unterstützung benötigen, zögern Sie nicht, mich zu kontaktieren. Ich bin Ihnen gerne behilflich, Ihre Interessen zu schützen und Ihre Sicherheitsmaßnahmen zu optimieren.

Fazit

Die Sicherheit von E-Mail-Servern und die Verschlüsselung von Rechnungen sind entscheidende Aspekte im digitalen Geschäftsverkehr. Unternehmen sollten sich dieser Herausforderungen bewusst sein und entsprechende Maßnahmen ergreifen, um ihre Daten und die ihrer Kunden zu schützen. Die DSGVO schreibt vor, dass personenbezogene Daten angemessen geschützt werden müssen, was auch den Versand von Rechnungen umfasst. Die Verwendung von Verschlüsselungstechnologien kann helfen, diese Risiken zu minimieren und die Sicherheit der Daten zu gewährleisten. Ich stehe Ihnen gerne zur Verfügung, um Sie in diesen Angelegenheiten zu unterstützen und sicherzustellen, dass Ihre Daten und die Ihrer Kunden bestmöglich geschützt sind. Sollten Sie von ähnlichen Problemen betroffen sein oder Fragen zu diesem Thema haben, zögern Sie nicht, mich zu kontaktieren. Ich habe bereits in zahlreichen Fällen erfolgreich für meine Mandanten agiert und kann Ihnen helfen, Ihre Interessen zu schützen.

Das Urteil des Landgerichts Braunschweig (Aktenzeichen 7 O 47/24) ist ein wichtiger Präzedenzfall, der die Bedeutung der Sicherheit im E-Mail-Verkehr unterstreicht. Die Entscheidung zeigt, dass Unternehmen, die gegen die DSGVO verstoßen, mit erheblichen rechtlichen Konsequenzen rechnen müssen. Die Klägerin erhielt einen Kaufvertrag per E-Mail, bei dem die Bankverbindung der Beklagten manipuliert wurde. Die Klägerin überwies daraufhin den Kaufpreis auf ein falsches Konto, was zu einem erheblichen finanziellen Schaden führte. Das Gericht stellte fest, dass die Beklagte schuldhaft gegen die DSGVO verstoßen hat, indem sie keine ausreichenden Sicherheitsmaßnahmen ergriffen hat. Die Beklagte verwendete weder Transport- noch End-to-End-Verschlüsselung beim Versand der E-Mails, was als unzureichend angesehen wurde. Die Maßnahmen, wie die Verwendung von Antivirus-Software und Firewall, reichten nicht aus, um den Schutz der Daten zu gewährleisten. Das Gericht betonte, dass die Verschlüsselung von E-Mails ein Basis-Schutz darstellt, der als Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen gilt.

P.S. Danke übrigens an meinen professionellen IT-Partner Velevo/Sebastian Genter, die auch hier mit einem überzeugenden IT-Gutachten behilflich sein konnten.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.