Sicherheitsvorkehrungen beim E-Mail-Verkehr – OLG Karlsruhe präzisiert Anforderungen

In einem am 27.7.2023 veröffentlichten Urteil (19 U 83/22) hat sich das Oberlandesgericht Karlsruhe mit der Frage beschäftigt, welche Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr einzuhalten sind. Die Entscheidung wirft jedoch mehr Fragen auf, als sie beantwortet.

Inhaltsverzeichnis Verbergen

1. Der Ausgangsfall

2. Die Entscheidung der Vorinstanz

3. Die Entscheidung der Berufungsinstanz

4. Problematik in der Entscheidung

5. Problematik der Erfüllung bei Überweisung

6. Sicherheitsproblematik bei E-Mail-Kommunikation

7. Fazit

7.1. Author: Marian Härtel

Wichtigste Punkte

Oberlandesgericht Karlsruhe entschied am 27.7.2023, welche Sicherheitsvorkehrungen beim E-Mail-Versand im Geschäftsverkehr zu beachten sind.
Der Fall betraf einen Kaufvertrag über einen Gebrauchtwagen und eine manipulierte Rechnung, die zu einer fehlerhaften Überweisung führte.
Das Landgericht Mosbach wies die Klage ab, da es Verstoß gegen Datenschutzvorschriften sah, die keine Ende-zu-Ende-Verschlüsselung erforderten.
Das OLG hob das Urteil auf, bestätigte aber, dass keine gesetzliche Pflicht zur Ende-zu-Ende-Verschlüsselung für Unternehmensdaten besteht.
Es bleiben zahlreiche Fragen zur Mail-Sicherheit, den Umständen des Versands und der Erfüllung der Forderung ungeklärt.
Die Entscheidung macht deutlich, dass angemessene Schutzmaßnahmen erforderlich sind, während absolute Sicherheit nicht gewährleistet werden kann.
Probleme wie Social Engineering und Phishing stellen bedeutende Herausforderungen für die E-Mail-Kommunikation im geschäftlichen Kontext dar.

Der Ausgangsfall

Zwischen der als Verkäuferin auftretenden Klägerin und der als Käuferin auftretenden Beklagten wurde ein Kaufvertrag über einen Gebrauchtwagen zum Preis von 13.500 Euro geschlossen. Die Klägerin schickte dem Käufer per E-Mail eine Rechnung über den Kaufpreis. Kurz darauf erhielt der Käufer eine weitere E-Mail mit einer manipulierten Rechnung. Er überwies den Kaufpreis auf das in dieser angegebene Konto. Die Verkäuferin verklagte den Käufer daraufhin auf Zahlung des Kaufpreises.

Die Entscheidung der Vorinstanz

In erster Instanz wies das Landgericht Mosbach die Klage ab. Es sah den Anspruch auf Kaufpreiszahlung durch die Überweisung auf das falsche Konto gemäß § 362 Abs. 1 BGB als erfüllt an. Die vom Landgericht herangezogene „Orientierungshilfe“ des Datenschutzbeauftragten zur Absicherung personenbezogener Daten verpflichte die Verkäuferin zur Ende-zu-Ende-Verschlüsselung. Ihr Verstoß hiergegen habe den Zugriff des Dritten ermöglicht.

Die Entscheidung der Berufungsinstanz

In zweiter Instanz hob das OLG Karlsruhe das Urteil auf und verurteilte den Käufer zur Zahlung von 13.500 Euro Kaufpreis. Es stellte klar, dass keine gesetzliche Pflicht zur Ende-zu-Ende-Verschlüsselung besteht, da es um Unternehmensdaten ging. Die Zahlung auf ein falsches Konto erfüllte die Forderung nicht.

Problematik in der Entscheidung

Die Entscheidung wirft allerdings mehr Fragen auf, als sie beantwortet:

Ungeklärt bleibt, wie es überhaupt zu der gefälschten E-Mail kommen konnte.
Die Umstände des Mailversands werden nicht aufgeklärt.
Ob ein rechtliches Problem vorliegt oder die Parteien prozessual versagt haben, wird nicht erörtert.
Die Kernfrage, wer die gefälschte Rechnung bezahlt hat, bleibt offen.

Problematik der Erfüllung bei Überweisung

Grundsätzlich gilt: Bei Überweisung einer Geldsumme ist die Erfüllung erst dann eingetreten, wenn der geschuldete Betrag auf dem Konto des Gläubigers eingeht. Die Überweisung auf ein falsches Empfängerkonto erfüllt die Forderung gerade nicht. Hier liegt die Problematik also nicht in den Sicherheitsstandards, sondern in der fehlenden Erfüllungswirkung.

Sicherheitsproblematik bei E-Mail-Kommunikation

Dennoch wirft der Fall Fragen zur E-Mail-Sicherheit auf:

Absolute Sicherheit ist nicht geschuldet, aber angemessene Schutzmaßnahmen schon.
Verbindliche Standards für die Absicherung von Mails im Geschäftsverkehr fehlen.
Technische Lösungen wie Verschlüsselung stoßen an Grenzen.
Verantwortung liegt sowohl beim Sender als auch beim Empfänger.
Social Engineering, Phishing und gefälschte Absender stellen große Probleme dar.

Fazit

Das Urteil problematisiert Sicherheitsstandards beim E-Mail-Verkehr, klärt die Kernfragen aber nicht. Weder Ursache noch Umstände des Mailversands werden aufgeklärt. Die Entscheidung macht deutlich, dass die Sicherheit von E-Mails ein ungelöstes Problem bleibt. Absolute Sicherheit ist unmöglich, angemessene Vorkehrungen aber Pflicht. Gerade bei sensiblen Geschäftsinformationen sind erhöhte Vorsicht und technische Absicherung geboten.

Das vollständige Urteil gibt es hier.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.

Tags: E-Mail IT-Sicherheit