Das Maß der Sicherheitsvorkehrungen beim Versand von geschäftlichen E-Mails richtet sich nach den berechtigten Sicherheitserwartungen des Verkehrs. Eine Transport- oder Ende-zu-Ende-Verschlüsselung ist i. d. R. nicht erforderlich.
In Deutschland existieren für die geschäftliche digitale Kommunikation zwischen Unternehmen – anders als für den Rechtsverkehr mit Justiz und Anwälten – keine gesetzlichen Regeln. Das OLG Karlsruhe hat die Anforderungen an zu verwendende Sicherheitstechniken beim geschäftlichen E-Mail-Verkehr eher niedrig angesetzt.
Rechnung über Kaufpreis per E-Mail versandt
Dem vom OLG entschiedenen Rechtsstreit lag die Schadensersatzklage eines Unternehmens wegen behaupteter Sicherheitsmängel beim E-Mail-Versand durch einen Vertragspartner zu Grunde. Die beiden Firmen hatten – vertreten durch die jeweiligen Geschäftsführer – einen Vertrag über den Kauf eines Kraftfahrzeugs zu einem Kaufpreis in Höhe von 13.500 EUR abgeschlossen. Den Kaufpreis stellte die Verkäuferin der Käuferin per E-Mail in Rechnung. Innerhalb weniger Minuten erhielt die Käuferin eine zweite Rechnung mit dem gleichen Briefkopf. Als Empfängerkonto war allerdings eine andere Bankverbindung angegeben. Der Geschäftsführer der Käuferin veranlasste sodann die Überweisung des Kaufpreises auf das in der Zweitrechnung angegebene Konto.
Zweitrechnung war betrügerisch
Als die Käuferin kurz darauf die Zahlung des Kaufpreises anmahnte, stellte sich heraus, dass infolge eines Hackerangriffs die Zweitrechnung von einer unbefugten Person stammte und es sich um eine Betrugsmail handelte.
LG beanstandet mangelnde Sicherheitsvorkehrungen beim E-Mail-Versand
Der Verbleib des überwiesenen Geldbetrages war nicht mehr zu klären. Die Verkäuferin forderte daher erneut Zahlung des Kaufpreises und verklagte schließlich das Käuferunternehmen. Das LG hat die Klage erstinstanzlich abgewiesen. Begründung: Die Klägerin habe beim E-Mail-Versand der Rechnung keine ausreichenden Schutzvorkehrungen zur Sicherung des E-Mail-Versandes getroffen und dadurch die Betrugsmail schuldhaft ermöglicht.
Keine Erfüllung durch Überweisung auf Drittkonto
Dies sah das OLG in zweiter Instanz anders. Die unstreitig zunächst bestehende Kaufpreisforderung sei nicht durch Erfüllung gemäß § 362 Abs. 1 BGB erloschen. Durch die Überweisung auf das Konto eines Dritten sei nicht der geschuldete Leistungserfolg eingetreten.
Rechnungsversand per E-Mail im Geschäftsverkehr nicht unüblich
Dem Anspruch der Verkäuferin auf Zahlung des Kaufpreises könnte nach dem Diktum des OLG allenfalls ein Schadensersatzanspruch der Beklagten wegen Verletzung einer vertraglichen Nebenpflicht der Klägerin gemäß § 280 Abs. 1 BGB entgegenstehen. Die Verletzung einer vertraglichen Nebenpflicht sei aber nicht festzustellen. Der Vertrag zwischen den Parteien sei zunächst telefonisch zwischen den beiden Geschäftsführern geschlossen worden. Die anschließende Übersendung der Rechnung per E-Mail sei im geschäftlichen Verkehr üblich und sei seitens der Klägerin unter Nutzung der üblichen, auf dem Geschäftscomputer vorinstallierten Sicherheitsvorkehrungen erfolgt.
Keine besonderen Verschlüsselungstechniken im normalen Geschäftsverkehr
Entgegen der Auffassung der Vorinstanz sei weder die Verwendung der Sicherheitstechnik „SPF“ („Sender Policy Framework“) noch eine Ende-zu-Ende-Verschlüsselung noch eine Transportverschlüsselung erforderlich. Solche Verschlüsselungen seien im geschäftlichen Verkehr außerhalb des Austausches besonders sensibler Daten nicht üblich. Außerdem habe die Beklagte bei Erhalt der gefälschten Rechnung Kenntnis davon gehabt oder zumindest haben müssen, dass die Datei nicht durch eine besondere Verschlüsselung gesichert war. Weder hätten die Parteien eine entsprechende Vereinbarung getroffen noch habe die Klägerin der Beklagten ein Passwort mitgeteilt. Von der Verwendung einer besonderen Verschlüsselung habe die Beklagte daher nicht ausgehen können.
Besondere Verschlüsselungstechnik kann vereinbart werden
Im Ergebnis fehlen nach den Feststellungen des OLG im geschäftlichen Verkehr gesetzliche Regeln zur Anwendung von Sicherheitsvorkehrungen ein Versand von E-Mails. Die DSGVO finde hier schon deshalb keine Anwendung, weil diese nur den Schutz sensibler Daten gegenüber Privaten erfasse. Es existieren nach Auffassung des Senats auch keine berechtigten Sicherheitserwartungen des geschäftlichen Verkehrs zur Verwendung spezieller Verschlüsselungstechniken, zumal es Geschäftspartner in solchen Fällen freistehe, die Verwendung einer speziellen Verschlüsselungstechnik für ihre Vertragsbeziehung zu vereinbaren.
Käuferin muss erneut zahlen
Mangels der Verletzung einer vertraglichen Nebenpflicht durch die Klägerin besteht nach Auffassung des OLG kein Gegenanspruch der Beklagten auf Schadenersatz. Mangels Erfüllung bestand der Anspruch der Klägerin auf Kaufpreiszahlung demnach fort. Die Berufung der Klägerin gegen das klageabweisende Urteil der Vorinstanz hatte somit in vollem Umfang Erfolg
(OLG Karlsruhe, Urteil v. 27.7.2023, 19 U 83/22)
Hintergrund:
Die Entscheidung des OLG Karlsruhe bezieht sich ausschließlich auf den geschäftlichen Verkehr zwischen Unternehmen und Geschäftspartnern. Für die Verarbeitung personenbezogener Daten gegenüber natürlichen Personen gilt die DSGVO (Art. 1 DSGVO). Für die digitale Kommunikation zwischen Anwälten und ihren Mandanten wird allgemein eine Transportverschlüsselung als erforderlich und auch ausreichend angesehen. Bei der Transportverschlüsselung wird der zum Versand genutzte Kanal verschlüsselt, nicht aber der Inhalt der E-Mail als solcher. Die Bremer Datenschutzbeauftragte hält für die Kommunikation von Anwälten mit ihren Mandanten gemäß Art. 32 DSGVO sogar eine Ende-zu-Ende-Verschlüsselung für erforderlich. Die Ende-zu-Ende-Verschlüsselung verschlüsselt E-Mails samt Inhalt. Sie stellt sicher, dass nur berechtigte Empfänger die E-Mails lesen können.
Weitere Beiträge zum Thema:
Anwaltskommunikation nur per „Ende-zu-Ende-Verschlüsselung“?
Digital Services Act: Was kommt auf Betreiber von Webshops zu?