Ein Urteil konkretisiert, wie PDF-Rechnungen per E-Mail verschickt werden müssen, um Unternehmen vor Schadenersatzansprüchen nach der DSGVO im Falle eines Hacking-Angriffs zu schützen.
Das Oberlandesgericht (OLG) Schleswig-Holstein hatte im Dezember 2024 einen Fall zu entscheiden, in dem ein Handwerksunternehmen seinem Kunden (wie in der Praxis üblich) die Abschlagsrechnungen als PDF per E-Mail schickte. Nach zwei Teilrechnungen wurde die Abschlussrechnung auf dem Übertragungsweg kriminell gehackt und eine völlig andere Empfänger-Bankverbindung angegeben.
Auf dieses Konto zahlte der Kunde dann den Schlussrechnungsbetrag. Als im Handwerksunternehmen kein Geld einging und sich die Manipulation herausstellte, verlangte das Handwerksunternehmen die erneute Zahlung.
Das Landgericht entschied in erster Instanz, dass die Zahlung an den unbekannten Dritten die Zahlungspflicht des Kunden nicht erfülle (§ 362 Abs. 2 BGB). Das Unternehmen habe keine Pflichten verletzt und die Mail über die Transportverschlüsselung SMTP (Simple Mail Transfer Protocol) über TLS (Transport Layer Security) verschickt. Dies reiche im Geschäftsverkehr aus.
Das OLG beurteilte zwar die Erfüllung der Forderung bei Zahlung auf ein falsches Konto identisch – die Forderung sei dadurch nicht ausgeglichen. Allerdings sprach es dem Kunden auch einen Schadensersatzanspruch (bspw. aus Artikel 82 Abs. 2 DSGVO) in Höhe der Überweisung zu (§ 242 BGB).
Dazu müssen drei Bedingungen erfüllt sein: eine schuldhafte unrechtmäßige Datenverarbeitung und ein entstandener Schaden. Zudem muss ein ursächlicher Zusammenhang bestehen. In dem beschriebenen Fall hatte das Unternehmen nur eine ungenügende Transportverschlüsselung gewählt, die nach der DSGVO ungeeignet sei. Jedes Unternehmen müsse gewährleisten, dass es nach Artikel 5 Abs. 2, Artikel 24 und 32 DSGVO angemessene Sicherheitsmaßnahmen für den Versand personenbezogener Daten trifft. Das stelle nur eine End-to-End-Verschlüsselung wirklich sicher, wofür der Versender in der Beweispflicht ist. Jedem Unternehmen ist der technische und finanzielle Aufwand für den Transportweg per E-Mail zumutbar. Der Kunde hat jedoch evtl. ein Mitverschulden, wenn Abweichungen in der E-Mail zu erkennen waren.
(OLG Schleswig-Holstein, Urteil vom 18.12.2024, Az. 12 U 9/24).
Praktische Ergänzung
In naher Zukunft werden E-Rechnungsplattformen und Netzwerke (bspw. Peppol) die sichere Übermittlung gewährleisten. Im Zuge der E-Rechnung werden der Empfang und Versand von PDF-Rechnungen per E-Mail im B2B-Bereich ab 2028 Vergangenheit sein. Ab dann werden EU-weit E-Rechnungen ausnahmslos über die Plattform ViDA (Vat in the Digital Age) verschickt und empfangen. ViDA wird den Rechnungsdatenabgleich in Echtzeit und die digitale Meldung der Umsatzsteuer umfassen.
