I. SACHVERHALT
Ein Bauunternehmen verschickte eine Rechnung per E-Mail an eine Kundin. Doch unbekannte Dritte manipulierten die Rechnung, änderten die Kontoverbindung – und die Kundin überwies den Betrag von über 15.000 € an das falsche Konto. In der Folge verklagte das Unternehmen die Kundin auf Zahlung. Doch die Kundin wehrte sich mit Verweis auf die mangelnde IT-Sicherheit des Unternehmens.

II. Entscheidung des OLG Schleswig
Das OLG Schleswig (Az. 12 U 9/24) entschied: Die Kundin muss nicht erneut zahlen. Zwar war ihre Überweisung an das falsche Konto keine Erfüllung ihrer Zahlungspflicht (§ 362 Abs. 2 BGB), aber das Unternehmen trägt die Verantwortung für die Sicherheit der personenbezogenen Daten seiner Kunden.

Kernpunkt der Entscheidung war die unzureichende IT-Sicherheit beim Versand der Rechnung:

Nach Art. 32 DSGVO sind Unternehmen verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um personenbezogene Daten zu schützen.

Unzureichende Sicherheitsmaßnahmen:
Das Gericht stellte fest, dass das Unternehmen lediglich eine Transportverschlüsselung (TLS) nutzte. Diese schützt zwar die Übertragung, aber nicht die Daten auf dem Server oder während des weiteren E-Mail-Versands.
End-to-End-Encryption erforderlich:
Nach Ansicht des OLG wäre eine Ende-zu-Ende-Verschlüsselung notwendig gewesen, um ein angemessenes Sicherheitsniveau gemäß Art. 32 DSGVO zu gewährleisten. Unternehmen, die Rechnungen mit sensiblen Daten per E-Mail versenden, müssen diese Maßnahme ergreifen.
Haftung nach DSGVO:
Das Unternehmen konnte nicht nachweisen, dass es alle erforderlichen Schutzmaßnahmen getroffen hatte. Daher haftete es gemäß Art. 82 DSGVO für den entstandenen Schaden.
Beweislast des Unternehmens:
Laut Gericht muss das Unternehmen darlegen und beweisen, dass es angemessene technische und organisatorische Maßnahmen getroffen hat. Diese Darlegungspflicht hat es nicht erfüllt.

Viele Unternehmen setzen auf das nahezu standardmäßig vorhandene TLS (Transport Layer Security), um E-Mails während der Übertragung zwischen Mailservern zu verschlüsseln. TLS sorgt dafür, dass die E-Mail auf dem Weg von Absender zu Empfänger nicht von Dritten abgefangen werden kann. Allerdings wird die Nachricht nur während des Transports gesichert. Auf den Servern der E-Mail-Dienstleister liegt die E-Mail weiterhin unverschlüsselt vor und kann von Angreifern dort kompromittiert werden.

Im Gegensatz dazu sichert eine End-To-End-Encryption (E2EE) den gesamten Inhalt der E-Mail. Nur der Absender und der Empfänger können die Nachricht entschlüsseln, da sie jeweils über die passenden Schlüssel verfügen. Selbst der E-Mail-Provider kann den Inhalt nicht einsehen. Bekannte Standards für E2EE sind PGP (Pretty Good Privacy) und S/MIME (Secure/Multipurpose Internet Mail Extensions). Während TLS also vor allem für die Übertragungssicherheit sorgt, stellt E2EE sicher, dass E-Mails auch nach der Zustellung nicht manipuliert oder eingesehen werden können.

III. Bedeutung für Unternehmen – DSGVO-Pflichten ernst nehmen
Diese Entscheidung zeigt, dass unzureichende Sicherheitsmaßnahmen gravierende Konsequenzen haben können. Auch wenn man hier mit guten Gründen anderer Auffassung sein kann, hat das OLG Schleswig nun erst hohe Anforderungen gesetzt. Unternehmen sind nicht nur Opfer von Cyberangriffen – sie können auch selbst haftbar gemacht werden. Das Urteil ist insbesondere ein deutliches Warnsignal für Unternehmen, die Rechnungen oder andere geschäftliche Dokumente, die sensible personenbezogene Daten enthalten, „nur“ per E-Mail versenden. Wer sich nicht an die datenschutzrechtlichen Sicherheitsanforderungen hält, kann im Ernstfall nicht nur wirtschaftlichen Schaden erleiden, sondern haftet auch rechtlich für Datenschutzverstöße.

Wichtige Maßnahmen für Unternehmen:


E-Mail-Sicherheit überprüfen und verbessern:
Transportverschlüsselung reicht nicht aus, insbesondere bei sensiblen Finanzdaten. End-to-End-Enrcyption ist zu empfehlen.
IT-Risiken bewerten:
Welche Daten werden verarbeitet? Welche Schutzmaßnahmen sind vorhanden? Eine DSGVO-konforme Risikoanalyse ist essenziell.

Interne Prozesse anpassen:
Rechnungen und andere sensible Daten sollten mit sicheren Methoden übermittelt werden, z. B. über passwortgeschützte Anhänge oder verschlüsselte Portale.

Externe Datenschutzexpertise nutzen:
Unternehmen, die sich nicht sicher sind, ob ihre Maßnahmen ausreichen, sollten einen Datenschutzbeauftragten hinzuziehen.