Trendradar, Wichtiges Urteil!

Ende zu-Ende-Verschlüsselung bei RechnungenEnde zu-Ende-Verschlüsselung bei Rechnungen

Rechnungen per E-Mail zu versenden gehört für viele Unternehmen zum Alltag. Doch aktuelle Gerichtsurteile zeigen: Wird eine Rechnung auf dem Weg manipuliert, kann das rechtliche Folgen haben. Was bedeutet das für kleine und mittlere Unternehmen – und wie lässt sich das Risiko von Rechnungsbetrug wirksam reduzieren?

In letzter Zeit häufen sich die Fälle von Rechnungsbetrug (engl. Invoice-Fraud). Die einfachste Variante ist dabei die postalische, bei der ein Absender eine beliebige Rechnung an ein Unternehmen schickt, in der Hoffnung, dass das Unternehmen nicht genau prüft und die Zahlung veranlasst. Deutlich aufwändiger ist das Vorgehen hingegen, wenn sich die Betrüger Zugang zu Rechnungen verschaffen – etwa über den E-Mail-Server eines Rechnungs-empfängers – und dort die Kontoverbindung einer elektronisch versandten Rechnung zu ihren eigenen Gunsten manipulieren.

Welche technischen und organisatorischen Maßnahmen Unternehmen beim Versand von Emails mit angehängten elektronischen Rechnungen ergreifen müssen, um Invoice-Fraud zu vermeiden, haben das OLG Schleswig-Holstein (12 U 9/24) wie auch das OLG Karlsruhe (19 U 83/22) präzisiert.

Sachverhalte

Im Fall des OLG Schleswig wurde eine Schlussrechnung zu einer Werkleistung per E-Mail als PDF-Anhang an eine Verbraucherin versandt (B2C). Die Übertragung erfolgte lediglich transportverschlüsselt, jedoch nicht Ende-zu-Ende verschlüsselt. Ein Dritter griff auf die Email zu und manipulierte die im Dokument enthaltene Bankverbindung zu seinen Gunsten. Die Kundin überwies den Rechnungsbetrag an das angegebene Konto des Betrügers und verwehrte sich gegen eine erneute Inanspruchnahme auf Werklohn. Zugleich machte sie wegen der unzureichenden Sicherheitsmaßnahmen – schließlich wurden ihre persönliche Daten manipuliert – einen Schadensersatzanspruch nach der DSGVO geltend.

Über einen vergleichbaren Sachverhalt – jetzt allerdings im B2B-Kontext – hatte das OLG Karlsruhe zu entscheiden. Dort wurde das E-Mail-Konto eines Verkäufers kompromittiert, weshalb der Käufer eine vermeintlich korrigierte Bankverbindung erhielt und an den Betrüger zahlte. Die erneute Zahlungsaufforderung seitens des Verkäufers lehnte der Käufer unter Verweis auf unzureichende Sicherheitsmaßnahmen ab.

In beiden Fallgestaltungen ging es am Ende um die Frage, ob eine Transportverschlüsselung (TLS) ausreicht, um den Sicherheitsanforderungen z.B. aus der DSGVO zu genügen oder, ob beim Rechnungsversand eine Ende-zu-Ende-Verschlüsselung (E2EE) erforderlich ist?

Urteile

Während das OLG Schleswig in der B2C-Situation eine Ende-zu-Ende-Verschlüsselung einforderte, kam das OLG Karlsruhe in der B2B-Situation zu der Einschätzung, dass keine generelle Pflicht zur Verwendung bestimmter technischer Verfahren bestehe.

Entscheidungsgründe

Das OLG Schleswig leitet seine Einschätzung aus dem Datenschutzrecht ab (Art. 32 DSGVO). Danach müssen personenbezogene Daten technisch und organisatorisch so abgesichert sein, dass das Schutzniveau zum Risiko eines Datenabflusses bzw. einer Datenmanipulation passt. Maßgeblich sei dabei nicht allein die Wahrung der Vertraulichkeit, sondern auch die Integrität der übermittelten Daten. Bei Rechnungen könne bereits die Manipulation einzelner Inhalte, insbesondere der Bankverbindung, zu erheblichen Vermögensschäden führen. Vor diesem Hintergrund genüge eine bloße Transportverschlüsselung (TLS) nicht, wenn ein solch erhöhtes Risiko bestehe. In Konstellationen wie die vorliegende sei daher eine Ende-zu-Ende-Verschlüsselung (E2EE) erforderlich.

Das OLG Karlsruhe knüpft demgegenüber stärker an zivilrechtliche Nebenpflichten und Verkehrserwartungen an (§ 241 BGB). Eine generelle Verpflichtung zur Nutzung bestimmter Sicherheitsstandards – etwa TLS, E2EE, Zwei-Faktor-Authentifizierung oder spezifischer E-Mail-Authentifizierungsverfahren – bestehe ohne eine besondere Vereinbarung nicht. Die DSGVO schreibe keine konkrete Verschlüsselungsmethode vor, sondern verlange lediglich eine risikoadäquate Gesamtabwägung.

Die Divergenz der beiden Einschätzungen ist offensichtlich. Sie liegt nicht im Verkennen eines Cyberrisikos – dies erkennen beide Entscheidungen an – sondern in der dogmatischen Herleitung der daraus folgenden Sicherheitsanforderungen (datenschutzrechtlicher Integritätsmaßstab versus zivilrechtliche Erwartungshorizonte), die jedoch – und hier besteht Einigkeit – immer risikoadäquat sein müssen.

Relevanz für Unternehmen

Die Entscheidungen zeigen, dass der Rechnungsversand per E-Mail kein rein technisches Detail mehr ist, sondern zu einem haftungs- und datenschutzrelevanten Risikofaktor werden kann. Deshalb müssen Unternehmen ihre Sicherheitsarchitektur überprüfen, und sich fragen, ob die gewählten Sicherungsmaßnahmen dem konkreten Risiko als angemessen gegenüberstehen. Solange eine höchstrichterliche Klärung zu den adäquaten Sicherungsmaßnahmen fehlt, sollten Unternehmen vorsorglich davon ausgehen, dass eine reine TLS keinen ausreichenden Schutz bietet (jedenfalls bei höheren Beträgen).

Eine pauschale Standardlösung über die TLS hinaus gibt es für die Praxis nicht. E2EE setzt die technische Mitwirkung des Empfängers voraus. Denn um eine wirklich sichere Übertragung zu gewährleisten, müsste man die IT-Infrastruktur des Empfängers im Einzelfall bewerten und daraus ableiten, ob und wie eine sichere Kommunikation überhaupt verlässlich umgesetzt werden kann.

Als Handlungsstrategie empfiehlt sich daher ein mehrschichtiges Maßnahmenpaket statt der Fixierung auf eine einzige Technik:

Sicheren Kommunikationskanal etablieren: Wo E2EE praktisch scheitert (insbesondere im B2C-Bereich), kann ein Zugriff über einen geschützten Bereitstellungsweg (z. B. Kundenportal) sinnvoll sein, weil sensible Dokumente in einer kontrollierten Umgebung bereitgestellt werden (Zugang, Authentifizierung, Protokollierung) und sich so das Manipulations-/Fehlleitungsrisiko reduzieren lässt.
TLS + Integritätssicherung kombinieren: Eine TLS kann in Kombination mit digitaler Signatur ein angemessenes Schutzniveau erreichen. Die Signatur stärkt Authentizität und Integrität und kann Manipulationen an Rechnung und Zahlungsdaten deutlich erschweren, ohne die Kommunikation für Empfänger unnötig zu verkomplizieren.
Zweifaktor-Verifikation für Zahlungsdaten: Bankverbindungen sollten bei Änderungen oder bei hohen Beträgen über einen zweiten Kanal bestätigt werden (z. B. telefonische Rückfrage über bekannte Nummern, verifizierte Kundenprofile, Workflows im Portal).
Schulung & Sensibilisierung als „Must-have“: Der sichere Umgang mit E-Mails, Spoofing/Account-Takeover-Risiken und klare interne Abläufe gehören in regelmäßige Trainings. Das ist in der Umsetzung einfach und in der Wirkung oft am stärksten, weil viele Betrugsfälle an Prozess- und Aufmerksamkeitslücken ansetzen.
Risikobasierte Dokumentation (Art. 32 DSGVO): Unabhängig von der gewählten Lösung sollte die Risikoanalyse und die Ableitung der technischen und organisatorischen Maßnahmen nachvollziehbar dokumentiert sein (Betragshöhen, Empfängergruppen, eingesetzte Kontrollen).

Reaktionen auf das Urteil

Die Entscheidung des OLG Schleswig wird in Fachkreisen kritisch gesehen, weil sie faktisch in Richtung einer Ende-zu-Ende-Verschlüsselungspflicht für den Rechnungsversand tendiert, obwohl die DSGVO keine konkreten Verschlüsselungsmethoden vorgibt, sondern bewusst einen risikobasierten offenen Ansatz wählt. Eine pauschale technische Pflicht steht damit in einem Spannungsverhältnis zur Systematik des Art. 32 DSGVO und verengt den unternehmerischen Gestaltungsspielraum bei der Auswahl „angemessener“ Maßnahmen.

Hinzu kommt ein erheblicher Praktikabilitätsbruch im B2C-Bereich: Ende-zu-Ende-verschlüsselte E-Mails lassen sich typischerweise nur mit OpenPGP, S/MIME oder speziellen verschlüsselten Mail-Diensten öffnen. Dass Verbraucher flächendeckend über Zertifikate, Schlüsselverwaltung und hinreichende Nutzungskompetenz verfügen, ist gerade nicht Standard. Eine dogmatisch strenge E2EE-Anforderung kann daher die Kommunikation mit Kunden nicht nur erschweren, sondern im Extremfall unrealistisch oder faktisch unmöglich machen.

Kundenportale können organisatorisch sinnvoll sein, lösen aber den E2EE-Gedanken nicht automatisch. Auch Portale arbeiten im Regelfall lediglich mit TLS im Browser.

Kritikwürdig ist außerdem, dass das OLG Schleswig kein erkennbares Mitverschulden auf Verbraucherseite angenommen hat, obwohl Invoice-Fraud typischerweise auch durch Plausibilitätsprüfungen (abweichende IBAN, ungewöhnliche Änderungsmitteilungen) auffallen kann. Die Entscheidung verschiebt das Risiko sehr stark auf die Unternehmensseite, ohne die reale Risikoverteilung bei Social-Engineering-Angriffen angemessen abzubilden.

Unklar bleibt auch, ab welchem Schwellenwert Transportverschlüsselung nicht mehr genügt.

Eine höchstrichterliche Klärung steht bislang aus. Bis dahin bewegen sich Unternehmen in einem Spannungsfeld zwischen praktischer Umsetzbarkeit, Nutzerfreundlichkeit und haftungsrechtlicher Vorsorge. Umso wichtiger ist eine pragmatische, mehrstufige Sicherheitsstrategie, die technische, organisatorische und prozessuale Kontrollen kombiniert, statt allein auf E2EE zu setzen.

Quellen

Gesetze-Rechtsprechung Schleswig-Holstein. (o. D.). https://www.gesetze-rechtsprechung.sh.juris.de/bssh/document/NJRE001598708
Schadensersatz für unsicheren Rechnungsversand – OLG Schleswig-Holstein setzt hohe Maßstäbe für die Datensicherheit. (o. D.). https://www.heuking.de/de/news-events/newsletter-fachbeitraege/artikel/schadensersatz-fuer-unsicheren-rechnungsversand-olg-schleswig-holstein-setzt-hohe-massstaebe-fuer-die-datensicherheit.html

Verfasst von

Roshan Yari
ist wissenschaftlicher Mitarbeiter am Lehrstuhl für Privatrecht und Recht des geistigen Eigentums der Technischen Universität Chemnitz. Im Mittelstand-Digital Zentrum Chemnitz beschäftigt er sich mit rechtlichen Fragen rund um IT und Digitalisierung. Besonderer Fokus liegt auf KI-Anwendungen im innereuropäischen Raum.