Wie müssen Geschäftsmails verschlüsselt werden?
1. Hintergrund: Der Fall vor dem OLG Schleswig-Holstein
Im Zentrum des Urteils steht ein alltäglicher, jedoch risikobehafteter Vorgang: Der Versand einer Rechnung per E-Mail.
Ein Bauunternehmen hatte einer Kundin eine Schlussrechnung über ca. 15.000 Euro per unverschlüsselter E-Mail mit einfacher Transportverschlüsselung (TLS) geschickt. Auf dem Übertragungsweg wurde die E-Mail abgefangen, manipuliert und die Bankverbindung verändert – der Betrag floss an einen unbekannten Dritten. Die Kundin hatte keinerlei Verdacht geschöpft, da Betreff und Absenderadresse korrekt wirkten.
Das Unternehmen verlangte dennoch Zahlung von der Kundin, da sie – aus seiner Sicht – an den Falschen überwiesen hatte. Doch das Landgericht und nun auch das Oberlandesgericht Schleswig-Holstein (Urteil vom 18.12.2024 – Az. 12 U 9/24) wiesen die Klage ab. Begründung: Das Unternehmen habe unzureichend für den Schutz personenbezogener Daten gesorgt und damit gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen.
2. Die zentralen Entscheidungsgründe des Gerichts
Das OLG Schleswig-Holstein nimmt eine klare Einordnung vor, die für viele Unternehmen rechtlich wegweisend ist. Die wichtigsten Aspekte:
2.1. Verantwortlichkeit nach Art. 4 Nr. 7 DSGVO
Das Unternehmen gilt als Verantwortlicher, da es die E-Mail initiierte und personenbezogene Daten verarbeitete (Name, Adresse, Rechnungsinhalt, Bankdaten).
2.2. Unzureichendes Sicherheitsniveau – Verletzung von Art. 32 DSGVO
Das Gericht stufte die einfache Transportverschlüsselung als nicht ausreichend ein, da sie nur während des Übertragungswegs zwischen den Servern greift – nicht aber beim Versand selbst oder auf Empfängerseite.
Zitat aus der Urteilsbegründung:
„Eine Transportverschlüsselung genügt bei sensiblen, für unbefugte Dritte potenziell lukrativen Daten […] nicht den Anforderungen des Art. 32 DSGVO.“
Das bedeutet konkret: Die Verwendung von Ende-zu-Ende-Verschlüsselung wäre in diesem Fall angemessen gewesen, da damit sichergestellt ist, dass nur der vorgesehene Empfänger den Inhalt entschlüsseln kann.
2.3. Kausalität und Schadensersatzpflicht (Art. 82 DSGVO)
Das Gericht sah in der unzureichenden Absicherung der Kommunikation eine kausale Pflichtverletzung, die den Betrug überhaupt erst ermöglicht hat. Daher sei die Zahlungspflicht erloschen, und das Unternehmen müsse den Schaden tragen.
3. Ende-zu-Ende vs. Transportverschlüsselung: Was ist der Unterschied?
|
Verschlüsselungstyp |
Beschreibung |
Sicherheit |
|
Transportverschlüsselung (TLS) |
Verschlüsselt nur den Transportweg zwischen Servern |
Mittel |
|
Ende-zu-Ende-Verschlüsselung |
Verschlüsselt die Nachricht vom Sender bis zum Empfänger – kein Zugriff durch Dritte oder Server möglich |
Hoch |
Fazit des OLG:
Bei personenbezogenen Daten mit wirtschaftlichem Wert ist die Ende-zu-Ende-Verschlüsselung das gebotene Mittel der Wahl.
4. Was bedeutet das für die Praxis?
4.1. Rechnungsversand: Nicht mehr per ungeschützter E-Mail
Der Versand von Rechnungen mit personenbezogenen Informationen und Zahlungsdaten sollte nicht mehr unverschlüsselt oder nur per TLS erfolgen.
4.2. Alternativen zur klassischen E-Mail
- Verschlüsselungstools wie PGP, S/MIME
- Sichere Kundenportale
- Zwei-Kanal-Kommunikation (z. B. E-Mail + SMS-TAN)
- Versand via zertifizierten Cloud-Dienst
4.3. Vertragliche Regelungen und Hinweise
Informieren Sie Ihre Kunden aktiv über die Risiken des E-Mail-Versands und lassen Sie sich im Zweifel einen Verzicht auf Ende-zu-Ende-Verschlüsselung schriftlich bestätigen (was aber datenschutzrechtlich problematisch sein kann).
5. Was verlangt die DSGVO eigentlich genau?
Art. 32 Abs. 1 DSGVO – Sicherheit der Verarbeitung
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten […] trifft der Verantwortliche geeignete technische und organisatorische Maßnahmen […], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“
Das bedeutet: Unternehmen sind nicht verpflichtet, jede Kommunikation maximal abzusichern, sondern nur so stark, wie es das jeweilige Risiko verlangt.
Aber: Wenn – wie im Urteil – hohe Geldbeträge und leicht manipulierbare Informationen betroffen sind, steigt auch die Pflicht zur Absicherung.
6. Kritik am Urteil: Praxisfern oder wegweisend?
Pro:
- Stärkung des Datenschutzes
- Klare Orientierung für Unternehmen
- Risikominimierung für Verbraucher
Contra:
- Ende-zu-Ende-Verschlüsselung ist im B2C-Bereich oft nicht durchsetzbar (technisches Know-how, Tools fehlen)
- Hoher Umsetzungsaufwand
- DSGVO schreibt keine konkreten Maßnahmen vor – das Urteil geht über den Gesetzestext hinaus
7. Handlungsempfehlungen für Unternehmen
|
Maßnahme |
Warum? |
|
Risikobewertung aller E-Mail-Inhalte |
Um zu entscheiden, wann eine starke Verschlüsselung erforderlich ist |
|
Einführung eines Verschlüsselungssystems (z. B. S/MIME) |
Technische Schutzmaßnahme bei sensiblen Daten |
|
Schulung der Mitarbeiter |
Sensibilisierung für IT-Risiken und DSGVO-Verpflichtungen |
|
Dokumentation der technischen Maßnahmen (TOMs) |
Nachweispflicht bei Prüfungen oder Vorfällen |
|
Vertragliche Vorkehrungen bei Kundenkommunikation |
Transparenz und Absicherung |
Fazit: Wer E-Mails unverschlüsselt versendet, riskiert Haftung
Das Urteil des OLG Schleswig-Holstein setzt einen neuen Maßstab für E-Mail-Kommunikation im geschäftlichen Bereich. Unternehmen müssen prüfen, welche Informationen besonders schutzwürdig sind, und danach ihre Verschlüsselungsstrategie ausrichten.
TLS allein reicht bei sensiblen Daten nicht mehr aus.
Wer das nicht berücksichtigt, muss im Ernstfall mit erheblichen finanziellen und rechtlichen Konsequenzen rechnen.
Unser Tipp als Kanzlei:
Setzen Sie jetzt auf eine DSGVO-konforme Verschlüsselungslösung. Gerne beraten wir Sie zu praxisgerechten und rechtssicheren Maßnahmen für Ihr Unternehmen.
Ansprechpartner
Andere über uns
WEB CHECK SCHUTZ
Gestalten Sie Ihre Internetseite / Ihren Onlineshop rechts- und abmahnsicher.
Erfahren Sie mehr über die Schutzpakete der Anwaltskanzlei Weiß & Partner für die rechtssichere Gestaltung Ihrer Internetpräsenzen.
Cyber-Sicherheit
