Nach Ansicht des OLG Schleswig-Holstein ist eine reine Transportverschlüsselung beim Versand von geschäftlichen E-Mails mit personenbezogenen Daten zwischen Unternehmer und Kunden bei einem hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr muss eine Ende-zu-Ende-Verschlüsselung erfolgen.
Sachverhalt
Zwei Parteien streiten darüber, ob die Klägerin (erneut) die Zahlung ihrer Werklohnforderung durch die Beklagte verlangen kann, nachdem der Überweisungsbetrag nach Manipulation der Rechnung durch kriminell handelnde Dritte dem Konto eines Unbekannten gutgeschrieben wurde.
Zwischen den Parteien ist unstreitig ein Werkvertrag i. S. d. § 631 BGB in Form eines Bauvertrages zustande gekommen. Die Klägerin hat ihre vertraglich geschuldeten Werkleistungen erbracht und infolge getätigter Abschlagszahlungen war gem. § 641 Abs. 1 Satz. 1 BGB noch eine Vergütung in Höhe von 15.385,78 € nach Stellung einer Schlussrechnung von der Beklagten geschuldet, sowie nach Abnahme des Werkes fällig.
Unstreitig ist ebenso, dass seitens der Beklagten in Bezug auf jene Schlussrechnung eine skonto-geminderte Zahlung in Höhe von 14.924,20 € auf das Konto eines Dritten erfolgt ist.
Auszüge aus dem Gerichtsurteil
Für die Erfüllungswirkung bei Zahlung an einen Dritten genügt es nicht, dass der Schuldner nur gutgläubig meint, auf ein Konto des Gläubigers zu zahlen. Die Leistung an einen Dritten hat vielmehr nur dann erfüllende Wirkung, wenn dieser tatsächlich vom Gläubiger rechtsgeschäftlich ermächtigt ist, die Leistung im eigenen Namen in Empfang zu nehmen oder der Gläubiger dem Schuldner nach §§ 362 Abs. 2, 185 BGB die Ermächtigung erteilt, die Leistung an einen Dritten zu erbringen. Die Leistung an einen nichtberechtigten Dritten - wie hier wegen der Manipulation der Kontodaten - erlangt hingegen grundsätzlich erst dann erfüllende Wirkung, wenn der nicht empfangsbefugte Dritte die Leistung entsprechend den Weisungen des Schuldners an den Gläubiger weiterleitet oder der Gläubiger die Leistungserbringung an den Dritten ausdrücklich oder schlüssig genehmigt. Diese Voraussetzungen sind vorliegend unstreitig nicht gegeben.
Die DSGVO verlangt von Unternehmen, sensible Daten gegen Datenschutzverletzungen zu sichern. Sensible Daten sind z. B. personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden. Als Datenschutzverletzungen werden versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Daten definiert. Um solche Sicherheitsvorfälle zu vermeiden, werden Unternehmen dazu angehalten, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die sichere Verarbeitung personenbezogener Daten zu gewährleisten.
Im vorliegenden Fall hat nach Ansicht des OLG die Klägerin im Zuge der Verarbeitung der personenbezogenen Daten der Beklagen bei Versand der streitgegenständlichen E-Mail mit Anhang gegen die Grundsätze der Art. 5, 24 und 32 DSGVO verstoßen.
Der Verantwortliche hat die Möglichkeit, aber auch die Verpflichtung, nach dem in Art. 5 Abs. 2 DSGVO formulierten und in Art. 24 DSGVO konkretisierten Grundsatz seiner Rechenschaftspflicht darzulegen und zu beweisen, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, um die personenbezogenen Daten entsprechend dem von der Datenschutzgrundverordnung verlangten Sicherheitsniveau vor dem Zugriff Unbefugter zu schützen. Das ist der Klägerin vorliegend nicht gelungen, da das OLG die Transportverschlüsselung, die sie beim Versand der streitgegenständlichen E-Mail verwendet haben will (in Form von SMTP über TLS), nicht für ausreichend und damit auch nicht für „geeignet“ im Sinne der Datenschutzgrundverordnung hält. Es kann damit auch dahinstehen, ob eine solche Transportverschlüsselung tatsächlich erfolgt ist. Das von der Klägerin zum Beweis dafür und für die Frage, ob eine Transportverschlüsselung dem üblichen Sicherungsmaß entspricht oder sogar darüber hinausgeht, angebotene Sachverständigengutachten ist insoweit nicht einzuholen.
in der Datenschutzgrundverordnung ist zwar eine Verschlüsselung nicht zwingend vorgeschrieben. Sie wird jedoch mehrfach im Text der Verordnung erwähnt, jedes Mal als Empfehlung. In Artikel 32 heißt es, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der Risiken und der Schwere der Folgen für die Rechte und Freiheiten natürlicher Personen der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umsetzen müssen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, wozu unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten gehören. Da die DSGVO die Verschlüsselung jedoch nicht zwingend vorschreibt, bietet sie keine Klarheit darüber, wann die Verschlüsselung verwendet werden sollte und welche Standards dabei angewendet werden müssen.
Nach der „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen vom 27.05.2021“, die von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder entwickelt wurde und die Konkretisierung der Vorgaben des Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 Abs. 1 DSGVO zum Ziel hat, sind ausgehend vom Stand der Technik, den typischen Implementierungskosten und deren Verhältnis zu den Risiken einer Übermittlung personenbezogener Daten per E-Mail Anforderungen an die Maßnahmen, die Verantwortliche und Auftragsverarbeiter zur ausreichenden Minderung der Risiken zu treffen haben, zu bestimmen. Die Verantwortlichen und Auftragsverarbeiter sind verpflichtet, die Besonderheiten ihrer Verarbeitungen, darunter insbesondere den Umfang, die Umstände und die Zwecke der vorgesehenen Übermittlungsvorgänge zu berücksichtigen, die ggf. in abweichenden Anforderungen resultieren können.
Danach muss es im Ausgangspunkt heute jedem Unternehmen, das Daten seiner privaten Kunden computertechnisch verarbeitet, bewusst sein, dass der Schutz dieser Daten hohe Priorität – auch beim Versenden von Emails - genießt. Es ist daher zur Überzeugung des Senats auch verpflichtet, diesen Schutz durch entsprechende Maßnahmen so weit wie möglich zu gewährleisten.
Der Europäische Gerichtshof hat die Anforderungen des Art. 32 DSGVO dahingehend ausgelegt, dass die Geeignetheit der vom Verantwortlichen nach diesem Artikel getroffenen technischen und organisatorischen Maßnahmen vor den nationalen Gerichten konkret zu beurteilen ist, wobei die mit der betreffenden Verarbeitung verbunden Risiken zu berücksichtigen sind und zu beurteilen ist, ob Art, Inhalt und Umsetzung dieser Maßnahmen diesen Risiken angemessen sind.
Nach einer Information des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu aktuell möglichen und gebräuchlichen Verschlüsselungsmethoden kommen für den E-Mail-Versand die folgenden Verfahren in Betracht: „Bei E-Mail-Verschlüsselung gibt es grundsätzlich zwei verschiedene Arten: die Punkt-zu-Punkt- beziehungsweise Transportverschlüsselung und die Ende-zu-Ende-Verschlüsselung.“
In der bereits zitierten Orientierungshilfe der Datenschutzkonferenz heißt es weiter zu dem von einem Verarbeiter danach zu verlangenden Schutzniveau, dass sowohl Ende-zu-Ende-Verschlüsselung als auch Transportverschlüsselung für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit der übertragenen Nachrichten mindern. Daher müssten Verantwortliche beide Verfahren in der Abwägung der notwendigen Maßnahmen berücksichtigen. Der durchgreifendste Schutz der Vertraulichkeit der Inhaltsdaten werde durch Ende-zu-Ende-Verschlüsselung erreicht. Ende-zu-Ende-Verschlüsselung schütze nicht nur den Transportweg, sondern auch ruhende Daten; der Einsatz von Transportverschlüsselung biete einen Basis-Schutz und stelle eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. Die Verantwortlichen müssten die Risiken sorgfältig einschätzen, die mit dem Bruch der Vertraulichkeit und Integrität von E-Mail-Nachrichten verbunden seien, die sie versendeten oder gezielt empfingen.
Nach Ansicht des OLG ist eine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die Ende-zu-Ende-Verschlüsselung zurzeit das Mittel der Wahl.
Fundstelle: Urteil des Oberlandesgerichts (OLG) Schleswig-Holstein vom 18.12.2024 (Az. 12 U 9/24) – abrufbar im Internet unter https://www.gesetze-rechtsprechung.sh.juris.de/bssh/document/NJRE001598708
