Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk
 

DSGVO Kundin überweist Werklohn auf Betrüger-Konto: Wer bleibt auf dem Schaden sitzen?

Das Schleswig-Holsteinische Oberlandesgericht (OLG Schleswig) befasste sich in einem Urteil vom 18. Dezember 2024 (Az. 12 U 9/24) mit der Haftung bei unzureichend gesichertem Versand von Rechnungen per E-Mail. Ein Handwerksbetrieb hatte eine Schlussrechnung über 15.000 Euro als PDF-Anhang per E-Mail an eine Kundin gesendet. Diese E-Mail wurde von Dritten abgefangen und manipuliert, sodass die Kundin den Betrag auf ein falsches Konto überwies. ​Der Handwerksbetrieb verlangte von der Kundin jedoch weiterhin Zahlung der 15.000 EUR. Zu Recht?

Urteil des OLG Schleswig

Das OLG Schleswig entschied, dass die Kundin nicht noch einmal zahlen müsse. Zwar wurde die Werklohnforderung des Handwerkbetriebs nicht erfüllt. Jedoch steht der Kundin ein Schadensersatzanspruch gemäß Art. 82 DSGVO in Höhe der getätigten Überweisung zu, den sie der Werklohnforderung entgegenhalten kann.

Der Handwerksbetrieb kann somit von der Kundin nicht die Zahlung verlangen und bleibt auf den Kosten sitzen.

Hintergrund

Art. 82 DSGVO gewährt einen Schadensersatzanspruch im Falle von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO). Im konkreten Fall habe der Handwerksbetrieb beim Versand der E-Mail gegen die Grundsätze der Art. 5, 24 und 32 DSGVO verstoßen.

Der Verantwortliche ist nach dem in Art. 5 Abs. 2 DSGVO verankerten und in Art. 24 DSGVO konkretisierten Grundsatz der Rechenschaftspflicht verpflichtet, darzulegen und nachzuweisen, dass die von ihm ergriffenen Sicherheitsmaßnahmen geeignet waren, die personenbezogenen Daten vor unbefugtem Zugriff in einem der Datenschutz-Grundverordnung entsprechenden Sicherheitsniveau zu schützen. Dies sei dem Handwerkbetrieb im vorliegenden Fall nicht gelungen. Der Senat bewertet die von dem Handwerksbetrieb behauptete Verwendung einer Transportverschlüsselung (SMTP über TLS) beim Versand der streitgegenständlichen E-Mail – deren tatsächliche Anwendung die Beklagte bestreitet – als unzureichend und somit nicht als „geeignet“ im Sinne der DSGVO.

Stattdessen hätte der Betrieb eine Ende-zu-Ende Verschlüsselung nutzen müssen. Damit wäre sichergestellt gewesen, dass nur die Kundin die E-Mail entschlüsseln kann, nicht aber zwischengeschaltete Server oder Dritte.

Fazit

Unternehmen sollten beim Versand von geschäftlichen E-Mails mit personenbezogenen Daten sicherstellen, dass ein geeigneter Schutz im Sinne der DSGVO besteht - insbesondere bei einem hohen finanziellen Risiko durch Verfälschung. Die Transportverschlüsselung (z. B. TLS) reiche laut OLG Schleswig dafür nicht aus, da sie kein Schutz gegen Serverzugriffe oder Man-in-the-Middle-Angriffe biete. Vielmehr sei die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.

Quelle: Urteil des Oberlandesgerichts Schleswig vom 18.12.2024 – 12 U 9/24

Alle Fachbeiträge zeigen

Kauf-Shop-Verbraucher
Handelsrecht
10.07.2026

Neue EU-Etiketten für Gewährleistung und Garantie – Der zweite Streich der EmpCo-Richtlinie

Vom Greenwashing zu den Gewährleistungsetiketten In unserem letzten Beitrag haben wir die weitreichenden Neuerungen der Richtlinie (EU) 2024/825, der sogenannten „EmpCo-Richtlinie", für die Umweltkommunikation beleuchtet: verschärfte Anforderungen an Umweltaussagen, das Aus für kompensationsbasierte Klimaneutralitäts-Werbung und strenge Vorgaben für Nachhaltigkeitssiegel. Doch die EmpCo-Richtlinie erschöpft sich nicht in der Bekämpfung von Greenwashing. Sie verfolgt ein breiteres Ziel: Verbraucherinnen und Verbraucher sollen umfassend in die Lage versetzt werden, informierte Kaufentscheidungen zu treffen. Dazu gehört auch, dass sie ihre Rechte bei mangelhafter Ware kennen und genau hier setzt der zweite große Regelungskomplex der EmpCo an: einheitliche Informationsetiketten über das gesetzliche Gewährleistungsrecht und über freiwillige Herstellergarantien. Die neuen Pflichten treten, ebenso wie die Greenwashing-Vorschriften, am 27. September 2026 in Kraft.

Beitrag lesen
Autos stehen im Stau
Schadensersatzrecht
30.06.2026

Zweitunfall lässt ersten Schadensersatzanspruch unberührt

Wird ein Fahrzeug nach einer ersten Beschädigung vor der Reparatur erneut beschädigt, bleibt der Schadensersatzanspruch aus dem ersten Schadensereignis bei einer fiktiven Abrechnung grundsätzlich unverändert. Das spätere Schicksal der beschädigten Sache ist für die Höhe des bereits entstandenen Ersatzanspruchs grundsätzlich ohne Bedeutung.

Beitrag lesen
Baurecht, Bauvertragsrecht, Architektenrecht, Bau- und Architektenrecht
30.06.2026

Bauüberwachung umfasst auch die Prüfung fremder Ausführungspläne

Übernimmt ein Architekt ausschließlich die Objektüberwachung (Leistungsphase 8 HOAI), beschränkt sich seine Verantwortung nicht auf die Kontrolle der Bauausführung. Wird nach den Ausführungsplänen eines anderen Architekten gebaut, muss der Objektüberwacher diese grundsätzlich auf offensichtliche Mängel überprüfen. Unterbleibt dies und wird ein Planungsfehler umgesetzt, haftet der Bauüberwacher neben dem planenden Architekten für den entstandenen Schaden.

Beitrag lesen