Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk
 

DSGVO Kundin überweist Werklohn auf Betrüger-Konto: Wer bleibt auf dem Schaden sitzen?

Das Schleswig-Holsteinische Oberlandesgericht (OLG Schleswig) befasste sich in einem Urteil vom 18. Dezember 2024 (Az. 12 U 9/24) mit der Haftung bei unzureichend gesichertem Versand von Rechnungen per E-Mail. Ein Handwerksbetrieb hatte eine Schlussrechnung über 15.000 Euro als PDF-Anhang per E-Mail an eine Kundin gesendet. Diese E-Mail wurde von Dritten abgefangen und manipuliert, sodass die Kundin den Betrag auf ein falsches Konto überwies. ​Der Handwerksbetrieb verlangte von der Kundin jedoch weiterhin Zahlung der 15.000 EUR. Zu Recht?

Urteil des OLG Schleswig

Das OLG Schleswig entschied, dass die Kundin nicht noch einmal zahlen müsse. Zwar wurde die Werklohnforderung des Handwerkbetriebs nicht erfüllt. Jedoch steht der Kundin ein Schadensersatzanspruch gemäß Art. 82 DSGVO in Höhe der getätigten Überweisung zu, den sie der Werklohnforderung entgegenhalten kann.

Der Handwerksbetrieb kann somit von der Kundin nicht die Zahlung verlangen und bleibt auf den Kosten sitzen.

Hintergrund

Art. 82 DSGVO gewährt einen Schadensersatzanspruch im Falle von Verstößen gegen die Datenschutz-Grundverordnung (DSGVO). Im konkreten Fall habe der Handwerksbetrieb beim Versand der E-Mail gegen die Grundsätze der Art. 5, 24 und 32 DSGVO verstoßen.

Der Verantwortliche ist nach dem in Art. 5 Abs. 2 DSGVO verankerten und in Art. 24 DSGVO konkretisierten Grundsatz der Rechenschaftspflicht verpflichtet, darzulegen und nachzuweisen, dass die von ihm ergriffenen Sicherheitsmaßnahmen geeignet waren, die personenbezogenen Daten vor unbefugtem Zugriff in einem der Datenschutz-Grundverordnung entsprechenden Sicherheitsniveau zu schützen. Dies sei dem Handwerkbetrieb im vorliegenden Fall nicht gelungen. Der Senat bewertet die von dem Handwerksbetrieb behauptete Verwendung einer Transportverschlüsselung (SMTP über TLS) beim Versand der streitgegenständlichen E-Mail – deren tatsächliche Anwendung die Beklagte bestreitet – als unzureichend und somit nicht als „geeignet“ im Sinne der DSGVO.

Stattdessen hätte der Betrieb eine Ende-zu-Ende Verschlüsselung nutzen müssen. Damit wäre sichergestellt gewesen, dass nur die Kundin die E-Mail entschlüsseln kann, nicht aber zwischengeschaltete Server oder Dritte.

Fazit

Unternehmen sollten beim Versand von geschäftlichen E-Mails mit personenbezogenen Daten sicherstellen, dass ein geeigneter Schutz im Sinne der DSGVO besteht - insbesondere bei einem hohen finanziellen Risiko durch Verfälschung. Die Transportverschlüsselung (z. B. TLS) reiche laut OLG Schleswig dafür nicht aus, da sie kein Schutz gegen Serverzugriffe oder Man-in-the-Middle-Angriffe biete. Vielmehr sei die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.

Quelle: Urteil des Oberlandesgerichts Schleswig vom 18.12.2024 – 12 U 9/24

Alle Fachbeiträge zeigen

Autos stehen im Stau
Schadensersatzrecht
30.06.2026

Zweitunfall lässt ersten Schadensersatzanspruch unberührt

Wird ein Fahrzeug nach einer ersten Beschädigung vor der Reparatur erneut beschädigt, bleibt der Schadensersatzanspruch aus dem ersten Schadensereignis bei einer fiktiven Abrechnung grundsätzlich unverändert. Das spätere Schicksal der beschädigten Sache ist für die Höhe des bereits entstandenen Ersatzanspruchs grundsätzlich ohne Bedeutung.

Beitrag lesen
Baurecht, Bauvertragsrecht, Architektenrecht, Bau- und Architektenrecht
30.06.2026

Bauüberwachung umfasst auch die Prüfung fremder Ausführungspläne

Übernimmt ein Architekt ausschließlich die Objektüberwachung (Leistungsphase 8 HOAI), beschränkt sich seine Verantwortung nicht auf die Kontrolle der Bauausführung. Wird nach den Ausführungsplänen eines anderen Architekten gebaut, muss der Objektüberwacher diese grundsätzlich auf offensichtliche Mängel überprüfen. Unterbleibt dies und wird ein Planungsfehler umgesetzt, haftet der Bauüberwacher neben dem planenden Architekten für den entstandenen Schaden.

Beitrag lesen
Verwaltungsrecht
30.06.2026

Reise scheitert wegen behördlichen Fehlers: Kommune haftet auf Schadensersatz

Versäumt eine Passbehörde nach dem Wiederauffinden eines zuvor als verloren gemeldeten Reisepasses die Löschung der Fahndungsausschreibung zu veranlassen und scheitert deshalb eine Auslandsreise, haftet die zuständige Kommune im Wege der Amtshaftung auch für den bereits gezahlten Reisepreis. Bürger dürfen darauf vertrauen, dass ein gültiger deutscher Reisepass seine Funktion als international anerkanntes Reisedokument erfüllt.

Beitrag lesen