Recht & Verwaltung21 März, 2025

Hohes Risiko bei Versendung von Rechnungen per E-Mail ohne Ende-zu-Ende Verschlüsselung

Bei der Abrechnung größerer Beträge besteht ein hohes Risiko, wenn man bei der Versendung von Rechnungen per E-Mail keine Ende-zu-Ende-Verschlüsselung verwendet. Dies zeigt ein aktuelles Urteil des OLG Schleswig vom 18.12.2024 (Az.: 12 U 9/24, die Revision gegen das Urteil wurde zugelassen).

Claus Rückert

Blick in den Fall

Ein Bauunternehmer stellt eine Rechnung über eine Werklohnforderung in Höhe von 15.385,78 €. Die Rechnung versendet er als pdf-Datei per E-Mail. Die E-Mail wird mit der sog. Transportverschlüsselung verschlüsselt.

Bei der Transportverschlüsselung wird zwischen dem E-Mail-Programm (Client) und dem E-Mail-Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll „Transport Layer Security“ (TLS) verschlüsselt. Dies wird inzwischen von den allermeisten E-Mail-Anbietern unterstützt. Alle Daten, die zwischen dem Client und dem E-Mail-Server ausgetauscht werden, sind damit während des Versands verschlüsselt.

E-Mails werden beim Versand allerdings über unterschiedliche Knotenpunkte im Web zwischen den Servern der E-Mail-Anbieter zum Empfänger weitergeleitet. Sie sind in diesen Punkten nicht verschlüsselt und dazwischen nicht immer. Sowohl beim E-Mail-Anbieter als auch an den Knotenpunkten des Versands liegt die E-Mail im Klartext vor.

Internetkriminelle können einen „Man-in-the-Middle-Angriff“ durchführen, der auf diese Punkte ausgerichtet ist. Bei diesem Angriff platziert sich ein Angreifer „in der Mitte“ der Kommunikation zwischen zwei Kommunikationspartnern und kann ohne deren Wissen Daten (z.B. E-Mails) abfangen, kopieren oder verändern.

Tatsächlich fängt ein unbefugter Dritter die E-Mail des Bauunternehmers ab. Er manipuliert die auf der Rechnung angegebene Kontoverbindung.

Aufgrund dessen überweist der Kunde den Rechnungsbetrag nicht an den Bauunternehmer, sondern an den unbefugten Dritten.

Der Bauunternehmer verlangt von seinem Kunden trotzdem die Zahlung des offenen Rechnungsbetrages. Der Kunde wendet ein, dass eine Transportverschlüsselung nicht ausreichend gewesen sei. Der Bauunternehmer hätte nach der Datenschutzgrundverordnung (DSGVO) für den Versand der Rechnung eine Ende-zu-Ende-Verschlüsselung nutzen müssen. Daher hält der Kunde der offenen Rechnungsforderung des Bauunternehmers einen Schadensersatzanspruch nach Art. 82 DSGVO entgegen.

Die OLG-Entscheidung

Das OLG Schleswig weist die Klage des Bauunternehmers ab. Angesichts des hohen Rechnungsbetrages von ca. 15.000 € und des damit verbundenen finanziellen Risikos wäre der Bauunternehmer nach der DSGVO verpflichtet gewesen, die E-Mail mit einer sog. Ende-zu-Ende-Verschlüsselung zu verschlüsseln. Im Unterschied zur Transportverschlüsselung werden bei der Ende-zu-Ende-Verschlüsselung nicht die einzelnen Abschnitte des Versandkanals verschlüsselt, sondern die E-Mails selbst.

Nur Sender und Empfänger können die E-Mail im Klartext lesen, wenn sie über den notwendigen Schlüssel verfügen. Weder die beteiligten E-Mail-Anbieter können die E-Mail lesen, noch haben potenzielle Angreifer die Möglichkeit, die E-Mails unterwegs zu lesen oder zu manipulieren. Damit erfüllt nur diese Technik die drei Ziele der Verschlüsselung im Internet: Vertraulichkeit, Authentizität, Integrität.

Aufgrund dessen war eine Verschlüsselung mit der Transportverschlüsselung nicht ausreichend. Der Kunde hat daher einen Schadensersatzanspruch nach Art. 82 DSGVO, die er dem Rechnungsanspruch entgegenhalten kann. Im Ergebnis muss der Kunde daher nicht ein zweites Mal zahlen.

Praktische Bedeutung

Die DSGVO gilt nicht nur gegenüber Verbrauchern, sondern auch zwischen Unternehmen. Das Urteil des OLG Schleswig zeigt, dass Verstöße gegen die DSGVO unabhängig von Bußgeldern auch weitere finanzielle Risiken nach sich ziehen können.

Derzeit steht eine höchstrichterliche Klärung aus, wann bei der Versendung von Rechnungen eine Transportverschlüsselung nicht mehr ausreicht (das OLG Schleswig hat daher die Revision gegen das Urteil zugelassen). Bis dahin sollten Unternehmer davon ausgehen, dass jedenfalls bei höheren Rechnungsbeträgen eine Transportverschlüsselung von E-Mails keinen ausreichenden Schutz gewährt.

Bildnachweis: peopleimages.com/stock.adobe.com

RA Claus Rückert

RA Claus Rückert

Rechtsanwalt und Fachanwalt für Bau- und Architektenrecht bei Ulbrich § Kollegen in Würzburg

Full-Hero-Content-Hub-Baurecht
Aktuelles im Baurecht
Aktuelle Nachrichten rund um das Thema Bau- und Vergaberecht.
Mehr erfahren
Weitere Themen

Bauvertragsrecht nach VOB und BGB, 6. Auflage 2024

Vygen / Joussen
Mehr erfahren

Neuigkeiten aus dem Bau- und Vergaberecht

  • Alles Wichtige zum Direktauftrag im Vergaberecht
    Artikel
    Recht & Verwaltung
    Januar 20, 2025

    Alles Wichtige zum Direktauftrag im Vergaberecht

    Direktaufträge: Schnelle und unkomplizierte Vergabe von Aufträgen für öffentliche Auftraggeber
    Mehr erfahren
  • Abrechnung eines gekündigten Pauschalpreisvertrages
    Artikel
    Recht & Verwaltung
    Oktober 21, 2024

    Abrechnung eines gekündigten Pauschalpreisvertrages

    Ein aktuelles BGH-Urteil befasst sich mit der Darlegungs- und Beweislast im Prozess des Auftraggebers gegen den Bürgen.
    Mehr erfahren
  • Kalkulationsfreiheit der Bieter und ihre Grenzen
    Artikel
    Recht & Verwaltung
    Oktober 17, 2024

    Kalkulationsfreiheit der Bieter und ihre Grenzen

    Bieter haben bei Vergabeverfahren grundsätzlich Freiheit bei der Kalkulation ihres Angebots, sollten jedoch bestimmte Grenzen beachten.
    Mehr erfahren
  • Herausforderungen des Bauinsolvenzrechts
    Artikel
    Recht & Verwaltung
    Oktober 08, 2024

    Herausforderungen des Bauinsolvenzrechts

    Nur mit einem fundiertem Verständnis des Bauinsolvenzrechts lassen sich Risiken frühzeitig erkennen und gezielt entgegensteuern.
    Mehr erfahren
Back To Top