OLG SH: Reine Transportverschlüsselung von E-Mails nicht ausreichend um Schadenersatz zu vermeiden

Eine interessante Entscheidung liefert jüngst das OLG Schleswig-Holstein, die in die Frage reinspielt, ob es in bestimmten Fälle ausreicht sich hinsichtlich der E-Mail-Sicherheit im digitalen Geschäftsverkehr auf die TLS-Verschlüsselung zu beschränken oder ob generell eine End-zu-End-Verschlüsselung erforderlich ist.

Ein Bauunternehmer hatte für die ordnungsgemäß erbrachte Leistung eine Schlussrechnung über 15.000 Euro per E-Mail an einen privaten Auftraggeber gesendet. Die Rechnung wurde durch Kriminelle auf dem Transportweg manipuliert. Der Auftraggeber bemerkte die Manipulation nicht und überwies den Betrag auf das Konto der Kriminellen anstatt an das Bauunternehmen.
Der Unternehmer forderte eine erneute Zahlung. Der Auftraggeber weigerte sich jedoch mit der Begründung, dass die Rechnung ungeschützt per E-Mail versandt worden sei und er dadurch einen Schaden erlitten habe. Er machte einen Schadensersatzanspruch gem. Art. 82 DSGVO in gleicher Höhe geltend. Das Gericht entschied daraufhin: Unternehmen müssen ein angemessenes Sicherheitsniveau gewährleisten, wenn sie Rechnungen und andere sensible Daten per E-Mail versenden. Nach Ansicht des Gerichts reicht eine reine Transportverschlüsselung nicht aus; vielmehr sei eine Ende-zu-Ende-Verschlüsselung erforderlich. Kommt das Unternehmen dem nicht nach, steht dem Kunden ein Schadensersatzanspruch in Höhe des Rechnungsbetrages zu.

Das Urteil finden sie hier: https://www.gesetze-rechtsprechung.sh.juris.de/bssh/document/NJRE001598708