Hacker kaperten und manipulierten die Schlussrechnung über 15.385,78 Euro so, dass sie falsche Kontodaten anzeigte. (Foto: © jiaking1/123RF.com)
Vorlesen:
Ein SHK-Betrieb verschickte seine Rechnung per unverschlüsselter Mail, die von Hackern manipuliert wurde. Er blieb auf seinen Kosten sitzen, nachdem der Kunde an die Betrüger gezahlt hatte. Das entschied das OLG Schleswig.
Unternehmen müssen E-Mail-Rechnungen mit Ende-zu-Ende-Verschlüsselung versenden. Das zeigt ein aktueller Fall des Oberlandesgerichts Schleswig. Cyber-Kriminelle hatten eine E-Mail mit der PDF-Rechnung eines SHK-Betriebs gehackt und seine Kontodaten verändert. Die Kundin überwies den Rechnungsbetrag auf das falsche Konto. Sie habe gegen den Betrieb einen Anspruch auf Schadensersatz nach der DSGVO, den sie der Zahlungsforderung des Handwerkers entgegenhalten konnte, so das Urteil.
Ein SHK-Handwerker verschickte Rechnungen für seine Installationsleistungen jeweils als PDF-Datei per E-Mail an eine Kundin. Hacker kaperten und manipulierten die Schlussrechnung über 15.385,78 Euro so, dass sie falsche Kontodaten anzeigte. Die Kundin überwies den Rechnungsbetrag auf das falsche Konto. Vor Gericht stritt sie mit dem Handwerker, ob sie mit der Überweisung ihren Teil des Vertrages erfüllt habe.
Die offene Forderung des Handwerksbetriebs habe die Kundin mit der Zahlung zwar nicht erfüllt, stellte das Oberlandesgericht (OLG) klar. Zwischen den beiden sei ein Werkvertrag nach § 631 BGB zustande gekommen. Die habe auch seine vertraglich geschuldeten Werkleistungen erbracht und es war nach Abnahme des Werkes noch eine Vergütung in Höhe von 15.385,78 Euro fällig.
Trotzdem müsse die Kundin nicht erneut zahlen, urteilten die Richter. Denn sie habe gegen den Betrieb einen Anspruch auf Schadensersatz aus Art. 82 Abs. 2 DSGVO, den sie der Werklohnforderung entgegenhalten kann.
Betriebsführung
Betriebsführung
Betriebsführung
Der Handwerker habe mit der Rechnungsstellung personenbezogene Daten der Kundin computertechnisch verarbeitet. Dabei hätte er die in Art. 5, 24, und 32 DSGVO enthaltenen Grundsätze beachten müssen. Ein Versand der Rechnung als E-Mail-Anhang genüge diesen Vorgaben nicht.
Die Transportverschlüsselung, die das Unternehmen beim Versand der Mail in Form von SMTP über TLS verwendet habe, sei unzureichend und nicht zum Datenschutz geeignet.
Gerade bei sensiblen oder persönlichen Daten ist nach Ansicht der Richter eine Ende-zu-Ende-Verschlüsselung notwendig, wenn für Kunden durch Hacking ein hohes finanzielles Risiko bestehe. Das Risiko eines Vermögensschadens durch Datenhacking hafte den E-Mail-Rechnungen per se an.
Deshalb fordert das OLG ein proaktives Handeln von den Unternehmen. Den technischen und finanziellen Aufwand müsse auch ein mittelständischer Handwerksbetrieb auf sich nehmen – oder er müsse die Rechnungen eben wie früher per Post verschicken.
Oberlandesgericht Schleswig, Urteil vom 18. Dezember 2024, Az. 12 U 9/24
Die Berater in den Handwerkskammern helfen Ihnen bei Rechtsfragen gerne weiter!
DHB jetzt auch digital!Einfach hier klicken und für das digitale Deutsche Handwerksblatt (DHB) registrieren!
Newsletter
Kommentar schreiben