Ein aktuelles Urteil des Oberlandesgerichts (OLG) Schleswig sorgt für Diskussionen: Die Transportverschlüsselung (TLS) wurde bei einer Rechnungszustellung per E-Mail im B2C-Bereich als nicht ausreichend erachtet.
Müssen nun alle Rechnungen an Privatverbraucher verschlüsselt werden?
Nein, nicht grundsätzlich. Ein genauerer Blick auf den Fall hilft einzuordnen, wann E-Mail-Verschlüsselung auch im B2C notwendig ist:
• Ein Bauunternehmen hatte eine Rechnung über ca. 15.000 EUR per E-Mail an einen Verbraucher versendet, ohne besondere Sicherheitsmaßnahmen nachweisen zu können. Sogar die TLS-Sicherung wurde angezweifelt, und der Nachweis ist schwer zu erbringen.
• Unbekannte Dritte manipulierten die E-Mail mit der Rechnung und fügten eine andere Bankverbindung ein. Der Kunde überwies den Betrag auf dieses Konto.
Das OLG Schleswig urteilte im Dezember 2024, dass eine reine Transportverschlüsselung beim Versand von geschäftlichen E-Mails mit personenbezogenen Daten bei hohem finanziellem Risiko nicht ausreichend ist und keinen „geeigneten“ Schutz im Sinne der DSGVO darstellt. Die End-to-End-Verschlüsselung sei zurzeit das Mittel der Wahl.
Die rechtliche Einordnung des Urteils zur mit TLS ungenügend gesicherten E-Mail:
• Die Zahlung des Kunden an das Bauunternehmen ist weiterhin offen, vgl. § 362 BGB.
• Das Bauunternehmen schuldet dem Kunden Schadensersatz nach Art. 82 DSGVO in Höhe der Rechnungssumme, aufgrund des mangelnden Schutzes der Daten und des Kausalzusammenhangs zwischen Verstoß und Schaden.
