Aus Rücksprachen mit Handwerksbetrieben im Kammergebiet der Handwerkskammer Südthüringen sind in letzter Zeit mehrfach Fälle aufgetreten, in welchen es zu Manipulationen der Bankverbindungen in online versendeten Rechnungen im PDF-Format gekommen ist. Auch erfolgte der Versand von Emails mit dem Hinweis auf Änderungen der Bankverbindung der Auftragnehmer, insbesondere in der Zwischenzeit von Auftrag/Bestellung und Rechnungsempfang, welche sich als unwahr herausstellten. Dies führte zu großen finanziellen Schäden, da die falschen Bankkonten nicht pfändbar oder nicht mehr existent sind. Die strafrechtliche Verfolgung blieb oder bleibt oftmals ergebnislos und bedeutet langwierige Prozesse.
Wir empfehlen daher unseren Handwerksbetrieben und den Kunden, insbesondere bei wesentlichen Beträgen, verstärkt die IBAN-Bankdaten vor der Tätigung der Überweisung in den vorliegenden Dokumenten zu prüfen und zu vergleichen oder bei erhaltenen Emails zur Änderung der Bankverbindung eine Rückversicherung beim Versender einzuholen (z.B. auf Webseite des Absenders oder telefonisch).
In diesem Zusammenhang möchten wir auf ein aktuelles Urteil des Oberlandesgerichts (OLG) Schleswig-Holstein aufmerksam machen:
Unternehmen, die Rechnungen per E-Mail versenden, müssen danach künftig genau prüfen, ob eine einfache TLS-Transportverschlüsselung noch ausreicht. Das Gericht sieht insbesondere bei hohen finanziellen Risiken die Notwendigkeit einer Ende-zu-Ende-Verschlüsselung – mit potenziellen Folgen für den gesamten B2C-Bereich.
Der Gegenstand des erst kürzlich veröffentlichten Urteils vom 18. Dezember 2024 (Az. 12 U 9/24) befasst sich mit einem Fall von Rechnungsbetrug im digitalen Geschäftsverkehr. Ein Bauunternehmer hatte für die ordnungsgemäß erbrachte Installation einer Heizungsanlage eine Schlussrechnung von über 15.000 Euro per E-Mail an einen privaten Auftraggeber gesendet. Doch die Rechnung wurde auf dem Weg zum Empfänger von Kriminellen manipuliert. Sie veränderten nicht nur die Bankverbindung, sondern auch die Farbgestaltung und weitere Details des Dokuments. Wie genau es dazu kommen konnte, dass den Auftraggeber eine manipulierte Rechnung erreichte, ließ sich laut Gericht nicht abschließend klären.
Der Auftraggeber bemerkte die Manipulation jedoch nicht und überwies das Geld auf das Konto einer Onlinebank – anstatt an das Bauunternehmen. Daraufhin forderte der Unternehmer die Zahlung erneut ein. Der Auftraggeber weigerte sich jedoch mit der Begründung, dass die Rechnung ungeschützt per E-Mail versandt wurde und er dadurch einen Schaden erlitten habe. Er machte einen Schadensersatzanspruch in gleicher Höhe geltend.
Im Ergebnis:
Das OLG Schleswig-Holstein entschied, dass die ursprüngliche Forderung des Bauunternehmers weiterhin besteht. Die fehlerhafte Überweisung auf die manipulierte Kontoverbindung entbindet den Auftraggeber nicht von seiner Zahlungspflicht. Allerdings sprach das Gericht dem Auftraggeber (Privatkunde) gleichzeitig einen Schadensersatzanspruch in gleicher Höhe gegen das Bauunternehmen zu. Der Grund: Nach Auffassung des Gerichts ist der ungeschützte Versand der Rechnung per E-Mail ein Verstoß gegen die Datenschutz-Grundverordnung (DSGVO), konkret gegen Art. 82, der Betroffenen bei Datenschutzverstößen einen Anspruch auf Schadensersatz einräumt.
Die verwendete Transportverschlüsselung soll, so das Gericht weiter, keinen angemessenen Schutz geboten haben, da die Rechnung durch Dritte manipuliert werden konnte. Es hätte eine Ende-zu-Ende-Verschlüsselung als zusätzliche Sicherheitsmaßnahme eingesetzt werden müssen, um die Vertraulichkeit der übermittelten Daten zu schützen.
Das Urteil zum Nachlesen:
https://www.gesetze-rechtsprechung.sh.juris.de/perma?d=NJRE001598708
Aber:
Auf den E-Mail-Versand von Rechnungen zwischen Unternehmen ist das Urteil des OLG Schleswig-Holstein nicht übertragbar. Hierzu existiert bereits eine frühere Rechtsprechung in einem Urteil des OLG Karlsruhe vom 27. Juli 2023 (Az. 19 U 83/22). In dem Rechtsstreit, der zwei Unternehmen betraf, hatte das Gericht entschieden, dass es keine gesetzlichen Vorgaben für Sicherungsmaßnahmen gibt. Entscheidend seien vielmehr die berechtigten Sicherheitserwartungen des jeweiligen Geschäftsverkehrs und die Zumutbarkeit entsprechender Maßnahmen.