Rechnungen einfach per E-Mail verschicken? Das kann teuer werden. Ein aktuelles Urteil des OLG Schleswig vom 18. Dezember 2024 (Az. 12 U 9/24) zeigt, dass mangelnde IT-Sicherheit beim E-Mail-Versand richtig ins Geld gehen kann. Was war passiert? Eine Kundin überwies mehr als 15.000 Euro an Betrüger, nachdem diese eine per E-Mail versandte Rechnung abgefangen und manipuliert hatten. Das Gericht stellte klar: Eine einfache Transportverschlüsselung reicht nicht aus, um sensible Daten zu schützen – und sah darin einen klaren Verstoß gegen die DSGVO.

Der Fall im Detail

Ein Handwerksbetrieb schickte seiner Kundin die Schlussrechnung über 15.385,78 Euro per E-Mail. Betrüger fingen die Mail ab, änderten die Bankverbindung und leiteten die manipulierte Rechnung weiter. Die nichtsahnende Kundin überwies den Betrag auf das falsche Konto. Als der Handwerksbetrieb die Zahlung anmahnte, weigerte sich die Kundin, erneut zu zahlen – schließlich hatte sie den Betrag bereits überwiesen.

Das OLG Schleswig gab der Kundin Recht: Der Betrieb hatte durch unzureichende E-Mail-Sicherung gegen die DSGVO verstoßen. Die Richter betonten, dass die eingesetzte Transportverschlüsselung nicht ausreichte. Bei Rechnungen mit hohen Beträgen seien stärkere Schutzmaßnahmen nötig – etwa eine Ende-zu-Ende-Verschlüsselung oder alternative Übertragungswege.

Kontroverse Diskussionen

Das Urteil sorgt für Gesprächsstoff. Einige halten die Entscheidung für überzogen, da die DSGVO keine spezifischen Verschlüsselungsmethoden vorschreibt und Transportverschlüsselung oft als Standard gilt. Zudem könnte eine verpflichtende Ende-zu-Ende-Verschlüsselung im B2C-Bereich die Kommunikation verkomplizieren – nicht alle Kunden sind technisch entsprechend ausgestattet.

Interessant: Das OLG Karlsruhe hat in einem ähnlichen Fall (Urteil vom 27. Juli 2023, Az. 19 U 83/22) anders entschieden. Dort sah man keine spezifischen gesetzlichen Vorgaben für E-Mail-Sicherheit im Geschäftsverkehr und keine Pflicht zur Ende-zu-Ende-Verschlüsselung.

Da die Revision zugelassen wurde, könnte bald der Bundesgerichtshof (BGH) eine einheitliche Linie vorgeben. Wir bleiben dran.

Was bedeutet das für Ihr Unternehmen?

Unabhängig von der juristischen Debatte verdeutlicht der Fall die Bedeutung angemessener IT-Sicherheitsmaßnahmen beim digitalen Rechnungsversand. Dies ist keine optionale, sondern eine notwendige Vorsichtsmaßnahme. Hier unsere Empfehlungen:

• Alternativen prüfen: Unsicher? Vielleicht ist der klassische Postweg oder ein gesichertes Online-Portal die bessere Option für wichtige Rechnungen.
• Überprüfen Sie Ihre Sicherheitsmaßnahmen: Entsprechen Ihre aktuellen Verschlüsselungsmethoden den Sicherheitsanforderungen?
• Ende-zu-Ende-Verschlüsselung einführen: Besonders bei sensiblen Daten oder hohen Rechnungsbeträgen bietet diese Methode extra Schutz.
• Schulen Sie Ihr Team: Machen Sie Ihre Mitarbeiter fit für potenzielle Risiken und sichere Kommunikationswege.

Cybersicherheit wird immer wichtiger

Proaktive Maßnahmen und aktuelle Sicherheitsstandards helfen, das Risiko von Cyberangriffen zu minimieren. Das ist besonders wichtig, da die Bedrohung gerade für kleine und mittlere Unternehmen (KMU) ständig zunimmt.

Laut einer Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) wurden im ersten Halbjahr 2024 vermehrt massive DDoS-Angriffe registriert, die auch KMU treffen. Bei solchen „Distributed Denial of Service“-Angriffen wird ein Server oder eine Website mit einer Flut von automatisierten Anfragen überlastet, bis sie zusammenbricht und nicht mehr erreichbar ist. Dies kann zu erheblichen Umsatzeinbußen und Reputationsschäden führen. Zudem sind Ransomware-Angriffe auf kleinere Unternehmen und Kommunen weit verbreitet – oft wegen mangelhafter Schutzmaßnahmen.

Unser Fazit: Der Fall zeigt, wie wichtig es ist, die eigene IT-Sicherheitsstrategie regelmäßig zu überprüfen und anzupassen. So werden nicht nur gesetzliche Anforderungen erfüllt, sondern auch teure Folgen von Sicherheitslücken vermieden.

Bildquelle: Bild generiert mit DALL·E