Wie viel Verschlüsselung brauchen E-Mails? : Aktuelle Gerichtsurteile zu Schadenersatzansprüchen bei unzureichender E‑Mail-Absicherung

Ferner konnte die Beklagte unter Rückgriff auf einen Zeugen glaubhaft darlegen, dass die Systeme der Rechnungsstellerin „gehackt“ worden seien und die E‑Mail-Rechnung wohl bereits manipuliert versendet wurde. Wenngleich diese Argumente zugunsten der Rechnungsempfängerin sprechen, entschied das Landgericht gleichwohl gegen sie. So heißt es unter anderem im Urteilstext: „Dass E‑Mails ein unsicherer Übertragungsweg und anfällig für externe Angriffe sind, ist seit Jahren allgemein bekannt.“

Darauf aufbauend führt das Gericht gegen den von der Beklagten vorgetragenen Dolo-agit-Einwand (vgl. https://de.wikipedia.org/wiki/Dolo_agit) aus: „Vorliegend ist die Verursachung für die fehlerhafte Überweisung ganz erheblich aufseiten der Beklagten verortet, die deutlichen Hinweisen auf die Manipulation der erhaltenen E‑Mail nicht nachging. Entscheidend ist, dass die … vorgelegte E‑Mail deutliche Anhaltspunkte für eine Manipulation durch Dritte erkennen lässt. So sind die Umlaute in der E‑Mail nicht als Umlaut dargestellt, sondern als HTML-Sonderzeichen, wie z.B. ‚Ü‘ für ‚Ü‘ oder ‚ ‘ für ein sog. ‚geschütztes Leerzeichen’.“

Zugunsten der Rechnungserstellerin als Klägerin wurde also geurteilt, dass diese trotz vorliegend nachweislicher Manipulation keine weitergehenden Pflichten nach der EU Datenschutzgrundverordnung (DSGVO) träfen. Umgekehrt musste die Rechnungsempfängerin als Beklagte gegen sich wirken lassen, trotz erkennbarer Manipulationen auf ein bis dato zur Rechnungsstellerin nicht bekanntes Bankkonto geleistet zu haben – im Endergebnis zahlt sie also nun zweimal.

Demgegenüber entschied das OLG Schleswig – ebenfalls rechtskräftig – beinahe gegensätzlich (OLG Schleswig, Urteil vom 18. Dezember2024, Az.  12 U 9/24): In einem ähnlichen Fall wurde der Schlussrechnungsbetrag einer (Bauvertrags-)Werklohnrechnung von abgerundet 15.000 € durch einen privaten Kunden nicht auf das Konto des Werkunternehmers, sondern auf das Bankkonto eines unbekannten Dritten überwiesen, nachdem die vom Werkunternehmer per E‑Mail versandte Rechnung ebenfalls unbefugt verändert worden war.

Klar ist insoweit auch hier, dass die Überweisung an einen Dritten nicht zur Erfüllung einer Zahlungsverpflichtung im Sinne von § 362 Abs.  2 BGB gegenüber dem Gläubiger als Rechnungssteller wirken kann – es könne aber gegenläufig der Dolo-agit-Einwand auf Basis von § 242 BGB dann greifen, wenn ein Schadenersatzanspruch bestünde. Ein solcher könne zu diesem Fall aus Art. 82 DSGVO resultieren (https://dsgvo-gesetz.de/ art-82-dsgvo/). Dafür reiche allein ein unbefugter Zugriff eines Dritten auf personenbezogene Daten zulasten des Verantwortlichen im Sinne der DSGVO – vorliegend dem Gläubiger als Rechnungssteller – nicht aus.

Abweichend zur vorbeschriebenen Entscheidung des LG Rostock wird sodann jedoch festgehalten: „Umgekehrt ist nach der Rechtsprechung des EuGH der Verantwortliche aber auch nicht gem. Art. 82 Abs. 3 DSGVO von seiner nach Art. 82 Abs. 1 und 2 DSGVO bestehenden Pflicht zum Ersatz des einer Person entstandenen Schadens allein deswegen befreit, weil dieser Schaden die Folge eines unbefugten Zugangs zu personenbezogenen Daten durch einen Dritten ist […] Vielmehr hat der Verantwortliche die Möglichkeit, aber auch die Verpflichtung, nach dem in Art. 5 Abs. 2 DSGVO formulierten und in Art. 24 DSGVO konkretisierten Grundsatz seiner Rechenschaftspflicht darzulegen und zu beweisen, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, um die personenbezogenen Daten entsprechend dem von der DSGVO verlangten Sicherheitsniveau vor dem Zugriff Unbefugter zu schützen […]“

Letztlich gelangte das OLG Schleswig zum Schluss: „Nach Ansicht des Senats ist danach eine reine Transportverschlüsselung beim Versand von geschäftlichen E‑Mails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen ‚geeigneten‘ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.“

Weil gegenüber dem Verantwortlichen – also vorliegend dem Rechnungsaussteller – nach Art. 82 Abs. 3 DSGVO grundsätzlich das Verschulden vermutet wird, muss dieser sich exkulpieren können, wenn er sich der (hier: Schadenersatz-)Haftung entziehen möchte. Dazu hieß es im Urteil: „Ist bei dem Versand von geschäftlichen E‑Mails kein ausreichendes Schutzniveau zur Sicherung der personenbezogenen Daten des Kunden eingehalten, obliegt dem Verantwortlichen der Beweis dafür, dass der dem Kunden entstandene Schaden nicht durch sein Fehlverhalten entstanden ist […]“ Dies gelang dem Gläubiger als Rechnungsaussteller vorliegend nicht, weshalb der Kunde nicht nochmals zahlen musste.

Wertende Zusammenfassung

Zwei ähnliche Sachverhalte wurden also gegenläufig – jeweils rechtskräftig – abgeurteilt. Für Praktiker ist mithin nur schwer im Voraus kalkulierbar, wann man womöglich als Rechnungssteller bei Manipulationen durch Dritte doch noch einen verbleibenden Anspruch auf Zahlung haben mag oder wann der Rechnungsempfänger nicht nochmals leisten muss. Alleine angesichts dieses unabwägbaren Risikos sollte man – sowohl aus der Perspektive des Rechnungsstellers als auch des Empfängers – auf einen bloß transportverschlüsselten E‑Mail-Einsatz verzichten. Wenn man sich denn überhaupt auf einen bloßen E‑Mail-Einsatz verlassen will, stellt eine Ende-zu-Ende-Verschlüsselung heutzutage das Mittel der (rechtssicheren) Wahl dar.

Anhand der recht nahe zusammenliegenden Datumsangaben der Entscheidungen scheinen solche Fallkonstellationen in der Praxis nicht gerade selten anzutreffen zu sein – zumal nur ein Bruchteil solcher Sachverhalte rechtshängig werden dürfte. In der Folge erscheint es mithin auch nicht gänzlich unwahrscheinlich, Opfer solcher Manipulationen zu werden – sei es, dass als Rechnungssteller eine Forderung wegen gegenläufig geltend gemachtem Schadenersatz ausfällt, oder weil man als Rechnungsempfänger doppelt leisten muss. Verzinsungspflichten sowie Gerichts- und Anwaltskosten schlagen dabei noch zusätzlich zu Buche.

Dass selbst zu (jedenfalls vermeintlich) wenig sensiblen E‑Mails immer eine Transportverschlüsselung gewährleistet sein muss, sollte außer Frage stehen. Hieraus ergeben sich in der Folge aber auch Dokumentations- und Begründungspflichten im Hinblick auf den Ausschluss höherer Sicherheitsanforderungen. Als Folgefrage drängt sich daher auf, welche Version der Transportverschlüsselung konkret den heutigen Mindeststandard bestimmt.

In diesem Sinne werden die bereits 2021 vom Autor in [1] dargestellten Handlungsempfehlungen eindrücklich verfestigt:

E‑Mail-Alternativen bevorzugen

Auf Basis einer strukturellen Analyse erscheint es wesentlich sinnvoller, zu den konkreten Aufgaben und zugehörigen Abläufen nebst interner Vorgaben zu ermitteln, in welchen Fällen überhaupt auf eine E‑Mail-Kommunikation zurückzugreifen ist.

Dies gilt es für Behörden besonders zur unverändert fortgeführten Umsetzungsphase zum Onlinezugangsgesetz zu berücksichtigen. So wird bundesweit hinsichtlich der notwendig elektronischen (besser: digitalen) Aktenführung von Behörden gerade nicht auf individuelle E‑Mail-Kommunikation abgestellt. Vielmehr hat das Verwaltungshandeln grundsätzlich über Verwaltungsportale zu erfolgen (vgl. dazu beispielhaft § 12 EGovG RP, in anderen Bundesländern wie auf Bundesebene ähnlich). Dann erhält der Bürger* – nach dem Vorbild von ELSTER für die Finanzämter – lediglich noch eine (automatisierte) E‑Mail, dass im jeweiligen Verwaltungsportal eine neue Nachricht (oft: ein Bescheid) für ihn vorläge, die er selbst durch geschützte Einwahl herunterladen kann. Vermehrt kommen solche Verfahren auch für Unternehmen in die Umsetzung – beispielsweise zum digitalen Gewerbesteuerbescheid.

Diese Vorgehensweise stellt das derzeit praktikable Optimum dar, da sie datenschutzrechtlich sauber ausgestaltet ist und überdies die jeweilige Behörde oder Organisation einen konkreten Zugangsnachweis erhält (entgegen z.B. der Viertagesfiktion bei postalischem Briefversand). Auch für die notwendig kommende digitale Bürgerakte (mit all ihren internen Hierarchieläufen im Hintergrund) ist diese Kommunikationsschiene am einfachsten systemtechnisch abzubilden.

Es gilt also – auch beim Einsatz durch Unternehmen – vorneweg zu klären, in welchen verbleibenden Ausnahmefällen überhaupt noch auf eine individuelle E‑MailKommunikation abzustellen ist, weil eine Abdeckung über ein Verwaltungs-/Nutzerportal nicht möglich erscheint. Dies entspricht insoweit auch der Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E‑Mail“ der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI, [2]). Danach hat stets eine risikogewichtete Entscheidung zur individuellen Kommunikation zu erfolgen: „Können die Anforderungen an eine sichere Übermittlung per E‑Mail nicht erfüllt werden, so muss ein anderer Kommunikationskanal gewählt werden.“

Nutzung von Cloud-Ressourcen

Für verbleibende inhaltsgewichtige E‑Mail-Kommunikation auf individueller Basis empfiehlt sich, sensible Daten so aus der E‑Mail auszulagern, dass diese letztlich inhaltsleer bleibt.

Beispielsweise verfügen etliche Organisationen heutzutage über ihre Datenzentralen oder Dienstleister über eigene Cloudlösungen. Die begehrten Informationen wären dann im individuellen Kommunikationsvorgang in diese Cloud einzustellen. Anfragende Bürger oder Unternehmen erhalten nachfolgend lediglich eine E‑Mail, dass unter Zugang XY die begehrten Informationen bereitstehen, zu deren Einwahl sie auf gleichfalls zu sicherndem Kanal ein individuelles Passwort erhalten.

Dies ist natürlich nicht so bequem, wie alles gleich per (unverschlüsselter) E‑Mail zu übermitteln. Selbst nach dieser Variante ist gleichwohl auf die qualifiziert obligatorische Transportverschlüsselung (nach je aktuellem Versionsstand) abzustellen. Qualifiziert meint insoweit, dass aktive Angriffe von Dritten auf der Übermittlungsstrecke des Netzwerkverkehrs durch gewisse Sicherheitsstandards (bes. gem. BSI TR-02102-2, [3]) ausgeschlossen werden. Dazu liefert die erwähnte Orientierungshilfe [2] ebenfalls belastbare Ausführungen.

Umfangreiche Rechtsrisiken

Zu verbleibenden Fällen gänzlich individualisierter E‑Mail-Kommunikation gebieten jedoch alleine schon die Mindestanforderungen zur Informationssicherheit diesen Mehraufwand. Wichtig ist jedenfalls im Behördenumfeld, dass dazu – gerade auch aus der Warte des Mitarbeiterschutzes – eindeutige Dienstanweisungen bestehen, wie man sich in Bezug auf die digitale Kommunikation zu verhalten ist. In Unternehmen wäre das intern vergleichbar eindeutig zu reglementieren.

Schließlich können sensible Daten in unzureichend gesicherten E-Mails neben wirtschaftlichen Folgen auch Datenschutzverstöße oder gar strafrechtliche Konsequenzen nach sich ziehen: Exemplarisch nennenswert sind im Behördenumfeld beispielsweise das Abgabengeheimnis und zugehörig dem Amtsträger bekannt gewordene Informationen (§ 3 Abs. 1 Nr. 1 KAG RP i. V. m. § 30 AO) oder das Sozialgeheimnis (§ 35 SGB I sowie §§ 67ff . SGB X).

Darüber hinaus ist aber auch ganz praktisch das weite Aufgabenspektrum der Informationssicherheit erfasst, denn – wie auch immer – abgegriff ene oder manipulierte E-Mails stellen ein unverändert hohes Sicherheitsrisiko dar (etwa hinsichtlich Phishing, Ransomware etc.). Auch aufgrund der ganz praktischen Anforderungen der Informationssicherheit empfi ehlt es sich somit, eine technisch zumindest einmalig aufwendigere Ende-zu-Ende-Verschlüsselung zu etablieren – jedenfalls mit regelmäßigen Kommunikationspartnern.

Ende-zu-Ende-Verschlüsselung auch in Teilsegmenten wirksam

Wo beispielsweise ein großer Medikamentenhersteller alleine zum Hauptstandort mehr als 600 Zulieferer im Bestand führt, wird sich praktisch womöglich nicht mit all diesen durchgängig eine Ende-zu-Ende-Verschlüsselung nach eigenen Vorgaben durchsetzen lassen (zumal große Zulieferer ggf. abweichende Standards bevorzugen – gerade im internationalen Austausch). Wenn es aber nach dem Pareto-Prinzip gelingt, mit den 80 % relevantesten Zulieferern entsprechende Lösungen zu realisieren, ist viel gewonnen. Alleine dadurch könnte man viel Aufwand bei der bisherigen Eingangskontrolle einsparen – Ressourcen, die sich in der Folge gezielt zur erhöhten Kontrolle auf Anzeichen von Manipulation (wie etwa vom Landgericht Rostock gefordert) für lediglich transportverschlüsselte Kommunikation mit den übrigen 20 % der Zulieferer einsetzen ließen.

Fazit

Die aktuellen Urteile liefern neuerlich hervorragende Anstöße, um strukturelle Vorgaben zu Kommunikationskanälen auf Basis aktueller technischer Möglichkeiten sowie rechtlicher und wirtschaftlicher Vorgaben zu aktualisieren.

Und zum Schluss darf der Hinweis nicht fehlen, Risiken auch strategisch dadurch zu reduzieren, dass man sich Datenschutz-Prinzipien generell (ungeachtet etwaiger rechtlicher Verpfl ichtungen) zunutze macht – allem voran: den Grundsatz der Datenminimierung als eigene Leitmaxime zu etablieren (vgl. [3]). Frei nach dem Motto: Personenbezogene Daten – oder weitergefasst: sensible Informationen generell –, die mangels Notwendigkeit im Einzelfall gar nicht erst erhoben werden, können auch nicht abhanden kommen oder manipuliert werden. Dies führt schon per se zur Aufwandsminimierung und weitergehend gegebenenfalls auch zum Ausschluss von Haftungsgefahren.

Ralf Klomfaß ist Dipl.-Verwaltungsbetriebswirt (FH), Diplom-Jurist (Uni Mainz), Master des Wirtschaftsrechts (Uni Köln, LL. M.) sowie Leiter der Abteilung für Verwaltungsprüfungen der Landeshauptstadt Mainz. Eine seiner Schwerpunkttätigkeiten bildet die Revision der Informationssicherheit.

Literatur

_{[1] Ralf Klomfaß, TLS: Notwendig, aber hinreichend?, 2021#3, S. 70, www.kes-informationssicherheit.de/print/titelthema-aus-weiterbildung-fuerdie-cyber-security/tls-notwendig-aber-hinreichend/ (<kes>+)}

_{[2] Konferenz der unabhängigen Datenschutzaufsichtsbehördendes Bundes und der Länder (DSK), Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail, Juni 2021, www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/Orientierungshilfen/OH_Daten-per-E-Mail.html}

_{[3] Ralf Klomfaß, Der Grundsatz der Datenminimierung vor Ano- beziehungsweise Pseudonymisierung, Verwaltungsrundschau – VR, 71.  Jahrgang 2025, Heft  6, S.  181, https://beck-online.beck.de/?vpath=bibdata%2Fzeits%2FVR%2F2025%2Fcont%2FVR%2e2025%2eH06%2ehtm (kostenpflichtig)}