Tatsache ist, dass die Datenschutzgrundverordnung (DSGVO) und auch kein anderes Datenschutzgesetz konkrete gesetzliche Anforderungen an eine Verschlüsselung von E-Mails stellt. Und doch liegt der Teufel manchmal im Detail…
Ein Geschäftsmann verschickt seine Werklohnrechnung transportverschlüsselt per E-Mail an den Kunden. Der Kunde vertraut auf die – wie sich später herausstellt – vom unbekannten „man-in-the-middle“ verfälschte Rechnung und überweist den Rechnungsbetrag auf das Konto des Betrügers. Als der geprellte Geschäftsmann (erneut) Zahlung seiner Rechnung vom Kunden verlangt, bricht Streit darüber aus, ob der Kunde tatsächlich ein zweites Mal zahlen muss.
Streitfrage ist, welche technischen Sicherheitsmaßnahmen der Unternehmer hätte ergreifen müssen, um einem Schadenersatzanspruch des nun tatsächlich zum zweiten Mal zur Kasse gebetenen Kunden zu entgehen. Im Raum stand ein Anspruch aus Artikel 82 DSGVO wegen unzureichender Schutzmaßnahmen bei Versendung personenbezogener Daten.
Im Ergebnis stand für das OLG Schleswig fest, dass in diesem Fall wegen der Höhe der Rechnung eine bloße Transportverschlüsselung nicht ausreichend gewesen sei und daher ein Schadenersatzanspruch des Kunden gegeben war (Urteil des OLG Schleswig vom 18. Dezember 2024 (Az.: 12 U 9/24).
Schadenersatzansprüche aus DSGVO?
Die DSGVO sieht in Artikel 82 bei Verstößen gegen Datenschutzregeln eine eigene Haftungsregelung vor. Der danach mögliche Schadenersatzanspruch gegen den Datenverarbeitenden hat drei Voraussetzungen:
(1) einen schuldhaften Verstoß gegen die Bestimmungen der DSGVO bei der Verarbeitung personenbezogener Daten
(2) einen bei der Person, deren Daten benutzt wurden, entstandenen Schaden
(3) einen Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und diesem Schaden.
(vgl. EuGH, Urteil v. 25.01.2024 – C-687/21; EuGH, Urteil v. 04.05.2023 – C-300/21)
Ist der Geschäftsmann für das Handeln eines betrügerischen Dritten verantwortlich?
Der Europäische Gerichtshof (EuGH) hat klargestellt, dass Verantwortliche nach der DSGVO nicht automatisch von ihrer Schadensersatzpflicht entbunden sind, wenn ein Schaden durch den unbefugten Zugriff eines Dritten auf personenbezogene Daten entsteht. Verantwortliche müssen vielmehr darlegen und beweisen, dass sie angemessene Sicherheitsmaßnahmen getroffen haben, um die Daten vor unbefugtem Zugriff zu schützen und den Anforderungen der DSGVO zu entsprechen.
Der Datenverarbeitende ist zwar nicht für das fremde Handeln eines Dritten, aber für sein eigenes schädigendes Verhalten verantwortlich, keine dem Risiko der Datenverarbeitung (E-Mail-Versand) angemessenen Sicherheitsvorkehrungen getroffen zu haben.
Auch wenn ein Dritter unbefugt auf Daten zugreift und ein Schaden entsteht, bleibt der Verantwortliche in der Pflicht zu beweisen, dass er alle erforderlichen Sicherheitsvorkehrungen getroffen hat. Dies folgt aus dem Prinzip der Rechenschaftspflicht, das in der DSGVO festgelegt ist.
Die Angemessenheit der technischen und organisatorischen Maßnahmen (wie in Art. 32 DSGVO gefordert) muss von den nationalen Gerichten konkret beurteilt werden. Abgewogen werden dabei die Risiken der Datenverarbeitung sowie Art, Inhalt und Umsetzung der Sicherheitsmaßnahmen.
Beim E-Mail-Versand mit angehängten Rechnungen im Geschäftsverkehr entschied das OLG Schleswig, dass eine einfache Transportverschlüsselung beim Versand geschäftlicher E-Mails mit personenbezogenen Daten zwischen Unternehmer und Kunden zumindest dann nicht ausreicht, wenn ein hohes finanzielles Risiko durch mögliche Manipulationen von Rechnungen besteht (hier lag der Rechnungsbetrag bei ca. EUR 15.000,-). Das Gericht verwies auf die End-to-End-Verschlüsselung als aktuell geeignetste Schutzmaßnahme.
Der EuGH betont, dass die Schutzmaßnahmen für personenbezogene Daten in jedem Fall individuell geprüft werden müssen. Eine bloße Transportverschlüsselung reicht oft nicht aus; End-to-End-Verschlüsselung bietet derzeit den besten Schutz.
Transportverschlüsselung vs. End-to-End-Verschlüsselung
(vgl. Informationen des BSI zur E-Mail-Verschlüsselung)
Transportverschlüsselung
Bei der Transportverschlüsselung wird eine verschlüsselte Verbindung zwischen dem E-Mail-Programm und dem E-Mail-Server hergestellt, also einzelne Abschnitte des Versandkanals verschlüsselt. Der Inhalt der E-Mail selbst bleibt unverschlüsselt. Beim Versenden der E-Mail wird diese über verschiedene Knotenpunkte im Internet weitergeleitet, die zwischen den Servern der E-Mail-Anbieter zum Empfänger verteilt sind, an welchen die E-Mails unverschlüsselt zugänglich sind, d.h. sie liegen im Klartext vor. Cyberkriminelle könnten auf diese Schwachstellen abzielen und einen „man-in-the-middle-Angriff“ durchführen. Dabei schaltet sich ein Angreifer unbemerkt in die Kommunikation zwischen zwei Kommunikationspartnern ein und kann so Daten abfangen, kopieren oder heimlich verändern. Der Empfänger erhält die E-Mail und weiß nicht, dass der Inhalt nicht mehr der ursprünglich versanden E-Mail entspricht.
End-to-End-Verschlüsselung
Bei der End-to-End-Verschlüsselung wird die E-Mail selbst verschlüsselt. Nur Sender und Empfänger können nach Verfügbarkeit des notwendigen Schlüssels den Klartext der E-Mail lesen. Die E-Mail-Anbieter haben keinen Zugriff auf den Inhalt. Auch potenzielle Angreifer haben während der Übertragung keine Möglichkeit, die E-Mails zu lesen oder zu verändern. Diese Methode erfüllt somit alle drei Ziele der Verschlüsselung im Internet: Vertraulichkeit, Authentizität und Integrität.
Diese Anforderungen an die Verschlüsselung im E-Mail-Verkehr sollten ernst genommen werden. Die Grundaussagen des Urteils (potenzielle Schadensersatzpflicht bei Vernachlässigung geeigneter, dem Risiko angepasster technischer Sicherheitsmaßnahmen) lassen sich auch auf den Versand anderer wichtiger Dokumente übertragen.
Auch im täglichen Geschäftsverkehr sollte im Rahmen der Datenverarbeitung darauf geachtet werden, dass die Instrumente der Verschlüsselung, Pseudonymisierung und ggf. Anonymisierung benutzt werden.
Auch wenn die DSGVO die Transportverschlüsselung nicht per se als technische Maßnahme ablehnt, dürfte aufgrund der bestehenden hohen Risiken eines Cyberangriffs zumindest beim E-Mail-Versand von Rechnungen die End-to-End-Verschlüsselung die sicherere Wahl – gerade bei hohen Rechnungsbeträgen – sein. Bei der Wahl der technischen und organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten sind immer die Umstände und Risiken des Einzelfalles entscheidend in die Bewertung miteinzubeziehen.
