OLG Schleswig: E-Mailanhänge mit Rechnungen müssen von Ende-zu-Ende verschlüsselt sein

Was passiert, wenn ein Rechnungsempfänger auf einen manipulierten Rechnungsanhang hereinfällt, zahlt und anschließend vom eigentlichen Rechnungsversender, der die korrekte Rechnung zuvor unverschlüsselt per E-Mail verschickt hatte, auf Zahlung in Anspruch genommen wird? 

Mit dieser Frage musste sich das Schleswig-Holsteinische Oberlandesgericht (OLG) im Rahmen seines Urteils vom 18. Dezember 2024 (Az. 12 U 9/24) auseinandersetzen und kam letztendlich zu dem Ergebnis, dass der Versand von Rechnungsanhängen nur mittels Ende-zu-Ende-Verschlüsselung erlaubt sei. Es berief sich im Rahmen der Entscheidung auf die Datenschutzgrundverordnung, die bei der Verarbeitung personenbezogener Daten angemessene technische und organisatorische Maßnahmen vorsieht.

Dem Rechtsstreit lag folgender Sachverhalt zugrunde:

Ein Kunde hatte aufgrund einer manipulierten E-Mail den Rechnungsbetrag eines der E-Mail unverschlüsselt beigefügten Rechnungsanhangs an einen unbefugten Dritten überwiesen. Da die Zahlung ausblieb, klagte das rechnungsversendende Unternehmen auf (erneute) Zahlung. Es unterlag vor dem OLG Schleswig. Zwar verneinte das OLG Schleswig eine Erfüllung der Forderung durch Zahlung an den unbefugten Dritten durch den Kunden, es sprach dem Kunden aber einen möglichen Schadenersatz aus Art. 82 DSGVO zu, der im Wege einer sog. dolo agit Einwendung geltend gemacht werden könne. Dolo agit ist die Abkürzung des lateinischen Rechtssatzes „Dolo agit, qui petit, quod statim redditurus est“ und bedeutet sinngemäß: Arglistig handelt, wer etwas verlangt, was er augenblicklich wieder zurückgeben muss. Das Gericht lehnte den Zahlungsanspruch des Unternehmers folglich ab, weil der offenen Forderung nach Auffassung des Gerichts jedenfalls in gleicher Höhe ein Schadensersatzanspruch des Kunden gegenüber stand.

Die wichtigsten Feststellungen des Urteils:

1. Die Zahlung an einen unbefugten Dritten ist keine ordnungsgemäße Erfüllung im Sinne von § 362 Abs. 2 BGB: 

   Das OLG Schleswig stellte klar, dass eine Zahlung gemäß § 362 Abs. 2 BGB nur dann als Erfüllung der Schuld gilt, wenn sie an den Gläubiger oder eine zur Empfangnahme ermächtigte Person erfolgt. Da der Kunde den Betrag jedoch auf ein fremdes Konto überwiesen hatte, wurde die Zahlungspflicht gegenüber Rechnungsversender nicht erfüllt.

2. Der Kunde kann aber im Wege der dolo-agit Einrede Schadenersatzansprüche gemäß Art. 82 DSGVO entgegenhalten: 

   Dennoch verneinte das OLG Schleswig den Zahlungsanspruch, da der Kunde einen Schadenersatzanspruch aus Art. 82 DSGVO entgegenhalten könne. Das Gericht vertrat insoweit die Auffassung, dass in dem Fall, in dem ein hohes finanzielles Risiko durch mögliche Manipulationen von E-Mails bestehe, eine bloße Transportverschlüsselung nicht ausreichend sei. Es forderte -als erstes Gericht in Deutschland- stattdessen eine Ende-zu-Ende-Verschlüsselung, um den Anforderungen aus der DSGVO gerecht zu werden. Diese Auffassung des OLG geht über die bisherige Rechtsprechung hinaus und orientiert sich an der Rechtsauffassung des EuGH, wonach Unternehmen geeignete Schutzmaßnahmen zur Vermeidung von Datenschutzverletzungen implementieren müssen. Eine Entlastung von der Haftung gemäß Art. 82 Abs. 3 DSGVO komme nur in Betracht, wenn der Verantwortliche nachweisen könne, dass ihn keinerlei Verschulden trifft. Der bloße Umstand des unbefugten Zugriffs durch Dritte befreie den Verantwortlichen jedenfalls nicht automatisch von der Haftung.

Fazit: 

Über die vertreten Rechtsauffassung des OLG Schleswig lässt sich trefflich streiten, zumal eine Ende-zu-Ende verschlüsselte Kommunikation gerade zwischen Verbrauchern und Unternehmen keinesfalls Standard ist. Diese Art der Verschlüsselung ist umständlich, nicht einmal im B2B-Bereich etabliert, da  sich die verschlüsselte E-Mail bei einer Ende-zu-Ende Verschlüsselung nur mit zusätzlichen technischen Mitteln oder unter Verwendung bestimmter Portale öffnen lässt. Darüber hinaus setzt weder die DSGVO noch sonst eine gesetzliche Regelung zwingend diese Art der Verschlüsselung voraus. Dennoch hat die Entscheidung des OLG Schleswig Auswirkungen auf den geschäftlichen E-Mail-Verkehr, insbesondere beim Versand von Rechnungen mit personenbezogenen Daten, denn Unternehmen müssen in Zukunft in solchen Fällen mit Forderungsausfällen und Schadensersatz-Einreden rechnen.