In einem vergleichbaren Fall musste nunmehr das LG Rostock (Urteil vom 20.11.2024, Az. 2 O 450/24 www.landesrecht-mv.de/bsmv/document/NJRE001600257) entscheiden.
Sachverhalt
Am 08.11.2023 um 14:14 Uhr versandte ein Handwerksbetrieb eine E-Mail mit einer PDF-Datei, die die erste Abschlagsrechnung und die korrekte Bankverbindung enthielt. Um 14:35 Uhr erhielt der Kunde eine fast identische E-Mail mit einer gefälschten PDF-Datei, die eine abweichende Bankverbindung auswies. Während die PDF-Datei „optisch nahezu identisch“ mit der richtigen PDF-Datei war (abgesehen von den Bankverbindungsdaten), enthielt die E-Mail Hinweise auf eine fehlerhafte HTML-Formatierung.
Der Kunde kannte die richtige Bankverbindung aus einer früheren Geschäftsbeziehung und hatte bereits darauf Zahlungen geleistet. Der Handwerksbetrieb behauptet, die Rechnung sei nicht beglichen worden und der Kunde hätte die falsche Bankverbindung erkennen müssen. Der Kunde gibt an, nur die manipulierte E-Mail erhalten zu haben, die auf ein kompromittiertes System des Handwerksbetriebs zurückzuführen sei. Ein Zeuge bestätigte dies durch eine Untersuchung.
Der Kunde machte geltend, dass der Handwerksbetrieb durch mangelnde IT-Sicherheit die Ursache für die Fälschung gesetzt habe und daher hafte.
Entscheidung des Gerichts
Das Gericht verurteilte den Kunden zur erneuten Zahlung. Die Überweisung auf die falsche Bankverbindung führte nicht zur Erfüllung der Schuld. Zudem habe der Handwerksbetrieb nicht schuldhaft verursacht, dass der Kunde auf das falsche Konto zahlte.
Das Gericht prüfte nicht, ob die Mailsysteme des Handwerksbetriebs gehackt wurden, sondern konzentrierte sich auf vertragliche Schutzpflichten und ein mögliches Verschulden des Kunden. Eine Schutzpflichtverletzung verneinte es: Beide Parteien hatten sich auf E-Mail-Kommunikation geeinigt, obwohl deren Unsicherheiten allgemein bekannt sind. Es gibt keine festen Sicherheitsvorgaben für den E-Mail-Verkehr. Zudem sei unklar, ob der Handwerksbetrieb seine Systeme besser hätte absichern können oder ob ein höheres Sicherheitsniveau den Angriff verhindert hätte.
Auch aus der DSGVO ergibt sich keine Pflichtverletzung, da sie nur den Schutz personenbezogener Daten betrifft.
Das Gericht sah ein erhebliches Verschulden des Kunden. Er ignorierte deutliche Hinweise auf eine Manipulation der E-Mail. Die gefälschte Nachricht wies auffällige Zeichenfehler auf. So sind die Umlaute in der E-Mail nicht als Umlaut dargestellt, sondern als Zeichen wie bspw. „Ü“ für „Ü“ oder „ “ für ein „geschütztes Leerzeichen“. Zudem hätte dem Kunden auffallen müssen, dass sich die Bankverbindung gegenüber früheren Zahlungen geändert hatte – insbesondere der Wechsel von „B …kasse“ zu „B Bank“ in den Niederlanden. Diese Unstimmigkeiten waren so ungewöhnlich, dass der Kunde vor der Überweisung die Richtigkeit der Kontodaten hätte prüfen müssen.
Fazit
Im Gegensatz zum OLG Schleswig verfolgt das LG Rostock einen klaren Ansatz: Wer angreifbare Kommunikationsmittel nutzt, muss auch mit den Folgen klarkommen. Das ist grundsätzlich richtig. Allerdings sind sich die Beteiligten der möglichen Folgen nicht immer bewusst.
Dass E-Mails oft mit Postkarten verglichen werden, die jeder mit technischem Know-how lesen kann, ist allgemein bekannt. Weniger bekannt ist jedoch, dass abgefangene E-Mails auch manipuliert werden können. Daher ist eine transparente Aufklärung über die Risiken unerlässlich.
Nach Ansicht der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ist ein Verzicht auf Ende-zu-Ende-Verschlüsselung in der E-Mail-Kommunikation, von absoluten Ausnahmen abgesehen, unzulässig (DSK-Beschluss vom 24.11.2021 www.datenschutzkonferenz-online.de/media/dskb/20211124_TOP_7_Beschluss_Verzicht_auf_TOMs.pdf). Im Land Bremen vertreten der LfDI und die Rechtsanwaltskammer unterschiedliche Positionen. Der LfDI Bremen folgt dem DSK-Beschluss und fordert, dass jegliche Kommunikation zwischen Anwält*innen und Klient*innen verschlüsselt sein muss. Angesichts der Manipulationsgefahr gerichtsrelevanter Informationen ist das zumindest nachvollziehbar. Die Rechtsanwaltskammer sieht diese Forderungen als überzogen an und sucht nach einer gerichtlichen Entscheidung.
Demgegenüber verlangt § 87a Abs. 1 Satz 4 AO, dass Finanzbehörden steuergeheime Daten verschlüsseln müssen. Eine Ausnahme gilt, wenn alle betroffenen Personen schriftlich in eine unverschlüsselte Übermittlung einwilligen. Ein Verzicht auf Ende-zu-Ende-Verschlüsselung ist also nicht grundsätzlich ausgeschlossen. So war es auch in einem Fall des OLG Düsseldorf (Urteil vom 28.10.2021, Az. 16 U 275/20), bei dem eine Gesundheitsakte auf Wunsch einer Krankenversicherten per E-Mail an sie verschickt wurde – jedoch leider an eine falsche E-Mail-Adresse. Eine Einwilligung in den unverschlüsselten Versand von E-Mails ist möglich, wenn die betroffene Person einwilligt und es Alternativen gibt, also z. B. der Versand per Post auch angeboten wird (wir berichteten www.datenschutz-notizen.de/unverschluesselte-e-mails-mit-einwilligung-moeglich-3933793/).
Doch zurück zu dem Versand von Rechnungen per E-Mail. Beide Verfahren (LG Rostock und OLG Schleswig) zeigen: Manipulationen gehen Angriffen auf Mail-Systeme voraus – eine permanente Gefahr besteht nicht. Unternehmen sollten ihre Systeme sorgfältig überwachen und keine Webmailer nutzen, was jedoch gerade bei Kleinunternehmen noch gängige Praxis ist. Im Falle einer Kompromittierung müssen Kunden sofort und umfassend informiert sowie gewarnt werden.
Kunden wiederum sollten Rechnungsmails kritisch prüfen, insbesondere Layout und Zeichensetzung. Je höher der Rechnungsbetrag, desto sorgfältiger sollte die Überprüfung erfolgen.
Quelle: www.datenschutz-notizen.de/wieder-manipulierte-rechnung-dieses-mal-mit-gluecklichem-ausgang-fuer-den-handwerker-5652518/