Unverschlüsselte Rechnung gehackt – Kunde muss nicht noch einmal zahlen

Wird eine unverschlüsselt per E-Mail versandte Rechnung gehackt und landet der Betrag auf dem Konto von Betrügern, muss der Kunde nicht nochmal zahlen. Das OLG Schleswig-Holstein sieht hier einen Fehler beim Rechnungsaussteller.

Cyber-Betrug bei Überweisung: Kundin zahlt 15.000 Euro auf falsches Konto. Der Haustechnikbetrieb forderte seine Kundin zur erneuten Zahlung der Rechnung auf. Das Oberlandesgericht Schleswig entschied jedoch: Der Betrieb hätte die Rechnung sicherer versenden müssen – eine Ende-zu-Ende-Verschlüsselung wäre erforderlich gewesen. (Foto:shutterstock)

Der Fall

Ein Betrieb für Haustechnik hatte bei einer Kundin Installationsarbeiten durchgeführt und darüber drei Teilrechnungen ausgestellt. Diese gingen jeweils als PDF per E-Mail an die Kundin.

Die ersten beiden Abschlagsrechnungen beglich die Kundin per Überweisung an die auf den Rechnungen angegebene Bankverbindung des Haustechnikbetriebs. Die Überweisung des Betrags der Schlussrechnung – immerhin rund 15.000 Euro – landete allerdings nicht beim Haustechniker, sondern auf dem Konto eines unbekannten Dritten. Auf ungeklärte Weise war diese so manipuliert worden, dass sie die falsche Kontoverbindung auswies.

Der Betrieb verlangte von der Kundin eine erneute Zahlung seiner Werklohnforderung, und das Landgericht gab ihm Recht. Durch die Zahlung an den unbekannten Dritten sei die Forderung nicht erfüllt worden. Der Haustechnikbetrieb habe keine Pflichtverletzung begangen, weil die genutzte Transportverschlüsselung per SMTP über TLS beim E-Mail-Verkehr mit Vertragspartnern ausreichend sei. Die Kundin ging in die Berufung.

Die Entscheidung

Das Schleswig-Holsteinische Oberlandesgericht änderte das Urteil des Landgerichts ab und wies die Klage ab. Mit der Zahlung an einen unbekannten Dritten sei zwar die Forderung des Haustechnikers nicht erfüllt. Trotzdem müsse die Kundin die Summe nicht noch einmal zahlen. Sie habe nämlich einen Schadensersatzanspruch gegen den Betrieb, den sie dessen Werklohnforderung entgegenhalten könne.

Den Schadensersatzanspruch leitet das OLG aus der Datenschutzgrundverordnung (DSGVO) ab. Mit der Rechnungsstellung habe der Betrieb personenbezogene Daten der Kundin computertechnisch verarbeitet und hätte dabei die datenschutzrechtlichen Grundsätze beachten müssen. Daran gemessen hielt das Gericht die Form des E-Mail-Versands der Rechnung nicht für ausreichend und damit auch nicht für zum Schutz der Daten „geeignet" im Sinne der DSGVO.

Der Schutz personenbezogener Daten seiner Kunden, begründete das Gericht seine Entscheidung, müsse für jedes Unternehmen hohe Priorität haben, auch beim Versenden von E-Mails. Gerade bei sensiblen oder persönlichen Inhalten sei nur eine Ende-zu-Ende-Verschlüsselung geeignet, vor allem, wenn ein hohes finanzielles Risiko durch Verfälschung einer angehängten Rechnung für den Kunden besteht.

Der dafür erforderliche technische und finanzielle Aufwand könne auch von einem mittelständischen Handwerksbetrieb erwartet werden – sonst müsse er die Rechnungen mit der Post verschicken.

Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 18.12.2024, Az. 12 U 9/24

Zur Startseite

Ausländische Krankschreibung: BAG stärkt Arbeitgeber bei Zweifeln

BAG: Der Beweiswert einer im Nicht-EU-Ausland ausgestellten AU kann erschüttert sein, wenn die Gesamtumstände ernsthafte Zweifel begründen.

Das Bundesarbeitsgericht hat entschieden, dass der Beweiswert einer im Nicht-EU-Ausland ausgestellten Arbeitsunfähigkeitsbescheinigung erschüttert sein kann, wenn die Gesamtumstände ernsthafte Zweifel begründen.

Fakeshop-Finder gegen Online-Betrug

Fakeshops entlarven: Wie der Fakeshop-Finder die Online-Betrüger in die Enge treibt

Der Fakeshop-Finder erkennt betrügerische Online-Shops und bietet Unternehmen wie Verbrauchern neue Sicherheit.

E-Rechnungspflicht 2025

E-Rechnungspflicht 2025: Deutsche Unternehmen hinken hinterher

Weniger als die Hälfte der Firmen ist bereit für elektronische Rechnungen. Digitalisierungslücke offenbart sich kurz vor gesetzlicher Frist.