zur Übersicht

E-Mail-Verschlüsselung: Ende-zu-Ende zwingend?

Das Schleswig-Holsteinische Oberlandesgericht als Trendsetter oder eher Spielverderber?

Neues Urteil zur E-Mail-Verschlüsselung

Das Schleswig-Holsteinische Oberlandesgericht sprach einer betroffenen Person einen Schadensersatzanspruch gem. Art. 82 Abs. 1 DSGVO in Höhe von 14.924,20 Euro zu (Urt. v. 18.12.2024, Az. 12 U 9/24). Es sah eine Pflichtverletzung darin, dass ein Verantwortlicher keine Ende-zu-Ende-Verschlüsselung im Rahmen des E-Mail-Verkehrs vorgenommen hatte.  (Ähnlich das Arbeitsgericht Suhl bereits 2023, wie u. a. hier von uns besprochen). Bedeutet dieses Urteil nun, dass Unternehmen künftig verpflichtet sind, Ende-zu-Ende-Verschlüsselung für ihren E-Mail-Verkehr zwingend zu nutzen?

Der Fall

Dem Urteil lag ein Fall zugrunde, in dem ein Unternehmen eine Rechnung per E-Mail versandte, die sodann offenbar von einem Dritten manipuliert wurde. Es ließ sich jedoch nicht mehr feststellen, in welcher Sphäre das Abfangen der E-Mail erfolgte. Der Kunde überwies den Rechnungsbetrag jedenfalls auf ein falsches Konto. Entsprechend stellte sich das Unternehmen auf den Standpunkt, dass keine Erfüllung eingetreten sei. Der Kunde machte hingegen geltend, dass das Unternehmen durch unzureichende Sicherheitsvorkehrungen die Manipulation der Rechnung begünstigt habe. 

Während das Landgericht in der ersten Instanz noch versuchte, das konkrete Verschulden der Parteien zu ermitteln, verfolgte das Oberlandesgericht in der Revision einen völlig anderen Ansatz. Überraschend war insbesondere, dass das Mitverschulden des Schuldners für das Oberlandesgericht keine Rolle mehr spielte – obwohl das Landgericht ein solches noch festgestellt hatte.

Auffassung des Oberlandesgerichts

Das Gericht stützte seine Entscheidung auf eine Verletzung von Art. 32 DSGVO. Dieser fordert, dass der datenschutzrechtlich Verantwortliche geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vorhalten muss. Das Gericht argumentiert, dass in einem geschäftlichen Umfeld mit hohem Betrugsrisiko eine reine Transportverschlüsselung nicht ausreiche und eine Ende-zu-Ende-Verschlüsselung das „Mittel der Wahl“ sei (Rn. 90). Dabei betont es die Pflicht der verantwortlichen Person, geeignete Schutzmaßnahmen zu ergreifen und deren Wirksamkeit nachzuweisen. Grundsätzlich stehe die Art der Maßnahmen  im Ermessen des  Verantwortlichen, so das Oberlandesgericht. Die Tatsache, dass keine vorherigen Vorfälle bekannt waren, ließ das Gericht allerdings nicht als Entlastungsgrund gelten. Dabei erkennt das Gericht an, dass die streitgegenständliche E-Mail mit der Rechnung keine besonders sensiblen personenbezogenen Daten enthalte. Konkret betroffen waren Daten wie Name, Adresse und die Tatsache, dass die Parteien einen Werkvertrag abgeschlossen hatten. Dies sei allerdings nicht ausschlaggebend, da es regelmäßig auf die besonderen Umstände des Einzelfalles ankomme. So schreibt das Gericht:

„Der Zugriff durch einen unbefugten Dritten darauf führte aber im konkreten Fall in Verbindung mit der ebenfalls „gehackten“ und unberechtigt veränderten Kontoverbindung der Klägerin dazu, dass die Beklagte auf ein falsches Konto gezahlt hat und [….] den Werklohn nunmehr erneut zahlen soll, so dass ihr ein massiver finanzieller Schaden von über 15.000,– € entstanden ist. Dass Kunden von Unternehmen bei einem Datenhacking solche Vermögenseinbußen drohen, ist ein Risiko, das dem Versand von Rechnungen per Email immanent ist, von der Klägerin bei ihrer Planung zur Emailsicherheit erkannt werden musste und bei ihren Überlegungen zu Schutzmaßnahmen beim Versand von Rechnungen per Email mit einzubeziehen war.“ (sic, Rn. 91)

Kritische Würdigung

Das Urteil ist aus unserer Sicht aus mehreren Gründen problematisch:

  • Zweifelhafte Rechtsauslegung: Art. 32 DSGVO fordert zwar geeignete technische und organisatorische Maßnahmen, enthält aber keine konkreten Verschlüsselungsvorgaben. Vielmehr muss ein dem Risiko angemessenes Schutzniveau gewährleistet werden. Ob bei dem Versand von Rechnungen ein derart hohes Risiko besteht, dass eine Transportverschlüsselung nicht mehr ausreichen würde, daran darf man zweifeln. Es spricht zumindest wenig dafür, dass E-Mails, die in einer dem Stand der Technik entsprechenden Weise auf dem Transportweg verschlüsselt werden, in nennenswerter Anzahl abgegriffen wund manipuliert werden. Ob dies im Streitfall überhaupt so war, wurde ebenfalls nicht festgestellt. Indem das Oberlandesgericht eine Ende-zu-Ende-Verschlüsselung faktisch als Mindeststandard etabliert, geht es über die gesetzlichen Vorgaben hinaus.
  • Kosten- und Umsetzungsfragen: Ende-zu-Ende-Verschlüsselung ist technisch anspruchsvoller und erfordert regelmäßig ein Mitwirken des Empfängers. Für viele Unternehmen – insbesondere KMU – stellt dies eine erhebliche finanzielle und organisatorische Hürde dar. Das Gericht weist diese Bedenken jedoch pauschal zurück.
  • Einzelfallbetrachtung versus Generalklausel: Das Gericht argumentiert mit der Relevanz des individuellen Risikos, nimmt aber faktisch eine Generalisierung vor, indem es Ende-zu-Ende-Verschlüsselung als derzeitiges „Mittel der Wahl“ definiert. Dies könnte zu einer faktischen Verpflichtung führen, obwohl der Gesetzgeber gerade eine flexible Risikobewertung vorgesehen hat.

Zuletzt steht die Entscheidung auch im Gegensatz zu den Auffassungen einiger deutscher Aufsichtsbehörden. Obwohl diese nicht immer für ihre Flexibilität bei der Auslegung der Datenschutzgesetze bekannt sind, hat insbesondere die Datenschutzkonferenz in diesem Fall eine pragmatischere (und unseres Erachtens realistischere) Sicht auf dieses Thema, bei der Transportverschlüsselung in dem vorliegenden Fall vermutlich ausgereicht hätte, da keine besondere Sensibilität der Daten vorlag.

Fazit

Das Oberlandesgericht hat mit seinem Urteil die datenschutzrechtlichen Anforderungen an den E-Mail-Verkehr deutlich verschärft. Grundsätzlich müsste der Verantwortliche vor dem Versenden jeder E-Mail eine Einzelfallprüfung vornehmen, um festzustellen, ob ein Risiko besteht, welches eine Ende-zu-Ende-Verschlüsselung erforderlich macht. Ob weitere Gerichte dieser Rechtsauffassung folgen, bleibt abzuwarten. Denkbar wäre jedenfalls, dass im Rahmen der Risikobewertung nicht nur die Höhe der Rechnung, sondern auch die Dauer der Kundenbeziehung berücksichtigt wird. Abweichende Kontoverbindungen werden von den meisten Zahlungssystemen ohnehin erkannt, was als risikominimierende Maßnahme ausreichen sollte.

Sie benötigen Hilfe bei Ihrer Risikobewertung? Kontaktieren Sie uns gerne. Wir helfen Ihnen weiter.

Abonnieren Sie auch gerne unseren Newsletter, um bei den Entwicklungen im Datenschutz immer auf dem aktuellen Stand zu sein.