Was ist passiert?
Das OLG Schleswig (Urteil vom 18.12.2024 – 12 U 9/24) hat entschieden:
Wer Rechnungen per E-Mail mit nur einfacher Transportverschlüsselung (z. B. TLS) versendet, handelt in bestimmten Fällen nicht datenschutzkonform. Wird die E-Mail unterwegs manipuliert – etwa indem die Bankverbindung in der angehängten Rechnung verändert wird – und überweist der Kunde an ein Betrügerkonto, droht dem Unternehmen Schadensersatz nach Art. 82 DSGVO.
Warum ist das so brisant?
-
Rechnungsversand: Kunden zahlen auf falsche Konten, Forderung bleibt bestehen – und zusätzlich besteht ein Anspruch auf Ersatz des Fehlbetrags.
-
Sonstiger Schriftverkehr: Auch andere personenbezogene Daten (z. B. Auftragsbestätigungen, Vertragsunterlagen) sind betroffen.
-
Haftungsumkehr: Nach DSGVO wird Verschulden vermutet – das Unternehmen muss beweisen, dass es alles Erforderliche getan hat.
-
Technischer Standard: Laut Gericht ist End-to-End-Verschlüsselung „das Mittel der Wahl“. Transportverschlüsselung genügt bei hohem Risiko nicht.
Besonders riskant bei…
-
Rechnungen an Privatkunden (personenbezogene Daten + hohes Schadensrisiko)
-
Angeboten und Verträgen mit sensiblen Kundendaten (Gesundheit, Finanzen, personenbezogene Daten Dritter)
-
Bau- und Handwerksleistungen mit hohen Abschlagsrechnungen
-
Beratungsleistungen, bei denen Vertragsdetails oder Kontoinformationen per E-Mail übermittelt werden
Praxis-Tipps für Unternehmen
1. Sicherheitsniveau anpassen
-
Für sensible oder finanzrelevante Daten: End-to-End-Verschlüsselung nutzen (z. B. S/MIME, PGP).
-
Technische und organisatorische Maßnahmen regelmäßig prüfen und dokumentieren.
-
Bei fehlender Verschlüsselungsmöglichkeit: Postversand in Erwägung ziehen.
2. Gestaltung von Auftragsformularen
-
Option A: Kunde gibt vorab ein Verschlüsselungskennwort an (wird für alle PDF-Anhänge genutzt).
-
Option B: Kunde kann bewusst auf Verschlüsselung verzichten.
⚠ Wichtig: Ein reines Opt-Out ohne Wahlmöglichkeit ist rechtlich unzulässig – Kunden müssen aktiv zwischen Verschlüsselung und Verzicht wählen. -
Auswahl und Einverständnis dokumentieren.
3. Interne Abläufe absichern
-
Mitarbeiterschulungen zu Phishing- und Manipulationsrisiken.
-
Standardisierte E-Mail-Texte, die auf Unregelmäßigkeiten hinweisen („Bitte prüfen Sie vor Zahlung…“).
-
Kontodaten nur über einen zweiten Kommunikationskanal bestätigen lassen.
4. Spezialfall: E-Rechnungspflicht
-
Seit 01.01.2025: Pflicht zur elektronischen Rechnung im B2B-Bereich (§ 14 UStG), Ausnahmen für Privatkunden (Infos BMF).
-
Bei E-Rechnungen im Sinne des Gesetzes müssen auch die DSGVO-Anforderungen erfüllt sein.
Ratgeber: So sichern Sie Ihren E-Mail-Versand ab
-
Ist-Analyse: Prüfen, welche personenbezogenen Daten Sie per E-Mail versenden.
-
Risikobewertung: Hohe Beträge oder sensible Daten? → End-to-End-Verschlüsselung.
-
Kundenkommunikation: Wahlmöglichkeit für Verschlüsselung in Vertragsunterlagen einbauen.
-
Technische Umsetzung: Geeignete Software und Schulungen organisieren.
-
Dokumentation: Maßnahmen, Kundenentscheidungen und Updates festhalten – das ist Ihr Entlastungsbeweis.
Fazit
Die Entscheidung zeigt: Datenschutzkonforme E-Mail-Kommunikation ist nicht nur Pflicht, sondern auch ein entscheidender Baustein der Haftungsvermeidung. Unternehmen müssen aktiv handeln – technische Ausreden helfen nicht.
Unterstützung vom Profi
Unsere Kanzlei verfügt über langjährige Erfahrung in der Erstellung rechtssicherer AGB, Vertrags- und Auftragsformulare. Wir entwickeln für Sie maßgeschneiderte Lösungen, die Datenschutz und Praxistauglichkeit verbinden.
📞 Jetzt unverbindlich beraten lassen – bevor ein Schaden entsteht.
BAG: Kein Präventionsverfahren nach § 167 Abs. 1 SGB IX bei Wartezeitkündigung – Was Arbeitgeber wissen müssen