Rechnung gehackt und geändert: Handwerksbetrieb geht leer aus
Ein Betrieb verschickt eine Rechnung per E-Mail. Doch die wird manipuliert und die Kundin überweist auf das falsche Konto. Warum sie kein zweites Mal zahlen muss.
-1-square.jpg&w=1080&q=75)
Handwerker, die eine Rechnung per E-Mail versenden, müssen dabei eine Ende-zu-Ende-Verschlüsselung nutzen. Das zeigt der Fall eines SHK-Betriebs, mit dem sich das Schleswig-Holsteinische Oberlandegericht beschäftigen musste. Was in dem Fall genau passiert ist und wie die Richter begründen, dass der Betrieb auf der 5-stelligen Summe sitzen bleibt.
Hacker fangen unverschlüsselte E-Mail ab und ändern die IBAN
Der Fall: Ein SHK-Betrieb führt bei einer Kundin verschiedene Installationsarbeiten durch. Er stellt insgesamt drei Abschlagsrechnungen und versendet sie alle per E-Mail an die Kundin. Die ersten beiden Abschlagsrechnungen begleicht die Kundin und überweist das Geld an die Bankverbindung , die der Betrieb in den pdf-Dateien angegeben hat.
Doch dritte Abschlagsrechnung , die gleichzeitig auch die Schlussrechnung ist, wird auf ungeklärte Weise abgefangen und manipuliert. Die Kundin überweist deshalb 15.000 Euro auf ein falsches Konto. Daraufhin verklagt der Betrieb die Frau, die ausstehende Summe zu begleichen. Das Landgericht Kiel entscheidet zunächst, dass sie die Schlussrechnung erneut bezahlen muss. Doch die Frau wehrt sich dagegen.
Betrieb begeht DSGVO-Verstoß – Kundin hat Schadensersatzanspruch
Das Urteil: Der Betrieb hat keinen Anspruch auf die erneute Zahlung, entscheidet das Schleswig-Holsteinische Oberlandegericht (OLG). Die Werklohnforderung sei in diesem Fall zwar nicht erfüllt worden, da die Kundin die Summe an einen unbefugten Dritten überwiesen habe. Die Richter stellen allerdings klar, dass die Frau einen Schadensersatzanspruch gegen den Handwerksbetrieb hat – und zwar in Höhe der rund 15.000 Euro.
Zur Begründung verwies das Gericht auf die Datenschutz-Grundverordnung (DSGVO). Die Verordnung verlange, dass Unternehmen sensible Daten gegen Datenschutzverletzung schützen müssen. Machen sie das nicht, haben die Betroffenen gemäß Artikel 82 Absatz 2 DSGVO einen Schadenersatzanspruch . In diesem Fall habe der Betrieb die personenbezogenen Daten der Kundin beim Versand der Rechnung nicht ausreichend geschützt, so das OLG.
Die Transportverschlüsselung, die das Unternehmen beim E-Mail-Versand genutzt haben will, sei nicht ausreichend. Gerade bei sensiblen oder persönlichen Inhalten ist nach Auffassung der Richter eine Ende-zu-Ende- Verschlüsselung notwendig, sofern für den Kunden ein hohes finanzielles Risiko durch Verfälschung der angehängten Rechnung besteht. Das Risiko eines Vermögensschadens durch Datenhacking sei bei E-Mail-Rechnungen grundsätzlich gegeben. Deshalb sei entsprechende Voraussicht und ein proaktives Handeln erforderlich.
Das OLG stellte ausdrücklich klar, dass der dafür erforderliche technische und finanzielle Aufwand auch von einem mittelständischen Handwerksbetrieb erwartet werden könne, sofern der seine Rechnungen nicht per Post versende.
Ende-zu-Ende-Verschlüsselung: Was ist das?
Was ist die Besonderheit bei der Ende-zu-Ende-Verschlüsselung? Mit dieser Frage haben sich die Richter im Fall des SHK-Betriebs auch beschäftigt und verweisen auf eine Veröffentlichung des Bundesamts für Sicherheit in der Informationstechnik (BSI). Demnach werde bei der Ende-zu-Ende-Verschlüsselung die E-Mail selbst verschlüsselt. Das bedeutet: „Nur Sender(in) und Empfänger(in) können die E-Mail im Klartext lesen, wenn sie über den notwendigen Schlüssel verfügen“, heißt es im Urteil. Weder die beteiligten E-Mail-Anbieter könnten den Inhalt lesen, noch hätten potenzielle Angreifer die Möglichkeit, die E-Mail unterwegs zu lesen und zu manipulieren.
(Urteil vom 18. Dezember 2024, Az. 12 U 9/24 ).
Tipp: Sie wollen beim Thema Recht nichts verpassen? Nutzen Sie den kostenlosen Newsletter von handwerk.com.
Jetzt hier anmelden!
