E-Mail-Kommunikation ist im heutigen Geschäftsverkehr nach wie vor nicht wegzudenken. Je nach Anwendungsfall kann sich hieraus auch mal eben ein ganz heißes Thema entwickeln. Das betrifft insbesondere Fragen rund um die E-Mail-Sicherheit; ganz speziell die (Ende-zu-Ende-)Verschlüsselung des E-Mail-Versandes erhitzt nach wie vor regelmäßig die Gemüter. Es liegt bereits etwas zurück, aber wir haben in der Vergangenheit schon über das Thema E-Mail-Kommunikation und mögliche Pflichten zur Nutzung von Verschlüsselungstechnologien berichtet. Konkret adressierte unserer Beitrag die E-Mail-Verschlüsselung bei Berufsgeheimnisträgern. Sofern man sich etwas vertiefter mit der Thematik auseinandersetzt, wird man sehr schnell merken, dass dies kein ganz einfaches Thema ist, vielmehr kann man sich durchaus gut die Finger daran verbrennen.
Nunmehr ist die Feuer neu entfacht wurden. „Schuld“ ist das Urteil des Oberlandesgericht (OLG) Schleswig-Holstein vom 18. Dezember 2024 (Az.: 12 U 9/24). Auf die Entscheidung und mögliche Auswirkungen für die Praxis soll sich der nachfolgende Beitrag fokussieren.
Worum geht es in dem Urteil?
Dem Urteil lag folgender Sachverhalt zu Grunde: Ein Unternehmen versendete eine Schlussrechnung über 15.000 Euro per einfacher E-Mail an einen Geschäftspartner. Die betroffene E-Mail wurde jedoch abgefangen und manipuliert. Es wurde dabei unter anderem die Bankverbindung verändert. Der Empfänger bemerkte die Manipulation nicht und überwies den Betrag auf das falsche Konto. Das Unternehmen fordertet im weiteren Fortgang erneute Überweisung der Rechnungssumme. Der Geschäftspartner und Auftraggeber verweigerte die Zahlung mit der Begründung, dass die Rechnung unzureichend geschützt versandt worden sei. Im konkreten Fall wies der E-Mail-Versand lediglich eine Sicherung mittels der sogenannten Transportverschlüsselung (TLS-Verschlüsselung) auf. Das Unternehmen – aus der Baubranche – erhob hieraufhin Klage auf Zahlung des offenen Rechnungsbetrages.
Welche Anforderungen gelten nun für Verantwortliche?
Das OLG entschied in der Sache, dass die Sicherheitsmaßnahmen (hier: Transportverschlüsselung) nicht für den konkreten Fall der E-Mail-Kommunikation angemessen und ausreichend gewesen sei. Vielmehr habe das Unternehmen versäumt die erforderliche Ende-zu-Ende-Verschlüsselung einzurichten:
„Vielmehr hat der Verantwortliche die Möglichkeit, aber auch die Verpflichtung, nach dem in Art. 5 Abs. 2 DSGVO formulierten und in Art. 24 DSGVO konkretisierten Grundsatz seiner Rechenschaftspflicht darzulegen und zu beweisen, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, um die personenbezogenen Daten entsprechend dem von der Datenschutzgrundverordnung verlangten Sicherheitsniveau vor dem Zugriff Unbefugter zu schützen […] Das ist der Klägerin vorliegend nicht gelungen, da der Senat die Transportverschlüsselung, die sie beim Versand der streitgegenständlichen Email – von der Beklagten bestritten – verwendet haben will (in Form von SMTP über TLS), nicht für ausreichend und damit auch nicht für „geeignet“ im Sinne der Datenschutzgrundverordnung hält.“
Mit Blick auf das Datenschutzrecht ergeben sich insbesondere aus Art. 24 und Art. 32 DS-GVO entsprechende Sicherheitsanforderungen. Insbesondere Art. 32 Abs. 1 lit. a) DS-GVO fordert:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten […].“
Das Gesetz bekennt sich also relativ klar zur Verschlüsselung als technische Maßnahme. Eine bestimmte Verschlüsselungstechnologie wird offenkundig jedoch nicht gefordert. Das OLG konstatiert, dass Unternehmen bei dem Versand von Rechnungen oder aber anderen sensiblen Daten ein angemessenes Sicherheitsniveau gewährleisten müssen:
„Die DSGVO verlangt von Unternehmen, sensible Daten gegen Datenschutzverletzungen zu sichern. Sensible Daten sind z. B. personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden.“ Außerdem: „Nach Ansicht des Senats ist danach eine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.“
Diese Entscheidung zu einer konkreten technischen Maßnahme überrascht, ist jedoch zu begrüßen. Gleichwohl darf die Entscheidung nicht direkt als Blaupause für sämtliche E-Mail-Kommunikation dienen. Fordern doch die gesetzlichen Vorgaben selten konkrete technische und organisatorische Maßnahmen.Im Ergebnis kommt das OLG zu dem Ergebnis, dass ein Schadenersatzanspruch aus Art. 82 DS-GVO begründet ist. Zu dem Schadenersatzanspruch nach der Datenschutz-Grundverordnung haben wir bereits hier, hier sowie hier und hier berichtet.
Fazit
Für die Praxis lässt sich jedenfalls ableiten, dass Verantwortliche gut beraten sind, die Vorgaben zu IT-Sicherheit respektive zur Datensicherheit nicht nur ernst zu nehmen, sondern die bereits lange fällige Umsetzung anzugehen. Dies gilt nicht wenige mit dem Blick auf die kommenden Anforderungen im Bereich des IT-Sicherheitsrechtes. Denn sollte die Umsetzung der NIS-2-Richtlinie in Deutschland durch die Neuwahlen des Bundestages vorerst zum Halten gekommen sein, so ist aufgeschoben bekanntlich nicht aufgehoben.
Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
