Die Transportverschlüsselung ist beim Versand von geschäftlichen E-Mails mit personenbezogenen Daten jedenfalls bei einem hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung nicht ausreichend.
OLG Schleswig-Holstein 18.12.2024, 12 U 9/24. Ein Werkunternehmer verlangt die (erneute) Zahlung des Werklohns, nachdem der Betrag nach Manipulation der Rechnung durch kriminell handelnde Dritte nicht auf das Konto des Werkunternehmers, sondern auf das Konto eines Unbekannten gutgeschrieben wurde. Die Beklagte argumentiert, dass ihr durch den unrechtmäßigen Zugriff auf die Rechnung ein Schaden in selber Höhe entstanden sei, der auf ungeeignete technische Schutzmaßnahmen beim Versand einer Rechnung per E-Mail zurückzuführen sei und den der Werkunternehmer zu verantworten habe.
SMTP über TLS genügt nicht.
Eine Transportverschlüsselung in Form von SMTP über TLS ist beim Versand einer Rechnung nicht ausreichend und ist deshalb auch keine geeignete Sicherheitsmaßnahme.
Schadensrisiko ist E-Mail immanent.
Das Risiko von durch Datenhacking hervorgerufenen Vermögenseinbußen ist dem nicht inhaltsverschlüsselten Versand von Rechnungen per E-Mail immanent, das der Unternehmer bei den Überlegungen zu Schutzmaßnahmen miteinzubeziehen hat.
IT-Berater beseitigt Vorwerfbarkeit nicht.
Fahrlässige Vorwerfbarkeit, trotz Entsprechen der Empfehlung für Schutzmaßnahmen des einbezogenen IT-Beraters.