OLG Schleswig: Ende-zu-Ende-Verschlüsselung beim Rechnungsversand per E-Mail im B2C-Bereich erforderlich

Das Schleswig-Holsteinische Oberlandesgericht (OLG Schleswig) hat am 18. Dezember 2024 (Az.: 12 U 9/24) entschieden, dass Unternehmen beim Versand von Rechnungen an Verbraucher per E-Mail eine Ende-zu-Ende-Verschlüsselung anwenden müssen. Eine bloße Transportverschlüsselung genügt den Anforderungen der Datenschutz-Grundverordnung (DSGVO) nicht.

Hintergrund des Urteils

In dem verhandelten Fall hatte ein Unternehmen eine Heizungsanlage bei einem Verbraucher installiert und die Abschlussrechnung per E-Mail mit aktivierter Transportverschlüsselung versandt. Unbekannte Dritte manipulierten die E-Mail unbemerkt und änderten die Bankverbindung, sodass der Kunde 15.000 Euro auf das Konto der Betrüger überwies. Das OLG Schleswig entschied, dass der Kunde nicht erneut an das Unternehmen zahlen muss, da dieses gegen die DSGVO verstoßen hat, indem es keine ausreichenden Sicherheitsmaßnahmen beim E-Mail-Versand ergriff.

Unterschied zwischen Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung

• Transportverschlüsselung: Hierbei wird die Verbindung zwischen dem E-Mail-Client des Absenders und dem Server sowie zwischen den beteiligten Servern verschlüsselt. Die E-Mail liegt jedoch auf den Servern und möglicherweise auch während der Übertragung unverschlüsselt vor, was ein potenzielles Sicherheitsrisiko darstellt.
• Ende-zu-Ende-Verschlüsselung: Bei dieser Methode wird die E-Mail bereits auf dem Gerät des Absenders verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt. Dadurch bleibt der Inhalt der E-Mail während des gesamten Übertragungswegs und auf den Servern verschlüsselt und ist somit besser vor unbefugtem Zugriff und Manipulation geschützt.

Konsequenzen für den Onlinehandel

Für Onlinehändler bedeutet dieses Urteil, dass beim Versand von Rechnungen und anderen sensiblen Informationen per E-Mail an Verbraucher eine Ende-zu-Ende-Verschlüsselung implementiert werden muss. Die bisher häufig verwendete Transportverschlüsselung reicht nicht aus, um den Anforderungen der DSGVO gerecht zu werden.

Empfehlungen für Onlinehändler

1. Implementierung von Ende-zu-Ende-Verschlüsselung: Nutze E-Mail-Programme oder Erweiterungen, die eine Ende-zu-Ende-Verschlüsselung unterstützen, wie z. B. S/MIME oder PGP.
2. Schulung der Mitarbeiter: Stelle sicher, dass deine Mitarbeiter im Umgang mit verschlüsselter E-Mail-Kommunikation geschult sind und die Bedeutung der Verschlüsselung verstehen.
3. Information der Kunden: Informiere deine Kunden über die Verwendung von Ende-zu-Ende-Verschlüsselung und stelle gegebenenfalls Anleitungen zur Verfügung, wie sie verschlüsselte E-Mails empfangen und lesen können.
4. Regelmäßige Überprüfung der Sicherheitsmaßnahmen: Überprüfe regelmäßig deine E-Mail-Sicherheitsmaßnahmen und passe sie an aktuelle Bedrohungslagen und technische Entwicklungen an.

Kritische Bewertung

Während die Ende-zu-Ende-Verschlüsselung einen hohen Schutz für sensible Daten bietet, ist ihre Implementierung mit technischem Aufwand verbunden. Zudem erfordert sie, dass sowohl Absender als auch Empfänger entsprechende Verschlüsselungstechnologien verwenden. Für Onlinehändler kann dies bedeuten, dass sie ihre Kunden entsprechend schulen oder alternative sichere Kommunikationswege anbieten müssen.

Dennoch überwiegen die Vorteile eines erhöhten Datenschutzes und der Vermeidung potenzieller Haftungsrisiken. Die Investition in sichere Kommunikationsmethoden stärkt das Vertrauen der Kunden und entspricht den gesetzlichen Anforderungen der DSGVO.

Das vollständige Urteil des OLG Schleswig findest du hier: https://www.gesetze-rechtsprechung.sh.juris.de/bssh/document/NJRE001598708