Das Schleswig-Holsteinische Oberlandesgericht (OLG) hat
in einem Fall, in dem die Werklohnrechnung, die ein Unternehmer
- nach Durchführung von in Auftrag gegebenen Installationsarbeiten
an seinen Kunden als Anlage zu einer
- per SMTP über TLS transportverschlüsselten
E-Mail versandt hatte, auf ungeklärte Weise,
- durch kriminell handelnde Dritte,
unbefugt manipuliert worden war und infolgedessen der Kunde den Rechnungsbetrag unbewusst nicht auf das Konto
sondern auf das Konto
überwiesen hatte, entschieden, dass die Überweisung des Rechnungsbetrages auf das Konto
zwar nicht zur Erfüllung der Zahlungsverpflichtung des Kunden
- im Sinne von § 362 Abs. 2 Bürgerliches Gesetzbuch (BGB)
geführt habe, der Kunde jedoch deswegen die Werklohnforderung des Unternehmers nicht durch eine
Zahlung des Rechnungsbetrages an den Unternehmer erfüllen muss, weil ihm
- aus Art. 82 Abs. 2 Datenschutz-Grundverordnung (DSGVO)
ein Schadensersatzanspruch
- in Höhe der auf das Drittkonto getätigten Überweisung
gegen den Unternehmer zusteht, den er der Werklohnforderung des Unternehmers
- unter dem Gesichtspunkt der dolo-agit-Einwendung gemäß § 242 BGB
entgegenhalten kann.
Dass dem Kunden ein Schadensersatzanspruch
gegen den Unternehmer zusteht, ist vom OLG u.a. damit begründet worden, dass der Unternehmer,
- im Zuge der Verarbeitung der personenbezogenen Daten des Kunden,
die Rechnung per E-Mail
- ohne Ende-zu-Ende-Verschlüsselung und
lediglich unter Verwendung einer,
- den Daten des Kunden keinen ausreichenden und keinen geeigneten Schutz bietenden,
reinen Transportverschlüsselung
- in Form von SMTP über TLS
versandt und damit schuldhaft gegen die Grundsätze der Art. 5, 24 und 32 DSGVO,
- die vom Verantwortlichen das Treffen geeigneter, angemessener Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten vor dem Zugriff Unbefugter verlangen,
verstoßen habe.
Danach soll nämlich, gerade bei
- sensiblen oder persönlichen Inhalten
sowie wegen
- des Risikos eines Datenhackings und
- der einem Kunden dann durch Verfälschung des Rechnungsinhalts drohenden Vermögenseinbußen,
bei dem Versand von Rechnungen
nur eine
- Ende-zu-Ende-Verschlüsselung
zum Schutz der Daten des Kunden im Sinne der DSGVO geeignet und der dafür erforderliche
- technische und finanzielle
Aufwand einem Unternehmer,
- der Rechnungen nicht per Post verswenden will,
auch zumutbar sein (Quelle auch: Pressemitteilung des Schleswig-Holsteinischen OLG).
Hinweis:
Bei der
wird, so das OLG, zwischen dem E-Mail-Programm (Client) und dem E-Mail-Server eine Verbindung aufgebaut und diese z.B. gemäß dem weit verbreiteten Protokoll „Transport Layer Security“ (TLS) verschlüsselt. Dies wird inzwischen von den allermeisten E-Mail-Anbietern unterstützt.
Alle Daten, die zwischen dem Client und dem E-Mail-Server ausgetauscht werden, sind damit während des Versands verschlüsselt.
E-Mails werden beim Versand allerdings über unterschiedliche Knotenpunkte im Web zwischen den Servern der E-Mail-Anbieter zur Empfängerin oder dem Empfänger weitergeleitet und sind in diesen Punkten nicht verschlüsselt und dazwischen nicht immer.
Sowohl beim E-Mail-Anbieter als auch an den Knotenpunkten des Versands liegt die E-Mail im Klartext vor.
Internetkriminelle könnten einen „Man-in-the-Middle-Angriff“ durchführen, der auf diese Punkte ausgerichtet ist.
Bei diesem Angriff platziert sich ein Angreifer „in der Mitte“ der Kommunikation zwischen zwei Kommunikationspartnerinnen oder -partnern und kann ohne deren Wissen Daten (z.B. E-Mails) abfangen, kopieren oder verändern.
Im Unterschied zur Transportverschlüsselung werden bei der
- Ende-zu-Ende-Verschlüsselung
nicht die einzelnen Abschnitte des Versandkanals verschlüsselt, sondern die E-Mails selbst.
Nur Sender(in) und Empfänger(in) können die E-Mail im Klartext lesen, wenn sie über den notwendigen Schlüssel verfügen.
Weder die beteiligten E-Mail-Anbieter können die E-Mail lesen, noch haben potentielle Angreifer die Möglichkeit, die E-Mails unterwegs zu lesen oder zu manipulieren.
Damit erfüllt nur diese Technik die drei Ziele der Verschlüsselung im Internet: Vertraulichkeit, Authentizität, Integrität.
Ähnliche Beiträge