OLG Schleswig: Ende-zu-Ende-Verschlüsselung für E-Mail-Rechnungen erforderlich
Hintergrund des Urteils
Das Oberlandesgericht (OLG) Schleswig hat in einem aktuellen Urteil (Az. 17 U 69/23) eine wegweisende Entscheidung zur E-Mail-Verschlüsselung getroffen. Es stellte klar, dass die bloße Transportverschlüsselung beim Versand sensibler Daten nicht ausreicht und Unternehmen stattdessen eine Ende-zu-Ende-Verschlüsselung implementieren müssen.
Der Fall betraf eine Handwerksfirma, die eine Rechnung per E-Mail an eine Kundin verschickte. Die Rechnung wurde von Cyberkriminellen abgefangen und manipuliert – insbesondere wurde die Bankverbindung geändert. Die Kundin überwies den Betrag von 15.385,78 Euro daraufhin auf das Konto der Betrüger.
Als der Handwerksbetrieb später die Zahlung anmahnte, verweigerte die Kundin eine erneute Überweisung, da sie bereits gezahlt hatte. In dem darauffolgenden Rechtsstreit entschied das OLG Schleswig, dass der Handwerksbetrieb seine Rechnung nicht ausreichend abgesichert und damit gegen datenschutzrechtliche Vorgaben verstoßen habe.
Anforderungen an die E-Mail-Sicherheit
Das Gericht stellte fest, dass der Betrieb die DSGVO verletzt habe, weil die Rechnung personenbezogene Daten enthält und per unzureichend gesicherter E-Mail versandt wurde. Die Nutzung einer reinen Transportverschlüsselung sei nach Auffassung des Gerichts nicht ausreichend, um den datenschutzrechtlichen Anforderungen zu genügen.
Warum ist Transportverschlüsselung nicht genug?
Die Transportverschlüsselung (z. B. TLS) sichert lediglich den Übertragungsweg zwischen Mailservern ab. Sie kann aber nicht verhindern, dass:
- Mails auf den Servern der Empfänger unverschlüsselt gespeichert werden,
- Dritte mit Zugriff auf den Server (z. B. Admins oder Hacker) die Inhalte lesen können,
- die Mail auf dem Weg durch unsichere Serverpunkte abgefangen und verändert wird.
Das OLG Schleswig kommt daher zu dem Schluss: Der Einsatz einer Ende-zu-Ende-Verschlüsselung ist erforderlich, um die Vertraulichkeit von Rechnungen und anderen sensiblen Dokumenten sicherzustellen.
Was bedeutet das für Unternehmen?
Das Urteil hat weitreichende Folgen für Unternehmen, die regelmäßig Rechnungen oder andere personenbezogene Daten per E-Mail versenden. Unternehmen müssen sich darauf einstellen, dass Datenschutzbehörden künftig eine Ende-zu-Ende-Verschlüsselung für solche Fälle verlangen könnten.
Welche Risiken bestehen ohne ausreichende Verschlüsselung?
- Haftungsrisiko: Unternehmen können für Schäden haften, wenn Kunden durch unsichere Kommunikation finanzielle Verluste erleiden.
- DSGVO-Bußgelder: Datenschutzbehörden könnten Verstöße ahnden, da unzureichende Sicherheitsmaßnahmen gegen Art. 32 DSGVO verstoßen.
- Reputationsschäden: Kunden verlieren möglicherweise das Vertrauen in ein Unternehmen, wenn bekannt wird, dass ihre Daten nicht ausreichend geschützt wurden.
Handlungsempfehlungen für Unternehmen
E-Mail-Verschlüsselung implementieren
- Nutzen Sie PGP oder S/MIME, um eine Ende-zu-Ende-Verschlüsselung sicherzustellen.
- Falls keine Verschlüsselung möglich ist, sollten Rechnungen stattdessen über sichere Kundenportale zur Verfügung gestellt werden.
Sicherheitsbewusstsein im Unternehmen schärfen
- Schulungen für Mitarbeiter zur sicheren Kommunikation.
- Einführung von Verifizierungsmechanismen für Bankverbindungen (z. B. zusätzliche Bestätigung per Telefon).
Alternative Übertragungsmethoden prüfen
- Besonders schützenswerte Dokumente können auch per Einschreiben oder über sichere Plattformen bereitgestellt werden.
Wie Bitkom Consult Sie unterstützen kann
Die Umsetzung einer sicheren Kommunikationsstrategie kann für Unternehmen herausfordernd sein.
Bitkom Consult bietet umfassende Beratung und Unterstützung, um:
- Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zu implementieren,
- Schulungen für Ihre Mitarbeiter zur sicheren Kommunikation bereitzustellen,
- Risikobewertungen für Ihre aktuellen Verfahren durchzuführen.
