Diesmal werfen Holger und Joerg gemeinsam mit c't-Redakteur Sylvester Tremmel einen kritischen Blick auf ein umstrittenes Urteil des Oberlandesgerichts (OLG) Schleswig. Dieses Urteil verunsichert derzeit Unternehmen, die Rechnungen per E-Mail versenden.
Konkret ging es um eine Rechnung über knapp 15.000 Euro, die ein Handwerker an seinen Kunden per unverschlüsselter E-Mail geschickt hatte. Angeblich unbemerkt wurde diese Rechnung manipuliert, sodass eine falsche Kontonummer zu sehen war. Der Kunde überwies deshalb die Rechnungssumme an Betrüger, und das Geld war weg. Das Gericht gab überraschend dem Kunden recht und entschied, dass der Handwerker die Rechnung hätte Ende-zu-Ende verschlüsseln müssen. So aber hafte er gemäß Art. 82 DSGVO für den entstandenen Schaden und habe keinen Anspruch Zahlung der Rechnung.
Im Podcast zeigen sich die Experten fassungslos und üben deutliche Kritik am Urteil. Sylvester ist sich sicher, dass das Gericht technische Details offenbar nicht richtig verstanden hat: Es verwechsle Verschlüsselung mit Signatur. Während eine Ende-zu-Ende-Verschlüsselung den Inhalt einer E-Mail vor fremdem Zugriff schützt, stellt eine digitale Signatur sicher, dass die Nachricht unterwegs nicht verändert wird. Sylvester stellt klar: Verschlüsselung allein hätte den Betrug nicht zwingend verhindert, eine Signatur dagegen eher. Zudem funktioniert Ende-zu-Ende-Verschlüsselung nur, wenn beide Seiten – Sender und Empfänger – kooperieren und entsprechende Schlüssel austauschen.
Auch Joerg hält das Urteil für problematisch. Das Gericht habe die DSGVO falsch angewendet, indem es den wirtschaftlichen Schaden mit der datenschutzrechtlichen Schutzbedürftigkeit personenbezogener Daten vermischte. Die Höhe einer Rechnung könne nicht automatisch bedeuten, dass personenbezogene Daten besonders schützenswert seien und deshalb zwingend Ende-zu-Ende verschlüsselt werden müssten.
Im Podcast weisen die Experten darauf hin, dass andere Gerichte in vergleichbaren Fällen zu gegenteiligen Ergebnissen kommen. So entschied etwa das Landgericht Rostock, dass Unternehmen nicht automatisch für Manipulationen haften, wenn beide Seiten sich auf E-Mail als Kommunikationsweg geeinigt haben. Auch das Oberverwaltungsgericht Münster betonte kürzlich, dass eine einfache Transportverschlüsselung im Normalfall ausreichend sei.
Am Ende gibt Sylvester praktische Empfehlungen: Unternehmen sollten zumindest Transportverschlüsselung nutzen und idealerweise digitale Signaturen einsetzen, um Manipulationen von E-Mails zu verhindern. Komplette Ende-zu-Ende-Verschlüsselung sei wünschenswert, aber in der Praxis oft schwierig umzusetzen. Vor allem aber solle man stets aufmerksam bleiben und bei überraschend geänderten Kontodaten lieber einmal zu viel als zu wenig nachfragen.
Konkret ging es um eine Rechnung über knapp 15.000 Euro, die ein Handwerker an seinen Kunden per unverschlüsselter E-Mail geschickt hatte. Angeblich unbemerkt wurde diese Rechnung manipuliert, sodass eine falsche Kontonummer zu sehen war. Der Kunde überwies deshalb die Rechnungssumme an Betrüger, und das Geld war weg. Das Gericht gab überraschend dem Kunden recht und entschied, dass der Handwerker die Rechnung hätte Ende-zu-Ende verschlüsseln müssen. So aber hafte er gemäß Art. 82 DSGVO für den entstandenen Schaden und habe keinen Anspruch Zahlung der Rechnung.
Im Podcast zeigen sich die Experten fassungslos und üben deutliche Kritik am Urteil. Sylvester ist sich sicher, dass das Gericht technische Details offenbar nicht richtig verstanden hat: Es verwechsle Verschlüsselung mit Signatur. Während eine Ende-zu-Ende-Verschlüsselung den Inhalt einer E-Mail vor fremdem Zugriff schützt, stellt eine digitale Signatur sicher, dass die Nachricht unterwegs nicht verändert wird. Sylvester stellt klar: Verschlüsselung allein hätte den Betrug nicht zwingend verhindert, eine Signatur dagegen eher. Zudem funktioniert Ende-zu-Ende-Verschlüsselung nur, wenn beide Seiten – Sender und Empfänger – kooperieren und entsprechende Schlüssel austauschen.
Auch Joerg hält das Urteil für problematisch. Das Gericht habe die DSGVO falsch angewendet, indem es den wirtschaftlichen Schaden mit der datenschutzrechtlichen Schutzbedürftigkeit personenbezogener Daten vermischte. Die Höhe einer Rechnung könne nicht automatisch bedeuten, dass personenbezogene Daten besonders schützenswert seien und deshalb zwingend Ende-zu-Ende verschlüsselt werden müssten.
Im Podcast weisen die Experten darauf hin, dass andere Gerichte in vergleichbaren Fällen zu gegenteiligen Ergebnissen kommen. So entschied etwa das Landgericht Rostock, dass Unternehmen nicht automatisch für Manipulationen haften, wenn beide Seiten sich auf E-Mail als Kommunikationsweg geeinigt haben. Auch das Oberverwaltungsgericht Münster betonte kürzlich, dass eine einfache Transportverschlüsselung im Normalfall ausreichend sei.
Am Ende gibt Sylvester praktische Empfehlungen: Unternehmen sollten zumindest Transportverschlüsselung nutzen und idealerweise digitale Signaturen einsetzen, um Manipulationen von E-Mails zu verhindern. Komplette Ende-zu-Ende-Verschlüsselung sei wünschenswert, aber in der Praxis oft schwierig umzusetzen. Vor allem aber solle man stets aufmerksam bleiben und bei überraschend geänderten Kontodaten lieber einmal zu viel als zu wenig nachfragen.
