E-Mail-Verschlüsselung im Spannungsfeld zwischen Datenschutz und Haftung: Eine Analyse aktueller Gerichtsentscheidungen

/in , , /von

Die digitale Kommunikation über E-Mail ist aus dem geschäftlichen Alltag nicht mehr wegzudenken. Doch während die Technik rasant fortschreitet, hinkt die Rechtsentwicklung oft hinterher. Zwei wegweisende Urteile der Oberlandesgerichte Karlsruhe (27.07.2023, 19 U 83/22) und Schleswig (18.12.2024, 12 U 9/24) verdeutlichen die rechtlichen Grauzonen bei der E-Mail-Sicherheit. Dieser Beitrag analysiert die unterschiedlichen Bewertungsmaßstäbe und leitet praktische Handlungsempfehlungen ab.

1. Das Karlsruher Urteil ( Urteil vom 27.07.2023 (19 U 83/22): Begrenzte Haftung im B2B-Verkehr

Im Fall des OLG Karlsruhe hatte ein Cyberkrimineller eine unverschlüsselte Rechnungsmail zwischen zwei Unternehmen manipuliert. Der betrogene Käufer überwies 13.500 € auf ein gefälschtes Konto, ohne die offensichtlichen Warnsignale (plötzliche Sie-Anrede, abweichende Kontodaten) zu prüfen.

Das Gericht verneinte eine Haftung des Verkäufers aus drei Gründen:

  • Fehlende gesetzliche Verschlüsselungspflicht: Weder die DSGVO noch das BGB verlangen eine Ende-zu-Ende-Verschlüsselung für Standardkommunikation.
  • Verkehrsüblichkeit als Maßstab: Im B2B-Sektor sei Transportverschlüsselung via TLS noch immer branchenüblich.
  • Mitverschulden des Geschädigten: Die grob fahrlässige Zahlung trotz erkennbarer Unstimmigkeiten schloss einen Schadensersatzanspruch aus (§ 254 BGB)

Rechtsdogmatische Einordnung

Die Entscheidung stützt sich auf den Grundsatz der Vertragsfreiheit (§ 311 Abs. 1 BGB). Solange keine vertraglichen Sicherheitszusagen bestehen, können Unternehmen selbst über die Schutzmechanismen entscheiden. Bemerkenswert ist die Aussage, dass „nicht jedes theoretische IT-Risiko zu unverhältnismäßigen Sicherungsmaßnahmen verpflichtet“.

2. Das Schleswiger Urteil (Urteil vom 18.12.2024 (12 U 9/24): Verschärfte Anforderungen im Verbraucherverkehr

Gegenstand des Verfahrens vor dem OLG Schleswig war ein betrügerischer Rechnungsversand an einen Privatkunden. Trotz TLS-Verschlüsselung gelangten die Bankdaten in falsche Hände, was zu einem Schaden von 15.000 € führte.

Das Unternehmen forderte den Kunden zur Zahlung auf. Das Gericht bestätigte den Zahlungsanspruch dem Grunde nach, sprach dem Kunden jedoch einen Schadensersatzanspruch in Höhe der irrtümlich an den betrügerischen Dritten überwiesenen Summe zu, so dass das Unternehmen im Ergebnis leer ausging.

Das Gericht bejahte eine Haftung des Unternehmens aus folgenden Erwägungen:

  • Qualifizierte Schutzpflichten nach Art. 32 DSGVO: Bankverbindungen in Rechnungen seien „besonders schützenswerte Daten“ da sie Rückschlüsse auf die finanzielle Situation zulassen. Das Unternehmen habe diesen Schutz durch entsprechende Maßnahmen „so weit wie möglich“ zu gewährleisten.
  • Unzureichende TLS-Verschlüsselung: Transportverschlüsselung biete keinen Schutz vor Manipulationen am Endgerät des Empfängers.
  • Beweislastumkehr bei Verstößen: Der Anbieter konnte nicht nachweisen, dass Ende-zu-Ende-Verschlüsselung unverhältnismäßig gewesen wäre.

Die Entscheidung interpretiert den Grundsatz von Integrität und Vertraulichkeit (Art. 5 Abs. 1 f) iVm. Art. 32 DS-GVO) dynamisch: Je sensibler die Daten, desto höhere Sicherheitsstandards sind zu implementieren. Dies korrespondiert mit der Rechtsprechung des EuGH zur „state-of-the-art“-Technik (Rs. C-311/18, „Schrems II“).

Das Karlsruher Urteil begrenzt die Haftung durch den Grundsatz des mitwirkenden Verschuldens, während das Schleswiger Gericht eine objektive Pflichtverletzung annimmt.

Die divergierende Rechtsprechung zeigt, dass der Gesetzgeber gefordert wäre, Rechtssicherheit zu schaffen klare technische Mindeststandards zu definieren. Die geplante ePrivacy-Verordnung hätte hier Abhilfe schaffen können, wird nun aber nicht mehr kommen. Bis auf Weiteres gilt: Unternehmen müssen ein differenziertes Sicherheitskonzept entwickeln, das sowohl der DSGVO als auch branchenspezifischen Standards gerecht wird.

Die Karlsruher Entscheidung lehrt, dass „nicht jedes technische Mittel rechtlich geboten ist“ – das Schleswiger Urteil kontert jedoch, dass „die DSGVO kein Lippenbekenntnis, sondern eine Handlungsanweisung“ darstellt. In diesem Spannungsfeld bewegt sich die moderne Compliance.

Gerichte verlangen gerne unter Berufung auf behördliche Stellungnahmen eine Verschlüsselung der Inhalte. Der mit S/Mime und PGP vertraute Verfasser weiß jedoch, mit welch enormen Hürden diese Aufgabe in der Praxis verbunden ist. Das beginnt bei der Beschaffung der erforderlichen Zertifikate und endet bei der Schlüsselverwaltung für die Bereitstellung der Inhalte archivierter Nachrichten.

Die divergierende Rechtsprechung zeigt, wie groß die tatsächlichen Risiken für Unternehmen im Zusammenhang mit der Kommunikation per EMail sind. E-Mails gehören zwar zum kleinen Einmaleins der geschäftlichen Kommunikation und sind aus der Kommunikationspraxis nicht mehr wegzudenken. Andererseits ist das technische Format der E-Mail mit den zugehörigen Kommunikationsprotokollen nicht unbedingt für die Übermittlung vertraulicher Inhalte bestimmt und geeignet. In Verbindung mit den grundsätzlichen Schutzanforderungen des Datenschutzes kann sich hieraus ein handfestes zivilrechtliches Haftungsszenario mit geradezu bedrohlichen Folgen ergeben. Unternehmen sind gut beraten, diese Aspekte bereits bei der Vertragsgestaltung und im Rahmen der Kommunikationsplanung zu berücksichtigen.

Das könnte Dich auch interessieren
BGH-Urteil zu Datenschutz: Unerwünschte Werbe-E-Mail allein begründet kein Schmerzensgeld
EuGH: Millionen-Bußgeld gegen Deutsche Wohnen wegen DSGVO-Verstoß