Zum Inhalt springen Zur Navigation springen
OLG Karlsruhe urteilt zu Sicherheitsmaßnahmen bei E-Mails

OLG Karlsruhe urteilt zu Sicherheitsmaßnahmen bei E-Mails

Artikel von Dr. Datenschutz·9. August 2023

In einem aktuellen Urteil äußert sich das OLG Karlsruhe zur Frage, welche Sicherheitsmaßnahmen beim Versand von E-Mails im geschäftlichen Verkehr einzuhalten sind. Maßgeblich kommt es nach Ansicht des Gerichts darauf an, ob die Sicherheitsmaßnahmen berechtigterweise erwartet werden können. Welche nach Ansicht des OLG Karlsruhe dazu gehören, erfahren Sie im folgenden Beitrag.

Zahlen, bitte! Was war passiert?

Der Entscheidung (OLG Karlsruhe, Urteil v. 27.7.2023, 19 U 83/22) lag ein Fall zugrunde, der aus einem juristischen Lehrbuch stammen könnte. Ein Geschäftsführer eines Unternehmens kaufte bei einem anderen Unternehmen telefonisch einen gebrauchten Pkw zum Preis von 13.500 Euro. Noch am selben Tag um 11:44 Uhr schickte der Geschäftsführer des verkaufenden Unternehmens dem anderen Geschäftsführer als Anhang zu einer E-Mail eine Rechnung. Der Kopfbereich der Rechnung sowie die Fußzeile nannten ein Konto bei einer Sparkasse als Empfängerkonto. Um 11:46 Uhr erhielt der Geschäftsführer des kaufenden Unternehmens eine zweite E-Mail von der E-Mail-Adresse des Verkäufers. Diese enthielt ebenfalls eine Rechnung, allerdings war dort (nur) in der Fußzeile ein Konto des Kontoinhabers „P.D.“ bei der S-Bank in Berlin angegeben. Die zweite E-Mail enthielt außerdem noch andere Auffälligkeiten: So wies die E-Mail erhebliche Sprachfehler auf, war in der Sie-Form gehalten, obwohl die Geschäftsführer sich duzten, und enthielt außerdem den folgenden Satz:

„Bitte senden Sie uns nach der Herstellung der Decke eine Kopie nach der Banküberweisung“

Trotz all der Hinweise auf eine gefälschte E-Mail überwies der Käufer den Kaufpreis nicht auf das Konto des Verkäufers, sondern auf das Konto des „P.D.“.

Zwei Wochen später forderte der Verkäufer den Käufer zur Zahlung des Kaufpreises auf. Es stellte sich dann heraus, dass die zweite E-Mail aufgrund eines „Hackerangriffs“ von einer unbefugten dritten Person versendet worden war. Wie genau es dazu kommen konnte, blieb im weiteren Verlauf unklar. Das E-Mail-Konto des Verkäufers war mit einem Passwort geschützt, das zwei Personen im Unternehmen des Verkäufers kannten. Alle zwei bis vier Wochen wurde das Passwort geändert. Computer und Software des Verkäufers waren über die Windows Firewall geschützt. Der Käufer verweigerte die erneute Zahlung des Kaufpreises und wurde daher vom Verkäufer verklagt. Nach dem der Verkäufer in der ersten Instanz (LG Mosbach, Urteil v. 24.05.2022 – 1 O 271/21) mit seiner Klage auf Zahlung des Kaufpreises keinen Erfolg hatte, legte er Berufung ein.

Die Entscheidung des OLG Karlsruhe

Das OLG Karlsruhe gab nunmehr dem Verkäufer Recht. Dieser hat einen Anspruch auf Zahlung des Kaufpreises, da die Zahlung auf ein Konto des „P.D.“ und eben nicht des Verkäufers erfolgte. Außerdem stellte das Gericht fest, dass der Käufer keinen Schadensersatzanspruch in Höhe des Kaufpreises hat, da vom Verkäufer die erwartbaren Sicherheitsmaßnahmen beachtet wurden.

Kaufpreisanspruch nicht erloschen

Die Zahlung von 13.500 Euro an das Konto des „P.D.“ bei der S-Bank in Berlin führt nicht dazu, dass die Kaufpreisforderung des Verkäufers erloschen ist. Der Verkäufer muss sich insbesondere die Zahlung auf das fremde Konto nicht zurechnen lassen. Zwar können Schadensersatzansprüche des Käufers gegenüber dem Verkäufer bestehen, wenn ein schuldhaftes Verhalten des Verkäufers den Versand der gefälschten Rechnung ermöglicht hat. Ein solches schuldhaftes Verhalten des Verkäufers führt aber nicht dazu, dass der Kaufpreisanspruch erlischt.

Kein Schadensersatzanspruch des Käufers

Datenschutzrechtlich interessant wird dann die Frage, ob der Käufer gegenüber dem Verkäufer einen Schadensersatzanspruch in Höhe des Kaufpreises hat. Diesen könnte der Käufer dann dem Kaufpreisanspruch des Verkäufers entgegensetzen. Das OLG Karlsruhe hat angenommen, dass ein solcher Schadensersatzanspruch nicht besteht.

Keine Pflichtverletzung des Verkäufers

Eine Pflichtverletzung des Verkäufers vermochte das OLG nicht zu erkennen. Wie genau die zweite E-Mail mit der gefälschten Rechnung von der E-Mail-Adresse des Verkäufers versendet werden konnte, ist unklar geblieben. Sorgfaltspflichten, die einen Versand hätten verhindern können, hat der Verkäufer jedenfalls nicht verletzt.

DSGVO nach OLG Karlsruhe nicht anwendbar

Das OLG erklärt zunächst, dass es keine konkreten gesetzlichen Vorgaben dazu gibt, welche Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr einzuhalten sind. Sodann stellt es fest, dass der sachliche Anwendungsbereich der DSGVO im Streitfall nicht eröffnet sein soll. Begründet wird das damit, dass keine personenbezogenen Daten i.S.d. Art. 4 Nr. 1 DSGVO verarbeitet werden. Art. 2 Abs. 1 DSGVO schreibt das Folgende vor:

„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“.

Für die Annahme eines nicht eröffneten sachlichen Anwendungsbereichs müssten u.a. weder die E-Mail-Adressen noch die Inhalte der E-Mails (z.B. Anrede oder Grußformel) personenbezogene Daten enthalten. Der genaue Inhalt der E-Mails lässt sich weder der Entscheidung des OLG Karlsruhe noch der Entscheidung der Vorinstanz entnehmen. Insoweit müssen wir uns auf die Feststellungen des Gerichts verlassen.

Da die DSGVO nicht anwendbar ist, kann auch die „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen“ nicht herangezogen werden, um Pflichten zur Sicherung des E-Mail-Kontos zu begründen. Denn die Orientierungshilfe dient nur zur Konkretisierung der Vorgaben des Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 Abs. 1 DSGVO.

Erwartbare Sicherheitsmaßnahmen erfüllt

Auch die berechtigten Sicherheitserwartungen im geschäftlichen Verkehr hat der Verkäufer erfüllt. Die tatsächlichen Feststellungen des Gerichts zur Art des von dem Verkäufer verwendeten Passwortes für das E-Mail-Konto, dem Personenkreis, der davon Kenntnis hat und deren regelmäßiger Änderung, sowie zur Nutzung von Firewall und Virensoftware sprechen nach Ansicht des OLG Karlsruhe gegen eine Pflichtverletzung. Die vom Käufer weiter angeführten Sicherheitsmaßnahmen waren im geschäftlichen E-Mail-Verkehr nicht erwartbar gewesen.

Der Käufer argumentierte, dass der Verkäufer zur Nutzung des Sender Policy Frameworks (SPF) verpflichtet gewesen sei. Das SPF ist ein Verfahren mit dem geprüft werden kann, ob der sendende E-Mail-Server berechtigt ist, für die Domäne E-Mails zu versenden. Endnutzer wie der Verkäufer, die selbst keinen E-Mail-Server betreiben, haben jedoch auf die Verwendung des Verfahrens überhaupt keinen Einfluss, so dass dahingehend auch keine Sicherheitserwartung des Käufers bestehen kann.

Auch die vom Käufer vorgebrachte Ende-zu-Ende Verschlüsselung ist im geschäftlichen Verkehr nicht erwartbar. Zwar wird eine solche vom BSI empfohlen. Gleichzeitig ist auch dem BSI bewusst, dass diese nur sehr selten eingesetzt wird, was ebenfalls einer allgemeinen Sicherheitserwartung entgegensteht.

Eine Transportverschlüsselung nach dem Protokoll „Transport Layer Security“ (TLS) gibt es dem OLG nach nur im Verkehr zwischen bestimmten E-Mail-Anbietern. Da zwar der vom Verkäufer genutzte Anbieter, nicht aber der vom Käufer selbst betriebene Server dem Verbund der TLS nutzenden E-Mail-Anbieter angehört, ist die gescheiterte Transportverschlüsselung nicht dem Verkäufer anzulasten.

Mitverschulden des Käufers

Selbst bei Annahme eines Schadensersatzanspruchs des Käufers gegen den Verkäufer müsste ein erhebliches Mitverschulden des Käufers berücksichtigt werden (§ 254 BGB). Denn die zweite E-Mail sowie die mitgeschickte gefälschte Rechnung enthielten derart auffällige Unstimmigkeiten, dass der Käufer hätte stutzig werden müssen. Die E-Mail enthielt die förmliche Anrede „Sie“, obwohl die beiden Geschäftsführer sich duzen. Hinzu kommen sprachliche Fehler („ausgestelltes“ Bankkonto) sowie der unverständliche Satz, der Käufer möge nach Herstellung der Decke eine Kopie nach der Banküberweisung schicken. Der Käufer hätte daher den Verkäufer fragen müssen, auf welches der angegebenen Bankkonten er den Kaufpreis zahlen soll, gerade weil es sich um eine fünfstellige Summe handelte.

Auf beiden Seiten Verbesserungsbedarf

Rechtlich ging der Käufer als Verlierer aus dem Streit heraus: Die Kaufpreisforderung war durch die Zahlung auf das falsche Konto nicht erloschen und einen Schadensersatzanspruch gegen den Verkäufer hatte der Käufer auch nicht. Dem Käufer hätten die Unstimmigkeiten auffallen müssen. Gerade Rechtschreibfehler in E-Mails sind häufig ein Hinweis auf eine IT-Bedrohung. Aber auch der Verkäufer hätte hier etwas zur Verhinderung des Rechtsstreits beitragen können. So wird von einem zu häufigen Wechsel der Passwörter mittlerweile dringend abgeraten: Häufige Passwortänderungen führen vermehrt dazu, dass leicht zu merkende und deshalb unsichere Passwörter gewählt werden. Auch hätte der Verkäufer das Passwort nicht teilen dürfen. Dass der Anwendungsbereich der DSGVO nicht eröffnet ist, dürfte die Ausnahme darstellen. Was in Sachen E-Mail und Datensicherheit beachtet werden sollte, wenn die DSGVO anwendbar ist, kann in unserem Beitrag nachgelesen werden.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Grundsätzlich folge ich dem Urteil und sehe es auch so. Problematisch finde ich lediglich die Aussage, dass eine Ende-zu-Ende-Verschlüsselug in der Praxis schwierig umsetzbar sei. Mag sein, dass das so ist, aber im vorliegenden Fall ging es nicht um Vertraulichkeit, sondern um Integrität. D.h., kann ein:e Empfänger:in darauf vertrauen, dass eine Mail tatsächlich von einem berechtigten Account und auch nicht inhaltlich verfälscht ist. Dazu reicht der einseitige Einsatz eine z.B. S/MIME-Zertifikates auf Seiten der oder des Sender:in aus. Ich persönlich zahle 1 € pro Monat für ein solches S/MIME-Zertifikat. Das sollte im geschäftlichen Umfeld machbar sein.

  • Das ist zu vorsichtig. Es ist nicht nachvollziehbar, dass eine E-Mail wirklich keine personenbezogenen Daten enthält. Keine Anrede, keinen Gruß, kein Impressum. Und dass ein Unternehmen nur außerhalb des Datenschutzes E-Mails über einen Dienstleister versendet und empfängt und keinen Einfluß als Verantwortlichergegenüberdem Auftragsverarbeiter nehmen kann…??? Nein. Das dürfte schlicht und ergreifend grob falsch sein. Und nun wird wahrscheinlich ein Präzedenzfall draus.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.