Der Handwerksbetrieb verklagte den Kunden vor dem Landgericht Kiel auf Zahlung seines Werklohnes und gewann. In der Berufung hob das Schleswig-Holsteinische OLG das erstinstanzliche Urteil auf und entschied zugunsten des Kunden (OLG Schleswig, Urteil vom 18.12.2024, Az.: 12 U 9/24).
Unzureichende Verschlüsselung löst Schadensersatzanspruch aus
Das Gericht ist der Ansicht, dass durch die Zahlung auf ein anderes Konto zwar keine Erfüllung eingetreten ist, der Kunde aber dennoch die Rechnung nicht noch einmal bezahlen muss. Denn er habe einen Schadenersatzanspruch gegen das Unternehmen erworben, den es diesem nach § 242 BGB entgegenhalten könne. Der Versand der Rechnung mit einer bloßen Transportverschlüsselung ist nach Auffassung des Senats keine „geeignete“ Sicherheitsmaßnahme im Sinne der Art. 5, 24 und 32 DSGVO und stellt eine Pflichtverletzung des datenverarbeitenden Unternehmens dar. Der Anspruch auf Schadensersatz folgt aus Art. 82 Abs. 2 DSGVO.
Ende-zu-Ende-Verschlüsselung oder Versand per Post
Der Senat stellt klar, dass die DSGVO kein bestimmtes Verfahren zum Schutz der personenbezogenen Daten vorschreibt. Der Verantwortliche müsse vielmehr im konkreten Einzelfall die technischen und organisatorischen Maßnahmen ergreifen, die das von der DSGVO geforderte Schutzniveau sicherstellen. Dabei seien die Risiken für den Kunden und der Aufwand für das Unternehmen zu berücksichtigen und in Ausgleich zu bringen. Beim Versand hoher Rechnungen bestehe stets ein erhebliches finanzielles Risiko für den Kunden, wenn das Dokument manipuliert werden kann. Deshalb müssten mittelständische Betriebe, denen die Gefahr von Hackerangriffen bekannt ist, vorausschauend handeln und gesteigerte Anstrengungen zum Schutz der Daten unternehmen. Im Ergebnis sieht der Senat nur eine Rechnungsübermittlung mit Ende-zu-Ende-Verschlüsselung als ausreichend an. Unternehmer, die mit höheren Rechnungsbeträgen arbeiten, sollten deshalb diese aktuell sicherste Variante wählen oder aber ihre Rechnungen wieder klassisch auf dem Postweg übersenden.