Rechtsanwalt Christof Kolyvas

E-Mail Verschlüsselung – notwendig oder nicht?

In letzter Zeit wurde in diversen Veröffentlichungen das Urteil des OLG Schleswig vom 18.12.2024, Az.: 12 U 9/24 diskutiert. Es befasst sich mit Sicherheitsvorkehrungen beim Versand von E-Mails mit Rechnungen im Geschäftsverkehr mit einem Verbraucher (B2C). Das Gericht entschied, dass eine Zahlung auf ein – aus ungeklärten Gründen – in der Rechnung geändertes falsches Konto aufgrund der fehlenden Verschlüsselung der E-Mail-Rechnung zivilrechtlich nicht zur Erfüllung der Zahlungsverpflichtung führe. Die Versenderin (Klägerin) habe keine ausreichenden Schutzmaßnahmen getroffen, was zu einer Manipulation der E-Mail geführt hätte. Für die Übermittlung von E-Mails mit einer hohen Rechnung sei wäre eine Ende-zu-Ende-Verschlüsselung angemessen gewesen​. Über einen Rückgriff auf die DSGVO erkannte das Gericht dem Empfänger der Mail einen Schadensersatzanspruch in gleicher Höhe des Rechnungsbetrages zu. Am Ende blieb das Unternehmen auf seinen Kosten sitzen.

Verschlüsselung von E-Mails

Die Notwendigkeit der E-Mail Verschlüsselung wird seit längerem diskutiert. Nicht nur die Aufsichtsbehörden haben Veröffentlichungen, sondern auch die Rechtsprechung hat verschiedene Urteile geliefert, die sich mit dem Thema beschäftigen, u.a.:

  1. OLG Schleswig v. 28.04.2022, 6 U 39/21
  2. OVG Münster v. 20.02.2025, 16 B 288/23
  3. OLG Karlsruhe v. 27.07.2023,19 U 83/22
  4. VG Mainz v. 17.12.2020, 1 K 778/19
  5. OLG Schleswig v. 18.12.2024, 12 U 9/24
  6. DSK OH, Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail, Stand 16.06.2021

Inhalt Maßgeblich

Zu unterscheiden ist für die E-Mail Verschlüsselung vor allem der Inhalt der versendeten Nachrichten bzw. Anhänge. Er kann personenbezogene Daten (Art. 4 Nr. 1 DS-GVO), besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DS-GVO, sensible Daten (zum Beispiel Kontodaten) oder Geschäftsgeheimnisse (§ 2 Satz 1 Nr. 1 GeschGehG) beinhalten. Normale Schreiben können zum Beispiel personenbezogene Daten oder auch Finanzdaten beinhalten. Schreiben von Ärzten enthalten häufig besondere Kategorien personenbezogener Daten. Ob Geschäftsgeheimnisse enthalten sind, ergibt sich aus dem Inhalt der Nachricht. Reine Rechnungen zwischen Unternehmen zum Beispiel müssen nicht unbedingt personenbezogene Daten enthalten. Häufig ist jedoch die Bankverbindung aufgeführt.

Was hilft

Für Verantwortliche im Sinne der DSGVO oder die Inhaber eines Geschäftsgeheimnisses lassen sich aus den oben genannten Dokumenten die nachfolgenden Handlungsanweisungen zum Versand von E-Mails und der erforderlichen Sicherheitsvorkehrungen beispielhaft zusammenfassen:

  1. Sicherheitsmaßnahmen für den Versand von E-Mails:
    • TLS-Verschlüsselung: In den meisten Fällen reicht eine standardmäßige Transportverschlüsselung (TLS) aus, um die Vertraulichkeit der übermittelten Daten zu gewährleisten, insbesondere wenn das Risiko als gering eingestuft wird. (OLG Schleswig v. 28.04.2022, Az.: 6 U 39/21, Rz. 118) Dies gilt auch für die Kommunikation zwischen Unternehmen, sofern keine besonders schutzwürdigen Daten übermittelt werden.
    • Ende-zu-Ende-Verschlüsselung: Eine Ende-zu-Ende-Verschlüsselung (wie S/MIME oder OpenPGP) wird als zusätzliche Maßnahme empfohlen, insbesondere bei hochsensiblen oder geschäftskritischen Daten. (DSK-OH vom 16.06.2021, „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail, Ziff. 4.2.2.)  Sie schützt nicht nur den Transportweg, sondern auch ruhende Daten, indem sie den Zugriff auf den Inhalt der Nachricht auf den Empfänger beschränkt.
    • Zielgerichtete Verschlüsselung bei hohem Risiko: Unternehmen müssen die Risiken, die sich aus der Übertragung personenbezogener Daten ergeben, evaluieren und geeignete Maßnahmen treffen. (Orientierungshilfe, VG Mainz v. 17.12.2020, Az.: 1 K 778/19 Rz. 37, 39) Bei hohen Risiken, etwa bei der Übertragung besonders sensibler Daten, ist es notwendig, sowohl eine qualifizierte Transportverschlüsselung als auch eine Ende-zu-Ende-Verschlüsselung durchzuführen (ebenda).

Praktische Maßnahmen

Die Urteile verdeutlichen, dass Unternehmen auch proaktiv handeln müssen, um Betrugsfälle zu vermeiden. Folgende Maßnahmen könnten daher genutzt werden:

Vertragliche Regelungen treffen: In Geschäftsbeziehungen kann eine schriftliche Bestätigung für Bankverbindungsänderungen vereinbart werden.

Verifizierungsprozesse einführen: Bei Änderungen von Bankverbindungen sollte stets eine telefonische Rückfrage an eine festgelegte Person erfolgen.

Sensibilisierung der Mitarbeiter: Schulungen über gängige Betrugsmethoden und verdächtige Anzeichen sind essenziell.

Zum sicheren Austausch können Sie aber z.B. auch einen „Datenraum“ nutzen, der die geschützte Zusammenarbeit ermöglicht. Die Angebote sind vielfältig.

Fazit

Die E-Mail Verschlüsslung, insbesondere Verschlüsselungstechniken wie TLS und gegebenenfalls Ende-zu-Ende-Verschlüsselung, werden erforderlich, je höher das Risiko aufgrund des Inhalts ist. Es wird erwartet, dass der Absender sicherstellt, dass alle relevanten Sicherheitsmaßnahmen, einschließlich der Verschlüsselung, ordnungsgemäß angewendet werden. Risiken sind daher zu bewerten und es ist sicherzustellen, dass Sicherheitsmaßnahmen dem jeweiligen Risiko entsprechen, um Haftungsrisiken zu vermeiden. Bei Verstößen gegen Datenschutzvorgaben, wie unzureichender Sicherheitsvorkehrungen, können Schadensersatzansprüche geltend gemacht werden. In Fällen, in denen eine unverschlüsselte E-Mail manipuliert wird, etwa durch einen Hackerangriff, könnte der Absender haftbar gemacht werden, wenn keine ausreichenden Sicherheitsvorkehrungen getroffen wurden.

Bei Fragen zum Datenschutzrecht berate ich Sie gern:

RA Christof Kolyvas

Datenschutz für Unternehmen, Selbständige und Vereine

Tel: +49 234 29831858

KONTAKT AUFNEHMEN

Rechtsanwalt
Christof Kolyvas
Feldmark 106, 44803 Bochum

Telefon +49 234 29831858
Email: anwalt@ra-kolyvas.de

NEUESTE BEITRÄGE