Meine E-Mail mit der Rechnung wurde gehackt: Was nun?

Oft werden Rechnungen per Mail an die Kunden übermittelt. Diese Mails sind meist unverschlüsselt. In einem interessanten Fall aus Deutschland blieb der Handwerker, der seine Rechnung per unverschlüsselter Mail übermittelte und dessen Rechnung von Hackern manipuliert wurde, auf seinen Kosten sitzen. Der Kunde hatte an die Betrüger gezahlt.

Bei dem beschriebenen Fall handelt es sich um eine Rechtsprechung des Oberlandesgerichts Schleswig. Dennoch könnte dieses Urteil auch interessant sein für das belgische Rechtssystem, denn es schützt sich auf die europäische Datenschutzgrundverordnung.

In der betroffenen Angelegenheit hatte der Handwerker seine Rechnung per unverschlüsselter Mail an den Kunden übermittelt. Die Mail wurde von den Hackern abgefangen und manipuliert, indem falsche Angaben in Bezug auf die Kontonummer eingefügt wurden. Der Kunde zahlte auf das Konto der Betrüger. Das Oberlandesgericht war der Meinung, dass der Kunde, der auf das Konto der Betrüger gezahlt hatte, zwar eigentlich nicht von seiner Zahlungsverpflichtung befreit ist, jedoch dennoch nicht nochmals zahlen muss. In Anwendung von Art. 82, Abs. 2 der Datenschutzgrundverordnung habe der Kunde nämlich einen Schadenersatzanspruch, der dem Lohn des Handwerkers entspricht. Durch den Versand der Rechnung per Mail habe der Handwerker die personenbezogenen Daten des Kunden verarbeitet. Dabei hätte er verschiedene Grundsätze einhalten müssen, wie eine „Ende-Zu-Ende-Verschlüsselung“[1]. Ein Versand ohne diese Verschlüsselung sei nicht DSGVO konform, was zu einem Schaden des Kunden geführt hat, der in der Höhe identisch ist zu dem Rechnungsbetrag.[2]

Für viele Unternehmen stellt sich somit nun die Frage, ob Rechnungen wirklich verschlüsselt versandt werden müssen.

Nach Art. 32 DSGVO muss das Unternehmen „geeignete technische und organisatorische Maßnahmen“ treffen, um personenbezogene Daten zu schützen.

dazu zählt auch eine Transportverschlüsselung oder eben eine Ende-zu-Ende-Verschlüsselung (z. B. verschlüsselte PDF-Datei mit Passwort).

Das Oberlandesgericht Schleswig war der Meinung, dass eine Transportverschlüsselung beim Versand einer Rechnung unzureichend sei und bei sensiblen Daten, wie einer Rechnung, eine „Ende-zu-Ende-Verschlüsselung“ notwendig sei, da für den Kunden durch Hacking ein finanzielles Risiko bestehe.

Dies kann man sicherlich kritisch sehen.

Wenn dieser Rechtsprechung gefolgt würde, hätte dies zur Folge, dass man gewisse technische und finanzielle Mittel investieren muss, um diesen Angaben zu entsprechen. Alternativ kann man die Rechnung natürlich weiterhin per Post versenden.

Vorsicht ist jedenfalls geboten.

Allerdings:

Ob diese Rechtsprechung auch in Belgien seine Gültigkeit haben wird, bleibt abzuwarten.

Denn zum einen könnten andere Gerichtsbarkeiten vorsehen, dass der Versand von Rechnungen per Mail mit Transportverschlüsselung DSGVO-konform sei.  

Zum anderen erinnern wir daran, dass der Schuldner gemäß belgischem Zivilrecht nicht von seiner Zahlungsverpflichtung gegenüber dem Gläubiger befreit wird, wenn er an eine falsche Person zahlt. Hier gilt das Sprichwort: „Wer schlecht zahlt, zahlt zweimal“. Natürlich hat man das Recht, den Empfänger der „falschen“ Zahlung auf Rückerstattung der ungerechtfertigten Zahlung zu verklagen, trägt aber das Zahlungsunfähigkeitsrisiko des Empfängers.

Somit ist anzuraten, dass auch der Empfänger einer Rechnung eine Minimalprüfung durchführt, bevor er zahlt. 

<< zurück