Foto: © auremar/123RF.com
HWK Trier | Mai 2025
Beratung: Beruflich weiterkommen im Handwerk
Persönliche Beratung beim "Zukunftstreffer" :Die nächste Sprechstunde ist am Dienstag, 13. Mai, von 16. bis 17.30 Uhr.
Hacker kaperten und manipulierten die Schlussrechnung über 15.385,78 Euro so, dass sie falsche Kontodaten anzeigte. (Foto: © jiaking1/123RF.com)
Vorlesen:
E-Mail mit Rechnung wurde gehackt: Handwerker geht leer aus
Ein SHK-Betrieb verschickte seine Rechnung per unverschlüsselter Mail, die von Hackern manipuliert wurde. Er blieb auf seinen Kosten sitzen, nachdem der Kunde an die Betrüger gezahlt hatte. Das entschied das OLG Schleswig.
Unternehmen müssen E-Mail-Rechnungen mit Ende-zu-Ende-Verschlüsselung versenden. Das zeigt ein aktueller Fall des Oberlandesgerichts Schleswig. Cyber-Kriminelle hatten eine E-Mail mit der PDF-Rechnung eines SHK-Betriebs gehackt und seine Kontodaten verändert. Die Kundin überwies den Rechnungsbetrag auf das falsche Konto. Sie habe gegen den Betrieb einen Anspruch auf Schadensersatz nach der DSGVO, den sie der Zahlungsforderung des Handwerkers entgegenhalten konnte, so das Urteil.
Der Fall
Ein SHK-Handwerker verschickte Rechnungen für seine Installationsleistungen jeweils als PDF-Datei per E-Mail an eine Kundin. Hacker kaperten und manipulierten die Schlussrechnung über 15.385,78 Euro so, dass sie falsche Kontodaten anzeigte. Die Kundin überwies den Rechnungsbetrag auf das Konto der Betrüger. Vor Gericht stritt sie mit dem Handwerker, ob sie mit der Überweisung auf das falsche Konto ihren Teil des Vertrages erfüllt habe.
Das Urteil
Die offene Forderung des Handwerksbetriebs habe die Kundin mit der Zahlung zwar nicht erfüllt, stellte das Oberlandesgericht (OLG) klar. Zwischen den beiden sei ein Werkvertrag nach § 631 BGB zustande gekommen. Der Installateur habe seine vertraglich geschuldet Werkleistung erbracht, und es war nach Abnahme des Werkes noch eine Vergütung in Höhe von 15.385,78 Euro fällig.
Trotzdem müsse die Kundin nicht erneut zahlen, urteilten die Richter. Denn sie habe gegen den Betrieb einen Anspruch auf Schadensersatz aus Art. 82 Abs. 2 DSGVO, den sie der Werklohnforderung entgegenhalten kann.
Betriebsführung
BGH-Urteil: 500 Euro Schadensersatz für voreiligen Schufa-Eintrag
Betriebsführung
Darf man Bewerber per Google-Suche checken?
Betriebsführung
Tipps für den Datenschutz im Homeoffice
Datenschutz verletzt
Der Handwerker habe mit der Rechnungsstellung personenbezogene Daten der Kundin computertechnisch verarbeitet. Dabei hätte er die in Art. 5, 24, und 32 DSGVO enthaltenen Grundsätze beachten müssen. Ein Versand der Rechnung als E-Mail-Anhang genüge diesen Vorgaben nicht.
Die Transportverschlüsselung, die das Unternehmen beim Versand der Mail in Form von SMTP über TLS verwendet habe, sei unzureichend und nicht zum Datenschutz geeignet.
Ende-zu-Ende-Verschlüsselung oder Briefpost
Gerade bei sensiblen oder persönlichen Daten ist nach Ansicht der Richter eine Ende-zu-Ende-Verschlüsselung notwendig, wenn für Kunden durch Hacking ein hohes finanzielles Risiko bestehe. Das Risiko eines Vermögensschadens durch Datenhacking hafte den E-Mail-Rechnungen per se an.
Deshalb fordert das OLG ein proaktives Handeln von den Unternehmen. Den technischen und finanziellen Aufwand müsse auch ein mittelständischer Handwerksbetrieb auf sich nehmen – oder er müsse die Rechnungen eben wie früher per Post verschicken.
Oberlandesgericht Schleswig, Urteil vom 18. Dezember 2024, Az. 12 U 9/24
Die Berater in den Handwerkskammern helfen Ihnen bei Rechtsfragen gerne weiter!
DHB jetzt auch digital!Einfach hier klicken und für das digitale Deutsche Handwerksblatt (DHB) registrieren!
Text: Anne Kieserling / handwerksblatt.de
Newsletter
1 Kommentar
Kommentar schreiben