Rechnungs-E-Mail gehackt und unbefugt verändert: Handwerksbetrieb bleibt auf Schaden sitzen

Wenn eine per E-Mail versandte Werklohnrechnung gehackt und unbefugt verändert wird und der Kunde deshalb an einen unbekannten Dritten zahlt, muss er nach einem Urteil des Oberlandesgerichts Schleswig-Holstein nicht noch einmal an den Werkunternehmer zahlen, wenn dieser die Rechnung ohne „Ende-zu-Ende-Verschlüsselung“ versandt hat und deshalb gegen ihn ein Schadensersatzanspruch aus Art. 82 DSGVO besteht (Az. 12 U 9/24).

Im Streitfall verschickte ein Handwerksbetrieb drei Teilrechnungen über Installationsleistungen jeweils als PDF-Datei per E-Mail an eine Kundin. Die Schlussrechnung über 15.000 Euro wurde gehackt. Weil die Kontodaten dabei manipuliert wurden, überwies die Kundin den Rechnungsbetrag auf das Konto unbekannter Dritter.

Erfüllt habe die Kundin die Forderung des Handwerksbetriebs mit der Zahlung zwar nicht, führte das Oberlandesgericht Schleswig-Holstein dazu aus. Noch einmal zahlen müsse sie dennoch nicht. Die Richter bejahten einen Schadensersatzanspruch der Kundin gegen den Handwerksbetrieb, den es der Werklohnforderung nach § 242 BGB entgegenhalten kann. Der Schadensersatzanspruch ergebe sich aus Art. 82 Abs. 2 DSGVO. Der Handwerksbetrieb habe mit der Rechnungstellung personenbezogene Daten der Auftraggeberin computertechnisch verarbeitet und deswegen die in Art. 5, 24 und 32 DSGVO enthaltenen Grundsätze beachten müssen. Das habe er vorliegend mit Versand der Rechnung als E-Mail-Anhang nicht getan. Bei sensiblen oder persönlichen Inhalten komme nur eine „Ende-zu-Ende-Verschlüsselung“ in Betracht, wenn durch Verfälschung der angehängten Rechnung für den Kunden ein hohes finanzielles Risiko besteht.