Das OLG Schleswig hat einen Fall entschieden, in dem die Zahlung eines Schlussrechnungsbetrags aus einer Werklohnrechnung durch einen privaten Kunden nicht auf das Konto des Werkunternehmers erfolgte, sondern auf das Konto eines unbekannten Dritten, nachdem die vom Werkunternehmer per E-Mail versandte Rechnung unbefugt verändert worden ist.
Dabei hat das Gericht zwar zunächst festgestellt, dass die Zahlung auf das falsche Konto nicht zur Erfüllung der Zahlungsverpflichtung aus dem Werkvertrag führt.
Der Kunde kann der Forderung aber einen Schadenersatzanspruch in Höhe der auf das Drittkonto getätigten Überweisung entgegenhalten, der sich wiederum gem. Art. 82 DSGVO aus der Verletzung von Vorschriften der Datenschutzgrundverordnung durch den Werkunternehmer ergibt.
Voraussetzung hierfür ist, dass ein unbefugter Zugriff auf personenbezogene Daten zur Veränderung der Rechnung durch einen Dritten geführt hat und es dem Unternehmer nicht gelingt, darzulegen und zu beweisen, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, die personenbezogenen Daten entsprechend dem von der Datenschutzgrundverordnung verlangten Sicherheitsniveau vor dem Zugriff Unbefugter zu schützen.
Das anzuwendende Sicherheitsniveau hangt von den Risiken des Einzelfalls ab. Jedenfalls bei einem hohen finanziellen Risiko genügt eine reine Transportverschlüsselung der E-Mails nicht. Vielmehr ist in solchen Fällen eine End-to-End-Verschlüsselung zu wählen.
OLG Schleswig, Urteil vom 18.12.2024 - 12 U 9/24
Falls Sie Fragen zu dem Artikel oder zum Datenschutzrecht haben, können Sie uns gerne kontaktieren.
Wir helfen Ihnen schnell und kompetent.
