Wir sind für Sie da
  • 02572 - 91727 - 0
  • info@bolwindokters.de
Zur Starseite

OLG: Haftungsrisiken bei Manipulation von Rechnungen

08.02.2025 – Das Schleswig-Holsteinische Oberlandesgericht hat in einem aktuellen Urteil (Az.: 12 U 9/24 vom 18.12.2024) klargestellt, dass Unternehmen bei der Versendung von Rechnungen per E-Mail hohe Sicherheitsanforderungen einhalten müssen. Andernfalls drohen Haftungsrisiken, insbesondere nach der Datenschutz-Grundverordnung (DSGVO).
Kernaussagen des Urteils:

  1. Keine Erfüllung der Zahlungspflicht bei Manipulation der Rechnung: Wenn eine an den Kunden per E-Mail versandte Rechnung unbefugt verändert wird und der Kunde auf ein falsches Konto zahlt, gilt die Forderung nicht als erfüllt (§ 362 Abs. 2 BGB).
  2. Haftung des Unternehmens möglich: Der Kunde kann einen Schadensersatzanspruch gegen das Unternehmen geltend machen, wenn ihm durch unzureichende Sicherheitsmaßnahmen ein Schaden entstanden ist (Art. 82 DSGVO).
  3. Nachweispflicht des Unternehmens: Unternehmen müssen belegen können, dass sie angemessene technische und organisatorische Maßnahmen ergriffen haben, um Manipulationen zu verhindern (Art. 5 Abs. 2, Art. 24 DSGVO).
  4. End-to-End-Verschlüsselung erforderlich: Das Gericht hält eine reine Transportverschlüsselung für unzureichend und sieht End-to-End-Verschlüsselung als aktuellen Sicherheitsstandard an.
  5. Beweislast des Unternehmens: Kann das Unternehmen kein ausreichendes Schutzniveau nachweisen, trägt es die Beweislast dafür, dass der Schaden nicht durch eigene Versäumnisse entstanden ist.
  6. Mitverschulden des Kunden: Ein Kunde kann sich unter Umständen ein Mitverschulden anrechnen lassen, wenn die manipulierte Rechnung auffällige Abweichungen zu früheren Rechnungen aufweist.

Um das Risiko von Manipulationen und daraus resultierenden Haftungsrisiken zu minimieren, sollten Unternehmen geeignete Sicherheitsmaßnahmen ergreifen. Der Versand von E-Mails mit sensiblen Daten sollte grundsätzlich mittels End-to-End-Verschlüsselung erfolgen, da eine reine Transportverschlüsselung nicht ausreicht, um unbefugte Eingriffe zu verhindern. Darüber hinaus empfiehlt es sich, interne Prozesse zur Prüfung und Freigabe von Rechnungen zu optimieren, um potenzielle Sicherheitslücken frühzeitig zu erkennen und zu schließen.

Auch die Kundenkommunikation spielt eine entscheidende Rolle: Unternehmen sollten ihre Kunden aktiv über Sicherheitsmaßnahmen informieren, insbesondere dann, wenn es zu Abweichungen von standardmäßigen Kontoverbindungen kommt. So kann die Sensibilisierung der Kunden dazu beitragen, betrügerische Veränderungen frühzeitig zu erkennen. Ebenso wichtig ist die Schulung der Mitarbeiter im Umgang mit E-Mail-Sicherheitsrisiken und die Erkennung von Phishing-Angriffen, um eine erhöhte Wachsamkeit im gesamten Unternehmen zu gewährleisten.

Bitte beachten Sie, dass diese allgemeinen Empfehlungen keine individuelle rechtliche Beratung ersetzen können. Sollten Sie Fragen zu den konkreten Auswirkungen dieses Urteils auf Ihr Unternehmen haben oder eine individuelle rechtliche Beratung wünschen, stehen wir Ihnen gerne zur Verfügung.