Bitte aktivieren Sie JavaScript in Ihrem Browser, um alle Funktionen dieser Seite nutzen zu können.
You need to activate JavaScript in your browser to use all the functions on this page.
Zertificon Solutions GmbH
Home » Zertificon Blog » DSGVO – Aktuelle Rechtsprechung OLG Schleswig: TLS beim Rechnungsversand per E-Mail auch an Privatkunden nicht immer ausreichend!

Zertificon Blog

Als Hersteller von Verschlüsselungslösungen schreiben wir hier zum Thema "sichere geschäftliche Kommunikation".

RECHTLICHE VORGABEN   14. FEB 2025

DSGVO – Aktuelle Rechtsprechung OLG Schleswig: TLS beim Rechnungsversand per E-Mail auch an Privatkunden nicht immer ausreichend!

Schadensersatz bei DSGVO-Klagen wegen TLS-VerschlüsselungWie gelingt im B2C die sichere Ende-zu-Ende-Verschlüsselung als Alternative zu TLS? Kostengünstig, aufwandsarm und zukunftssicher?

Ein aktuelles Urteil des Oberlandesgerichts (OLG) Schleswig sorgt für Diskussionen und Irritationen: Die Transportverschlüsselung (TLS) war bei einer Rechnungszustellung per E-Mail im B2C als nicht angemessenes Schutzniveau erachtet worden.

Müssen nun alle Rechnungen an Privatverbraucher verschlüsselt werden?

Nein, nicht grundsätzlich. Ein genauerer Blick auf den aktuellen Fall hilft einzuordnen, wann E-Mail-Verschlüsselung auch im B2C notwendig ist:

Ein Bauunternehmen hatte eine Rechnung in Höhe von ca. 15.000 EUR per E-Mail an einen Verbraucher versendet und dabei keine besonderen Sicherheitsmaßnahmen nachweisen können. Selbst die TLS-Sicherung war im Verfahren angezweifelt worden. Der Nachweis ist auch schwer zu erbringen. Mehr dazu lesen Sie in unserem Blogpost „Kann ich E-Mails mit TLS datenschutzkonform gemäß EU DSGVO verschlüsseln?“.
Unbekannte Dritte manipulierten die E-Mail mit der Rechnung im Anhang und fügten dort eine andere Bankverbindung ein. Der Kunde hat den Rechnungsbetrag auf dieses Konto überwiesen.

Das OLG Schleswig urteilt im Dezember 2024 wie folgt:

Nach Ansicht des Senats ist danach eine reine Transportverschlüsselung beim Versand von geschäftlichen Emails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei dem hier bestehenden hohen finanziellen Risiko durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.
Quelle: Rechtsprechung OLG Schleswig, 18.12.2024 – 12 U 9/24

Die rechtliche Einordnung des Urteils zur mit TLS ungenügend gesicherten E-Mail:

  • Die Zahlung des Kunden an das Bauunternehmen ist weiterhin offen, vgl. § 362 BGB.
  • Aufgrund des mangelnden Schutzes der personenbezogenen Daten nach Art. 32 DSGVO sowie des belegbaren Kausalzusammenhanges zwischen Verstoß und Schaden schuldet das Bauunternehmen dem Kunden einen Schadensersatz nach Art. 82 DSGVO in Höhe der Rechnungssumme.

Das bedeutet nun, dass die Zahlung de facto nicht erneut erfolgt und der Bauunternehmer den Schaden hat. Wer den Fall detailliert durcharbeitet, wird feststellen, dass in Bezug auf die E-Mail-Sicherheit reichlich Mutmaßungen vorgebracht wurden, und keine Beweise diese bestätigen oder widerlegen konnten. Das entspricht exakt der Herausforderung mit E-Mails im Tagesgeschäft, die eben nicht explizit signiert und verschlüsselt wurden.

Was sagt der E-Mail-Verschlüsselungsexperte?

Zertificon ist mit Z1 SecureMail Gateway seit 20 Jahren am Markt, um Sicherheit und Datenschutz in der digitalen Kommunikation für Unternehmen zu vereinfachen
Z1 SecureMail Gateway erfüllt höchste Sicherheitsansprüche und die Datenschutz-Compliance und schützt sowohl KMU als Konzerne vor Schadensersatzansprüchen durch unsichere E-Mail. Zu häufig wird die Investition jedoch über Jahre aufgeschoben oder es ist gar nicht bekannt, dass es technische Lösungen gibt, die verlässlichen Datenschutz nach DSGVO für E-Mails leisten, auch im Austausch mit Privatkunden.

Das Projekt Sicherheitsabstufung für E-Mail einfach überspringen

TLS war für den besprochenen Fall nicht ausreichend, für andere wird es ausreichend sein. Wer möchte wo genau die Grenze ziehen?

Ein aufwändiges Projekt mit anschließender Schulung der Mitarbeiter zur Einstufung der Sicherheitsrisiken ist nicht notwendig, wenn eine unkomplizierte Technik einfach regelbasiert verschlüsselt. Es entsteht kein Mehraufwand, wenn zentral im Z1 SecureMail Gateway festgelegt wird, dass beispielsweise alle E-Mails von der Rechnungsabteilung verschlüsselt werden. Das verhindert Fehleinschätzungen und teure Prozesse.

Wie gelingt DSGVO-konforme Ende-zu-Ende-Verschlüsselung mit Privatkunden?

Z1 SecureMail Gateway ist die DSGVO-konforme Lösung zur Sicherung von E-Mails im B2B und B2C, denn sie

  • sichert E-Mails in einer Form, dass der Empfänger sieht, dass es sich um eine sichere E-Mail handelt und er dem Inhalt trauen kann.
  • speichert jede Sicherheitsaktion, sodass ein Nachweis zum Sicherheitsstatus einer E-Mail schnell erbracht ist.
  • passt sich der technischen Ausstattung des Empfängers an, sodass
  • Privatkunden keine extra Software installieren müssen.
  • im B2B vorhandene E-Mail-Zertifikate automatisch verwendet werden und kein Mehraufwand entsteht.

Wie Ende-zu-Ende-Verschlüsselung für Ihre Mitarbeiter und die Kunden funktioniert? Das sehen Sie in diesem Video:

Video (5 Min): Z1 SecureMail sendet eine E-Mail gleichzeitig an drei Kontakte mit verschiedenen Verschlüsselungstechnologien. Sicherheit trifft Effizienz!

Unsere Lösung Z1 SecureMail Gateway verschlüsselt E-Mails inhaltsbasiert und nutzt kryptografische digitale Signaturen für einen Absenderbeweis sowie, um anzuzeigen, wenn E-Mails manipuliert wurden. Die Höhe der Investition ist dabei nicht höher als der Preis für 1 Kaffee + 1 Stück Kuchen pro Nutzer und Monat.

Z1 SecureMail Live-Webinar mit Produktdemo

Erfahren Sie, wie Sie E-Mail-Verschlüsselung einfach und zentral umsetzen können, und stellen Sie Ihre Fragen. Hier finden Sie die aktuellen Termine:

Jetzt anmelden

Warum kam zum Schutz der E-Mail an einen Privatkunden die kryptografische digitale Signatur nicht als Lösung in Frage?

Die kryptografische digitale Signatur wurde für den oben genannten Fall in Foren und Blogs auch als Lösung thematisiert, denn technisch ist sie auch genau dafür geeignet, anzuzeigen,

  • ob der Absender einer E-Mail wirklich derjenige ist, der er vorgibt zu sein und
  • ob die Unversehrtheit einer E-Mail bewiesen ist oder Manipulationen erfolgt sind.

Das Problem im B2C: Es werden häufig Webmailer eingesetzt. Diese können kryptografische digitale Signaturen nicht auswerten. Damit ist keine Verbesserung des Schutzniveaus im Austausch mit Privatkunden erreicht. Im B2B hingegen sind digitale Signaturen als Sicherheitsmaßnahmen weit verbreitet und sorgen für Vertrauen in der digitalen Kommunikation. Auch dafür sind Unternehmen mit Z1 SecureMail Gateway bestens aufgestellt.

E-Mail ComplianceEnde-zu-Ende-VerschlüsselungEU DSGVOTLS für E-MailVerschlüsselung mit Endkunden

Top Posts

Tags

E-Mail-Verschlüsselung (31) E-Mail-Sicherheit (20) EU DSGVO (10) E-Mail-Zertifikate (9) Verschlüsselungs-Gateway (8) Datenschutz (6) Verschlüsselung mit Endkunden (6) EDI@Energy (5) sicherer Dateitransfer (5) Digitale Signatur (5) Secure Email Gateway (4) AS4 (3) Gesundheitswesen (3) Ende-zu-Ende-Verschlüsselung (3) E-Mail Signatur (2) verschlüsselte PDF (2) GeschGehG (2) Edward Snowden (2) M365 (1) NIS2 (1) Public Key Infrastruktur (1) Domainzertifikat (1) IT Security Jobs (1)
WordPress Cookie Plugin von Real Cookie Banner