Cyber-Betrüger hacken die Rechnung in der Mail eines SHK-Betriebs, der Kunde überweist ihnen den 5-stelligen Betrag. Das Geld ist weg, nun streiten sich Betrieb und Kunde, wer für den Schaden aufkommen muss. Ein Beitrag von Matthias Scheible.
ภาคภูมิ ปัจจังคะตา - stock.adobe.com
Müssen Unternehmen für unzureichend geschützte Rechnungen im E-Mail-Anhang haften? Im konkreten Fall hatten Cyber-Betrüger eine E-Mail mit Rechnung im PDF-Anhang eines SHK-Betriebs gehackt und die in der Rechnung enthaltenen Kontodaten verändert. Es handelte sich dabei um eine Schlussrechnung mit einem Rechnungsbetrag in Höhe von 15 000 Euro. Der Kunde überwies den Rechnungsbetrag auf das geänderte Konto der Cyber-Betrüger.
Nachdem der Betrieb keinen Zahlungseingang verbuchen konnte, kam es zum Rechtsstreit zwischen dem Betreib und dem Kunden. Es wurde darüber gestritten, ob nochmals eine weitere Zahlung durch den Kunden geschuldet war.
Wer haftet bei gehackten Mails und Dokumenten?
Das Gericht entschied, dass der Kunde keine erneute Zahlung vornehmen musste.
Es wurde festgestellt, dass die vom Betrieb gewählte Rechnungsübermittlungsart die notwendigen Sicherheitsvorkehrungen habe vermissen lassen. Das Gericht führte aus, dass die Transportverschlüsselung, die das Unternehmen beim Versand der Mail in Form von SMTP über TLS verwendete, unzureichend gewesen sei. Insbesondere genüge dies nicht für einen „geeigneten“ Schutz im Sinne der Datenschutzgrundverordnung (DSGVO).
Geht man davon aus, dass es sich bei Konto- und Adressdaten im Rechnungskontext um sensible oder persönliche Inhalte handele, komme bei der Übermittlung nur eine Ende-zu-Ende-Verschlüsselung in Betracht, wenn durch Verfälschung der angehängten Rechnung für den Kunden ein hohes finanzielles Risiko besteht. Ein durchsetzbarer Vergütungsanspruch des SHK-Betriebs wurde daher verneint.
Rechnungen als PDF sind üblich
In der Praxis werden Rechnungen für Dienstleistungen oder Werkleistungen von Betrieben oftmals als PDF-Anhang einer E-Mail versendet. Allerdings zeigt der Fall des Oberlandesgerichts Schleswig-Holstein (vgl. Urteil v. 18.12.2024, Az.: 12 U 9/24), dass die Unternehmen hierbei Vorsicht walten lassen müssen.
Handwerksbetrieben ist daher angeraten, dass sie ihre Rechnungen im E-Mail-Verkehr nur Ende-zu-Ende-verschlüsselt verschicken oder per Post, um nicht Gefahr zu laufen ihren Vergütungsanspruch zu verlieren. Insgesamt werden die Betriebe mehr Verantwortung im digitalen Geschäftsverkehr tragen müssen, um sich nicht dem Risiko von Schadensersatzforderungen auszusetzen. ■
Quelle: haustec.de / Matthias Scheible
