Neues Urteil sorgt für Unsicherheit in Unternehmen
Ein aktuelles Gerichtsurteil verunsichert derzeit Unternehmen, die Rechnungen per E-Mail versenden. Müssen geschäftliche E-Mails künftig konsequent verschlüsselt werden? Diese Frage steht im Raum, nachdem zuletzt widersprüchliche Gerichtsentscheidungen zur E-Mail-Sicherheit gefallen sind. Die UIMC plädiert für eine sachliche, praxisnahe Einordnung der Lage. Klar ist: Sicherheit hat Priorität, doch die rechtlichen Vorgaben zur E-Mail-Verschlüsselung werden bislang uneinheitlich ausgelegt. Woher kommt die Verunsicherung?
Eine Darstellung der Ereignisse:
Auslöser der Debatte ist ein kontroverses Urteil des Oberlandesgerichts (OLG) Schleswig. In einem Betrugsfall mit manipulierter E-Mail-Rechnung hielt das Gericht den Versender der Rechnung überraschend für haftbar. Der Handwerker hätte demnach den Rechnungsversand Ende-zu-Ende verschlüsseln müssen und müsse nun gemäß Art. 82 DSGVO für den Schaden einstehen. Fachleute zeigten sich erstaunt über dieses strenge Verdikt und monierten, dass Verschlüsselung allein derartige Betrugsfälle nicht unbedingt verhindere. So hätte vielmehr bei einer digitalen Signatur die Manipulation auffallen müssen, während Ende-zu-Ende-Verschlüsselung nur funktioniert, wenn Sender und Empfänger im Vorfeld passende Schlüssel austauschen – was in der Praxis oft kaum möglich ist.
Und andere Gerichte?
Diese bewerten vergleichbare Szenarien weniger drastisch. So verneinte etwa das Landgericht Rostock eine automatische Haftung des Absenders, wenn beide Parteien E-Mail als Kommunikationsmittel bewusst gewählt haben. Die Richter argumentierten, die Nutzung der E-Mail als unsicheren Übertragungsweg sei den Beteiligten bekannt gewesen und vom „beiderseitigen Parteiwillen“ gedeckt; eine Pflichtverletzung lasse sich nicht ohne Weiteres aus der Datenschutz-Grundverordnung (DSGVO) herleiten.
Auch das Oberlandesgericht Karlsruhe hat die Anforderungen an E-Mail-Sicherheitsvorkehrungen eher zurückhaltend angesetzt. In einem Urteil von 2023 stellte das OLG fest, dass weder die DSGVO noch das Bürgerliche Gesetzbuch ausdrücklich eine Ende-zu-Ende-Verschlüsselung vorschreiben. Im Geschäftsverkehr sei vielmehr eine Transportverschlüsselung (etwa per TLS) nach wie vor üblich und Stand der Technik. Zugleich betonte das Gericht, dass nicht jedes theoretische IT-Risiko unverhältnismäßige Maßnahmen erzwingt – im entschiedenen Fall hatte der getäuschte Empfänger grobe Warnsignale missachtet, sodass ein etwaiger Schadensersatzanspruch schon wegen dieses Mitverschuldens ausschied.
Pragmatische Linie
Auch in der öffentlichen Verwaltung zeichnet sich eine pragmatische Linie ab. Das Oberverwaltungsgericht (OVG) Münster entschied kürzlich, dass im Regelfall eine Transportverschlüsselung ausreicht und keine generelle Pflicht zur Inhaltsverschlüsselung besteht. Die Datenschutz-Grundverordnung verlange laut Gericht angemessene technische Schutzmaßnahmen nach Risiko und Stand der Technik, nicht aber die absolut sicherste Lösung in jedem Fall. Im behandelten Fall verwies die Behörde auf etablierte Sicherheitsstandards wie TLS und ein Sicherheitskonzept. Diese Kombination genüge in der Regel, befand das Gericht, zumindest solange kein erhöhtes individuelles Risiko konkret vorhanden ist.
Mit anderen Worten: Die DSGVO verlangt keine lückenlose Ende-zu-Ende-Verschlüsselung, solange durch angemessene Maßnahmen ein dem Risiko entsprechendes Schutzniveau erreicht wird.
Einzelfallbetrachtung erforderlich
Die unterschiedlichen Urteile machen deutlich, dass es auf den Einzelfall ankommt. Je sensibler die per E-Mail übermittelten Daten und je größer das potenzielle Schadensrisiko, desto höher sind die Anforderungen an die technischen Sicherungsmaßnahmen. Zugleich gilt der Grundsatz der Verhältnismäßigkeit: Nicht jede theoretisch denkbare Schutzmaßnahme ist verpflichtend, sondern nur jene, die im konkreten Fall erforderlich und zumutbar erscheint.
Formen der Verschlüsselung
Aus technischer Sicht bietet eine Transportverschlüsselung zwar ein Grundmaß an Sicherheit, doch einen wirklich umfassenden Schutz der Daten – auch nach dem Versand – gewährleistet letztlich nur eine Ende-zu-Ende-Verschlüsselung. Allerdings ist letztere in der Praxis wegen des nötigen Schlüsselaustauschs, erforderlichen kompatiblen IT-Systemen und Aufwands bisher wenig verbreitet. Unternehmen stehen daher vor der Herausforderung, ein passendes Niveau an E-Mail-Sicherheit zu finden, welches sowohl den Datenschutzanforderungen als auch der praktischen Handhabbarkeit gerecht wird.
Pragmatische Lösungen für den Schutz
Es gibt aber auch pragmatische Lösungen, die zwischen „keine Sicherheitsmaßnahmen“ und Ende-zu-Ende-Verschlüsselung liegen. Vertrauliche Daten könnten über eine geschützte Umgebung (z. B. Kundenportal oder Cloudspeicher) zum Download bereitgestellt werden. Hierbei sind dem Empfänger nur einmalig Zugangsdaten oder Passwort auf einem sicheren (idealerweise alternativen) Kommunikationskanal mitgeteilt werden.
Empfehlung der UIMC
Angesichts der unklaren Rechtslage rät UIMC, proaktiv für angemessene E-Mail-Sicherheit zu sorgen. Die DSGVO verlangt ein dem Risiko angemessenes Schutzniveau – was das konkret bedeutet, muss jedes Unternehmen anhand der Sensibilität der Daten und der Umstände definieren. Nicht jede E-Mail muss vollumfänglich verschlüsselt werden. Aber sobald vertrauliche oder besonders schützenswerte Informationen im Spiel sind, sollte lieber ein höherer Sicherheitsstandard gewählt werden.
