OLG Karlsruhe: Da das Gesetz keine Vorgaben für den sicheren Versand von E-Mails im geschäftlichen Verkehr kennt,ist bei fehlender Vereinbarung zwischen Sender&Empfänger die Verkehrserwartung & Zumutbarkeit zu berücksichtigen

So das Gericht in seinem Urteil vom 27. Juli 2023 (Az.: 19 U 83/22) in einem Rechtsstreit rund um Ansprüche aus einem Vertrag, bei dem auch eine Fehlüberweisung auf ein Drittkonto hinsichtlich der Kaufpreisforderung erfolgte und diese Zahlung durch eine E-Mail mit einer gefälschten Rechnung veranlasst worden war. Diese sei, so der Beklagte, durch einen Hackerangriff verursacht. Diese Fehlversendung sah der Kläger als Pflichtverletzung nach § 280 I BGB an. Das Gericht führt in den Entscheidungsgründen unter anderem aus:

„…Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt es nicht; insbesondere ist der sachliche Anwendungsbereich der Datenschutz-Grundverordnung im Streitfall nicht eröffnet, da diese nur für die Verarbeitung von Informationen gilt, die sich auf eine natürliche Person beziehen (vgl. Art. 2 Abs. 1, Art. 4 Nr. 1 DS-GVO). Auch eine ausdrückliche Vereinbarung zwischen den Parteien ist insoweit nicht erfolgt; insbesondere hat die Beklagte, von der die Initiative dafür ausging, dass die Rechnung überhaupt per E-Mail verschickt wurde, anlässlich der Äußerung ihrer entsprechenden Bitte in der E-Mail ihres Geschäftsführers vom 8. Oktober 2021, 10:15 Uhr (Anlage K 2) keinerlei Sicherheitsvorkehrungen, die sie für erforderlich halte, ausdrücklich erwähnt. Welches Maß an Sicherheitsvorkehrungen von der Klägerin zu fordern war, bestimmt sich daher nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (vgl. Riem/Meier, MMR 2020, 571, 573).

Nicht maßgeblich für die berechtigten Sicherheitserwartungen des Verkehrs ist dabei die vom Landgericht herangezogene „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen“. Ausweislich deren Zielstellung dient sie zur Konkretisierung der Vorgaben des Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 Abs. 1 DS-GVO. Letztere ist aber, wie soeben ausgeführt, im Verhältnis der Parteien zueinander überhaupt nicht anwendbar. Ohnehin wird hierin die Verwendung einer Ende-zu-Ende-Verschlüsselung anders als vom Landgericht dargestellt nicht als stets erforderlich angesehen, sondern sollte „in der Abwägung der notwendigen Maßnahmen berücksichtigt“ werden und wird nur für den Fall, dass „der Bruch der Vertraulichkeit ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen darstellt“, als „Muss“ bezeichnet…“

Dann folgen detaillierte Ausführungen zu einzelnen technischen Maßnahmen.