So unter anderem das Gericht in seinem Urteil vom 20.Mai 2026 (Az.: 8 O 266/25) um Zahlungsansprüche aus einem Kaufvertrag, dessen Rechnung per E-Mail übermittelt worden war an die Käufer. Bei der Übermittlung soll ein Dritter die Rechnung abgefangen und die Zahlungsdaten ausgetauscht haben. Das Gericht sah keinen Verstoß gegen die DSGVO und damit auch keinen Anspruch nach Art. 82 DSGVO. Es führt in den Entscheidungsgründen unter anderem aus:
„…Die Beklagte war nach der DSGVO nicht dazu verpflichtet, die streitgegenständlichen Rechnungen mittels Ende-zu-Ende-Verschlüsselung zu versenden.
Die DSGVO legt unter anderem in Art 24 Abs. 1 DSGVO dem Verantwortlichen auf „unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um[zusetzen], um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt“. Nach Art. 24 Abs. 2 DSGVO muss der Verantwortliche daneben präventiv tätig werden und geeignete Datenschutzvorkehrungen treffen, welche in einem angemessenen Verhältnis zur Verarbeitungstätigkeit stehen müssen. Ein definitives Schutzniveau oder ein bestimmtes Sicherungsmittel zur Herstellung des Schutzes bestimmt die DSGVO ausdrücklich nicht. Vielmehr stellt die DSGVO das Maß an zu treffende Sicherheitsvorkehrungen unter das Prinzip der Verhältnismäßigkeit, ohne die zu berücksichtigenden Interessen in welcher Form auch immer einzugrenzen. Daher können dies alle Arten von Interessen sein. Insbesondere sind damit auch wirtschaftliche Faktoren wie etwa die Kosten und der tatsächliche Aufwand einer Umsetzung der Datenschutzvorkehrungen zu berücksichtigen (Gola/Heckmann/Piltz, 3. Aufl. 2022, DS-GVO Art. 24 Rn. 59, beck-online). Da die DSGVO selbst aber keine Klarheit darüber bietet, welche konkreten Standards anzuwenden sind (so auch OLG Schleswig, Urteil vom 18.12.2024 – 12 U 9/24 Rn. 67), ist dieses Maß unter Abwägung der genannten Interessen zu bestimmen ist, wobei auch die berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (OLG Karlsruhe, Urteil vom 27.07.2023, 19 U 83/22) eine nicht zu vernachlässigende Rolle spielen. Die vom Oberlandesgericht Schleswig in Bezug genommene „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen vom 27.05.2021“ sieht eine wie von den Klägern in Anspruch genommene Ende-zu-Ende-Verschlüsselung nicht zwingend vor.
Eine mit erheblichem organisatorischem und technischem Aufwand verbundene Ende-zu-Ende-Verschlüsselung, bei der die erforderlichen Schlüssel auf anderem Wege als die zu übermittelnde Nachricht – hier die streitgegenständlichen Rechnungen – bereitgestellt werden müssen, wird weder im konkreten Geschäftsverkehr vorausgesetzt, noch entspricht sie den üblichen Sicherheitserwartungen im allgemeinen Geschäftsverkehr.
Bei einer Ende-zu-Ende-Verschlüsselung wird die Vertraulichkeit der Kommunikation dadurch gewährleistet, dass die Daten beim Absender verschlüsselt und erst beim Empfänger entschlüsselt werden, sodass Dritte – etwa Server oder Netzbetreiber – den Inhalt der so geschützten Nachricht nicht einsehen können. Dies setzt jedoch voraus, dass die erforderlichen kryptographischen Schlüssel zwischen den Parteien gesondert und zugleich hinreichend sicher ausgetauscht werden. Auch dieser Schlüsselaustausch selbst erfordert zusätzliche technische und organisatorische Maßnahmen und begründet weiteren Aufwand auf Seiten aller Beteiligten.
Gerade im vorliegenden Falle hatte sich die Kläger keine Gedanken über etwaige Sicherheitsvorkehrungen gemacht (siehe III.2.a)). Vielmehr sollte der Kauf offensichtlich unkompliziert ohne weitere Verifizierungen abgewickelt werden. Nur so ist es zu erklären, dass die Kläger eine Überweisung über beträchtliche Summen tätigten, ohne sich seinerseits der Authentizität der übermittelten Rechnung zu vergewissern. Er mag zwar auf deren Integrität vertraut und sich möglicherweise in Unkenntnis, ob des Risikos einer unverschlüsselten Nachricht als auch über die Möglichkeiten einer Verschlüsselung befunden haben. Genau hierin kommen aber die konkreten Sicherheitserwartungen der Kläger zum Ausdruck. Der Kläger zu 1 führte selbst aus, dass er ein 76 Jahre alter Rentner sei, der keine Geschäfte im Internet tätigt. Begeben sich die Kläger – vertreten durch den Kläger zu 1 – aber in diese Sphäre und gehen nach eigenem Vortrag davon aus, den Vertrag durch die Übersendung eines Angebots per E-Mail ohne weitere Sicherheitsmaßnahmen schließen zu können, bringt dies die von ihnen der Vertragsabwicklung zugrunde gelegten Sicherheitserwartungen gegenüber der Beklagten zum Ausdruck. Dies zeigt sich auch darin, dass der Kläger zu 1, wie erwähnt, noch nach Kenntnis des Vorfalls und in Kenntnis eines möglichen „Hacking-Angriffs“ mit unverschlüsselter E-Mail eine Nachricht an die Beklagte übersandte, die wesentliche und sensible Informationen enthielt.
Da die Ende-zu-Ende-Verschlüsselung im Übrigen nicht alleine vom Verwender durchgeführt werden kann, sondern die (aktive) Mitwirkung des Empfängers voraussetzt (Ziegler MMR 2023, 761), kann diese auch nicht ohne weiteres zum allgemeinen Maßstab der zu treffenden Sicherheitsvorkehrungen gemacht werden. Der elektronische Rechtsverkehr lebt von der Schnelligkeit und unkomplizierten Verfügbarkeit von Informationen, um eine reibungsfreie Abwicklung der Geschäfte zu ermöglichen.
Daher hat sich die Verwendung einer derartigen Verschlüsselung im Rechtsverkehr nicht durchgesetzt (Pauly aaO). Dass dabei im Allgemeinen gerade der unverschlüsselte und insofern ungeschützte E-Mail-Verkehr sowohl von Verbraucher- als auch von Unternehmerseite umfassend toleriert wird und daher weitergehende Verschlüsselungstechniken nicht als Maßstab der geschäftlichen E-Mail-Kommunikation gelten können, zeigt sich auch daran, dass die sicherere, gleichwohl nicht Ende-zu-Ende-verschlüsselte „DE-Mail“ wegen des damit verbundenen höheren Aufwandes von Bürgerinnen und Bürger sowie von Unternehmen nahezu nicht genutzt wurde (6.000 DE-Mails zwischen 2011 und 2020 Jahresbericht 2021 des Bundesrechnungshofes, https://www.bundesrechnungshof.de/SharedDocs/Downloads/DE/Berichte/2021/de-mail-kaum-genutzt-volltext.pdf?__blob=publicationFile&v=1).
Dabei kann die Notwendigkeit der Verschlüsselung auch nicht von der Höhe der zu zahlenden bzw. zu überweisenden Beträgen (so Pauly ZfBR 2025, 629) abhängig gemacht werden. Weder lässt sich dies anhand des Verordnungstextes begründen, noch können die zu erwartenden Sicherungsvorkehrungen zwingend an einer bestimmten Summe gemessen werden, die letztlich auch davon abhängt, welche Art von Geschäften in welchem Umfeld abgewickelt werden sollen. Die Sensibilität der übermittelten Daten kommt nicht zwangsläufig in der Höhe der Rechnungssumme zum Ausdruck.
Ein Verstoß gegen andere (behauptete) Pflichten des Rechtsverkehrs haben die Kläger aber weder vorgetragen noch sind diese ersichtlich. Allein aus der Tatsache, dass es Dritten gelungen ist, auf Daten zuzugreifen und sie zu veröffentlichen, folgt noch nicht, dass der Verantwortliche keine geeigneten technischen und organisatorischen Maßnahmen zum Schutz ergriffen hat (EuGH GRUR-RS 2023, 3578 – natsionalna agentsia za prihodite, BeckOK DatenschutzR/Quaas, 55. Ed. 1.2.2026, DS-GVO Art. 82 Rn. 14e, beck-online)…“
Hinweis des Autors:
Dem Autor ist zum Zeitpunkt der Erstellung des Beitrages nicht bekannt, ob die Entscheidung rechtskräftig ist.
