Das Oberlandesgericht Schleswig hatte in seinem Urteil vom 18. Dezember 2024 (Az. 12 U 9/24) über einen Fall zu entscheiden, in dem ein Unternehmen eine Rechnung per E-Mail an einen Verbraucher versandt hatte. Die Rechnung kam beim Verbraucher manipuliert an, nämlich unter anderem mit einer falschen Bankverbindung. Der Verbraucher zahlte auf das falsche Bankkonto, das Unternehmen verklagte ihn auf Zahlung, weil es die Zahlung ja nicht erhalten hatte. Das Oberlandesgericht hat die Klage abgewiesen, weil (1) die Rechnung personenbezogene Daten des Verbrauchers enthielt (vor allem seinen Namen und seine Anschrift), (2) der Versand der Rechnung per E-Mail ohne Ende-zu-Ende-Verschlüsselung erfolgt sei und das Unternehmen damit gegen Artt. 5, 24, 32 DSGVO verstoßen habe und (3) der Verbraucher darum mit einem Schadensersatzanspruch aus Art. 82 DSGVO in Höhe des Rechnungsbetrags aufrechnen könne. Ich halte das für falsch.
Der Anwendungsbereich der DSGVO war hier nur eröffnet, weil der Rechnungsempfänger eine natürliche Person war. Hätte das Unternehmen die Rechnung etwa an ein anderes Unternehmen gesendet, dann hätte die E-Mail vermutlich keine personenbezogene Daten enthalten und hätte der Rechnungsempfänger mangels Datenschutzverstoß keinen Schadensersatzanspruch aus Art. 82 DSGVO haben können. Natürlich besteht ein Risiko, dass nicht mit Ende-zu-Ende-Verschlüsselung verschlüsselte E-Mails manipuliert werden (übrigens bestünde dieses Risiko immer noch auch bei Verwendung von Ende-zu-Ende-Verschlüsselung, es wäre nur etwas kleiner), aber das ist ein Risiko, das eben unabhängig davon besteht, ob personenbezogene Daten verarbeitet werden oder nicht. Mit anderen Worten: Das Risiko, auf eine manipulierte E-Mail hereinzufallen und einen finanziellen Schaden durch Überweisung auf ein falsches Bankkonto zu erleiden, ist kein Risiko, das nach Art. 32 DSGVO bei der Ermittlung des angemessenen Schutzniveaus zu berücksichtigen ist.
Das zeigt übrigens bereits der Wortlaut von Art. 32 Abs. 1 DSGVO, der für die Ermittlung des Schutzniveaus auf Art, Umfang, Umstände und Zwecke der Verarbeitung abstellt, also personenbezogene Daten in den Fokus nimmt, und bei den technischen Maßnahmen unter anderem die Verschlüsselung gerade der personenbezogenen Daten nennt. Wären die personenbezogenen Daten des Verbrauchers in der manipulierten E-Mail verschlüsselt gewesen, der Rest der Rechnung aber nicht, dann wäre die Manipulation immer noch gelungen und wäre der Schaden immer noch eingetreten.