Phishing und der Datenschutz

7. Februar 2025
Ein (vermeintlicher) Datenschutzverstoß in Zusammenhang mit Phishing, und schon haftet man nicht nur für den Datenschutzverstoß, sondern auch für das Phishing, auch wenn der Phishing-Schaden gar nicht auf dem vermeintlichen Datenschutzverstoß beruht. Kann das wirklich richtig sein?

Das Oberlandesgericht Schleswig hatte in seinem Urteil vom 18. Dezember 2024 (Az. 12 U 9/24) über einen Fall zu entscheiden, in dem ein Unternehmen eine Rechnung per E-Mail an einen Verbraucher versandt hatte. Die Rechnung kam beim Verbraucher manipuliert an, nämlich unter anderem mit einer falschen Bankverbindung. Der Verbraucher zahlte auf das falsche Bankkonto, das Unternehmen verklagte ihn auf Zahlung, weil es die Zahlung ja nicht erhalten hatte. Das Oberlandesgericht hat die Klage abgewiesen, weil (1) die Rechnung personenbezogene Daten des Verbrauchers enthielt (vor allem seinen Namen und seine Anschrift), (2) der Versand der Rechnung per E-Mail ohne Ende-zu-Ende-Verschlüsselung erfolgt sei und das Unternehmen damit gegen Artt. 5, 24, 32 DSGVO verstoßen habe und (3) der Verbraucher darum mit einem Schadensersatzanspruch aus Art. 82 DSGVO in Höhe des Rechnungsbetrags aufrechnen könne. Ich halte das für falsch.

Der Anwendungsbereich der DSGVO war hier nur eröffnet, weil der Rechnungsempfänger eine natürliche Person war. Hätte das Unternehmen die Rechnung etwa an ein anderes Unternehmen gesendet, dann hätte die E-Mail vermutlich keine personenbezogene Daten enthalten und hätte der Rechnungsempfänger mangels Datenschutzverstoß keinen Schadensersatzanspruch aus Art. 82 DSGVO haben können. Natürlich besteht ein Risiko, dass nicht mit Ende-zu-Ende-Verschlüsselung verschlüsselte E-Mails manipuliert werden (übrigens bestünde dieses Risiko immer noch auch bei Verwendung von Ende-zu-Ende-Verschlüsselung, es wäre nur etwas kleiner), aber das ist ein Risiko, das eben unabhängig davon besteht, ob personenbezogene Daten verarbeitet werden oder nicht. Mit anderen Worten: Das Risiko, auf eine manipulierte E-Mail hereinzufallen und einen finanziellen Schaden durch Überweisung auf ein falsches Bankkonto zu erleiden, ist kein Risiko, das nach Art. 32 DSGVO bei der Ermittlung des angemessenen Schutzniveaus zu berücksichtigen ist.

Das zeigt übrigens bereits der Wortlaut von Art. 32 Abs. 1 DSGVO, der für die Ermittlung des Schutzniveaus auf Art, Umfang, Umstände und Zwecke der Verarbeitung abstellt, also personenbezogene Daten in den Fokus nimmt, und bei den technischen Maßnahmen unter anderem die Verschlüsselung gerade der personenbezogenen Daten nennt. Wären die personenbezogenen Daten des Verbrauchers in der manipulierten E-Mail verschlüsselt gewesen, der Rest der Rechnung aber nicht, dann wäre die Manipulation immer noch gelungen und wäre der Schaden immer noch eingetreten.

Neueste Beiträge

Ähnliche Beiträge

Mein Blog

In meinem Blog finden sich aktuellen Informationen und Updates zu allen Teilbereichen des IT-Rechts, in denen ich tätig bin:

Meine Leistungen

Ich biete praxisnahe rechtliche Lösungen für Ihre Fragen und Anliegen aus allen Bereichen des IT-Rechts, die ich auch noch gut erklären kann. Meine Lösungen sind aktuell, vollständig und präzise, und zwar zu vernünftigen Preisen und, wenn Sie wollen und soweit zulässig, zum Festpreis.

Je individueller Ihre Produkte und Dienstleistungen sind, desto individueller muss auch die Rechtsberatung sein, und da sind Sie bei mir richtig.

Kontakt

Sie erreichen mich am besten per E-Mail unter tim@timschroeder.law. Meinen-PGP Key gibt es hier.