Rechnungsversand per E-Mail – rechtliche Fallstricke und Empfehlungen
Mandantenfrage:
Unsere Frage betrifft wohl kein spezifisch baurechtliches Problem, brennt uns aber auf den Nägeln:
Auch bei uns kommt es vor, dass von Auftraggebern oder Architekten gewünscht wird, dass wir Rechnungen (gegebenenfalls vorab) per E-Mail übermitteln.
Was uns Sorgen macht, ist die Frage, ob bei einer solchen Übermittlung Rechnungen manipuliert werden können, sowie die Frage nach den Folgen, was geschieht, wenn bei einer per E-Mail übermittelten Rechnung die Bankverbindung geändert wird und der Kunde an die falsche Adresse bezahlt.
Expertenantwort:
Sowohl die von Ihnen gestellte Frage als auch Ihre Sorge ist mehr als berechtigt:
Wenn Unterlagen als Anhänge zu einer „normalen“ E-Mail verschickt werden, besteht sehr wohl die Möglichkeit, dass diese Unterlagen vom kriminellen Dritten manipuliert werden können, weil die Übersendung mit eine E-Mail keine Ende-zu Ende-Verschlüsselung darstellt und solche Kommunikation anfällig ist für den sogenannten „Man-in-the-Middle- Angriff“.
Was sind nun die Folgen, wenn ihr Kunde aufgrund einer solchen manipulierten Rechnung an denjenigen bezahlt, der die Rechnungen manipuliert hat, oder dessen Helfer und somit das Geld nicht bei Ihnen ankommt.
Dazu gibt es eine ziemlich aktuelle Entscheidung des Oberlandesgerichts Schleswig, ein Urteil vom 18.12.2024 zu dem Az. 12 U 9/24 zu genau dem Sachverhalt, dass eine mit einer normalen E-Mail verschickt die Rechnungen manipuliert worden war und deshalb die Zahlung nicht an den eigentlichen berechtigten Empfänger, den Auftragnehmer ging, sondern an einen Dritten.
Dieses Urteil hat zum Nachteil des Auftragnehmers entschieden, also dahin, dass der Auftragnehmer von seinen Kunden keine Zahlung mehr verlangen kann, mit folgenden Argumenten:
Was für die Zahlung an den Dritten nicht dazu, dass die Forderung des Auftragnehmers erlischt.
Das nützt aber überhaupt nichts, weil in einem solchen Fall dem zahlenden Auftraggeber ein Schadensersatzanspruch in gleicher Höhe zusteht, welchen er der weiter bestehenden Forderung des Auftragnehmers entgegenhalten kann. Wenn der Auftraggeber bezahlt, kann er aufgrund dieses Schadensersatzanspruches die Zahlung sofort zurückverlangen und deshalb kann der Auftragnehmer sie gar nicht erst verlangen, das ist die sogenannte dolo-agit- Einwendung (es ist nicht zulässig, eine Leistung zu verlangen, die man nach ihrem Erhalt sofort wieder zurückgeben müsste).
Das eigentlich wichtige dieser Entscheidung ist die Begründung des Schadensersatzanspruches des zahlenden Kunden:
Dieser stützt sich nämlich auf Art. 82 DSG VO (Datensicherungsgrundverordnung der Europäischen Union). Diese Norm begründet unmittelbar einen Schadensersatzanspruch, wenn personenbezogene Datendaten unter Verstoß gegen die Bestimmungen der DSG VO verarbeitet werden, dadurch der von der fehlerhaften Datenverarbeitung betroffenen Person ein Schaden entsteht und zwischen der fehlerhaften oder rechtswidrigen Verarbeitung der Daten und dem Schaden ein Kausalzusammenhang besteht.
Die unter Verstoß gegen die DSG VO fehlerhafte Datenverarbeitung wurde darin gesehen, dass sensible Daten, nämlich eine Rechnung, mit einer normalen E-Mail versendet wurde und dabei keine Ende-zu-Ende-Verschlüsselung (neudeutsch End-to-End- Verschlüsselung) verwendet wurde.
Das Oberlandesgericht verkannte nicht, dass auch und gerade für kleine Firmen der Einsatz solcher EDV zusätzlichen Aufwand bedeutet. Jedoch sei auch kleinen und mittleren Firmen zumutbar, sich ihre Kunden gegen die Gefahr von Datenmanipulationen durch Verwendung entsprechender Software und entsprechende Schulung zu schützen.
Wer das nicht wolle, könne und müsse nach wie vor Rechnungen per Post versenden.
Soweit das OLG Schleswig, dass die Revision zugelassen hat. Über die Revision wurde noch nicht entschieden.
Handlungsempfehlung:
Als Empfehlung kann man daher nur ausgeben, dass Rechnungen oder andere Unterlagen, welche Zahlungen auslösen können oder vergleichbare sensible Unterlagen nicht mit normaler E-Mail versendet werden sollten, wenn und solange die hier zitierte Rechtsprechung bestand hat.
