Man kann die DSGVO so auslegen, dass sie Digitalisierung ermöglicht. Man kann aber auch jegliches Augenmaß verlieren und die DSGVO als Digitalisierungsbremse missverstehen. Dies zeigt eine neuere Entscheidung aus dem hohen Norden. Ein Gericht aus Schleswig hält die vordigitale Briefpost auch heute noch für das Maß aller Dinge, für das „Mittel der Wahl“.

Wir schreiben das Jahr 2025. Und viele von uns erhalten und versenden jeden Tag Rechnungen, dies nur noch sehr selten auf Papier, meist per E-Mail als PDF. Die Mails werden fast durchgängig mit Transportverschlüsselung versandt, nur ganz selten Ende-zu-Ende verschlüsselt. Das OLG Schleswig hält den Verzicht auf eine Ende-zu-Ende-Verschlüsselung jetzt für datenschutzwidrig und bezeichnet den „Versand von Rechnungen per Post“ als „Mittel der Wahl“ (OLG Schleswig vom 18.12.2024, Az. 12 U 9/24, Rn. 93).

In dem Fall, den das OLG zu entscheiden hatte, ging es um eine Handwerkerrechnung in Höhe von rund 15.000 EUR. Ein Bauunternehmen hatte die Rechnung einem Bauingenieur geschickt, der für den Bauherrn tätig war. Bei dem Ingenieur ging eine gefälschte Version der Rechnung ein mit Bankdaten eines unbekannten Dritten. Die Überweisung ging heraus an das falsche Konto, das Geld verschwand. Wie genau es zu der Fälschung gekommen war, wer auf welchem Server oder Rechner Hacking betrieben hatte, blieb in erster wie zweiter Instanz unklar. Eine Beweisaufnahme, die Anhörung von Zeugen oder gar ein Sachverständigengutachten hielt das Schleswiger OLG offenkundig für entbehrlich.

Das OLG Schleswig bejahte stattdessen einen Datenschutzverstoß des klägerischen Bauunternehmens und einen Schadenersatzanspruch des Bauherrn aus Art. 82 DSGVO. Dass es die Bankdaten der Klägerin waren, die manipuliert wurden, und keine personenbezogenen Daten des Bauherrn störte das OLG nicht. Mit schlanker Hand schloss das Gericht vom konkreten Fall auf die DSGVO und meinte, „der zu entscheidende Fall“ zeige deutlich, dass „hier keine ‚Verarbeitungssituation mit normalen Risiken‘ vorliegt“ und Art. 32 DSGVO daher eine Ende-zu-Ende-Verschlüsselung jedweder Rechnungsmails verlange (a.a.O., Rn. 91).

An der Entscheidung aus Schleswig ist so ziemlich alles verkehrt. Art. 32 DSGVO schreibt die „Sicherheit der Verarbeitung“ und keinen idealen Schutz, sondern ein „angemessenes Schutzniveau“ vor. Die Vorschrift will digitale Kommunikation nicht übermäßig erschweren oder verhindern. Sie verlangt somit genau das Augenmaß, das die norddeutschen Richter vermissen lassen. Und welches “Schutzniveau“ angemessen ist, hängt natürlich ab von den Personendaten, um deren Schutz es der DSGVO geht. Da ist es schlechterdings nicht nachvollziehbar, warum die eigenen Kontodaten des Rechnungsstellers so schützenswert sein sollen, dass er sie gegen seinen eigenen Willen nur Ende-zu-Ende verschlüsselt versenden darf, wie das OLG Schleswig meint. Art. 32 DSGVO ist gewiss nicht als Allheilnorm gedacht, die einen Rechnungsempfängern vor kriminellen Hackern beschützen soll.

Das OLG Schleswig hat die Revision zugelassen. Es bleibt zu hoffen, dass die Klägerin Revision einlegt und der BGH dem OLG die rote Karte zeigt.