Maßgeblichkeit berechtigter Sicherheitserwartungen bei E-Mail-Kommunikation im geschäftlichen Verkehr
Die Frage nach dem angemessenen technischen und organisatorischen Schutz im Rahmen der geschäftlichen E-Mail-Kommunikation erfährt vor dem Hintergrund fortschreitender Digitalisierung eine stetige Aktualisierung. Besonders im Geschäftsverkehr, wo sensible und teilweise vertrauliche Daten regelmäßig elektronisch ausgetauscht werden, ist der Umfang der zu treffenden Sicherheitsvorkehrungen für den Versand von E-Mails von erheblicher praktischer Relevanz. Die aktuelle Entscheidung des Oberlandesgerichts Karlsruhe vom 19.09.2023 (Az. 19 U 83/22) trägt zur weiteren Klärung bei, welche rechtlichen Maßstäbe hier anzulegen sind. Dabei rückt insbesondere das Kriterium der berechtigten Sicherheitserwartungen des geschäftlichen Verkehrs in den Fokus.
Maßstab für Sicherheitsvorkehrungen: Die berechtigten Erwartungen des Verkehrs
Abgrenzung technischer Schutzpflichten
Das OLG Karlsruhe hat in seinem Urteil klargestellt, dass das erforderliche Niveau technischer Schutzmaßnahmen beim Versand von E-Mails nicht pauschal nach abstrakten IT-Sicherheitsstandards, sondern vielmehr nach den berechtigten Erwartungen des durchschnittlichen Geschäftspartners zu bestimmen ist. Eine generelle Verpflichtung, sämtliche E-Mails durchgängig zu verschlüsseln, besteht demnach nicht schon aus rein technologischer Sicht, sondern setzt voraus, dass nach den Umständen des konkreten Geschäftsverkehrs und dem Charakter der ausgetauschten Informationen ein Verschlüsselungsbedarf besteht. Maßgeblich sind hierbei sowohl die Sensibilität der Daten als auch der Einfluss des jeweiligen Handelssegments auf den Stand der Technik.
Verkehrskreise und Branchenbesonderheiten
Das herausgebildete Schutzniveau orientiert sich stark an den Gepflogenheiten im maßgeblichen Verkehrskreis. Technische Mindeststandards werden so durch die tatsächliche Branchenpraxis und die typischerweise verwendeten Kommunikationsmittel mitgeprägt. Je nach Branche und Typus der übermittelten Daten können sich daher unterschiedliche Anforderungen ergeben. Dies bedeutet, dass etwa im Bank- und Finanzsektor strengere Maßstäbe greifen können als im gewöhnlichen Warenhandel. Die übliche Erwartung im Wirtschaftsleben begrenzt insoweit die Verpflichtung, weitergehende Sicherungsmaßnahmen zu implementieren.
Sorgfaltsmaßstab und Organisationsverantwortung im Unternehmen
Differenzierung nach Organisation und Adressatenkreis
Der Sorgfaltsmaßstab, den Unternehmen beim Versand von E-Mails zu beachten haben, ergibt sich erneut aus den berechtigten Sicherheitserwartungen der Empfänger. Die Organisationsverantwortung umfasst daher die Pflicht zur Evaluation und Anpassung interner Prozesse, insbesondere im Hinblick auf die Auswahl des geeigneten Transportweges und auf Aufklärungspflichten gegenüber den Beteiligten. Soweit die E-Mail nur den Austausch allgemein zugänglicher oder ohnehin nicht vertraulicher Informationen betrifft, ist die einfache, unverschlüsselte Übertragung nach wie vor als verkehrsüblich anerkannt.
Verhältnis zu Haftungsfragen
Der Umfang möglicher Haftung bei Eintritt eines Schadens infolge unsicherer E-Mail-Kommunikation richtet sich nach den getroffenen und geschuldeten Sicherungsmaßnahmen. Wird das technisch und organisatorisch übliche Sicherheitsniveau unterschritten, kann dies eine Verletzung der Verkehrssicherungspflicht begründen. Das OLG Karlsruhe machte indes deutlich, dass ein objektiv erhöhtes Schutzniveau nur dann geschuldet ist, wenn auch der durchschnittliche Empfänger aus Gründen nachvollziehbarer Gefährdungslagen entsprechende Schutzmaßnahmen erwarten durfte.
Auswirkungen auf die Vertrags- und Geschäftsabwicklung
Bedeutung für das Geschäftsvertrauen
Die Entscheidung stärkt das berechtigte Vertrauen der Wirtschaftsbeteiligten darauf, dass sich der Umfang der zu ergreifenden Sicherheitsvorkehrungen am bisherigen Stand der Verkehrsüblichkeit und -erwartung orientiert. Dadurch bleibt der Grundsatz gewahrt, dass nicht jede potenzielle technische Option zwingend auch rechtlich geboten ist. Für Unternehmen bedeutet dies eine größere Berechenbarkeit ihrer Pflichten im Umgang mit alltäglicher elektronischer Post.
Weiterentwicklung der Erwartungshaltung
Zu berücksichtigen bleibt, dass mit fortschreitender technischer Entwicklung und zunehmender Digitalisierung die Maßstäbe der Verkehrserwartungen einer ständigen Anpassung unterliegen. Eine bislang übliche Verfahrensweise kann durch neue gesetzliche Vorgaben, Branchenselbstverpflichtungen oder allgemein anerkannte Marktstandards in Richtung erhöhter Anforderungen verschoben werden. Dies gilt beispielsweise, wenn bislang selten genutzte Transportverschlüsselungen durch verbreiterte Anwendungen zum Standard werden.
Einzelfallprüfung und offene Rechtsfragen
Bedeutung des Einzelfalls
Die Entscheidung des OLG Karlsruhe betont die Notwendigkeit einer differenzierten Betrachtungsweise unter Würdigung aller Umstände des konkreten Geschäftsprozesses. Ausschlaggebend sind dabei die Art der Information, das Risiko einer Datenpreisgabe sowie die Tatsache, in welchem Maße sich die Kommunikationspartner auf die vertrauliche Übermittlung einstellen durften. Es findet keine starre Typisierung der Schutzpflichten statt; vielmehr ist stets eine Prüfung des jeweiligen Einzelfalls geboten, die neben den getroffenen technischen Maßnahmen insbesondere auch die individuelle Erwartungssituation und die Branchengepflogenheiten würdigt.
Rechtslage im Wandel
Zu beachten ist, dass die zugrundeliegende Entscheidung Gegenstand laufender Diskussionen und etwaiger weiterer Überprüfungen sein kann. Der veröffentlichte Sachverhalt beruht auf dem Urteil des OLG Karlsruhe vom 19.09.2023 (Az. 19 U 83/22), dessen tatsächliche und rechtliche Würdigung etwa durch einen Gang zum Bundesgerichtshof künftig einer veränderten Beurteilung unterliegen könnte (Quelle: https://urteile.news/OLG-Karlsruhe_19-U-8322_Mass-der-Sicherheitsvorkehrungen-beim-Versand-von-E-Mails-im-geschaeftlichen-Verkehr-richtet-sich-nach-berechtigten-Sicherheitserwartungen-des-Verkehrs~N33273). Bis zu einer abschließenden höchstrichterlichen Klärung ist von einer fortlaufenden Entwicklung auszugehen.
Fazit und Ausblick
Das OLG Karlsruhe stellt bei der Ausgestaltung von IT-Sicherheitsmaßnahmen bei der E-Mail-Kommunikation maßgeblich auf die berechtigten Erwartungen der Marktteilnehmer ab und lehnt pauschale Verpflichtungen zur Anwendung höchstmöglicher Verschlüsselungstechniken ab. Damit erhalten Unternehmen einen am tatsächlichen Geschäftsleben orientierten Rahmen für ihre elektronischen Informationsflüsse, der sowohl dem wirtschaftlichen Bedürfnis nach praktikablen Lösungen als auch dem Schutz vertraulicher Informationen gerecht wird. Angesichts der fortschreitenden Entwicklung technischer Möglichkeiten und gesetzlicher Vorgaben sollten Unternehmen jedoch die weitere Entwicklung der Rechtsprechung und der Branchengepflogenheiten aufmerksam verfolgen. Für tiefergehende rechtliche Fragestellungen oder Gestaltungsüberlegungen zur Absicherung geschäftlicher E-Mail-Kommunikation im Lichte aktueller Rechtsprechung empfiehlt es sich, qualifizierten Rat in Anspruch zu nehmen. Weitere Informationen und individuelle Unterstützung bietet MTR Legal unter dem Themenbereich Rechtsberatung im IT-Recht.
