又一张被操纵的发票——这次工匠获得了幸福的结果

fabiha01

发票造假现象日益增多。我们最近报道了石勒苏益格高等地区法院 2024 年 12 月 18 日的一项判决（案件编号 12 U 9/24）。一名客户向一个虚假账户转入了超过 15,000 欧元，因为不明身份的人篡改了商人的发票并更改了银行详细信息。假发票在外观上与之前的发票有所不同。高等地区法院做出了有利于客户的裁决：尽管向错误账户付款并未偿还债务，但客户可以根据《条例》要求赔偿。 82 GDPR。法院认为，电子邮件缺乏端到端加密，手工艺品企业违反了 GDPR。

在一个类似案件中，罗斯托克地区法院（2024 年 11 月 20 日判决，案件编号 2 O 450/24）必须作出裁决。

事实
2023 年 11 月 8 日下午 2 点 14 分，一家商人的公司发送了一封电子邮件，其中包含一个 PDF 文件，其中包含第一张临时发票和正确的银行详细信息。下午 2:35，客户收到一封几乎相同的电子邮件，其中包含一个伪造的 PDF 文件，该文件显示了不同的银行账号。虽然该 PDF 文件“在视觉上几乎与正确的 PDF 文件完全相同”（银行账户详细信息除外），但电子邮件中却存在 HTML 格式不正确的迹象。

客户根据以前的业务关系了解正确的银行详细信息，并且已经向他们付款。该商人声称发票尚未支付，并且客户应该知道银行详细信息有误。该客户声称只收到了被操纵的电子邮件，这是由于该商人的业务系统受到了损害。一名目击者通过调查证实了这一点。

该客户声称，由于该商家缺乏IT安全保障，导致产品被假冒，因此应承担责任。

法院判决
法院命令顾客再次付款。转账至错误的银行账户并未导致债务得到偿还。此外，德国商业传真列表 顾客将钱付到错误的账户上，商家也没有过错。

法院没有审查工艺品企业的电子邮件系统是否遭到黑客攻击，而是集中审查合同保护义务和客户方面可能存在的疏忽。它否认违反了保护义务：双方已同意通过电子邮件进行沟通，尽管其不确定性是众所周知的。电子邮件通信没有固定的安全要求。目前还不清楚该手工艺品企业是否可以更好地保护其系统，或者更高级别的安全是否可以阻止此次攻击。

GDPR 也不构成违反职责，因为它仅涉及个人数据的保护。

法院认定顾客有重大过错。他忽视了该电子邮件被篡改的明显迹象。该虚假信息包含明显的字符错误。电子邮件中的变音符号不显示为变音符号，而是显示为诸如“Ü”之类的字符。表示“Ü”或“ ”表示“不间断空格”。此外，客户应该注意到，与之前的付款相比，银行详细信息已经发生了变化- 特别是在荷兰从“B ...kasse”变为“B Bank”。这些差异非常不寻常，客户应该在转账前检查账户详细信息的准确性。

结论
与石勒苏益格高等地区法院不同，罗斯托克地区法院采取了明确的做法：任何使用易受攻击的通信手段的人也必须承担后果。这从根本上来说是正确的。然而，相关人员并不总是意识到可能产生的后果。

众所周知，电子邮件通常被比作明信片，任何具有技术知识的人都可以读懂。然而，鲜为人知的是，被拦截的电子邮件也可以被操纵。因此，有关风险的透明信息至关重要。

根据联邦和州政府独立数据保护监督机构会议 (DSK) 的规定，在电子邮件通信中放弃端到端加密是不可接受的，但绝对有例外（ DSK 于 2021 年 11 月 24 日作出的决定）。在不来梅州，LfDI 和律师协会代表不同的立场。 LfDI Bremen 遵循 DSK 的决定，要求律师和客户之间的所有通信必须加密。考虑到操纵法庭相关信息的风险，这至少是可以理解的。律师协会认为这些要求过分，正在寻求司法裁决。

相比之下，财政法典（AO）第 87a 条第 1 款第 4 句要求税务机关对机密税务数据进行加密。如果所有数据主体都以书面形式同意进行未加密传输，则适用例外情况。因此，从根本上来说，取消端到端加密并非不可能。杜塞尔多夫高等地区法院的一个案件（2021 年 10 月 28 日判决，案件编号 16 U 275/20）也出现了这种情况，在该案件中，应一名健康保险持有人的要求，法院通过电子邮件发送了一份健康记录给她——但不幸的是，发送至了一个错误的电子邮件地址。如果数据主体同意并且有其他选择，则可以同意以未加密的方式发送电子邮件，例如B. 还提供邮寄服务（我们已报告）。

但回到通过电子邮件发送发票。两起诉讼（LG Rostock 和 OLG Schleswig）都表明，操纵先于邮件系统受到攻击——不存在永久的危险。公司应该仔细监控他们的系统并避免使用网络邮件，尽管这仍然是一种常见的做法，尤其是在小型企业中。一旦发生泄露事件，必须立即全面地通知并警告客户。

反过来，客户应该严格检查发票电子邮件，尤其是布局和标点符号。发票金额越高，审核就越需要仔细。