Gestino: Hesaplamalarda TLS şifrelemesi ve özel müşterilere çok az mı?
Üst Bölge Mahkemesi (OLG) Schleswig-Holstein'ın güncel bir kararı Sessiz: E-posta yoluyla fatura gönderen şirketler, TLS taşımacılığının şifrelemesi hala yeterliyse gelecekte dikkatlice kontrol etmelidir. Mahkeme, özellikle B2C alanı için potansiyel sonuçları olan yüksek finansal risklere, uçtan uca şifreleme ihtiyacını görmektedir.
Duyuru
Falsified fatura, para başarısız oluyor
Sadece şu anda yayınlanan 18 Aralık 2024 (AZ. 12 U 9/24) cezasının argümanı, dijital ticari işlemlerde bir dolandırıcılık faturası vakası ile ilgilenmektedir. Binadan bir yüklenici, bir ısıtma sisteminin doğru kurulumu için özel bir müşteriye 15.000 Euro'nun üzerinde bir fatura göndermiş ve mail göndermişti. Ancak tasarı, suçlunun alıcısına giden yolda manipüle edildi. Sadece banka detaylarını değil, aynı zamanda belgenin renk tasarımını ve diğer ayrıntılarını da değiştirdiler. Mahkemeye göre, müşterinin manipüle edilmiş bir faturayı tam olarak nasıl alabileceğini açıklığa kavuşturmak mümkün değildi.
Ancak, müşteri manipülasyonu fark etmedi ve inşaat şirketi yerine bir çevrimiçi bankanın hesabına parayı aktarmadı. Girişimci daha sonra ödemeyi tekrar talep etti. Ancak müşteri, faturanın korunmasız ve mail ile gönderilmemesi ve hasar gördüğü için reddetti. Aynı miktarda hasar için bir şikayet söyledi.
Etkisiz ödeme, ancak hasar talep etmek
OLG Schleswig-Holstein, binanın yüklenicisinin orijinal talebinin var olmaya devam ettiğine karar verdi. Manipüle edilmiş hesabın bağlantısına yanlış aktarım, müşteriyi ödeme yükümlülüğünden çıkarmaz.
Ancak, mahkeme aynı zamanda müşteriye aynı miktarda inşaat şirketine yönelik zararlar için bir şikayette bulunmuştur. Nedeni: Mahkemenin görüşüne göre, Via e -Mail faturasının korunmasız sevkiyatı, özellikle ART'a karşı Genel Veri Koruma Yönetmeliği'nin (GDPR) ihlalidir. İhlaller.
TTaşıma şifrelemesi yeterli değil
Karar, E -Mail tarafından gönderilen faturaların, müşteri faturası hakkındaki adı, adres ve bilgiler de dahil olmak üzere kişisel veriler içerdiğini göstermektedir. Bu, iletişimin GDPR'nin bir parçası olduğu anlamına gelir. Art'a göre. Mahkemeye göre, bu davada gerçekleşmemişti.
Mahkemeye göre, fatura üçüncü taraflarca manipüle edilebildiğinden, kullanılan nakliye şifrelemesi yeterince korunmamalıdır. GDPR, ne zaman ve ne ölçüde şifreleme gerektiği için net gereksinimler içermez. Bununla birlikte, riske dayalı yaklaşım çok önemlidir: etkilenen insanlar için potansiyel risk ne kadar büyük olursa, daha sıkı koruyucu önlemler olmalıdır.
Bu durumda, mahkeme müşteri için finansal riski yüksek olarak değerlendirmiştir, çünkü sahte bir fatura dikkate değer ekonomik sonuçlara yol açabilir. Bu nedenle, iletilen verilerin gizliliğini korumak için ek bir güvenlik önlemi olarak uçtan uca şifreleme kullanılmış olmalıdır.
Olg Karlsruhe ile karşılaştırma
Karar, 27 Temmuz 2023 tarihli Olg Karlsruhe'nin bir kararı hatırlıyor (AZ. 19 U 83/22). Bununla birlikte, iki şirketi etkileyen yasal anlaşmazlıkta mahkeme, güvenlik önlemleri için yasal gereklilik olmadığına karar verdi. Aksine, ilgili ticari işlemlerin meşru güvenlik beklentileri ve karşılık gelen önlemlerin mantıklılığı çok önemlidir. Bu aynı zamanda mantıklıdır: Olg Schleswig-Holstein'ın kararı, şirketler arasındaki faturaların posta sırasına aktarılamaz.
Şirketler, güvenlik önlemlerinin GDPR gereksinimlerini karşıladığını göstermek zorundadır. Bu, şirketlerin sadece önlemleri kabul etmeleri değil, aynı zamanda bir anlaşmazlık durumunda da göstermeleri gerektiği anlamına gelir. Ancak, inşaat şirketi benimsenen koruyucu önlemler için çok az şey yapmamıştı.
Dolayısıyla karar açık bir soru bırakıyor: eğer yetersiz şifreleme aslında sahtekarlığın nedeni olsaydı. Hakimler, daha ayrıntılı olarak doğrulamak zorunda kalmadan nedensellikten şüphelenebilirler. Bununla birlikte, bir uçtan uca şifreleme faturayı önleyebilseydi, açıklanamayan saldırı taşıyıcısı pek söylenemez.
Uçtan uca şifrelemeye genel koaksiyon yok
Şirketler veya şirketler ve tüketiciler arasındaki iletişimde uçtan uca şifrelemeyi şifrelemek için genel bir yükümlülük yoktur. Bununla birlikte, şirketler bir risk analizi yapabilmeli ve seçilen koruma önlemlerinin kendi riskleri için uygun olduğunu gösterebilmelidir.
Uygulamada, bu genellikle iletilen verilerin duyarlılığına ve potansiyel istismar riskine bağlı olarak sınıflandırılmış bir çözüme yol açacaktır. Bu bağlamda, alıcının rızasının daha fazla şifrelemeyi önlemek ve bunun yerine yalnızca aktarım şifrelemesini kullanmak için yeterli olup olmadığı henüz açıklığa kavuşturulmadığı da belirtilmelidir. Ancak, bu seçenek için konuşan iyi yasal argümanlar vardır.
Ve aksi takdirde, mahkemenin belirttiği gibi, B2C bölgesindeki şirketler için daha büyük teknik ve finansal çabalar olmadan takip edilebilen şirketler için hala kalıyor: posta ile faturalandırma.
(AXK)