hadicanim
Aktif Üye
Karar: Özel müşterilere e -posta hesaplamalarında TLS şifrelemesi çok az mı?
Yüksek Bölge Mahkemesi (OLG) Schleswig-Holstein'ın güncel bir kararı bir karıştırmaya neden olur: E-posta ile fatura gönderen şirketler gelecekte basit TLS taşıma şifrelemesinin hala yeterli olup olmadığını dikkatlice kontrol etmelidir. Mahkeme, özellikle B2C alanı için potansiyel sonuçlar ile yüksek finansal risklerde uçtan uca şifreleme ihtiyacını görmektedir.
Reklamcılık
Fatura tahrifatı, para futs
Sadece şu anda yayınlanan 18 Aralık 2024 (AZ. 12 U 9/24) kararının konusu, dijital ticari işlemlerde fatura sahtekarlığı vakası ile ilgilenmektedir. Bir inşaat yüklenicisi, bir ısıtma sisteminin uygun kurulumu için özel bir müşteriye e -posta yoluyla 15.000 Euro'nun üzerinde bir fatura göndermişti. Ancak tasarı, suçlu alıcısına giderken manipüle edildi. Sadece banka detaylarını değil, aynı zamanda belgenin renk tasarımını ve diğer ayrıntılarını da değiştirdiler. Mahkemeye göre, müşterinin manipüle edilmiş bir fatura almasının tam olarak nasıl olabileceğini açıklığa kavuşturmak mümkün değildi.
Ancak, müşteri manipülasyonu fark etmedi ve parayı inşaat şirketi yerine bir çevrimiçi bankanın hesabına aktardı. Girişimci daha sonra ödemeyi tekrar talep etti. Ancak, müşteri faturanın e -posta ile korunmasız gönderildiği ve hasar gördüğü gerekçesiyle reddetti. Aynı miktarda hasar iddiası iddia etti.
Ödeme etkisiz – ancak hasar talebi
Olg Schleswig-Holstein, bina yüklenicisinin orijinal iddiasının var olmaya devam ettiğine karar verdi. Manipüle edilmiş hesap bağlantısına yanlış aktarım, istemciyi ödeme yükümlülüğünden serbest bırakmaz.
Ancak, mahkeme aynı zamanda müşteriye inşaat şirketine karşı aynı miktarda hasar talebinde bulunmuştur. Nedeni: Mahkemenin görüşüne göre, faturanın e -posta ile korunmasız gönderilmesi, özellikle Art'a karşı genel veri koruma düzenlemesinin (GDPR) ihlalidir. 82, ilgili kişi veri koruma ihlalleri durumunda ilgilenen kişiye verir.
TTaşıma şifrelemesi yeterli değil
Karar, e -posta ile gönderilen faturaların, müşteriden ad, adres ve fatura bilgileri dahil kişisel veriler içerdiğini göstermektedir. Bu, iletişimin GDPR'nin kapsamına girdiği anlamına gelir. Art'a göre. 32 GDPR, bu nedenle inşaat şirketi, verilerin güvenliğini sağlamak için uygun teknik ve organizasyonel önlemleri almakla yükümlüdür. Mahkemeye göre, bu davada gerçekleşmemişti.
Mahkemeye göre, fatura üçüncü taraflarca manipüle edilebildiğinden, kullanılan nakliye şifrelemesinin yeterince korunmaması gerekir. GDPR, ne zaman ve ne ölçüde şifreleme gerektiği için herhangi bir net gereklilik içermez. Bununla birlikte, riske dayalı yaklaşım çok önemlidir: etkilenenler için potansiyel risk ne kadar yüksek olursa, koruyucu önlemler o kadar katı bir şekilde olmalıdır.
Bu durumda, mahkeme müşteri için finansal riski yüksek olarak derecelendirmiştir, çünkü sahte bir fatura önemli ekonomik sonuçlara yol açabilir. Bu nedenle, iletilen verilerin gizliliğini korumak için ek bir güvenlik önlemi olarak uçtan uca şifreleme kullanılmış olmalıdır.
Olg Karlsruhe ile karşılaştırma
Karar, 27 Temmuz 2023 tarihli Olg Karlsruhe'nin bir kararını andırıyor (AZ. 19 U 83/22). Bununla birlikte, iki şirketi etkileyen yasal anlaşmazlıkta mahkeme, güvenlik önlemleri için yasal gereklilik olmadığına karar verdi. Aksine, ilgili ticari işlemlerin meşru güvenlik beklentileri ve karşılık gelen önlemlerin mantığı çok önemlidir. Bu aynı zamanda mantıklıdır: Olg Schleswig-Holstein'ın kararı, şirketler arasındaki faturaların posta siparişine aktarılamaz.
Şirketler, güvenlik önlemlerinin GDPR'nin gereksinimlerini karşıladığını göstermek zorundadır. Art'a göre. 5 para. 2 ve sanat. 24 GDPR, sözde açıklama ve kanıt yükü, veri korumasından sorumlu veri koruması- yani e-postaları gönderen şirkette yatmaktadır. Bu, şirketlerin sadece önlem almakla kalmayıp aynı zamanda onları belgelemek ve bir anlaşmazlık durumunda bunları kanıtlaması gerektiği anlamına gelir. Ancak, inşaat şirketi alınan koruyucu önlemler için çok az şey yapmamıştı.
Bu nedenle karar önemli bir soruyu açık bırakıyor: yetersiz şifrelemenin aslında sahtekarlığın nedeni olup olmadığı. Hakimler, daha ayrıntılı olarak kontrol etmek zorunda kalmadan nedensellikten şüphelenebilirler. Bununla birlikte, açıklanamayan saldırı vektörü, uçtan uca bir şifrelemenin faturayı engelleyip engelleyemeyeceği söylenemez.
Uçtan uca şifrelemeye genel bir zorlama yok
Şirketler arasındaki veya şirketler ve tüketiciler arasındaki iletişimde uçtan uca şifrelemeyi şifreleme genel bir yükümlülüğü yoktur. Bununla birlikte, şirketler bir risk analizi yapabilmeli ve seçilen koruyucu önlemlerinin ilgili risk için uygun olduğunu kanıtlayabilmelidir.
Uygulamada, bu genellikle aktarılan verilerin duyarlılığına ve potansiyel istismar riskine bağlı olarak kademeli bir çözüme yol açacaktır. Bu bağlamda, daha fazla şifrelemeyi önlemek ve bunun yerine sadece taşıma şifrelemesini kullanmak için alıcı onamasının yeterli olup olmadığını henüz açıklığa kavuşturmamış olduğu da belirtilmelidir. Ancak, bu seçenek için konuşan iyi yasal argümanlar vardır.
Ve aksi takdirde, Mahkeme'nin fark ettiği gibi, B2C bölgesindeki şirketler için daha fazla teknik ve finansal çaba olmadan takip edilebilecek şirketler için hala kalıyor: Post tarafından faturalandırma.
(AXK)