Im Internet lauern Gefahren oft dort, wo man sie am wenigsten erwartet – zum Beispiel im eigenen E-Mail-Postfach. Ein aktuelles Urteil des Landgerichts (LG) Koblenz beleuchtet eindrücklich die rechtlichen Fallstricke, die bei Rechnungsbetrug durch Hacker-Angriffe entstehen. Der Fall zeigt, dass die Verantwortung oft auf mehrere Schultern verteilt wird und Unachtsamkeit für alle Beteiligten teuer werden kann.
Der Fall: Ein Zaun, eine Rechnung und ein gehacktes E-Mail-Konto
Ein Handwerksbetrieb errichtete für einen Kunden einen Zaun zum vereinbarten Preis von 11.000 Euro. Nach Abschluss der Arbeiten und ordnungsgemäßer Rechnungsstellung geschah das Unerwartete: Unbekannte hackten das E-Mail-Konto des Unternehmers.
Über diesen kompromittierten Account versendeten die Betrüger eine E-Mail an den Auftraggeber und kündigten eine neue Bankverbindung für die Begleichung der Rechnung an. Der Kunde, der keinen Verdacht schöpfte, überwies den vollen Betrag an das ihm neu mitgeteilte Konto. Das Geld landete jedoch nicht beim Zaunbauer, sondern bei einem Dritten. Als der Unternehmer seinen Werklohn anmahnte, kam der Betrug ans Licht. Der Fall landete vor dem LG Koblenz (Az. 8 O 271/22).
Die Entscheidung des Gerichts: Grundsätzlich bleibt die Zahlungspflicht bestehen
Die Richter stellten klar, dass der Auftraggeber durch die Überweisung an das falsche Konto seine vertragliche Zahlungspflicht aus dem Werkvertrag (§ 631 Abs. 1 BGB) nicht erfüllt hat. Die Zahlung an einen Betrüger befreit nicht von der Schuld gegenüber dem eigentlichen Vertragspartner. Der Anspruch des Unternehmers auf seinen Lohn bestand also grundsätzlich weiter.
Das Gericht betonte, dass das Risiko von E-Mail-Betrug und Konto-Hacking bei der digitalen Kommunikation ein allgemeines Lebensrisiko darstellt, das beide Parteien trifft. Allein die Tatsache, dass die betrügerische Mail vom Konto des Unternehmers versandt wurde, bedeutet nicht, dass dieser dafür die alleinige Verantwortung trägt.
Ein Gegentor für den Unternehmer: Schadensersatz nach DSGVO
Gleichzeitig gestand das Gericht dem betrogenen Auftraggeber jedoch einen eigenen Schadensersatzanspruch zu. Die Grundlage hierfür lieferte die Datenschutzgrundverordnung (DSGVO). Nach Art. 82 DSGVO hat eine Person Anspruch auf Ersatz eines materiellen oder immateriellen Schadens, wenn dieser durch einen Verstoß gegen die Verordnung entstanden ist.
Nach Ansicht der Richter hat der Werkunternehmer es versäumt, die personenbezogenen Daten seines Kunden – wie E-Mail-Adresse und Rechnungsdetails – ausreichend vor dem Zugriff Dritter zu schützen. Dieser Mangel an Datensicherheit stellt einen DSGVO-Verstoß dar und begründet einen Schadensersatzanspruch des Kunden, den dieser mit der offenen Forderung verrechnen durfte.
Bei Fragen zur korrekten Umsetzung der DSGVO in Ihrem Unternehmen und zum Schutz sensibler Kundendaten bietet die Kanzlei Kramarz umfassende Beratung.
Die entscheidende Frage der Haftung: Wer trägt die größere Schuld?
Im Zentrum der Urteilsbegründung stand die Abwägung des Verschuldens. Hier sah das Gericht die deutlich größere Verantwortung beim Auftraggeber. Eine E-Mail, die plötzlich und ohne vorherige Ankündigung eine neue Bankverbindung mitteilt – noch dazu auf den Namen einer völlig fremden Person – hätte zwingend zu Misstrauen führen müssen.
Die Richter urteilten, dass eine kritische Prüfung und eine einfache Rückfrage beim Werkunternehmer, beispielsweise per Telefon, in einem solchen Fall zwingend erforderlich und zumutbar gewesen wäre. Da der Auftraggeber diese Sorgfaltspflicht verletzt hatte, wurde ihm ein erhebliches Mitverschulden angelastet.
Im Ergebnis verteilte das Gericht die Haftung: Der Unternehmer musste sich aufgrund des DSGVO-Verstoßes 25 % (2.750 Euro) anrechnen lassen. Der Auftraggeber hingegen musste 75 % des ursprünglichen Werklohns (8.250 Euro) an den Unternehmer zahlen, da ihn die Hauptschuld am entstandenen Schaden traf.
So schützen Sie sich vor Rechnungsbetrug
- Verifizieren Sie neue Bankdaten: Ändert ein Geschäftspartner seine Bankverbindung, überprüfen Sie diese Information immer über einen zweiten, unabhängigen Kanal (z. B. einen kurzen Anruf bei Ihrem bekannten Ansprechpartner).
- Seien Sie skeptisch: Plötzliche Änderungen, sprachliche Auffälligkeiten oder ungewöhnliche Absenderadressen in E-Mails sind rote Flaggen.
- Prüfen Sie den Empfängernamen: Vergleichen Sie vor jeder Überweisung den Namen des Kontoinhabers genau mit dem Namen Ihres Vertragspartners.
- Sichern Sie Ihre Systeme: Als Unternehmer sind Sie verpflichtet, Ihre IT-Systeme und die Daten Ihrer Kunden zu schützen. Maßnahmen wie die Zwei-Faktor-Authentifizierung (2FA) sind heute unerlässlich.
Sollten Sie Opfer eines Rechnungsbetrugs geworden sein oder rechtliche Unterstützung bei der Durchsetzung oder Abwehr von Forderungen benötigen, steht Ihnen Rechtsanwalt Christian Kramarz, LL.M., als Fachanwalt für IT-Recht zur Seite. Nutzen Sie die kostenlose telefonische Erstberatung, um Ihren Fall zu besprechen. Kontaktieren Sie uns unter kanzlei-kramarz.de/kontakt, anfrage@kanzlei-kramarz.de oder 06151-2768227.
Wer haftet, wenn ich eine gehackte Rechnung an Betrüger bezahle?
In der Regel bleibt Ihre Zahlungspflicht gegenüber dem eigentlichen Vertragspartner bestehen. Wie der Fall des LG Koblenz zeigt, kann die Haftung aber geteilt werden. Der Rechnungssteller kann wegen mangelnder Datensicherheit (DSGVO) mitschuldig sein, Sie als Zahlender aber auch wegen fehlender Sorgfalt. Für Unterstützung kontaktieren Sie die Kanzlei Kramarz.
Hätte ich als Auftraggeber den Betrug erkennen müssen?
Ja, wahrscheinlich. Gerichte gehen davon aus, dass eine plötzlich geänderte Bankverbindung, insbesondere auf den Namen eines fremden Dritten, extrem verdächtig ist. Eine einfache Rückfrage per Telefon, um die Änderung zu bestätigen, wird als zumutbar angesehen und hätte den Schaden verhindert. Eine kostenlose telefonische Erstberatung erhalten Sie bei der Kanzlei Kramarz (Tel: 06151-2768227).
Was bedeutet der DSGVO-Verstoß des Unternehmers in diesem Fall?
Indem Hacker auf sein E-Mail-Konto zugreifen und Kundendaten entwenden konnten, hat der Unternehmer gegen seine Pflicht zum Schutz personenbezogener Daten verstoßen. Nach Art. 82 DSGVO kann der geschädigte Kunde dafür Schadensersatz verlangen, der hier mit der Restforderung verrechnet wurde. Im Zweifel beraten wir Sie gerne: anfrage@kanzlei-kramarz.de.
Wie kann die Kanzlei Kramarz bei Rechnungsbetrug helfen?
Rechtsanwalt Christian Kramarz, LL.M., als Fachanwalt für IT-Recht, prüft Ihre individuelle Situation, klärt die komplexen Haftungsfragen und unterstützt Sie dabei, Ihre Ansprüche durchzusetzen oder unberechtigte Forderungen abzuwehren. Dies gilt sowohl für betroffene Unternehmer als auch für Zahlende. Nutzen Sie unsere kostenlose Erstberatung unter 06151-2768227 oder besuchen Sie uns auf kanzlei-kramarz.de.
