E-Mails sind als Kommunikationsmittel unverzichtbar. Doch was passiert, wenn Kriminelle diese Kommunikation manipulieren und Rechnungen mit falschen Kontodaten versenden? Eine aktuelle Entscheidung des Oberlandesgerichts Karlsruhe wirft ein Schlaglicht auf die Verantwortlichkeiten bei solchen „Fake President“-Fällen oder „CEO Fraud“-Angriffen und beleuchtet die Frage, wer den Schaden trägt, wenn eine Zahlung auf ein falsches Konto geht.
Der Fall: Eine Rechnung, zwei Konten und ein Hackerangriff
In dem vom OLG Karlsruhe (OLG Karlsruhe, Urteil vom 27.07.2023 – 19 U 83/22) verhandelten Fall ging es um den Kauf eines Gebrauchtwagens. Die Verkäuferin schickte die Rechnung per E-Mail an den Käufer. Kurz darauf erhielt der Käufer eine weitere E-Mail, die scheinbar von der Verkäuferin stammte, jedoch manipulierte Kontodaten enthielt. Die Käuferin überwies den Kaufpreis auf dieses falsche Konto. Erst später stellte sich heraus, dass ein Hackerangriff für die zweite E-Mail verantwortlich war und das angegebene Konto einem Dritten gehörte. Die Verkäuferin forderte erneut die Zahlung des Kaufpreises, da sie die erste Zahlung nicht erhalten hatte.
Die rechtliche Einordnung: Keine Erfüllung durch Zahlung an Dritte
Das Landgericht hatte zunächst entschieden, dass die Forderung der Verkäuferin durch die Zahlung auf das Konto des Dritten erloschen sei. Das OLG Karlsruhe hob dieses Urteil jedoch auf. Es stellte klar, dass eine Zahlung an einen Dritten grundsätzlich nicht zur Erfüllung der Forderung führt, es sei denn, der Gläubiger hat die Zahlung an den Dritten ausdrücklich genehmigt oder andere gesetzliche Voraussetzungen sind erfüllt. Im vorliegenden Fall war dies nicht der Fall, da die zweite E-Mail nicht von der Klägerin stammte und somit keine Ermächtigung zur Zahlung an den Dritten vorlag. Auch eine nachträgliche Genehmigung durch die Verkäuferin gab es nicht.
Sicherheitsvorkehrungen: Was ist zumutbar?
Ein zentraler Punkt des Verfahrens war die Frage nach den Sicherheitsvorkehrungen der Verkäuferin. Die Käuferin hatte argumentiert, die Verkäuferin hätte durch unzureichende IT-Sicherheit den Hackerangriff ermöglicht und sei daher schadensersatzpflichtig. Das OLG Karlsruhe stellte jedoch fest, dass es keine konkreten gesetzlichen Vorgaben für Sicherheitsvorkehrungen beim E-Mail-Versand im geschäftlichen Verkehr gibt. Die Anforderungen bestimmen sich nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit.
Dabei wurde im Urteil ausdrücklich klargestellt, dass die Datenschutz-Grundverordnung (DS-GVO) in diesem Kontext nicht direkt anwendbar ist, da es sich hier nicht um die Verarbeitung personenbezogener Daten handelte. Auch die von der Käuferin angeführten Maßnahmen wie „Sender Policy Framework (SPF)“, die Verschlüsselung von PDF-Dateien oder eine Ende-zu-Ende-Verschlüsselung sind nicht zwingend vorgeschrieben oder praktikabel für Endnutzer, die ihren E-Mail-Verkehr über Dienstleister abwickeln. Das Gericht betonte, dass eine Transportverschlüsselung, die automatisiert im Hintergrund abläuft, in der Regel ausreicht und die Verkäuferin diese über ihren Anbieter genutzt hat.
Mitverschulden des Zahlenden: Augen auf bei unklaren Rechnungen!
Ein wichtiger Aspekt des Urteils ist das erhebliche Mitverschulden der Käuferin. Das Gericht stellte fest, dass die zweite E-Mail und die angehängte manipulierte Rechnung auffällige Unstimmigkeiten enthielten. Dazu gehörten die förmliche Anrede „Sie“ statt des üblichen „Du“ zwischen den Geschäftsführern, sprachliche Fehler und ein inhaltlich völlig unverständlicher Satz. Des Weiteren wies die Rechnung zwei unterschiedliche Bankverbindungen auf, und die letztlich verwendete Bankverbindung gehörte einer natürlichen Person, die in keinem ersichtlichen Zusammenhang mit dem Geschäft der Verkäuferin stand. Das OLG Karlsruhe befand, dass solche Auffälligkeiten Anlass zu einer Nachfrage bei der Verkäuferin hätten geben müssen. Ein unvollständiges Lesen einer E-Mail, die eine Änderung der Kontoverbindung für einen fünfstelligen Betrag ankündigt, wurde als unsorgfältiges Handeln gewertet.
Fazit: Wachsamkeit ist entscheidend
Dieses Urteil unterstreicht die Bedeutung der Wachsamkeit im Geschäftsverkehr, insbesondere bei E-Mail-Kommunikation mit sensiblen Daten wie Bankverbindungen. Unternehmen sind zwar verpflichtet, angemessene Sicherheitsvorkehrungen zu treffen, jedoch gibt es keine absolute Sicherheit vor Hackerangriffen. Die Empfänger von E-Mails tragen eine eigene Sorgfaltspflicht, insbesondere wenn offensichtliche Unstimmigkeiten oder ungewöhnliche Änderungen auftreten.
Im Falle eines E-Mail-Betrugs kann eine umgehende anwaltliche Beratung entscheidend sein, um die eigenen Rechte und Pflichten zu klären und gegebenenfalls Ansprüche durchzusetzen oder abzuwehren.
Gerne steht Ihnen die Kanzlei Kramarz mit ihrer Expertise im IT-Recht und Urheber- und Medienrecht zur Seite, um Sie in solchen komplexen Fällen zu beraten. Nutzen Sie unsere kostenlose telefonische Erstberatung unter 06151-2768227 oder senden Sie uns eine Anfrage an anfrage@kanzlei-kramarz.de. Weitere Informationen finden Sie auch auf unserer Webseite unter https://www.kanzlei-kramarz.de oder direkt unter https://www.kanzlei-kramarz.de/kontakt.
Was ist ein "Fake President" oder "CEO Fraud"?
Dies sind Betrugsmaschen, bei denen Kriminelle die Identität von Führungskräften oder vertrauten Geschäftspartnern vortäuschen, um Mitarbeiter zur Überweisung von Geldern auf betrügerische Konten zu bewegen. Die Kommunikation erfolgt oft per E-Mail mit manipulierten Absenderadressen oder Inhalten. Rechtsanwalt Christian Kramarz berät Sie gerne zu solchen Betrugsfällen.
Führt eine Zahlung an ein falsches Konto immer zur Erfüllung der Forderung?
Nein, grundsätzlich führt eine Zahlung an ein falsches Konto nicht zur Erfüllung der Forderung gegenüber dem ursprünglichen Gläubiger. Eine Ausnahme besteht, wenn der Gläubiger die Zahlung an den Dritten genehmigt hat oder spezielle gesetzliche Regelungen greifen. Die Kanzlei Kramarz informiert Sie über Ihre Optionen.
Welche Sicherheitsvorkehrungen muss ein Unternehmen beim E-Mail-Versand treffen?
Es gibt keine konkreten gesetzlichen Vorgaben. Die Anforderungen richten sich nach den berechtigten Sicherheitserwartungen im Geschäftsverkehr unter Berücksichtigung der Zumutbarkeit. Maßnahmen wie eine Transportverschlüsselung sind üblich und angemessen. Für eine Einschätzung Ihrer individuellen Situation kontaktieren Sie uns für eine kostenlose telefonische Erstberatung unter 06151-2768227 oder anfrage@kanzlei-kramarz.de.
Spielt das Mitverschulden des Zahlenden eine Rolle?
Ja, das Mitverschulden des Zahlenden kann eine erhebliche Rolle spielen. Wenn eine E-Mail oder Rechnung offensichtliche Unstimmigkeiten oder ungewöhnliche Änderungen enthält, ist der Empfänger zur Wachsamkeit und gegebenenfalls zur Nachfrage verpflichtet. Eine Missachtung dieser Sorgfaltspflicht kann zu einer Kürzung oder einem Ausschluss von Schadensersatzansprüchen führen. Professionelle Beratung dazu bietet Ihnen die Kanzlei Kramarz.
