Schleswig-Holsteinisches Oberlandesgericht: Haftung bei gefälschten E-Mails mit Rechnungen

Gerade in der letzten Zeit habe ich eine Vielzahl von Fällen bearbeitet, in denen es um gehackte E-Mail-Server und relevante finanzielle Beträge geht. Häufig werden Rechnungen manipuliert, sodass Zahlungen auf falsche Konten erfolgen. Diese Fälle sind besonders heikel, da es oft an klaren Präzedenzfällen mangelt und der technische Sachverstand sowie eine sorgfältige juristische Analyse entscheidend sind. Bereits in früheren Artikeln habe ich auf die Problematik gefälschter Rechnungen und falscher IBAN-Überweisungen hingewiesen, insbesondere in den Beiträgen Gefälschte Rechnungen und falsche IBAN-Überweisungen und Fake-Rechnungen mit falscher IBAN – Was tun, wenn man auf Betrüger reingefallen ist?.

Hintergrund des Falls

In einem aktuellen Urteil hat das Schleswig-Holsteinische Oberlandesgericht entschieden, dass die Zahlung eines Betrags auf ein falsches Konto keine Erfüllung der Zahlungsverpflichtung darstellt, wenn die Rechnung unbefugt verändert wurde. Der Kunde kann jedoch einen Schadensersatzanspruch geltend machen, der sich aus Art. 82 DSGVO ergeben kann, wenn das Unternehmen seine Pflichten aus der DSGVO verletzt hat. Neben der DSGVO kommt oft auch ein Schadensersatzanspruch nach § 280 BGB in Betracht, da es sich um eine Verletzung vertraglicher Pflichten handeln kann.

Das Oberlandesgericht hat das Urteil des Landgerichts korrigiert, indem es feststellte, dass die Zahlung auf das falsche Konto keine Erfüllungswirkung hat. Dies liegt daran, dass der Gläubiger den Betrag nicht zur freien Verfügung erhielt. Eine Erfüllung durch Leistung an einen Dritten gemäß § 362 Abs. 2 BGB ist nur dann gegeben, wenn dieser vom Gläubiger rechtsgeschäftlich ermächtigt ist, die Leistung im eigenen Namen in Empfang zu nehmen. Da dies nicht der Fall war, blieb die Zahlungsverpflichtung bestehen.

Ein zentraler Punkt der Entscheidung ist die Frage, ob das Unternehmen ausreichende Sicherheitsmaßnahmen getroffen hat, um die personenbezogenen Daten vor unbefugtem Zugriff zu schützen. Das Gericht betont, dass eine reine Transportverschlüsselung beim Versand von E-Mails mit personenbezogenen Daten, insbesondere bei hohem finanziellen Risiko, nicht ausreichend ist. Stattdessen wird die End-to-End-Verschlüsselung als angemessene Maßnahme empfohlen. Unternehmen müssen nachweisen, dass sie geeignete Sicherheitsmaßnahmen getroffen haben, um personenbezogene Daten entsprechend dem von der DSGVO verlangten Sicherheitsniveau zu schützen.

Das Oberlandesgericht stellte fest, dass ein Verstoß gegen die Vorschriften der DSGVO nicht allein deshalb angenommen werden kann, weil ein unbefugter Zugriff auf personenbezogene Daten stattgefunden hat. Vielmehr muss der Verantwortliche darlegen und beweisen, dass die getroffenen Sicherheitsmaßnahmen geeignet waren, um die personenbezogenen Daten vor dem Zugriff Unbefugter zu schützen. Die Anforderungen an die Sicherheitsmaßnahmen sind abhängig von den mit der Verarbeitung verbundenen Risiken und müssen individuell beurteilt werden.

In diesem Fall hat das Oberlandesgericht entschieden, dass die Klägerin substantiiert vorgetragen hat, ausreichende Mindestschutzmaßnahmen in Form von SMTP über TLS beim E-Mail-Verkehr mit Vertragspartnern vorgenommen zu haben. Allerdings wurde dieser Vortrag von der Beklagten bestritten. Das Gericht sah jedoch keine hinreichenden Anhaltspunkte für eine Pflichtverletzung der Klägerin, die kausal für den Schaden der Beklagten gewesen wäre. Ein Mitverschulden des Kunden könnte jedoch relevant sein, wenn die manipulierte Rechnung von früheren Rechnungen abwich.

Die Entscheidung des Oberlandesgerichts unterstreicht die Bedeutung angemessener Sicherheitsvorkehrungen im digitalen Geschäftsverkehr. Unternehmen müssen sicherstellen, dass sie ausreichende Maßnahmen ergreifen, um personenbezogene Daten zu schützen, insbesondere wenn es um sensible Informationen wie Bankverbindungen geht. Andernfalls drohen Schadensersatzansprüche, die sich aus der DSGVO oder dem BGB ergeben können.

Haftung nach der DSGVO und BGB

Ein Schadensersatzanspruch nach Art. 82 DSGVO setzt voraus, dass die Verarbeitung personenbezogener Daten schuldhaft gegen die Bestimmungen der DSGVO verstieß, der Betroffene einen Schaden erlitt und ein Kausalzusammenhang zwischen der rechtswidrigen Verarbeitung und dem Schaden besteht. Neben der DSGVO kann auch § 280 BGB relevant sein, wenn das Unternehmen seine vertraglichen Pflichten verletzt hat, indem es nicht ausreichend gegen Manipulationen vorgesehen hat.

Die Entscheidung des Oberlandesgerichts zeigt, dass die Haftung nach der DSGVO nicht automatisch gegeben ist, wenn ein unbefugter Zugriff auf personenbezogene Daten stattfindet. Vielmehr muss der Verantwortliche nachweisen, dass er alle angemessenen Maßnahmen ergriffen hat, um die Daten zu schützen. Die End-to-End-Verschlüsselung wird als Standard für den Schutz personenbezogener Daten im E-Mail-Verkehr angesehen.

Ein Schadensersatzanspruch nach § 280 BGB erfordert, dass das Unternehmen eine vertragliche Pflicht verletzt hat und dieser Verstoß kausal für den Schaden war. In Fällen von Rechnungsmanipulationen kann dies bedeuten, dass das Unternehmen nicht ausreichend gegen den unbefugten Zugriff auf E-Mails vorgesehen hat. Die Beweislast für eine Pflichtverletzung liegt in der Regel beim Geschädigten, es sei denn, es gibt Anhaltspunkte für ein Verschulden des Unternehmens.

Die Entscheidung des Oberlandesgerichts betont auch, dass ein Mitverschulden des Kunden gemäß § 254 BGB berücksichtigt werden kann, wenn dieser die manipulierte Rechnung nicht ausreichend überprüft hat. Dies kann den Schadensersatzanspruch erheblich reduzieren.

Sicherheitsmaßnahmen und Praxis

Das Oberlandesgericht betont, dass reine Transportverschlüsselung beim Versand von E-Mails mit personenbezogenen Daten nicht ausreichend ist, insbesondere bei hohem finanziellen Risiko. End-to-End-Verschlüsselung wird als angemessene Maßnahme empfohlen. Unternehmen müssen nachweisen, dass sie geeignete Sicherheitsmaßnahmen getroffen haben, um personenbezogene Daten vor unbefugtem Zugriff zu schützen.

Die Entscheidung unterstreicht die Bedeutung angemessener Sicherheitsvorkehrungen im digitalen Geschäftsverkehr und dient als wichtiger Präzedenzfall für die Haftung von Unternehmen in solchen Fällen. Unternehmen sollten regelmäßig ihre Sicherheitsmaßnahmen überprüfen und anpassen, um sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen.

In der Praxis bedeutet dies, dass Unternehmen nicht nur auf Transportverschlüsselung setzen sollten, sondern auch sicherstellen müssen, dass die gesamte Kommunikationskette abgesichert ist. Dies kann durch die Implementierung von End-to-End-Verschlüsselungslösungen erreicht werden, die sicherstellen, dass nur der berechtigte Empfänger die Nachricht lesen kann.

Zusätzlich sollten Unternehmen regelmäßig Schulungen für ihre Mitarbeiter durchführen, um sicherzustellen, dass diese mit den Sicherheitsmaßnahmen vertraut sind und wissen, wie sie auf verdächtige E-Mails reagieren sollen. Ein gut durchdachtes Sicherheitskonzept kann helfen, die Haftung bei Manipulationen zu minimieren.

Fazit und Handlungsempfehlung

Die Entscheidung des Schleswig-Holsteinischen Oberlandesgerichts unterstreicht die Bedeutung angemessener Sicherheitsmaßnahmen im digitalen Geschäftsverkehr. Unternehmen sind verpflichtet, ihre Kunden durch geeignete Maßnahmen vor Manipulationen zu schützen. Andernfalls drohen Schadensersatzansprüche, die sich aus der DSGVO oder dem BGB ergeben können. Diese Entscheidung dient als wichtiger Präzedenzfall für die Haftung von Unternehmen in solchen Fällen.Viele Betroffene beziehen sich auf das Urteil des Oberlandesgerichts Karlsruhe vom 27. Juli 2023 (19 U 83/22), das jedoch nicht immer anwendbar ist. Häufig offenbart sich in solchen Fällen auch technische Unkenntnis der Richter, die die Komplexität der digitalen Sicherheitsmaßnahmen nicht vollständig erfassen. Daher ist es entscheidend, dass Betroffene sich an einen Anwalt wenden, der sowohl juristische als auch technische Expertise besitzt.

Wenn Sie eine gefälschte Rechnung bezahlt haben und nun erneut zur Zahlung aufgefordert werden, weil die erste Zahlung keine Erfüllungswirkung hatte, sollten Sie sich an mich wenden. Mit meiner Erfahrung und dem Zugriff auf technische Sachverständige kann ich sicherstellen, dass alle relevanten Aspekte berücksichtigt werden, um Ihre Rechte effektiv zu vertreten. Gemeinsam können wir Ihre Ansprüche erfolgreich geltend machen und sicherstellen, dass Sie die Ihnen zustehende Entschädigung erhalten. Zögern Sie nicht, sich an mich zu wenden, um Ihre Interessen bestmöglich zu schützen.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.