Das Wichtigste in Kürze
- Das OLG Karlsruhe entschied, dass keine gesetzliche Pflicht zur Ende-zu-Ende-Verschlüsselung für Unternehmensdaten im E-Mail-Verkehr besteht.
- Eine Zahlung auf ein falsches Konto erfüllt die Kaufpreisforderung nicht, da die Erfüllung erst bei Eingang auf dem Konto des Gläubigers eintritt.
- Der Fall wirft wichtige, ungeklärte Fragen zur Ursache manipulierter E-Mails und der Verantwortlichkeit auf.
- Angemessene Sicherheitsvorkehrungen im E-Mail-Verkehr sind unerlässlich, auch wenn absolute Sicherheit nicht realisierbar ist.
- Besondere Vorsicht und technische Absicherung sind bei sensiblen Geschäftsinformationen geboten.
Sicherheitsvorkehrungen im E-Mail-Verkehr: OLG Karlsruhe präzisiert Anforderungen
In einem am 27. Juli 2023 veröffentlichten Urteil ( 19 U 83/22) hat sich das Oberlandesgericht Karlsruhe mit der Frage beschäftigt, welche Sicherheitsvorkehrungen beim E-Mail-Verkehr im geschäftlichen Umfeld einzuhalten sind. Diese Entscheidung wirft jedoch mehr Fragen auf, als sie beantwortet.
Der Ausgangsfall
Eine als Verkäuferin auftretende Klägerin und eine als Käuferin agierende Beklagte schlossen einen Kaufvertrag über einen Gebrauchtwagen zum Preis von 13.500 Euro. Die Klägerin versendete dem Käufer daraufhin eine Rechnung per E-Mail.
Kurz danach erhielt der Käufer eine weitere E-Mail mit einer manipulierten Rechnung. Er überwies den Kaufpreis auf das dort angegebene Konto. In der Folge verklagte die Verkäuferin den Käufer auf Zahlung des Kaufpreises.
Die Entscheidung der Vorinstanz
In erster Instanz wies das Landgericht Mosbach die Klage ab. Es vertrat die Ansicht, dass der Anspruch auf Kaufpreiszahlung durch die Überweisung auf das falsche Konto gemäß § 362 Abs. 1 BGB erfüllt sei.
Das Landgericht stützte sich dabei auf eine "Orientierungshilfe" des Datenschutzbeauftragten zur Absicherung personenbezogener Daten. Diese verpflichte die Verkäuferin zur Ende-zu-Ende-Verschlüsselung. Ein Verstoß hiergegen habe den Zugriff des Dritten ermöglicht.
Die Entscheidung der Berufungsinstanz
In zweiter Instanz hob das OLG Karlsruhe das Urteil der Vorinstanz auf. Es verurteilte den Käufer zur Zahlung von 13.500 Euro Kaufpreis. Das Gericht stellte klar, dass keine gesetzliche Pflicht zur Ende-zu-Ende-Verschlüsselung bestehe, da es sich um Unternehmensdaten handelte.
Die Zahlung auf ein falsches Konto erfüllte die Forderung somit nicht. Das Urteil betont die fehlende Erfüllungswirkung der Zahlung an den falschen Empfänger.
Ungeklärte Problematik der Entscheidung
Die Entscheidung wirft jedoch mehr Fragen auf, als sie beantwortet:
- Es bleibt ungeklärt, wie es überhaupt zu der gefälschten E-Mail kommen konnte.
- Die genauen Umstände des Mailversands werden nicht aufgeklärt.
- Ob ein rechtliches Problem vorliegt oder die Parteien prozessual versagt haben, wird nicht erörtert.
- Die Kernfrage, wer für die gefälschte Rechnung verantwortlich ist, bleibt offen.
Problematik der Erfüllung bei Überweisung
Grundsätzlich gilt: Bei der Überweisung einer Geldsumme tritt die Erfüllung erst dann ein, wenn der geschuldete Betrag tatsächlich auf dem Konto des Gläubigers eingeht. Eine Überweisung auf ein falsches Empfängerkonto erfüllt die Forderung gerade nicht.
Die eigentliche Problematik liegt hier also nicht primär in den Sicherheitsstandards, sondern in der fehlenden Erfüllungswirkung der Zahlung.
Herausforderungen der E-Mail-Sicherheit im Geschäftsverkehr
Dennoch wirft der Fall wichtige Fragen zur E-Mail-Sicherheit auf. Absolute Sicherheit ist in der digitalen Kommunikation zwar nicht realisierbar, jedoch sind angemessene Schutzmaßnahmen für IT-Sicherheit unabdingbar.
- Verbindliche Standards für die Absicherung von E-Mails im geschäftlichen Verkehr fehlen oft.
- Technische Lösungen wie die Verschlüsselung stoßen an ihre Grenzen.
- Die Verantwortung liegt sowohl beim Sender als auch beim Empfänger der Kommunikation.
- Insbesondere Unternehmensdaten im geschäftlichen Verkehr sind durch Bedrohungen wie Social Engineering, Phishing und gefälschte Absender stark gefährdet.
Fazit
Das Urteil des OLG Karlsruhe problematisiert zwar die Sicherheitsstandards beim E-Mail-Verkehr, klärt aber die Kernfragen des konkreten Falls nicht abschließend. Weder die Ursache noch die genauen Umstände des manipulierten Mailversands werden vollumfänglich aufgeklärt. Es bleibt zu hoffen, dass zukünftige Entscheidungen hier mehr Klarheit schaffen.
Die Entscheidung macht deutlich, dass die Sicherheit personenbezogener Daten und E-Mails ein dauerhaftes Problem bleibt. Absolute Sicherheit ist unmöglich, angemessene Vorkehrungen sind jedoch Pflicht. Gerade bei sensiblen Geschäftsinformationen sind erhöhte Vorsicht und technische Absicherung geboten.
Das vollständige Urteil finden Sie hier.