In einem am 27.7.2023 veröffentlichten Urteil (19 U 83/22) hat sich das Oberlandesgericht Karlsruhe mit der Frage beschäftigt, welche Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr einzuhalten sind. Die Entscheidung wirft jedoch mehr Fragen auf, als sie beantwortet.
Der Ausgangsfall
Zwischen der als Verkäuferin auftretenden Klägerin und der als Käuferin auftretenden Beklagten wurde ein Kaufvertrag über einen Gebrauchtwagen zum Preis von 13.500 Euro geschlossen. Die Klägerin schickte dem Käufer per E-Mail eine Rechnung über den Kaufpreis. Kurz darauf erhielt der Käufer eine weitere E-Mail mit einer manipulierten Rechnung. Er überwies den Kaufpreis auf das in dieser angegebene Konto. Die Verkäuferin verklagte den Käufer daraufhin auf Zahlung des Kaufpreises.
Die Entscheidung der Vorinstanz
In erster Instanz wies das Landgericht Mosbach die Klage ab. Es sah den Anspruch auf Kaufpreiszahlung durch die Überweisung auf das falsche Konto gemäß § 362 Abs. 1 BGB als erfüllt an. Die vom Landgericht herangezogene “Orientierungshilfe” des Datenschutzbeauftragten zur Absicherung personenbezogener Daten verpflichte die Verkäuferin zur Ende-zu-Ende-Verschlüsselung. Ihr Verstoß hiergegen habe den Zugriff des Dritten ermöglicht.
Die Entscheidung der Berufungsinstanz
In zweiter Instanz hob das OLG Karlsruhe das Urteil auf und verurteilte den Käufer zur Zahlung von 13.500 Euro Kaufpreis. Es stellte klar, dass keine gesetzliche Pflicht zur Ende-zu-Ende-Verschlüsselung besteht, da es um Unternehmensdaten ging. Die Zahlung auf ein falsches Konto erfüllte die Forderung nicht.
Problematik in der Entscheidung
Die Entscheidung wirft allerdings mehr Fragen auf, als sie beantwortet:
- Ungeklärt bleibt, wie es überhaupt zu der gefälschten E-Mail kommen konnte.
- Die Umstände des Mailversands werden nicht aufgeklärt.
- Ob ein rechtliches Problem vorliegt oder die Parteien prozessual versagt haben, wird nicht erörtert.
- Die Kernfrage, wer die gefälschte Rechnung bezahlt hat, bleibt offen.
Problematik der Erfüllung bei Überweisung
Grundsätzlich gilt: Bei Überweisung einer Geldsumme ist die Erfüllung erst dann eingetreten, wenn der geschuldete Betrag auf dem Konto des Gläubigers eingeht. Die Überweisung auf ein falsches Empfängerkonto erfüllt die Forderung gerade nicht. Hier liegt die Problematik also nicht in den Sicherheitsstandards, sondern in der fehlenden Erfüllungswirkung.
Sicherheitsproblematik bei E-Mail-Kommunikation
Dennoch wirft der Fall Fragen zur E-Mail-Sicherheit auf:
- Absolute Sicherheit ist nicht geschuldet, aber angemessene Schutzmaßnahmen schon.
- Verbindliche Standards für die Absicherung von Mails im Geschäftsverkehr fehlen.
- Technische Lösungen wie Verschlüsselung stoßen an Grenzen.
- Verantwortung liegt sowohl beim Sender als auch beim Empfänger.
- Social Engineering, Phishing und gefälschte Absender stellen große Probleme dar.
Fazit
Das Urteil problematisiert Sicherheitsstandards beim E-Mail-Verkehr, klärt die Kernfragen aber nicht. Weder Ursache noch Umstände des Mailversands werden aufgeklärt. Die Entscheidung macht deutlich, dass die Sicherheit von E-Mails ein ungelöstes Problem bleibt. Absolute Sicherheit ist unmöglich, angemessene Vorkehrungen aber Pflicht. Gerade bei sensiblen Geschäftsinformationen sind erhöhte Vorsicht und technische Absicherung geboten.
Das vollständige Urteil gibt es hier.