Sicherheitsvorkehrungen beim Versand von geschäftlichen E-Mails

OLG Karlsruhe, 2023-07-27 — 19 U 83/22

Branche/ Lebenslage

Kauf eines PKW mit Versand der Rechnung per E-Mail

Akteure

  • Verkäufer (Unternehmen)
  • Käufer (Unternehmen)

Wer haftet?

  • Käufer

Haftungsart

Verpflichtung zur Kaufpreiszahlung an die Klägerin aus § 433 BGB trotz bereits erfolgter Überweisung an ein Hacker Konto, Schadensersatzanspruch aus § 280 Abs. 1 BGB i.V.m. § 254 BGB nur bedingt durch fahrlässiges Handeln der Beklagten gegeben.

Haftungsumfang

  • Kein Erlöschen des Zahlungsanspruchs aus § 362 BGB
  • Keine spezifischen gesetzlichen Anforderungen für Sicherheitsmaßnahmen bei E-Mail-Kommunikation im geschäftlichen Verkehr und deshalb kein inzidiertes Verschulden der Klägerin

Haftungsbegründendes Verhalten

Überweisung des Kaufpreises für einen PKW (13.500 Euro) an ein gefälschtes Konto.

Technische Umstände

Versendung von zwei Rechnungen über den E-Mail Account des Verkäufers, ein original und eine durch Hacking innerhalb von wenigen Minuten nachgesendete Schadmail mit Angabe eines falschen Überweisungskontos.

Persönliche Umstände

Möglichkeiten der Haftungsvermeidung

– Vereinbarung von Sicherheitsstandards im E-Mail-Verkehr
– Genauere Überprüfung von Rechnungen und E-Mails mit Zahlungsaufforderungen

Zitate, Zusammenfassende Würdigung, Strategien zur Haftungsvermeidung

Das vorliegende Urteil behandelt einen Rechtsstreit zwischen einer Klägerin und einer Beklagten, der sich um einen Kaufpreisanspruch dreht. Die Beklagte weigert sich zu zahlen, da sie eine gefälschte Rechnung erhalten hat, und wirft der Klägerin vor, unzureichende Sicherheitsvorkehrungen getroffen zu haben. Die Klägerin ihrerseits argumentiert, dass ihre E-Mail-Kommunikation gehackt worden sei und sie deshalb nicht für die gefälschte Rechnung verantwortlich gemacht werden könne.
Vor diesem Hintergrund war das OLG Karlsruhe mit zwei zentralen Fragestellungen konfrontiert. Erstens, inwiefern eine Zahlung an einen unbekannten Dritten gemäß § 362 BGB Erfüllungswirkung entfalten könnte. Zweitens, welche angemessenen Sicherheitsvorkehrungen im Kontext geschäftlicher E-Mail-Korrespondenz zu treffen sind und von der Klägerin möglicherweise zu treffen gewesen wären.
 
Das OLG stellt vorweg: „Die Berufung der Klägerin ist begründet. Die Klägerin hat gegen die Beklagte gem. § 433 Abs. 2 BGB einen Anspruch auf Kaufpreiszahlung in Höhe von 13.500 €.“
Zur Erlöschung des Kaufpreisanspruchs aus § 362 BGB positioniert sich das OLG klar. Die Klägerin erhielt gemäß § 362 Abs. 1 BGB keine Leistung, da der gezahlte Kaufpreis auf das Konto eines Dritten anstelle des Kontos der Klägerin überwiesen wurde. Daher wurde der geschuldete Leistungserfolg nicht erreicht.

Im Fokus des Urteils steht die zweite Frage, ob die Klägerin ausreichende Sicherheitsmaßnahmen ergriffen hat, um solche Vorfälle zu verhindern, und ob sie deshalb für den erlittenen Schaden haftbar gemacht werden kann. Ein mögliches Fehlverhalten der Klägerin, das dazu führte, dass ein Dritter die gefälschte Rechnung mit veränderten Kontodaten der Beklagten senden konnte und so eine Täuschung über die Zahlung auslöste, könnte Schadensersatzansprüche der Beklagten gemäß § 280 Abs. 1 BGB wegen Verletzung vertraglicher Nebenpflichten begründen.

Das Gericht analysiert die Pflichten der Klägerin im Zusammenhang mit der E-Mail-Sicherheit. Es kommt zu dem Schluss, dass keine konkreten gesetzlichen oder branchenüblichen Verpflichtungen für die Anwendung bestimmter Verschlüsselungsverfahren im Geschäftsverkehr bestehen. Es existieren keine eindeutigen Vorschriften für Sicherheitsmaßnahmen bei E-Mails im geschäftlichen Kontext.
Insbesondere sei der sachliche Anwendungsbereich der Datenschutz-Grundverordnung im Streitfall nicht eröffnet, da diese nur für die Verarbeitung von Informationen gilt, die sich auf eine natürliche Person beziehen (vgl. Art. 2 Abs. 1, Art. 4 Nr. 1 DS-GVO). Auch eine ausdrückliche Vereinbarung zwischen den Parteien fand nicht statt.
Daher könne der Klägerin keine Pflichtverletzung im Zusammenhang mit der Vernachlässigung spezifischer Sicherheitsverfahren vorgeworfen werden.

Die Beklagte argumentiert weiterhin, dass die Klägerin durch den Verzicht auf bestimmte Sicherheitsmaßnahmen wie das SPF-Verfahren oder die Verschlüsselung von PDF-Dateien Fahrlässigkeit begangen habe. Das Gericht weist jedoch darauf hin, dass die Beklagte keine ausreichenden Gründe vorlegt, warum diese Maßnahmen in der spezifischen Geschäftsbeziehung zwischen den Parteien erwartet werden sollten.
Das Gericht betont zudem, dass die Beklagte ihrerseits keine ausreichenden Sicherheitsvorkehrungen getroffen hat. Auffällige Unstimmigkeiten in der gefälschten Rechnung wurden von der Beklagten nicht ausreichend hinterfragt. Das Gericht argumentiert, dass die Klägerin keine ausreichende Kausalität zwischen ihren angeblichen Pflichtverletzungen und dem erlittenen Schaden nachgewiesen wurde.
Insgesamt zeigt das Urteil, dass im E-Mail-Verkehr zwischen Unternehmen keine klaren gesetzlichen Anforderungen für Sicherheitsmaßnahmen gelten. Die Beklagte wird für ihre mangelnde Achtsamkeit hinsichtlich verdächtiger Rechnungen kritisiert und kann keinen ausreichenden Zusammenhang zwischen den behaupteten Pflichtverletzungen der Klägerin und dem erlittenen Schaden herstellen.
Dies führe auch zu einer deutlichen Reduktion eines möglichen Schadensersatzanspruches der Beklagten nach § 254 BGB. Das Gericht unterstreicht, dass es im vorliegenden Fall nicht überzeugend nachgewiesen wurde, dass der Angriff in der kontrollierbaren Sphäre der Klägerin stattgefunden hat.