Kunde fällt auf Hacker rein – und muss doppelt zahlen

Guido Kluck, LL.M. | 11. August 2023

Das Oberlandesgericht (OLG) Karlsruhe urteilte am 27.07.2023 (Az. U 83/22), dass keine besonderen Sicherheitsvorkehrungen für Mailaccounts von Autohändlern nötig sind. Ein Autokäufer, der auf eine gefälschte Mail hereinfiel und auf das Konto des Betrügers zahlte, habe seine Leistung nicht erfüllt.

Sachverhalt 

Der Geschäftsführer eines Unternehmens kaufte per Telefon ein Auto für 13.500 Euro und vereinbarte die Übersendung der Rechnung per E-Mail. Daraufhin bekam er hintereinander zwei E-Mails mit derselben Rechnung, in der zweiten war aber in der Fußzeile ein anderes Konto angegeben. Inhaber dieses Kontos war eine Privatperson, die nicht in Verbindung mit den Beteiligten stand. 

Hier wies aber diese zweite E-Mail sprachliche Fehler auf. Dennoch zahlte der Käufer 13.500 Euro auf das fremde Konto. Der Verkäufer hingegen wartete vergeblich auf sein Geld! Es stellte sich heraus, dass die zweite E-Mail nicht vom Autohändler stammte, sondern von einem Computerbetrüger. Dieser hatte das E-Mail-Konto des Verkäufers gehackt und wie auch schon bei anderen Kunden die Bankverbindung auf der Rechnung ausgetauscht.

Klage am LG Mosbach abgewiesen – OLG verneint Erfüllung der Forderung 

Zunächst klagte der Verkäufer die Zahlung der 13.500 Euro vor dem Landgericht (LG) Mosbach ein. Hier hatte er aber zunächst keinen Erfolg. Das änderte sich aber in der Berufungsinstanz. Das OLG sah das anders. Der Käufer habe nicht gem. § 362 BGB erfüllt. Das Geld ging auf ein Konto, das dem Verkäufer nicht gehörte, und habe dort den Leistungserfolg nicht herbeiführen können.

Sind Verschlüsselungstechniken verpflichtend? 

Das Oberlandesgericht führte aus, dass ein Verstoß gegen Sicherheitsvorkehrungen beim Versand einer geschäftlichen E-Mail allenfalls einen Schadensersatzanspruch nach § 280 Abs. 1 BGB begründen könnte. Einen solchen Verstoß lehnten die zuständigen Richter aber ab. Anders als der beklagte Käufer sehen sie keine Verpflichtung des Autohändlers, besondere Vorkehrungen dagegen zu treffen, dass seine Mails gehackt werden können.

Gegenseitige Sicherungsvorkehrungen nicht besprochen 

Darüber hinaus haben die Vertragsparteien auch keine Absprachen zu etwaigen Sicherungsvorkehrungen besprochen. Demnach sei schon fraglich, welche Pflichten beim Versand von E-Mails im Geschäftsverkehr bestünden. 

Rechtstipp: Im konkreten Fall ist nach obergerichtlicher Auffassung die DSGVO ebenso wenig anwendbar wie die vom Landgericht herangezogene „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen„. Entscheidend ist welche berechtigten Sicherheitserwartungen die beteiligten Kreise haben.

Cybervorfälle bei Unternehmen

Cyberattacken sind im 21. Jahrhundert eine der größten Bedrohungen für Unternehmen geworden und stellen für die Betroffenen ein hohes Risiko dar. Damit ist die Cyberkriminalität allgegenwärtig. Die „Allianz“ beschreibt es aber als kalkulierbares Risiko, da man sich dagegen gut schützen könne. „Die Vorbereitung auf Cyberrisiken ist eine Frage des Wettbewerbsvorteils und der wirtschaftlichen Resilienz in Zeiten der Digitalisierung.

Zu den Schäden führen ja bekanntlich u.a. Spyware, Viren und Trojaner. Dementsprechend handelt es sich immer um sogenannte Hackerangriffe. „Oft gibt es gleich zwei Einfallstore, über die sich Hacker Zugriff verschaffen können. Die Office-IT wird gerne durch Phishing-Attacken infiltriert. In der Produktions-IT sind die vom Hersteller mitgelieferten Betriebssysteme von Industrial Control Systems (ICS) ein Risikofaktor. Bei diesen Komponenten steht die Funktionsweise im Vordergrund – Sicherheitsmaßnahmen werden in der Standardkonfiguration zum Teil vernachlässigt.“

Daher:

Sie sollten auf jeden Fall sicherstellen, dass Sie einen gewissen Cyber-Grundschutz haben. Das heißt genauer gesagt, dass Sie Malware, Firewalls und auch regelmäßige Backups einrichten sollten!  Ein weit unterschätzter, aber wichtiger Grundschutz ist auch die Mitarbeiterschulung. Sorgen Sie für regelmäßige Schulungen Ihrer Mitarbeiter zum Thema IT-Sicherheit und sensibilisieren Sie Ihre Mitarbeiter wie zum Thema Datenschutz, auch zum Thema Cyberkriminalität. Solche Maßnahmen erhöhen die interne Betriebsicherheit merklich! 

Fazit 

Das OLG sieht hier keine Verpflichtung des Verkäufers besondere Vorkehrungen dagegen zu treffen, dass seine Mails gehackt werden könnten. Dennoch bleibt im Raum stehen, dass die Zahlung auf das falsche Konto im Endeffekt durch den Händler verursacht worden sei: Hätte dieser den Mailverkehr oder die PDF verschlüsselt, beziehungsweise zumindest eine Transportverschlüsselung eingesetzt, so hätten die Betrüger nicht die gefälschte Rechnung schicken können. Möglich gewesen wäre das u.a. durch das Verfahren Sender Policy Framework (SPF). Jedoch ginge das nur, wenn der Versendende einen eigenen Server betreibt. Dazu gibt es keine gesetzliche Verpflichtung. Dasselbe gelte bei der Ende-zu-Ende-Verschlüsselung: Diese Technik, bei der die zu übertragenden Daten vom Sender verschlüsselt und erst beim Empfänger wieder entschlüsselt werden, setze bestimmte Systemanforderungen voraus. 

Sie haben Fragen zum Thema Schadensersatz und/ oder der DSGVO? Melden Sie sich bei uns! Unser im spezialisiertes Team steht Ihnen gerne schnell und unkompliziert zur Seite und berät Sie gern.

Jetzt teilen:

Guido Kluck, LL.M.

Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).

ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTOR

Das könnte Sie auch interessieren

Holen Sie sich Unterstützung

SIE HABEN NOCH FRAGEN?

Online Termin vereinbaren

Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.

Antworten per WhatsApp

LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.

LEGAL SMART Anwaltshotline

Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.

LEGAL SMART RECHTSPRODUKTE

ANWALTLICHE LEISTUNG ZUM FESTPREIS

LEGAL SMART Rechtsprodukt Markenanmeldung DE
299,00 €

Markenanmeldung DE

Schützen Sie Ihren Namen oder Ihr Produkt oder Dienstleistung durch eine Eintragung im Markenregister mit Ihrer eigenen Marke

LEGAL SMART Rechtsprodukt DSGVO Website Update
249,00 €

DSGVO Website Update

Das Update für Ihre Website nach den Anforderungen der DSGVO und haben Sie keine Angst vor Abmahnungen oder Bußgeldern.

MEHR PRODUKTE Anwaltliche Leistung zum Festpreis

LEGAL SMART Rechtsanwaltsgesellschaft mbH

LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.