Das Oberlandesgericht (OLG) Karlsruhe urteilte am 27.07.2023 (Az. U 83/22), dass keine besonderen Sicherheitsvorkehrungen für Mailaccounts von Autohändlern nötig sind. Ein Autokäufer, der auf eine gefälschte Mail hereinfiel und auf das Konto des Betrügers zahlte, habe seine Leistung nicht erfüllt.

Sachverhalt 

Der Geschäftsführer eines Unternehmens kaufte per Telefon ein Auto für 13.500 Euro und vereinbarte die Übersendung der Rechnung per E-Mail. Daraufhin bekam er hintereinander zwei E-Mails mit derselben Rechnung, in der zweiten war aber in der Fußzeile ein anderes Konto angegeben. Inhaber dieses Kontos war eine Privatperson, die nicht in Verbindung mit den Beteiligten stand. 

Hier wies aber diese zweite E-Mail sprachliche Fehler auf. Dennoch zahlte der Käufer 13.500 Euro auf das fremde Konto. Der Verkäufer hingegen wartete vergeblich auf sein Geld! Es stellte sich heraus, dass die zweite E-Mail nicht vom Autohändler stammte, sondern von einem Computerbetrüger. Dieser hatte das E-Mail-Konto des Verkäufers gehackt und wie auch schon bei anderen Kunden die Bankverbindung auf der Rechnung ausgetauscht.

Klage am LG Mosbach abgewiesen – OLG verneint Erfüllung der Forderung 

Zunächst klagte der Verkäufer die Zahlung der 13.500 Euro vor dem Landgericht (LG) Mosbach ein. Hier hatte er aber zunächst keinen Erfolg. Das änderte sich aber in der Berufungsinstanz. Das OLG sah das anders. Der Käufer habe nicht gem. § 362 BGB erfüllt. Das Geld ging auf ein Konto, das dem Verkäufer nicht gehörte, und habe dort den Leistungserfolg nicht herbeiführen können.

Sind Verschlüsselungstechniken verpflichtend? 

Das Oberlandesgericht führte aus, dass ein Verstoß gegen Sicherheitsvorkehrungen beim Versand einer geschäftlichen E-Mail allenfalls einen Schadensersatzanspruch nach § 280 Abs. 1 BGB begründen könnte. Einen solchen Verstoß lehnten die zuständigen Richter aber ab. Anders als der beklagte Käufer sehen sie keine Verpflichtung des Autohändlers, besondere Vorkehrungen dagegen zu treffen, dass seine Mails gehackt werden können.

Gegenseitige Sicherungsvorkehrungen nicht besprochen 

Darüber hinaus haben die Vertragsparteien auch keine Absprachen zu etwaigen Sicherungsvorkehrungen besprochen. Demnach sei schon fraglich, welche Pflichten beim Versand von E-Mails im Geschäftsverkehr bestünden. 

Rechtstipp: Im konkreten Fall ist nach obergerichtlicher Auffassung die DSGVO ebenso wenig anwendbar wie die vom Landgericht herangezogene „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen„. Entscheidend ist welche berechtigten Sicherheitserwartungen die beteiligten Kreise haben.

Cybervorfälle bei Unternehmen

Cyberattacken sind im 21. Jahrhundert eine der größten Bedrohungen für Unternehmen geworden und stellen für die Betroffenen ein hohes Risiko dar. Damit ist die Cyberkriminalität allgegenwärtig. Die „Allianz“ beschreibt es aber als kalkulierbares Risiko, da man sich dagegen gut schützen könne. „Die Vorbereitung auf Cyberrisiken ist eine Frage des Wettbewerbsvorteils und der wirtschaftlichen Resilienz in Zeiten der Digitalisierung.“

Zu den Schäden führen ja bekanntlich u.a. Spyware, Viren und Trojaner. Dementsprechend handelt es sich immer um sogenannte Hackerangriffe. „Oft gibt es gleich zwei Einfallstore, über die sich Hacker Zugriff verschaffen können. Die Office-IT wird gerne durch Phishing-Attacken infiltriert. In der Produktions-IT sind die vom Hersteller mitgelieferten Betriebssysteme von Industrial Control Systems (ICS) ein Risikofaktor. Bei diesen Komponenten steht die Funktionsweise im Vordergrund – Sicherheitsmaßnahmen werden in der Standardkonfiguration zum Teil vernachlässigt.“

Daher:

Sie sollten auf jeden Fall sicherstellen, dass Sie einen gewissen Cyber-Grundschutz haben. Das heißt genauer gesagt, dass Sie Malware, Firewalls und auch regelmäßige Backups einrichten sollten!  Ein weit unterschätzter, aber wichtiger Grundschutz ist auch die Mitarbeiterschulung. Sorgen Sie für regelmäßige Schulungen Ihrer Mitarbeiter zum Thema IT-Sicherheit und sensibilisieren Sie Ihre Mitarbeiter wie zum Thema Datenschutz, auch zum Thema Cyberkriminalität. Solche Maßnahmen erhöhen die interne Betriebsicherheit merklich! 

Fazit 

Das OLG sieht hier keine Verpflichtung des Verkäufers besondere Vorkehrungen dagegen zu treffen, dass seine Mails gehackt werden könnten. Dennoch bleibt im Raum stehen, dass die Zahlung auf das falsche Konto im Endeffekt durch den Händler verursacht worden sei: Hätte dieser den Mailverkehr oder die PDF verschlüsselt, beziehungsweise zumindest eine Transportverschlüsselung eingesetzt, so hätten die Betrüger nicht die gefälschte Rechnung schicken können. Möglich gewesen wäre das u.a. durch das Verfahren Sender Policy Framework (SPF). Jedoch ginge das nur, wenn der Versendende einen eigenen Server betreibt. Dazu gibt es keine gesetzliche Verpflichtung. Dasselbe gelte bei der Ende-zu-Ende-Verschlüsselung: Diese Technik, bei der die zu übertragenden Daten vom Sender verschlüsselt und erst beim Empfänger wieder entschlüsselt werden, setze bestimmte Systemanforderungen voraus. 

Sie haben Fragen zum Thema Schadensersatz und/ oder der DSGVO? Melden Sie sich bei uns! Unser im spezialisiertes Team steht Ihnen gerne schnell und unkompliziert zur Seite und berät Sie gern.