Urteil: Kunde muss zahlen, wenn er auf E-Mail mit gefälschter Rechnung reinfällt
Das Oberlandesgericht Karlsruhe hält eine Ende-zu-Ende-Verschlüsselung beim Versand von Rechnungen sowie das Signieren von PDF-Dateien nicht für erforderlich.
(Bild: Shutter z/Shutterstock.com)
Ein Käufer eines Gebrauchtwagens muss den vereinbarten Preis auch dann an den Verkäufer zahlen, wenn er ihn bereits an einen Dritten nach Erhalt einer E-Mail mit einer gefälschten Rechnung mit anderer Bankverbindung überwiesen hat. Dies hat das Oberlandesgericht (OLG) Karlsruhe mit einem jetzt veröffentlichten Urteil vom 27. Juli entschieden (Az.: 19 U 83/22) und damit den entgegengesetzt lautenden Beschluss des Landgerichts (LG) Mosbach vom Mai 2022 aufgehoben. Zugleich hat die Berufungsinstanz klargestellt, welche Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr einzuhalten sind. Eine Ende-zu-Ende-Verschlüsselung ist demnach in der Regel nicht nötig.
Fürs Durchschauen von Betrug selbst verantwortlich
In dem Fall erwarb ein Geschäftsführer einer Firma von einem anderen einen gebrauchten Mercedes E 200 T für 13.500 Euro. Am selben Tag um 11:44 Uhr schickte der Verkäufer die Rechnung wunschgemäß als Anhang zu einer E-Mail an den Vertragspartner. Im Kopfbereich der Rechnung sowie in der Fußzeile war ein Konto bei einer Sparkasse für den Empfang des Geldes angegeben. Zwei Minuten später erhielt der Käufer eine zweite Mail mit einer manipulierten Zahlungsaufforderung mit einem Empfängerkonto bei einer Bank in Berlin. Die elektronische Botschaft war plötzlich in der Sie-Form gehalten, obwohl die Geschäftsführer sich duzten, und enthielt am Ende einen unverständlichen Satz mit Bezug auf eine völlig andere Ware. Trotzdem überwies der Kunde den Betrag an die zuletzt erhaltene Kontonummer.
Elf Tage später forderte der Verkäufer das bei ihm nicht angekommene Geld ein. Erst dann stellte sich laut den Gerichtsdokumenten heraus, dass die zweite E-Mail aufgrund eines "Hackerangriffs" von einer unbefugten dritten Person versandt worden war. Der Verkäufer stellte daraufhin Anzeige und klagte gegen den Käufer, da dieser eine Zahlung an ihn ablehnte und seine Pflichten aus dem Kaufvertrag bereits erfüllt sah. Das LG Mosbach stellte sich auf die Seite des Beklagten und auf den Standpunkt, dass der Kläger "zu wenig" an Datensicherheit veranlasst habe. Das OLG hob diese Entscheidung auf und verurteilte den Käufer, dem Kläger den ausgemachten Preis nebst Zinsen und die Kosten des Rechtsstreits zu zahlen. Eine Revision ließ es nicht zu.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Keine Pflicht zu Sicherheitsmaßnahmen
Die Richter des Berufungsverfahrens konstatieren zudem: "Mangels gesetzlicher Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr bestimmen sich Art und Umfang der erforderlichen Sicherheitsvorkehrungen, soweit hierzu von den Parteien keine ausdrückliche Vereinbarung getroffen wurde, nach den berechtigten Sicherheitserwartungen des maßgeblichen Verkehrs unter Berücksichtigung der Zumutbarkeit." Demnach sei auch der Nachweis einer Transportverschlüsselung oder eines digitalen Signierens einer PDF-Datei nicht erforderlich. Anders könnte es bei einem Austausch zwischen natürlichen Personen ohne Geschäftscharakter sein, wenn die Datenschutz-Grundverordnung (DSGVO) greife.
Das OLG kann auch keine Pflicht erkennen, das Verfahren Sender Policy Framework (SPF) anzuwenden. Endnutzer wie der Kläger, die selbst keinen E-Mail-Server betreiben, hätten auf so ein Prüfverfahren für Berechtigungen zum Versenden von E-Post überhaupt keinen Einfluss. Mit den Sicherheitsvorkehrungen beim Unternehmen des Verkäufers stand es aber offenbar nicht sonderlich gut: Dessen E-Mail-Konto bei einem externen Anbieter wurde dem Urteil zufolge mit einem Passwort geschützt, "das zwei Personen im gesamten Betrieb" des Klägers bekannt gewesen "und alle zwei bis vier Wochen" geändert worden sei. "Passwortrotation ist Theater. Nicht nur nutzlos, sondern sogar kontraproduktiv", kritisiert der IT-Sicherheitsexperte und Blogger Fefe. Die relevante Frage wäre gewesen, ob die Mail vom Server des Verkäufers kam. Der entsprechende Header sei aber offenbar gar nicht geprüft worden.
(tiw)
