Da es keine gesetzlichen Regelungen für geschäftliche digitale Kommunikation zwischen Unternehmen gibt, kann nicht davon ausgegangen werden, dass Geschäftspartner eine Ende-zu-Ende-Verschlüsselung von E-Mails grundsätzlich ermöglichen, geschweige denn regelmäßig vornehmen. Entsprechend hat das Oberlandesgericht Karlsruhe eine Schadensersatzklage eines Unternehmens abgewiesen, das Sicherheitsmängel beim E-Mail-Versand durch einen Vertragspartner als Ursache für einen Schaden in Höhe von 13.500 Euro ausgemacht hatte.
Betrug mittels gefälschter E-Mail
Grundlage des Streits war der Kauf eines Kraftfahrzeugs; die Rechnung mit Anweisungen zur Bezahlung wurde per E-Mail zugestellt. Innerhalb weniger Minuten folgte eine zweite Mail mit identischem Briefkopf, jedoch anderer Bankverbindung. In der Annahme, dass die zweite Rechnung eine korrigierte Fassung sei, überwies der Käufer ohne weitere Rückfrage den Gesamtbetrag. Als der Verkäufer nach einigen Tagen um Bezahlung des Fahrzeugs bat, stellte sich heraus, dass infolge eines Hackerangriffs die zweite Mail gefälscht war. Das Geld war in den Tiefen des digitalen Bankensystems verschwunden; Rückbuchungen von Überweisungen sind grundsätzlich nicht möglich.
Weder der Kunde noch der Verkäufer wollte den Sachverhalt als das eigene Problem akzeptieren: der Käufer wollte sein Fahrzeug, die Gegenseite den Kaufpreis. Das Landgericht hatte sich bei der letztlich eingereichten Erfüllungslage des Verkäufers auf die Seite des Käufers gestellt und begründet, der Kläger habe beim E-Mail-Versand der Rechnung keine ausreichenden Schutzvorkehrungen getroffen und damit den Betrug schuldhaft ermöglicht. Das OLG nahm die gegenteilige Auffassung ein und erkannte die unstreitig bestehende Kaufpreisforderung nicht durch Erfüllung gemäß § 362 Abs. 1 BGB als erloschen.
Keine Erfüllung, kein Schadensersatz
Zwar sei nachweislich eine Überweisung erfolgt, jedoch nicht auf das richtige Konto. Ein Schadensersatzanspruch des Beklagten wegen Verletzung einer vertraglichen Nebenpflicht des Klägers gemäß § 280 Abs. 1 BGB könnte zwar theoretisch entgegenstehen, jedoch sei eine solche objektiv nicht zu erkennen. Der Vertrag zwischen den Parteien sei telefonisch geschlossen, die Rechnung wie vereinbart und im Geschäftsverkehr üblich per Mail geschickt worden. Eine über den normalen Standard – die Geheimhaltung der Zugangsdaten für das E-Mail-Konto – hinausgehende Sicherheitstechnik oder Verschlüsselung sei nicht erforderlich. Der Empfänger der Mail war sich zudem bewusst, dass die Mail nicht besonders geschützt gewesen sei, immerhin hätte er dann ein Passwort oder einen Schlüssel erhalten müssen. Im Zweifelsfall hätte er den Verkäufer anrufen und die Daten auf der Rechnung abgleichen können. Damit, so das OLG, besteht der Anspruch des Klägers auf Bezahlung weiter, ein Gegenanspruch des Beklagten auf Schadensersatz konnte hingegen nicht festgestellt werden (OLG Karlsruhe, Az.: 19 U 83/22).