WARNUNG vor Manipulation beim Versand von E-Mail Rechnungen und Schadensersatzforderungen wegen unzureichender Sicherheitsvorkehrungen

Elektronischer Rechnungsversand --dieses Thema sensibilisiert für die zunehmend erhöhten Anforderungen an die Sicherheitsstandards im elektronischen Rechnungsverkehr

Die Handwerkskammer Erfurt möchten darüber informieren , dass in den vergangenen Monaten mehrere Gerichtsentscheidungen zum Themenkomplex Hacker/Manipulation von E-Mail-Rechnungen/Schadensersatz wegen unzureichender Sicherheitsvorkehrungen beim E-Mail-Versand veröffentlicht worden. Angefügt sind als Anlage zwei Urteile und ganz aktuell hier: Zivilverfahren . Landgericht Koblenz, welche verdeutlichen sollen in welche finanziellen Risiken sicher der Unternehmer sowohl als Zahlungsgläubiger, als auch als Zahlungsschuldner begeben kann.

Die Fallkonstellation ist dabei stets sehr ähnlich: Ein Unternehmer sendet per E-Mail eine Rechnung zur Begleichung einer Forderung aus Werk- oder Kaufvertrag an den Kunden. Aufgrund von Eingriffen seitens eines Betrügers in die Mailkommunikation werden die Rechnungsdaten manipuliert und eine Bankverbindung eines unbekannten Dritten (Hacker/Betrüger) in die Rechnung eingefügt, bevor diese im Postfach des Kunden landet. Der Kunde zahlt auf die falsche Kontoverbindung. Da der Unternehmer kein Geld erhält, zieht dieser vor Gericht und klagt seine Forderung ein.

Die Gerichte urteilen unterschiedlich:

OLG Karlsruhe, Urteil vom 27.07.2023 (19 U 83/22) – Kaufvertrag über gebrauchten PKW:

  • Der Kaufpreis in Höhe von 13.500€ muss vom Kunden (Beklagter) an den Unternehmer (Kläger) gezahlt werden.
  • Der Kunde hat die geschuldete Leistung (Geldzahlung) nicht erbracht.
  • Der Kunde hat gegen den Unternehmer auch keinen Schadensersatzanspruch gem. § 280 Abs. 1, § 241 Abs. 2 BGB in einer der auf das Drittkonto getätigten Überweisung von 13.500 € entsprechenden Höhe, den er der Klageforderung unter dem Gesichtspunkt der dolo-agit-Einwendung gem. § 242 BGB entgegenhalten könnte.
  • Eine Pflichtverletzung des Unternehmers wegen unzureichender Sicherheitsvorkehrungen beim E-Mail-Versand liegt nicht vor, weil der Unternehmer zur Verwendung bestimmter Sicherungsmaßnahmen nicht verpflichtet war.
  • Sachlicher Anwendungsbereich der DSGVO ist nicht eröffnet.

 

Schleswig-Holsteinisches Oberlandesgericht, Urteil vom 18.12.2024 (12 U 9/24) – Bauvertrag

  • Der Werklohn in Höhe von 15.385,78€ muss vom Kunden (Beklagter) an den Unternehmer (Kläger) nicht gezahlt werden.
  • Der Kunde hat die geschuldete Leistung (Geldzahlung) nicht erbracht.
  • Dem Kunden steht allerdings ein Schadensersatzanspruch in Höhe der auf das Drittkonto getätigten Überweisung zustehen, den er der Klageforderung des Werkunternehmers unter dem Gesichtspunkt der dolo-agit-Einwendung gemäß § 242 BGB entgegenhalten kann. Dieser Schadensersatzanspruch resultiert aus Art. 82 DSGVO.
  • Der Anwendungsbereich der DSGVO ist in zeitlicher, sachlicher und räumlicher Hinsicht eröffnet.
  • Der Unternehmer hat wegen unzureichender Sicherungsvorkehrungen beim E-Mail-Versand gegen die Vorschriften der DSGVO verstoßen (Es lag eine sog. Transportverschlüsselung des E-Mail-Verkehrs vor).
  • Nach Ansicht des Senats ist eine Transportverschlüsselung beim Versand von geschäftlichen E-mails mit personenbezogenen Daten zwischen Unternehmer und Kunden jedenfalls bei hohen finanziellen Risiken durch Verfälschung der angehängten Rechnung der Klägerin für den Kunden nicht ausreichend und kann keinen „geeigneten“ Schutz im Sinne der DSGVO darstellen. Vielmehr ist die End-to-End-Verschlüsselung zurzeit das Mittel der Wahl.
  • Soweit dieser zu erwartende hohe Standard zum Schutz der personenbezogenen Daten beim Versand von E-mails mit angehängten Rechnungen nicht sichergestellt werden kann, bleibt für ein Unternehmen der Versand von Rechnungen per Post das Mittel der Wahl.

 

LG Koblenz Urteil vom 26.03.2025 (8 O 271/22) – Werkvertrag Zaunbau

  • Der Werklohn muss nicht in voller Höhe  (11.000€) vom Kunden (Beklagter) an den Unternehmer (Kläger) gezahlt werden, sondern nur zu 75% (8.250 €)
  • Der Kunde hat die geschuldete Leistung (Geldzahlung) nicht erbracht.
  • Der Kunde kann indes erfolgreich mit einem eigenen gegen den Unternehmer bestehenden Schadensersatzanspruch teilweise aufrechnen. Ein solcher Anspruch folgt aus Art. 82 DSGVO. Danach sei der Unternehmer verpflichtet, sensible Daten gegen Datenschutzverletzungen zu sichern. Zu diesen Daten gehörten sowohl die in der Rechnung enthaltenen personenbezogenen Angaben des Kunden, als auch seine E-Mail-Adresse. Eine solche Absicherung habe der Unternehmer nicht vorgenommen (welche Absicherung das wäre, bleibt unklar).
  • Der Kunde muss sich aber ein erhebliches Mitverschulden anrechnen lassen. Vor dem oben aufgezeigten Hintergrund wäre es auch an dem Kunden gewesen, kritisch zu hinterfragen, ob die ihm per E-Mail übersandten Kontodaten tatsächlich vom Unternehmer stammen, zumal eine Bankverbindung mit einem vollkommen fremden Zahlungsempfänger mitgeteilt wurde.
  • Es sei ein überwiegendes Mitverschulden beim Kunden zu sehen, was eine Quotelung des Schadens 25 : 75 zu Lasten des Kunden rechtfertige. Mit Blick auf sein überwiegendes Mitverschulden steht ihm daher lediglich ein Anspruch auf Ersatz von 25 % seines Schadens gegen den Unternehmer zu, so dass er lediglich in Höhe eines Betrages von 2.750,00 € mit Erfolg aufrechnen kann.

Petra Heidkamp

Fischmarkt 13

99084 Erfurt

Tel. 0361 / 67 07 - 2220

pheidkamp--at--hwk-erfurt.de