Haben Sie einen Anspruch, wenn von Ihrer E-Mailadresse
eine gefälschte Rechnung verschickt wird?
Sehr geehrte Mandantinnen und Mandanten,
sehr geehrte Versicherungsmaklerinnen und Makler,
seit geraumer Zeit stellen sich Unternehmer zur Vermeidung von Haftungsansprüchen die Frage „Welchen ausreichenden Sicherheitsstandard hat mein Unternehmen beim Austausch von Datensätzen, z.B. E-Mails, im Geschäftsverkehr einzuhalten?“
Auch die Gerichte haben sich vermehrt mit den Sicherheitsanforderungen beim Versand von geschäftlichen E-Mails und sich daraus ergebenden Schadensersatzansprüchen bei (vermeintlichen) Verstößen gegen Sicherheitsanforderungen zu befassen. Exemplarisch möchten wir Ihnen daher ein sehr lesenswertes aktuelles Urteil des OLG Karlsruhe vom 27.07.2023 Az.: 19 U 83/22 vorstellen, in dem sich das Gericht mit den Anforderungen an die Sicherheitsanforderungen beim Versand von geschäftlichen E-Mails ausführlich zu befassen hatte. Dies ist auch nicht nur für Inkassomakler interessant.
A. Der dem Urteil des OLG Karlsruhe vom 27.07.2023 Az.: 19 U 83/22 zugrunde liegende Sachverhalt:
Die Parteien schlossen am 8. Oktober 2021 – die Klägerin als Verkäuferin, die Beklagte als Käuferin – einen Kaufvertrag über einen gebrauchten Pkw Daimler Typ E200T zum Preis von 13.500 EUR. Am selben Tag um 11:44 Uhr schickte der Geschäftsführer der Klägerin die Rechnung auf Wunsch der Beklagten als Anhang zu einer E-Mail an deren Geschäftsführer. Im Kopfbereich der Rechnung sowie in der Fußzeile war ein Konto bei der Sparkasse T. als Empfängerkonto angegeben. Um 11:46 Uhr erhielt der Geschäftsführer der Beklagten eine weitere E-Mail von der E-Mail-Adresse der Klägerin mit einer neuen Rechnung im Anhang. Hierin war – nur in der Fußzeile, der Kopfbereich wies unverändert das vorgenannte Konto der Klägerin bei der Sparkasse T. aus – ein anderes Empfängerkonto – nunmehr bei der S-Bank in Berlin – eines Kontoinhabers P. D. angegeben.
Die Beklagte überwies 13.500 EUR auf das letztgenannte (falsche) Konto. Später forderte die Klägerin die Beklagte dann zur Zahlung auf. Dabei stellte sich heraus, dass die zweite E-Mail aufgrund eines „Hackerangriffs“ von einer unbefugten dritten Person versandt worden war; das in der Fußzeile der dieser E-Mail angehängten Rechnung angegebene Konto war keines der Klägerin. Deshalb wollte die Klägerin weiterhin die Zahlung, während die Beklagte meinte, sie habe doch schon die Zahlung für den PKW geleistet.
Die Klägerin hat ihr E-Mail-Konto beim kommerziellen Anbieter W. Es ist mit einem Passwort geschützt, das zwei Personen im gesamten Betrieb der Klägerin bekannt war und alle zwei bis vier Wochen durch eine der beiden Personen geändert und der anderen mündlich mitgeteilt wurde. Computer und Software der Klägerin sind über die Windows Firewall geschützt, die regelmäßig aktualisiert wird. Darüber hinaus sind Computer und Software über die Vollversion von „X.-Internet-Security“ geschützt.
B. Urteil des OLG Karlsruhe
Das Urteil des OLG Karlsruhe sprach der Klägerin, also der Verkäuferin, die volle Kaufpreisforderung zu, wobei der Beklagten im direkten Gegenzug kein Schadensersatzanspruch zugestanden wurde, den sie (die Beklagte) der Kaufpreisforderung der Klägerin in Höhe dieser Forderung entgegenhalten könnte, obwohl sie (die Beklagte) bereits die Kaufpreiszahlung geleistet hatte.
Die unstreitig bestehende Kaufpreisforderung sei nach Ansicht des OLG Karlsruhe nicht durch Erfüllung, also Zahlung, gemäß § 362 BGB erloschen. Durch die Überweisung auf das Konto eines Dritten sei nicht der geschuldete Leistungserfolg eingetreten. Diese Ansicht überzeugt, wenn nicht ein Verschulden der Verkäuferin zu berücksichtigen ist.
Das Gericht hatte sich daher mit der Frage auseinanderzusetzen, ob der Klägerin beim Versand der 2. Mail mit der ge- bzw. verfälschten Rechnung eine schuldhafte Pflichtverletzung vorzuwerfen sei, die dem Anspruch der Verkäuferin auf Zahlung des Kaufpreises als Schadensersatzanspruch der Beklagten wegen Verletzung einer vertraglichen Nebenpflicht der Klägerin gemäß §§ 280 Abs. 1, 241 Abs. 2 BGB entgegengehalten werden kann. Denn die E-Mail wurde mit der gefälschten Rechnung vom Account der Klägerin versandt. Hatte diese alles Erforderliche getan, um einen Schaden beim Empfänger zu vermeiden?
C. Konkret einzuhaltende Sicherheitsanforderungen?
Das Hauptaugenmerk der folgenden Ausführungen soll daher daraufgelegt werden, welche konkreten Sicherheitsvorkehrungen beim Versand von E-Mails zwischen Parteien im Geschäftsbereich eingehalten werden müssen, um eine schuldhafte Pflichtverletzung des Versenders zu vermeiden.
Aufgrund der Tatsache, dass zwischen den Parteien keine konkreten Absprachen bezüglich der Sicherheitsvorkehrungen beim Versand der E-Mails mit dem Anhang der Rechnungen getroffen wurden und gesetzliche Vorgaben für den Versand von geschäftlichen E-Mails nicht existieren, ist bezüglich der Sicherheitsvorkehrung laut juristischer Literatur und Rechtsprechung auf die berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit abzustellen (vgl. Riem/Meier, MMR 2020, 571, 573). Hierbei muss bei den nachfolgend dargestellten Sicherheitsmechanismen zudem beachtet werden, ob der Absender bzw. der Empfänger der E-Mail einen eigenen Server betreibt oder sich eines kommerziellen Anbieters bei dem Versand der E-Mails bedient, also überhaupt Einfluss auf die von einem kommerziellen Anbieter eines E-Mail-Postfachs genutzten Sicherheitsmechanismen nehmen konnte bzw. der E-Mail-Postfach einer Person die selbigen Voraussetzungen eines der folgenden Sicherheitsmechanismen aufweist, wie die Person mit der auf elektronischem Wege kommuniziert wird. Wichtige Hinweise für die Einhalten der allgemein im Rechtsverkehr zu erwartenden Sicherheitserwartungen bietet dabei auch das Bundesamt für Sicherheit- und Informationstechnik (https://www.bsi.bund.de/dok/11486416).
Klarstellend wies das OLG Karlsruhe zutreffend darauf hin, dass die Datenschutz-Grundverordnung vorliegend nicht zur Anwendung kommen kann, da diese nur für die Verarbeitung von Informationen gilt, die sich auf eine natürliche Person beziehen (Art. 1 DSGVO).
I. Sender Policy Framework (SPF)
Die Beklagte hielt die Klägerin für verpflichtet, das Verfahren Sender Policy Framework (SPF) anzuwenden.
Laut öffentlich zugänglichen Quellen – die Informationen des Bundesamts für Sicherheit in der Informationstechnik (im Folgenden: BSI), abrufbar unter
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_server_studie_pdf.pdf?__blob=publicationFile&v=1 – handelt es sich beim Verfahren Sender Policy Framework um ein Verfahren, mit dem geprüft werden kann, ob der sendende E-Mail-Server berechtigt ist, für die Domäne E-Mails zu verschicken. Endnutzer wie die Klägerin, die selbst keinen E-Mail-Server betreiben, haben mithin auf die Verwendung des Verfahrens überhaupt keinen Einfluss. Eine berechtigte Sicherheitserwartung des Verkehrs an ein Unternehmen wie die Klägerin, das seinen E-Mail-Verkehr über einen Diensteanbieter abwickelt, auf Anwendung des SPF-Verfahrens kann daher nicht bestehen.
II. Verschlüsselung der pdf-Datei
Dass eine Verschlüsselung von pdf-Dateien im geschäftlichen Verkehr außerhalb des Austauschs besonders sensibler Dateien, die beispielsweise Betriebs- oder Geschäftsgeheimnisse enthalten, üblich wäre, kann nicht ohne Weiteres angenommen werden. Eine berechtigte Sicherheitserwartung des Verkehrs bestehe daher ohne Weiteres laut Auffassung des OLG Karlsruhe nicht. Hinzu kam, dass im Fall der Verschlüsselung der Datei die Klägerin und die Beklagte ein Passwort hierzu hätten austauschen müssen, was vorliegend nicht geschehen war. Die Beklagte hatte also bei Erhalt der ge- oder verfälschten Rechnung Kenntnis davon, dass die Datei nicht durch Verschlüsselung gesichert war. Bereits dieser Umstand, dass erkennbar eine derartige Sicherheitsmaßnahme nicht getroffen war, stand der Annahme einer insoweit vorliegenden Pflichtverletzung der Klägerin entgegen.
III. Ende-zu-Ende-Verschlüsselung
Auch zu diesem Verfahren konnte laut Vortrag der Beklagten erwartet werden, dass es in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein soll. Das BSI empfiehlt zwar für E-Mails die Ende-zu-Ende-Verschlüsselung, äußert aber gleichzeitig die Einschätzung, dass diese bisher nur sehr selten eingesetzt werde.
Dies steht einer entsprechenden allgemeinen Sicherheitserwartung des Verkehrs entgegen und bei den vorliegend versendeten Daten handelt es sich auch nicht um solche, bei deren Versand – wie etwa im Fall von Geschäfts- und Betriebsgeheimnissen – ohne gesonderte Absprache erhöhte Anforderungen zu stellen wären. Hinzu kommt, dass die Verwendung der Ende-zu-Ende-Verschlüsselung nicht vom Versender einer E-Mail allein durchgeführt werden kann. Die Beklagte hat schon nicht vorgetragen, dass ihr eigenes System die Voraussetzungen für den Empfang von Ende-zu-Ende-verschlüsselten Nachrichten erfüllt hätte.
IV. Transportverschlüsselung
Die Beklagte hielt die Klägerin schließlich für verpflichtet, das Verfahren der Transportverschlüsselung anzuwenden. Angaben dazu, weshalb dieses Verfahren in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein sollte, wurden jedoch im Verfahren nicht gemacht.
Ausweislich der öffentlich zugänglichen Informationen des BSI handelt es sich bei der Transportverschlüsselung um einen Prozess, bei dem der Inhalt der Übermittlung zwischen Absender und E-Mail-Anbieter, zwischen zwei E-Mail-Anbietern und zwischen E-Mail-Anbieter und Empfänger verschlüsselt wird, wobei dieser automatisiert abläuft und in der Regel keine Aktion des Absenders oder Empfängers erfordert.
Bei der Übertragung der E-Mails kam vorliegend das sogenannte SSL/TLS-Protokoll zum Einsatz. Dabei handele es sich um einen Verschlüsselungsstandard, der die E-Mails auf dem Transportweg sichere. Eine Transportverschlüsselungen der vorstehend beschriebenen Art liegt daher laut Auffassung des OLG Karlsruhe vor. Den Angaben des E-Mail-Betreibers, von dem aus die ge- bzw. verfälschte Rechnung versendet wurde, war weiter zu entnehmen, dass die Transportverschlüsselung nur im Verbund der dort genannten Anbieter zur Anwendung kommt, also bei E-Mails, die zwischen E-Mail-Konten dieser Anbieter versendet werden. Der eigene Server der Beklagten erfüllte diese Voraussetzungen nicht. Es war auch sonst nicht ersichtlich, dass eine Transportverschlüsselung an Umständen gescheitert wäre, die in der Sphäre der Klägerin liegen.
V. Interner Schutz der E-Mail-Konten, des Computers und der genutzten Software
Auch weitere, von der Beklagten nicht ausdrücklich geltend gemachte Pflichtverletzungen der Klägerin, waren nicht ersichtlich. Das OLG Karlsruhe sah in der Art des von der Klägerin verwendeten Passwortes fürs E-Mail-Konto, dem Personenkreis, der davon Kenntnis hatte und deren regelmäßiger Änderung sowie der Nutzung einer aktuellen Virensoftware und Firewall getroffen, keine Pflichtverletzung im Bereich des Passwortschutzes sowie des allgemeinen Schutzes der von der Klägerin verwendeten Computer.
D. Ergebnis
I.
Festzuhalten bleibt zunächst, dass das OLG Karlsruhe einer in der Rechtsprechung anzutreffenden Auffassung (LG Lüneburg, Urteil vom 16. Februar 2017 – 7 O 71/16; Urteil wurde nicht veröffentlicht) dahingehend entgegengetreten ist, dass der Verwender einer E-Mail-Adresse jeden Missbrauch durch Dritte vollständig ausschließen müsse. Dies sei nach der Auffassung des OLG Karlsruhe schon wegen der zahlreichen und sich ständig weiter entwickelnden Angriffsmöglichkeiten zu weitgehend. Diese Ansicht ist sachgerecht, da die Haftung des Verwenders einer E-Mail-Adresse für Pflichtverletzungen nur so weit gehen kann, wenn der zugrunde liegende Hacket-Angriff aus der von dem Verwender beherrschbaren Sphäre stammt. Die Gründe für die einschränkende Haftung hat das OLG Karlsruhe vorstehend prägnant und präzise herausgearbeitet und verdient insgesamt Zustimmung. Es wird abzuwarten sein, wie die obergerichtliche Rechtsprechung solche und ähnliche Fälle in Zukunft lösen wird. Erste Urteile des BGH werden jedenfalls nicht mehr lange auf sich warten lassen. Wie auch in diesem Fall setze sich das Gericht mit der Frage auseinander, ob dem Geschädigten – unterstellt, es ließe sich theoretisch ein Schadenersatzanspruch bejahen – ein Mitverschulden bei der Schadensentstehung nach § 254 BGB anzulasten sei. Die Beantwortung dieser Frage hängt vom jeweiligen Einzelfall ab und dürfte immer dann zu diskutieren sein, wenn die ge- bzw. verfälschte Rechnung auffallende Unregelmäßigkeiten (z.B. Rechtschreibfehler, unbekanntes/-er Konto-(inhaber)) enthält.
II.
Ein weiteres Beweisproblem wird sicherlich auf die Geschädigten und Anspruchsstellenden von Schadensersatzansprüchen zukommen. Die Darlegungs- und ggf. Beweislast für das Vorliegen einer Pflichtverletzung im Sinne des §§ 280 Abs. 1, 241 Abs. 2 BGB sowie für die Kausalität dieser Pflichtverletzung für den eingetretenen Schaden liegt bei dem Geschädigten als demjenigen, der den Anspruch geltend macht. Den Ausführungen des OLG Karlsruhe kann zudem entnommen werden, dass es am Nachweis der Kausalität dieser Pflichtverletzung für den eingetretenen Schaden fehlte. Es konnte nicht geklärt werden, wie es tatsächlich dazu kam, dass die zweite E-Mail mit der ge- oder verfälschten Rechnung die Beklagte erreichte. Ein erfolgreicher Angriff auf die Sphäre der Klägerin könne zwar angenommen werden, wodurch dieser Angriff hervorgerufen worden sein könnte – und dies dürfte, wenn eine Pflichtverletzung seitens des Verwenders des betroffenen E-Mail-Postfachs anders als in dem vorliegenden Fall anzunehmen ist, oftmals der streitentscheidende Punkt in einem Verfahren sein. Vorliegend bleib dieser Umstand im Hinblick auf die unbekannte Vorgehensweise des oder der unbekannten Dritten gänzlich unklar. Es zeichnet sich nach unserem Dafürhalten bereits jetzt ab, dass den Geschädigten die Beweisführung bzgl. der genauen Hintergründe eines Hackerangriffs und des Beruhens des Schadens auf diese Pflichtverletzung – auch unter Berücksichtigung der oft undurchsichtigen und im Verborgen ablaufenden Prozesse – oftmals nicht gelingen wird.
III.
Ein weiteres Problem dürfte die Frage nach einer ausreichenden Cyberversicherung für betroffenen Unternehmen sein. Leider lässt sich in der Versicherungswirtschaft die Tendenz feststellen, dass viele Versicherer diese Art von Cyberangriffen aus dem Versicherungsschutz ausschließen bzw. nur gegen Entrichtung einer hohen Sonderprämie mitversichern. Dies sollten Versicherungsmakler genau prüfen und klären, da diese Schadenfälle durch Hackerangriffe keine Seltenheit sind.
IV.
Im Ergebnis können wir daher nur empfehlen, dass firmeninterne IT-System auf ausreichenden Virensoftware- und Firewallschutz von einer Fachperson überprüfen zu lassen und die in Ihrem Unternehmen zum Einsatz kommenden E-Mail-Postfächer im Hinblick auf die vorstehend beschriebenen und vom BSI empfohlenen Sicherheitsmechanismen eindringlich überprüfen zu lassen. Dies gilt sowohl bei der Verwendung von eigenen, als auch für die Verwendung von kommerziellen Anbietern eines E-Mail-Servers. Nur wenn Sie auf dem „Stand der Technik“ sind, kann Ihnen nicht der Vorwurf gemacht werden, dass Ihnen eine Pflichtverletzung vorzuwerfen sei und Ihre berechtigte Forderung deshalb nicht (erneut) vom Schuldner zu erfüllen ist.
V.
Natürlich ist der Vorgang auch für den hiesigen Käufer sehr ärgerlich. Er muss den Rechnungsbetrag folglich zweimal bezahlen, obwohl er die Rechnung per E-Mail vom Verkäufer erhielt. Wenn Sie Rechnungen anweisen, seien Sie also in solchen Fällen stets sehr umsichtig. Nie an fremde Kontoinhaber oder ausländische Konten Zahlungen leisten, ohne dass der Zahlungsempfänger dies ausdrücklich vorher bestätigt. Sonst kann es schnell dazu kommen, dass Sie den Rechnungsbetrag zweimal zahlen müssen!
Mit frühlingshaften Grüßen
Ihr,
Stephan Michaelis LL.M.
Fachanwalt für Versicherungsrecht
Fachanwalt für Handels- und Gesellschaftsrecht