Das Oberlandesgericht (OLG) Karlsruhe hat im Rahmen eines aktuellen Urteils zu der Frage Stellung genommen, welche Sicherheitsmaßnahmen beim Versand von E-Mails im geschäftlichen Verkehr einzuhalten sind. Das Urteil betrifft insbesondere den Umgang mit Verstößen gegen diese Sicherheitsvorkehrungen und deren Auswirkungen auf Geldforderungen.

In der vorliegenden Gerichtsentscheidung des Oberlandesgerichts Karlsruhe vom 27.07.2023 mit dem Aktenzeichen 19 U 83/22 wurde zu einem Fall geurteilt, bei dem eine Autokäuferin den Kaufbetrag unwissentlich an einen Betrüger überwiesen hatte. Sie machte die Verkäuferin für den Irrtum aufgrund von vermeintlicher Verletzung von IT-Sicherheitspflichten verantwortlich und weigerte sich, die eigentliche Rechnung zu bezahlen.

 

Das Wichtigste in Kürze

  • Nach Auffassung des OLG gibt es bisher keine gesetzlichen Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im Geschäftsverkehr.
  • Das Landgericht (LG) Mosbach hatte die Klage zuvor abgewiesen und der Klägerin mangelnde Sicherheitsvorkehrungen im E-Mail-Verkehr vorgeworfen.
  • Nach Ansicht des OLG war die Klägerin nicht verpflichtet beim Versand der Rechnungs-E-Mail bestimmte Verschlüsselungsverfahren wie die Ende-zu-Ende-Verschlüsselung anzuwenden.

 

Die Entscheidung des OLG Karlsruhe

Die Parteien stritten um eine ausstehende Kaufpreiszahlung für einen Gebrauchtwagen in Höhe von 13.500 Euro.

Der Geschäftsführer des verkaufenden Unternehmens übersandte der Käuferin die Rechnung als Anhang in einer E-Mail. Kurz nach Erhalt der E-Mail erhielt die Käuferin eine weitere E-Mail von der E-Mail-Adresse der Verkäuferin.

Nachdem die Käuferin den Kaufpreis aufgrund der zweiten E-Mail, die von Hackern verschickt worden war, fälschlicherweise trotz Auffälligkeiten und Hinweisen auf eine gefälschte E-Mail irrtümlich an die unberechtigten Dritten überwiesen hatte, verweigerte er eine weitere Zahlung an die Verkäuferin. Die von den Hackern versandte E-Mail enthielt sprachliche Fehler und eine abweichende Anrede. Die Verkäuferin trug daher vor, dass der Käufer Anlass zu Misstrauen gehabt hätte und ihm eine Rückfrage bei der Verkäuferin zumutbar gewesen sei.
Wie es genau zu dem Hackerangriff kommen konnte, blieb im weiteren Verlauf unklar.

Vor diesem Hintergrund erhob die Verkäuferin Klage auf Zahlung des noch ausstehenden Kaufpreises. Sie machte geltend, dass die vertraglichen Pflichten ihrerseits erfüllt worden seien und der Beklagte daher zur Zahlung des Kaufpreises verpflichtet sei. Die Beklagte führte hingegen an, dass sie eine gefälschte Rechnung erhalten habe und daher nicht zur Zahlung des Kaufpreises verpflichtet sei. Sie behauptete, die Klägerin habe ihre IT-Sicherheitspflichten verletzt, was ursächlich für die falsche Überweisung gewesen sei.

Anders als die Vorinstanz (LG Mosbach) entschied das OLG, dass die Beklagte den vereinbarten Kaufpreis an die Klägerin zu zahlen habe. Der Zahlungsanspruch besteht, da die Zahlung auf das falsche Konto und eben nicht auf das Konto der Klägerin erfolgte. Darüber hinaus stellte das Gericht fest, dass der _Beklagten kein Anspruch auf Schadenersatz zustehe, da die Klägerin alle zumutbaren Sicherheitsmaßnahmen, wie insbesondere eine regelmäßige (alle zwei bis vier Wochen) Änderung des Passworts für das Postfach sowie das Vorhalten einer aktuellen Firewall, ergriffen habe.

Gleichzeitig stellte die Berufungsinstanz fest, dass eine Ende-zu-Ende-Verschlüsselung beim Versand von Rechnungen sowie das Signieren von PDF-Dateien nicht erforderlich seien.

 

Sicherheitsvorkehrungen beim Versand geschäftlicher E-Mails

Das OLG führt aus, dass es keine konkreten gesetzlichen Vorgaben dazu gibt, welche Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr zu beachten sind. Gleichwohl verdeutlicht es mit seinem Urteil die Notwendigkeit, angemessene Sicherheitsvorkehrungen zu treffen.

Unternehmen werden dazu angehalten, die Sicherheitserwartungen im Geschäftsverkehr zu berücksichtigen und zumutbare Maßnahmen zu ergreifen, um möglichen Schäden vorzubeugen. Darüber hinaus wird klargestellt, dass Verstöße gegen diese Sicherheitsvorkehrungen zwar nicht zum Erlöschen von Primäransprüchen führen, allerdings Schadensersatzansprüche begründen können.

Der Einsatz von Maßnahmen wie der Ende-zu-Ende-Verschlüsselung oder der Verschlüsselung von PDF-Dateien wurde im Verhältnis der Parteien zueinander nicht als zwingend verpflichtend angesehen. Zudem würde eine mögliche Pflichtverletzung der Klägerin dadurch entkräftet werden, dass die Beklagte selbst keine ausdrücklichen Sicherheitsmaßnahmen für die E-Mail-Kommunikation gefordert hatte.

Um in der Praxis E-Mails mit sensiblen Informationen sicher zu versenden, empfiehlt es sich, die E-Mail zu verschlüsseln. Bei der Verschlüsselung bleibt die E-Mail auf dem gesamten Übertragungsweg verschlüsselt, also unlesbar und wird erst vom Empfänger wieder entschlüsselt und damit lesbar gemacht. Eine ausdrückliche gesetzliche Pflicht zur Verschlüsselung von E-Mails mit personenbezogenen Daten besteht jedoch nicht.

Wenn der Empfänger sicher sein will, dass der angegebene Absender der Nachricht auch mit dem tatsächlichen Absender identisch ist und der Inhalt der E-Mail nicht „unterwegs“ manipuliert wurde, hilft eine so genannte „digitale Signatur“. Sie hat eine ähnliche Funktion wie die Unterschrift unter einem Papierdokument und zeigt Ihrem Kommunikationspartner, dass die E-Mail wirklich vom Absender stammt und der Inhalt nicht von Dritten verändert wurde.

 

 

Fazit

Rechtlich ging die Beklagte im Urteil als Verliererin aus dem Rechtsstreit heraus: Die Kaufpreisforderung war durch die Zahlung auf das falsche Konto nicht erloschen und der Beklagten kam auch kein Schadensersatzanspruch gegen die Klägerin zu. Die Täuschung durch die gefälschte E-Mail ging insoweit zu ihren Lasten. Derartige Täuschungen müssen daher rechtzeitig erkannt und umgangen werden. Gerade Rechtschreibfehler in E-Mails sind dabei häufig ein Hinweis auf eine IT-Bedrohung. Für Unternehmen gilt daher insbesondere auch, dass die Mitarbeiter ausreichend geschult werden, um hier Haftungsfälle zu vermeiden.

Aber auch die Klägerin hätte etwas tun können, um den Rechtsstreit zu vermeiden, und somit für mehr Datensicherheit und Kundenzufriedenheit zu sorgen. Denn Hackerangriffe führen häufig nicht nur zu Schadensersatzpflichten sondern auch zu Datenschutzverstößen, die eine besondere Aufmerksamkeit der Aufsichtsbehörden mit sich bringen. Als wichtige Maßnahme wird beispielsweise dringend davon abgeraten, Passwörter zu häufig zu ändern: Häufige Passwortänderungen führen vermehrt dazu, dass leicht zu merkende und damit unsichere Passwörter gewählt werden. Vielmehr sollte ein ausreichend langes und sicherer Passwort gewählt werden.

Das vorliegende Urteil schafft etwas Klarheit in einem wenig geregelten Bereich und trägt zu mehr Rechtssicherheit im geschäftlichen E-Mail-Verkehr bei. Unternehmen sollten sich bewusst sein, dass angemessene Sicherheitsvorkehrungen nicht nur rechtlich geboten sind, sondern auch dazu beitragen, mögliche finanzielle Schäden zu vermeiden.

 

„>

Kontakt aufnehmen