Händler-Mailaccount gehackt: Unternehmer muss doppelt für Auto zahlen
Lorem Ipsum
© onephoto / stock.adobe.com

Muss ein Autohändler dafür sorgen, dass sein Mailaccount nicht gehackt werden kann? Das OLG Karlsruhe hält keine besonderen Sicherheitsvorkehrungen für nötig. Ein Autokäufer, der auf eine gefälschte Mail hereinfiel und auf das Konto des Betrügers zahlte, habe nicht erfüllt.

Der Geschäftsführer eines Unternehmens kaufte telefonisch ein Auto für 13.500 Euro und vereinbarte die Übersendung der Rechnung per E-Mail. Er bekam hintereinander zwei E-Mails mit derselben Rechnung, in der zweiten war aber in der Fußzeile ein anderes Konto angegeben. Inhaber dieses Kontos war eine Privatperson, die nicht in Verbindung mit den Beteiligten stand. Obwohl diese zweite E-Mail auffällige sprachliche Fehler enthielt und ihn – anders als am Telefon – siezte, zahlte der Mann 13.500 Euro auf das fremde Konto. Der Verkäufer hingegen wartete vergeblich auf sein Geld. Es stellte sich heraus, dass die zweite E-Mail nicht vom Autohändler stammte, sondern von einem Computerbetrüger. Dieser hatte das E-Mail-Konto des Verkäufers gehackt und wie auch schon bei anderen Kunden die Bankverbindung auf der Rechnung ausgetauscht. Der Verkäufer klagte die Zahlung des Kaufpreises zunächst vergebens vor dem Landgericht Mosbach ein, war aber in der Berufungsinstanz vor dem Oberlandesgericht Karlsruhe nun erfolgreich.

Anders als das Landgericht verneinen die Karlsruher Richter die Erfüllung der Forderung nach § 362 BGB: Das Geld floss auf ein Konto, das dem Verkäufer nicht gehörte, und habe dort den Leistungserfolg nicht herbeiführen können.

SPF und Verschlüsselungstechniken nicht verpflichtend

Ein Verstoß gegen Sicherheitsvorkehrungen beim Versand einer geschäftlichen E-Mail könnte allenfalls einen Schadensersatzanspruch nach § 280 Abs. 1 BGB des Unternehmens begründen, den dieses dann dem Autohändler im Wege der dolo-agit-Einrede entgegenhalten könne, so das OLG. Einen solchen Verstoß lehnen die OLG-Richter aber ab. Anders als der beklagte Käufer sehen sie keine Verpflichtung des Autohändlers, besondere Vorkehrungen dagegen zu treffen, dass seine Mails gehackt werden können.

Da die Vertragspartner die gegenseitigen Sicherheitsvorkehrungen nicht besprochen hätten, sei schon fraglich, welche Pflichten beim Versand von E-Mails im Geschäftsverkehr bestünden. Die DS-GVO sei ebenso wenig anwendbar wie die vom Landgericht herangezogene "Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen". Entscheidend ist damit, so das OLG, welche berechtigten Sicherheitserwartungen die beteiligten Kreise haben.

Davon ausgehend sieht das OLG – anders als der beklagte Käufer – keine Verpflichtung des Verkäufers, besondere Vorkehrungen dagegen zu treffen, dass seine Mails gehackt werden könnten. Der Käufer hatte argumentiert, dass die Zahlung auf das falsche Konto im Endeffekt durch den Händler verursacht worden sei: Hätte dieser den Mailverkehr oder die PDF verschlüsselt, beziehungsweise zumindest eine Transportverschlüsselung eingesetzt, so hätten die Betrüger nicht die gefälschte Rechnung schicken können.

Von den unterschiedlichen Maßnahmen, die nach Ansicht des Käufers hätten getroffen werden müssen, diskutierten die Richter unter anderem das Verfahren Sender Policy Framework (SPF), mit dessen Hilfe geprüft werden könne, ob der sendende E-Mail-Server berechtigt ist, für die Domäne E-Mails zu verschicken. Dieses Verfahren sei aber nur dann anwendbar, wenn der Sendende einen eigenen E-Mail-Server betreibe und nicht – wie der Verkäufer – den Service eines Providers in Anspruch nehme.

Der Käufer könne auch nicht erwarten, dass die die Rechnung enthaltende PDF-Datei verschlüsselt werde, weil diese Praxis im Geschäftsverkehr nicht üblich sei. Dasselbe gelte für die Ende-zu-Ende-Verschlüsselung: Diese Technik, bei der die zu übertragenden Daten vom Sender verschlüsselt und erst beim Empfänger wieder entschlüsselt werden, setze bestimmte Systemanforderungen voraus. Der Käufer habe noch nicht einmal vorgetragen, dass sein Server in der Lage sei, solche Nachrichten zu entschlüsseln.

Eine Transportverschlüsselung, bei der die Daten automatisch auf dem Weg vom E-Mail-Programm und dem Server nach dem weitverbreiteten Protokoll "Transport Layer Security" (TLS) verschlüsselt werden, gibt es dem OLG-Senat zufolge nur im Verkehr zwischen bestimmten E-Mail-Anbietern. Hierzu gehöre der von dem Verkäufer genutzte Anbieter. Der vom Käufer betriebene Server gehöre dem Verbund dahingegen nicht an. Die gescheiterte Transportverschlüsselung ist daher – soweit für das OLG ersichtlich – nicht vom Verkäufer verursacht worden. 

OLG Karlsruhe, Urteil vom 27.07.2023 - 19 U 83/22

Redaktion beck-aktuell, 3. August 2023.

Weiterführende Links

Aus der Datenbank beck-online

Riehm/Meier, Rechtliche Durchsetzung von Anforderungen an die IT-Sicherheit, MMR 2020, 571

OLG München, Durch einen Erfüllungsgehilfen fälschlicherweise mitgeteilte Kontoverbindung, BeckRS 2016, 113226

BGH, Handeln unter fremdem Namen bei Nutzung eines fremden eBay-Mitgliedskontos, NJW 2011, 2421

Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.