Der Geschäftsführer eines Unternehmens kaufte telefonisch ein Auto für 13.500 Euro und vereinbarte die Übersendung der Rechnung per E-Mail. Er bekam hintereinander zwei E-Mails mit derselben Rechnung, in der zweiten war aber in der Fußzeile ein anderes Konto angegeben. Inhaber dieses Kontos war eine Privatperson, die nicht in Verbindung mit den Beteiligten stand. Obwohl diese zweite E-Mail auffällige sprachliche Fehler enthielt und ihn – anders als am Telefon – siezte, zahlte der Mann 13.500 Euro auf das fremde Konto. Der Verkäufer hingegen wartete vergeblich auf sein Geld. Es stellte sich heraus, dass die zweite E-Mail nicht vom Autohändler stammte, sondern von einem Computerbetrüger. Dieser hatte das E-Mail-Konto des Verkäufers gehackt und wie auch schon bei anderen Kunden die Bankverbindung auf der Rechnung ausgetauscht. Der Verkäufer klagte die Zahlung des Kaufpreises zunächst vergebens vor dem Landgericht Mosbach ein, war aber in der Berufungsinstanz vor dem Oberlandesgericht Karlsruhe nun erfolgreich.
Anders als das Landgericht verneinen die Karlsruher Richter die Erfüllung der Forderung nach § 362 BGB: Das Geld floss auf ein Konto, das dem Verkäufer nicht gehörte, und habe dort den Leistungserfolg nicht herbeiführen können.
SPF und Verschlüsselungstechniken nicht verpflichtend
Ein Verstoß gegen Sicherheitsvorkehrungen beim Versand einer geschäftlichen E-Mail könnte allenfalls einen Schadensersatzanspruch nach § 280 Abs. 1 BGB des Unternehmens begründen, den dieses dann dem Autohändler im Wege der dolo-agit-Einrede entgegenhalten könne, so das OLG. Einen solchen Verstoß lehnen die OLG-Richter aber ab. Anders als der beklagte Käufer sehen sie keine Verpflichtung des Autohändlers, besondere Vorkehrungen dagegen zu treffen, dass seine Mails gehackt werden können.
Da die Vertragspartner die gegenseitigen Sicherheitsvorkehrungen nicht besprochen hätten, sei schon fraglich, welche Pflichten beim Versand von E-Mails im Geschäftsverkehr bestünden. Die DS-GVO sei ebenso wenig anwendbar wie die vom Landgericht herangezogene "Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen". Entscheidend ist damit, so das OLG, welche berechtigten Sicherheitserwartungen die beteiligten Kreise haben.
Davon ausgehend sieht das OLG – anders als der beklagte Käufer – keine Verpflichtung des Verkäufers, besondere Vorkehrungen dagegen zu treffen, dass seine Mails gehackt werden könnten. Der Käufer hatte argumentiert, dass die Zahlung auf das falsche Konto im Endeffekt durch den Händler verursacht worden sei: Hätte dieser den Mailverkehr oder die PDF verschlüsselt, beziehungsweise zumindest eine Transportverschlüsselung eingesetzt, so hätten die Betrüger nicht die gefälschte Rechnung schicken können.
Von den unterschiedlichen Maßnahmen, die nach Ansicht des Käufers hätten getroffen werden müssen, diskutierten die Richter unter anderem das Verfahren Sender Policy Framework (SPF), mit dessen Hilfe geprüft werden könne, ob der sendende E-Mail-Server berechtigt ist, für die Domäne E-Mails zu verschicken. Dieses Verfahren sei aber nur dann anwendbar, wenn der Sendende einen eigenen E-Mail-Server betreibe und nicht – wie der Verkäufer – den Service eines Providers in Anspruch nehme.
Der Käufer könne auch nicht erwarten, dass die die Rechnung enthaltende PDF-Datei verschlüsselt werde, weil diese Praxis im Geschäftsverkehr nicht üblich sei. Dasselbe gelte für die Ende-zu-Ende-Verschlüsselung: Diese Technik, bei der die zu übertragenden Daten vom Sender verschlüsselt und erst beim Empfänger wieder entschlüsselt werden, setze bestimmte Systemanforderungen voraus. Der Käufer habe noch nicht einmal vorgetragen, dass sein Server in der Lage sei, solche Nachrichten zu entschlüsseln.
Eine Transportverschlüsselung, bei der die Daten automatisch auf dem Weg vom E-Mail-Programm und dem Server nach dem weitverbreiteten Protokoll "Transport Layer Security" (TLS) verschlüsselt werden, gibt es dem OLG-Senat zufolge nur im Verkehr zwischen bestimmten E-Mail-Anbietern. Hierzu gehöre der von dem Verkäufer genutzte Anbieter. Der vom Käufer betriebene Server gehöre dem Verbund dahingegen nicht an. Die gescheiterte Transportverschlüsselung ist daher – soweit für das OLG ersichtlich – nicht vom Verkäufer verursacht worden.