Manipulierte Zahlungs-E-Mail: Keine Pflicht zur Ende-zu-Ende-Verschlüsselung
LG Karlsruhe v. 20.5.2026 - 8 O 266/25
Der Sachverhalt:
Die Kläger sind Eheleute. Sie hatten mit der Beklagten einen Kaufvertrag über Goldbarren verschiedener Stückelungen zu einem Gesamtpreis von 109.185 € abgeschlossen. Der Kläger zu 1) erhielt per E-Mail Rechnungen, die äußerlich den später von der Beklagten postalisch übersandten Rechnungen entsprachen, jedoch eine abweichende Bankverbindung auswiesen. Unter dieser Bankverbindung überwiesen die Kläger am 4. und 5.04.2023 das Geld. Eine Lieferung der Goldbarren erfolgte nicht.
Der Kläger zu 1) informierte die Beklagte am 14.4.2023 per E-Mail über einen mutmaßlichen Betrug durch Manipulation der Rechnungs-E-Mail (Austausch der IBAN durch Dritte) und bat um Übersendung der Originalrechnungen. Die Beklagte übersandte daraufhin postalisch Rechnungen mit abweichenden (richtigen) Bankdaten. Die Kläger meinten, sie hätten ihre Zahlungspflicht erfüllt. Ein etwaiger Rechnungs- oder E-Mail-Versand müsse der Beklagten zugerechnet werden. Diese habe ihre Kommunikations- und Organisationspflichten verletzt, insbesondere durch unverschlüsselte Übermittlung. Rechnungen seien verschlüsselt zu übermitteln. Das Risiko der Manipulation liege bei der Beklagten. Hilfsweise verlangten sie Schadensersatz, da eine erneute Zahlung wirtschaftlich nicht möglich sei.
Die Beklagte bestritt einen Zahlungseingang auf ein eigenes Konto. Die Zahlungen seien auf ein fremdes Konto erfolgt, das nicht von ihr verwendet werde. Die Kläger hätten die korrekten Kontodaten gekannt oder hätten diese erkennen müssen. Eine Manipulation durch die Beklagte sei nicht erfolgt; eine Pflicht zur verschlüsselten Rechnungsübermittlung bestehe nicht und sei nicht vereinbart worden.
Die Kläger beantragten Lieferung der Goldbarren, Feststellung des Verzugs sowie hilfsweise Zahlung von 109.185 € nebst Zinsen. Das LG hat die Klage abgewiesen.
Die Gründe:
Die Kläger haben weder einen Anspruch auf Lieferung der Goldbarren aus § 433 Abs. 1 BGB noch auf Schadensersatz i.H.v. 109.185 €.
Zwar war ein Kaufvertrag zwischen den Parteien zustande gekommen, dieser war jedoch nicht durch Zahlung erfüllt worden. Die Kläger hatten auf ein fremdes Konto überwiesen, das nicht der Beklagten zuzurechnen war. Eine Erfüllung gem. § 362 Abs. 1 BGB tritt allerdings nur bei Gutschrift auf dem Konto des Gläubigers ein; eine solche lag hier jedoch nicht vor. Eine Zahlung an einen Dritten wäre nur bei entsprechender Ermächtigung (§ 362 Abs. 2, § 185 BGB) wirksam, wofür hier nichts ersichtlich war. Auch eine Zurechnung der manipulierten E-Mail mit falscher IBAN zur Beklagten schied aus, da deren Absender nicht feststeht und nach den Feststellungen von einer Drittmanipulation auszugehen war. Die Darlegungs- und Beweislast für die Erfüllung trugen hier die Kläger.
Mangels Erfüllung trugen die Kläger zudem das Risiko des Geldtransfers gem. § 270 Abs. 1 BGB. Eine abweichende vertragliche Risikoverteilung war nicht vereinbart worden. Eine Zurechnung des atypischen Kausalverlaufs (E-Mail-Manipulation durch Dritte) kam nicht in Betracht, da es sich um einen völlig ungewöhnlichen und nicht zurechenbaren Geschehensablauf handelte.
Auch Schadensersatzansprüche bestanden nicht. Eine Haftung aus vertraglichen Nebenpflichten (§§ 280 Abs. 1, 241 Abs. 2 BGB) schied aus, da keine Pflicht zur Ende-zu-Ende-Verschlüsselung bestand. Maßgeblich sind insofern die berechtigten Verkehrserwartungen. Im Geschäftsverkehr ist unverschlüsselte E-Mail-Kommunikation üblich und hier von den Klägern selbst akzeptiert worden. Zudem fehlte es an einer Kausalität zwischen einem etwaigen Pflichtverstoß und dem Schaden, da der Angriff an unterschiedlichen Stellen der Kommunikationskette erfolgt sein konnte und nicht aufgeklärt wurde.
Ein Anspruch aus Art. 82 DSGVO bestand letztlich auch nicht. Bereits der Anwendungsbereich der DSGVO war nämlich nicht eröffnet, da keine Verarbeitung personenbezogener Daten der Kläger ursächlich für den Schaden war, sondern lediglich eine Manipulation von Bankdaten eines Dritten vorlag. Jedenfalls fehlte es an einem Pflichtverstoß und an der Kausalität.
Mehr zum Thema:
Beratermodul WM / WuB Wirtschafts- und Bankrecht
WM und WuB in einem Modul: Die WM Zeitschrift für Wirtschafts- und Bankrecht informiert wöchentlich aktuell und umfassend im Rechtsprechungsteil über Urteile und Beschlüsse der Gerichte.
Start-Abo: 3 Monate nutzen, nur 2 Monate zahlen! Komfortabel, vergünstigt, flexibel.
Beratermodul STAUDINGER BGB Bankrecht
Otto Schmidt Answers ist in diesem Modul mit 5 Prompts am Tag enthalten! Nutzen Sie die Inhalte in diesem Modul direkt mit der KI von Otto Schmidt.
Im Bankrecht kompetent beraten durch J. von Staudingers Kommentar zum Bürgerlichen Gesetzbuch mit Einführungsgesetz und Nebengesetzen.
Start-Abo: 3 Monate nutzen, nur 2 Monate zahlen! Komfortabel, vergünstigt, flexibel.
Landesrechtsprechung Baden-Württemberg
Die Kläger sind Eheleute. Sie hatten mit der Beklagten einen Kaufvertrag über Goldbarren verschiedener Stückelungen zu einem Gesamtpreis von 109.185 € abgeschlossen. Der Kläger zu 1) erhielt per E-Mail Rechnungen, die äußerlich den später von der Beklagten postalisch übersandten Rechnungen entsprachen, jedoch eine abweichende Bankverbindung auswiesen. Unter dieser Bankverbindung überwiesen die Kläger am 4. und 5.04.2023 das Geld. Eine Lieferung der Goldbarren erfolgte nicht.
Der Kläger zu 1) informierte die Beklagte am 14.4.2023 per E-Mail über einen mutmaßlichen Betrug durch Manipulation der Rechnungs-E-Mail (Austausch der IBAN durch Dritte) und bat um Übersendung der Originalrechnungen. Die Beklagte übersandte daraufhin postalisch Rechnungen mit abweichenden (richtigen) Bankdaten. Die Kläger meinten, sie hätten ihre Zahlungspflicht erfüllt. Ein etwaiger Rechnungs- oder E-Mail-Versand müsse der Beklagten zugerechnet werden. Diese habe ihre Kommunikations- und Organisationspflichten verletzt, insbesondere durch unverschlüsselte Übermittlung. Rechnungen seien verschlüsselt zu übermitteln. Das Risiko der Manipulation liege bei der Beklagten. Hilfsweise verlangten sie Schadensersatz, da eine erneute Zahlung wirtschaftlich nicht möglich sei.
Die Beklagte bestritt einen Zahlungseingang auf ein eigenes Konto. Die Zahlungen seien auf ein fremdes Konto erfolgt, das nicht von ihr verwendet werde. Die Kläger hätten die korrekten Kontodaten gekannt oder hätten diese erkennen müssen. Eine Manipulation durch die Beklagte sei nicht erfolgt; eine Pflicht zur verschlüsselten Rechnungsübermittlung bestehe nicht und sei nicht vereinbart worden.
Die Kläger beantragten Lieferung der Goldbarren, Feststellung des Verzugs sowie hilfsweise Zahlung von 109.185 € nebst Zinsen. Das LG hat die Klage abgewiesen.
Die Gründe:
Die Kläger haben weder einen Anspruch auf Lieferung der Goldbarren aus § 433 Abs. 1 BGB noch auf Schadensersatz i.H.v. 109.185 €.
Zwar war ein Kaufvertrag zwischen den Parteien zustande gekommen, dieser war jedoch nicht durch Zahlung erfüllt worden. Die Kläger hatten auf ein fremdes Konto überwiesen, das nicht der Beklagten zuzurechnen war. Eine Erfüllung gem. § 362 Abs. 1 BGB tritt allerdings nur bei Gutschrift auf dem Konto des Gläubigers ein; eine solche lag hier jedoch nicht vor. Eine Zahlung an einen Dritten wäre nur bei entsprechender Ermächtigung (§ 362 Abs. 2, § 185 BGB) wirksam, wofür hier nichts ersichtlich war. Auch eine Zurechnung der manipulierten E-Mail mit falscher IBAN zur Beklagten schied aus, da deren Absender nicht feststeht und nach den Feststellungen von einer Drittmanipulation auszugehen war. Die Darlegungs- und Beweislast für die Erfüllung trugen hier die Kläger.
Mangels Erfüllung trugen die Kläger zudem das Risiko des Geldtransfers gem. § 270 Abs. 1 BGB. Eine abweichende vertragliche Risikoverteilung war nicht vereinbart worden. Eine Zurechnung des atypischen Kausalverlaufs (E-Mail-Manipulation durch Dritte) kam nicht in Betracht, da es sich um einen völlig ungewöhnlichen und nicht zurechenbaren Geschehensablauf handelte.
Auch Schadensersatzansprüche bestanden nicht. Eine Haftung aus vertraglichen Nebenpflichten (§§ 280 Abs. 1, 241 Abs. 2 BGB) schied aus, da keine Pflicht zur Ende-zu-Ende-Verschlüsselung bestand. Maßgeblich sind insofern die berechtigten Verkehrserwartungen. Im Geschäftsverkehr ist unverschlüsselte E-Mail-Kommunikation üblich und hier von den Klägern selbst akzeptiert worden. Zudem fehlte es an einer Kausalität zwischen einem etwaigen Pflichtverstoß und dem Schaden, da der Angriff an unterschiedlichen Stellen der Kommunikationskette erfolgt sein konnte und nicht aufgeklärt wurde.
Ein Anspruch aus Art. 82 DSGVO bestand letztlich auch nicht. Bereits der Anwendungsbereich der DSGVO war nämlich nicht eröffnet, da keine Verarbeitung personenbezogener Daten der Kläger ursächlich für den Schaden war, sondern lediglich eine Manipulation von Bankdaten eines Dritten vorlag. Jedenfalls fehlte es an einem Pflichtverstoß und an der Kausalität.
Beratermodul WM / WuB Wirtschafts- und Bankrecht
WM und WuB in einem Modul: Die WM Zeitschrift für Wirtschafts- und Bankrecht informiert wöchentlich aktuell und umfassend im Rechtsprechungsteil über Urteile und Beschlüsse der Gerichte.
Start-Abo: 3 Monate nutzen, nur 2 Monate zahlen! Komfortabel, vergünstigt, flexibel.
Beratermodul STAUDINGER BGB Bankrecht
Otto Schmidt Answers ist in diesem Modul mit 5 Prompts am Tag enthalten! Nutzen Sie die Inhalte in diesem Modul direkt mit der KI von Otto Schmidt.
Im Bankrecht kompetent beraten durch J. von Staudingers Kommentar zum Bürgerlichen Gesetzbuch mit Einführungsgesetz und Nebengesetzen.
Start-Abo: 3 Monate nutzen, nur 2 Monate zahlen! Komfortabel, vergünstigt, flexibel.