Welche Sicherheitsvorkehrungen sind beim E-Mail-Versand im geschäftlichen Verkehr einzuhalten?
OLG Karlsruhe v. 27.7.2023 - 19 U 83/22
Der Sachverhalt:
Die Parteien, jeweils vertreten durch den Geschäftsführer, hatten am 8.10.2021 einen Kaufvertrag über einen gebrauchten Pkw zum Preis von 13.500 € abgeschlossen. Am selben Tag um 11:44 Uhr schickte der Geschäftsführer der Klägerin die Rechnung auf Wunsch der Beklagten als Anhang zu einer E-Mail an deren Geschäftsführer. Im Kopfbereich der Rechnung sowie in der Fußzeile war ein Sparkassen-Konto als Empfängerkonto angegeben. Um 11:46 Uhr erhielt der Geschäftsführer der Beklagten eine weitere E-Mail von der E-Mail-Adresse der Klägerin mit einer neuen Rechnung im Anhang. Hierin war nur in der Fußzeile ein anderes Empfängerkonto bei der S-Bank in Berlin - eines Kontoinhabers P. D. angegeben. Die Beklagte überwies 13.500 € auf das letztgenannte Konto.
Am 19. Oktober 2021 forderte die Klägerin die Beklagte zur Zahlung auf und es stellte sich heraus, dass die zweite E-Mail aufgrund eines "Hackerangriffs" von einer unbefugten dritten Person versandt worden war; das in der Fußzeile der dieser E-Mail angehängten Rechnung angegebene Konto war keines der Klägerin. Die Klägerin erstattete Strafanzeige, die Ermittlungen laufen noch. Die Beklagte lehnte in der Folge eine Zahlung ab.
Das E-Mail-Konto der Klägerin war mit einem Passwort geschützt, das zwei Personen im gesamten Betrieb bekannt war und alle zwei bis vier Wochen durch eine der beiden Personen geändert und der anderen mündlich mitgeteilt wurde. Computer und Software der Klägerin sind über die Windows Firewall geschützt, die regelmäßig aktualisiert wird. Darüber hinaus sind Computer und Software über die Vollversion von "X.-Internet-Security" geschützt.
Das LG hat die Zahlungsklage abgewiesen. Der Anspruch der Klägerin auf Kaufpreiszahlung sei durch Erfüllung gem. § 362 Abs. 1 BGB in Gestalt der Zahlung auf das Konto des Dritten erloschen. Dies stelle eine Leistung an die Klägerin dar. Auf die Berufung der Klägerin hat das OLG die Entscheidung aufgehoben und die Beklagte zur Zahlung verurteilt.
Die Gründe:
Die Klägerin hat gegen die Beklagte gem. § 433 Abs. 2 BGB einen Anspruch auf Kaufpreiszahlung i.H.v. 13.500 €.
Eine Leistung an die Klägerin gem. § 362 Abs. 1 BGB ist nicht erfolgt, da es sich bei dem Konto, auf das die Beklagte den Kaufpreis überwiesen hatte, um das Konto eines Dritten und nicht der Klägerin handelte und daher der geschuldete Leistungserfolg nicht eingetreten ist. Die Voraussetzungen, unter denen eine Leistung an einen Dritten Erfüllungswirkung hat, sind in § 362 Abs. 2 BGB geregelt und lagen hier nicht vor. Eine Zurechnung "des unbefugten Zugriffs des Dritten in Bezug auf die unerlaubte Handlung" an die Klägerin, wie vom LG angenommen, erfolgte nicht. Die Beklagte hat gegen die Klägerin insbesondere keinen Schadensersatzanspruch gem. § 280 Abs. 1, § 241 Abs. 2 BGB in einer der auf das Drittkonto getätigten Überweisung von 13.500 € entsprechenden Höhe, den sie der Klageforderung unter dem Gesichtspunkt der dolo-agit-Einwendung gem. § 242 BGB entgegenhalten könnte.
Die Beklagte behauptete zwar, der Hackerangriff sei durch mangelnde Vorsichtsmaßnahmen der Klägerin ermöglicht worden, wofür ein Anscheinsbeweis spreche. Insoweit nannte sie die nicht erfolgte Verwendung des "sender policy framework (SPF)" bei der Kommunikation sowie eine unterlassene Verschlüsselung der pdf-Datei. Außerdem sei der Klägerin vorzuwerfen, dass sie keine Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung verwendet habe. Eine Pflichtverletzung der Klägerin lag insoweit aber schon deshalb nicht vor, weil sie zur Verwendung dieser Verfahren und Maßnahmen nicht verpflichtet war.
Mangels gesetzlicher Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr bestimmen sich Art und Umfang der erforderlichen Sicherheitsvorkehrungen, soweit hierzu von den Parteien keine ausdrückliche Vereinbarung getroffen wurde, nach den berechtigten Sicherheitserwartungen des maßgeblichen Verkehrs unter Berücksichtigung der Zumutbarkeit. Insbesondere war hier der sachliche Anwendungsbereich der Datenschutz-Grundverordnung im Streitfall nicht eröffnet, da diese nur für die Verarbeitung von Informationen gilt, die sich auf eine natürliche Person beziehen (vgl. Art. 2 Abs. 1, Art. 4 Nr. 1 DS-GVO). Nicht maßgeblich für die berechtigten Sicherheitserwartungen des Verkehrs ist dabei die vom LG herangezogene "Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen".
Selbst wenn man in einem der vorstehend behandelten Umstände eine Pflichtverletzung der Klägerin sehen wollte, fehlte es am Nachweis der Kausalität dieser Pflichtverletzung für den eingetretenen Schaden. Es blieb ungeklärt, wie es tatsächlich dazu gekommen war, dass die zweite E-Mail mit der ge- oder verfälschten Rechnung die Beklagte erreichte. Schließlich wäre ein unterstellter Schadensersatzanspruch der Beklagten nach § 254 BGB zu kürzen, weil ein erhebliches Mitverschulden zu berücksichtigen wäre.
Mehr zum Thema:
Rechtsprechung:
Zum Anscheinsbeweis für grob fahrlässige Pflichtverletzung des Kreditkarteninhabers bei Bargeldabhebungen kurz nach Diebstahl der Karte
OLG Stuttgart vom 08.02.2023 - 9 U 200/22
ZIP 2023, 1120
ZIP0055336
Die ZIP ist Bestandteil des Beratermoduls Zeitschriften Wirtschaftsrecht:
Jetzt neu: Führende Zeitschriften zum Wirtschaftsrecht, Aktienrecht, Gesellschaftsrecht und Versicherungsrecht stehen hier zur Online-Recherche bereit. Inklusive Selbststudium nach § 15 FAO bei ausgewählten Zeitschriften (GmbHR, ZIP). Wann immer es zeitlich passt: Für Fachanwälte bietet das Beratermodul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!
Landesrechtsprechung Baden-Württemberg
Die Parteien, jeweils vertreten durch den Geschäftsführer, hatten am 8.10.2021 einen Kaufvertrag über einen gebrauchten Pkw zum Preis von 13.500 € abgeschlossen. Am selben Tag um 11:44 Uhr schickte der Geschäftsführer der Klägerin die Rechnung auf Wunsch der Beklagten als Anhang zu einer E-Mail an deren Geschäftsführer. Im Kopfbereich der Rechnung sowie in der Fußzeile war ein Sparkassen-Konto als Empfängerkonto angegeben. Um 11:46 Uhr erhielt der Geschäftsführer der Beklagten eine weitere E-Mail von der E-Mail-Adresse der Klägerin mit einer neuen Rechnung im Anhang. Hierin war nur in der Fußzeile ein anderes Empfängerkonto bei der S-Bank in Berlin - eines Kontoinhabers P. D. angegeben. Die Beklagte überwies 13.500 € auf das letztgenannte Konto.
Am 19. Oktober 2021 forderte die Klägerin die Beklagte zur Zahlung auf und es stellte sich heraus, dass die zweite E-Mail aufgrund eines "Hackerangriffs" von einer unbefugten dritten Person versandt worden war; das in der Fußzeile der dieser E-Mail angehängten Rechnung angegebene Konto war keines der Klägerin. Die Klägerin erstattete Strafanzeige, die Ermittlungen laufen noch. Die Beklagte lehnte in der Folge eine Zahlung ab.
Das E-Mail-Konto der Klägerin war mit einem Passwort geschützt, das zwei Personen im gesamten Betrieb bekannt war und alle zwei bis vier Wochen durch eine der beiden Personen geändert und der anderen mündlich mitgeteilt wurde. Computer und Software der Klägerin sind über die Windows Firewall geschützt, die regelmäßig aktualisiert wird. Darüber hinaus sind Computer und Software über die Vollversion von "X.-Internet-Security" geschützt.
Das LG hat die Zahlungsklage abgewiesen. Der Anspruch der Klägerin auf Kaufpreiszahlung sei durch Erfüllung gem. § 362 Abs. 1 BGB in Gestalt der Zahlung auf das Konto des Dritten erloschen. Dies stelle eine Leistung an die Klägerin dar. Auf die Berufung der Klägerin hat das OLG die Entscheidung aufgehoben und die Beklagte zur Zahlung verurteilt.
Die Gründe:
Die Klägerin hat gegen die Beklagte gem. § 433 Abs. 2 BGB einen Anspruch auf Kaufpreiszahlung i.H.v. 13.500 €.
Eine Leistung an die Klägerin gem. § 362 Abs. 1 BGB ist nicht erfolgt, da es sich bei dem Konto, auf das die Beklagte den Kaufpreis überwiesen hatte, um das Konto eines Dritten und nicht der Klägerin handelte und daher der geschuldete Leistungserfolg nicht eingetreten ist. Die Voraussetzungen, unter denen eine Leistung an einen Dritten Erfüllungswirkung hat, sind in § 362 Abs. 2 BGB geregelt und lagen hier nicht vor. Eine Zurechnung "des unbefugten Zugriffs des Dritten in Bezug auf die unerlaubte Handlung" an die Klägerin, wie vom LG angenommen, erfolgte nicht. Die Beklagte hat gegen die Klägerin insbesondere keinen Schadensersatzanspruch gem. § 280 Abs. 1, § 241 Abs. 2 BGB in einer der auf das Drittkonto getätigten Überweisung von 13.500 € entsprechenden Höhe, den sie der Klageforderung unter dem Gesichtspunkt der dolo-agit-Einwendung gem. § 242 BGB entgegenhalten könnte.
Die Beklagte behauptete zwar, der Hackerangriff sei durch mangelnde Vorsichtsmaßnahmen der Klägerin ermöglicht worden, wofür ein Anscheinsbeweis spreche. Insoweit nannte sie die nicht erfolgte Verwendung des "sender policy framework (SPF)" bei der Kommunikation sowie eine unterlassene Verschlüsselung der pdf-Datei. Außerdem sei der Klägerin vorzuwerfen, dass sie keine Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung verwendet habe. Eine Pflichtverletzung der Klägerin lag insoweit aber schon deshalb nicht vor, weil sie zur Verwendung dieser Verfahren und Maßnahmen nicht verpflichtet war.
Mangels gesetzlicher Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr bestimmen sich Art und Umfang der erforderlichen Sicherheitsvorkehrungen, soweit hierzu von den Parteien keine ausdrückliche Vereinbarung getroffen wurde, nach den berechtigten Sicherheitserwartungen des maßgeblichen Verkehrs unter Berücksichtigung der Zumutbarkeit. Insbesondere war hier der sachliche Anwendungsbereich der Datenschutz-Grundverordnung im Streitfall nicht eröffnet, da diese nur für die Verarbeitung von Informationen gilt, die sich auf eine natürliche Person beziehen (vgl. Art. 2 Abs. 1, Art. 4 Nr. 1 DS-GVO). Nicht maßgeblich für die berechtigten Sicherheitserwartungen des Verkehrs ist dabei die vom LG herangezogene "Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen".
Selbst wenn man in einem der vorstehend behandelten Umstände eine Pflichtverletzung der Klägerin sehen wollte, fehlte es am Nachweis der Kausalität dieser Pflichtverletzung für den eingetretenen Schaden. Es blieb ungeklärt, wie es tatsächlich dazu gekommen war, dass die zweite E-Mail mit der ge- oder verfälschten Rechnung die Beklagte erreichte. Schließlich wäre ein unterstellter Schadensersatzanspruch der Beklagten nach § 254 BGB zu kürzen, weil ein erhebliches Mitverschulden zu berücksichtigen wäre.
Rechtsprechung:
Zum Anscheinsbeweis für grob fahrlässige Pflichtverletzung des Kreditkarteninhabers bei Bargeldabhebungen kurz nach Diebstahl der Karte
OLG Stuttgart vom 08.02.2023 - 9 U 200/22
ZIP 2023, 1120
ZIP0055336
Die ZIP ist Bestandteil des Beratermoduls Zeitschriften Wirtschaftsrecht:
Jetzt neu: Führende Zeitschriften zum Wirtschaftsrecht, Aktienrecht, Gesellschaftsrecht und Versicherungsrecht stehen hier zur Online-Recherche bereit. Inklusive Selbststudium nach § 15 FAO bei ausgewählten Zeitschriften (GmbHR, ZIP). Wann immer es zeitlich passt: Für Fachanwälte bietet das Beratermodul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!