Ein in letzter Zeit fast alltäglicher Fall: Ein Kunde hat eine Ware oder Dienstleistung bestellt und erhalten. Sodann erhält er entweder auf dem Postwege oder per Mail die Rechnung, kurze Zeit später aber eine Mail mit der Korrektur der Bankverbindung der beauftragten Firma. Immer öfter gelingt es Hackern, Kundendaten und andere Informationen beim Absender oder Empfänger abzufangen. Statt der eigentlichen Kontoverbindung der Firma werden dann die Kontodaten des Betrügers genannt. Hier ist höchste Vorsicht geboten.
Die rechtliche Ausgangssituation
Als Rechnungsempfänger ist man dafür verantwortlich, die geschuldete Vergütung zu zahlen. Die Überweisung auf ein Bankkonto, das dem Vertragspartner tatsächlich nicht gehört, weil der Kunde auf eine E-Mail des Betrügers hereinfällt, der seine Kontodaten angibt, hat in der Regel keine befreiende Wirkung. Mit anderen Worten muss der Kunde dann ein zweites Mal die Rechnung zahlen. Aber gibt es auch Ausnahmen? Hätte nicht auch die Firma besser aufpassen müssen, dass ihre Daten geschützt werden? Wie konnte sonst der Betrüger an die Informationen über das Vertragsverhältnis, Details über die Rechnungshöhe etc. kommen?
Die Entscheidung des Oberlandesgerichts Karlsruhe
Im Jahr 2023 hat das Oberlandesgericht Karlsruhe entschieden, dass man weder als Privatperson noch als gewerbliche Personen verpflichtet ist, E-Mails verschlüsselt zu versenden oder sonst in besonderer Weise Maßnahmen zu ergreifen. Im dortigen Fall ging es um die Zahlung eines Autos. Der Autohändler hatte auf Wunsch des Kunden die Rechnung per Mail versandt. Das E-Mail Konto des Händlers war durch ein Passwort , der Computer und Software über eine Firewall geschützt. Wie der Betrüger an die entsprechenden Daten des Kunden genau kam, blieb ungeklärt. Entgegen der Auffassung des Kunden ging das Gericht nicht von einem sogenannten Anscheinsbeweis aus, wonach die Umstände dafür sprechen würden, dass mangelnde Sicherheitsmaßnahmen des Autohändlers ermöglicht hätten, Daten zu hacken. Der Kunde, der eine Überweisung aufgrund der Mail des Betrügers auf die dort genannte Kontoverbindung getätigt hatte, wurde verurteilt, die volle Summe ein zweites Mal an den Autohändler zu zahlen.
Die Entscheidung des Landgerichts Koblenz
Hier hatte ein Kunde bei einem Gartenbauunternehmen einen Zaun in seinem Garten errichten lassen. Der gesamte Schriftverkehr von der Auftragsvergabe bis zur Rechnungserstellung wurde per Mail bzw. WhatsApp abgewickelt. Nach Erhalt der Rechnung mit der richtigen Kontoverbindung per Mail erhielt der Kunde zwei Tage später eine weitere Mail, in dem ihm mitgeteilt wurde, die Bankverbindung habe sich geändert. Der Kunde erbrachte eine Überweisung über einen Teilbetrag der Rechnung an diese neue Kontoverbindung und übersandte dem Unternehmen per WhatsApp einen Screenshot über diese Überweisung eines Teilbetrages. Der Händler kontrollierte nicht die Korrektheit dieses Zahlungsvorgangs. Wenige Tage später überwies der Kunde den Restbetrag wiederum auf die falsche Kontoverbindung, die nicht dem Unternehmen gehörte. Hiervon übersandte er wiederum einen Screenshot per WhatsApp an das Unternehmen. Als das Unternehmen dann mehrere Tage später mangels Zahlungseingang auf dem Konto beim Kunden nachfragte, klärte sich die Sache. Der Kunde weigerte sich, die Rechnung erneut zu zahlen. Das Landgericht Koblenz entschied am 26. März 2025, dass der Kunde den Betrag i.H.v. 75 % an das Unternehmen erneut zahlen müsse. Insoweit habe (im Einklang mit der Entscheidung des Oberlandesgerichts Karlsruhe) die Zahlung an den Betrüger keine Erfüllungswirkung gehabt. Es bestehe kein Anscheinsbeweis dahingehend, dass das Unternehmen die Mail mit der geänderten, falschen Kontoverbindung versandt habe oder sonst das Konto nicht ausreichend gesichert habe. Es sei allgemein bekannt, dass E-Mail Accounts immer wieder unbefugt von Dritten gehackt werden und sich diese im Anschluss der entsprechenden E-Mail-Adresse bemächtigen. Der Kunde hätte kritisch hinterfragen müssen, ob die per Mail übersandten geänderten Kontodaten tatsächlich vom Unternehmen stammen, zumal dort eine Bankverbindung mit einem vollkommen fremden Namen als Zahlungsempfänger mitgeteilt wurde. Andererseits hätte das Unternehmen nach Art. 82 der Datenschutzgrundverordnung sensible Daten und Datenschutzverletzungen sichern müssen, wozu die personenbezogenen Angaben des Beklagten als auch seine E-Mail-Adresse gehören. Eine solche Absicherung habe das Unternehmen nicht vorgenommen, wobei nicht ausgeführt wurde, welche Sicherungen vorgelegen hatten und welche Absicherung das Gericht vermisste. Deswegen sei dem Unternehmen ein Mitverschulden von 25 % anzulasten, sodass der Kunde letztlich nur 75 % zahlen musste. Dass der Kunde dem Unternehmen per Screenshot jeweils eine Kopie seiner Überweisungen übersandte, aus denen das Unternehmen hätte erkennen können, dass es sich um eine gefälschte Bankverbindung handelt, hielt das Gericht dagegen für unerheblich.
Wie kann man sich als Kunde schützen?
Es ist im Vorhinein zu überlegen, mit dem Vertragspartner bei der Versendung von Rechnungen oder anderem sensiblen E-Mail-Verkehr eine Verschlüsselung oder ein Passwort zu vereinbaren. Es bleibt abzuwarten, ob in der weiteren Rechtsprechung oder durch gesetzgeberische Maßnahmen wegen der zunehmenden Gefahren eine solche Sicherung zum Schutz des Kunden verlangt und zur Pflicht wird.
Bis dahin bleibt nur der Rat, bei solchen Mails mit geänderten Kontodaten den Vertragspartner anzusprechen bzw. anzurufen, um abzufragen, ob sich tatsächlich die Bankverbindung geändert hat oder nicht. Damit geht man auf Nummer sicher, auf keinen Betrüger hereinzufallen.
