Rechnungen per E‑Mail zu versenden, ist im Geschäftsverkehr durchaus üblich. Wer haftet aber für einen Schaden, wenn der E‑Mail-Account gehackt wird und der Kunde nicht an den von ihm beauftragten Handwerker zahlt, sondern an einen Betrüger? Mit dieser Fragestellung haben sich das Landgericht Koblenz (LG Koblenz, Urteil vom 26.03.2025 – 8 O 271/22) und das Oberlandesgericht Schleswig (OLG Schleswig, Urteil vom 18.12.2024 – 12 U 9/24) auseinandergesetzt und sind zu unterschiedlichen Ergebnissen gekommen.
Sachverhalt LG Koblenz
Der beklagte Kunde beauftragte den Kläger mit Zaunbauarbeiten auf seinem Grundstück. Die Parteien vereinbarten für die Ausführung der Arbeiten einen Pauschalpreis in Höhe von 11.000 Euro einschließlich Umsatzsteuer. Der Kläger stellte dem Beklagten die Arbeiten mit dem Datum vom 09.07.2022 in Rechnung. Die Rechnung wies die korrekte Kontoverbindung des Klägers aus. Die Parteien kommunizierten im Rahmen der Auftragsabwicklung sowohl per E‑Mail als auch per WhatsApp.
Der Beklagte erhielt am 11.07.2022 um 11:03 Uhr eine weitere E‑Mail vom Account des Klägers. In dieser Mail wurde ihm sinngemäß mitgeteilt, den Rechnungsbetrag noch nicht anzuweisen, da sich die Bankverbindung geändert habe. Man werde ihm die richtige Bankverbindung zusenden, sobald er den Erhalt der Nachricht bestätigt habe. Nachdem der Beklagte dies erledigt hatte, erhielt er eine weitere E‑Mail mit einer neuen IBAN, die nicht diejenige des Klägers war und als Namen des Begünstigten eine unbekannte Person Ronald Serge B. aufwies. Der Beklagte überwies daraufhin am 15.07.2022 einen Betrag in Höhe von 6.000 Euro auf das Konto des Betrügers. Am gleichen Tag übermittelte er dem Kläger per WhatsApp einen Screenshot seiner Überweisung, auf dem die falsche IBAN und der Name des Betrügers ersichtlich waren. Am 17.07.2022 überwies der Beklagte dann weitere 5.000 Euro und übersandte dem Kläger erneut einen Screenshot seiner Überweisung per WhatsApp.
Nachdem der Kläger keinen Zahlungseingang feststellen konnte, fragte er wegen seiner Rechnung beim Beklagten nach. Dieser verwies auf die beiden per WhatsApp übermittelten Screenshots seiner Überweisungen. Erst daraufhin prüfte der Kläger die übermittelten Nachrichten und teilte dem Beklagten mit, dass es sich bei dem auf den Screenshots ausgewiesenen Konto nicht um sein Bankkonto handele.
Der Beklagte verweigerte eine erneute Zahlung mit der Begründung: Hätte der Kläger die Screenshots sogleich überprüft, wäre es der Bank möglich gewesen, die veranlassten Zahlungen noch rückgängig zu machen.
Die Entscheidung
Das Landgericht Koblenz hat der Klage in Höhe von 8.250 Euro, das entspricht 75 %, stattgegeben und im Übrigen, also 25 %, die Klage abgewiesen.
Der Kläger habe Anspruch auf Zahlung aufgrund des zwischen den Parteien geschlossenen Werkvertrags. Der Beklagte könne sich nicht mit Erfolg darauf berufen, seine Schuld bereits durch Zahlung erfüllt zu haben. Das Gericht stellte klar: Die Zahlung auf ein falsches Konto erfüllt die Schuld nicht. Zwar war die E‑Mail scheinbar vom Unternehmer versandt worden, doch das allein genügte nicht. Die Parteien haben sich darauf geeinigt, ihre Korrespondenz über E‑Mail zu führen. Es sei bekannt, dass es sich dabei um einen unsicheren und damit fälschungsanfälligen Kommunikationsweg handelt. Dieses Risiko haben die Parteien zum Zweck der Vereinfachung ihrer Geschäftsbeziehungen bewusst in Kauf genommen.
Aufrechnung bei Datenschutz-Schadensersatz
Gleichzeitig gestand das Gericht dem beklagten Kunden einen Anspruch auf Schadensersatz zu, welcher dann gegen den Anspruch des Klägers aufgerechnet werden konnte. Grundlage für einen solchen Schadensersatzanspruch sei ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO), so das Gericht. Der Schadensersatzanspruch folge konkret aus Artikel 82 DSGVO. Nach dieser Vorschrift hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen. Der Werkunternehmer habe es versäumt, personenbezogene Daten wie die E‑Mail-Adresse und Rechnungsdetails wie Kontonummer und Kontoinhaber ausreichend zu schützen. Zwar ist in der DSGVO eine Verschlüsselung nicht zwingend vorgeschrieben, sie wird jedoch mehrfach im Text der Verordnung erwähnt, jedes Mal als Empfehlung. Hiergegen habe der Kläger verstoßen, indem er seine E‑Mail-Rechnung unverschlüsselt übersandt hat.
Überwiegendes Mitverschulden des Kunden
Allerdings müsse sich der Beklagte ein erhebliches Mitverschulden anrechnen lassen. Der Kläger hatte mit seiner ursprünglichen Rechnungs-E‑Mail korrekte Kontodaten übersandt. Bei der E‑Mail des Betrügers hätte der Beklagte hellhörig werden müssen. Es wäre seine Aufgabe gewesen, kritisch zu hinterfragen, ob die ihm per E‑Mail übersandten geänderten Kontodaten tatsächlich vom Kläger stammten, zumal eine Bankverbindung mit einem völlig fremden Zahlungsempfänger mitgeteilt wurde. Spätestens in diesem Moment hätte der Beklagte sich bei dem Kläger rückversichern müssen. Der Beklagte konnte sich auch nicht mit Erfolg darauf berufen, dem Kläger per WhatsApp Screenshots der von ihm getätigten Überweisung geschickt zu haben. Zwar hätte auch anhand dieser Screenshots der Kläger bei sorgfältiger Durchsicht erkennen können, dass die Zahlung an einen falschen Empfänger getätigt worden ist, eine entsprechende Prüfungspflicht obliege ihm allerdings nicht. Das Risiko der Zahlung liege vielmehr beim Beklagten.
Demnach hat das Gericht aufgrund des überwiegenden Mitverschuldens des Beklagten eine Quotelung des Schadens 25:75 zulasten des Beklagten vorgenommen. Aufgrund des überwiegenden Mitverschuldens des Beklagten stand daher dem Kläger lediglich ein Anspruch auf Zahlung von 75 % des vereinbarten Werklohns zu.
Ähnlicher Sachverhalt – andere Entscheidung: OLG Schleswig
In einer ähnlichen Sachverhaltskonstellation ist allerdings das OLG Schleswig zu einer anderen Entscheidung gekommen. Auch hier hatte der klagende Heizungsbauer seine Rechnungen per E‑Mail an den beklagten Kunden geschickt. Der Kläger hatte bereits zwei unverschlüsselte E‑Mails mit Teilrechnungen an den Beklagten geschickt. Der Beklagte hatte die beiden Abschlagsrechnungen auf das Konto des Klägers gezahlt.
Danach hat sich ein Hacker Zugang zum IT-System des Rechnungsversenders verschafft. Die Abschlussrechnung über 15.385,78 Euro wurde vom Kläger als Anlage zu einer E‑Mail im PDF-Format versandt. Beim Kunden ging dann am nächsten Tag eine E‑Mail ein, der eine manipulierte Rechnung im PDF-Format beigefügt war. Die Rechnung enthielt andere Kontodaten, die vom Hacker gefälscht waren. Der Kunde hat dann den Betrag auf dieses Konto überwiesen.
Begründung des OLGs Schleswig
Zunächst geht auch das OLG Schleswig davon aus, dass der Handwerker einen Werklohnanspruch hat, der durch die Zahlung auf ein falsches Konto vom Beklagten nicht erfüllt worden ist. Anders als bei dem vom Landgericht Koblenz entschiedenen Fall geht allerdings das OLG Schleswig davon aus, dass der Kunde der Werklohnforderung des Klägers einen Schadensersatzanspruch in voller Höhe der Werklohnforderung entgegenhalten kann.
Entscheidender Unterschied war, dass die Manipulation der E‑Mail schwer zu erkennen war. Das OLG ging von einer Man-in-the-Middle-Attacke aus, bei der sich ein Angreifer heimlich zwischen zwei kommunizierende Parteien schaltet. Bei dieser Attacke steht der Angreifer zwischen den Kommunikationspartnern und kontrolliert den Datenverkehr beim Telekommunikationsdienstleister.
Dies erfordert einen extrem hohen technischen Aufwand. Die Manipulation an der E‑Mail war deshalb für den Kunden nur schwer erkennbar. Einziger Anknüpfungspunkt war hier die geänderte Bankverbindung im Vergleich zu den beiden Teilrechnungen.
Kein Mitverschulden des Kunden
Im Rahmen der Abwägung des Verschuldens hat hier das OLG Schleswig die alleinige Verantwortung beim Kläger gesehen. Das OLG Schleswig geht davon aus, dass im unverschlüsselten Versand einer Rechnung per E‑Mail ein Verstoß gegen Artikel 32 DSGVO vorliegt. Demnach ist der Unternehmer verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, die im Hinblick auf die Schwere des Risikos der Verarbeitung angemessen sind. Je sensibler die Daten sind, desto höhere Sicherheitsmaßnahmen sind erforderlich. Nach Auffassung des OLGs Schleswig ist beim Versand von Rechnungen als Anhang zu einer E‑Mail eine End-to-End-Verschlüsselung notwendig. Demnach stellt der Versand ohne End-to-End-Verschlüsselung einen Datenschutzverstoß nach Artikel 82 DSGVO dar. Nach Auffassung des Gerichts ist die fehlende Verschlüsselung auch kausal für den entstandenen Schaden. Ein etwaiges Mitverschulden des Kunden unterliegt der Prüfung im Einzelfall. Hier war die geänderte Kontoverbindung der einzige Ansatzpunkt. Das OLG hat das Mitverschulden als gering eingestuft. Demnach kann der Kunde dem Kläger einen Schadensersatzanspruch in voller Höhe des überwiesenen Betrags entgegenhalten. Der Schaden liegt dann allein beim Kläger.
Für die Praxis
Der Versand von Rechnungen per E‑Mail ist risikobehaftet. Soweit E‑Mails gehackt und manipuliert werden, können potenziell Schadensersatzansprüche der Kunden gegenüber dem Unternehmer wegen eines Datenschutzverstoßes entstehen, soweit dieser seine Rechnungen ohne End-to-End-Verschlüsselung übermittelt. Gleichwohl müssen die Gerichte prüfen, in welchem Verantwortungsbereich der Angriff erfolgt ist und das jeweilige Verschulden der Beteiligten abwägen. Je nach Sachverhaltskonstellation wird deshalb von den Gerichten zu entscheiden sein, welcher der Beteiligten einen höheren Verschuldensgrad gehabt hat. Dies führt in der Praxis zu einem schwer zu kalkulierenden Risiko.
Als Unternehmer ist man deshalb gut beraten, gerade bei höheren Rechnungsbeträgen, entweder das technisch aufwendige Mittel der End-to-End-Verschlüsselung zu wählen oder die Rechnung gegebenenfalls ganz klassisch per Post zu übermitteln.
Das Urteil vom LG Koblenz lesen Sie hier.
Das Urteil vom OLG Schleswig lesen Sie hier.
Mathias Stier, Syndikusrechtsanwalt, Abteilung Handwerksrecht, Bundesinnung der Hörakustiker KdöR (biha)
„Hörakustik“ – einfach mehr wissen
