LG Rostock entscheidet bei Manipulation zugunsten des Unternehmers
Cyberkriminelle nutzen immer häufiger Schwachstellen in der digitalen Kommunikation, um E-Mails abzufangen und Bankverbindungen in Rechnungsdokumenten zu verändern. Dies führt dazu, dass Kunden Zahlungen auf falsche Konten leisten, während Unternehmen um ihre berechtigten Forderungen kämpfen müssen. Erst letzte Woche haben wir über ein Urteil des Oberlandesgerichts (OLG) Schleswig berichtet, bei dem zulasten des rechnungsstellenden Handwerkers entschieden wurde. Das Landgericht (LG) Rostock entscheidet nun mit Urteil vom 20.11.2024 bei einer Manipulation zugunsten des Unternehmers.
Sachverhalt: Empfang einer manipulierten Rechnungen
Im Fall des LG Rostock verschickte ein Handwerksunternehmen um 14:14 Uhr eine Abschlagsrechnung per E-Mail an eine Kundin. Gut 20 Minuten später ging im Postfach der Kundin eine sehr ähnliche E-Mail ein, diesmal aber mit einem manipulierten Rechnungsanhang mit anderer Bankverbindung. Bei der „optisch nahezu identisch[en]“ Rechnung gab es verschiedene Anzeichen auf eine inkorrekte HTML-Formatierung. Beispielsweise waren Umlaute als Zeichen wie etwa „Ü“ für „Ü“ dargestellt. Die Kundin beglich den Rechnungsbetrag an das falsche Konto, obwohl ihr die korrekte Bankverbindung aus vorherigen Geschäftsbeziehungen bekannt war und sie auch an diese in der Vergangenheit Zahlungen getätigt hatte.
Im Anschluss behauptete der Handwerksbetrieb, dass die Zahlung in Höhe von 37.730 € noch ausstehe. Die abweichende Kontoverbindung hätte der Kundin auffallen müssen und das IT-System sei „ausreichend gesichert“ gewesen. Dem hielt die Kundin entgegen, dass sie nur die gefälschte Rechnung aufgrund eines Angriffs auf das System des Handwerksbetriebs erhalten habe. Dies bestätigt ein Zeuge aufgrund einer Untersuchung. Deshalb habe der Handwerksbetrieb die Fälschung zu verantworten.
Vergleichsurteil des OLG Schleswig
Das OLG Schleswig entschied erst kürzlich einen ähnlichen Fall zu Lasten des Handwerksbetriebs. Dabei verwies es auf die unzureichende Transportverschlüsselung des Rechnungsversands, die ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) darstelle. Zwar sei der Kunde weiterhin zur Zahlung verpflichtet, er habe jedoch ein Schadensersatzanspruch in Höhe der fälschlicherweise getätigten Zahlung gemäß Art. 82 DSGVO.
Hierbei lies das OLG allerdings offen, ob die unzureichende Verschlüsselung tatsächlich ursächlich für den Vorfall war, da das Unternehmen als Verantwortlicher die Beweislast trägt und nicht darlegen konnte eine Transportverschlüsselung eingesetzt zu haben oder dass eine solche eine ausreichende Sicherung gegeben hätte. Insofern ist nicht klar, ob die vom Gericht geforderte Ende-zu-Ende-Verschlüsselung allein die Manipulation hätte verhindern können.
Entscheidung des LG Rostocks
Das LG Rostock entscheidet (2 O 450/24) nun bei der vorliegenden Rechnungsmanipulation abweichend zugunsten des Unternehmers. Die Zahlung auf das falsche Konto tilge die Schuld nicht, sodass die Kundin erneut zahlen müsse. Hierfür treffe den Handwerksbetrieb auch keine Pflichtverletzung, da eine Einigung auf die elektronische Kommunikation trotz Kenntnis über deren Risiken stattgefunden habe.
Auch eine datenschutzrechtliche Pflichtverletzung des Handwerksbetriebs sah das LG Rostock nicht, da die DSGVO lediglich den Schutz personenbezogener Daten betreffe und hier keine eindeutige Verletzung nachweisbar sei.
Vielmehr treffe hier die Kundin ein Verschulden, da sie trotz der Hinweise auf die Manipulation die Zahlung getätigt habe. Beispielsweise hätte sie die fehlerhaften Zeichen oder die geänderte Bankverbindung erkennen müssen.
Einordnung der Entscheidung
Das OLG Schleswig betonte, dass fehlende Ende-zu-Ende-Verschlüsselung eine unzureichende Sicherheitsmaßnahme seien. Demgegenüber stellte das LG Rostock fest, dass Unternehmen keine generelle Verpflichtung zu einer solchen Verschlüsselung treffe. Zumindest die Datenschutzkonferenz (DSK) sieht in einem Beschluss vom 2021 zur Sicherheit bei der E-Mail-Übermittlung den Verzicht auf Ende-zu-Ende-Verschlüsselung als problematisch an.
Praktische Schutzmaßnahmen für Unternehmen
Die Gerichte haben also die ähnlichen Fälle, wenn auch nicht exakt identisch, unterschiedlich bewertet. Aufgrund der weiterhin noch nicht abschließend geklärten Fragen, welche Sicherheitsanforderungen an den elektronischen Rechnungsversand gestellt werden, sollten Unternehmen ihre internem IT-Sicherheitskonzepte kontrollieren. Der Verzicht auf anfällige Webmailer, regelmäßige Sicherheitsupdates und der Einsatz von Authentifizierungsmechanismen können hier Schutz bieten. Daneben sollte ein kontinuierliches Monitoring der IT-Systeme stattfinden und eine schnelle Reaktion auf Sicherheitsvorfälle erfolgen. Das beinhaltet auch die Informierung von Kunden.
Fazit
Anders als das OLG Schleswig entscheidet das LG Rostock bei der Manipulation zugunsten des Unternehmers. Die divergierenden Urteile zeigen die Unsicherheiten in der rechtlichen Bewertung solcher Sachverhalte und die unterschiedlichen Anforderungen an IT-Sicherheit. Für Unternehmen bedeutet dies eine klare Handlungsaufforderung. IT-Sicherheit und Datenschutz sollten strategisch stärker verankert werden. Präventive Maßnahmen, sichere Kommunikationskanäle und eine transparente Informationspolitik gegenüber Kunden können vor hohen Schäden schützen. Gleichzeitig sollten Kunden stets wachsam bleiben und Rechnungen kritisch prüfen.
Letztlich bleibt die Frage offen, ob der Gesetzgeber verbindliche Vorgaben zur E-Mail-Verschlüsselung erlassen sollte, um die Haftungsrisiken für Unternehmen klarer zu definieren und E-Mail-Empfänger zu schützen. Bis dahin gilt: Vorsicht ist besser als Nachsicht – sowohl für Unternehmen als auch für Kunden.
