Sicherheit bei E-Mails im Geschäftsbereich: Ein Urteil des OLG Karlsruhe

Welche Sicherheitsmaßnahmen sind beim Versand von E-Mails im geschäftlichen Verkehr einzuhalten? Mit dieser Frage hatte sich das OLG Karlsruhe zu befassen.

Der Fall:

In dem zugrundeliegenden Fall hatte der Geschäftsführer eines Unternehmens bei einer anderen Firma einen gebrauchten Pkw bestellt. Noch am selben Tag sendete der Verkäufer ihm per E-Mail eine Rechnung über die vereinbarte fünfstellige Summe. In Kopf- und Fußzeile war die Bankverbindung angegeben. Wenige Minuten später erhielt der Käufer eine zweite Rechnungs-E-Mail, die zwar auch von der E-Mail-Adresse des Verkäufers gesendet wurde, aber – wie sich später herausstellte – von einem Hacker gefälscht worden war. Diese enthielt in der Fußzeile eine andere Kontoangabe, mit einem abweichenden Kontoinhaber und bei einer anderen Bank. Die Mail wies Schreibfehler und sachliche Unstimmigkeiten auf. Dennoch zahlte der Käufer an die in der zweiten Mail angegebene Bankverbindung, nicht an die des wirklichen Verkäufers. Als dieser später sein Geld einforderte kam es zum Rechtsstreit.

Das Urteil:

Das OLG Karlsruhe gab dem Verkäufer Recht. Durch die Zahlung auf ein falsches Konto sei der Anspruch des Verkäufers auf den Kaufpreis nicht erloschen. Ein fehlerhaftes Verhalten des Verkäufers, das den Versand der gefälschten Rechnung ermöglicht hätte, sei nicht festzustellen.

Der Mail-Account des Verkäufers sei passwortgeschützt gewesen, das Passwort nur wenigen Personen bekannt und regelmäßig geändert worden. Der PC des Verkäufers sei zudem mittels Firewall geschützt gewesen. Dem Verkäufer seien keine Versäumnisse in Sachen Sicherheit anzulasten und der Käufer habe daher auch keinen Schadensersatzanspruch in Höhe der Zahlung.

Das Maß der Sicherheitsvorkehrungen richte sich nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit. Den Einsatz einer Verschlüsselung von pdf-Dateien, Transportverschlüsselung oder Ende-zu Ende Verschlüsselung oder gar eines speziellen Verfahrens, das prüfe, ob der sendende Server berechtigt sei, E-Mails für den Verkäufer zu versenden (Sender Policy Framework) könne der Käufer nicht erwarten.

Unabhängig davon treffe den Käufer selbst ein erhebliches Verschulden, da die zweite E-Mail viele Fehler und Ungereimtheiten enthalten habe. Er hätte dadurch misstrauisch werden und – bevor er einen so hohen Betrag einfach überwies – sich bei dem Verkäufer rückversichern müssen, welche Bankverbindung denn nun die Richtige sei, so das Gericht.

OLG Karlsruhe, Az. 19 U 83/22