Falsche Rechnungen – falsches Konto: Wer trägt den Schaden?

Das Manipulieren von Rechnungen nimmt zu. Doch kann ein Handwerksbetrieb verlangen, dass seine Rechnung beglichen wird, auch wenn der Kunde bereits auf ein falsches Konto überwiesen hat? Hierzu sind  jetzt zwei Entscheidungen veröffentlicht worden, die unterschiedlicher nicht sein könnten.

Im ersten Fall hatte der Handwerksbetrieb das Nachsehen

Ein Kunde überwies über 15.000 Euro auf ein falsches Konto, weil Unbekannte die Rechnung des Handwerksbetriebs manipuliert und die Bankverbindung geändert hatten. Die gefälschte Rechnung wich optisch von früheren Rechnungen ab.

Der Kunde bemerkte die Manipulation nicht und überwies den Betrag auf das Konto der Kriminellen anstatt an das Bauunternehmen. Der Unternehmer forderte eine erneute Zahlung. Der Kunde weigerte sich und argumentierte, die Rechnung sei ungeschützt per E-Mail versandt worden und er habe dadurch einen Schaden erlitten. Er machte einen Schadenersatzanspruch in gleicher Höhe nach der Datenschutz-Grundverordnung (Art. 82 DSGVO) geltend.

Das Oberlandesgericht (OLG) Schleswig (Urteil vom 18.12.2024, Az. 12 U 9/24) entschied zugunsten des Kunden: Zwar erfülle die Zahlung auf das falsche Konto die Schuld nicht, doch der Kunde könne Schadenersatz nach Art. 82 DSGVO verlangen. Das Gericht sah in der fehlenden Ende-zu-Ende-Verschlüsselung der E-Mail einen Verstoß des Handwerksbetriebs gegen die DSGVO. Das Unternehmen müsse ein angemessenes Sicherheitsniveau gewährleisten, wenn es Rechnungen und andere sensible Daten per E-Mail versende. Komme das Unternehmen dem nicht nach, stehe dem Kunden ein Schadenersatzanspruch in Höhe des Rechnungsbetrages (ca. 15.000 Euro) zu.

Zwischenfazit

Ein Urteil, das in mehrfacher Hinsicht Kopfschütteln auslöste. Die Forderung, Rechnungen in dieser Größenordnung (ca. 15.000 EUR) auch inhaltlich zu verschlüsseln, ist praxisfern. Wie soll das in der Praxis funktionieren? Welcher Verbraucher ist technisch in der Lage, inhaltsverschlüsselte Nachrichten ohne größere Probleme zu empfangen? Eine generelle Pflicht zur Ende-zu-Ende-Verschlüsselung ergibt sich aus der Entscheidung allerdings nicht.

Die vorliegende Entscheidung betrifft den B2C-Bereich (Handwerk und Kunde). Für den B2B-Bereich (Geschäftskunden unter sich) entschied das OLG Karlsruhe vor kurzem, dass ein SFP-Eintrag (spezielles Authentifizierungsprotokoll) beim Versand von E-Mails im B2B-Bereich nicht notwendig sei.

Im zweiten Fall obsiegte der Handwerksbetrieb

Jetzt gibt es zu diesem Themenbereich ein weiteres Urteil vom Landgericht (LG) Rostock und hier obsiegte der Handwerksbetrieb.

Am 08.11.2023 um 14:14 Uhr versandte ein Handwerksbetrieb eine E-Mail mit einer PDF-Datei, die die erste Abschlagsrechnung und die korrekte Bankverbindung enthielt. Um 14:35 Uhr erhielt der Kunde eine fast identische E-Mail mit einer gefälschten PDF-Datei, die eine abweichende Bankverbindung auswies. Während die PDF-Datei „optisch nahezu identisch“ mit der richtigen PDF-Datei war (abgesehen von den Bankverbindungsdaten), enthielten die E-Mail-Hinweise auf eine fehlerhafte HTML-Formatierung.

Der Kunde kannte die richtige Bankverbindung aus einer früheren Geschäftsbeziehung und hatte bereits darauf Zahlungen geleistet. Der Handwerksbetrieb behauptete, die Rechnung sei nicht beglichen worden und der Kunde hätte die falsche Bankverbindung erkennen müssen. Der Kunde gab wiederrum an, nur die manipulierte E-Mail erhalten zu haben, die auf ein kompromittiertes System des Handwerksbetriebs zurückzuführen sei. Ein Zeuge bestätigte dies durch eine Untersuchung.

Der Kunde machte geltend, dass der Handwerksbetrieb durch mangelnde IT-Sicherheit die Ursache für die Fälschung gesetzt habe und daher hafte.

Das LG Rostock (Urteil vom 20.11.2024, Az. 2 O 450/24) verurteilte den Kunden zur erneuten Zahlung. Die Überweisung auf die falsche Bankverbindung führe nicht zur Erfüllung der Schuld. Zudem habe der Handwerksbetrieb nicht schuldhaft verursacht, dass der Kunde auf das falsche Konto zahlte. Es gebe keine festen Sicherheitsvorgaben für den E-Mail-Verkehr. Zudem sei unklar, ob der Handwerksbetrieb seine Systeme besser hätte absichern können oder ob ein höheres Sicherheitsniveau den Angriff verhindert hätte.

Das Gericht sah auch ein erhebliches Verschulden des Kunden. Er habe deutliche Hinweise auf eine Manipulation der E-Mail ignoriert. Die gefälschte Nachricht weise auffällige Zeichenfehler auf. So seien die Umlaute in der E-Mail nicht als Umlaut dargestellt, sondern als Zeichen wie zum Beispiel „Ü“ für „Ü“ oder „ “ für ein „geschütztes Leerzeichen“. Zudem hätte dem Kunden auffallen müssen, dass sich die Bankverbindung gegenüber früheren Zahlungen geändert habe – insbesondere der Wechsel von „B …kasse“ zu „B Bank“ in den Niederlanden. Diese Unstimmigkeiten seien so ungewöhnlich, dass der Kunde vor der Überweisung, die Richtigkeit der Kontodaten hätte prüfen müssen.

Praxistipp

Zwei Entscheidungen, die unterschiedlicher nicht hätten sein könnten. Nachfolgend einige Tipps:

• Unternehmen sollten ihre Systeme sorgfältig überwachen und keine Webmailer nutzen, was jedoch gerade bei Kleinunternehmen noch gängige Praxis ist.
• Im Falle einer Kompromittierung müssen Kunden sofort und umfassend informiert sowie gewarnt werden.
• Kunden wiederum sollten Rechnungs-E-Mails kritisch prüfen, insbesondere Layout und Zeichensetzung. Je höher der Rechnungsbetrag, desto sorgfältiger sollte die Überprüfung erfolgen.

Und zuletzt: Folgt man der ersten Entscheidung des OLG Schleswig bleibt für Unternehmen im B2C-Bereich nur der Weg des Rechnungsversandes per Post.