Im Rahmen einer zivilrechtlichen Auseinandersetzung hatte sich das OLG Karlsruhe auch mit den Sicherheitsvorkehrungen beim Versand von E-Mails im B2B-Bereich auseinanderzusetzen und entschied, dass die Nutzung des Sender Policy Frameworks (SFP-Eintrag) rechtlich nicht notwendig ist (OLG Karlsruhe, Urt. v. 27.07.2023 - Az.: 19 U 83/22).
Die Klägerin verlangte die Zahlung eines Kaufpreises für einen gebrauchten PKW, die Beklagte war die Käuferin. Bei den Parteien handelte es sich um Unternehmen.
Die Parteien schlossen den Vertrag. Danach erhielt die Beklagte eine E-Mail von der Beklagten, in der ein bestimmtes Bankkonto angegeben war. Die Beklagte überwies das Geld auf das benannte Konto.
Wenig später stellte sich jedoch heraus, dass die E-Mail aufgrund eines Hackerangriffs von einer unbefugten Person versandt worden war und die angegebene Bankverbindung gar nicht der Klägerin gehörte.
Die Klägerin verlangte daher vor Gericht weiterhin die Zahlung des Kaufpreises. Die Beklagte hielt dem entgegen, dass sie das Geld bereits entrichtet habe.
Das OLG Karlsruhe bejahte im Ergebnis das klägerische Begehren.
Zwar führe eine Zahlung an einen unbekannten Dritten nicht zum Erlöschen der Forderung. Jedoch müsse sich der jeweilige Gläubiger möglicherweise ein treuwidrige Verhalten entgegenhalten lassen, der zur Unbegründetheit des Anspruchs führe.
Im vorliegenden Fall konnte das Gericht jedoch keine solche Konstellation erkennen:
"Es liegt keine Nebenpflichtverletzung der Klägerin dergestalt vor, dass sie schuldhaft eine Ursache dafür gesetzt hätte (...). Für den dadurch verursachten Schaden, der darin besteht, dass die Beklagte durch Überweisung auf ein nicht der Klägerin zugeordnetes Konto die Forderung der Klägerin nicht zum Erlöschen bringen konnte (...), schuldet die Klägerin der Beklagten deshalb keinen Schadensersatz."
Die Beklagte machte geltend, dass die gegen technische Sicherheitsvorkehrungen verstoßen habe, da sie keinen SFP-Eintrag bei ihren Mail-Accounts vorgenommen habe:
"Die Beklagte behauptet, es sei zum Versand (...) der (...) E-Mail an sie durch einen Dritten dadurch gekommen, dass auf das E-Mail-Konto der Klägerin eine Hacking-Attacke ausgeführt worden sei, die das Ausspionieren der Geschäftsbeziehung der Parteien und der Rechnungs-E-Mail ermöglicht habe.
Dies sei durch mangelnde Vorsichtsmaßnahmen der Klägerin ermöglicht worden, wofür ein Anscheinsbeweis spreche; konkret nennt die Beklagte insoweit die nicht erfolgte Verwendung des „sender policy framework (SPF)“ bei der Kommunikation sowie eine unterlassene Verschlüsselung der pdf-Datei.
Nach den Ausführungen im angefochtenen Urteil, die die Beklagte sich im Berufungsverfahren zu Eigen gemacht hat, sei der Klägerin vorzuwerfen, dass sie keine Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung verwendet habe. Die Beklagte macht sinngemäß geltend, die Verwendung der genannten Verfahren sei im Geschäftsverkehr zwischen Unternehmen wie den Parteien des Rechtsstreits üblich und zu erwarten."
Dieser Ansicht folgte das OLG Karlsruhe jedoch nicht. Der Einsatz von SFP sei juristisch nicht zwingend:
"Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt es nicht; insbesondere ist der sachliche Anwendungsbereich der Datenschutz-Grundverordnung im Streitfall nicht eröffnet, da diese nur für die Verarbeitung von Informationen gilt, die sich auf eine natürliche Person beziehen (...).
Laut öffentlich zugänglichen Quellen (...) handelt es sich beim Verfahren Sender Policy Framework um ein Verfahren, mit dem geprüft werden kann, ob der sendende E-Mail-Server berechtigt ist, für die Domäne E-Mails zu verschicken. Endnutzer wie die Klägerin, die selbst keinen E-Mail-Server betreiben, haben mithin auf die Verwendung des Verfahrens überhaupt keinen Einfluss. Eine berechtigte Sicherheitserwartung des Verkehrs an ein Unternehmen wie die Klägerin, das seinen E-Mail-Verkehr über einen Diensteanbieter wie hier (...)abwickelt, auf Anwendung des SPF-Verfahrens kann schon deshalb nicht bestehen. (...)
Auch andere, von der Beklagten nicht ausdrücklich geltend gemachte Pflichtverletzungen der Klägerin sind nicht ersichtlich. Im unstreitigen Tatbestand des angefochtenen Urteils sind Feststellungen zur Art des von der Klägerin verwendeten Passwortes fürs E-Mail-Konto, dem Personenkreis, der davon Kenntnis hat und deren regelmäßiger Änderung sowie der Nutzung einer aktuellen Virensoftware und Firewall getroffen, die von der Klägerin im Berufungsverfahren - von der Beklagten unbestritten - vertieft wurden und die der Annahme einer Pflichtverletzung im Bereich des Passwortschutzes sowie des allgemeinen Schutzes der von der Klägerin verwendeten Computer entgegenstehen."
Und weiter:
"Selbst wenn man in einem der vorstehend behandelten Umstände eine Pflichtverletzung der Klägerin sehen wollte, fehlte es am Nachweis der Kausalität dieser Pflichtverletzung für den eingetretenen Schaden.
Nach dem übereinstimmenden Vortrag der Parteien ist nicht geklärt, wie es tatsächlich dazu kam, dass die zweite E-Mail mit der ge- oder verfälschten Rechnung die Beklagte erreichte. Ein erfolgreicher Angriff auf die Sphäre der Klägerin liegt im Hinblick darauf zwar nahe, dass zwischen den Parteien unstreitig ist, dass auch andere Kunden der Klägerin entsprechend veränderte Rechnungen empfingen. Wodurch dieser Angriff ermöglicht worden sein könnte, ist aber im Hinblick auf die unbekannte Vorgehensweise des oder der unbekannten Dritten gänzlich unklar. Entgegen der Auffassung der Beklagten spricht für eine hierfür kausale Pflichtverletzung der Klägerin auch kein Beweis ersten Anscheins."
