Im B2B-Bereich trägt das Unternehmen, das durch eine Phishing-Mail irrtümlich den Betrag für eine Rechnung an einen falschen Dritten überweist, das Risiko hierfür (LG Rostock, Urt. v. 20.11.2024 – 2 O 450/24).
Die Klägerin, ein Bauunternehmen, hatte mit der Beklagten einen Vertrag über Maler- und Trockenbauarbeiten geschlossen. Beide Parteien waren Bauunternehmer.
Während der Bauarbeiten stellte die Klägerin Abschlagsrechnungen aus. Eine dieser Rechnungen über 37.730 EUR wurde an die Beklagte gesendet.
Später erhielt die Beklagte jedoch eine weitere E-Mail mit einer fast identischen Rechnung, jedoch mit einer geänderten Bankverbindung. Diese E-Mail war (mutmaßlich) manipuliert worden.
Die Beklagte überwies den Rechnungsbetrag auf das falsche Konto.
Die Klägerin forderte erneut zur Zahlung auf, was die Beklagte mit der Begründung verweigerte, sie habe bereits gezahlt.
Zu Unrecht, wie das LG Rostock entschied.
Denn ein treuwidriges Verhalten der Klägerin sei nicht erkennbar:
“Nach dem Einwand „dolo agit (…)” besteht kein Anspruch, wenn dasjenige, was verlangt wird, vom Gläubiger sogleich zurückgegeben werden müsste. Ein solches Verhalten wäre treuwidrig. (…)
Gegen die Verletzung einer Schutzpflicht spricht vorliegend schon die Überlegung, dass es dem beiderseitigen Parteiwillen entsprochen haben dürfte, für die Kommunikation zur Abwicklung des Vertrages E-Mails zu benutzen.
Dass E-Mails ein unsicherer Übertragungsweg und anfällig für externe Angriffe sind, ist seit Jahren allgemein bekannt. Wird E-Mail-Verkehr zwischen den Parteien genutzt, existieren grundsätzlich keine Vorgaben für Sicherheitsvorkehrungen insoweit. Zudem ist fraglich, ob es überhaupt in der Macht der Klägerin stand, ihr System weiter abzusichern und selbst, wenn das möglich gewesen sein sollte, ob nicht gleichwohl ein Angriff durch etwa Abfangen der E-Mail hätte erfolgreich durchgeführt werden können. Eine Pflichtverletzung lässt sich nach derzeitigem Stand auch nicht ohne Weiteres aus den Vorschriften der DSGVO ableiten, weil diese sich vom Anwendungsbereich auf den Schutz personenbezogener Daten bezieht. (…)"
Auch ein Mitverschulden der Klägerin schloss das Gericht aus:
“Aus § 254 Abs. 1 BGB folgt, dass in den Fällen, in denen bei der Entstehung des Schadens ein Verschulden des Beschädigten mitgewirkt hat, die Schadensersatzpflicht insbesondere davon ab, inwieweit der Schaden vorwiegend von dem einen oder dem anderen Teil verursacht worden ist.
Vorliegend ist die Verursachung für die fehlerhafte Überweisung ganz erheblich auf Seiten der Beklagten verortet, die deutlichen Hinweisen auf die Manipulation der erhaltenen E-Mail nicht nachging.
Entscheidend ist, dass die in der Anlage B1 vorgelegte E-Mail deutliche Anhaltspunkte für eine Manipulation durch Dritte erkennen lässt. So sind die Umlaute in der E-Mail nicht als Umlaut dargestellt, sondern mit der als HTML-Sonderzeichen, wie z.B. „Ü“ für „Ü“ oder „ “ für ein sog. „geschütztes Leerzeichen“. Hinzu kommt, dass der Beklagten jedenfalls hat auffallen können und müssen, dass sich die Bankverbindung im Vergleich zu den vorher – zuletzt im August desselben Jahres erfolgten – Zahlungen an die Klägerin geändert hatte.
Das gilt insbesondere für die geänderte Bank, die sich von „B ...kasse“ auf „B Bank“ änderte, bei der es sich um eine Bank mit Sitz in den Niederlanden handelt. Diese Umstände sind jedenfalls so ungewöhnlich, dass die Beklagte sich bei der Klägerin hätte vergewissern müssen, dass die Bankverbindung korrekt ist, bevor sie die Zahlung vornahm. (Vgl. OLG Karlsruhe, Urteil vom 27.7.2023 – 19 U 83/22, MMR 2023, 761, 763, Rn. 42, beck-online.)"
Anmerkung von RA Dr. Bahr:
Das LG Rostock schließt sich somit für den B2B-Bereich der Ansicht des OLG Karlsruhe an, vgl. unsere Kanzlei-News. v. 04.08.2024.
Für den B2C-Bereich hingegen soll etwas anderes gelten, siehe dazu die stark kritikbedürftige Entscheidung des OLG Schleswig, vg. unsere Kanzlei-News. v. 05.02.2025.