Für E-Mail-Rechnungen an Verbraucher genügt eine Transportverschlüsselung, eine Ende-zu-Ende-Verschlüsselung ist hingegen nicht erforderlich (LG Karlsruhe, Urt. v. 20.05.2026 - Az.: 8 O 266/25).
Das klägerische Ehepaar bestellte bei der Beklagten insgesamt 42 Goldbarren im Wert von rund 110.000,- EUR. Die Bestellung kam über einen gemeinsamen Bekannten zustande.
Die Kläger erhielten per E-Mail Rechnungen, die wie echte Rechnungen der Verkäuferin aussahen. Allerdings war darin eine andere Bankverbindung angegeben.
Die Kläger überwiesen den gesamten Kaufpreis auf dieses fremde Konto. Später stellte sich heraus, dass unbekannte Dritte die Rechnungen manipuliert und die Kontodaten ausgetauscht hatten. Die Verkäuferin erhielt kein Geld und lieferte die Goldbarren nicht.
Die Kläger hingegen verlangten die Lieferung und klagten.
Das LG Karlsruhe bewertete die Klage jedoch als unbegründet.
Eine Überweisung auf das falsche Konto stelle keine Erfüllung des Kaufpreises dar. Eine Zahlung wirke nur dann schuldbefreiend, wenn das Geld tatsächlich beim Verkäufer eingehe. Da das Konto nicht der Beklagten gehörte, sei kein Leistungserfolg eingetreten.
Grundsätzlich trage nach dem Gesetz der Käufer das Risiko, wenn bei einer Überweisung auf dem Weg zum Empfänger etwas schiefgehe. Eine Ausnahme komme nur in Betracht, wenn der Verkäufer die falschen Kontodaten selbst verursacht habe. Das sei hier aber nicht der Fall gewesen, weil unbekannte Dritte die E-Mail verfälscht hätten.
Eine Pflicht der Beklagten, Rechnungen nur mit einer besonderen Ende-zu-Ende-Verschlüsselung zu versenden, habe nicht bestanden. Weder sei eine solche Sicherheitsmaßnahme vereinbart gewesen noch entspreche sie dem üblichen Geschäftsverkehr:
"Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt es nicht (…). Welches Maß an Sicherheitsvorkehrungen von der Beklagten zu fordern war, bestimmt sich daher nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (ebd.). Dabei muss berücksichtigt werden, welche Erwartungen konkret die jeweiligen Vertragspartner tatsächlich haben.
Im Rahmen der informatorischen Anhörung gab der Kläger zu 1 selbst an, dass er von dem beauftragten Freund angewiesen worden sei, die E-Mail-Adresse mitzuteilen, damit alles geschickt werden könne. Er sollte auch eine Kopie des Personalausweises mitschicken.
Dass die Kläger hier ihrerseits besonderen Wert auf sichere Übertragungswege gelegt hätten, ergibt sich daraus nicht, obwohl gar eine Ausweiskopie mit übersandt wurde. Letztlich war es auch der Kläger zu 1, der nach Erstattung einer Anzeige zur Einleitung eines Ermittlungsverfahrens nochmal unverschlüsselten Kontakt mit der Beklagten per E-Mail am 14.04.2026 (…) aufgenommen hatte.
Selbst in Kenntnis des Umstandes, dass die in der E-Mail abgesandten Rechnungen „abgegriffen“ worden waren und die IBAN ausgetauscht wurde, war es der Kläger zu 1, der in seiner E-Mail wesentliche Informationen zum bisherigen Verfahrensstand mit sensiblen Daten an die Beklagte übersandte und hierin unter Nennung seiner privaten Postadresse um Übersendung der schriftlichen Originalrechnungen per Brief bat.
Mit anderen Worten hatten die Kläger selbst zu einem Zeitpunkt, als sie schon offensichtlich Opfer einer Straftat wurden, noch keine Notwendigkeit einer verschlüsselten Kommunikation gesehen. Offenbar wird dies letztlich auch darin, dass der Kläger zu 1 am Tag der Überweisung am 05.04.2023 eine unverschlüsselte E-Mail (…) an die Beklagte übersandte, die zum Inhalt sowohl die jeweiligen Rechnungsnummern, als auch die Kundennummer, den Klarnamen und auch die absendende Bank mit IBAN und BIC enthält. Dabei kann ihnen hieraus kein Vorwurf gemacht werden, denn es obliegt im Wesentlichen den Klägern, welche Sicherungsvorkehrung sie in ihren Geschäften für erforderlich halten, nur verdeutlicht dies, dass die Kläger im Vorfeld unter keinen Umständen die Erwartungshaltung gehegt haben konnten, dass die Rechnungen mit besonderer Verschlüsselungstechnik per E-Mail zu übersenden seien."
Auch ein Anspruch auf Schadensersatz nach der DSGVO bestehe nicht. Die manipulierten Daten hätten nicht die persönlichen Daten der Kläger betroffen, sondern lediglich die Bankverbindung der Beklagten. Deshalb sei der Anwendungsbereich der DSGVO nicht eröffnet.
Anmerkung von RA Dr. Bahr:
Das LG Karlsruhe widerspricht damit für den B2C-Bereich der stark kritisierten Entscheidung des OLG Schleswig, vgl. unsere Kanzlei-News. v. 05.02.2025. Das OLG Schleswig hatte eine reine Transportverschlüsselung als nicht ausreichend angesehen
Für den B2B-Bereich hingegen verneint die Rechtsprechung eine Ende-zu-Ende-Verschlüsselung, vgl. das OLG Karlsruhe an (Kanzlei-News. v. 04.08.2024) und das LG Rostock (News v. 26.02.2025).