In Zeiten, in denen nahezu alles über den Mailverkehr stattfindet, stellt sich die Frage nach der Sicherheit von E-Mails. Welche Vorkehrungen müssen Unternehmen treffen, um einen sicheren Geschäftsverkehr zu gewährleisten? Wem ist ein Hackerangriff zuzurechnen? Wie genau müssen Empfänger:innen die bei ihnen ankommenden Mails auf Richtigkeit überprüfen? Mit diesen Fragen beschäftigten sich das Landgericht Mosbach und das Oberlandesgericht Karlsruhe. Dabei kamen die Gerichte zu ganz unterschiedlichen Auffassungen.
Das Wichtigste in Kürze
✅ Der Inhalt einer E-Mail entscheidet über die Sicherheitsanforderungen
✅ Empfänger:innen einer offensichtlich kuriosen E-Mail sollten sich aktiv nach der Richtigkeit erkunden
✅ Vermeintliche Absender:innen einer Hacker-Mail müssen sich deren Inhalt nicht zurechnen lassen
✅ Die Zahlung auf eine Hacker-Mail wird Gläubiger:innen nicht zugerechnet
Autokauf mit elektronischem Vertragsschluss
In dem Fall, der zunächst vor dem Landgericht Mosbach verhandelt wurde, geht es um 2 Unternehmen. Zwischen den beiden wurde im Oktober 2021 ein Kaufvertrag über ein Auto zum Preis von ca. 13.000 € geschlossen. Nachdem sich die Parteien einig waren, schickte der Kläger (der Verkäufer) dem Beklagten (dem Käufer) um 11:44 Uhr eine E-Mail mit der Rechnung über das Auto zu.
Um 11:46 Uhr, also 2 Minuten später, erreichte den Käufer eine zweite E-Mail. In dieser wurde auch wieder eine Rechnung für den Autokauf angehängt. Die E-Mail stammte (soweit ersichtlich) von der E-Mail-Adresse des Verkäufers. Sie enthielt allerdings einige Sprachfehler.
So wurde der Käufer gesiezt, obwohl sich Verkäufer und Käufer in den Verhandlungen durchgehend geduzt hatten. Zudem wurde sich am Ende der Mail für den Kauf des Teppichs bedankt, was offensichtlich nicht zum Vertragsschluss passte.
Besonders gravierend war allerdings, dass in der Fußzeile eine andere Bankverbindung angegeben war als in der Kopfzeile und als in der ersten Mail von 11:44 Uhr. Der Käufer überwies dennoch nichtsahnend den vereinbarten Kaufpreis auf das in der Fußzeile angegebene Konto. Dass dieses nicht dem Verkäufer, sondern einem Hacker gehörte, fiel erst dann auf, als der Verkäufer 2 Wochen später die Kaufpreiszahlung anmahnte.
Landgericht Mosbach nimmt Erfüllung des Vertrages an
Das Landgericht Mosbach hat in seiner Entscheidung vom 24.05.2022 zugunsten des Käufers entschieden. Der Anspruch auf Kaufpreiszahlung, welcher sich gemäß § 433 II BGB aus dem zwischen den Parteien geschlossenen Kaufvertrag ergibt, sei erfüllt worden.
LG Mosbach
Der Käufer hat durch die Zahlung des Kaufpreises an das in der manipulierten Rechnung angegebene Konto laut LG Mosbach seine Vertragspflichten erfüllt (§ 362 BGB).
Das Landgericht geht also davon aus, dass sich der Verkäufer die Zahlung an den Dritten zurechnen lassen muss. Das soll sich daraus ergeben, dass die Schutzvorrichtungen, die der Verkäufer genutzt hat, nicht ausreichend waren. So habe er entgegen einschlägiger Richtlinien die E-Mails nicht gesondert gesichert. Dies hätte er z. B. durch eine Ende-zu-Ende-Verschlüsselung erreichen können.
Der Verkäufer hatte seine IT und seinen Computer “nur” durch eine Sicherheitssoftware geschützt. Den Zugang zum E-Mail-Konto hat er mit Passwörtern geschützt, die sich alle 2 Wochen ändern. Die Situation sei vergleichbar mit einer Situation, nach der der Käufer an einen Quittungserbringer (§ 370 BGB) leisten würde.
Der Käufer sei dagegen nicht verpflichtet, tiefere Nachforschungen über die Herkunft und Vertrauenswürdigkeit einer E-Mail anzustellen.
OLG Karlsruhe sieht keine Pflichtverletzung auf Seiten des Verkäufers
Das OLG Karlsruhe hat demgegenüber die gänzlich konträre Einschätzung in seinem Urteil vom 27.07.2023 vertreten. Er geht nicht davon aus, dass der Käufer durch die Zahlung des Kaufpreises an den Dritten seine vertraglichen Pflichten erfüllt hat. Insbesondere liege kein Fall des § 362 II BGB vor. Dies habe das LG fälschlich angenommen.
OLG Karlsruhe
Der Verkäufer hat laut dem OLG Karlsruhe durch das Versenden der E-Mail keine Pflicht verletzt. In Betracht komme hier allenfalls die Verletzung einer Nebenpflicht.
Nebenpflichten sind Pflichten, die bei der Durchführung des Vertrages die Parteien zur Rücksicht auf die Rechte und Rechtsgüter der jeweils anderen Partei verpflichten. Sie treten damit zur Hauptleistungspflicht (z. B. Kaufpreiszahlung) hinzu.
Eine Nebenpflicht könnte z. B. in der Verschlüsselung der E-Mails bestehen. Anders als das LG Mosbach hat das OLG Karlsruhe hier aber keine entsprechende Pflicht gesehen. Die vom LG Mosbach herangezogene Richtlinie, aus der sich eine Pflicht zur Verschlüsselung der E-Mails ergeben sollte, sei in diesem Fall nicht einschlägig. Die Richtlinie konkretisiere die DSGVO. Diese ist hier aber gerade nicht anzuwenden, da es sich bei dem Inhalt der E-Mails nicht um personenbezogene Daten handele.
Insgesamt sei der Inhalt der E-Mail nicht in besonderem Maße schutzwürdig. Es handele sich bei der Übersendung einer Rechnung nicht um die Offenbarung von Geschäftsgeheimnissen oder ähnlich dezidierte Informationen, sodass an die Versendung keine besonderen Sicherheitsstandards zu stellen sind.
Selbst wenn es aber einen Schadensersatzanspruch des Käufers gegen den Verkäufer gäbe, so wäre dieser laut dem OLG, um ein nicht unerhebliches Mitverschulden zu kürzen. Der Käufer hätte sehen müssen, dass die manipulierte E-Mail diverse Sprachfehler enthielt und die Bankdaten unterschiedlich waren. Im Endeffekt sei der Käufer nun also dem Verkäufer weiterhin zur Zahlung des Kaufpreises verpflichtet.
Die Sicherheitsanforderungen an Geschäftsmails können variieren
Nach dem Urteil des Oberlandesgerichts sind also die Sicherheitsanforderungen an Geschäftsmails variabel. Eine Ende-zu-Ende-Verschlüsselung könne insbesondere bei einfachen Geschäftsmails nicht vorausgesetzt werden.
Enthalten E-Mails aber personenbezogene Daten oder werden in ihnen Geschäftsgeheimnisse besprochen, dann können andere Standards gelten. Merke: Als Empfänger:in von Geschäftsmails sollte man daher aufmerksam sein und im Zweifel lieber noch einmal nachfragen.