Eine per E-Mail versandte Rechnung, auf der Kriminelle die Bankverbindung manipuliert haben: Das Geld landete nicht beim eigentlichen Empfänger, sondern auf einem falschen Konto. Musste der Auftraggeber diesen Betrag nun ein zweites Mal zahlen? Das Oberlandesgericht Schleswig-Holstein hat eine wichtige Klarstellung zur E-Mail-Sicherheit im Geschäftsverkehr getroffen. Die Entscheidung klärt, wer das Risiko bei solcher Rechnungsmanipulation trägt. Zum vorliegenden Urteil Az.: 12 U 9/24 | | Kontakt
Das Wichtigste in Kürze
- Gericht: Oberlandesgericht Schleswig-Holstein
- Datum: 18.12.2024
- Aktenzeichen: 12 U 9/24
- Verfahrensart: Berufungsverfahren
- Rechtsbereiche: Werkvertragsrecht, Datenschutzrecht (DSGVO)
Beteiligte Parteien:
- Kläger: Eine Werkunternehmerin, die die erneute Zahlung einer Werklohnforderung verlangte.
- Beklagte: Eine Auftraggeberin, die die Zahlung ursprünglich auf ein manipuliertes Drittkonto leistete und die erneute Zahlung verweigerte.
Worum ging es in dem Fall?
- Sachverhalt: Eine Werkunternehmerin stellte ihrer Auftraggeberin eine Rechnung für erbrachte Bauleistungen. Die Auftraggeberin überwies den Betrag auf ein Konto, das sich als manipuliert herausstellte, weil die Rechnung zuvor von Kriminellen verändert worden war. Die Werkunternehmerin forderte daraufhin die erneute Zahlung des Betrags.
- Kern des Rechtsstreits: Es ging um die Frage, ob die Auftraggeberin den Werklohn erneut zahlen muss, nachdem die erste Zahlung aufgrund einer kriminellen Rechnungsmanipulation auf ein falsches Konto ging. Zentral war dabei, welche Partei das Risiko dieses finanziellen Verlusts trägt, insbesondere unter dem Aspekt möglicher Pflichtverletzungen im Bereich der Datensicherheit nach der Datenschutz-Grundverordnung (DSGVO).
Was wurde entschieden?
- Entscheidung: Das Gericht änderte das Urteil der Vorinstanz ab und wies die Klage der Werkunternehmerin ab. Das bedeutet, die Auftraggeberin muss den Werklohn nicht erneut zahlen.
- Begründung: Das Gericht stellte fest, dass die erste Zahlung auf das manipulierte Konto keine Erfüllung der Forderung darstellte, da das Geld nicht bei der Werkunternehmerin ankam und diese die Zahlung an Dritte nicht genehmigt hatte. Jedoch hat die Auftraggeberin einen Schadensersatzanspruch gegen die Werkunternehmerin aufgrund eines Verstoßes gegen die Datenschutz-Grundverordnung (DSGVO). Die Werkunternehmerin hatte beim Versand der Rechnung per E-Mail keine ausreichenden Sicherheitsmaßnahmen getroffen, insbesondere wurde keine Ende-zu-Ende-Verschlüsselung verwendet, was die Manipulation der Rechnung ermöglichte. Ein Mitverschulden der Auftraggeberin wurde verneint.
- Folgen: Die Werkunternehmerin trägt das alleinige Risiko des Schadens, der durch die mangelhaften Sicherheitsvorkehrungen beim E-Mail-Versand verursacht wurde. Das Urteil hat grundsätzliche Bedeutung für die Anforderungen an die E-Mail-Verschlüsselung im geschäftlichen Verkehr unter dem Gesichtspunkt der DSGVO bei Betrugsfällen durch Datenmanipulation.
Der Fall vor Gericht
OLG Schleswig-Holstein: Kein erneuter Zahlungsanspruch bei Rechnungsmanipulation – Werkunternehmerin haftet für unsicheren E-Mail-Versand
Was passiert, wenn eine per E-Mail versandte Rechnung von Kriminellen abgefangen, manipuliert und die Zahlung daraufhin auf einem falschen Konto landet? Muss der Auftraggeber dann den Rechnungsbetrag ein zweites Mal an den eigentlichen Rechnungssteller zahlen?…