Manipulierte Rechnung nach E-Mail Hacking – wer haftet?

Das Oberlandesgericht (OLG) Karlsruhe hat in einem aktuellen Urteil einen Fall behandelt, bei dem ein Hacker eine per E-Mail versandte Rechnung manipulierte. Der Sachverhalt wirft wichtige Fragen zur Haftung und zu angemessenen Sicherheitsmaßnahmen im geschäftlichen E-Mail-Verkehr auf.

Sachverhalt

Ein Autohändler verkaufte ein Fahrzeug und versandte nach der Übergabe die Rechnung per E-Mail an den Käufer. Kurz darauf erhielt der Käufer eine zweite E-Mail, die scheinbar vom selben Absender kam, aber eine manipulierte Rechnung mit einer anderen Bankverbindung enthielt. Der Käufer überwies daraufhin 13.500 Euro auf dieses Konto, das einem Hacker gehörte

Entscheidung des OLG Karlsruhe

Das Gericht entschied, dass durch die Zahlung an den Hacker keine Erfüllung der Kaufpreiszahlung eintrat. Zudem hat der Käufer keinen Schadensersatzanspruch gegen den Verkäufer

Beurteilung der Sicherheitsmaßnahmen

Das OLG stellte fest:

  1. Es existieren keine gesetzlichen Vorgaben zur E-Mail-Verschlüsselung im Geschäftsverkehr.
  2. Die Sicherheitserwartungen richten sich nach der Verkehrsanschauung und Zumutbarkeit.
  3. Eine Ende-zu-Ende-Verschlüsselung ist im geschäftlichen Verkehr nicht erwartbar.
  4. PDF-Dokumente müssen bei normalen Rechnungen nicht verschlüsselt werden1.

Ausreichende Sicherheitsmaßnahmen des Autohändlers

Das Gericht beurteilte die Sicherheitsmaßnahmen des Autohändlers als ausreichend:

Rechtliche Bewertung

Ablehnung des datenschutzrechtlichen Ansatzes

Das OLG Karlsruhe lehnte den Ansatz der Vorinstanz ab, die sich auf das Datenschutzrecht (insbesondere Art. 32 DSGVO) gestützt hatte. Das OLG argumentierte, dass im vorliegenden Fall keine personenbezogenen Daten betroffen seien und die DSGVO daher keine Rolle spiele

Prüfung vertraglicher Nebenpflichten

Das Gericht prüfte, ob der Autohändler eine vertragliche Nebenpflicht gemäß § 241 Abs. 2 BGB verletzt hatte. Es kam zu dem Schluss, dass die getroffenen Sicherheitsmaßnahmen den berechtigten Sicherheitserwartungen im Geschäftsverkehr entsprachen

Praxisrelevanz

Das Urteil des OLG Karlsruhe setzt einen wichtigen Maßstab für die Beurteilung von IT-Sicherheitsmaßnahmen im geschäftlichen E-Mail-Verkehr:

  1. Unternehmen müssen nicht jede denkbare Sicherheitsmaßnahme treffen.
  2. Es genügt, wenn die im Verkehr erwartbaren und zumutbaren Maßnahmen ergriffen werden.
  3. Die Beurteilung orientiert sich nicht primär am Stand der Technik oder BSI-Empfehlungen, sondern an den Erwartungen des Rechtsverkehrs.

Dieses Urteil wird voraussichtlich in Zukunft häufig als Argumentationsgrundlage herangezogen werden. Es ist jedoch zu erwarten, dass die Rechtsprechung im IT-Sicherheitsrecht sich weiterentwickeln und möglicherweise zu abweichenden Bewertungen kommen wird. Insbesondere könnten folgende Aspekte in zukünftigen Fällen relevant werden:

Unternehmen sollten trotz dieses Urteils weiterhin angemessene Sicherheitsmaßnahmen für ihre E-Mail-Kommunikation implementieren, um Risiken zu minimieren und im Streitfall eine gute Ausgangsposition zu haben.

Würdigung

Das Urteil des OLG Karlsruhe liest sich gut aus Sicht des Gläubigers, der eine Rechnung versandt und die vom Verkehr zu erwartenden Sicherheitseinstellungen getroffen hat. Zwei-Faktor-Authentifizierung wurde im Urteil des OLG Karlsruhe nur als Nebenkriegsschauplatz behandelt. Tatsächlich kommt es doch nur darauf an, um Mailkonten zu schützen – Ende-zu-Ende-Verschlüsselung, Virenschutzsoftware oder Firewalls setzen an ganz anderen Punkten an, die für die E-Mail-Sicherheit nicht entscheidend sind. Nur eine Multi-Faktor-Authentifizierung, ggf. auch über einen yubikey Hardware-Token, kann den Schutz vor Zugriffen Dritter sicherstellen. Wir halten daher das Urteil des OLG Karlsruhe zwar für beachtenswert. Wegweisend ist das Urteil aber nicht.