Ein 76-jähriger Rentner überweist gut 109.000 Euro für 42 Goldbarren – und das Geld landet bei Kriminellen, weil eine abgefangene E-Mail eine fremde Kontonummer trug. Wer in der Erwartung lebt, mit der Überweisung sei seine Pflicht erledigt, erlebt in solchen Fällen ein böses Erwachen: Das Geld ist weg, der Verkäufer fordert weiter, und niemand möchte den Schaden tragen. Genau diese Konstellation hatte das Landgericht Karlsruhe mit Urteil vom 20. Mai 2026 (Az. 8 O 266/25) zu entscheiden – und es entschied konsequent zu Lasten des Zahlenden.
Ich habe mich der Thematik, speziell der Problematik der Erfüllungswirkung beim CEO Fraud unter anderem in meinen Veröffntlichungen in Ferner, jurisPR-ITR 5/2026 Anm. 6 und Ferner, jurisPR-ITR 2/2025 Anm. 6 gewidmet.
Sachverhalt
Die klagenden Eheleute beauftragten einen Bekannten als Vertreter mit dem Ankauf von Feingoldbarren bei der beklagten Händlerin; der Vertreter einigte sich mündlich auf den Kauf von 42 Barren zum Gesamtpreis von 109.185 Euro. Anschließend erhielt der Kläger per E-Mail zwei Rechnungen, die den später postalisch übersandten Originalen äußerlich glichen, jedoch eine abweichende Bankverbindung auswiesen – ein Konto bei einer „O-Bank Zweigniederlassung Deutschland“. Auf dieses Konto überwies der Kläger im April 2023 in zwei Tranchen den vollen Betrag. Eine Lieferung erfolgte nie.
Im Prozess war zuletzt unstreitig, dass unbekannte Dritte die Kontodaten der Rechnungen manipuliert hatten, nachdem diese den Einflussbereich der Verkäuferin verlassen hatten. Der E-Mail-Header, der Aufschluss über den Angriffsweg hätte geben können, war nicht mehr vorhanden. Die Kläger verlangten in erster Linie Lieferung der Goldbarren, hilfsweise Schadensersatz in Höhe des verlorenen Betrages – und stützten sich dabei maßgeblich auf das Argument, die Verkäuferin hätte die Rechnungen verschlüsselt versenden müssen.
Keine Erfüllung trotz Zahlung
Im Zentrum steht zunächst die schlichte, aber folgenreiche Feststellung: Wer auf ein fremdes Konto überweist, erfüllt seine Kaufpreisschuld nicht. Nach § 362 Abs. 1 BGB erlischt die Geldschuld erst mit dem Leistungserfolg, und dieser tritt bei einer Überweisung erst ein, wenn der geschuldete Betrag dem Gläubiger vorbehaltlos gutgeschrieben ist. Eine Gutschrift auf einem Konto, das der Verkäuferin nicht gehört und ihr auch nicht zuzurechnen ist, bewirkt diesen Erfolg nicht. Auch eine Leistung an einen Dritten nach §§ 362 Abs. 2, 185 BGB schied aus, weil es an jeder Ermächtigung oder nachträglichen Genehmigung fehlte. Die Behauptung, das Empfängerkonto gehöre der Verkäuferin oder diese habe die manipulierte Mail selbst versandt, blieb ohne jeden Anhaltspunkt und damit unbeachtlich.
Damit blieb die Kaufpreisschuld bestehen – mit der bitteren Konsequenz, dass der Lieferanspruch der Kläger an der Einrede des nicht erfüllten Vertrages (§ 320 BGB) scheiterte. Bemerkenswert ist die prozessuale Pointe am Rande: Eine Verurteilung Zug um Zug schied aus, weil die Kläger eine eigene Zahlungspflicht ausdrücklich abgelehnt hatten und das Gericht nach § 308 ZPO an deren Antrag gebunden war.
Die Verlustgefahr liegt beim Schuldner
Der eigentliche dogmatische Kern der Entscheidung liegt in der Verteilung der Verlustgefahr bei der Geldübermittlung. Nach § 270 Abs. 1 BGB übermittelt der Schuldner Geld im Zweifel auf seine Gefahr; das Verlustrisiko des Übermittlungswegs trägt also der Zahlende, und zwar – wie das Gericht unter Berufung auf langjährige Rechtsprechung betont – auch dann, wenn per Überweisung gezahlt wird. Entscheidend ist, dass die Parteien keine abweichende Vereinbarung getroffen hatten. Selbst der Umstand, dass der Schuldner auf den ohnehin üblichen, risikoarmen Weg der Überweisung verwiesen wurde, lässt nach §§ 133, 157 BGB nicht den Schluss zu, der Gläubiger habe damit das Restrisiko eines zufälligen Verlusts übernehmen wollen.
Das Gericht prüft sodann die in Rechtsprechung und Literatur anerkannte Ausnahme, wonach die Verlustgefahr nach dem Rechtsgedanken der §§ 270 Abs. 3, 242 BGB auf den Gläubiger übergehen kann, wenn dieser sie durch ein allein seiner Sphäre zuzurechnendes Verhalten – etwa die Mitteilung einer falschen Kontonummer – geschaffen hat. Diese Ausnahme greift hier jedoch nicht: Die Kontodaten wurden erst manipuliert, als die Rechnungen den Zugriffsbereich der Verkäuferin bereits verlassen hatten. Eine seiner Sphäre zurechenbare Gefahrschaffung lag damit nicht vor.
Der „gänzlich unwahrscheinliche Kausalverlauf“
Besonders überzeugend ist die zweite Begründungslinie, mit der das Gericht eine Risikoverschiebung selbst dann verneint, wenn man sie im Ansatz erwägen wollte. Nach höchstrichterlicher Rechtsprechung scheidet eine Zurechnung aus, wenn die Gefahrerhöhung auf einem gänzlich unwahrscheinlichen Kausalverlauf beruht – ein Gedanke, der dem schadensrechtlichen Zurechnungsmaßstab entlehnt ist. Der Bundesgerichtshof hatte dies jüngst für das betrügerische Verfälschen einer bereits der Post übergebenen Sendung angenommen.
Das gezielte Abfangen, Verändern und unbemerkte Wiedereinspeisen einer E-Mail im Übertragungsweg – die klassische Man-in-the-Middle-Attacke – erfordert nach Auffassung des Gerichts derart hohe kriminelle Energie und technischen Sachverstand, dass dieser Verlauf noch unwahrscheinlicher erscheint als das Herausgreifen eines bereits eingeworfenen Briefes. Eine solche Tat hielt keine der Parteien im Vorfeld für möglich. Damit lässt sich der Schaden billigerweise weder der Verkäuferin zuordnen noch rechtfertigt er eine Verschiebung der gesetzlichen Gefahrtragung. Das Verlustrisiko bleibt, wo es das Gesetz verortet: beim zahlenden Schuldner.
Keine Pflicht zur Ende-zu-Ende-Verschlüsselung
Den zweiten großen Angriffspunkt der Kläger – die Verkäuferin hätte die Rechnungen verschlüsseln müssen – weist das Gericht sowohl auf zivilrechtlicher als auch auf datenschutzrechtlicher Ebene zurück. Eine vertragliche Nebenpflicht nach §§ 280 Abs. 1, 241 Abs. 2 BGB zur Ende-zu-Ende-Verschlüsselung bestand nicht. Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim geschäftlichen E-Mail-Versand existieren nicht; das geschuldete Sicherheitsniveau bemisst sich daher nach den berechtigten Sicherheitserwartungen des Verkehrs unter dem Gesichtspunkt der Zumutbarkeit.
Entscheidend war für das Gericht das tatsächliche Verhalten der Beteiligten. Die Kläger – vertreten durch einen 76-jährigen, im Internet ungeübten Rentner – hatten selbst zu keinem Zeitpunkt Wert auf gesicherte Übertragung gelegt: Sie verschickten unverschlüsselt eine Ausweiskopie, übersandten am Überweisungstag offen Rechnungs-, Kunden- und Kontodaten und nahmen sogar nach Entdeckung des Betrugs erneut unverschlüsselt Kontakt auf. In diesem Verhalten kommt die eigene, niedrige Sicherheitserwartung der Kläger zum Ausdruck – sie konnten von der Gegenseite kein höheres Schutzniveau verlangen, als sie selbst praktizierten. Das Gericht stellt klar, dass dies den Klägern nicht zum Vorwurf gemacht wird; es belegt aber, welcher Sorgfaltsmaßstab dem Vertragsverhältnis zugrunde lag.
Darüber hinaus betont das Gericht die strukturellen Grenzen der Verschlüsselungspflicht: Eine Ende-zu-Ende-Verschlüsselung lässt sich nicht einseitig durchführen, sondern setzt die aktive Mitwirkung des Empfängers und einen gesonderten, sicheren Schlüsselaustausch voraus. Sie hat sich im allgemeinen Geschäftsverkehr nicht durchgesetzt – illustriert durch die kaum genutzte „De-Mail“. Auch die Höhe des überwiesenen Betrages begründet keine gesteigerte Pflicht, denn die Sensibilität der Daten bemisst sich nicht an der Rechnungssumme.
Kein Anspruch aus Art. 82 DSGVO
Den Klägern half schließlich auch das Datenschutzrecht nicht – und hier setzt sich das Landgericht bewusst von der gegenteiligen Entscheidung des OLG Schleswig (Urteil vom 18.12.2024, 12 U 9/24, voon mir analyisert in Ferner, jurisPR-ITR 5/2026 Anm. 6) ab, das in einem vergleichbaren Fall einen Anspruch aus Art. 82 DSGVO bejaht hatte. Das Karlsruher Gericht verneint bereits die Eröffnung des sachlichen Anwendungsbereichs der Verordnung. Manipuliert wurden nicht personenbezogene Daten der Kläger, sondern die Bankverbindungsdaten der Verkäuferin – einer juristischen Person, die schon keine natürliche Person im Sinne des Art. 4 Nr. 1 DSGVO ist.
Der gedankliche Kern dieser Argumentation verdient Beachtung: Der Schaden entstand nicht durch eine Verletzung der Daten der Kläger, sondern setzte deren Integrität geradezu voraus. Nur weil die klägerischen Daten unverändert blieben, konnten die Täter die fremde IBAN platzieren und den Zahlungsfluss umlenken. Die personenbezogenen Daten der Kläger waren damit allenfalls zufällig betroffen – der Schaden aktiviert eine bloß zufällige Betroffenheit, statt aus einer Datenverletzung zu folgen. Damit fehlt es an einer den Schaden verursachenden Verarbeitung im Sinne der Verordnung.
Selbst bei unterstellter Anwendbarkeit, so das Gericht hilfsweise, läge kein Verstoß vor: Art. 24 DSGVO verlangt nur verhältnismäßige technische und organisatorische Maßnahmen und schreibt gerade kein bestimmtes Schutzniveau – und schon gar keine Ende-zu-Ende-Verschlüsselung – vor. Hinzu kommt, dass die Kläger durch die Bereitstellung ihrer E-Mail-Adresse ohne jeden Sicherheitsvorbehalt konkludent in die ungeschützte Übermittlung eingewilligt hatten. Und schließlich scheitert der Anspruch an der Kausalität: Solange unklar bleibt, ob der Angriff im System der Verkäuferin, beim Mitarbeiter, im Postfach des Empfängers oder erst während der Übertragung erfolgte, kann nicht festgestellt werden, dass eine Verschlüsselung den Schaden überhaupt verhindert hätte – bei einer Manipulation vor dem Versand etwa wäre lediglich eine bereits falsche Rechnung verschlüsselt übermittelt worden.
Fazit
Die Entscheidung verteilt das Risiko der „Man-in-the-Middle“-Betrugsfälle eindeutig aber nicht zwingend: Wer überweist, trägt die Verlustgefahr des Übermittlungswegs, und eine gefälschte E-Mail tilgt keine Schuld. Die erhoffte Rettungsleine über das Datenschutzrecht kappt das Landgericht Karlsruhe entschieden und stellt sich damit ausdrücklich gegen den Schleswiger Ansatz – Bankdaten eines Unternehmens öffnen den Anwendungsbereich der DSGVO nicht, und eine flächendeckende Verschlüsselungspflicht für geschäftliche E-Mails lehnt das Gericht ab. Für Käufer bleibt die ernüchternde Lehre, dass die Authentizität einer Zahlungsanweisung vor jeder Überweisung auf gesichertem Wege zu verifizieren ist; das wirtschaftliche Risiko einer abgefangenen Rechnung lässt sich nachträglich kaum noch auf die andere Seite verlagern. Bis eine höchstrichterliche Klärung des datenschutzrechtlichen Streits vorliegt, dürfte die Rechtsunsicherheit in dieser praktisch hochrelevanten Fallgruppe fortbestehen.
Im IT-Recht berät er mit Spezialisierung auf Softwarerecht samt KI, IT-Vertragsrecht und Cybersicherheit, regelmäßig unter Einbeziehung urheberrechtlicher Fragestellungen. Seine besondere Stärke liegt in der Verbindung juristischer und technischer Expertise als praktizierender Softwareentwickler.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter sowohl für Wirtschaftsstrafrecht als auch IT-Compliance und doziet speziell zu KI-Kompetenz und strategischem Denken an der FH Aachen; er ist fortgebildet in Kommunikationspsychologie und publiziert regelmäßig zu straf- und IT-rechtlichen Themen.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.