Haftung von Unternehmen bei Phishing und CEO-Fraud

Aktuelle Rechtsprechung und juristische Maßstäbe beim CEO-Fraud: Phishing und CEO-Fraud gehören inzwischen zum traurigen Repertoire professionell organisierter Cyberkriminalität. Unternehmen werden nicht nur zur Zielscheibe, sondern zunehmend auch zum Einfallstor für Zahlungsströme, die auf Basis manipulierter Kommunikation initiiert wurden.

Dabei stellt sich für das geschädigte Unternehmen regelmäßig die Frage: Wer trägt die Verantwortung für den Abfluss der Gelder? Ist das Unternehmen als Opfer verpflichtet, die Verluste zu tragen – oder haften Banken, Dienstleister oder gegebenenfalls sogar handelnde Mitarbeiter persönlich?

Dieser Beitrag widmet sich der Haftungslage des Phishing- bzw. CEO-Fraud-Opfers. Dabei wird auch die verknüpfte Frage der Sicherheitsanforderungen betrachtet, insbesondere im digitalen Zahlungsverkehr und der elektronischen Kommunikation. Grundlage sind zahlreiche aktuelle Entscheidungen aus der Instanzrechtsprechung, ergänzt durch dogmatische Überlegungen und den Blick auf europarechtliche Vorgaben aus der PSD2 (Zahlungsdiensterichtlinie).

I. Technischer Ausgangspunkt: Phishing als Vorstufe zum CEO-Fraud

Während klassisches Phishing häufig auf die Erlangung individueller Zugangsdaten zielt, nutzt CEO-Fraud eine weitreichendere Strategie des Social Engineering: Die Täter kombinieren technische Täuschung mit gezielter Manipulation menschlicher Abläufe in Unternehmen. Typisch ist die Vortäuschung einer internen Weisung von der Geschäftsführung, häufig angereichert durch vorherige Recherchen über Abläufe, Ansprechpartner und verwendete Sprachmuster.

Oft sind solche CEO-Fraud-Attacken nur durch ein vorheriges Phishing erfolgreich, mit dem sich Zugang zu internen Informationen, E-Mail-Konten oder Systemen verschafft wurde. Im Ergebnis steht dann nicht selten eine Auslandsüberweisung hoher Summen – autorisiert durch Mitarbeiter, die sich einer realitätsnah gefälschten Weisung beugen. Juristisch bedeutsam ist deshalb die Frage, ob das Unternehmen diese „Autorisierung“ gegen sich gelten lassen muss – und ob eine haftungsausschließende grobe Fahrlässigkeit vorliegt.

II. Maßgeblicher Rechtsrahmen: § 675u BGB als zentrales Haftungsregime

Zivilrechtlich ist der Maßstab klar: Nach § 675u Satz 2 BGB ist eine nicht autorisierte Zahlung zurückzuerstatten. Die Autorisierung ist gemäß § 675j Abs. 1 BGB nur dann wirksam, wenn der Zahler sie persönlich oder durch einen wirksam Bevollmächtigten erteilt hat. Das bedeutet, dass ein Zahlungsvorgang, der durch Täuschung oder Fälschung erlangt wurde, grundsätzlich nicht zulasten des Zahlungspflichtigen geht – es sei denn, diesem ist ein grobes Verschulden nachzuweisen (§ 675v Abs. 3 BGB).

Damit ist der juristische Fokus auf zwei Punkte gerichtet:

• War die Zahlung autorisiert?
• Liegt grobe Fahrlässigkeit vor, die den Erstattungsanspruch ausschließt oder einschränkt?

III. Autorisierung und Rechtscheinhaftung: Enge Grenzen

Gerichte tendieren zunehmend dazu, den Begriff der Autorisierung im Sinne von § 675j BGB eng auszulegen. Weder ein gefälschtes Fax mit Unterschrift (LG Karlsruhe, BKR 2019, 151) noch eine E-Mail mit angeblich vom Geschäftsführer autorisiertem Überweisungsträger (LG Düsseldorf, BKR 2019, 154) stellen eine wirksame Autorisierung dar, wenn die Handlung auf einer Täuschung beruht.

Auch eine Rechtscheinhaftung wird restriktiv gehandhabt. So lehnt das LG Heilbronn (Urt. v. 02.04.2024 – Bm 6 O 378/23) die Zurechnung einer Transaktion über Apple Pay ab, wenn diese über eine gefälschte Login-Maske und Social-Engineering-Angriffe erschlichen wurde. Eine täuschungsbedingt erzeugte Bestätigung stellt danach keine wirksame Willenserklärung dar. Gleiches gilt bei TAN-Eingaben in manipulierten Webseiten oder Anwendungen: Das LG Berlin (BeckRS 2009, 28142) sah die Eingabe mehrerer TANs zur vermeintlichen PIN-Bestätigung nicht als zurechenbares Verhalten.

IV. Grobe Fahrlässigkeit – juristisch und praktisch komplex

Während einfache Fahrlässigkeit nicht ausreicht, um den Erstattungsanspruch nach § 675u BGB auszuschließen, führt grobe Fahrlässigkeit dazu, dass der Zahlungsdienstleister den Schaden nicht erstatten muss. Die Hürde ist hoch – zu Recht. Denn in den typischen Fällen handelt es sich um systematisch geplante Täuschungshandlungen, die auf menschliche Reaktionen zielen.

Das LG Köln (BKR 2024, 339) verneinte ein grob fahrlässiges Verhalten, als ein Bankkunde unter dem Eindruck eines Call-ID-Spoofing einem vermeintlichen Bankmitarbeiter eine Registrierung per pushTAN bestätigte. Die Beschreibung „Registrierung Karte“ in der App sei derart vage, dass selbst ein aufmerksamer Nutzer in der Situation nicht erkennen könne, dass er gerade Apple Pay auf einem fremden Gerät freischaltet. Ebenso betonte das Gericht die Überrumpelungssituation, in der die Entscheidung getroffen wurde – ein Aspekt, den auch das LG Heilbronn ausdrücklich aufgriff.

Auch wenn Gerichte vereinzelt höhere Sorgfaltsanforderungen an die Nutzer formulieren, wird doch regelmäßig anerkannt, dass selbst sensible Systeme manipulierbar sind – und Opfer sich nicht zwingend als unvorsichtig qualifizieren lassen (vgl. LG Nürnberg-Fürth, BeckRS 2008, 26304; KG Berlin, NJOZ 2010, 2164).

V. Bedeutung interner Sicherheitsmaßnahmen

Besonders in Fällen von CEO-Fraud stellt sich die Frage nach der internen Organisation im Unternehmen. War der Transfer durch einen ausreichend autorisierten Mitarbeiter veranlasst – oder wurde das Unternehmen getäuscht?

Gerichte prüfen hier differenziert:

• Liegt eine wirksame Vollmacht vor?
• Wurde ein sicheres Verfahren (etwa 4-Augen-Prinzip) etabliert?
• Hat die Bank ihre Sorgfaltspflichten erfüllt?

Im Fall des LG Karlsruhe (BKR 2019, 151) war eine interne Mitarbeiterin – nicht zeichnungsberechtigt – auf eine E-Mail hereingefallen, die sie zur Auslösung einer Überweisung veranlasste. Der Überweisungsauftrag wurde mit gefälschter Unterschrift eingereicht. Das Gericht verneinte die Autorisierung und wies die Haftung der Klägerin für die Tat ihrer Mitarbeiterin zurück. Zugleich wurde der Bank vorgeworfen, den Auftrag trotz erkennbarer Auffälligkeiten (fehlende Originalunterschrift, hohe Summe) nicht zurückgewiesen zu haben.

VI. Mitverschulden des Unternehmens – Haftungsrisiken bei Organisationsversagen

Ein Mitverschulden (§ 254 BGB) wird vor allem dann diskutiert, wenn das Unternehmen Sicherheitsvorkehrungen grob vernachlässigt oder Warnsignale ignoriert hat. Besonders relevant ist dies bei der internen Gestaltung von Zahlungsfreigaben und E-Mail-Sicherheit.

Ein bemerkenswertes Beispiel ist die Entscheidung des OLG Karlsruhe (MMR 2023, 761), bei dem es um manipulierte Zahlungsinformationen in einer E-Mail ging. Das Gericht stellte klar: Selbst wenn das Unternehmen Sicherheitsmaßnahmen trifft, können bei groben Versäumnissen (z. B. fehlende 2FA, schwache Passwörter, keine Transportverschlüsselung) Schadenersatzansprüche gegen den Gläubiger entstehen – allerdings nicht im Wege der Leistungserfüllung, sondern über § 242 BGB als dolo-agit-Einwendung.

Die Haftung für Phishing- und CEO-Fraud-Schäden wird von der Rechtsprechung zunehmend differenziert betrachtet. Der Erstattungsanspruch gegen Banken besteht regelmäßig, sofern keine wirksame Autorisierung oder grobe Fahrlässigkeit vorliegt. Für Unternehmen heißt das: Nur wer nachweisen kann, dass er seine Organisationspflichten ernst genommen hat, wird im Ernstfall nicht auf den Schäden sitzen bleiben. Der rechtssichere Umgang mit digitalem Zahlungsverkehr ist kein technisches, sondern ein ganz wesentliches Führungsproblem – mit haftungsrechtlicher Dimension.

VII. Ausblick: Compliance, Cybersicherheit und rechtliche Risikominimierung

Die aktuelle Judikatur macht deutlich: Die Rechtsprechung neigt – mit gutem Grund – dazu, die Opfer von digitalem Betrug zu schützen, solange kein klarer Pflichtverstoß nachweisbar ist. Dennoch ergibt sich für Unternehmen eine faktische Verpflichtung, ihre internen Kontrollsysteme, IT-Sicherheit und Schulungsmaßnahmen regelmäßig zu überprüfen und dokumentiert zu verbessern. Denn grobe Fahrlässigkeit kann dort beginnen, wo bekannte Sicherheitslücken über längere Zeit hingenommen werden oder risikobehaftete Kommunikationswege (z. B. unverschlüsselte Mails ohne Absenderverifikation) dauerhaft zum Standard gehören.

Wer als Unternehmen heute Zahlungsverkehr ohne Mehr-Faktor-Autorisierung betreibt oder E-Mail-Kommunikation ohne technische Mindeststandards führt, bewegt sich auf einem schmalen Grat. Die rechtliche Verantwortung mag im Ernstfall auf Seiten des Zahlungsdienstleisters liegen – die wirtschaftlichen Folgen und das Reputationsrisiko treffen jedoch stets das Unternehmen.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht und widmet sich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht - mit Schwerpunkten in Cybercrime, Cybersecurity, Softwarerecht und Managerhaftung. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• Keine Haftung der Bank bei grober Fahrlässigkeit des Kunden - 20. Juni 2025
• Strafzumessung bei Änderung des gesetzlichen Strafrahmens - 20. Juni 2025
• Fahrlässige Verletzung der Instandhaltungspflichten bei gefördertem Wohnraum - 20. Juni 2025