Das Urteil des Oberlandesgerichts Celle vom 17. November 2020 (Az. 3 U 122/20) beleuchtet die komplexen rechtlichen Aspekte im Zusammenhang mit CEO-Fraud, einer Betrugsmasche, bei der Kriminelle durch Täuschung Unternehmen und Banken zu unautorisierten Zahlungen bewegen. Das Urteil greift grundlegende Fragen zur Haftung von Zahlungsdienstleistern, zur Verantwortung von Kunden und zur gesetzlichen Risikoverteilung nach den §§ 675j, 675u und 676c BGB auf.
Sachverhalt
Der Kläger, ein Unternehmen, unterhielt ein Girokonto bei der beklagten Bank, wobei Zahlungen per unterschriebenem Überweisungsträger üblich waren. Am 31. Januar 2019 reichte ein unbekannter Täter einen gefälschten Überweisungsträger mit einer manipulierten Unterschrift des Geschäftsführers ein, der die Auszahlung von 19.831,76 Euro an ein fremdes Konto anwies. Trotz telefonischer Rückfrage der Bank bei einem Mitarbeiter des Klägers wurde die Zahlung ausgeführt.
Nach Entdeckung des Betrugs konnte die Buchung nicht mehr rückgängig gemacht werden. Die Bank lehnte eine Rückerstattung ab, woraufhin der Kläger auf Erstattung klagte.
Rechtliche Analyse
1. Nicht autorisierte Zahlung nach § 675u BGB
Das Gericht stellte fest, dass der Überweisungsträger nicht ordnungsgemäß autorisiert war, da die Unterschrift gefälscht war. Nach § 675u Satz 2 BGB ist der Zahlungsdienstleister verpflichtet, den Betrag einer nicht autorisierten Zahlung zu erstatten. Die gesetzliche Risikoverteilung legt die Verantwortung für die Prüfung der Autorisierung beim Zahlungsdienstleister, also der Bank, fest.
2. Vertragsrechtliche Besonderheiten und AGB
Im Zahlungsdiensterahmenvertrag war vereinbart, dass Überweisungen grundsätzlich nur durch die Unterschrift von zwei Bevollmächtigten autorisiert werden können. Die Bank führte die Überweisung jedoch trotz einer nur gefälschten Einzelsignatur aus. Der Hinweis auf allgemeine Geschäftsbedingungen der Bank, die Mitverschuldensregelungen enthalten, war unbeachtlich, da § 675u BGB als zwingendes Recht ein Abweichen in Bezug auf unautorisierte Zahlungen nicht erlaubt.
3. Haftungsausschluss nach § 676c BGB
Das Gericht lehnte den Haftungsausschluss der Bank gemäß § 676c Nr. 1 BGB ab, da die Fälschung des Überweisungsauftrags kein „ungewöhnliches und unvorhersehbares Ereignis“ darstellte. Die Bank hätte durch sorgfältige Prüfung und Rückfragen bei den autorisierten Personen die Fälschung erkennen können. Die gesetzliche Risikoverteilung darf nicht durch vertragliche Klauseln oder Interpretationen unterlaufen werden.
4. Mitverschulden des Kunden
Das Gericht prüfte, ob ein Mitverschulden des Klägers nach § 254 BGB vorlag, das den Erstattungsanspruch mindern könnte. Es stellte jedoch fest, dass der Kläger keine grob fahrlässigen Verhaltensweisen an den Tag legte. Der Mitarbeiter des Klägers hatte zwar die Echtheit der Überweisung nicht eigenständig überprüft, war jedoch durch unvollständige und irreführende Informationen der Bank in seiner Entscheidungsfindung eingeschränkt.
5. Rückgriffe auf allgemeine schuldrechtliche Vorschriften
Das Gericht stellte klar, dass die Haftung im Bereich unautorisierter Zahlungen vorrangig und abschließend durch die §§ 675u und 675v BGB geregelt ist. Ein Rückgriff auf § 280 Abs. 1 BGB ist daher ausgeschlossen, wenn die spezifischen Voraussetzungen dieser Vorschriften nicht erfüllt sind.
Best Practices für Unternehmen im Umgang mit CEO-Fraud
CEO-Fraud ist eine der gefährlichsten Formen des Social Engineering, die Unternehmen enorme finanzielle Verluste und Reputationsschäden zufügen kann. Effektive Prävention erfordert eine Kombination aus technischen, organisatorischen und personellen Maßnahmen. Hier sind einige bewährte Ansätze:
Schulungen und Sensibilisierung (Awareness-Programme)
Regelmäßige Schulungen für Mitarbeitende sind der Schlüssel, um das Bewusstsein für Betrugsmaschen wie CEO-Fraud zu schärfen.
- Rollenbasierte Schulungen: Führungskräfte und Mitarbeitende mit Zugang zu sensiblen Finanzdaten sollten spezifische Schulungen zu ihren Verantwortlichkeiten erhalten.
- Inhalte der Schulungen: Erkennung von Phishing-E-Mails, Merkmale gefälschter Zahlungsaufforderungen und Verhaltensregeln bei verdächtigen Anfragen.
- Praxisorientierte Übungen: Simulierte Phishing-Angriffe oder Szenarien für unübliche Zahlungsanfragen helfen, die Reaktionsfähigkeit zu testen.
Etablierung eines Mehr-Augen-Prinzips
- Genehmigungsprozesse: Keine Zahlung sollte von einer einzelnen Person freigegeben werden können. Implementieren Sie ein Mehr-Augen-Prinzip, bei dem Zahlungen durch mehrere autorisierte Personen geprüft werden.
- Unabhängige Prüfungen: Bei hohen Beträgen oder Auslandsüberweisungen sollte eine zusätzliche unabhängige Überprüfung stattfinden.
Technologische Schutzmaßnahmen
- E-Mail-Sicherheit: Implementieren Sie Technologien wie DMARC, SPF und DKIM, um gefälschte E-Mails zu erkennen und abzuwehren.
- Zwei-Faktor-Authentifizierung (2FA): Nutzen Sie 2FA für alle wichtigen Systeme und Finanztransaktionen.
- KI-basierte Anomalieerkennung: Systeme, die ungewöhnliche Transaktionen erkennen und warnen, können frühzeitig auf Betrugsversuche hinweisen.
Cyber-Versicherungen
Eine Cyber-Versicherung kann finanzielle Verluste abdecken, die durch Betrug oder Cyberangriffe entstehen.
- Krisenmanagement: Viele Versicherungen bieten Zugang zu spezialisierten Beratern für den Umgang mit Vorfällen.
- Abdeckung prüfen: Stellen Sie sicher, dass die Police spezifische Risiken wie CEO-Fraud, Phishing und andere Formen von Social Engineering abdeckt.
Klar definierte interne Richtlinien
- Kommunikationskanäle: Legen Sie verbindliche Regeln für Zahlungsanweisungen fest, z. B. keine Anweisungen über E-Mail ohne telefonische Verifizierung.
- Notfallprotokolle: Implementieren Sie Protokolle für den Fall eines Verdachts auf Betrug, einschließlich der sofortigen Benachrichtigung der IT-Abteilung und der Bank.
Kultur der Wachsamkeit fördern
- Offene Kommunikation: Mitarbeitende sollten ermutigt werden, verdächtige Aktivitäten ohne Angst vor Sanktionen zu melden.
- Belohnungen für Aufmerksamkeit: Anerkennung von Mitarbeitenden, die potenzielle Betrugsversuche frühzeitig erkennen, stärkt die Wachsamkeit.
Fazit zur Haftung bei CEO-Fraud
Die Entscheidung des OLG Celle macht deutlich, dass Zahlungsdienstleister eine zentrale Rolle bei der Verhinderung von Betrugsfällen wie CEO-Fraud spielen. Ihre Pflicht zur Prüfung von Zahlungsanweisungen und zur Einhaltung vertraglicher Vorgaben ist essenziell, um unberechtigte Belastungen zu verhindern. Für Unternehmen bleibt die Sensibilisierung von Mitarbeitenden und die Einführung sicherer interner Kontrollsysteme von zentraler Bedeutung. Das Urteil schafft Klarheit im Umgang mit den Haftungsfragen bei CEO-Fraud und stärkt die Position von Zahlungskunden im Konflikt mit Banken.
Das Urteil des OLG Celle stärkt den Schutz von Zahlungskunden und legt klare Maßstäbe für die Sorgfaltspflichten von Banken fest. Insbesondere die Verpflichtung zur sorgfältigen Prüfung von Überweisungsaufträgen wird hervorgehoben. Es unterstreicht zudem, dass die gesetzliche Risikoverteilung bei unautorisierten Zahlungen nicht durch AGB ausgehebelt werden kann.
Ein ernst zu nehmender Schutz vor CEO-Fraud erfordert dabei eine ganzheitliche Strategie: Die Kombination aus Mitarbeiterschulungen, strengen internen Prozessen, technologischen Schutzmaßnahmen und einer passenden Cyber-Versicherung kann die Risiken erheblich minimieren. Regelmäßige Überprüfung und Anpassung dieser Maßnahmen an neue Bedrohungen ist essenziell, um Unternehmen vor finanziellem Schaden und Reputationsverlust zu schützen.
- Urheberrecht und Werknachahmung: Künstler imitiert anderen Künstler - 6. Februar 2025
- Kein Schadensersatz für beschädigtes Gemälde – Kunstmarkt und Haftungsfragen im Fokus - 6. Februar 2025
- Generative KI als Waffe: Wie Staaten GenAI für Cyberkriminalität nutzen - 5. Februar 2025