OLG Celle zur Haftung der Bank bei CEO-Fraud

Das Urteil des Oberlandesgerichts Celle vom 17. November 2020 (Az. 3 U 122/20) beleuchtet die komplexen rechtlichen Aspekte im Zusammenhang mit , einer Betrugsmasche, bei der Kriminelle durch Täuschung Unternehmen und Banken zu unautorisierten Zahlungen bewegen. Das Urteil greift grundlegende Fragen zur Haftung von Zahlungsdienstleistern, zur Verantwortung von Kunden und zur gesetzlichen Risikoverteilung nach den §§ 675j, 675u und 676c BGB auf.

Sachverhalt

Der Kläger, ein Unternehmen, unterhielt ein Girokonto bei der beklagten Bank, wobei Zahlungen per unterschriebenem Überweisungsträger üblich waren. Am 31. Januar 2019 reichte ein unbekannter Täter einen gefälschten Überweisungsträger mit einer manipulierten Unterschrift des Geschäftsführers ein, der die Auszahlung von 19.831,76 Euro an ein fremdes Konto anwies. Trotz telefonischer Rückfrage der Bank bei einem Mitarbeiter des Klägers wurde die Zahlung ausgeführt.

Nach Entdeckung des Betrugs konnte die Buchung nicht mehr rückgängig gemacht werden. Die Bank lehnte eine Rückerstattung ab, woraufhin der Kläger auf Erstattung klagte.

Rechtliche Analyse

1. Nicht autorisierte Zahlung nach § 675u BGB

Das Gericht stellte fest, dass der Überweisungsträger nicht ordnungsgemäß autorisiert war, da die Unterschrift gefälscht war. Nach § 675u Satz 2 BGB ist der Zahlungsdienstleister verpflichtet, den Betrag einer nicht autorisierten Zahlung zu erstatten. Die gesetzliche Risikoverteilung legt die Verantwortung für die Prüfung der Autorisierung beim Zahlungsdienstleister, also der Bank, fest.

2. Vertragsrechtliche Besonderheiten und AGB

Im Zahlungsdiensterahmenvertrag war vereinbart, dass Überweisungen grundsätzlich nur durch die Unterschrift von zwei Bevollmächtigten autorisiert werden können. Die Bank führte die Überweisung jedoch trotz einer nur gefälschten Einzelsignatur aus. Der Hinweis auf allgemeine Geschäftsbedingungen der Bank, die Mitverschuldensregelungen enthalten, war unbeachtlich, da § 675u BGB als zwingendes Recht ein Abweichen in Bezug auf unautorisierte Zahlungen nicht erlaubt.

3. Haftungsausschluss nach § 676c BGB

Das Gericht lehnte den Haftungsausschluss der Bank gemäß § 676c Nr. 1 BGB ab, da die Fälschung des Überweisungsauftrags kein „ungewöhnliches und unvorhersehbares Ereignis“ darstellte. Die Bank hätte durch sorgfältige Prüfung und Rückfragen bei den autorisierten Personen die Fälschung erkennen können. Die gesetzliche Risikoverteilung darf nicht durch vertragliche Klauseln oder Interpretationen unterlaufen werden.

4. Mitverschulden des Kunden

Das Gericht prüfte, ob ein Mitverschulden des Klägers nach § 254 BGB vorlag, das den Erstattungsanspruch mindern könnte. Es stellte jedoch fest, dass der Kläger keine grob fahrlässigen Verhaltensweisen an den Tag legte. Der Mitarbeiter des Klägers hatte zwar die Echtheit der Überweisung nicht eigenständig überprüft, war jedoch durch unvollständige und irreführende Informationen der Bank in seiner Entscheidungsfindung eingeschränkt.

5. Rückgriffe auf allgemeine schuldrechtliche Vorschriften

Das Gericht stellte klar, dass die Haftung im Bereich unautorisierter Zahlungen vorrangig und abschließend durch die §§ 675u und BGB geregelt ist. Ein Rückgriff auf § 280 Abs. 1 BGB ist daher ausgeschlossen, wenn die spezifischen Voraussetzungen dieser Vorschriften nicht erfüllt sind.

Best Practices für Unternehmen im Umgang mit CEO-Fraud

CEO-Fraud ist eine der gefährlichsten Formen des , die Unternehmen enorme finanzielle Verluste und Reputationsschäden zufügen kann. Effektive Prävention erfordert eine Kombination aus technischen, organisatorischen und personellen Maßnahmen. Hier sind einige bewährte Ansätze:

Schulungen und Sensibilisierung (Awareness-Programme)

Regelmäßige Schulungen für Mitarbeitende sind der Schlüssel, um das Bewusstsein für Betrugsmaschen wie CEO-Fraud zu schärfen.

  • Rollenbasierte Schulungen: Führungskräfte und Mitarbeitende mit Zugang zu sensiblen Finanzdaten sollten spezifische Schulungen zu ihren Verantwortlichkeiten erhalten.
  • Inhalte der Schulungen: Erkennung von -E-Mails, Merkmale gefälschter Zahlungsaufforderungen und Verhaltensregeln bei verdächtigen Anfragen.
  • Praxisorientierte Übungen: Simulierte Phishing-Angriffe oder Szenarien für unübliche Zahlungsanfragen helfen, die Reaktionsfähigkeit zu testen.

Etablierung eines Mehr-Augen-Prinzips

  • Genehmigungsprozesse: Keine Zahlung sollte von einer einzelnen Person freigegeben werden können. Implementieren Sie ein Mehr-Augen-Prinzip, bei dem Zahlungen durch mehrere autorisierte Personen geprüft werden.
  • Unabhängige Prüfungen: Bei hohen Beträgen oder Auslandsüberweisungen sollte eine zusätzliche unabhängige Überprüfung stattfinden.

Technologische Schutzmaßnahmen

  • E-Mail-Sicherheit: Implementieren Sie Technologien wie DMARC, SPF und DKIM, um gefälschte E-Mails zu erkennen und abzuwehren.
  • Zwei-Faktor-Authentifizierung (2FA): Nutzen Sie 2FA für alle wichtigen Systeme und Finanztransaktionen.
  • KI-basierte Anomalieerkennung: Systeme, die ungewöhnliche Transaktionen erkennen und warnen, können frühzeitig auf Betrugsversuche hinweisen.

Cyber-Versicherungen

Eine Cyber-Versicherung kann finanzielle Verluste abdecken, die durch oder Cyberangriffe entstehen.

  • : Viele Versicherungen bieten Zugang zu spezialisierten Beratern für den Umgang mit Vorfällen.
  • Abdeckung prüfen: Stellen Sie sicher, dass die Police spezifische Risiken wie CEO-Fraud, Phishing und andere Formen von Social Engineering abdeckt.

Klar definierte interne Richtlinien

  • Kommunikationskanäle: Legen Sie verbindliche Regeln für Zahlungsanweisungen fest, z. B. keine Anweisungen über E-Mail ohne telefonische Verifizierung.
  • Notfallprotokolle: Implementieren Sie Protokolle für den Fall eines Verdachts auf Betrug, einschließlich der sofortigen Benachrichtigung der IT-Abteilung und der Bank.

Kultur der Wachsamkeit fördern

  • Offene Kommunikation: Mitarbeitende sollten ermutigt werden, verdächtige Aktivitäten ohne Angst vor Sanktionen zu melden.
  • Belohnungen für Aufmerksamkeit: Anerkennung von Mitarbeitenden, die potenzielle Betrugsversuche frühzeitig erkennen, stärkt die Wachsamkeit.

Fazit zur Haftung bei CEO-Fraud

Die Entscheidung des OLG Celle macht deutlich, dass Zahlungsdienstleister eine zentrale Rolle bei der Verhinderung von Betrugsfällen wie CEO-Fraud spielen. Ihre Pflicht zur Prüfung von Zahlungsanweisungen und zur Einhaltung vertraglicher Vorgaben ist essenziell, um unberechtigte Belastungen zu verhindern. Für Unternehmen bleibt die Sensibilisierung von Mitarbeitenden und die Einführung sicherer interner Kontrollsysteme von zentraler Bedeutung. Das Urteil schafft Klarheit im Umgang mit den Haftungsfragen bei CEO-Fraud und stärkt die Position von Zahlungskunden im Konflikt mit Banken.

OLG Celle zur Haftung der Bank bei CEO-Fraud - Rechtsanwalt Ferner

Das Urteil des OLG Celle stärkt den Schutz von Zahlungskunden und legt klare Maßstäbe für die Sorgfaltspflichten von Banken fest. Insbesondere die Verpflichtung zur sorgfältigen Prüfung von Überweisungsaufträgen wird hervorgehoben. Es unterstreicht zudem, dass die gesetzliche Risikoverteilung bei unautorisierten Zahlungen nicht durch AGB ausgehebelt werden kann.

Ein ernst zu nehmender Schutz vor CEO-Fraud erfordert dabei eine ganzheitliche Strategie: Die Kombination aus Mitarbeiterschulungen, strengen internen Prozessen, technologischen Schutzmaßnahmen und einer passenden Cyber-Versicherung kann die Risiken erheblich minimieren. Regelmäßige Überprüfung und Anpassung dieser Maßnahmen an neue Bedrohungen ist essenziell, um Unternehmen vor finanziellem Schaden und Reputationsverlust zu schützen.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft. Ich bin Softwareentwickler, in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.