Phishing und Fehlinformation: LG Rostock zur Haftung bei manipulierten E-Mails

Mit dem Urteil des Landgerichts Rostock vom 20.11.2024 (Az. 2 O 450/24) rückt ein hochaktuelles Thema in den Mittelpunkt des Zivilrechts: die Frage, wer bei einer sogenannten Fehlinformation durch -Angriffe das Risiko der Fehlüberweisung trägt. Die Entscheidung bringt Klarheit in die Rechtslage bei manipulierten Rechnungsdaten – und erteilt dem Versuch, die Haftung auf das Opfer eines Cyberangriffs abzuwälzen, eine klare Absage.

Inhalte Anzeigen

Sachverhalt

Die Klägerin, ein Bauunternehmen, hatte mit der Beklagten einen Bauvertrag über Maler- und Trockenbauarbeiten abgeschlossen. Im Rahmen der Abrechnung versandte die Klägerin am 08.11.2023 eine E-Mail mit einer ersten Abschlagsrechnung. Kurz darauf ging bei der Beklagten eine nahezu identisch aussehende E-Mail ein – allerdings mit manipulierten Bankdaten und HTML-Fehlformatierungen. Die Beklagte zahlte den Betrag von rund 37.730 € auf das in der gefälschten E-Mail angegebene Konto.

Die Klägerin verlangte dennoch Zahlung, da sie das Geld nie erhalten habe. Die Beklagte berief sich darauf, sie sei durch das Verhalten der Klägerin – insbesondere die angeblich unzureichende Sicherung ihres E-Mail-Systems – zum Opfer geworden und habe ihre Schuld durch die Überweisung erfüllt. Zudem brachte sie den „dolo-agit“-Einwand vor, wonach niemand das zurückverlangen könne, was er sogleich zurückgeben müsse.

Wenn die Bankverbindung manipuliert wurde: Wer haftet bei gefälschten Handwerkerrechnungen?

Rechtliche Analyse

1. Keine Erfüllung (§ 362 BGB)

Das LG Rostock stellte klar: Eine Zahlung an den falschen Empfänger ist keine Erfüllung im Sinne des § 362 Abs. 1 BGB. Die Klägerin hatte die falsche Kontoverbindung weder angegeben noch autorisiert. Es lag auch keine Ermächtigung zur Leistung an einen Dritten (§ 185 BGB) vor. Der objektive Empfängerhorizont sprach gegen die Annahme eines stillschweigenden Einverständnisses zur Zahlung auf ein anderes Konto.

2. Kein Mitverschulden der Klägerin

Auch der Versuch der Beklagten, die Klägerin wegen einer angeblichen Schutzpflichtverletzung in Haftung zu nehmen, scheiterte. Das Gericht verneinte eine solche Pflichtverletzung: Der Einsatz von E-Mail im geschäftlichen Verkehr sei üblich, und die allgemeine Anfälligkeit dieses Mediums für Angriffe sei bekannt. Ein „Hacking“ konnte nicht substantiiert nachgewiesen werden – und selbst wenn, wäre der eigentliche Verursachungsbeitrag durch das Verhalten der Beklagten zu suchen.

Insbesondere warf das Gericht der Beklagten vor, offensichtliche Hinweise auf die Manipulation nicht erkannt zu haben: falsch dargestellte Umlaute, HTML-Zeichenketten und vor allem die auffällige Änderung der bekannten Kontoverbindung zu einer niederländischen Bank hätten Anlass zur Rückfrage geben müssen.

Schadensersatz bei CEO-Fraud: Sicherheitsvorkehrungen beim Versand von E-Mails mit Rechnungen

3. Kein Ausschluss wegen dolo-agit-Einwand

Der „dolo-agit“-Einwand konnte der Beklagten ebenfalls nicht helfen. Ein solcher wäre nur dann berechtigt gewesen, wenn der Klägerin eine unmittelbare Rückzahlungspflicht aufgrund eines gleichwertigen Gegenanspruchs erwachsen wäre – was nicht der Fall war. Ein vertraglicher oder deliktischer Rückforderungsanspruch bestand nicht, weil keine Pflichtverletzung auf Seiten der Klägerin vorlag.

Schlussfolgerung

Das Urteil des LG Rostock (Az. 2 O 450/24) stärkt durchaus die Rechtssicherheit im elektronischen Geschäftsverkehr: Wer Zahlungen vornimmt, muss sich bei Abweichungen von bekannten Bankverbindungen vergewissern – insbesondere bei Warnsignalen wie Formatierungsfehlern oder unüblichen Konten. Allerdings darf auch diese Entscheidung nicht pauschaliert werden – solche FÄlle leben vom Einzelfall.

Die grundsätzliche : Das Risiko für die Folgen eines Phishing-Angriffs trägt in der Regel derjenige, der auf die manipulierte Nachricht hereinfällt – nicht das Unternehmen, dessen Identität missbraucht wurde, solange man nicht nachweist dass in dessen Sphäre ein Versagen Ursache des Angriffs ist. Ein deutliches Signal an die Praxis: Kontrolle geht vor Vertrauen – auch (und gerade) im digitalen Geschäftsverkehr.

Rechtsanwalt Jens Ferner
Rechtsanwalt Jens Ferner
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Rechtsanwalt Jens Ferner ist Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht und widmet sich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybercrime, Cybersecurity & Softwarerecht. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!
Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht und widmet sich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybercrime, Cybersecurity & Softwarerecht. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!