Mit dem Urteil des Landgerichts Rostock vom 20.11.2024 (Az. 2 O 450/24) rückt ein hochaktuelles Thema in den Mittelpunkt des Zivilrechts: die Frage, wer bei einer sogenannten Fehlinformation durch Phishing-Angriffe das Risiko der Fehlüberweisung trägt. Die Entscheidung bringt Klarheit in die Rechtslage bei manipulierten Rechnungsdaten – und erteilt dem Versuch, die Haftung auf das Opfer eines Cyberangriffs abzuwälzen, eine klare Absage.

Sachverhalt

Die Klägerin, ein Bauunternehmen, hatte mit der Beklagten einen Bauvertrag über Maler- und Trockenbauarbeiten abgeschlossen. Im Rahmen der Abrechnung versandte die Klägerin am 08.11.2023 eine E-Mail mit einer ersten Abschlagsrechnung. Kurz darauf ging bei der Beklagten eine nahezu identisch aussehende E-Mail ein – allerdings mit manipulierten Bankdaten und HTML-Fehlformatierungen. Die Beklagte zahlte den Betrag von rund 37.730 € auf das in der gefälschten E-Mail angegebene Konto.

Die Klägerin verlangte dennoch Zahlung, da sie das Geld nie erhalten habe. Die Beklagte berief sich darauf, sie sei durch das Verhalten der Klägerin – insbesondere die angeblich unzureichende Sicherung ihres E-Mail-Systems – zum Opfer geworden und habe ihre Schuld durch die Überweisung erfüllt. Zudem brachte sie den „dolo-agit“-Einwand vor, wonach niemand das zurückverlangen könne, was er sogleich zurückgeben müsse.

Wenn die Bankverbindung manipuliert wurde: Wer haftet bei gefälschten Handwerkerrechnungen?

Rechtliche Analyse

1. Keine Erfüllung (§ 362 BGB)

Das LG Rostock stellte klar: Eine Zahlung an den falschen Empfänger ist keine Erfüllung im Sinne des § 362 Abs. 1 BGB. Die Klägerin hatte die falsche Kontoverbindung weder angegeben noch autorisiert. Es lag auch keine Ermächtigung zur Leistung an einen Dritten (§ 185 BGB) vor. Der objektive Empfängerhorizont sprach gegen die Annahme eines stillschweigenden Einverständnisses zur Zahlung auf ein anderes Konto.

2. Kein Mitverschulden der Klägerin

Auch der Versuch der Beklagten, die Klägerin wegen einer angeblichen Schutzpflichtverletzung in Haftung zu nehmen, scheiterte. Das Gericht verneinte eine solche Pflichtverletzung: Der Einsatz von E-Mail im geschäftlichen Verkehr sei üblich, und die allgemeine Anfälligkeit dieses Mediums für Angriffe sei bekannt. Ein „Hacking“ konnte nicht substantiiert nachgewiesen werden – und selbst wenn, wäre der eigentliche Verursachungsbeitrag durch das Verhalten der Beklagten zu suchen.

Insbesondere warf das Gericht der Beklagten vor, offensichtliche Hinweise auf die Manipulation nicht erkannt zu haben: falsch dargestellte Umlaute, HTML-Zeichenketten und vor allem die auffällige Änderung der bekannten Kontoverbindung zu einer niederländischen Bank hätten Anlass zur Rückfrage geben müssen.

Schadensersatz bei CEO-Fraud: Sicherheitsvorkehrungen beim Versand von E-Mails mit Rechnungen

3. Kein Ausschluss wegen dolo-agit-Einwand

Der „dolo-agit“-Einwand konnte der Beklagten ebenfalls nicht helfen. Ein solcher wäre nur dann berechtigt gewesen, wenn der Klägerin eine unmittelbare Rückzahlungspflicht aufgrund eines gleichwertigen Gegenanspruchs erwachsen wäre – was nicht der Fall war. Ein vertraglicher oder deliktischer Rückforderungsanspruch bestand nicht, weil keine Pflichtverletzung auf Seiten der Klägerin vorlag.

Schlussfolgerung

Das Urteil des LG Rostock (Az. 2 O 450/24) stärkt durchaus die Rechtssicherheit im elektronischen Geschäftsverkehr: Wer Zahlungen vornimmt, muss sich bei Abweichungen von bekannten Bankverbindungen vergewissern – insbesondere bei Warnsignalen wie Formatierungsfehlern oder unüblichen Konten. Allerdings darf auch diese Entscheidung nicht pauschaliert werden – solche FÄlle leben vom Einzelfall.

Die grundsätzliche Bilanz: Das Risiko für die Folgen eines Phishing-Angriffs trägt in der Regel derjenige, der auf die manipulierte Nachricht hereinfällt – nicht das Unternehmen, dessen Identität missbraucht wurde, solange man nicht nachweist dass in dessen Sphäre ein Versagen Ursache des Angriffs ist. Ein deutliches Signal an die Praxis: Kontrolle geht vor Vertrauen – auch (und gerade) im digitalen Geschäftsverkehr.

Über
Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist Spezialist für Strafverteidigung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug bis zu Cybercrime) sowie für IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance) mit zahlreichen Publikationen. Als Fachanwalt für Strafrecht und IT-Recht vertrete ich Mandanten in komplexen Zivil- und Strafverfahren, insbesondere bei streitigen Fragen im Softwarerecht, bei der Abwehr von strafrechtlichen Vorwürfen oder Ansprüchen in der Managerhaftung sowie bei der Einziehung von Vermögenswerten. Mein Fokus liegt auf der Schnittstelle zwischen technischem Verständnis und juristischer Strategie, um Sie in digitalen Fällen und wirtschaftlichen Strafsachen effektiv zu verteidigen und zu beraten.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht und Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen übernommen - wir sind im Raum Aachen zu finden und bundesweit tätig.

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

Grenzen des Vermögensschadens beim Betrug - 19. November 2025
Zweifelssatz: in dubio pro reo - 19. November 2025
Untreue oder Unterschlagung bei missbräuchlicher Nutzung überlassener Bankkarten - 19. November 2025