Schadensersatz bei CEO-Fraud: Sicherheitsvorkehrungen beim Versand von E-Mails mit Rechnungen

Die Streitfälle zu den Folgen eines erfolgreichen CEO-Fraud nehmen zu – nunmehr hat das Schleswig-Holsteinische Oberlandesgericht (12 U 9/24) eine richtungsweisende Entscheidung zur Frage getroffen, welche Sicherheitsvorkehrungen beim Versand von E-Mails mit Rechnungsanhängen im geschäftlichen Verkehr erforderlich sind. Dabei wendete das OLG – nach meiner Sicht erstmals – die DSGVO zur Klärung dieser Frage an.

Ausgangspunkt war ein Fall, in dem ein Kunde den Rechnungsbetrag nicht auf das Konto des tatsächlichen Gläubigers, sondern aufgrund einer unbefugt manipulierten E-Mail auf ein Konto eines Dritten überwies. Das Gericht hatte sich insbesondere mit der Frage auseinanderzusetzen, ob und unter welchen Voraussetzungen eine solche Zahlung als Erfüllung im Sinne des § 362 Abs. 2 BGB gilt und ob dem Kunden ein Schadensersatzanspruch zusteht.

Sachverhalt

Ein Werkunternehmer versandte eine Schlussrechnung in Höhe von 15.385,78 € per E-Mail an seinen Kunden. Diese E-Mail wurde jedoch durch einen unbefugten Dritten abgefangen und manipuliert. Der Kunde überwies den Rechnungsbetrag abzüglich Skonto (14.924,20 €) sodann auf ein Konto, das nicht dem Werkunternehmer gehörte. Der Werkunternehmer forderte daraufhin die Zahlung des offenen Betrags von seinem Kunden ein. Dieser weigerte sich mit der Begründung, dass er bereits gezahlt habe, und machte hilfsweise einen Schadensersatzanspruch geltend.

Rechtliche Analyse

1. Erfüllung der Zahlungspflicht nach § 362 Abs. 2 BGB

Das OLG Schleswig stellte klar, dass eine Erfüllung im Sinne von § 362 Abs. 2 BGB nur dann vorliegt, wenn die Leistung „an den Gläubiger oder an eine zur Empfangnahme ermächtigte Person“ erfolgt. Da der Kunde den Rechnungsbetrag auf ein Konto eines unbekannten Dritten überwiesen hatte, wurde die Zahlungspflicht gegenüber dem Werkunternehmer nicht erfüllt.

Das Gericht lehnte es auch ab, eine Erfüllungswirkung aus dem Gedanken der Anscheinsvollmacht abzuleiten. Zwar könne eine Zahlung an einen Dritten ausnahmsweise als Erfüllung gelten, wenn besondere Umstände vorliegen, die eine Duldungsvollmacht oder eine Anscheinsvollmacht begründen. Ein solcher Fall lag jedoch hier nicht vor, da der Werkunternehmer keine Anhaltspunkte für eine stillschweigende Billigung der Manipulation gesetzt hatte. Diese Auffassung dürfte der etablierten Rechtsprechung entsprechen.

2. Schadensersatzanspruch des Kunden nach Art. 82 DSGVO

Interessant ist die Begründung des Gerichts hinsichtlich eines möglichen Schadensersatzanspruchs des Kunden. Das OLG Schleswig sah einen solchen Anspruch gemäß Art. 82 Abs. 1 DSGVO als möglich an. Danach kann jede Person, der aufgrund eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, vom Verantwortlichen Schadenersatz verlangen.

Art. 82 Abs. 2 DSGVO setzt hierfür voraus:

• eine rechtswidrige Verarbeitung personenbezogener Daten unter schuldhaftem Verstoß gegen die DSGVO,
• einen daraus resultierenden Schaden und
• einen Kausalzusammenhang zwischen Verstoß und Schaden.

Das Gericht stellte klar, dass ein unbefugter Zugriff auf personenbezogene Daten durch Dritte nicht per se einen DSGVO-Verstoß des Verantwortlichen begründet. Vielmehr muss der Verantwortliche nachweisen, dass er alle angemessenen technischen und organisatorischen Maßnahmen ergriffen hat, um den Schutz der Daten sicherzustellen.

3. Anforderungen an die Sicherheit des E-Mail-Versands

Das Gericht nahm die Gelegenheit wahr, sich detailliert zur Auslegung des Art. 32 DSGVO zu äußern, der die Sicherheit der Verarbeitung personenbezogener Daten regelt. Demnach ist es Aufgabe der nationalen Gerichte, zu beurteilen, ob die vom Verantwortlichen ergriffenen technischen und organisatorischen Maßnahmen angemessen sind. Dabei sind insbesondere die Risiken der Verarbeitung zu berücksichtigen.

Das OLG Schleswig stellte fest, dass in einem Fall wie dem vorliegenden, in dem ein hohes finanzielles Risiko durch eine mögliche Manipulation der Rechnung besteht, eine bloße Transportverschlüsselung nicht ausreicht. Vielmehr sei eine End-to-End-Verschlüsselung erforderlich, um die Anforderungen der DSGVO zu erfüllen. Diese Auffassung steht im Einklang mit der Rechtsprechung des EuGH, der betont hat, dass Unternehmen geeignete Schutzmaßnahmen ergreifen müssen, um Datenschutzverletzungen zu vermeiden. Damit stellt sich das Gericht, über den Umweg der DSGVO, gegen die bisherige Wertung in der Rechtsprechung.

4. Entlastungsmöglichkeit nach Art. 82 Abs. 3 DSGVO

Das Gericht betonte, dass eine Entlastung von der Haftung nach Art. 82 Abs. 3 DSGVO nur dann in Betracht kommt, wenn der Verantwortliche nachweisen kann, dass ihn keinerlei Verschulden trifft. Der bloße Umstand, dass ein unbefugter Zugriff durch Dritte erfolgt ist, befreit den Verantwortlichen nicht automatisch von der Haftung.

Das Urteil des OLG Schleswig verdeutlicht die erheblichen Anforderungen an die Sicherheit des elektronischen Rechnungsversands. Unternehmen müssen nicht nur sicherstellen, dass ihre Kunden korrekte Informationen erhalten, sondern auch durch geeignete Schutzmaßnahmen verhindern, dass Dritte unbefugt auf Rechnungsinhalte zugreifen und diese manipulieren können. Während bisherige Rechtsprechung eher Unternehmerfreundlich war, ist vorliegend zu sehen, dass man “über Bande” denkt, wenn Verbraucher betroffen sein können. Der Fall zeigt: Cybersicherheit muss als Kostenfaktor gedacht werden!

Ausblick

Die Entscheidung hat weitreichende Auswirkungen auf den geschäftlichen E-Mail-Verkehr und die Haftung für Datenschutzverletzungen. Unternehmen sind gut beraten, ihre IT-Sicherheitsmaßnahmen kritisch zu überprüfen und gegebenenfalls auf eine End-to-End-Verschlüsselung umzusteigen. Neben dem Verhältnis zwischen Auftraggeber und Auftragnehmer sollte dabei immer geprüft werden, ob eine Haftung der Bank im Raum steht, der ggf. der Streit im Laufe des Zivilprozesseszu verkünden ist.

• Über
• Letzte Artikel

Rechtsanwalt Jens Ferner

Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf

Rechtsanwalt Jens Ferner ist Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht und widmet sich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht - mit Schwerpunkten in Cybercrime, Cybersecurity, Softwarerecht und Managerhaftung. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!

Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

• Darlegungslast bei stationärem Vertrieb - 8. Juli 2025
• Begrenzung des Bewährungswiderrufs durch Vertrauensschutz - 8. Juli 2025
• OLG Köln zur Bezeichnung „Dubai Chocolate“ - 7. Juli 2025