Wenn die Bankverbindung manipuliert wurde: Wer haftet bei gefälschten Handwerkerrechnungen?

Ein Phänomen, das noch vor wenigen Jahren fast ausschließlich größere Unternehmen betraf, ist mittlerweile bei kleinen Handwerksbetrieben und deren Kundschaft angekommen: Die Rede ist von manipulierten Rechnungen, bei denen Kriminelle sich in die Kommunikation einschalten und Bankverbindungen austauschen. Am Ende steht ein Handwerker, der keine Zahlung erhalten hat, und ein Kunde, der überzeugt ist, ordnungsgemäß überwiesen zu haben. Es beginnt ein Streit, der selten einfach zu entscheiden ist.

Der Klassiker: Rechnung per E-Mail – Zahlung ins Leere

Das Szenario ist immer häufiger das Gleiche: Der Handwerker sendet seine Rechnung per E-Mail, der Kunde überweist den Betrag auf das angegebene Konto – doch diese IBAN gehört nicht dem Handwerker. Im Nachhinein stellt sich heraus: Irgendjemand hat sich in den E-Mail-Verkehr eingeschaltet oder diesen gezielt manipuliert. Der Kunde fühlt sich betrogen, der Handwerker auch – und beide wollen (zurecht) nicht auf dem Schaden sitzen bleiben.

Die juristische Frage: Wer trägt das Risiko dieses Betrugs?

Kein Einzelfall: CEO-Fraud im Kleinformat

In der Cybersecurity spricht man hier häufig vom sogenannten – ein Begriff, der eigentlich auf Täuschungsangriffe gegen größere Unternehmen zielt, bei denen sich Kriminelle als Führungspersonen ausgeben. Doch die zugrundeliegende Technik – das gezielte Abfangen oder Manipulieren von Geschäftskommunikation – ist identisch.

Die Variante im Handwerk betrifft typischerweise E-Mail-Kommunikation mit schwacher oder fehlender Verschlüsselung, unzureichenden Schutzmechanismen auf beiden Seiten, oder schlicht das Fehlen von Kontrollmechanismen beim Zahlungsvorgang. Das Ergebnis: Eine Rechnung, die formal richtig aussieht, aber mit falschen Zahlungsdaten.

Die rechtliche Bewertung: Komplex und einzelfallabhängig

Der juristische Instinkt vieler Beteiligter führt schnell zu Extremen: Der Handwerker meint, er habe ja alles korrekt verschickt – also müsse der Kunde nochmals zahlen. Der Kunde hingegen beruft sich darauf, bezahlt zu haben – und das sei nun mal der Handwerker sein Problem. Beide Haltungen greifen zu kurz.

Ein instruktives Beispiel bietet eine aktuelle Entscheidung des OLG Schleswig, das einen Fall verhandelte, bei dem die Rechnung manipuliert und die Zahlung auf ein Drittkonto umgeleitet wurde. Das Gericht stellte klar: Eine pauschale Risikozuweisung gibt es nicht. Vielmehr ist im Einzelfall zu prüfen, wer die Ursache gesetzt oder wer schutzwürdiger ist.

Schadensersatz bei CEO-Fraud: Sicherheitsvorkehrungen beim Versand von E-Mails mit Rechnungen

Prüfpflichten auf beiden Seiten

Das Gericht betont, dass beide Seiten gewisse Prüfpflichten treffen. Wer als Handwerker elektronische Rechnungen versendet, trägt ein Mindestmaß an Verantwortung für die Sicherheit seiner Systeme und der Kommunikationswege. Unverschlüsselte Mails, Standardpasswörter im Webmail-Zugang oder das Fehlen technischer Sicherheitsmaßnahmen können zu einer Mitverantwortung führen.

Gleichzeitig muss sich aber auch der Kunde fragen lassen, ob ihm nicht Unstimmigkeiten hätten auffallen müssen: Eine fremdländische IBAN, sprachliche Abweichungen in der Mail oder das Fehlen der üblichen Kommunikationsstruktur – wer blind überweist, handelt möglicherweise ebenfalls fahrlässig.

Im Fall des OLG Schleswig trug der Handwerker nicht die alleinige Verantwortung, auch wenn seine Sicherheitsmaßnahmen durchaus als verbesserungswürdig galten. Der Kunde aber musste – trotz Zahlung – nicht automatisch erneut zahlen. Stattdessen wurde eine differenzierte Risikoverteilung vorgenommen.

Was folgt daraus für Handwerker?

Handwerksbetriebe sollten technische und organisatorische Schutzmaßnahmen nicht als „Luxus“ großer Unternehmen abtun. Folgende Punkte sind heute Mindeststandard:

  • E-Mail-Konten mit Zwei-Faktor-Authentifizierung sichern
  • Keine sensiblen Daten in Klartext über ungesicherte E-Mail versenden
  • Rechnungen zusätzlich mit einer Referenznummer oder Verifizierungsmechanismus versehen
  • Kunden vorab aktiv über die einzige gültige Bankverbindung informieren – idealerweise über einen anderen Kommunikationskanal (Telefon, Brief, Webseite)

Ein zusätzlicher Hinweis in der Rechnung wie „Bitte prüfen Sie die Bankverbindung auf unserer Website“ kann hilfreich sein, schützt aber nicht vor jeder Haftung.

Und Kunden?

Auch Kunden sind gut beraten, bei Zahlungen an neue oder selten genutzte Empfänger wachsam zu sein. Die wichtigste Regel: Misstrauen bei jeder Änderung von Bankdaten. Rückfragen beim Handwerker – telefonisch oder durch Abgleich mit früheren Rechnungen – können spätere Schäden vermeiden.

Rechtsanwalt Ferner zu gefälschten Rechnungen von Handwerkern - Wenn die Bankverbindung manipuliert wurde: Wer haftet bei gefälschten Handwerkerrechnungen?

Der Streit ist immer vorprogrammiert und man steht irgendwo zwischen dem Mitverschulden des einen und dem des anderen – es ist selten möglich, eine Seite als allein Verantwortlichen auszumachen. Und Handwerker haben das Risiko, welcher technische Standard vom Gericht im Einzelfall erkannt wird.

Fazit: Die Wahrheit liegt dazwischen

In der juristischen Bewertung solcher Betrugsfälle gibt es keine einfache Antwort. Die Rechtsprechung tendiert zu einer Einzelfallbetrachtung, bei der Fragen wie technische Absicherung, Fahrlässigkeit und Kommunikationsverhalten eine Rolle spielen. Für beide Seiten – Handwerker wie Kunden – gilt daher: Prävention ist besser als Prozess. Wer heute in Cybersicherheit investiert, spart sich morgen den Streit vor Gericht.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht - zertifizierter Experte in Krisenkommunikation & Cybersecurity)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht mit Schwerpunkt Cybersecurity & Softwarerecht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft.Als Softwareentwickler bin ich in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung.