Recht vertieft

News: Schuldrecht – Keine Erfüllung eines Kaufvertrags bei Zahlung an Dritte (hier: Hacker) & Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr

verfasst von Ali Tahir Sen


Verletzt der Gläubiger einer Geldforderung die im geschäftlichen E-Mail-Verkehr erforderlichen Sicherheitsvorkehrungen und führt dies zur Zahlung an einen Dritten (Hacker), hat dies nicht zur Folge, dass die Forderung nach § 362 durch Erfüllung erlischt, sondern könnte höchstens einen Schadensersatzanspruch des Schuldners begründen, den er nach § 242 BGB der Forderung entgegenhalten könnte (dolo-agit-Einwendung).

Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr bestimmen sich mangels gesetzlicher Vorgaben nach den berechtigten Sicherheitserwartungen des maßgeblichen Verkehrs unter Berücksichtigung der Zumutbarkeit, sofern keine ausdrückliche, anderweitige Vereinbarung getroffen wurde.

OLG Karlsruhe, Urt. v. 27.07.2023 – 19 U 83/22


K und B, jeweils vertreten durch ihren Geschäftsführer, schlossen am 08. Oktober 2021, mit der K als Verkäuferin und der B als Käuferin, einen Kaufvertrag über einen gebrauchten Pkw zum Preis von 13.500 €. Auf den Wunsch der B schickte der Geschäftsführer der K um 11:44 Uhr am selben Tag die Rechnung als Anhang in einer E-Mail an den Geschäftsführer der B (E-Mail der K). Der Kopfbereich, sowie die Fußzeile enthielt die Bankdaten der K. Um 11:46 erhielt der Geschäftsführer der B eine weitere E-Mail mit der K als Absenderin, mit einer weiteren (im Urteil als „neue“ bezeichneten) Rechnung. Abweichend von der E-Mail der K war in der Fußzeile der Rechnung ein anderes Empfängerkonto angegeben. Der Geschäftsführer der B bemerkte die abweichenden Bankdaten, versah sie in einem Ausdruck mit Fragezeichen und verband sie mit Pfeilen. Zudem stellte der Geschäftsführer der B fest, dass die begleitende E-Mail von der zweiten Rechnung abweichend von der bisherigen Kommunikation in der Sie-Form gehalten war und den völlig unverständlichen Satz „Bitte senden Sie uns nach der Herstellung der Decke eine Kopie nach der Banküberweisung“ enthielt. Ohne weitere Nachforschungen überwies die B den Kaufpreis in Höhe von 13.500 € an die in der Fußzeile der zweiten E-Mail enthaltene Bankverbindung, bei der es sich nicht um die Bankverbindung der K handelte.

Am 19. Oktober forderte K die B zur Zahlung auf und es stellte sich heraus, dass die zweite E-Mail aufgrund eines „Hackerangriffs“ von einer unbefugten dritten Person (D) versandt wurde, woraufhin K Strafanzeige beim zuständigen Polizeipräsidium und beim Landeskriminalamt erstatte. Der Zugang zum E-Mail-Konto der K war mit einem Passwort geschützt, das zwei Personen im Betrieb bekannt war und alle zwei bis vier Wochen geändert und der anderen Person mündlich mitgeteilt wurde. Es bestand ein aktueller und regelmäßig aktualisierter Virenschutz und eine Firewall.

Nachdem B eine weitere Zahlung ablehnte, klagte K vor dem Landgericht Mosbach auf

  1. Zahlung des Kaufpreises (13.500 € nebst jährlichen Zinsen i.H.v. 9 Prozentpunkten über dem Basiszinssatz hieraus seit dem 20. Oktober 2021) sowie
  2. vorgerichtlicher Anwaltskosten (953,40 € nebst jährlichen Zinsen i.H.v. 9 Prozentpunkten über dem Basiszinssatz hieraus seit dem 07. Dezember 2021)

und verfolgt nach der Abweisung der Klage durch das Landgericht Mosbach (Urt. v. 24.05.2022 – 1 O 271/21) ihr Klagebegehren vor dem OLG Karlsruhe weiter.

B beantragt die Zurückweisung der Klage und Berufung, da der Zahlungsanspruch der K durch die Zahlung an D erfüllt wurde und erklärt hilfsweise die Aufrechnung mit einem Zahlungsanspruch gegenüber D und einem Schadensersatzanspruch wegen der Verletzung von IT-Sicherheitspflichten gegen K.

Ein Anspruch der K auf Zahlung des Kaufpreises kann sich aus § 433 II BGB i.V.m. dem Kaufvertrag ergeben. Hierfür ist erforderlich, dass

  1. der Anspruch entstanden ist, somit ein Kaufvertrag zustande gekommen ist,
  2. der Anspruch nicht erloschen ist und
  3. der Anspruch durchsetzbar ist.

I. Anspruch entstanden (Kaufvertrag zwischen K & B)

Der Anspruch auf Zahlung des Kaufpreises nach § 433 II BGB ist durch den Kaufvertrag zwischen B und K, jeweils vertreten durch ihren Geschäftsführer zustande kommen.

II. Anspruch nicht erloschen

Der Anspruch auf Zahlung des Kaufpreises könnte jedoch durch eine rechtsvernichtende Einrede erloschen sein, insbesondere durch die

  1. Erfüllung durch die Zahlung an D (§ 362 BGB)
  2. Aufrechnung mit einem Zahlungsanspruch in Höhe von 13.500 € gegen D
  3. Aufrechnung mit einem Schadensersatzanspruch (§ 280 I, 241 II BGB) in Höhe von 13.500 € wegen der Verletzung von IT-Sicherheitspflichten als Nebenpflichtverletzungen

  i  

Das OLG Karlsruhe differenziert nicht zwischen dem Erlöschen und der Durchsetzbarkeit des Anspruchs, sodass die Reihenfolge der Prüfung von der Darstellung hier abweicht.

1. Erfüllung durch die Zahlung an D (§ 362 BGB)

Zunächst könnte der Zahlungsanspruch durch die Zahlung an D durch Erfüllung erloschen sein.

Nach § 362 I BGB erlischt ein Schuldverhältnis, wenn an den Gläubiger bewirkt wird. Da D jedoch nicht Gläubiger des Zahlungsanspruchs ist, tritt keine Erfüllung nach § 362 I BGB ein.

Nach § 362 II BGB findet im Fall der Leistung an einen Dritten zu Erfüllungszwecken § 185 BGB Anwendung, sodass die Einwilligung oder Genehmigung der Verfügung zu deren Wirksamkeit führt. Die Einwilligung kann ausdrücklich oder durch schlüssiges Verhalten erfolgen. Hierzu führt das OLG Karlsruhe aus, dass

schlüssiges Verhalten […] selbst dann genügen [kann], wenn der Ermächtigende kein Erklärungsbewusstsein hat, aber der redliche Empfänger hiervon ausgehen darf. Die Leistung an einen nichtberechtigten Dritten erlangt – von gesetzlich besonders geregelten Fällen (vgl. etwa §§ 169, 370, 407, 408 BGB) abgesehen – nur dann befreiende Wirkung, wenn der Gläubiger sie nachträglich genehmigt oder wenn einer der beiden anderen Fälle des § 185 Abs. 2 BGB eintritt. Dass der Schuldner den Nichtberechtigten gutgläubig für empfangsberechtigt hält, führt also – sofern keine gesetzlichen Sonderregelungen bestehen – allein nicht zum Freiwerden des Schuldners. Vielmehr tritt Erfüllungswirkung in einem solchen Fall erst dann ein, wenn der nicht empfangsbefugte Dritte die Leistung entsprechend den Weisungen des Schuldners an den Gläubiger weiterleitet oder der Gläubiger die Leistungserbringung an den Dritten ausdrücklich oder schlüssig genehmigt […]

OLG Karlsruhe, Urt. v. 27.07.2023 – 19 U 83/22 Rn. 30.

Da diese Voraussetzungen angesichts der Rechnungssendung durch D nicht gegeben sind, und auch keine nachträgliche Genehmigung oder Weiterleitung des Geldes von D an K erfolgt ist, ist keine Erfüllung nach § 362 II BGB eingetreten.

  i  

Das OLG Karlsruhe diskutiert und verneint eine analoge Anwendung von § 370 BGB auf Rechnungen. Nach § 370 BGB gilt der Überbringer einer Quittung zum Empfang der Leistung ermächtigt.

2. Aufrechnung mit dem Zahlungsanspruch gegen D

Der Zahlungsanspruch der K könnte jedoch durch die hilfsweise erklärte Aufrechnung mit einem Zahlungsanspruch der B gegen D erloschen sein. Eine Aufrechnung kann nach folgendem Schema geprüft werden:

  1. Aufrechnungserklärung
  2. Gegenseitigkeit der Forderungen
  3. Gleichartigkeit der Forderungen
  4. Fällige, einredefreie Gegenforderung (§ 390 1 BGB)
  5. Kein Aufrechnungsverbot oder -ausschluss

Zwar wurde die Aufrechnung erklärt, die Aufrechnung scheitert jedoch an der fehlenden Gegenseitigkeit der geltend gemachten Ansprüche.

3. Aufrechnung mit einem Schadensersatzanspruch (§ 280 I, 241 II BGB)

Die Aufrechnung mit einem Schadensersatzanspruch gegen K könnte zum Erlöschen des Zahlungsanspruchs geführt haben. Ein Schadensersatzanspruch der B und der Zahlungsanspruch der K wären gegenseitige und gleichartige Forderungen. Fraglich ist jedoch, ob ein Schadensersatzanspruch der B besteht.

Ein Schadensersatzanspruch der B könnte sich wegen der Verletzung einer Nebenpflicht aus §§ 280 I, 241 II BGB ergeben, welcher nach folgendem Schema geprüft werden kann.

  1. Schuldverhältnis zwischen B und K
  2. Verletzung einer Pflicht aus dem Schuldverhältnis durch K
  3. Vertretenmüssen der K
  4. Kausaler Schaden
  5. Kein Mitverschulden nach § 254 I BGB

a.  Schuldverhältnis zwischen B und K

Ein Schuldverhältnis zwischen B und K besteht in Form eines Kaufvertrags (vgl. I).

b. Verletzung einer Pflicht aus dem Schuldverhältnis durch K

Erforderlich ist die Verletzung einer nichtleistungsbezogenen Schutzpflicht / Nebenpflicht i.S.d. § 241 II BGB, die sich ergeben könnte, wenn B

schuldhaft eine Ursache dafür gesetzt hätte, dass der Beklagten im Nachgang zur Übersendung der vorgenannten E-Mail um 10:46 Uhr die zweite E-Mail mit der angehängten ge- oder verfälschten Rechnung zuging, die neben der nach wie vor richtigen Angabe der Bankverbindung der Klägerin im Kopfbereich im Fußzeilenbereich auch die Bankverbindung des [D] auswies.

OLG Karlsruhe, Urt. v. 27.07.2023 – 19 U 83/22 Rn. 35.

Da K auf Wunsch der B die Rechnung per E-Mail versandte, traf sie hierbei die Pflicht

[…] sich bei der Abwicklung des Schuldverhältnisses so zu verhalten, dass Person, Eigentum und sonstige Rechtsgüter – auch das Vermögen – des anderen Teils nicht verletzt werden […]

OLG Karlsruhe, Urt. v. 27.07.2023 – 19 U 83/22 Rn. 37.

Die Pflicht könnte K dadurch verletzt haben, dass ihr E-Mail-Konto nicht ausreichend gesichert war – beispielsweise durch eine Ende-zu-Ende-Verschlüsselung oder eine passwortgeschützte Rechnung – sodass ein Dritter Zugriff erlangen und eine eigene E-Mail mit einer veränderten Rechnung abschicken konnte.

Mangels gesetzlicher Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr und einer (ausdrücklichen) Vereinbarung zwischen den Parteien, ist auf die berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit abzustellen. Das OLG Karlsruhe geht auf Sicherheitsvorkehrungen in Form von

aa. eines Sender Policy Framework (SPF)
bb. der Verschlüsselung der Rechnung
cc. der Nutzung einer Ende-zu-Ende-Verschlüsselung.

aa. Sender Policy Framework

Ein Sender Policy Framework ist ein Verfahren, mit dem geprüft werden kann, ob der sendende E-Mail-Server berechtigt ist, für die Domäne E-Mails zu versenden.[1] Für den Einsatz eines Sender Policy Frameworks ist es jedoch erforderlich, selbst einen E-Mail-Server zu betreiben, was bei K nicht der Fall ist.

Daher stellt das OLG Karlsruhe zur Verwendung eines Sender Policy Frameworks fest:

Eine berechtigte Sicherheitserwartung des Verkehrs an ein Unternehmen wie die Klägerin, das seinen E-Mail-Verkehr über einen Diensteanbieter […] abwickelt, auf Anwendung des SPF-Verfahrens kann schon deshalb nicht bestehen.

OLG Karlsruhe, Urt. v. 27.07.2023 – 19 U 83/22 Rn. 44.

bb. Verschlüsselung der Rechnung

Eine Verschlüsselung einer PDF-Datei im geschäftlichen Verkehr ist nach Ansicht des OLG Karlsruhe ist mit Ausnahme des Austauschs von sensiblen Dateien unüblich und begründet angesichts der fehlenden Abrede eines Passworts und der Kenntnis der B bei Erhalt der Rechnung von der fehlenden Verletzung keine Pflichtverletzung der K.

cc. Ende-zu-Ende-Verschlüsselung

In Hinblick auf eine Ende-zu-Ende-Verschlüsselung der E-Mail verweist das OLG Karlsruhe auf das BSI, das zwar eine Ende-zu-Ende-Verschlüsselung empfiehlt, jedoch auch den seltenen Einsatz feststellt. Nach Ansicht des OLG steht daher die Verwendung einer Ende-zu-Ende-Verschlüsselung

einer entsprechenden allgemeinen Sicherheitserwartung des Verkehrs entgegen und bei den vorliegend versendeten Daten handelt es sich auch nicht um solche, bei deren Versand – wie etwa im Fall von Geschäfts- und Betriebsgeheimnissen – ohne gesonderte Absprache erhöhte Anforderungen zu stellen wären. Hinzu kommt, dass die Verwendung der Ende-zu-Ende-Verschlüsselung nicht vom Versender einer E-Mail allein durchgeführt werden kann. Die Beklagte hat schon nicht vorgetragen, dass ihr eigenes System die Voraussetzungen für den Empfang von Ende-zu-Ende-verschlüsselten Nachrichten erfüllt hätte.

OLG Karlsruhe, Urt. v. 27.07.2023 – 19 U 83/22 Rn. 48.

dd. Zwischenergebnis

Eine Pflichtverletzung durch unzureichende IT-Sicherheitsvorkehrungen liegt nicht vor.

  i  

Im Urteil geht das OLG Karlsruhe auch auf die Verwendung einer sog. Transportverschlüsselung ein. Hierzu trägt die K das Vorhandensein einer Transportverschlüsselung bei ihrem Anbieter für E-Mails innerhalb des Anbieters vor. Die Berücksichtigung dieses Vertrags trotz § 314 ZPO diskutiert und bejaht das OLG Karlsruhe aufgrund einer Verletzung des Rechts auf rechtliches Gehör aus Art. 103 I GG.

c. Zwischenergebnis

Mangels Pflichtverletzung besteht kein Schadensersatzanspruch nach §§ 280 I, 241 II BGB und eine Aufrechnung scheidet aus.

d. Mitverschulden (Hilfsgutachterlich)

Zwar stellt das OLG Karlsruhe keine Pflichtverletzung der K fest, führt hierzu aber aus, dass

ein unterstellter Schadensersatzanspruch der Beklagten nach § 254 BGB zu kürzen [wäre], weil ein erhebliches Mitverschulden zu berücksichtigen wäre. Die zweite E-Mail vom 8. Oktober 2021 wie auch die als Anhang hierzu übersandte Rechnung selbst enthalten auffällige Unstimmigkeiten, die der Beklagten Anlass dazu geben mussten, bei der Klägerin nachzufragen, auf welches Bankkonto der Kaufpreis tatsächlich gezahlt werden sollte. In der E-Mail selbst wird die förmliche Anrede „Sie“ verwendet, obwohl die beiden Geschäftsführer sich duzen und dies auch in den kurz zuvor gewechselten E-Mails getan hatten. Hinzu kommen sprachliche Fehler („ausgestelltes“ Bankkonto), die sich bis zu einem inhaltlich vollkommen unverständlichen Satz hin steigern („Bitte senden Sie uns nach der Herstellung der Decke eine Kopie nach der Banküberweisung“). Soweit der Geschäftsführer der Beklagten im Rahmen seiner informatorischen Anhörung angegeben hat, die Nachricht nicht vollständig gelesen und diesen Satz nicht wahrgenommen zu haben, wäre ein unvollständiges Lesen einer Nachricht, in der es immerhin um die Änderung der Kontoverbindung geht, auf die ein fünfstellige Kaufpreis gezahlt werden soll, auch für sich betrachtet unsorgfältiges Handeln. Dazu kommen die widersprüchliche Gestaltung der mit der zweiten E-Mail übersandten Rechnung selbst, in der zwei Bankverbindungen angegeben sind, sowie der Um­stand, dass bei der von der Beklagten hernach verwendeten Bankverbindung eine natürliche Person als Kontoinhaber angegeben war, die in keinerlei erkennbarem Zusammenhang mit dem Geschäftsbetrieb der Klägerin stand.

OLG Karlsruhe, Urt. v. 27.07.2023 – 19 U 83/22 Rn. 57.

4. Zwischenergebnis

Der Anspruch auf Zahlung ist nicht durch Erfüllung oder Aufrechnung erloschen.

IV. Ergebnis

K hat nach § 433 II BGB Anspruch auf Zahlung des Kaufpreises in Höhe von 13.500 €, nach § 280 II, 286 BGB einen Anspruch auf Erstattung vorgerichtlicher Rechtsanwaltskosten und nach §§ 286, 288 BGB einen Anspruch auf Zahlung von Verzugszinsen. B trägt die Kosten des Rechtsstreits beider Instanzen. Eine Revision wird nicht zugelassen.

Nachweis

[1] BSI, Sicherer Betrieb von E-Mail-Servern (ISi-S), S. 24, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_mail_server_studie_pdf [20.08.2023].


verfasst von Ali Tahir Sen


Über die Tags kannst du verwandte Artikel finden:

0 0 votes
Article Rating
Abonnieren
Benachrichtige mich bei
guest
0 Kommentare
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
DSGVO Cookie Consent mit Real Cookie Banner