18
Feb.
Allgemein, Datenschutzrecht, IT-Recht

Sicherer Rechnungs­versand: Unter­nehmer haften bei mangelnder IT-Sicherheit

Veröffentlicht am von Rechtsanwalt Sylvio Schiller

Ein aktuelles Urteil des Schleswig-Holstei­ni­schen Oberlan­des­ge­richts (Az. 12 U 9/24) hat die Frage beant­wortet, wer haftet, wenn eine Rechnung durch Cyber­betrug manipu­liert wurde. Das Gericht hat entschieden, dass eine Zahlung des Kunden auf ein falsches Konto nicht schuld­be­freiend wirkt. Für Unter­nehmer ist besonders zu beachten, dass sie für die Sicherheit ihres Rechnungs­ver­sands sorgen müssen. Unter Umständen haften sie selbst für Schäden

Cyber­betrug durch manipu­lierte Rechnungen

Ein Handwerks­be­trieb stellte einem Kunden eine Schluss­rechnung über eine erbrachte Werkleistung aus. Die Rechnung wurde per E‑Mail versandt. Unbekannte Dritte haben die E‑Mail abgefangen, die Konto­daten manipu­liert und die Rechnung an den Kunden weiter­ge­leitet. Der Kunde beglich die Rechnung auf das gefälschte Konto. Später stellte sich heraus, dass das Geld nicht beim Handwerker ankam, und dieser forderte die Zahlung erneut.

Der Kunde argumen­tierte, er habe in gutem Glauben gezahlt. Zudem sei es die Verant­wortung des Unter­nehmers, für einen sicheren Versand der Rechnungen zu sorgen. Der Fall wurde schließlich vor Gericht verhandelt.

Die Entscheidung des Gerichts: Unter­nehmer müssen Rechnungs­versand absichern

Das Schleswig-Holstei­nische Oberlan­des­ge­richt hat in einem aktuellen Urteil bestätigt, dass eine Zahlung auf ein falsches Konto nicht automa­tisch zur Schuld­be­freiung führt. Dies beruht auf den Regelungen des deutschen Schuld­rechts: Eine Verbind­lichkeit gilt erst dann als erfüllt, wenn der geschuldete Betrag an den berech­tigten Gläubiger oder auf das von diesem benannte Konto gezahlt wurde. Das Gericht hat dies wie folgt präzisiert:

“Die Zahlungs­pflicht des Schuldners wird nur dann als erfüllt betrachtet, wenn die Leistung an den Gläubiger oder einen von ihm benannten Empfänger erbracht wurde. Eine Zahlung auf ein manipu­liertes Konto erfüllt diese Voraus­setzung nicht.”

Da der Kunde die Zahlung auf das manipu­lierte Konto geleistet hatte, blieb seine Zahlungs­pflicht gegenüber dem Handwerks­be­trieb bestehen.

Gleich­zeitig wurde seitens des Gerichts ein Schadens­er­satz­an­spruch des Kunden anerkannt. Dieser beruht auf den Bestim­mungen des Daten­schutz­rechts, insbe­sondere auf Art. 82 DSGVO. Das Unter­nehmen hatte keine angemes­senen Schutz­maß­nahmen für den sicheren Versand der Rechnung getroffen, insbe­sondere keine Ende-zu-Ende-Verschlüs­selung oder alter­native sichere Übertra­gungs­me­thoden genutzt. Das Gericht argumen­tierte, dass der Rechnungs­versand per ungesi­cherter E‑Mail eine vermeidbare Verletzung der daten­schutz­recht­lichen Schutz­pflichten darstelle. Das Gericht sah eine Mitver­ant­wortung des Unter­nehmens, da es die daten­schutz­recht­lichen Anfor­de­rungen nicht erfüllt hat. Dem Kunden wurde ein Schadens­er­satz­an­spruch zugesprochen, der mit der offenen Werklohn­for­derung verrechnet werden konnte. Dadurch wurde dem Kunden keine weitere finan­zielle Belastung auferlegt, der entstandene Schaden wurde letztlich vom Handwerks­be­trieb getragen.

Das Gericht betont, dass Unter­nehmen für die Sicherheit ihrer E‑Mail-Kommu­ni­kation verant­wortlich sind. Der Versand von Rechnungen ohne angemessene Sicher­heits­maß­nahmen – etwa über unver­schlüs­selte E‑Mails – kann gegen die geltenden Daten­schutz­vor­gaben verstoßen. Im vorlie­genden Fall hätte der Handwerker moderne Schutz­maß­nahmen wie Ende-zu-Ende-Verschlüs­selung oder ein sicheres Kunden­portal nutzen müssen. Da dies nicht erfolgte, erhielt der Kunde einen Schadens­er­satz­an­spruch, den er mit der Werklohn­for­derung verrechnen konnte. Dadurch wurde verhindert, dass der Kunde doppelt zahlen muss, während der Handwerker den entstan­denen Schaden trägt.

Unter­nehmer tragen Mitver­ant­wortung für die Sicherheit des Rechnungsversands

  • Das Gericht betonte, dass Unter­nehmen verpflichtet sind, ihre E‑Mail-Kommu­ni­kation abzusichern.
  • Unver­schlüs­selte oder nur trans­port­ver­schlüs­selte E‑Mails (z. B. über TLS) gelten als unsicher.
  • Es wird erwartet, dass Unter­nehmen Maßnahmen wie Ende-zu-Ende-Verschlüs­selung, digitale Signa­turen oder die Bereit­stellung von Rechnungen über sichere Kunden­portale nutzen.

Haftung bei Verstößen gegen die DSGVO

  • Falls ein Unter­nehmen nicht für ausrei­chende Sicher­heits­maß­nahmen sorgt, kann es gegen die Daten­schutz-Grund­ver­ordnung (DSGVO) verstoßen.
  • In diesem Fall kann dem Kunden ein Schadens­er­satz­an­spruch zustehen, der mit der Werklohn­for­derung des Unter­nehmens verrechnet werden kann.
  • Das bedeutet: Wenn ein Unter­nehmen keine geeig­neten Schutz­maß­nahmen ergreift, könnte es im Streitfall die Zahlung verlieren.

Praktische Empfeh­lungen für Unternehmer

  • ✔ Rechnungen nicht unver­schlüsselt per E‑Mail versenden.
  • ✔ Digitale Signa­turen oder Kunden­portale für Rechnungs­stellung nutzen.
  • ✔ Ihre Kunden vor Betrugs­me­thoden (z. B. geänderte Konto­daten) warnen.
  • ✔ Auf Rechnungen explizit vermerken, dass Bankver­bin­dungen nicht per E‑Mail geändert werden.
  • ✔ Kunden sensi­bi­li­sieren, Zahlungs­daten telefo­nisch zu bestä­tigen, wenn sie ungewöhnlich erscheinen.
Rechtsanwalt Sylvio Schiller

Als Rechtsanwalt und Partner der B2.Legal Rechtsanwälte PartmbB habe ich mich auf das Markenrecht, Urheberecht, Designrecht und Wettbewerbsrecht spezialisert. Hier finden Sie einige meiner Veröffentlichungen.