Nach Hackerangriff auf Verkäufer: Käufer muss Leistung erneut erbringen

OLG Karlsruhe zu Sicherheitsvorkehrungen im E-Mail-Verkehr, Urteil vom 27.07.2023, 19 U 83/22

Zum Sachverhalt:

Die Klägerin verkaufte einen gebrauchten PKW zu einem Preis von 13.500,00 € an die Beklagte. Auf Wunsch der Beklagten versendete die Klägerin noch am selben Tag eine E-Mail mit der Rechnung im Anhang. Wenige Stunden später erhielt die Beklagte eine zweite E-Mail von der E-Mail-Adresse der Klägerin. Darin enthalten war nochmals eine Rechnung. Allerdings enthielt die neue Rechnung ein anderes Empfängerkonto mit anderem Namen. Die Beklagte überwies den Betrag an das Konto der zweiten E-Mail. Nachdem die Klägerin die Beklagte nach mehreren Tagen erneut zur Zahlung aufforderte, stellte sich heraus, dass die zweite E-Mail aufgrund eines Hackerangriffs von einem unbefugten Dritten versandt worden war. Dies hätte der Beklagten bei genauerer Betrachtung auffallen können. Die Klägerin forderte von der Beklagten die erneute Bezahlung des Kaufpreises i.H.v. 13.500,00 €.

 

Anspruch des Verkäufers durch Zahlung des Käufers erloschen?

Das LG Mosbach hatte zunächst entschieden, dass der Anspruch der Klägerin durch die Überweisung der Beklagten auf das Empfängerkonto der zweiten E-Mail gem. § 362 I Bürgerliches Gesetzbuch (BGB) erloschen ist. Dieser Auffassung widersprach das OLG Karlsruhe nun richtigerweise. Bei Geldschulden handelt es sich um sogenannte Bringschulden. Das bedeutet, dass der Käufer das Risiko des Untergangs oder der Verspätung zu vertreten hat. Da die Beklagte den Betrag an einen unbekannten Dritten überwiesen hatte, ist der geschuldete Leistungserfolg nicht eingetreten.

Die Leistung an einen Dritten hat gem. §§ 362 II, 185 BGB nur dann befreiende Wirkung, wenn der Dritte vom Verkäufer ermächtigt wurde, die Leistung in eigenem Namen anzunehmen oder wenn der Verkäufer den Käufer ermächtigt hat, an einen Dritten zu leisten. Da die zweite E-Mail tatsächlich nicht von der Klägerin selbst versandt wurde, kann in der Rechnung, die eine andere Bankverbindung mit anderem Namen enthielt, keine solche Ermächtigung gesehen werden. Die Leistung an einen Dritten entfällt daher ebenfalls.

§ 370 BGB stellt die Vermutung auf, dass der Überbringer einer Quittung als ermächtigt gilt, die Leistung zu empfangen. Voraussetzung hierfür ist jedoch, dass eine echte Rechnung bzw. Quittung überbracht werden muss. An einer solchen echten Rechnung fehlt es jedoch in hiesigem Fall, da die von der Klägerin zuvor erstellte Rechnung durch den Dritten verfälscht worden ist.

Der Anspruch der Klägerin ist somit nicht erloschen und besteht fort.

 

Schadensersatzansprüche der Beklagten?

Die Beklagte forderte nun Schadensersatz gem. §§ 280 I, 241 II BGB von der Klägerin. Als Begründung führte sie an, die Klägerin habe Nebenpflichten aus dem Vertrag verletzt. Sie wirft der Klägerin vor, dass sie keine Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung verwendet hat.

Grundsätzlich besteht für die Klägerin die Nebenpflicht, sich bei der Abwicklung des Schuldverhältnisses so zu verhalten, dass Person, Eigentum und sonstige Rechtsgüter – auch das Vermögen – der Beklagten nicht verletzt werden. Eine Pflicht zur Verwendung einer Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung bestehe hingegen nicht. Eine ausdrückliche Vereinbarung zwischen den Parteien hierüber erfolgte ebenfalls nicht. Das OLG Karlsruhe erachtete die von der Klägerin getroffenen Sicherheitsvorkehrungen als ausreichend. Diese Ansicht beruhte auf der Art des Passworts, der regelmäßigen Änderung des Passworts und der Nutzung einer aktuellen Virensoftware und Firewall.

Vielmehr hätte es der Beklagten auffallen müssen, dass es sich bei den Angaben auf der Rechnung nicht um die Empfängerdaten der Klägerin handelte. Dies hätte Anlass zur Vorsicht und Nachfrage bei der Klägerin geben müssen, was die Beklagte unterließ. Ein Schadensersatzanspruch der Beklagten besteht mangels Pflichtverletzung nicht.

 

Welche Sicherheitsvorkehrungen müssen eingehalten werden?

Welche Sicherheitsvorkehrungen im geschäftlichen Verkehr getroffen werden müssen, ist vom Einzelfall abhängig. An einer gesetzlichen Regelung hierfür fehlt es. Den Parteien wird daher geraten, eigene ausdrückliche Vereinbarungen hierzu zu treffen. Ansonsten ist auf die Sicherheitserwartungen des maßgeblichen Verkehrs unter Berücksichtigung der Zumutbarkeit abzustellen.

Wir danken an dieser Stelle unserem Wissenschaftlichen Mitarbeiter Johannes Leidner für die Idee und Umsetzung dieses Beitrags.