Was für fatale Auswirkungen es haben kann, wenn eine E-Mail-Adresse gehackt wird, zeigt der folgende Fall, der vor dem Oberlandesgericht Karlsruhe (OLG) landete. Und dem Urteil zufolge sollten alle, die per Mailkontakt Käufe tätigen, mehr als nur einen Blick auf augenscheinliche Unstimmigkeiten werfen - wie etwa einen doppelten Rechnungserhalt wie hier. Geschieht das nicht, kann es empfindlich teuer werden.

Es ging um einen Kaufvertrag über einen gebrauchten Pkw zum Preis von 13.500 EUR. Noch am Kauftag schickte die Verkäuferin eine Rechnung mit Angabe des Empfängerkontos per E-Mail. Nur kurze Zeit darauf erhielt die Käuferin eine erneute E-Mail von der E-Mail-Adresse der Verkäuferin mit einer Rechnung im Anhang. Auf dieser war allerdings ein ganz anderes Empfängerkonto bei einer Bank in Berlin mit einem anderen Kontoinhaber angegeben. Es kam, wie es kommen musste: Die Käuferin überwies die 13.500 EUR auf das letztgenannte Konto aus der zweiten E-Mail. Als die Verkäuferin die Käuferin "nochmals" zur Zahlung aufforderte, stellte sich heraus, dass die zweite E-Mail aufgrund eines Hackerangriffs von einer unbefugten dritten Person versandt worden war. Folglich war das in der zweiten Rechnung angegebene Konto nicht das der Verkäuferin. Ihr eigenes E-Mail-Konto hielt die Verkäuferin für sicher - es war mit einem Passwort geschützt, das alle zwei bis vier Wochen geändert werde. Computer und Software der Verkäuferin wären zudem über eine Firewall geschützt, die ebenso regelmäßig aktualisiert werde. Darüber hinaus waren Computer und Software über die Vollversion einer Sicherheitssoftware geschützt. Daher klagte die Verkäuferin die 13.500 EUR ein - und erhielt Recht.

Es gibt laut OLG keine gesetzlichen Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr. Daher bestimmen sich die erforderlichen Sicherheitsvorkehrungen nach den Sicherheitserwartungen unter Berücksichtigung der Zumutbarkeit. Selbst wenn man eine Pflichtverletzung der Verkäuferin sehen wollte, fehlte es am Nachweis der Kausalität dieser Pflichtverletzung für den eingetretenen Schaden. Es blieb also ungeklärt, wie es tatsächlich dazu gekommen war, dass die zweite E-Mail mit der ge- oder verfälschten Rechnung die Käuferin erreichte. Schließlich wäre ein unterstellter Schadensersatzanspruch der Käuferin zu kürzen, weil ein erhebliches Mitverschulden zu berücksichtigen wäre.

Hinweis: Wer sich in solchen Streitfällen auf den sachlichen Anwendungsbereich der Datenschutz-Grundverordnung berufen will, muss berücksichtigen, dass diese nur für die Verarbeitung von Informationen gilt, die sich auf eine natürliche Person beziehen - nicht also auf den allgemeinen Geschäftsverkehr.

(aus: Ausgabe 11/2023)