Wir berichteten kürzlich, wie viele Sicherheitslücken auf Webseiten bestehen, die von Hackern ausgenutzt werden können. In einem jüngsten Fall hatte das gravierende Folgen für den Käufer eines Fahrzeuges. Er musste doppelt zahlen, weil er auf eine gefälschte E-Mail hereingefallen war (Az.: 1 O 271/21).
Zwei Unternehmen schlossen im Oktober 2021 per Telefon einen Vertrag über einen gebrauchten Pkw Daimler Typ E200T. Die Rechnung und die Zahlungsdetails übersandte der Verkäufer wie telefonisch abgesprochen als angehängte pdf-Datei per E-Mail. Unerkannt war aber geblieben, dass der Verkäufer E-Mailaccount gehackt worden war und der Infiltrator die Nachrichten mitließ. Er übersandte unmittelbar eine zweite E-Mail mit derselben Rechnung aber gab ein anderes Konto zu Zahlungszwecken an. Darauf überwies der Käufer den Preis von 13.500 Euro.
Schon gewusst? Unterlassungsanspruch bei Verstoß gegen den Datenschutz?
Nachdem der Verkäufer lange auf die Zahlung wartete, fiel die Infiltration auf. Der Verkäufer verlangte nun die Zahlung von 13.500 Euro. Der Käufer weigerte sich und behauptete, es liege in der Verantwortung des Verkäufers sein Konto zu schützen. Der Verkäufer wandte allerdings ein, dass die falsche E-Mail verdächtig war. So siezte die falsche E-Mail etwa den Käufer und wies Rechtschreibfehler auf, obwohl sich die Parteien noch am Telefon duzten.
Schon gewusst? Schufa-Scoring verstößt gegen DSGVO?
Das Oberlandesgericht Karlsruhe musste nun die Frage klären, ob der Käufer durch die Zahlung auf das Konto des Hackers seine Verpflichtung aus dem Vertrag erfüllt hat. Denn unstreitig ist, dass die Parteien einen Kaufvertrag über den Daimler Typ E200T für 13.500 Euro geschlossen haben.
Schon gewusst? Was ist ein Hinweisgebersystem?
Die Erfüllung von Vertragspflichten regelt § 362 Bürgerliches Gesetzbuch ("BGB"). Das Oberlandesgericht Karlsruhe führt aus, dass "die Leistung [spricht: die Überweisung] an einen Dritten [nur] dann befreiende Wirkung [hat], wenn dieser vom Gläubiger rechtsgeschäftlich ermächtigt ist, die Leistung im eigenen Namen in Empfang zu nehmen."
Das sei aber nicht der Fall - die Parteien seien sich einig darüber, dass die E-Mail von jemand anderem kam. Demnach könne von ihr keine Ermächtigung ausgehen.
Hinweis: Auch eine nachträgliche Genehmigung sei grundsätzlich möglich. Wenn das Geld also an eine andere Person überwiesen wird, kann der Verkäufer diese Überweisung nachträglich genehmigen.
Allerdings sei es nach den Ausführungen des Oberlandesgericht grundsätzlich möglich, dass ein ungeschützter E-Mail Account Schadensersatzansprüche auslöst, wenn durch die Schutzlücke jemand anderes geschädigt wird. Diese könnten dann dem Kaufpreisbegehren entgegengehalten werden.
Dabei bestünden aber keine Pflichten zur Verschlüsselung durch den Verkäufer. Dies sei nicht üblich im Geschäftsverkehr. Nur wenn der E-Mailaccount völlig ungesichert war oder sich das Hacking auf ein Verschulden des Verkäufers zurückführen lässt, komme ein Schadensersatzanspruch in Betracht.
Derartige Fallkonstellationen dürften immer häufiger werden - denn die Hacking-Masche ist beliebt. Daher sollten E-Mails immer genau gelesen werden und auf Unstimmigkeiten überprüft werden. Daneben lässt das Urteil aber auch Fragen offen. So kommen auch Schadensersatzansprüche nach der DSGVO eventuell in Betracht, wenn der Hacker auf personenbezogene Daten des Käufers zugreifen konnte.
Bei weiteren Fragen zum Thema IT- und Datenschutzrecht, stehen wir Ihnen gerne auch persönlich zur Seite. Terminvereinbarungen können Sie während unserer Bürozeiten unter der Telefonnummer 0201-24030 oder per Email unter info@schumacherlaw.com vornehmen.
Ihre Kanzlei Schumacher & Partner
Rechtsanwälte für IT- und Datenschutzrecht in Essen