Vielfach werden heute Rechnungen per E-Mail an den Kunden versandt. Es häufen sich die Fälle, in denen solche Rechnungen von kriminellen Dritten abgegriffen, die Kontoverbindungen manipuliert und die manipulierten Rechnungen an den Empfänger weitergeleitet werden. Wenn der Kunde nun diese Rechnung zahlt, stellt sich die Frage, ob das Automobilunternehmen eine erneute Zahlung des Kunden auf das richtige Konto verlangen kann. Die derzeitige obergerichtliche Rechtsprechung ist leider uneinheitlich.
Zwei Oberlandesgerichte (OLG) entschieden gegensätzlich über die Frage, welche Rechtsfolgen die Zahlung eines Kunden auf ein händlerfremdes Konto nach Erhalt einer manipulierten Rechnung hat und welche Sicherheitsvorkehrungen vom Unternehmer im Zusammenhang mit dem Versand geschäftlicher E-Mails zu treffen sind.
• Das OLG Karlsruhe stellte fest, dass die Zahlung des Kunden auf ein falsches Konto nicht zur Erfüllung der Zahlungspflicht führte. Der Kfz-Händler hatte in diesem Fall ausreichende Sicherheitsmaßnahmen getroffen und keine Pflichtverletzung begangen. Ein erhebliches Mitverschulden des Käufers wurde festgestellt.
• Das Schleswig-Holsteinische Oberlandesgericht entschied, dass die Zahlung eines Kunden auf das falsche Konto nicht zur Erfüllung der Zahlungspflicht führte. Jedoch hatte der Werkunternehmer gegen die Datenschutzgrundverordnung (DSGVO) verstoßen, indem er keine ausreichenden Sicherheitsmaßnahmen getroffen hatte. Ein Mitverschulden des Kunden wurde verneint. Der Kunde konnte mit dem Zahlungsanspruch des Unternehmers aufrechnen.
• Eine sog. Transportverschlüsselung von E-Mails sei für einen E-Mail-Versand mit angehängter Rechnung nicht ausreichend.
• Vielmehr sei eine sog. End-to-End-Verschlüsselung zurzeit das Mittel der Wahl für ein Unternehmen, auch wenn diese vom Unternehmer einen gewissen technischen Aufwand erfordere.
Diese Urteile zeigen, dass es einer grundsätzlichen Entscheidung des Bundesgerichtshofs (BGH) bedarf. Zur Vermeidung von Haftungsrisiken wird den Betrieben empfohlen, nachfolgende Empfehlung zu beachten.
Empfehlung:
Die beiden vorgenannten Urteile aus dem B2C-Geschäft behandeln ähnliche Sachverhalte, bei denen Rechnungen per E-Mail manipuliert wurden und Zahlungen auf falsche Konten erfolgten. Die wesentlichen Unterschiede liegen in den Entscheidungsgründen der Urteile.
1. Sicherheitsmaßnahmen und Mitverschulden
• Im Fall des OLG Karlsruhe wurde festgestellt, dass die Klägerin ausreichende Sicherheitsmaßnahmen getroffen und keine Pflichtverletzung begangen hatte. Es wurde ein erhebliches Mitverschulden des Käufers festgestellt, da die manipulierte E-Mail auffällige Unstimmigkeiten aufwies, die eine Nachfrage erforderlich gemacht hätte.
• Im Fall des Schleswig-Holsteinischen Oberlandesgerichts wurde der Klägerin ein Verstoß gegen die DSGVO vorgeworfen, weil sie keine ausreichenden Sicherheitsmaßnahmen getroffen hatte. Ein Mitverschulden des Kunden wurde verneint.
2. Empfohlene Sicherheitsvorkehrungen beim Versand von E-Mails mit angehängten Rechnungen im Geschäftsverkehr
• Die in beiden Urteilen entscheidende Frage, welche Sicherheitsvorkehrungen von einem Unternehmer bei einem Versand von E-Mails mit angehängten Rechnungen im Geschäftsverkehr getroffen werden müssen, ist vom BGH bisher nicht entschieden worden.
• Für Betriebe empfiehlt es sich, einen E-Mail-Versand mit angehängter Rechnung im geschäftlichen Verkehr stets unter Verwendung einer End-to-End-Verschlüsselung vorzunehmen.
• Dies mag zwar für die Betriebe zunächst einen überschaubaren technischen, finanziellen und organisatorischen Aufwand durch die Inanspruchnahme einer technischen Beratung und der Umstellung bzw. Einsatz von gesonderten Programmen bedeuten. Der Betrieb muss sich jedoch bewusst sein, dass angesichts der allgemein bekannten und vielfältig veröffentlichten Hackermöglichkeiten im Einzelfall weitreichende finanzielle Folgen für ihn oder den einzelnen Kunden, dessen Rechnung verfälscht wird und der selbst keinen Einfluss auf die Verarbeitung seiner Daten hat, eintreten können.
• Im Hinblick auf E-Rechnungen kommt hinzu, dass diese regelmäßig mit einem QR-Code versehen sind, welcher die wesentlichen Daten der Rechnung (Name, IBAN des Zahlungsempfängers, Rechnungsbetrag und Verwendungszweck) enthält und mittels QR-Scanner vom Käufer in das genutzte Banking-Systems zum Zweck der einfachen Zahlungsanweisung übernommen werden können. Auch dieser QR-Code kann – wie auch die Bankverbindungen selbst – von einem Betrüger leicht mit seinen eigenen Kontodaten bestückt, generiert und sodann in die abgefangene E-Mail eingepflegt werden.
• Soweit der Betrieb diesen hohen Standard zum Schutz von personenbezogenen Daten beim Versand von Emails mit angehängten Rechnungen nicht sicherstellen kann oder möchte, bleibt für ein Unternehmen wie eh und je ein Versand von Rechnungen an Privatkunden per Post derzeit das sicherste Mittel der Wahl.