Das OLG Karlsruhe hat am 27. Juli 2023 eine richtungsweisende Entscheidung (Az. 19 U 83/22) getroffen, die die Pflichten im Zusammenhang mit dem Versand geschäftlicher E-Mails und die Haftung bei Cyberangriffen in den Fokus rückt. Dieses Urteil hat weitreichende Implikationen für den Geschäftsverkehr und die IT-Sicherheit.
Der Fall
Im Mittelpunkt des Falls stand eine Geschäftstransaktion, bei der ein Unternehmen (Klägerin) einen PKW an ein anderes Unternehmen (Beklagte) verkaufte. Die Klägerin schickte zunächst eine E-Mail mit der Rechnung an die Beklagte. Kurz darauf erhielt die Beklagte eine zweite E-Mail, scheinbar von der Klägerin, mit einer gefälschten Rechnung, die ein anderes Konto auswies. Die Beklagte überwies den Betrag auf das falsche Konto. Es stellte sich heraus, dass die zweite E-Mail das Ergebnis eines Hackerangriffs war.
Die Entscheidung des OLG Karlsruhe
Das OLG Karlsruhe entschied, dass die Klägerin nicht für den Verlust haftet, da sie angemessene Sicherheitsmaßnahmen ergriffen hatte. Das Gericht stellte fest, dass es keine spezifischen gesetzlichen Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt. Die Anforderungen bestimmen sich nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit.
Sicherheitsvorkehrungen und Zumutbarkeit
Das Gericht machte deutlich, dass Sicherheitsmaßnahmen, wie die Ende-zu-Ende-Verschlüsselung oder Transportverschlüsselung, zwar empfehlenswert, aber nicht verpflichtend sind, sofern keine gesonderte Vereinbarung getroffen wurde. Es betonte, dass die Sicherheitserwartungen des Verkehrs und die Zumutbarkeit solcher Maßnahmen in jedem Einzelfall zu bewerten sind:
Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt es nicht; insbesondere ist der sachliche Anwendungsbereich der Datenschutz-Grundverordnung im Streitfall nicht eröffnet, da diese nur für die Verarbeitung von Informationen gilt, die sich auf eine natürliche Person beziehen (vgl. Art. 2 Abs. 1, Art. 4 Nr. 1 DS-GVO). Auch eine ausdrückliche Vereinbarung zwischen den Parteien ist insoweit nicht erfolgt; insbesondere hat die Beklagte, von der die Initiative dafür ausging, dass die Rechnung überhaupt per E-Mail verschickt wurde, anlässlich der Äußerung ihrer entsprechenden Bitte in der E-Mail ihres Geschäftsführers vom 8. Oktober 2021, 10:15 Uhr (Anlage K 2) keinerlei Sicherheitsvorkehrungen, die sie für erforderlich halte, ausdrücklich erwähnt. Welches Maß an Sicherheitsvorkehrungen von der Klägerin zu fordern war, bestimmt sich daher nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (vgl. Riem/Meier, MMR 2020, 571, 573).
Randnummer34
Nicht maßgeblich für die berechtigten Sicherheitserwartungen des Verkehrs ist dabei die vom Landgericht herangezogene „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen“. Ausweislich deren Zielstellung dient sie zur Konkretisierung der Vorgaben des Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 Abs. 1 DS-GVO. Letztere ist aber, wie soeben ausgeführt, im Verhältnis der Parteien zueinander überhaupt nicht anwendbar. Ohnehin wird hierin die Verwendung einer Ende-zu-Ende-Verschlüsselung anders als vom Landgericht dargestellt nicht als stets erforderlich angesehen, sondern sollte „in der Abwägung der notwendigen Maßnahmen berücksichtigt“ werden und wird nur für den Fall, dass „der Bruch der Vertraulichkeit ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen darstellt“, als „Muss“ bezeichnet.
Keine Haftung ohne Nachweis eines Verschuldens
Entscheidend war, dass kein Beweis dafür erbracht wurde, dass ein schuldhaftes Verhalten der Klägerin zum Hackerangriff geführt hatte. Auch ein Anscheinsbeweis für eine Pflichtverletzung aufgrund unzureichender Sicherheitsvorkehrungen wurde vom Gericht verneint.
Folgen für den Geschäftsverkehr
Diese Entscheidung unterstreicht die Notwendigkeit für Unternehmen, geeignete Sicherheitsmaßnahmen zu ergreifen, um sich und ihre Kunden vor Cyberangriffen zu schützen. Sie macht jedoch auch deutlich, dass die Haftung bei solchen Angriffen nicht pauschal dem Unternehmen zugeschrieben werden kann, das die E-Mail verschickt hat. Dabei muss sich jedes Unternehmen fragen lassen, ob es ein Mitverschulden trifft:
Schließlich wäre ein unterstellter Schadensersatzanspruch der Beklagten nach § 254 BGB zu kürzen, weil ein erhebliches Mitverschulden zu berücksichtigen wäre. Die zweite E-Mail vom 8. Oktober 2021 wie auch die als Anhang hierzu übersandte Rechnung selbst enthalten auffällige Unstimmigkeiten, die der Beklagten Anlass dazu geben mussten, bei der Klägerin nachzufragen, auf welches Bankkonto der Kaufpreis tatsächlich gezahlt werden sollte. In der E-Mail selbst wird die förmliche Anrede „Sie“ verwendet, obwohl die beiden Geschäftsführer sich duzen und dies auch in den kurz zuvor gewechselten E-Mails getan hatten.
Hinzu kommen sprachliche Fehler („ausgestelltes“ Bankkonto), die sich bis zu einem inhaltlich vollkommen unverständlichen Satz hin steigern („Bitte senden Sie uns nach der Herstellung der Decke eine Kopie nach der Banküberweisung“). Soweit der Geschäftsführer der Beklagten im Rahmen seiner informatorischen Anhörung angegeben hat, die Nachricht nicht vollständig gelesen und diesen Satz nicht wahrgenommen zu haben, wäre ein unvollständiges Lesen einer Nachricht, in der es immerhin um die Änderung der Kontoverbindung geht, auf die ein fünfstelliger Kaufpreis gezahlt werden soll, auch für sich betrachtet unsorgfältiges Handeln.
Dazu kommen die widersprüchliche Gestaltung der mit der zweiten E-Mail übersandten Rechnung selbst, in der zwei Bankverbindungen angegeben sind, sowie der Umstand, dass bei der von der Beklagten hernach verwendeten Bankverbindung eine natürliche Person als Kontoinhaber angegeben war, die in keinerlei erkennbarem Zusammenhang mit dem Geschäftsbetrieb der Klägerin stand.
Fazit
Das Urteil des OLG Karlsruhe setzt neue Maßstäbe für die Bewertung von Sicherheitsvorkehrungen im geschäftlichen E-Mail-Verkehr und bietet Orientierungshilfen für die IT-Sicherheit in Unternehmen. Es bestätigt, dass angemessene Sicherheitsmaßnahmen erforderlich sind, jedoch die Haftung bei Cyberangriffen nicht automatisch beim Versender der E-Mail liegt. Dieses Urteil ist ein bedeutender Schritt in Richtung eines ausgewogeneren Ansatzes zur Haftung im digitalen Zeitalter.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024