Das Landgericht Karlsruhe weist die Klage eines Paares ab, das nach einer E-Mail-Manipulation über 109.000 Euro an Kriminelle überwiesen hatte.
Wer im Internet per E-Mail sensible Dokumente wie Rechnungen empfängt, wiegt sich oft in falscher Sicherheit. Doch eine Manipulation der Bankverbindung durch unbefugte Dritte auf dem Übermittlungsweg kann für Verbraucher verheerende finanzielle Folgen haben. Dass Betroffene in einem solchen Fall den entstandenen Schaden in der Regel selbst tragen müssen und Händler nicht pauschal zur Verschlüsselung ihrer Nachrichten verpflichtet sind, zeigt ein Urteil des Landgerichts Karlsruhe vom 20. Mai (Az.: 8 O 266/25). Die Richter wiesen die Klage eines Ehepaares ab, das Goldbarren im Wert von mehr als 109.000 Euro erwerben wollte, das Geld jedoch aufgrund einer manipulierten E-Mail auf das Konto von Betrügern überwies.
Der Fall liest sich wie ein klassischer Cyberkrimi: Über einen gemeinsamen Bekannten, der als Stellvertreter agierte, orderte das Ehepaar bei einem Edelmetallhändler insgesamt 42 Feingoldbarren. Kurz darauf erhielt der Ehemann eine E-Mail, die optisch exakt den Rechnungen des Händlers entsprach. Der Teufel steckte aber im Detail: Die in der Nachricht angegebene Bankverbindung war gefälscht. Statt der üblichen Sparkasse des Händlers war dort das Konto einer angeblichen Zweigniederlassung einer brasilianischen Bank eingetragen.
Der Käufer schöpfte keinen Verdacht, da er die Bank mit einer bekannten Goldförderregion in Südamerika assoziierte. Er überwies die Summe von insgesamt 109.185 Euro in zwei Tranchen. Als die Lieferung ausblieb und der Betrug aufflog, war das Geld bereits im digitalen Nirwana verschwunden.
Vor Gericht forderten die geprellten Käufer die Lieferung des Goldes oder hilfsweise Schadenersatz. Sie argumentierten, der Händler habe seine Pflichten verletzt, da er die folgenschwere Rechnung unverschlüsselt per Standard-E-Mail versandt habe. Die Kläger beriefen sich dabei unter anderem auf ein älteres Urteil des Oberlandesgerichts Schleswig, das in einem ähnlichen Fall einen Schadenersatzanspruch aus der Datenschutz-Grundverordnung (DSGVO) bejaht hatte.
Das Landgericht Karlsruhe folgte dieser Argumentation indes nicht und wies die Klage vollumfänglich ab. Die 8. Zivilkammer stellte klar, dass durch die Fehlüberweisung keine Erfüllung des Kaufvertrags eingetreten sei. Nach den gesetzlichen Gefahrtragungsregeln trägt der Schuldner einer Geldschuld das Verlustrisiko bei der Übermittlung. Eine Verschiebung dieses Risikos auf den Verkäufer kommt laut dem Gericht nur in extremen Ausnahmefällen in Betracht, etwa wenn der Händler grob fahrlässig eine falsche Kontonummer übermittelt hätte. Da die Rechnungsdaten hier jedoch unstreitig von unbekannten Dritten manipuliert wurden, kann dem Händler das kriminelle Dazwischentreten nicht zugerechnet werden. Das Abfangen und Verändern einer E-Mail im Netz stellt laut Urteil einen derart ungewöhnlichen Kausalverlauf dar, mit dem keine Partei im Vorfeld rechnen musste.
Auch eine generelle Pflicht zur Ende-zu-Ende-Verschlüsselung (E2EE) im alltäglichen geschäftlichen E-Mail-Verkehr lehnten die Karlsruher Richter ab. Weder aus dem Zivilrecht noch aus der DSGVO lasse sich ein solcher Standard ableiten, sofern er nicht ausdrücklich zwischen den Parteien vereinbart worden sei. Das Maß der erforderlichen Sicherheitsvorkehrungen bestimme sich nach den berechtigten Erwartungen des Verkehrs und der Zumutbarkeit.
Da im allgemeinen Rechtsverkehr der unverschlüsselte E-Mail-Austausch von Verbrauchern und Unternehmern gleichermaßen flächendeckend toleriert und genutzt wird, könne eine E2EE-Verschlüsselung, die zudem auf beiden Seiten einen erheblichen technischen Einrichtungsaufwand und den vorherigen Austausch kryptografischer Schlüssel erfordert, nicht als Standard vorausgesetzt werden. Das Gericht verwies in diesem Kontext auch auf das Scheitern der staatlich geförderten De-Mail, die sich aufgrund ihrer Umständlichkeit am Markt nie durchsetzen konnte.
Zudem erteilte die Kammer Schadenersatzansprüchen aus der DSGVO eine Absage. Der sachliche Anwendungsbereich der Verordnung sei gar nicht erst eröffnet, da die Kriminellen nicht die personenbezogenen Daten der Kläger, sondern lediglich die Bankverbindung des Händlers verändert hatten. Eine juristische Person wie der Händler genieße ohnehin keinen DSGVO-Schutz. Die bloße, rein zufällige Betroffenheit der Käuferdaten durch den Empfang der Nachricht reiche für einen datenschutzrechtlichen Anspruch nicht aus.
Zuletzt scheiterte die Klage auch an der Beweislast für den genauen Infektionsweg. Da die Kläger nicht nachweisen konnten, ob der Cyberangriff in der IT-Infrastruktur des Händlers, beim E-Mail-Provider oder gar auf ihrem eigenen Endgerät stattfand, fehlte es an der notwendigen Kausalität. Für die Praxis bedeutet das Urteil eine drastische Mahnung an Verbraucher: Wer hohe Summen bewegt, sollte Rechnungen, die per Mail eintreffen, vor der Überweisung stets über einen zweiten, unabhängigen Kanal – etwa durch einen kurzen Telefonanruf beim Vertragspartner – verifizieren.
Stefan Krempl
Keine Kommentare:
Kommentar veröffentlichen