Keine Ende-zu-Ende-Verschlüsselung im geschäftlichen Verkehr erforderlich

Im geschäftlichen Verkehr ist eine Ende-zu-Ende-Verschlüsselung in der Regel nicht notwendig, entschied das Oberlandesgericht (OLG) Karlsruhe in einem Urteil vom 27. Juli (Az.: 19 U 83/22). Dennoch müssen auch dort gewisse Sicherheitsvorkehrungen beim Versand von E-Mails gewährleistet werden. Dass diese Vorkehrungen aber nicht jedes Risiko, wie etwa Betrug, abdecken müssen, musste der Geschädigte in dem, dem Urteil zugrunde liegenden Fall, erfahren. 

Der Käufer eines Gebrauchtwagens muss den vereinbarten Kaufpreis auch dann an den Verkäufer zahlen, wenn er zuvor auf eine gefälschte Rechnung eines Dritten hereingefallen war und den Betrag bereits an diesen überwiesen hat. Denn für das Durchschauen des Betrugs sei dieser selbst verantwortlich, meint das OLG Karlsruhe. 

Käufer zahlte trotz Auffälligkeiten

Der Geschäftsführer einer Firma erwarb von einem anderen Geschäftsmann einen gebrauchten Mercedes für 13.500 Euro. Wie zuvor vereinbart, schickte der Verkäufer noch am selben Tag eine E-Mail mit der im Anhang befindlichen Rechnung an den Käufer. Nur zwei Minuten später bekam er eine zweite Mail. Diese enthielt allerdings eine manipulierte Zahlungsaufforderung, in der plötzlich eine andere Bank als in der ersten Mail genannt wurde. Auch war die Mail in der Sie-Form gehalten, obwohl sich die beiden Geschäftsführer eigentlich duzten, und sie enthielt am Ende einen unverständlichen Satz, der sich auf eine völlig andere Ware bezog. Trotz alledem überwies der Käufer den Kaufpreis an die zuletzt erhaltenen Bankdaten. 

Der Verkäufer forderte nach elf Tagen den fälligen Betrag ein, doch der Käufer lehnte eine erneute Zahlung ab, da er seine Pflichten aus dem Kaufvertrag erfüllt habe. Daraufhin klagte der Verkäufer. 

Art und Umfang der berechtigten Sicherheitserwartungen sind entscheidend

In der ersten Instanz gab das Landgericht Mosbach dem Käufer noch Recht und verwies darauf, dass der Verkäufer „zu wenig“ für die Datensicherheit getan hatte und der Hackerangriff damit erst möglich war. Das OLG Karlsruhe hob diese Entscheidung nun aber auf und verurteilte den Käufer dazu, den vereinbarten Kaufpreis nebst Zinsen und Prozesskosten zu zahlen. Eine Revision wurde nicht zugelassen.

Die Richter teilten nach Angaben von heise-online mit: „Mangels gesetzlicher Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr bestimmen sich Art und Umfang der erforderlichen Sicherheitsvorkehrungen, soweit hierzu von den Parteien keine ausdrückliche Vereinbarung getroffen wurde, nach den berechtigten Sicherheitserwartungen des maßgeblichen Verkehrs unter Berücksichtigung der Zumutbarkeit.“ Das bedeutet, dass auch der Nachweis einer Transportverschlüsselung oder eines digitalen Signierens einer PDF-Datei nicht erforderlich ist. Bei natürlichen Personen ohne Geschäftsverkehr könnte das nach der DSGVO jedoch anders sein. Die Pflicht, das Verfahren „Sender Policy Framework“ (SPF) anzuwenden, kann das OLG ebenfalls nicht erkennen, da Endnutzer wie der klagende Verkäufer auf das Prüfverfahren für Berechtigungen zum Versenden von E-Post keinen Einfluss haben.