Wer haftet im Unternehmen nach Phishing-Angriff?

Es vergeht kein Tag, an dem es keine neuen Meldungen über Phishing-Angriffe gibt. Dabei sind die Betrüger nicht mehr so ungeschickt und auffällig wie früher. Die Mails werden immer raffinierter und wirken täuschend echt. Besonders, wenn sie vermeintlich von der eigenen Bank oder von großen und bekannten Online-Shops stammen, bei denen der Mail-Empfänger selbst Kunde ist. Dann erweckt so eine Mail nicht sofort Misstrauen. Selbst die Mitarbeiter des Softwareunternehmen Gitlab fielen auf eine, eigens zu Testzwecken kreierte, Mail herein und bewiesen damit: Es kann jeden treffen.

Vermeintlicher Geschäftspartner erbeutet knapp 140.000 US-Dollar

Das Schlimme ist jedoch der Schaden, der für jeden einzelnen Betroffenen oder gar ein komplettes Unternehmen mit einem unbedarften Klick entstehen kann. Ein Gericht hatte die Frage auf dem Tisch, wer dann intern in der Firma haften muss.

Ein vermeintlicher Geschäftspartner aus Südkorea war es, der die Geschäftsführerin eines Unternehmens dazu veranlasste, mehrere Überweisungen in Höhe eines sechsstelligen Betrages zu tätigen, alles im Glauben, damit tatsächlich bestehende Forderungen zu begleichen. Ihr fiel die abweichende E-Mail-Adresse („w...flim“ statt „w…film“) zunächst nicht auf. Erst als die Geschäftsführerin einen Hinweis der Hausbank auf Unregelmäßigkeiten erhielt, fiel ihr die Betrugsmasche auf und sie erstattete Strafanzeige.

Fahrlässig: ja, Haftung: nein

Schließlich hatte die Geschäftsführerin Glück im Unglück. Sie muss das Geld nicht aus eigener Tasche erstatten und für die Phishing-Masche und ihren Fehler haften. Zwar hat die Geschäftsfrau bei den Überweisungen leicht fahrlässig gehandelt, da sie bei der Überweisung höherer Geldbeträge hätte sorgfältiger sein müssen (OLG Zweibrücken 4. Zivilsenat, Urteil vom 18.08.2022, Az.: 4 U 198/21). Auch der „Buchstabendreher“ in den Phishing-Mails hätte ihr auffallen können und müssen.

Diese Nachlässigkeit führt jedoch nach Ansicht der Richter nicht zu der Annahme einer Pflichtverletzung, die ihr als Geschäftsführerin eine persönliche Haftung einbringen kann. Es war einfach ein sehr professionelles Handeln, auf welches die Geschäftsführerin als Betrugsopfer „hereingefallen“ sei, so die Richter. Den Schaden wird nun das GmbH-Gesellschaftsvermögen stemmen müssen.