Die Digitalisierung hat unsere Geschäftswelt revolutioniert, doch mit den Annehmlichkeiten des Online-Verkehrs wachsen auch die Risiken. Ein besonders tückisches Szenario tritt ein, wenn Betrüger E-Mail-Accounts kapern, um Zahlungsströme umzuleiten. Was passiert, wenn ein Kunde unwissentlich auf das Konto eines Kriminellen überweist, weil er manipulierten E-Mails vertraut hat? Diese Frage stand im Mittelpunkt eines aufschlussreichen Urteils des Landgerichts Koblenz, das wichtige Orientierungspunkte für Unternehmer und Kunden liefert. Gehackte Kontodaten? Ich helfe bundesweit!
Das LG Koblenz hat sich in seiner Entscheidung vom 26. März 2025 (Az. 8 O 271/22) mit einem Fall auseinandergesetzt, der vielen Selbstständigen und Unternehmen den Schlaf rauben dürfte: Ein Werkunternehmer forderte die Zahlung seines Werklohns ein, doch der Kunde hatte bereits überwiesen – allerdings auf das Konto eines Betrügers. Dieser hatte den E-Mail-Account des Unternehmers gehackt und die Bankdaten manipuliert. Das Gericht stellte klar: Der Werkunternehmer muss sich die auf das Betrügerkonto geleisteten Zahlungen grundsätzlich nicht anrechnen lassen. Allerdings, und das ist ein entscheidender Punkt, sah das Gericht ein Mitverschulden des Unternehmers, da dieser seine Daten besser hätte schützen müssen.
Der Fall im Detail bei gehackten Kontodaten: Zaunbau und Zahlungschaos
Ein Kläger hatte für den Beklagten Zaunbauarbeiten zum Pauschalpreis von 11.000 € ausgeführt und am 9. Juli 2022 die Rechnung mit seiner korrekten Kontoverbindung versandt. Die Kommunikation erfolgte per E-Mail und WhatsApp. Am 15. und 17. Juli 2022 sandte der Beklagte dem Kläger Screenshots von Überweisungen über 6.000 € und 5.000 €. Das Problem: Die angezeigte IBAN gehörte nicht dem Kläger, sondern einem „Ronald Serge B.“. Als keine Zahlungseingänge auf seinem Konto festzustellen waren, stellte der Kläger fest, dass es sich um ein fremdes Konto handelte und forderte weiterhin die Zahlung des Werklohns.
Der Beklagte behauptete, er habe am 9. Juli 2022 die Rechnung vom E-Mail-Account des Klägers erhalten. Am 11. Juli 2022 sei eine weitere E-Mail eingegangen, die ihn aufforderte, den Betrag noch nicht zu überweisen, da sich die Bankverbindung geändert habe. Eine dritte E-Mail vom 15. Juli 2022 habe ihm dann die manipulierte Bankverbindung mitgeteilt, auf die er schließlich überwies. Der Beklagte warf dem Kläger zudem vor, er hätte die Screenshots sofort prüfen und so eine Rückgängigmachung der Zahlungen ermöglichen müssen.
Das Urteil zu gehackten Kontodaten: Anspruch auf Werklohn – aber mit Abzügen
Das LandgerichtEin Landgericht ist ein Gericht der ordentlichen Gerichtsbar... Mehr Koblenz gab der Klage des Werkunternehmers zu 75 % statt, was einem Betrag von 8.250 € entspricht, und wies sie im Übrigen ab. Die zentrale Begründung des Gerichts: Der Anspruch auf Werklohn bleibt bestehen, da der Beklagte seine Schuld nicht durch die Zahlung auf das Betrügerkonto erfüllt hat. Die bloße Tatsache, dass die manipulative Mitteilung vom E-Mail-Account des Klägers stammte, reicht nicht aus, um eine Autorisierung oder Kenntnisnahme durch den Kläger zu vermuten. Das Gericht betonte die bekannte Unsicherheit von E-Mail-Kommunikation und die damit verbundenen Fälschungsrisiken, die beide Parteien bewusst in Kauf nehmen, um ihre Geschäftsbeziehungen zu vereinfachen.
Mitverschulden auf beiden Seiten: Die Tücken der Sorgfaltspflicht bei gehackten Kontodaten
Interessant ist die Würdigung des Mitverschuldens. Das Gericht stellte fest, dass der Beklagte einen eigenen Schadensersatzanspruch gegen den Kläger aus Art. 82 DSGVO geltend machen kann. Der Kläger als Unternehmer ist demnach verpflichtet, sensible Daten, wie die personenbezogenen Angaben des Beklagten und dessen E-Mail-Adresse, gegen Datenschutzverletzungen zu sichern. Eine solche Absicherung wurde hier als unzureichend angesehen.
Allerdings musste sich der Beklagte ein erhebliches Mitverschulden anrechnen lassen. Angesichts der Unsicherheit von E-Mails wäre es seine Pflicht gewesen, die unerwartete Änderung der Bankverbindung kritisch zu hinterfragen, insbesondere da ein völlig fremder Zahlungsempfänger angegeben wurde. Spätestens zu diesem Zeitpunkt hätte er sich beim Kläger rückversichern müssen. Die Argumentation des Beklagten, der Kläger hätte die per WhatsApp gesendeten Screenshots sofort überprüfen müssen, wies das Gericht zurück. Zwar hätte der Kläger bei genauer Prüfung das Problem erkennen können, doch obliegt ihm keine solche Prüfungspflicht, da das Zahlungsrisiko primär beim Beklagten liegt. Zudem sei WhatsApp für kurze Nachrichten gedacht, die oft nur flüchtig gelesen werden und eine sorgfältige Prüfung von Zahlen gar nicht ermöglichen.
Das Gericht entschied sich daher für eine Quotelung des Schadens im Verhältnis 25:75 zu Lasten des Beklagten. Das bedeutet, der Beklagte hat lediglich Anspruch auf Ersatz von 25 % seines Schadens gegen den Kläger und konnte somit nur mit 2.750 € erfolgreich aufrechnen.
Was lernen wir aus diesem Urteil? Gehackte Kontodaten
Dieses Urteil unterstreicht die Notwendigkeit einer robusten Cybersicherheit für Unternehmen und die Pflicht zur kritischen Prüfung bei Kunden.
- Für Unternehmer: Schützen Sie Ihre Daten und Kommunikationskanäle proaktiv. Investieren Sie in sichere E-Mail-Systeme, nutzen Sie Zwei-Faktor-Authentifizierung und schulen Sie Ihre Mitarbeiter im Umgang mit Phishing-Versuchen. Ein effektives ReputationsmanagementDer erste Eindruck entscheidet oft über Erfolg oder Misserf... Mehr beginnt mit der Absicherung Ihrer digitalen Infrastruktur. Denken Sie daran, dass Datenschutzverletzungen nicht nur Ihren Ruf schädigen, sondern auch zu finanziellen Einbußen führen können.
- Für Kunden: Seien Sie wachsam bei ungewöhnlichen E-Mails, insbesondere wenn es um Änderungen von Bankverbindungen geht. Im Zweifelsfall ist ein kurzer Anruf zur Verifizierung der sicherste Weg, um sich vor Betrug zu schützen. Vertrauen ist gut, Kontrolle ist besser – gerade im digitalen Zahlungsverkehr.
Die moderne Rechtsberatung im IT-Recht und Reputationsmanagement zielt darauf ab, sowohl präventive Strategien zu entwickeln als auch im Krisenfall entschlossen zu handeln. Dieses Urteil ist ein klares Signal, dass Sorgfaltspflichten auf beiden Seiten liegen und IT-Recht kein rein technisches, sondern ein hochgradig praxisrelevantes Feld ist.