Doppelte Kosten durch gehackten Mailaccount
Durch eine gefälschte E-Mail kam der Kauf eines Autos nicht zustande, der Verkäufer wartete vergeblich auf sein Geld. Das OLG Karlsruhe musste jetzt klären, ob der Käufer seine Pflichten nicht erfüllt hat oder ob der Autohändler durch besondere Maßnahmen seinen Mailverkehr schützen muss.
Der vorliegende Fall & Entscheidung der Vorinstanzen
Ein Autohändler und ein Geschäftsführer eines Unternehmens einigten sich telefonisch auf einen Kaufpreis von 13.500€ für einen Wagen. Die Rechnung sollte per E-Mail zugestellt werden. Es kamen aber direkt zwei Mails, eine echte und eine gefälschte. Ein Betrüger hatte den Mailaccount des Autoverkäufers gehackt und wie bereits zuvor bei anderen Transaktionen die Zahlungsinformationen ausgetauscht.
Obwohl der Käufer in der Mail gesiezt wurde, während man eigentlich schon per Du war und es noch einige andere sprachliche Fehler gab, überwies er die Kaufsumme auf das Konto des Betrügers. Der Verkäufer wartete vergeblich auf seine 13.500€, versuchte diese gerichtlich einzuklagen und scheiterte in der ersten Instanz.
OLG widerspricht der Vorinstanz
Im Gegensatz zu den Vorinstanzen, sahen das OLG Karlsruhe §362 BGB als nicht erfüllt, da das Geld auf ein fremdes Konto überwiesen wurde, womit die Leistung nicht erfüllt werden konnte.
Das Gericht stellte fest, dass der Autohändler nicht verpflichtet sei, besondere Sicherheitsvorkehrungen, wie etwa die Implementierung von SPF (Sender Policy Framework) oder speziellen Verschlüsselungstechniken, zu treffen. Ein Verstoß gegen Sicherheitsvorkehrungen könnte zwar einen Schadensersatzanspruch nach § 280 Abs. 1 BGB begründen. Diesen könnte der Käufer im Wege der sog. dolo-agit-Einrede geltend machen, aber die Karlsruher Richter sahen hier keinen Verstoß vorliegen.
Was sagt die DSGVO?
Da die Vertragspartner keine speziellen Sicherheitsvereinbarungen getroffen hatten, ergaben sich aus Sicht des OLG auch keine spezifischen Pflichten aus der Datenschutzgrundverordnung (DSGVO). Vielmehr sei die DSGVO schon deshalb nicht anwendbar, da es sich hier nicht um personenbezogene Daten natürlicher Personen gehandelt habe.
Die berechtigten Sicherheitserwartungen der Vertragspartner
Das OLG Karlsruhe leitete aus dem Fall ab, dass es auf die berechtigten Sicherheitserwartungen der beteiligten Parteien ankomme. Der Käufer konnte demnach nicht davon ausgehen, dass die E-Mail oder die beigefügte PDF-Datei speziell verschlüsselt wird, da dies im Geschäftsverkehr nicht üblich ist. Ebenso wenig konnte er erwarten, dass bestimmte Systemanforderungen für die Ende-zu-Ende-Verschlüsselung oder eine Transportverschlüsselung via Transport Layer Security (TLS) erfüllt werden. Positiv hervorgehoben wurden vielmehr die Sicherheitsmaßnahmen des Verkäufers. Dieser wechselt alle zwei Wochen das Passwort zum Mailzugang, das dann auch nur zwei Personen bekannt ist. Zusätzlich verwendet man einen Virenscanner und die Firewall ist aktiv.
Quellen