DA+

Urteil : Erforderliche Sicherheitsmaßnahmen beim Versand von E-Mails im geschäftlichen Verkehr : aus der RDV 1/2024, Seite 44-46

(OLG Karlsruhe, Urteil vom 27. Juni 2023 – 19 U 83/22 –)

Archiv RDV
Lesezeit 10 Min.

Relevanz für die Praxis

In diesem Urteil beschäftigt sich das OLG Karlsruhe mit den erforderlichen Sicherheitsmaßnahmen beim Versand von E-Mails im geschäftlichen Verkehr. Im vorliegenden Fall hatte der spätere Kläger eine Mail mit einer berechtigten Zahlungsaufforderung an den späteren Beklagten gesendet. Nur kurze Zeit später erreichte den Beklagten eine zweite Mail von der E-Mail-Adresse des Verkäufers mit einer weiteren Zahlungsaufforderung. Der Schuldner überwies den fälligen Betrag an das in der zweiten Mail ausgewiesene Konto. Wie sich später herausstellte, war die zweite Mail von einem unbekannten Dritten versendet worden. Die Zahlung des Schuldners war auf dem Konto eines „P.D.“ eingegangen, nicht auf dem Konto des Verkäufers. Das Gericht hatte nun zu entscheiden, ob der Kaufpreisanspruch erloschen ist und ob dem Käufer gegen den Verkäufer ein Schadensersatzanspruch zusteht. Im Rahmen der Auseinandersetzung mit dem Schadensersatzanspruch hatte das Gericht zu klären, wann unterlassene Sicherheitsmaßnahmen beim Versand geschäftlicher E-Mails eine Pflichtverletzung darstellen. Nach Ansicht des Gerichts kommt es darauf an, ob die Sicherheitsmaßnahmen berechtigterweise erwartet werden können.

  1. Mangels gesetzlicher Vorgaben für Sicherheitsvorkeh‑ rungen beim Versand von E-Mails im geschäftlichen Verkehr bestimmen sich Art und Umfang der erforder‑ lichen Sicherheitsvorkehrungen, soweit hierzu von den Parteien keine ausdrückliche Vereinbarung getroffen wurde, nach den berechtigten Sicherheitserwartungen des maßgeblichen Verkehrs unter Berücksichtigung der Zumutbarkeit.
  2. Verstößt der Gläubiger einer Geldforderung gegen von ihm geschuldete Sicherheitsvorkehrungen im Zusam‑ menhang mit dem Versand einer geschäftlichen E-Mail und hat dieser Verstoß zur Folge, dass der Schuldner der Forderung den geschuldeten Geldbetrag auf das Konto eines deliktisch handelnden Dritten überweist, führt dies nicht zum Erlöschen der Forderung gem. § 362 BGB, son‑ dern begründet allenfalls einen Schadensersatzanspruch des Schuldners, den dieser gem. § 242 BGB der Forderung entgegenhalten kann (dolo-agit-Einwendung).

Aus den Gründen:

II: Die Berufung der Klägerin ist begründet. Die Klägerin hat gegen die Beklagte gem. § 433 Abs. 2 BGB einen Anspruch auf Kaufpreiszahlung in Höhe von 13.500 EUR, gem. § 280 Abs. 2, § 286 BGB auf Erstattung vorgerichtlicher Rechtsanwaltskosten in Höhe von 953,40 EUR und gem. §§ 286, 288 BGB auf Zahlung der zugesprochenen Verzugszinsen.

1. Zwischen den Parteien ist unstreitig, dass sie einen Kaufvertrag über einen gebrauchten Pkw zum Preis von 13.500 EUR abgeschlossen haben und dass eine Zahlung dieses Betrages auf das Konto eines Dritten erfolgt ist. Durch diese Zahlung ist indes der Anspruch der Klägerin auf Kaufpreiszahlung nicht gem. § 362 BGB erloschen.

a) Eine Leistung an die Klägerin gem. § 362 Abs. 1 BGB ist nicht erfolgt, da es sich bei dem Konto, auf das die Beklagte den Kaufpreis überwiesen hat, um das Konto eines Dritten und nicht der Klägerin handelt und daher der geschuldete Leistungserfolg nicht eingetreten ist. Die gegenteilige Auffassung des Landgerichts ist nicht frei von Rechtsfehlern. Die Voraussetzungen, unter denen eine Leistung an einen Dritten Erfüllungswirkung hat, sind in § 362 Abs. 2 BGB geregelt und liegen hier nicht vor (dazu nachstehend b)).

Eine Zurechnung „des unbefugten Zugriffs des Dritten in Bezug auf die unerlaubte Handlung“ an die Klägerin, wie vom Landgericht angenommen, erfolgt nicht. Soweit das Landgericht insoweit auf eine Entscheidung des I. Zivilsenats des Bundesgerichtshofs (Urteil vom 11. März 2009 – I ZR 114/06, BGHZ 180, 134 Rn. 16) Bezug nimmt, ging es dort um die Frage der deliktischen Haftung für eine Verletzung von Immaterialgüter- und Leistungsschutzrechten; eine bei der Verwahrung der Zugangsdaten für das ebay-Mitgliedskonto dort bejahte Pflichtverletzung wurde als zusätzlicher selbstständiger Zurechnungsgrund neben die Grundsätze der Störerhaftung und die Verkehrspflichten im Bereich des Wettbewerbsrechts gestellt (BGH a.a.O.). Vorliegend steht aber nicht eine deliktische Verantwortlichkeit der Klägerin im Streit, sondern die vertragliche Frage der Erfüllungswirkung einer Zahlung an einen Dritten; die für den Bereich der deliktischen Haftung vom I. Zivilsenat entwickelten Grundsätze lassen sich nicht auf die Zurechnung von Erklärungen im Rahmen von vertraglichen Verhältnissen übertragen (vgl. BGH, Urteil vom 11. Mai 2011 – VIII ZR 289/09, BGHZ 189, 346 Rn. 19). Es ist daher ohne Bedeutung, dass im angefochtenen Urteil auch Feststellungen dazu fehlen, inwieweit die vom Landgericht bejahte Pflichtverletzung der Klägerin in Gestalt unterlassener Ende-zu-Ende-Verschlüsselung, Transportverschlüsselung und Verschlüsselung der als pdf-Datei versandten Rechnung für den Zugang der ge- oder verfälschten Rechnung bei der Beklagten kausal geworden sein soll.

Hätte ein etwaig schuldhaftes Verhalten der Klägerin dazu geführt, dass es dem Dritten ermöglicht wurde, die Rechnung mit veränderten Kontodaten der Beklagten wie geschehen zuzuleiten und die Beklagte so über die von der Klägerin verlangte Zahlung zu täuschen, könnte dies Schadensersatzansprüche der Beklagten wegen Verletzung einer vertraglichen Nebenpflicht gem. §  280 Abs.  1 BGB begründen (vgl. OLG München, Urteil vom 21. Dezember 2016 – 7 U 3206/16, juris Rn. 5, 7 ff.; so im Übrigen auch das von der Beklagten im Rechtsstreit in Bezug genommene Urteil des LG Lüneburg [n.v.] vom 16. Februar 2017 – 7 O 71/16, Seite 4 f.; zum Schadensersatzanspruch siehe nachstehend 2.), führte aber nicht dazu, dass eine nicht vorliegende Leistung an die Klägerin zu fingieren wäre.

b) Die Leistung an einen Dritten hat nur unter den Voraussetzungen des § 362 Abs. 2 BGB befreiende Wirkung, die im Streitfall nicht erfüllt sind. […]

2. Die Beklagte hat gegen die Klägerin keinen Schadensersatzanspruch gem. § 280 Abs. 1, § 241 Abs. 2 BGB in einer der auf das Drittkonto getätigten Überweisung von 13.500 EUR entsprechenden Höhe, den sie der Klageforderung unter dem Gesichtspunkt der dolo-agit-Einwendung gem. §  242 BGB entgegenhalten könnte (vgl. zu letzterem OLG München, Urteil vom 21. Dezember 2016 – 7 U 3206/16, juris Rn. 5).

a) Es liegt keine Nebenpflichtverletzung der Klägerin dergestalt vor, dass sie schuldhaft eine Ursache dafür gesetzt hätte, dass der Beklagten im Nachgang zur Übersendung der vorgenannten E-Mail um 10:46 Uhr die zweite E-Mail mit der angehängten ge- oder verfälschten Rechnung zuging, die neben der nach wie vor richtigen Angabe der Bankverbindung der Klägerin im Kopfbereich im Fußzeilenbereich auch die Bankverbindung des P. D. bei der S-Bank auswies. Für den dadurch verursachten Schaden, der darin besteht, dass die Beklagte durch Überweisung auf ein nicht der Klägerin zugeordnetes Konto die Forderung der Klägerin nicht zum Erlöschen bringen konnte (s.o. 1.), schuldet die Klägerin der Beklagten deshalb keinen Schadensersatz. […]

dd) Eine Pflichtverletzung der Klägerin liegt insoweit schon deshalb nicht vor, weil sie zur Verwendung dieser Verfahren und Maßnahmen nicht verpflichtet war.

Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt es nicht; insbesondere ist der sachliche Anwendungsbereich der Datenschutz-Grundverordnung im Streitfall nicht eröffnet, da diese nur für die Verarbeitung von Informationen gilt, die sich auf eine natürliche Person beziehen (vgl. Art. 2 Abs. 1, Art.  4 Nr. 1 DS-GVO). Auch eine ausdrückliche Vereinbarung zwischen den Parteien ist insoweit nicht erfolgt; insbesondere hat die Beklagte, von der die Initiative dafür ausging, dass die Rechnung überhaupt per E-Mail verschickt wurde, anlässlich der Äußerung ihrer entsprechenden Bitte in der E-Mail ihres Geschäftsführers vom 08.10.2021, 10:15 Uhr (Anlage K 2) keinerlei Sicherheitsvorkehrungen, die sie für erforderlich halte, ausdrücklich erwähnt. Welches Maß an Sicherheitsvorkehrungen von der Klägerin zu fordern war, bestimmt sich daher nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (vgl. Riem/Meier, MMR 2020, 571, 573).

Nicht maßgeblich für die berechtigten Sicherheitserwartungen des Verkehrs ist dabei die vom Landgericht herangezogene „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen“. Ausweislich deren Zielstellung dient sie zur Konkretisierung der Vorgaben des Art. 5 Abs. 1 lit. f, Art. 25 und Art. 32 Abs. 1 DS-GVO. Letztere ist aber, wie soeben ausgeführt, im Verhältnis der Parteien zueinander überhaupt nicht anwendbar. Ohnehin wird hierin die Verwendung einer Ende-zu-Ende-Verschlüsselung anders als vom Landgericht dargestellt nicht als stets erforderlich angesehen, sondern sollte „in der Abwägung der notwendigen Maßnahmen berücksichtigt“ werden und wird nur für den Fall, dass „der Bruch der Vertraulichkeit ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen darstellt“, als „Muss“ bezeichnet.

  •  (1) Sender Policy Framework (SPF)

Die Beklagte hält die Klägerin für verpflichtet, das Verfahren Sender Policy Framework (SPF) anzuwenden. Angaben dazu, weshalb dieses Verfahren in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein soll, hat die Beklagte dabei schon nicht gemacht. Laut öffentlich zugänglichen Quellen – die Informationen des Bundesamts für Sicherheit in der Informationstechnik (im Folgenden: BSI), abrufbar unter https://www.bsi.bund. de/SharedDocs/Downloads/DE/BSI/Internetsicherheit/isi_ mail_server_studie_pdf.pdf?__blob=publicationFile&v=1 – handelt es sich beim Verfahren Sender Policy Framework um ein Verfahren, mit dem geprüft werden kann, ob der sendende E-Mail-Server berechtigt ist, für die Domäne E-Mails zu verschicken. Endnutzer wie die Klägerin, die selbst keinen E-Mail-Server betreiben, haben mithin auf die Verwendung des Verfahrens überhaupt keinen Einfluss. Eine berechtigte Sicherheitserwartung des Verkehrs an ein Unternehmen wie die Klägerin, das seinen E-Mail-Verkehr über einen Diensteanbieter wie hier W. abwickelt, auf Anwendung des SPF-Verfahrens kann schon deshalb nicht bestehen.

  •  (2) Verschlüsselung der pdf-Datei

Dass eine Verschlüsselung von pdf-Dateien im geschäftlichen Verkehr außerhalb des Austauschs besonders sensibler Dateien, die bspw. Betriebs- oder Geschäftsgeheimnisse enthalten, üblich wäre, behauptet die Beklagte schon selbst nicht. Auf dieser Grundlage kann nicht angenommen werden, dass insoweit eine berechtigte Sicherheitserwartung des Verkehrs besteht. Hinzu kommt, dass im Fall der Verschlüsselung der Datei Klägerin und Beklagte ein Passwort hierzu hätten austauschen müssen, was nicht geschehen ist. Die Beklagte hatte also bei Erhalt der ge- oder verfälschten Rechnung Kenntnis davon, dass die Datei nicht durch Verschlüsselung gesichert war. Bereits dieser Umstand, dass erkennbar eine derartige Sicherheitsmaßnahme nicht getroffen war, steht der Annahme einer insoweit vorliegenden Pflichtverletzung der Klägerin entgegen.

  •  (3) Ende-zu-Ende-Verschlüsselung

Auch zu diesem Verfahren hat die Beklagte nicht vorgetragen, woraus folgen soll, dass es in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein soll. Das BSI empfiehlt zwar für E-Mails die Ende-zu-Ende-Verschlüsselung, äußert aber gleichzeitig die Einschätzung, dass diese bisher nur sehr selten eingesetzt werde (https://www.bsi. bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/ Informationen-und-Empfehlungen/Onlinekommunikation/ Verschluesselt-kommunizieren/E-Mail-Verschluesselung/EMail-Verschluesselung-in-der-Praxis/e-mail-verschluesselung-in-der-praxis_node.html). Dies steht einer entsprechenden allgemeinen Sicherheitserwartung des Verkehrs entgegen und bei den vorliegend versendeten Daten handelt es sich auch nicht um solche, bei deren Versand – wie etwa im Fall von Geschäfts- und Betriebsgeheimnissen – ohne gesonderte Absprache erhöhte Anforderungen zu stellen wären. Hinzu kommt, dass die Verwendung der Ende-zu-Ende-Verschlüsselung nicht vom Versender einer E-Mail allein durchgeführt werden kann. Die Beklagte hat schon nicht vorgetragen, dass ihr eigenes System die Voraussetzungen für den Empfang von Ende-zu-Ende-verschlüsselten Nachrichten erfüllt hätte.

  •  (4) Transportverschlüsselung

Die Beklagte hält die Klägerin schließlich für verpflichtet, das Verfahren der Transportverschlüsselung anzuwenden. Angaben dazu, weshalb dieses Verfahren in der konkreten Geschäftsbeziehung der Parteien bzw. im maßgeblichen Verkehr zu den berechtigten Sicherheitserwartungen zu zählen sein soll, hat die Beklagte allerdings auch insoweit nicht gemacht.

Ausweislich der öffentlich zugänglichen Informationen des BSI handelt es sich bei der Transportverschlüsselung um einen Prozess, bei dem der Inhalt der Übermittlung zwischen Absender und E-Mail-Anbieter, zwischen zwei E-Mail-Anbietern und zwischen E-Mail-Anbieter und Empfänger verschlüsselt wird, wobei dieser automatisiert abläuft und in der Regel keine Aktion des Absenders oder Empfängers erfordert (https://www.bsi.bund.de/SharedDocs/Glossareintraege/DE/T/Transportverschluesselung.html). Die Klägerin hat ihren im erstinstanzlichen Verfahren gehaltenen Vortrag, wonach W. alle Vorkehrungen zum Schutz seiner Kunden, einschließlich der Klägerin, trifft und getroffen hat, im Berufungsverfahren unter Angabe einer URL von W. dahin vertieft, dass bei der Übertragung der E-Mails das sogenannte SSL/TLS-Protokoll zum Einsatz komme. Dabei handele es sich um einen Verschlüsselungsstandard, der die E-Mails auf dem Transportweg sichere. Hierbei handelt es sich um Transportverschlüsselungen der vorstehend beschriebenen Art.  Den Angaben von W. ist weiter zu entnehmen, dass die Transportverschlüsselung nur im Verbund der dort genannten Anbieter zur Anwendung kommt, also bei E-Mails, die zwichen E-Mail-Konten dieser Anbieter versendet werden. Die Beklagte, die soweit ersichtlich kein Konto bei einem dieser Anbieter unterhält, sondern einen eigenen Server betreiben lässt, hat weder vorgetragen noch ist sonst ersichtlich, dass eine Transportverschlüsselung an Umständen gescheitert wäre, die in der Sphäre der Klägerin liegen. […]

b) Selbst wenn man in einem der vorstehend behandelten Umstände eine Pflichtverletzung der Klägerin sehen wollte, fehlte es am Nachweis der Kausalität dieser Pflichtverletzung für den eingetretenen Schaden. Nach dem übereinstimmenden Vortrag der Parteien ist nicht geklärt, wie es tatsächlich dazu kam, dass die zweite E-Mail mit der ge- oder verfälschten Rechnung die Beklagte erreichte. […]

c) Schließlich wäre ein unterstellter Schadensersatzanspruch der Beklagten nach § 254 BGB zu kürzen, weil ein erhebliches Mitverschulden zu berücksichtigen wäre. […]

Zur Vertiefung:

Ritter, Mehr Verpflichtete und mehr IT -Sicherheitsaufsicht durch die NIS-2-Richtlinie = RDV 3/2023

Conrad/Seiter, Inhaltliche Herausforderungen bei der Auftragsverarbeitung nach Art. 28 DS-GVO = RDV 4/2021

[Urteil] Elektronische Kommunikation der Bundesrechtsanwaltskammer = RDV 4/2023