Entscheidungsstichwort (Thema)
Zur Frage, welche Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr einzuhalten sind.
Leitsatz (amtlich)
1. Mangels gesetzlicher Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr bestimmen sich Art und Umfang der erforderlichen Sicherheitsvorkehrungen, soweit hierzu von den Parteien keine ausdrückliche Vereinbarung getroffen wurde, nach den berechtigten Sicherheitserwartungen des maßgeblichen Verkehrs unter Berücksichtigung der Zumutbarkeit.
2. Verstößt der Gläubiger einer Geldforderung gegen von ihm geschuldete Sicherheitsvorkehrungen im Zusammenhang mit dem Versand einer geschäftlichen E-Mail und hat dieser Verstoß zur Folge, dass der Schuldner der Forderung den geschuldeten Geldbetrag auf das Konto eines deliktisch handelnden Dritten überweist, führt dies nicht zum Erlöschen der Forderung gem. § 362 BGB, sondern begründet allenfalls einen Schadensersatzanspruch des Schuldners, den dieser gem. § 242 BGB der Forderung entgegenhalten kann (dolo-agit-Einwendung).
Tenor
1. Auf die Berufung der Klägerin wird das Urteil des Landgerichts Mosbach vom 24. Mai 2022 - 1 O 271/21 aufgehoben:
Die Beklagte wird verurteilt, an die Klägerin 13.500 EUR nebst Zinsen in Höhe von neun Prozentpunkten über dem jeweils gültigen Basiszinssatz seit dem 20. Oktober 2021 sowie weitere 953,40 EUR nebst Zinsen in Höhe von neun Prozentpunkten über dem jeweils gültigen Basiszinssatz seit dem 7. Dezember 2021 zu zahlen.
2. Die Beklagte trägt die Kosten des Rechtsstreits beider Instanzen.
3. Das Urteil ist vorläufig vollstreckbar.
4. Die Revision wird nicht zugelassen.
Gründe
I. Die Klägerin nimmt die Beklagte auf Zahlung des Kaufpreises für einen gebrauchten Pkw in Anspruch.
Die Parteien, jeweils vertreten durch den Geschäftsführer, schlossen am 8. Oktober 2021 - die Klägerin als Verkäuferin, die Beklagte als Käuferin - einen Kaufvertrag über einen gebrauchten Pkw Daimler Typ E200T zum Preis von 13.500 EUR. Am selben Tag um 11:44 Uhr schickte der Geschäftsführer der Klägerin die Rechnung auf Wunsch der Beklagten als Anhang zu einer E-Mail an deren Geschäftsführer. Im Kopfbereich der Rechnung sowie in der Fußzeile war ein Konto bei der Sparkasse T. als Empfängerkonto angegeben. Um 11:46 Uhr erhielt der Geschäftsführer der Beklagten eine weitere E-Mail von der E-Mail-Adresse der Klägerin mit einer neuen Rechnung im Anhang. Hierin war - nur in der Fußzeile, der Kopfbereich wies unverändert das vorgenannte Konto der Klägerin bei der Sparkasse T. aus - ein anderes Empfängerkonto - nunmehr bei der S-Bank in Berlin - eines Kontoinhabers P. D. angegeben. Die Beklagte überwies 13.500 EUR auf das letztgenannte Konto. Am 19. Oktober 2021 forderte die Klägerin die Beklagte zur Zahlung auf und es stellte sich heraus, dass die zweite E-Mail aufgrund eines "Hackerangriffs" von einer unbefugten dritten Person versandt worden war; das in der Fußzeile der dieser E-Mail angehängten Rechnung angegebene Konto ist keines der Klägerin. Die Klägerin erstattete Strafanzeige beim Polizeipräsidium H. und beim Landeskriminalamt Baden-Württemberg. Der Stand und/oder Ausgang der Ermittlungen ist den Parteien, wie diese auf Nachfrage des Senats mitgeteilt haben, nicht bekannt. Die Beklagte lehnte in der Folge eine Zahlung an die Klägerin ab.
Die Klägerin hat ihr E-Mail-Konto beim Anbieter W. Es ist mit einem Passwort geschützt, das zwei Personen im gesamten Betrieb der Klägerin bekannt war und alle zwei bis vier Wochen durch eine der beiden Personen geändert und der anderen mündlich mitgeteilt wurde. Computer und Software der Klägerin sind über die Windows Firewall geschützt, die regelmäßig aktualisiert wird. Darüber hinaus sind Computer und Software über die Vollversion von "X.-Internet-Security" geschützt.
Das Landgericht hat die Klage abgewiesen. Es hat zur Begründung seiner Entscheidung ausgeführt, der Anspruch der Klägerin auf Kaufpreiszahlung sei durch Erfüllung gem. § 362 Abs. 1 BGB in Gestalt der Zahlung der Beklagten von 13.500 EUR auf das Konto des Dritten erloschen, die eine Leistung an die Klägerin darstelle. Die von der Klägerin getroffenen Schutzvorkehrungen seien nicht ausreichend gewesen, so dass sie sich den unbefugten Zugriff des Dritten in Bezug auf die darin zu sehende unerlaubte Handlung zurechnen lassen müsse. Die Klägerin hätte, wie von der heranzuziehenden "Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen" über "Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail" verlangt, die E-Mails in Form der Ende-zu-Ende-Verschlüsselung oder der Transportverschlüsselung schützen müssen. Die Beklagte könne sich auf § 370 BGB analog berufen. Sie sei nicht verpflichtet gewesen, genauere Nachforschungen zu dem angegebenen Kontoinhaber oder der Bank anzustrengen, sondern habe darauf vertrauen dürfen, dass E-Mails, die von der E-Mail-Adresse der Klägerin verschickt würden, auch von dieser selbst geschrieben und abgesc...