LG Karlsruhe: Rechnungen per E-Mail müssen nicht mit Ende-zu-Ende-Verschlüsselung versendet werden - Versender haftet nicht für Schaden durch man-in-the-middle-Attacke
LG Karlsruhe
Urteil vom 20.05.2026
8 O 266/25
Das LG Karlsruhe hat entschieden, dass ein Verkäufer beim Versand von Rechnungen per E-Mail nicht verpflichtet ist, eine Ende-zu-Ende-Verschlüsselung zu verwenden, und deshalb nicht haftet, wenn unbekannte Dritte die Rechnung abfangen und die Bankverbindung manipulieren. Eine solche Verschlüsselung entspricht weder den üblichen Sicherheitserwartungen im Geschäftsverkehr noch ergibt sie sich aus der DSGVO. Auch ein Schadensersatzanspruch nach Art. 82 DSGVO scheidet aus, weil nicht die personenbezogenen Daten der Käufer verarbeitet wurden, sondern die Bankverbindungsdaten der Beklagten manipuliert wurden.
Aus den Entscheidungsgründen:
II. Die Klage ist auch hinsichtlich des hilfsweise begehrten Schadensersatzes abzuweisen. Den Klägern steht unter keinem rechtlichen Gesichtspunkt ein Anspruch auf Erstattung des fehlerhaft an die O-Bank überwiesenen Geldbetrages in Höhe von 109.185,00 € zu.
1. Ein Anspruch besteht nicht aufgrund der außergerichtlichen Antwortmail der Beklagten vom 14.04.2023 (Anlage zum Protokoll), in der die Beklagte mitteilte, dass der Auftrag storniert werde und „sollten irgendwelche Kosten entstehen“ dies nicht das Problem des Klägers sei, sondern diese von der Beklagten zu tragen sein sollten.
In dieser Erklärung kann aber aus der Sicht eines objektiven Erklärungsempfängers nach §§ 133, 157 BGB kein Einstandswillen der Beklagten dahingehend gesehen werden, für alle Schäden in dem Zusammenhang aufzukommen. Zum einen stammt die E-Mail von einem Zeitpunkt, in dem die Überweisung bereits getätigt war, sodass schon vom Wortlaut her „Kosten entstehen“ nicht umfasst ist. Die Kosten waren zu diesem Zeitpunkt bereits entstanden. Zum anderen ist es fernliegend, dass die Beklagte damit erklären wollte, für alle Schäden einzustehen, wo doch beide Parteien davon ausgingen, dass unbekannte Dritte die Rechnung gefälscht hatten.
2. Ein Anspruch besteht auch nicht aus einer kaufvertraglichen Nebenpflichtverletzung der Beklagten mit den Folgen eines Schadensersatzes nach §§ 280 Abs. 1, 241 Abs. 2 BGB.
Gem. § 241 Abs. 2 BGB kann das Schuldverhältnis nach seinem Inhalt jeden Teil zur Rücksicht auf die Rechte, Rechtsgüter und Interessen des anderen Teils verpflichten. Soweit sich solche Nebenpflichten also nicht aus besonderen gesetzlichen Vorschriften ergeben, können sich diese lediglich aus dem Inhalt des Vertrages ergeben. Dabei sind zunächst allgemeine Schutz-, Fürsorge- und Obhutspflichten als Nebenpflichten dergestalt anerkannt, dass jede Partei bei der Abwicklung des Schuldverhältnisses sich so zu verhalten hat, dass Körper, Leben, Eigentum, Vermögen und sonstige Rechtsgüter des anderen Teils nicht verletzt werden (BGH NJW 1983, 2813; KG NJW 1985, 2137; Soergel/Teichmann § 242 Rn. 178; BeckOGK/Fritzsche/Harman Rn. 346, BeckOK BGB/Sutschet, 77. Ed. 1.2.2026, BGB § 241 Rn. 89, beck-online).
a) Eine solche Pflichtverletzung, für die die Kläger schon nach den allgemeinen Grundsätzen darlegungs- und beweisbelastet sind, ist vorliegend nicht dargetan. Anders als die Kläger meinen, war die Beklagte bei der Übersendung der Rechnung vertraglich nicht dazu verpflichtet, eine Ende-zu-Ende-Verschlüsselung (E2EE) zu verwenden, um einem entsprechenden Missbrauch vorzubeugen.
Wie bereits ausgeführt, erfolgte der Vertragsschluss zwischen den Parteien mündlich durch Einigung der Beklagten mit dem von der Klägerseite beauftragten Vertreter. Besondere Vereinbarungen zur Tilgung des geschuldeten Kaufpreises haben die Parteien hierzu nicht getroffen, jedenfalls sind solche nicht vorgetragen. Bei lebensnaher Auslegung des vorgetragenen Sachverhalts ist jedoch anzunehmen, dass die Parteien eine Überweisung auf das Bankkonto der Beklagten vorsahen, so wie dies letztlich korrekt in der nachträglich übersendeten postalischen Rechnung mitgeteilt wurde. Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt es nicht (vgl. OLG Karlsruhe, Urteil vom 27.7.2023 – 19 U 83/22 in MMR 2023, 761 Rn. 29, beck-online). Welches Maß an Sicherheitsvorkehrungen von der Beklagten zu fordern war, bestimmt sich daher nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (ebd.). Dabei muss berücksichtigt werden, welche Erwartungen konkret die jeweiligen Vertragspartner tatsächlich haben.
Im Rahmen der informatorischen Anhörung gab der Kläger zu 1 selbst an, dass er von dem beauftragten Freund angewiesen worden sei, die E-Mail-Adresse mitzuteilen, damit alles geschickt werden könne. Er sollte auch eine Kopie des Personalausweises mitschicken. Dass die Kläger hier ihrerseits besonderen Wert auf sichere Übertragungswege gelegt hätten, ergibt sich daraus nicht, obwohl gar eine Ausweiskopie mit übersandt wurde. Letztlich war es auch der Kläger zu 1, der nach Erstattung einer Anzeige zur Einleitung eines Ermittlungsverfahrens nochmal unverschlüsselten Kontakt mit der Beklagten per E-Mail am 14.04.2026 (Anlage zum Protokoll) aufgenommen hatte. Selbst in Kenntnis des Umstandes, dass die in der E-Mail abgesandten Rechnungen „abgegriffen“ worden waren und die IBAN ausgetauscht wurde, war es der Kläger zu 1, der in seiner E-Mail wesentliche Informationen zum bisherigen Verfahrensstand mit sensiblen Daten an die Beklagte übersandte und hierin unter Nennung seiner privaten Postadresse um Übersendung der schriftlichen Originalrechnungen per Brief bat. Mit anderen Worten hatten die Kläger selbst zu einem Zeitpunkt, als sie schon offensichtlich Opfer einer Straftat wurden, noch keine Notwendigkeit einer verschlüsselten Kommunikation gesehen. Offenbar wird dies letztlich auch darin, dass der Kläger zu 1 am Tag der Überweisung am 05.04.2023 eine unverschlüsselte E-Mail (Anlage K5) an die Beklagte übersandte, die zum Inhalt sowohl die jeweiligen Rechnungsnummern, als auch die Kundennummer, den Klarnamen und auch die absendende Bank mit IBAN und BIC enthält. Dabei kann ihnen hieraus kein Vorwurf gemacht werden, denn es obliegt im Wesentlichen den Klägern, welche Sicherungsvorkehrung sie in ihren Geschäften für erforderlich halten, nur verdeutlicht dies, dass die Kläger im Vorfeld unter keinen Umständen die Erwartungshaltung gehegt haben konnten, dass die Rechnungen mit besonderer Verschlüsselungstechnik per E-Mail zu übersenden seien.
b) Eine (kausale) Pflichtverletzung kann auch nicht darin gesehen werden, dass die Beklagte auf die Mitteilung des Klägers zu 1, dass das Geld bereits überwiesen worden sei (Anlage K5), lediglich mit „besten Dank für die Info“ antwortete. Diese Antwort geschah bereits zu einem Zeitpunkt, zu dem das Geld bereits irrtümlicherweise überwiesen und der Schaden bereits eingetreten war.
3. Den Klägern steht auch kein Schadensersatz gem. Art. 82 DSGVO auf Erstattung des fehlerhaft überwiesenen Zahlbetrages zu. Zwar hatte das Oberlandesgericht Schleswig mit Urteil vom 18.12.2024 (12 U 9/24) in einem grundsätzlich vergleichbaren Fall, in dem der Überweisungsbetrag von 14.924,20 € nach Manipulation einer Rechnung durch kriminell handelnde Dritte auf das Konto eines Dritten gutgeschrieben wurde, dem Werkbesteller einen Schadensersatz in Höhe des Überweisungsbetrages gem. Art. 82 DSGVO zugesprochen, der der nicht erfüllten Werklohnforderung des Werkunternehmers gem. § 242 BGB entgegengehalten werden kann. Dem kann aus verschiedenen Gründen aber nicht gefolgt werden.
a) Zunächst setzt auch der Schadensersatzanspruch nach Art. 82 DSGVO einen Verstoß gegen die Datenschutzgrundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraus, wobei diese drei Voraussetzungen kumulativ sind (EuGH, Urteil vom 4. Oktober 2024 – C-507/23). Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines (immateriellen) Schadens verlangt (BGH Urt. v. 18.11.2024 – VI ZR 10/24, GRUR-RS 2024, 31967 Rn. 21, beck-online).
Da Art. 82 Abs. 1 DSGVO den Verstoß gegen die DSGVO sanktioniert, ist die Eröffnung des Anwendungsbereichs der DSGVO impliziert. Dieser ist vorliegend aber weder eröffnet noch ist deren Schutzzweck betroffen. Dabei ist die Frage, ob ein Verstoß gegen die Datenschutzgrundverordnung im Sinne des Art. 82 Abs. 1 DSGVO auch eine entsprechende Datenverarbeitung erfordert, bislang höchstrichterlich nicht entschieden (offen gelassen: BGH Urt. v. 18.11.2024 – VI ZR 10/24, GRUR-RS 2024, 31967 Rn. 21, beck-online). Das erkennende Gericht hält eine solche aber für erforderlich.
Gem. Art. 2 Abs. 1 DSGVO kommt die Verordnung dann zur Anwendung, wenn personenbezogene Daten verarbeitet oder gespeichert werden sollen. Personenbezogene Daten sind in Art. 4 Nr. 1 DSGVO als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen“ definiert. Dies setzt wiederum voraus, dass bei einer Verarbeitung gegen die DSGVO verstoßen worden sein muss (vgl. Ehmann/Selmayr/Nemitz, 3. Aufl. 2024, DS-GVO Art. 82 Rn. 12, beck-online). Dies deckt sich auch mit der verordnungsgebenden Intention, wenn es in Erwägungsgrund Nr. 146 heißt „der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen“ ([VO (EU) 2016/679] [Vorbemerkung], beck-online).
Hiernach ist also im vorliegenden Fall weder Schutzbereich noch Schutzzweck der Norm eröffnet, denn die in Art. 2 Nr. 1 DSGVO vorausgesetzte Verarbeitung von Informationen einer natürlichen Person ist nicht gegeben. Denn nicht die auf den Kläger bezogenen Daten wurden geändert und damit verarbeitet, sondern die Bankverbindungsdaten der Beklagten. Diese unterfallen jedoch nicht dem Schutzbereich der Datenschutzgrundverordnung, zumal es sich bei der Beklagten schon nicht um eine natürliche Person im Sinne vorgenannter Vorschrift handelt (vgl. auch Veeck, ZD 2025, 284). Allein anhand dieser Daten kann zudem ein Rückschluss auf die Kläger aber nicht gezogen werden (so auch Pauly, ZfBR 2025, 629; OLG Karlsruhe Urteil vom 27.07.2023 - 19 U 83/22; LG Rostock Urteil vom 20.11.2024 – 2 O 450/24 in NJW 2025, 2039, beck-online). Zwar ist es zutreffend, dass das Datenschutzrecht nicht die zu verarbeitenden Informationen an sich schützt, sondern die natürliche Person, deren Daten verarbeitet werden sollen (so Hessel/Prgomet in Rdi 2025, 221), dies setzt aber auch hiernach voraus, dass die Daten der natürlichen Person auch verarbeitet worden sein müssen. Zwar legt Art. 4 Nr. 2 DSGVO ein weites Verständnis der Verarbeitung nahe, gleichwohl sind hier die personenbezogenen Daten der Kläger allenfalls zufällig betroffen, denn der Schaden entstand nicht durch eine Veränderung der Daten der Kläger, sondern durch die kriminelle Veränderung der Bankverbindungsdaten der Beklagten durch Dritte. Für das Eintreten des Schadens war eine Veränderung oder Verarbeitung der Daten der Kläger nicht erforderlich, vielmehr war deren Integrität gerade wesentliche Voraussetzung für die Entstehung. Denn nur wenn die Daten der Kläger unverändert blieben, konnten diese in die Reichweite der unbekannten Dritten und damit in einen Bereich gelangen, in dem der Schaden eintreten konnte. Mit anderen Worten entsteht der Schaden nicht wegen der Verletzung personenbezogener Daten, sondern der Schaden aktiviert eine lediglich zufällige Betroffenheit (vgl. Schwarz in MMR 2025, 369).
b) Selbst wenn man aber eine Anwendbarkeit der DSGVO unterstellte (so etwa Hessel/Prgomet in Rdi 2025, 221; BeckOK DatenschutzR/Quaas, 55. Ed. 1.2.2026, DS-GVO Art. 82 Rn. 13b, beck-online), läge jedenfalls kein Verstoß gegen die der Beklagten obliegenden Pflichten vor. Ein solcher wäre im Übrigen von den darlegungs- und beweisbelasteten Klägern nicht nachgewiesen.
a) Die Beklagte war nach der DSGVO nicht dazu verpflichtet, die streitgegenständlichen Rechnungen mittels Ende-zu-Ende-Verschlüsselung zu versenden.
Die DSGVO legt unter anderem in Art 24 Abs. 1 DSGVO dem Verantwortlichen auf „unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um[zusetzen], um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt“. Nach Art. 24 Abs. 2 DSGVO muss der Verantwortliche daneben präventiv tätig werden und geeignete Datenschutzvorkehrungen treffen, welche in einem angemessenen Verhältnis zur Verarbeitungstätigkeit stehen müssen. Ein definitives Schutzniveau oder ein bestimmtes Sicherungsmittel zur Herstellung des Schutzes bestimmt die DSGVO ausdrücklich nicht. Vielmehr stellt die DSGVO das Maß an zu treffende Sicherheitsvorkehrungen unter das Prinzip der Verhältnismäßigkeit, ohne die zu berücksichtigenden Interessen in welcher Form auch immer einzugrenzen. Daher können dies alle Arten von Interessen sein. Insbesondere sind damit auch wirtschaftliche Faktoren wie etwa die Kosten und der tatsächliche Aufwand einer Umsetzung der Datenschutzvorkehrungen zu berücksichtigen (Gola/Heckmann/Piltz, 3. Aufl. 2022, DS-GVO Art. 24 Rn. 59, beck-online). Da die DSGVO selbst aber keine Klarheit darüber bietet, welche konkreten Standards anzuwenden sind (so auch OLG Schleswig, Urteil vom 18.12.2024 - 12 U 9/24 Rn. 67), ist dieses Maß unter Abwägung der genannten Interessen zu bestimmen ist, wobei auch die berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (OLG Karlsruhe, Urteil vom 27.07.2023, 19 U 83/22) eine nicht zu vernachlässigende Rolle spielen. Die vom Oberlandesgericht Schleswig in Bezug genommene „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen vom 27.05.2021“ sieht eine wie von den Klägern in Anspruch genommene Ende-zu-Ende-Verschlüsselung nicht zwingend vor.
Eine mit erheblichem organisatorischem und technischem Aufwand verbundene Ende-zu-Ende-Verschlüsselung, bei der die erforderlichen Schlüssel auf anderem Wege als die zu übermittelnde Nachricht - hier die streitgegenständlichen Rechnungen - bereitgestellt werden müssen, wird weder im konkreten Geschäftsverkehr vorausgesetzt, noch entspricht sie den üblichen Sicherheitserwartungen im allgemeinen Geschäftsverkehr.
Bei einer Ende-zu-Ende-Verschlüsselung wird die Vertraulichkeit der Kommunikation dadurch gewährleistet, dass die Daten beim Absender verschlüsselt und erst beim Empfänger entschlüsselt werden, sodass Dritte - etwa Server oder Netzbetreiber - den Inhalt der so geschützten Nachricht nicht einsehen können. Dies setzt jedoch voraus, dass die erforderlichen kryptographischen Schlüssel zwischen den Parteien gesondert und zugleich hinreichend sicher ausgetauscht werden. Auch dieser Schlüsselaustausch selbst erfordert zusätzliche technische und organisatorische Maßnahmen und begründet weiteren Aufwand auf Seiten aller Beteiligten.
Gerade im vorliegenden Falle hatte sich die Kläger keine Gedanken über etwaige Sicherheitsvorkehrungen gemacht (siehe III.2.a)). Vielmehr sollte der Kauf offensichtlich unkompliziert ohne weitere Verifizierungen abgewickelt werden. Nur so ist es zu erklären, dass die Kläger eine Überweisung über beträchtliche Summen tätigten, ohne sich seinerseits der Authentizität der übermittelten Rechnung zu vergewissern. Er mag zwar auf deren Integrität vertraut und sich möglicherweise in Unkenntnis, ob des Risikos einer unverschlüsselten Nachricht als auch über die Möglichkeiten einer Verschlüsselung befunden haben. Genau hierin kommen aber die konkreten Sicherheitserwartungen der Kläger zum Ausdruck. Der Kläger zu 1 führte selbst aus, dass er ein 76 Jahre alter Rentner sei, der keine Geschäfte im Internet tätigt. Begeben sich die Kläger - vertreten durch den Kläger zu 1 - aber in diese Sphäre und gehen nach eigenem Vortrag davon aus, den Vertrag durch die Übersendung eines Angebots per E-Mail ohne weitere Sicherheitsmaßnahmen schließen zu können, bringt dies die von ihnen der Vertragsabwicklung zugrunde gelegten Sicherheitserwartungen gegenüber der Beklagten zum Ausdruck. Dies zeigt sich auch darin, dass der Kläger zu 1, wie erwähnt, noch nach Kenntnis des Vorfalls und in Kenntnis eines möglichen „Hacking-Angriffs“ mit unverschlüsselter E-Mail eine Nachricht an die Beklagte übersandte, die wesentliche und sensible Informationen enthielt.
Da die Ende-zu-Ende-Verschlüsselung im Übrigen nicht alleine vom Verwender durchgeführt werden kann, sondern die (aktive) Mitwirkung des Empfängers voraussetzt (Ziegler MMR 2023, 761), kann diese auch nicht ohne weiteres zum allgemeinen Maßstab der zu treffenden Sicherheitsvorkehrungen gemacht werden. Der elektronische Rechtsverkehr lebt von der Schnelligkeit und unkomplizierten Verfügbarkeit von Informationen, um eine reibungsfreie Abwicklung der Geschäfte zu ermöglichen.
Daher hat sich die Verwendung einer derartigen Verschlüsselung im Rechtsverkehr nicht durchgesetzt (Pauly aaO). Dass dabei im Allgemeinen gerade der unverschlüsselte und insofern ungeschützte E-Mail-Verkehr sowohl von Verbraucher- als auch von Unternehmerseite umfassend toleriert wird und daher weitergehende Verschlüsselungstechniken nicht als Maßstab der geschäftlichen E-Mail-Kommunikation gelten können, zeigt sich auch daran, dass die sicherere, gleichwohl nicht Ende-zu-Ende-verschlüsselte „DE-Mail“ wegen des damit verbundenen höheren Aufwandes von Bürgerinnen und Bürger sowie von Unternehmen nahezu nicht genutzt wurde (6.000 DE-Mails zwischen 2011 und 2020 Jahresbericht 2021 des Bundesrechnungshofes, https://www.bundesrechnungshof.de/SharedDocs/Downloads/DE/Berichte/2021/de-mail-kaum-genutzt-volltext.pdf?__blob=publicationFile&v=1).
Dabei kann die Notwendigkeit der Verschlüsselung auch nicht von der Höhe der zu zahlenden bzw. zu überweisenden Beträgen (so Pauly ZfBR 2025, 629) abhängig gemacht werden. Weder lässt sich dies anhand des Verordnungstextes begründen, noch können die zu erwartenden Sicherungsvorkehrungen zwingend an einer bestimmten Summe gemessen werden, die letztlich auch davon abhängt, welche Art von Geschäften in welchem Umfeld abgewickelt werden sollen. Die Sensibilität der übermittelten Daten kommt nicht zwangsläufig in der Höhe der Rechnungssumme zum Ausdruck.
Ein Verstoß gegen andere (behauptete) Pflichten des Rechtsverkehrs haben die Kläger aber weder vorgetragen noch sind diese ersichtlich. Allein aus der Tatsache, dass es Dritten gelungen ist, auf Daten zuzugreifen und sie zu veröffentlichen, folgt noch nicht, dass der Verantwortliche keine geeigneten technischen und organisatorischen Maßnahmen zum Schutz ergriffen hat (EuGH GRUR-RS 2023, 3578 – natsionalna agentsia za prihodite, BeckOK DatenschutzR/Quaas, 55. Ed. 1.2.2026, DS-GVO Art. 82 Rn. 14e, beck-online).
c) Indem die Kläger daneben ihre E-Mail-Adresse für den Empfang der von ihnen erwarteten Vertragsunterlagen dem Vertreter zur Verfügung stellten, der sie sodann an die Beklagte weiterreichte, ohne auf bestimmte Sicherheitsvorkehrungen zu bestehen, haben die Kläger zugleich konkludent zum Ausdruck gebracht, in die ungeschützte Übermittlung einzuwilligen (OLG Düsseldorf, Urteil vom 28.10.2021 – 16 U 275/20). Dabei kann für eine wirksame Einwilligung auch nicht vorausgesetzt werden, dass der Betroffene die Risiken vollumfänglich überblickt (so indes Hessel/Prgomet in Rdi 2025, 221), denn letztlich muss es dem Einzelnen überlassen bleiben, ob und wie er sich in den Geschäftsverkehr begibt.
d) Zuletzt fehlt es auch an der erforderlichen Kausalität zwischen dem behaupteten Pflichtenverstoß der Beklagten und dem eingetretenen Schaden. Für einen substantiierten Vortrag bei einer veränderten oder manipulierten E-Mail muss von den Klägern schlüssig vorgetragen und anschließend gegebenenfalls technisch festgestellt werden, ob und bei welchem Kommunikationspartner der Angriff stattgefunden hat - entweder auf der Seite des Empfängers oder des Versenders (Veeck, ZD 2025, 284).
Nach dem schriftsätzlichen Vortrag der Kläger steht nicht fest, ob sich Dritte (rechtswidrig) Zugang zum IT-System der Beklagten verschafft haben sollen, um bereits dort die Rechnung im Rechnungssystem zu ändern, ob Dritte sich beim versendenden Mitarbeiter Zugang verschafft haben sollen, ob sich Dritte Zugang zum E-Mail-Postfach des Rechnungsempfängers verschafft haben sollen (etwa weil dieses nicht hinreichend sicher passwortgeschützt war), oder ob die Rechnung während der Kommunikationsübertragung verändert wurde.
In den ersten beiden Varianten bestünde eine Kausalität schon deswegen nicht, weil die Veränderung der Rechnung zu einem Zeitpunkt vor Verschlüsselung erfolgt wäre und dann lediglich eine „falsche“ Rechnung verschlüsselt versandt worden wäre. Bei dritter Variante wäre die E-Mail beim Empfänger also bei den Klägern schon angekommen und wäre dann unverschlüsselt dem Angriff preisgeben (vgl. Veeck ZD 2025, 284).
Mit seinem Vortrag hat der Kläger den Umstand der veränderten E-Mail nicht schlüssig dargelegt, sodass vorliegend eine kausale Pflichtverletzung nicht festgestellt werden kann. Zunächst hatte die Kläger ohne jegliche Anhaltspunkte behauptet, die E-Mail sei auf Seiten der Beklagten verändert in den Rechtsverkehr gelangt, „um das Geld einzunehmen und die Ware nicht liefern zu müssen“ (Var.1). Erst im Rahmen der mündlichen Verhandlung setzte der Kläger auf Nachfragen das Gericht überhaupt erst in Kenntnis davon, dass das hiesige Verfahren Gegenstand eines umfangreichen Strafverfahrens gewesen ist und er selbst davon ausgehe, dass die E-Mail beim Internetanbieter der Kläger verändert worden sei (Anlage zum Protokoll). Damit steht aber der genaue Zeitpunkt des unbefugten Zugriffs nicht fest und ist auch nicht ermittelbar.
Den Volltext der Entscheidung finden Sie hier:
Urteil vom 20.05.2026
8 O 266/25
Das LG Karlsruhe hat entschieden, dass ein Verkäufer beim Versand von Rechnungen per E-Mail nicht verpflichtet ist, eine Ende-zu-Ende-Verschlüsselung zu verwenden, und deshalb nicht haftet, wenn unbekannte Dritte die Rechnung abfangen und die Bankverbindung manipulieren. Eine solche Verschlüsselung entspricht weder den üblichen Sicherheitserwartungen im Geschäftsverkehr noch ergibt sie sich aus der DSGVO. Auch ein Schadensersatzanspruch nach Art. 82 DSGVO scheidet aus, weil nicht die personenbezogenen Daten der Käufer verarbeitet wurden, sondern die Bankverbindungsdaten der Beklagten manipuliert wurden.
Aus den Entscheidungsgründen:
II. Die Klage ist auch hinsichtlich des hilfsweise begehrten Schadensersatzes abzuweisen. Den Klägern steht unter keinem rechtlichen Gesichtspunkt ein Anspruch auf Erstattung des fehlerhaft an die O-Bank überwiesenen Geldbetrages in Höhe von 109.185,00 € zu.
1. Ein Anspruch besteht nicht aufgrund der außergerichtlichen Antwortmail der Beklagten vom 14.04.2023 (Anlage zum Protokoll), in der die Beklagte mitteilte, dass der Auftrag storniert werde und „sollten irgendwelche Kosten entstehen“ dies nicht das Problem des Klägers sei, sondern diese von der Beklagten zu tragen sein sollten.
In dieser Erklärung kann aber aus der Sicht eines objektiven Erklärungsempfängers nach §§ 133, 157 BGB kein Einstandswillen der Beklagten dahingehend gesehen werden, für alle Schäden in dem Zusammenhang aufzukommen. Zum einen stammt die E-Mail von einem Zeitpunkt, in dem die Überweisung bereits getätigt war, sodass schon vom Wortlaut her „Kosten entstehen“ nicht umfasst ist. Die Kosten waren zu diesem Zeitpunkt bereits entstanden. Zum anderen ist es fernliegend, dass die Beklagte damit erklären wollte, für alle Schäden einzustehen, wo doch beide Parteien davon ausgingen, dass unbekannte Dritte die Rechnung gefälscht hatten.
2. Ein Anspruch besteht auch nicht aus einer kaufvertraglichen Nebenpflichtverletzung der Beklagten mit den Folgen eines Schadensersatzes nach §§ 280 Abs. 1, 241 Abs. 2 BGB.
Gem. § 241 Abs. 2 BGB kann das Schuldverhältnis nach seinem Inhalt jeden Teil zur Rücksicht auf die Rechte, Rechtsgüter und Interessen des anderen Teils verpflichten. Soweit sich solche Nebenpflichten also nicht aus besonderen gesetzlichen Vorschriften ergeben, können sich diese lediglich aus dem Inhalt des Vertrages ergeben. Dabei sind zunächst allgemeine Schutz-, Fürsorge- und Obhutspflichten als Nebenpflichten dergestalt anerkannt, dass jede Partei bei der Abwicklung des Schuldverhältnisses sich so zu verhalten hat, dass Körper, Leben, Eigentum, Vermögen und sonstige Rechtsgüter des anderen Teils nicht verletzt werden (BGH NJW 1983, 2813; KG NJW 1985, 2137; Soergel/Teichmann § 242 Rn. 178; BeckOGK/Fritzsche/Harman Rn. 346, BeckOK BGB/Sutschet, 77. Ed. 1.2.2026, BGB § 241 Rn. 89, beck-online).
a) Eine solche Pflichtverletzung, für die die Kläger schon nach den allgemeinen Grundsätzen darlegungs- und beweisbelastet sind, ist vorliegend nicht dargetan. Anders als die Kläger meinen, war die Beklagte bei der Übersendung der Rechnung vertraglich nicht dazu verpflichtet, eine Ende-zu-Ende-Verschlüsselung (E2EE) zu verwenden, um einem entsprechenden Missbrauch vorzubeugen.
Wie bereits ausgeführt, erfolgte der Vertragsschluss zwischen den Parteien mündlich durch Einigung der Beklagten mit dem von der Klägerseite beauftragten Vertreter. Besondere Vereinbarungen zur Tilgung des geschuldeten Kaufpreises haben die Parteien hierzu nicht getroffen, jedenfalls sind solche nicht vorgetragen. Bei lebensnaher Auslegung des vorgetragenen Sachverhalts ist jedoch anzunehmen, dass die Parteien eine Überweisung auf das Bankkonto der Beklagten vorsahen, so wie dies letztlich korrekt in der nachträglich übersendeten postalischen Rechnung mitgeteilt wurde. Konkrete gesetzliche Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt es nicht (vgl. OLG Karlsruhe, Urteil vom 27.7.2023 – 19 U 83/22 in MMR 2023, 761 Rn. 29, beck-online). Welches Maß an Sicherheitsvorkehrungen von der Beklagten zu fordern war, bestimmt sich daher nach den berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (ebd.). Dabei muss berücksichtigt werden, welche Erwartungen konkret die jeweiligen Vertragspartner tatsächlich haben.
Im Rahmen der informatorischen Anhörung gab der Kläger zu 1 selbst an, dass er von dem beauftragten Freund angewiesen worden sei, die E-Mail-Adresse mitzuteilen, damit alles geschickt werden könne. Er sollte auch eine Kopie des Personalausweises mitschicken. Dass die Kläger hier ihrerseits besonderen Wert auf sichere Übertragungswege gelegt hätten, ergibt sich daraus nicht, obwohl gar eine Ausweiskopie mit übersandt wurde. Letztlich war es auch der Kläger zu 1, der nach Erstattung einer Anzeige zur Einleitung eines Ermittlungsverfahrens nochmal unverschlüsselten Kontakt mit der Beklagten per E-Mail am 14.04.2026 (Anlage zum Protokoll) aufgenommen hatte. Selbst in Kenntnis des Umstandes, dass die in der E-Mail abgesandten Rechnungen „abgegriffen“ worden waren und die IBAN ausgetauscht wurde, war es der Kläger zu 1, der in seiner E-Mail wesentliche Informationen zum bisherigen Verfahrensstand mit sensiblen Daten an die Beklagte übersandte und hierin unter Nennung seiner privaten Postadresse um Übersendung der schriftlichen Originalrechnungen per Brief bat. Mit anderen Worten hatten die Kläger selbst zu einem Zeitpunkt, als sie schon offensichtlich Opfer einer Straftat wurden, noch keine Notwendigkeit einer verschlüsselten Kommunikation gesehen. Offenbar wird dies letztlich auch darin, dass der Kläger zu 1 am Tag der Überweisung am 05.04.2023 eine unverschlüsselte E-Mail (Anlage K5) an die Beklagte übersandte, die zum Inhalt sowohl die jeweiligen Rechnungsnummern, als auch die Kundennummer, den Klarnamen und auch die absendende Bank mit IBAN und BIC enthält. Dabei kann ihnen hieraus kein Vorwurf gemacht werden, denn es obliegt im Wesentlichen den Klägern, welche Sicherungsvorkehrung sie in ihren Geschäften für erforderlich halten, nur verdeutlicht dies, dass die Kläger im Vorfeld unter keinen Umständen die Erwartungshaltung gehegt haben konnten, dass die Rechnungen mit besonderer Verschlüsselungstechnik per E-Mail zu übersenden seien.
b) Eine (kausale) Pflichtverletzung kann auch nicht darin gesehen werden, dass die Beklagte auf die Mitteilung des Klägers zu 1, dass das Geld bereits überwiesen worden sei (Anlage K5), lediglich mit „besten Dank für die Info“ antwortete. Diese Antwort geschah bereits zu einem Zeitpunkt, zu dem das Geld bereits irrtümlicherweise überwiesen und der Schaden bereits eingetreten war.
3. Den Klägern steht auch kein Schadensersatz gem. Art. 82 DSGVO auf Erstattung des fehlerhaft überwiesenen Zahlbetrages zu. Zwar hatte das Oberlandesgericht Schleswig mit Urteil vom 18.12.2024 (12 U 9/24) in einem grundsätzlich vergleichbaren Fall, in dem der Überweisungsbetrag von 14.924,20 € nach Manipulation einer Rechnung durch kriminell handelnde Dritte auf das Konto eines Dritten gutgeschrieben wurde, dem Werkbesteller einen Schadensersatz in Höhe des Überweisungsbetrages gem. Art. 82 DSGVO zugesprochen, der der nicht erfüllten Werklohnforderung des Werkunternehmers gem. § 242 BGB entgegengehalten werden kann. Dem kann aus verschiedenen Gründen aber nicht gefolgt werden.
a) Zunächst setzt auch der Schadensersatzanspruch nach Art. 82 DSGVO einen Verstoß gegen die Datenschutzgrundverordnung, das Vorliegen eines materiellen oder immateriellen Schadens sowie einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß voraus, wobei diese drei Voraussetzungen kumulativ sind (EuGH, Urteil vom 4. Oktober 2024 – C-507/23). Die Darlegungs- und Beweislast für diese Voraussetzungen trifft die Person, die auf der Grundlage von Art. 82 Abs. 1 DSGVO den Ersatz eines (immateriellen) Schadens verlangt (BGH Urt. v. 18.11.2024 – VI ZR 10/24, GRUR-RS 2024, 31967 Rn. 21, beck-online).
Da Art. 82 Abs. 1 DSGVO den Verstoß gegen die DSGVO sanktioniert, ist die Eröffnung des Anwendungsbereichs der DSGVO impliziert. Dieser ist vorliegend aber weder eröffnet noch ist deren Schutzzweck betroffen. Dabei ist die Frage, ob ein Verstoß gegen die Datenschutzgrundverordnung im Sinne des Art. 82 Abs. 1 DSGVO auch eine entsprechende Datenverarbeitung erfordert, bislang höchstrichterlich nicht entschieden (offen gelassen: BGH Urt. v. 18.11.2024 – VI ZR 10/24, GRUR-RS 2024, 31967 Rn. 21, beck-online). Das erkennende Gericht hält eine solche aber für erforderlich.
Gem. Art. 2 Abs. 1 DSGVO kommt die Verordnung dann zur Anwendung, wenn personenbezogene Daten verarbeitet oder gespeichert werden sollen. Personenbezogene Daten sind in Art. 4 Nr. 1 DSGVO als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‚betroffene Person‘) beziehen“ definiert. Dies setzt wiederum voraus, dass bei einer Verarbeitung gegen die DSGVO verstoßen worden sein muss (vgl. Ehmann/Selmayr/Nemitz, 3. Aufl. 2024, DS-GVO Art. 82 Rn. 12, beck-online). Dies deckt sich auch mit der verordnungsgebenden Intention, wenn es in Erwägungsgrund Nr. 146 heißt „der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen“ ([VO (EU) 2016/679] [Vorbemerkung], beck-online).
Hiernach ist also im vorliegenden Fall weder Schutzbereich noch Schutzzweck der Norm eröffnet, denn die in Art. 2 Nr. 1 DSGVO vorausgesetzte Verarbeitung von Informationen einer natürlichen Person ist nicht gegeben. Denn nicht die auf den Kläger bezogenen Daten wurden geändert und damit verarbeitet, sondern die Bankverbindungsdaten der Beklagten. Diese unterfallen jedoch nicht dem Schutzbereich der Datenschutzgrundverordnung, zumal es sich bei der Beklagten schon nicht um eine natürliche Person im Sinne vorgenannter Vorschrift handelt (vgl. auch Veeck, ZD 2025, 284). Allein anhand dieser Daten kann zudem ein Rückschluss auf die Kläger aber nicht gezogen werden (so auch Pauly, ZfBR 2025, 629; OLG Karlsruhe Urteil vom 27.07.2023 - 19 U 83/22; LG Rostock Urteil vom 20.11.2024 – 2 O 450/24 in NJW 2025, 2039, beck-online). Zwar ist es zutreffend, dass das Datenschutzrecht nicht die zu verarbeitenden Informationen an sich schützt, sondern die natürliche Person, deren Daten verarbeitet werden sollen (so Hessel/Prgomet in Rdi 2025, 221), dies setzt aber auch hiernach voraus, dass die Daten der natürlichen Person auch verarbeitet worden sein müssen. Zwar legt Art. 4 Nr. 2 DSGVO ein weites Verständnis der Verarbeitung nahe, gleichwohl sind hier die personenbezogenen Daten der Kläger allenfalls zufällig betroffen, denn der Schaden entstand nicht durch eine Veränderung der Daten der Kläger, sondern durch die kriminelle Veränderung der Bankverbindungsdaten der Beklagten durch Dritte. Für das Eintreten des Schadens war eine Veränderung oder Verarbeitung der Daten der Kläger nicht erforderlich, vielmehr war deren Integrität gerade wesentliche Voraussetzung für die Entstehung. Denn nur wenn die Daten der Kläger unverändert blieben, konnten diese in die Reichweite der unbekannten Dritten und damit in einen Bereich gelangen, in dem der Schaden eintreten konnte. Mit anderen Worten entsteht der Schaden nicht wegen der Verletzung personenbezogener Daten, sondern der Schaden aktiviert eine lediglich zufällige Betroffenheit (vgl. Schwarz in MMR 2025, 369).
b) Selbst wenn man aber eine Anwendbarkeit der DSGVO unterstellte (so etwa Hessel/Prgomet in Rdi 2025, 221; BeckOK DatenschutzR/Quaas, 55. Ed. 1.2.2026, DS-GVO Art. 82 Rn. 13b, beck-online), läge jedenfalls kein Verstoß gegen die der Beklagten obliegenden Pflichten vor. Ein solcher wäre im Übrigen von den darlegungs- und beweisbelasteten Klägern nicht nachgewiesen.
a) Die Beklagte war nach der DSGVO nicht dazu verpflichtet, die streitgegenständlichen Rechnungen mittels Ende-zu-Ende-Verschlüsselung zu versenden.
Die DSGVO legt unter anderem in Art 24 Abs. 1 DSGVO dem Verantwortlichen auf „unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um[zusetzen], um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt“. Nach Art. 24 Abs. 2 DSGVO muss der Verantwortliche daneben präventiv tätig werden und geeignete Datenschutzvorkehrungen treffen, welche in einem angemessenen Verhältnis zur Verarbeitungstätigkeit stehen müssen. Ein definitives Schutzniveau oder ein bestimmtes Sicherungsmittel zur Herstellung des Schutzes bestimmt die DSGVO ausdrücklich nicht. Vielmehr stellt die DSGVO das Maß an zu treffende Sicherheitsvorkehrungen unter das Prinzip der Verhältnismäßigkeit, ohne die zu berücksichtigenden Interessen in welcher Form auch immer einzugrenzen. Daher können dies alle Arten von Interessen sein. Insbesondere sind damit auch wirtschaftliche Faktoren wie etwa die Kosten und der tatsächliche Aufwand einer Umsetzung der Datenschutzvorkehrungen zu berücksichtigen (Gola/Heckmann/Piltz, 3. Aufl. 2022, DS-GVO Art. 24 Rn. 59, beck-online). Da die DSGVO selbst aber keine Klarheit darüber bietet, welche konkreten Standards anzuwenden sind (so auch OLG Schleswig, Urteil vom 18.12.2024 - 12 U 9/24 Rn. 67), ist dieses Maß unter Abwägung der genannten Interessen zu bestimmen ist, wobei auch die berechtigten Sicherheitserwartungen des Verkehrs unter Berücksichtigung der Zumutbarkeit (OLG Karlsruhe, Urteil vom 27.07.2023, 19 U 83/22) eine nicht zu vernachlässigende Rolle spielen. Die vom Oberlandesgericht Schleswig in Bezug genommene „Orientierungshilfe des Arbeitskreises Technische und organisatorische Datenschutzfragen vom 27.05.2021“ sieht eine wie von den Klägern in Anspruch genommene Ende-zu-Ende-Verschlüsselung nicht zwingend vor.
Eine mit erheblichem organisatorischem und technischem Aufwand verbundene Ende-zu-Ende-Verschlüsselung, bei der die erforderlichen Schlüssel auf anderem Wege als die zu übermittelnde Nachricht - hier die streitgegenständlichen Rechnungen - bereitgestellt werden müssen, wird weder im konkreten Geschäftsverkehr vorausgesetzt, noch entspricht sie den üblichen Sicherheitserwartungen im allgemeinen Geschäftsverkehr.
Bei einer Ende-zu-Ende-Verschlüsselung wird die Vertraulichkeit der Kommunikation dadurch gewährleistet, dass die Daten beim Absender verschlüsselt und erst beim Empfänger entschlüsselt werden, sodass Dritte - etwa Server oder Netzbetreiber - den Inhalt der so geschützten Nachricht nicht einsehen können. Dies setzt jedoch voraus, dass die erforderlichen kryptographischen Schlüssel zwischen den Parteien gesondert und zugleich hinreichend sicher ausgetauscht werden. Auch dieser Schlüsselaustausch selbst erfordert zusätzliche technische und organisatorische Maßnahmen und begründet weiteren Aufwand auf Seiten aller Beteiligten.
Gerade im vorliegenden Falle hatte sich die Kläger keine Gedanken über etwaige Sicherheitsvorkehrungen gemacht (siehe III.2.a)). Vielmehr sollte der Kauf offensichtlich unkompliziert ohne weitere Verifizierungen abgewickelt werden. Nur so ist es zu erklären, dass die Kläger eine Überweisung über beträchtliche Summen tätigten, ohne sich seinerseits der Authentizität der übermittelten Rechnung zu vergewissern. Er mag zwar auf deren Integrität vertraut und sich möglicherweise in Unkenntnis, ob des Risikos einer unverschlüsselten Nachricht als auch über die Möglichkeiten einer Verschlüsselung befunden haben. Genau hierin kommen aber die konkreten Sicherheitserwartungen der Kläger zum Ausdruck. Der Kläger zu 1 führte selbst aus, dass er ein 76 Jahre alter Rentner sei, der keine Geschäfte im Internet tätigt. Begeben sich die Kläger - vertreten durch den Kläger zu 1 - aber in diese Sphäre und gehen nach eigenem Vortrag davon aus, den Vertrag durch die Übersendung eines Angebots per E-Mail ohne weitere Sicherheitsmaßnahmen schließen zu können, bringt dies die von ihnen der Vertragsabwicklung zugrunde gelegten Sicherheitserwartungen gegenüber der Beklagten zum Ausdruck. Dies zeigt sich auch darin, dass der Kläger zu 1, wie erwähnt, noch nach Kenntnis des Vorfalls und in Kenntnis eines möglichen „Hacking-Angriffs“ mit unverschlüsselter E-Mail eine Nachricht an die Beklagte übersandte, die wesentliche und sensible Informationen enthielt.
Da die Ende-zu-Ende-Verschlüsselung im Übrigen nicht alleine vom Verwender durchgeführt werden kann, sondern die (aktive) Mitwirkung des Empfängers voraussetzt (Ziegler MMR 2023, 761), kann diese auch nicht ohne weiteres zum allgemeinen Maßstab der zu treffenden Sicherheitsvorkehrungen gemacht werden. Der elektronische Rechtsverkehr lebt von der Schnelligkeit und unkomplizierten Verfügbarkeit von Informationen, um eine reibungsfreie Abwicklung der Geschäfte zu ermöglichen.
Daher hat sich die Verwendung einer derartigen Verschlüsselung im Rechtsverkehr nicht durchgesetzt (Pauly aaO). Dass dabei im Allgemeinen gerade der unverschlüsselte und insofern ungeschützte E-Mail-Verkehr sowohl von Verbraucher- als auch von Unternehmerseite umfassend toleriert wird und daher weitergehende Verschlüsselungstechniken nicht als Maßstab der geschäftlichen E-Mail-Kommunikation gelten können, zeigt sich auch daran, dass die sicherere, gleichwohl nicht Ende-zu-Ende-verschlüsselte „DE-Mail“ wegen des damit verbundenen höheren Aufwandes von Bürgerinnen und Bürger sowie von Unternehmen nahezu nicht genutzt wurde (6.000 DE-Mails zwischen 2011 und 2020 Jahresbericht 2021 des Bundesrechnungshofes, https://www.bundesrechnungshof.de/SharedDocs/Downloads/DE/Berichte/2021/de-mail-kaum-genutzt-volltext.pdf?__blob=publicationFile&v=1).
Dabei kann die Notwendigkeit der Verschlüsselung auch nicht von der Höhe der zu zahlenden bzw. zu überweisenden Beträgen (so Pauly ZfBR 2025, 629) abhängig gemacht werden. Weder lässt sich dies anhand des Verordnungstextes begründen, noch können die zu erwartenden Sicherungsvorkehrungen zwingend an einer bestimmten Summe gemessen werden, die letztlich auch davon abhängt, welche Art von Geschäften in welchem Umfeld abgewickelt werden sollen. Die Sensibilität der übermittelten Daten kommt nicht zwangsläufig in der Höhe der Rechnungssumme zum Ausdruck.
Ein Verstoß gegen andere (behauptete) Pflichten des Rechtsverkehrs haben die Kläger aber weder vorgetragen noch sind diese ersichtlich. Allein aus der Tatsache, dass es Dritten gelungen ist, auf Daten zuzugreifen und sie zu veröffentlichen, folgt noch nicht, dass der Verantwortliche keine geeigneten technischen und organisatorischen Maßnahmen zum Schutz ergriffen hat (EuGH GRUR-RS 2023, 3578 – natsionalna agentsia za prihodite, BeckOK DatenschutzR/Quaas, 55. Ed. 1.2.2026, DS-GVO Art. 82 Rn. 14e, beck-online).
c) Indem die Kläger daneben ihre E-Mail-Adresse für den Empfang der von ihnen erwarteten Vertragsunterlagen dem Vertreter zur Verfügung stellten, der sie sodann an die Beklagte weiterreichte, ohne auf bestimmte Sicherheitsvorkehrungen zu bestehen, haben die Kläger zugleich konkludent zum Ausdruck gebracht, in die ungeschützte Übermittlung einzuwilligen (OLG Düsseldorf, Urteil vom 28.10.2021 – 16 U 275/20). Dabei kann für eine wirksame Einwilligung auch nicht vorausgesetzt werden, dass der Betroffene die Risiken vollumfänglich überblickt (so indes Hessel/Prgomet in Rdi 2025, 221), denn letztlich muss es dem Einzelnen überlassen bleiben, ob und wie er sich in den Geschäftsverkehr begibt.
d) Zuletzt fehlt es auch an der erforderlichen Kausalität zwischen dem behaupteten Pflichtenverstoß der Beklagten und dem eingetretenen Schaden. Für einen substantiierten Vortrag bei einer veränderten oder manipulierten E-Mail muss von den Klägern schlüssig vorgetragen und anschließend gegebenenfalls technisch festgestellt werden, ob und bei welchem Kommunikationspartner der Angriff stattgefunden hat - entweder auf der Seite des Empfängers oder des Versenders (Veeck, ZD 2025, 284).
Nach dem schriftsätzlichen Vortrag der Kläger steht nicht fest, ob sich Dritte (rechtswidrig) Zugang zum IT-System der Beklagten verschafft haben sollen, um bereits dort die Rechnung im Rechnungssystem zu ändern, ob Dritte sich beim versendenden Mitarbeiter Zugang verschafft haben sollen, ob sich Dritte Zugang zum E-Mail-Postfach des Rechnungsempfängers verschafft haben sollen (etwa weil dieses nicht hinreichend sicher passwortgeschützt war), oder ob die Rechnung während der Kommunikationsübertragung verändert wurde.
In den ersten beiden Varianten bestünde eine Kausalität schon deswegen nicht, weil die Veränderung der Rechnung zu einem Zeitpunkt vor Verschlüsselung erfolgt wäre und dann lediglich eine „falsche“ Rechnung verschlüsselt versandt worden wäre. Bei dritter Variante wäre die E-Mail beim Empfänger also bei den Klägern schon angekommen und wäre dann unverschlüsselt dem Angriff preisgeben (vgl. Veeck ZD 2025, 284).
Mit seinem Vortrag hat der Kläger den Umstand der veränderten E-Mail nicht schlüssig dargelegt, sodass vorliegend eine kausale Pflichtverletzung nicht festgestellt werden kann. Zunächst hatte die Kläger ohne jegliche Anhaltspunkte behauptet, die E-Mail sei auf Seiten der Beklagten verändert in den Rechtsverkehr gelangt, „um das Geld einzunehmen und die Ware nicht liefern zu müssen“ (Var.1). Erst im Rahmen der mündlichen Verhandlung setzte der Kläger auf Nachfragen das Gericht überhaupt erst in Kenntnis davon, dass das hiesige Verfahren Gegenstand eines umfangreichen Strafverfahrens gewesen ist und er selbst davon ausgehe, dass die E-Mail beim Internetanbieter der Kläger verändert worden sei (Anlage zum Protokoll). Damit steht aber der genaue Zeitpunkt des unbefugten Zugriffs nicht fest und ist auch nicht ermittelbar.
Den Volltext der Entscheidung finden Sie hier: