Datenschutz bei E-Mail Betrug im Geschäftsverkehr

Ein Handwerksbetrieb verschickte eine Rechnung an einen Kunden per E-Mail, nachdem er einen Gartenzaun gebaut hatte. Durch einen Cyberangriff wurde das E-Mail-Konto des Handwerkers kompromittiert, und der Kunde erhielt von Betrügern eine Nachricht mit geänderten Kontodaten. Der Kunde überwies daraufhin 11.000€ auf das falsche Konto. Erst durch einen Zahlungsbeleg stellte sich der Betrug heraus. Der Handwerker forderte seinen Werklohn beim Kunden weiterhin ein, der sich jedoch weigerte, da er ja bereits gezahlt habe.

Werklohnanspruch bleibt bestehen: Der Unternehmer verliert seinen Anspruch nicht, wenn der Kunde versehentlich auf ein manipuliertes Konto zahlt. Ein Zahlungsvorgang auf ein fremdes Konto erfüllt die Schuld nicht nach §362 BGB.

Kein Vertrauensschutz für manipulierte E-Mails: Die Zahlung an das falsche Konto geht nicht zulasten des Unternehmers – der Austausch von sensiblen Daten per E-Mail ist als riskant bekannt. Beide Seiten müssen mit diesen Risiken rechnen.

Verstoß gegen die DSGVO: Das Gericht befand, dass der Unternehmer keine ausreichenden technischen und organisatorischen Maßnahmen zum Schutz seines E-Mail-Kontos vorgenommen hat (Art. 32 DSGVO). Für diese mangelhafte E-Mail-Sicherheit spricht das LG Koblenz dem Kunden einen anteiligen Schadensersatz nach Art. 82 DSGVO zu.

Mitverschulden des Kunden: Der Kunde handelte grob fahrlässig, indem er die neuen Kontodaten nicht kritisch überprüfte oder verifizierte. Das Mitverschulden wurde auf 75 % beziffert.

Der Werklohnanspruch bleibt bestehen, wird aber um den anteiligen Schadensersatzanspruch des Kunden gekürzt (hier: 8.250€ vs. 2.750€ Schadensersatz). Eine Zahlung auf ein falsches Konto erfüllt die Schuld nicht vollständig. Das Risiko liegt also wesentlich bei demjenigen, der die Sorgfaltspflichten verletzt – sei es auf Kundenseite (bei unkritischer Prüfung fremder IBANs) oder auf Unternehmerseite (bei mangelhaften Schutzmaßnahmen für E-Mail-Konten und Daten).

Wer sich vor E-Mail-Betrug schützen will, sollte die datenschutzrechtlichen Grundlagen kennen. Die DSGVO definiert klare Pflichten für Unternehmen im Umgang mit personenbezogenen Daten.
Eine verständliche Einführung in Datenschutz und DSGVO finden Sie hier:
 

Datenschutz und DSGVO einfach erklärt
 

So schützen Sie sich als Unternehmer:

• Zugriffe auf E-Mail-Konten mithilfe von Zwei-Faktor-Authentifizierung und Verschlüsselung schützen.
• Kontrollieren Sie sensible Daten mehrfach, nutzen Sie sichere Kommunikationswege für Zahlungsinformationen.
• Dokumentieren Sie Ihr Datenschutz- und IT-Sicherheitskonzept nach Art. 32 DSGVO.
• Reagieren Sie schnell und transparent auf verdächtige Zahlungsanfragen.

So schützen Sie sich als Kunde:

• Fremde/geänderte Kontodaten stets telefonisch oder über verlässliche Kanäle verifizieren.
• Zahlungsbelege sorgfältig prüfen, bei Unsicherheiten immer Rücksprache halten.

So schützen sich beide Parteien:

• Vertragliche Vorgaben für sicheren Zahlungsverkehr vereinbaren.
• Mitarbeiterschulungen im Umgang mit digitalen Risiken durchführen.

Die Rechtsprechung, etwa das LG Koblenz und OLG Karlsruhe (Urteil vom 27.07.2023 – 19 U 83/22), zeigt: Die Digitalisierung rechtfertigt kein blindes Vertrauen. Unternehmer und Kunden tragen gemeinsam Verantwortung – aber je nach Verhalten unterschiedlich stark. Datenschutz und IT-Sicherheit sind für Unternehmen Pflicht, während Auftraggeber stets kritisch und kontrollierend vorgehen sollten.

Sie haben Fragen zur rechtssicheren Gestaltung digitaler Geschäftsprozesse zum Thema Datenschutz? Dann nehmen Sie jetzt Kontakt zu uns auf und informieren Sie sich über unser Weiterbildungsangebot!