Für zahlreiche Unternehmen sind Rechnungen im PDF-Format per E-Mail schon lange gängige Praxis. Das ist für alle Beteiligten praktisch, schnell und spart unnötigen Papierkram. Diese Entwicklung machen sich jedoch auch Kriminelle mit dem sogenannten „Rechnungsbetrug“, auch Zahlungsumleitungsbetrug genannt, zu Nutze. Bei dieser Betrugsform hacken sich Betrüger in die IT-Systeme von Unternehmen ein, um gefälschte Rechnungen an Kunden zu verschicken.
Die Rechnungen werden dabei so abgeändert, dass statt der Kontonummer des Unternehmens die Bankverbindung der Betrüger angegeben wird. Die Kunden überweisen den geforderten Betrag an das falsche Konto, im Glauben so Dienstleistungen oder bestellte Waren zu bezahlen.
Lange herrschte Unsicherheit, wer für den offenen Rechnungsbetrag haftet. Bleibt der Verkäufer auf seinen Kosten sitzen? Muss der Käufer doppelt zahlen? Welche IT-Sicherheitsstandards müssen Unternehmen erfüllen, um solche Vorfälle zu verhindern?
Das OLG Karlsruhe hat sich in seinem Urteil vom 27. Juli 2023 (19 U 83/22) mit diesen Fragen beschäftigt. Das Gericht hat damit eine Leitlinie geschaffen, die zukünftig in vergleichbaren Fällen wegweisend sein wird.
OLG Karlsruhe zu Rechnungsbetrug: Worum ging es in dem konkreten Fall?
In der Fallkonstellation, die dem OLG Karlsruhe unterbreitet wurde, hatte der Geschäftsführer eines Unternehmens einen Gebrauchtwagen bei einem Autohändler gekauft. Käufer und Verkäufer einigten sich auf einen Kaufpreis in Höhe von 13.500 Euro, die Rechnung wurde per E-Mail versandt.
Nur zwei Minuten später folgte eine zweite Rechnung per Mail, die eine andere Bankverbindung enthielt. Der Käufer veranlasste die Zahlung an das zweite Bankkonto. Kurz darauf stellte sich heraus, dass das E-Mail-Konto des Autohändlers gehackt worden war. Die zweite Rechnung wurde von Betrügern verschickt, zu denen offenbar auch das fremde Konto gehörte.
Der Autohändler beharrte weiter auf das Begleichen der Rechnung – schließlich hatte er nie das Geld für den Gebrauchtwagen erhalten. Der Käufer verweigerte eine doppelte Zahlung.
Der Streit landete vor dem OLG Karlsruhe, welches in der Sache abschließend entschieden hat.
Das Urteil des OLG Karlsruhe im Detail
In einem ersten Schritt beschäftigte das OLG Karlsruhe sich mit der Frage, ob der Verkäufer weiterhin einen Anspruch auf die Zahlung des Kaufpreises hat. Dies bejahte das Gericht: der Verkäufer hat nie Geld von dem Käufer erhalten. Die 13.500 Euro wurden an einen Dritten überwiesen, der nichts mit dem Autohändler zu tun hat.
Der Käufer könnte höchstens Schadensersatz von dem Autohändler verlangen. Einen solchen Schadensersatzanspruch könnte der Käufer dann der Kaufpreisforderung entgegenhalten. Im Ergebnis müsste er dann doch nicht ein zweites Mal zahlen.
Damit ein solcher Schadensersatzanspruch besteht, muss der Autohändler laut OLG Karlsruhe durch sein Verhalten das Versenden der falschen Rechnung ermöglicht haben. Dies ist der Fall, wenn der Autohändler die„berechtigten Sicherheitserwartungen des maßgeblichen Verkehrs unter Berücksichtigung der Zumutbarkeit“ (OLG Karlsruhe, Urteil vom 27. Juli 2023) nicht erfüllt hat.
Das Gericht hat sich daher damit beschäftigt, ob der Autohändler bei dem Versenden der E-Mail die erforderlichen Sicherheitsvorkehrungen erfüllt hat. Dabei ist es zu dem Ergebnis gekommen, dass den Autohändler keine Schuld traf.
Das Passwort für das E-Mail-Konto wurde alle zwei Wochen geändert und war nur zwei Personen in der Firma bekannt. Außerdem waren die Rechner des Autohändlers durch Firewalls und ein Antivirenprogramm geschützt.
Zusätzliche Sicherheitsvorkehrungen, wie etwa das Verfahren der „Sender Policy Framework“ (SPF), einer Ende-zu-Ende- oder Transportverschlüsselung der E-Mail, können normalerweise nicht erwartet werden.
Das OLG Karlsruhe sah außerdem eine Mitschuld bei dem Käufer, da die E-Mail zahlreiche Ungereimtheiten enthielt. Beispielsweise wurde der Käufer in der zweiten Rechnung gesiezt, obwohl sich zuvor nur geduzt wurde. Auch fanden sich in der Mail Rechtschreibfehler und grammatikalisch unverständliche Sätze. Die Kontodaten verwiesen auf eine Bank in Berlin und beinhaltete den Namen einer Person, welche augenscheinlich nichts mit dem Autohändler zu tun hatte.
All das hätte den Käufer stutzig machen müssen. Das Gericht sah ihn daher in der Pflicht, noch einmal nachzufragen, auf welches Bankkonto das Geld überwiesen werden sollte.
Hinzu kommt, dass in dem Prozess nicht abschließend geklärt werden konnte, wie die Hacker Zugriff auf das E-Mail-Konto erlangt haben. Selbst wenn der Autohändler die erforderlichen Sicherheitsvorkehrungen nicht getroffen hätte, konnte deswegen nicht bewiesen werden, dass dies den Hackangriff ermöglicht hat.
Letztendlich musste der Käufer also erneut 13.500 Euro – diesmal an den echten Autohändler – bezahlen.
Was bedeutet das Urteil für Verkäufer?
Grundsätzlich können Verkäufer im Falle eines Rechnungsbetruges weiterhin auf die Zahlung des Kaufpreises bestehen.
Allerdings hat das OLG die Sicherheitsvorkehrungen des Autohändlers in seinem Urteil genau geprüft. Es kann also auch anders entschieden werden, wenn die IT-Sicherheit des Verkäufers nicht ausreichen war. Verkäufer sollten daher unbedingt für eine gute IT-Sicherheit sorgen, um sich selbst und ihre Kunden zu schützen.
Was bedeutet das Urteil für Käufer?
Für Käufer, die Opfer eines Rechnungsbetruges geworden sind, ist dieses Urteil eher ernüchternd.
Um einer doppelten Zahlung zu entgehen muss nicht nur bewiesen werden, dass der Verkäufer die erforderlichen Sicherheitserwartungen nicht erfüllt hat. Zusätzlich muss dargelegt werden, dass dies zu dem Versenden der falschen Rechnung geführt hat. Dazu müsste jedoch Klarheit über die genaue Vorgehensweise der Hacker herrschen. Das wird nur sehr selten der Fall sein.
Käufer werden daher in Zukunft bei dem Empfang von Rechnungen besonders skeptisch sein müssen.
Wie kann ich mich vor falschen Rechnungen und den Rechtsfolgen schützen?
Als Verkäufer sollten Sie sich selbst und Ihre Kollegen/Mitarbeiter über diese Betrugsmasche informieren. Alle Systeme sollten auf den neusten Stand gehalten und mit Firewalls und Antivirensoftware ausgestattet sein. Außerdem können Sie Ihre Kunden vorsorglich darauf hinweisen, dass eine Änderung der Bankverbindung niemals per Mail mittgeteilt werden wird.
Als Käufer sollten Sie ihre Rechnungen immer genau überprüfen und bei Unstimmigkeiten über einen zweiten Kommunikationsweg (z.B. telefonisch) mit dem Unternehmen in Kontakt treten. Anzeichen für betrügerische Rechnungen sind häufig falsche oder fehlende Adressen, eine generische Anrede, Rechtschreibfehler und ausländische Kontodaten.
Oft verschicken Betrüger auch Rechnungen, ohne dass zuvor etwas bestellt wurde. Es empfiehlt sich also immer zu hinterfragen, wofür eine Rechnung ist und ob Sie diese überhaupt erwartet haben.
Was kann ich tun, wenn ich Opfer eines Rechnungsbetrugs geworden bin?
Wenn Sie Opfer eines Rechnungsbetruges geworden sind, sollten Sie umgehend Strafanzeige bei der Polizei erstatten. Außerdem sollten Sie mit Ihrer Bank in Verbindung treten – bei schnellem Handeln können bereits getätigte Überweisungen eventuell noch zurückgeholt werden.
Unser Team berät Sie gerne über die nächsten Schritte und hilft Ihnen dabei, Ihre Rechte durchzusetzen. Gerne schicken wir Ihnen eine kostenlose erste Einschätzung 🙂
Dieser Beitrag wurde von Frau Magdalena Mariel verfasst.