Ein alltägliches Problem mit weitreichenden Folgen
Der Versand von Rechnungen per E-Mail gehört für viele Unternehmen zum Standard. Doch genau hier lauert eine oft unterschätzte Gefahr: Cyberkriminelle können E-Mails abfangen, manipulieren und die Bankverbindung in der Rechnung unbemerkt ändern. Überweist der Kunde das Geld auf das falsche Konto, stellt sich eine entscheidende Frage: Ist die Zahlung damit erfüllt – oder muss der Kunde erneut zahlen?
Das Schleswig-Holsteinische Oberlandesgericht (OLG) hat mit seinem Urteil vom 18. Dezember 2024 (Az. 12 U 9/24) eine wegweisende Entscheidung getroffen. Es stellte klar, dass eine solche Zahlung nicht zur Erfüllung der Forderung führt. Gleichzeitig trifft Unternehmen, die Rechnungen per E-Mail verschicken, eine besondere Verantwortung für die Sicherheit der übermittelten Daten.
Der Fall: Werklohn auf falsches Konto überwiesen
Im vorliegenden Fall hatte die Klägerin, ein Bauunternehmen, mit der Beklagten, einer privaten Kundin, einen Werkvertrag abgeschlossen. Nach Abnahme der Bauleistung stellte die Klägerin eine Schlussrechnung in Höhe von 15.385,78 €. Diese wurde per E-Mail als PDF-Anhang versendet.
Unbekannte Dritte hatten jedoch die Rechnung abgefangen, manipuliert und die Bankverbindung durch eine eigene ersetzt. Die Kundin, die von dieser Manipulation nichts ahnte, überwies den Betrag auf das falsche Konto.
Als das Bauunternehmen den offenen Werklohn erneut einforderte, berief sich die Kundin darauf, dass sie ihre Zahlungspflicht bereits erfüllt habe. Die Klägerin argumentierte hingegen, dass die Zahlung auf das falsche Konto nicht als Erfüllung gelten könne, da sie das Geld nicht erhalten habe.
Das Landgericht Kiel gab zunächst der Klägerin recht. Die Beklagte legte daraufhin Berufung ein – mit Erfolg. Das OLG Schleswig-Holstein hob das Urteil des Landgerichts auf und entschied zugunsten der Beklagten.
Die rechtliche Einordnung: Erfüllung der Zahlungspflicht und Schadensersatz
Das OLG befasste sich mit zwei zentralen Fragen:
- Gilt die Zahlung auf das falsche Konto als Erfüllung der Werklohnforderung?
- Trifft das Bauunternehmen eine Mitschuld an dem Vorfall aufgrund mangelnder Sicherheitsmaßnahmen?
1. Keine Erfüllung der Forderung bei Zahlung auf ein falsches Konto
Nach § 362 Abs. 1 BGB erlischt eine Forderung, wenn die geschuldete Leistung an den Gläubiger erbracht wird. Bei einer Überweisung bedeutet das, dass der Gläubiger das Geld endgültig und zur freien Verfügung auf seinem Konto gutgeschrieben bekommt.
Das OLG stellte klar, dass eine Zahlung an einen Dritten nur dann zur Erfüllung führt, wenn:
- der Gläubiger den Dritten ausdrücklich ermächtigt hat, das Geld in Empfang zu nehmen, oder
- der Gläubiger die Zahlung an den Dritten nachträglich genehmigt.
Beides war hier nicht der Fall. Die Manipulation der Rechnung erfolgte ohne Wissen und Zustimmung der Klägerin. Daher konnte die Überweisung auf das falsche Konto die Werklohnforderung nicht erlöschen lassen. Die Klägerin hatte also grundsätzlich Anspruch auf erneute Zahlung.
2. Haftung des Unternehmens wegen unzureichender Sicherheitsmaßnahmen
Trotzdem wurde die Klage abgewiesen. Der Grund: Das OLG sah eine erhebliche Mitverantwortung des Bauunternehmens für den Schaden der Beklagten.
Die Begründung stützt sich auf Art. 82 der Datenschutz-Grundverordnung (DSGVO). Nach dieser Vorschrift haftet ein Unternehmen für Schäden, die durch Verstöße gegen die DSGVO entstehen. Konkret bedeutet das: Unternehmen müssen angemessene Sicherheitsmaßnahmen ergreifen, um personenbezogene Daten – darunter auch Rechnungsdaten – vor unbefugtem Zugriff zu schützen.
Das Gericht stellte fest, dass die Klägerin die Rechnung unverschlüsselt oder nur mit einer Transportverschlüsselung (z. B. TLS) versendet hatte. Diese Form der Verschlüsselung schützt die E-Mail nur während der Übertragung, nicht jedoch auf den Servern der E-Mail-Anbieter. Hacker können solche E-Mails abfangen, manipulieren und weiterleiten.
Nach Ansicht des OLG hätte die Klägerin eine stärkere Absicherung vornehmen müssen, insbesondere:
- Ende-zu-Ende-Verschlüsselung: Dadurch wäre die E-Mail selbst verschlüsselt, nicht nur der Transportweg.
- Digitale Signaturen: Diese hätten es der Beklagten ermöglicht, die Echtheit der Rechnung zu überprüfen.
- Sichere Rechnungsportale: Anstatt Rechnungen per E-Mail zu verschicken, hätten sie über ein geschütztes Kundenportal bereitgestellt werden können.
Da das Unternehmen diese Maßnahmen nicht umgesetzt hatte, bewertete das OLG dies als Verstoß gegen die DSGVO und sprach der Beklagten einen Schadensersatzanspruch in Höhe des überwiesenen Betrags zu. Diesen konnte sie der Werklohnforderung der Klägerin entgegenhalten – sodass sie nicht erneut zahlen musste.
Praktische Konsequenzen für Unternehmen
Das Urteil hat weitreichende Folgen für Unternehmen, die Rechnungen per E-Mail versenden. Es zeigt deutlich, dass einfache Schutzmaßnahmen nicht ausreichen und dass ein Verstoß gegen die DSGVO auch finanzielle Konsequenzen haben kann.
Was Unternehmen jetzt tun sollten
- Sicherheitsmaßnahmen für den E-Mail-Versand erhöhen
- Ende-zu-Ende-Verschlüsselung einführen
- Digitale Signaturen nutzen
- Rechnungsportale verwenden
- Kontoveränderungen separat bestätigen lassen
- Interne Prozesse zur Datensicherheit überarbeiten
- Mitarbeiterschulungen zu Phishing und Cyberkriminalität durchführen
- Klare Richtlinien für den Versand sensibler Daten erstellen
- Regelmäßige IT-Sicherheitschecks durchführen
- Kunden sensibilisieren
- In Rechnungen explizit darauf hinweisen, dass Bankverbindungen nicht ohne Rückfrage geändert werden
- Kunden die Möglichkeit geben, sich bei Unsicherheiten telefonisch zu vergewissern
Fazit: Verantwortung liegt beim Unternehmen
Das OLG Schleswig-Holstein hat mit dieser Entscheidung klargestellt, dass Unternehmen beim Versand von Rechnungen per E-Mail nicht nur für die korrekte Übermittlung, sondern auch für die Sicherheit der Daten verantwortlich sind.
Die Kernaussage des Urteils lautet: Wer geschäftliche E-Mails mit personenbezogenen Daten versendet, muss für ausreichenden Schutz sorgen. Eine einfache Transportverschlüsselung reicht nicht aus.
Für Unternehmen bedeutet das, dass sie ihre IT-Sicherheitsmaßnahmen dringend überdenken und verbessern sollten. Denn wenn ein Kunde durch eine manipulierte E-Mail getäuscht wird, könnte das Unternehmen für den Schaden haften – und nicht nur den Rechnungsbetrag, sondern auch weitere Schäden ersetzen müssen.

Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530