In der vorliegenden Gerichtsentscheidung des Oberlandesgerichts Karlsruhe vom 27.07.2023 mit dem Aktenzeichen 19 U 83/22 wurde zu einem Fall geurteilt, bei dem eine Autokäuferin den Kaufbetrag unwissentlich an einen Betrüger überwiesen hatte. Die Autokäuferin machte die Verkäuferin für den Irrtum aufgrund von vermeintlicher Verletzung von IT-Sicherheitspflichten verantwortlich und weigerte sich, die eigentliche Rechnung zu bezahlen.
Die Klägerin (Verkäuferin) hatte eine Klage eingereicht, um den noch ausstehenden Kaufpreis für die erbrachten Leistungen einzufordern. In ihrer Klage begründete sie, dass die vertraglichen Vereinbarungen erfüllt worden seien und somit die Beklagte zur Zahlung des Kaufpreises verpflichtet sei. Die Beklagte hingegen führte an, dass sie eine gefälschte Rechnung erhalten habe und daher nicht zur Zahlung des Kaufpreises verpflichtet sei. Sie behauptete, dass die Klägerin ihre IT-Sicherheitspflichten verletzt habe, was zu dem Vorfall geführt habe.
Bei der Analyse der rechtlichen Fragestellungen kam das Gericht zu dem Schluss, dass die Klägerin den Anspruch auf den ausstehenden Kaufpreis gerechtfertigt geltend gemacht hat. Die vertraglichen Leistungen waren erbracht und somit war die Beklagte zur Zahlung verpflichtet. Das Gericht betonte, dass die Annahme einer Pflichtverletzung der Klägerin nicht ausreichend begründet war. Insbesondere konnte nicht nachgewiesen werden, dass die Klägerin die notwendigen IT-Sicherheitsmaßnahmen verletzt hatte, die zu dem Vorfall geführt hatten.
Die Beklagte behauptete, dass die Klägerin nicht ausreichende Sicherheitsmaßnahmen ergriffen habe, um die Vertraulichkeit ihrer Kommunikation zu gewährleisten. Die Beklagte zog die fehlende Verwendung von Sicherheitsprotokollen wie dem „Sender Policy Framework (SPF)“ sowie einer Ende-zu-Ende-Verschlüsselung und Transportverschlüsselung in Zweifel. Das Gericht urteilte jedoch, dass die Klägerin nicht gesetzlich verpflichtet war, diese spezifischen Maßnahmen zu ergreifen. Zudem verwies das Gericht darauf, dass die berechtigten Sicherheitserwartungen im Geschäftsverkehr nicht ausschließlich durch die genannten Maßnahmen definiert sind.
Das Gericht wies auch darauf hin, dass es keine konkreten gesetzlichen Vorgaben für Sicherheitsvorkehrungen beim Versand von E-Mails im geschäftlichen Verkehr gibt. Die Verwendung von Maßnahmen wie der Ende-zu-Ende-Verschlüsselung wurde im Verhältnis der Parteien zueinander nicht als verpflichtend erachtet. Zudem wurde eine mögliche Pflichtverletzung der Klägerin dadurch entkräftet, dass die Beklagte selbst keine ausdrücklichen Sicherheitsvorkehrungen bei der E-Mail-Kommunikation gefordert hatte.
Die Beklagte versuchte auch, Schadensersatzansprüche gegen die Klägerin geltend zu machen, jedoch konnte sie keine ausreichenden Beweise für die Kausalität zwischen einer möglichen Pflichtverletzung der Klägerin und dem eingetretenen Schaden vorlegen. Zudem wies das Gericht darauf hin, dass ein erhebliches Mitverschulden der Beklagten bestand, da sie die auffälligen Unstimmigkeiten in den E-Mails und der Rechnung nicht angemessen hinterfragt hatte.
Abschließend entschied das Gericht, dass die Klägerin Anspruch auf den ausstehenden Kaufpreis sowie auf Erstattung vorgerichtlicher Rechtsanwaltskosten hat. Die Versuche der Beklagten, Aufrechnungen vorzunehmen und Schadensersatzansprüche geltend zu machen, wurden abgelehnt.