Gehackter E-Mail-Account: Kunde zahlt auf Konto eines Betrügers

04.08.2025
Wirtschaft, Gesellschaft & Handel 3/2025
2 Minuten

Muss ein Werkunternehmer sich Zahlungen seines Kunden auf das Konto eines Betrügers anrechnen lassen, wenn dieser seinen E-Mail Account hackt und gegenüber dem Kunden manipuliert, so dass er Zahlungen auf ein Fremdkonto leistet? Das LG Koblenz verneinte diese Frage, sah bei dem Werkunternehmer jedoch ein Mitverschulden, da dieser seine Daten besser hätte schützen müssen.

LG Koblenz v. 26.3.2025 - 8 O 271/22

Der Sachverhalt:

Ein Unternehmer (der Kläger) hatte Zaunbauarbeiten für einen Kunden (dem Beklagten) zum Pauschalpreis von 11.000 € durchgeführt. Die darauffolgende Rechnung enthielt eine korrekte Kontoverbindung. Der Beklagte überwies den Betrag jedoch auf ein fremdes Konto, nachdem er gefälschte E-Mails über eine angebliche Kontoänderung erhalten hatte, mutmaßlich infolge eines Hackerangriffs auf den Mailaccount des Unternehmers. Der Beklagte informierte den Unternehmer per WhatsApp über die Zahlungen durch Screenshots, die aber nicht weiter geprüft wurden. Als der Unternehmer keinen Zahlungseingang feststellte, forderte er die Zahlung erneut. Der Beklagte berief sich darauf, bereits gezahlt zu haben.

Die Gründe:

Das LG hat der Klage im Umfang von 75 % stattgegeben (entspricht 8.250 €) und im Übrigen abgewiesen.

Der Kläger hat nach wie vor einen Anspruch auf Zahlung aufgrund des zwischen den Parteien geschlossenen Werkvertrages, denn der Beklagte kann sich vorliegend nicht mit Erfolg darauf berufen, dass er seine Schuld bereits durch Zahlung erfüllt hat. Allein der Umstand, dass die entsprechende Mitteilung des Kontos vorliegend mutmaßlich von dem E-Mail-Account des Klägers versandt worden ist, genügt nicht als Vermutung dafür, dass die Kontomitteilung tatsächlich vom Kläger stamme oder mit dessen Einverständnis erfolgte. Es ist allgemein bekannt, dass E-Mail-Accounts immer wieder unbefugt von Dritten gehackt werden und sich diese im Anschluss der entsprechenden E-Mail-Adresse bemächtigten. Das Risiko der Fälschung liege bei der Nutzung unsicherer Kommunikationswege demnach bei beiden Parteien.

Der Beklagte kann indes erfolgreich mit einem eigenen gegen den Kläger bestehenden Schadensersatzanspruch teilweise aufrechnen. Ein solcher Anspruch folgt aus Art. 82 DSGVO. Danach ist der Kläger als Unternehmer verpflichtet, sensible Daten gegen Datenschutzverletzungen zu sichern. Zu diesen Daten gehören sowohl die in der Rechnung enthaltenen personenbezogenen Angaben des Beklagten als auch seine E-Mail-Adresse. Eine solche Absicherung hat der Kläger nicht vorgenommen.

Das Gericht stellte  jedoch ein überwiegendes Mitverschulden des Kunden fest. Dieser hätte kritisch hinterfragen müssen, ob die ihm per E-Mail übersandten Kontodaten tatsächlich von dem Kläger stammen, zumal eine Bankverbindung mit einem vollkommen fremden Zahlungsempfänger mitgeteilt wurde.  Zudem hätte er angesichts der ungewöhnlichen Kontodaten Rücksprache mit dem Unternehmer halten müssen. Auch die Übermittlung der Screenshots per WhatsApp entband ihn nicht von weiterer Prüfungspflicht, da das Risiko der Zahlung beim Beklagten liegt.

Bildnachweis:AndreyPopov/Stock-Fotografie-ID:1287081701
Bildnachweis:A Mokhtari/Stock-Illustration-ID:1407160246

Autor:in

Christopher SemtnerRechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht, Partner

Immer bestens informiert mit den Newslettern von SCHOMERUS

ImpressumDatenschutzBarrierefreiheit
Steuerberatung und Rechtsberatung
Schomerus & Partner mbB
Steuerberater Rechtsanwälte
Wirtschaftsprüfer
Wirtschaftsprüfung
Hamburger Treuhand Gesellschaft
Schomerus & Partner mbB
Wirtschaftsprüfungsgesellschaft
Hamburg
Deichstraße 1
20459 Hamburg
Berlin
Bülowstraße 66
10783 Berlin
München
Atelierstraße 1
81671 München
Stralsund
An den Bleichen 15
18435 Stralsund
Pixel