Wer trägt das Risiko bei E-Mail-Betrug im Geschäftsverkehr?

11.08.2025
Lesezeit 4 Minuten

Vorsicht bei digitaler Rechnungsstellung: Ein aktuelles Urteil des LG Koblenz verdeutlicht die rechtlichen Folgen unsicherer E-Mail-Kommunikation – insbesondere bei Betrugsfällen mit manipulierten Zahlungsdaten.

Ein aktuelles Urteil des LG Koblenz zeigt erneut die Risiken des unverschlüsselten Austauschs sensibler Informationen per E-Mail zwischen Unternehmer und Kunden auf. Insbesondere schafft das Urteil einen Überblick zu Pflichtenverteilung und Haftungsfragen für den Fall, dass Betrüger die E-Mail-Kommunikation übernehmen und Zahlung auf ein fremdes Konto veranlassen.

Der Sachverhalt: Betrug mittels gefälschter Kontodaten

Ein Handwerksbetrieb hatte für einen Kunden einen Gartenzaun gebaut. Dafür stellte er eine Rechnung über 11.000 €. Der Kunde überwies das Geld – allerdings nicht auf das Konto des Handwerkers, sondern auf das Konto eines Betrügers.

Der Trick: Jemand hatte sich Zugriff auf das E-Mail-Konto des Handwerkers verschafft und dem Kunden eine gefälschte Nachricht mit angeblich geänderten Kontodaten geschickt. Der Kunde glaubte, es handele sich um eine echte Mitteilung, und überwies insgesamt 11.000 € auf das falsche Konto.

Als der Handwerker feststellte, dass gemäß einem vom Kunden per WhatsApp übersandten Zahlungsbeleg an fremde Kontodaten überwiesen wurde, offenbarte sich der Betrug – und er forderte die Zahlung vom Kunden erneut. Der Kunde weigerte sich, weil er ja (aus seiner Sicht) bereits gezahlt hatte.

Zentrale Feststellungen des Landgerichts Koblenz

Mit Urteil vom 26.03.2025 (Az. 8 O 271/22) hat das LG Koblenz folgende rechtliche Kernaussagen getroffen:

Werklohnanspruch bleibt bestehen

Das Gericht hat festgestellt, dass ein Unternehmer seinen Werklohnanspruch nicht dadurch verliert, dass der Kunde die Zahlung auf ein manipuliertes Konto leistet. Eine Zahlung auf ein falsches Konto erfüllt die Verbindlichkeit nicht gemäß § 362 BGB. Auch der Umstand, dass die manipulierte E-Mail von der Adresse des Unternehmers versandt wurde, ließ keine Vermutung dafür zu, dass dieser die Zahlung veranlasst oder genehmigt hat.
Kein Vertrauensschutz bei manipulierter E-Mail

Das Gericht hat klargestellt, dass der Versand von Kontoinformationen über einen gehackten E-Mail-Account nicht dem Unternehmer zuzurechnen ist. E-Mail-Kommunikation ist allgemein als unsicher bekannt, und wer sich ihrer im Geschäftsverkehr bedient, nimmt dieses Risiko bewusst in Kauf.
Schadensersatz nach DSGVO bei mangelhafter E-Mail-Sicherheit

Zugleich hat das Gericht jedoch angenommen, dass der Unternehmer gegen Art. 82 DSGVO verstoßen hat, weil er keine ausreichenden technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten – insbesondere des E-Mail-Kontos – getroffen hatte. Daraus folgte ein anteiliger Schadensersatzanspruch des Kunden.

In diese Kerbe schlug kürzlich auch das OLG Schleswig (Urteil vom 18.12.2024 – 12 U 9/24) und sprach einem Kunden sogar einen datenschutzrechtlichen Schadensersatzanspruch in Höhe der auf das Drittkonto getätigten Überweisung zu. Es sei jedoch darauf hingewiesen, dass diese Rechtsansicht nach unserer Einschätzung im Ergebnis fehlgeht und zumindest der Höhe nach nicht vertretbar ist.
Mitverschulden des Kunden überwiegt

Der Kunde habe laut Gericht erheblich gegen seine Sorgfaltspflichten verstoßen (§ 254 BGB), indem er eine fremde IBAN akzeptierte und sich nicht vergewisserte, ob diese tatsächlich vom Unternehmer stammte. Trotz der Mitteilung per E-Mail und nachgereichter WhatsApp-Screenshots hätte er Rücksprache halten müssen. Das Gericht hat dem Kunden ein Mitverschulden in Höhe von 75 % angelastet.
Ergebnis: Zahlungspflicht bleibt bestehen

Der Unternehmer erhielt 8.250 € zugesprochen. Der Werklohnanspruch wurde nur um den (gerichtlich geschätzten) Schadensersatzanspruch des Kunden in Höhe von 2.750 € gekürzt. Eine vollständige Erfüllung der Schuld durch die Zahlung auf das falsche Konto wurde verneint.

Praxishinweise für Unternehmen und Auftraggeber

Beteiligter	Handlungsempfehlungen
Unternehmer	E-Mail-Konten gegen Zugriffe Dritter schützen (2FA, Verschlüsselung). Bei sensiblen Daten (wie Zahlungsinformationen) auf zusätzliche Kommunikationswege zurückgreifen. Datenschutz- und IT-Sicherheitskonzepte dokumentieren (Art. 32 DSGVO). Frühzeitige Reaktion auf verdächtige Vorgänge: Screenshots ernst nehmen, Zahlungen rückverfolgen lassen.
Kunden / Auftraggeber	Geänderte Kontodaten grundsätzlich verifizieren – telefonisch oder über andere verlässliche Kanäle. Zahlungsbelege kritisch prüfen: Ist der Zahlungsempfänger bekannt? Bei Unsicherheiten nie ohne Rückversicherung handeln.
Beide Seiten	Verfahrensanweisungen zum sicheren Zahlungsverkehr vertraglich festlegen. Schulungen für Mitarbeitende im Umgang mit digitalen Kommunikationsrisiken.

Fazit: Die Digitalisierung rechtfertigt kein blindes Vertrauen

Das Urteil des LG Koblenz macht in Übereinstimmung mit der bisherigen Rechtsprechung (so auch OLG Karlsruhe, Urteil vom 27.07.2023 – 19 U 83/22) deutlich, dass die Risiken digitaler Kommunikationswege beiden Vertragsparteien zurechenbar sein können – allerdings in unterschiedlichem Umfang.

Unternehmer müssen datenschutzrechtliche Sicherheitsvorkehrungen ernst nehmen, Kunden sind zur kritischen Prüfung von Zahlungsinformationen verpflichtet. Die Digitalisierung rechtfertigt kein blindes Vertrauen, sondern erfordert erhöhte Wachsamkeit auf allen Seiten.

Sie haben Fragen zur rechtssicheren Gestaltung digitaler Geschäftsprozesse oder sind selbst betroffen? Wir stehen Ihnen mit fundierter rechtlicher Beratung, insbesondere im Datenschutz-, Vertrags- und IT-Recht – präventiv und im Streitfall – zur Seite.

In unserem Newsletter Update Datenschutz informieren wir Sie regelmäßig über relevante Urteile und Entwicklungen in den Bereichen Datenschutz und Cybersecurity.

Jetzt abonnieren!