Im Zahlungsverkehr zwischen Unternehmen kommt es in letzter Zeit zu großen Schadensdimensionen, weil ein Dritter in betrügerischer Absicht in den E-Mail-Austausch zwischen Schuldner und Gläubiger eindringt.
Zunächst späht der Betrüger die Teilnehmer lediglich aus, um im Vorfeld Details in Erfahrung zu bringen (Rechnungsbetrag, Rechnungsnummer, Fälligkeit, Namen etc.). Zu einem für das Vorhaben des Dritten passenden Zeitpunkt wird dann eine E-Mail an den Schuldner lanciert. Der Schuldner wird darin aufgefordert, auf eine neue, veränderte Bankverbindung zu zahlen, die in Wahrheit nicht dem Gläubiger gehört, sondern dem Dritten. Wegen des Insiderwissens und der Kontrolle des E-Mail-Verkehrs existiert eine (aus Sicht der Betrüger) hohe Erfolgsquote und Rendite, wenn der rein technische Teil des Angriffs gelingt. Kommt es zu einem solchen Schaden, schließt sich die Frage an, welche Seite den Verlust der Zahlung zu tragen hat. Dazu gibt es bisher keine obergerichtliche Rechtsprechung. Wir halten folgende Grundsätze für anwendbar.
Jedes Unternehmen hat die eigene IT angemessen im Rahmen des technisch und organisatorisch Möglichen gegen unbefugte Eingriffe Dritter zu sichern. Das folgt sowohl aus öffentlich-rechtlichen Pflichten wie dem BDSG als auch aus der Sorgfalt eines ordentlichen Geschäftsmannes, wie sie z. B. § 43 Abs.1 GmbHG verlangt. Eine Verletzung dieser Pflicht ist fahrlässig. Das Risiko fehlgeleiteter Zahlungen trägt also derjenige, über dessen IT eingedrungen wurde, ist es der Schuldner, muss er nochmals zahlen, ist es der Gläubiger, muss er die Zahlung als schuldbefreiend gegen sich gelten lassen.
Auf Schuldnerseite existiert allerdings neben der technischen Sicherung eine zweite Pflicht. Auf die Erfüllung von Geldschulden ist besondere Sorgfalt zu verwenden. Die Überwachung des Zahlungsverkehrs gehört zu den Pflichten der Geschäftsführung. So sollte die Übermittlung einer neuen Bankverbindung ein Anlass sein, die Richtigkeit und Authentizität der Nachricht zu überprüfen. Klugerweise ist dabei ein anderer Kommunikationsweg zu wählen als derjenige, der potentiell infiziert ist; also keine Rückfrage auf eben diesem E-Mail-Weg. Spätestens, wenn der in Deutschland ansässige, mittelständische Lieferant mit der bisherigen Bankverbindung „Sparkasse Würzburg“ nun angeblich ein Konto bei der „People´s Bank of Dublin“ unterhält, wäre jede unterlassene Klärung mehr als nur leicht fahrlässig. Unterlässt der Schuldner die Klärung, wird er einen Teil des Schadens auch dann tragen müssen, wenn der Eingriff über die IT des Gläubigers erfolgt ist.
