Manipulierte Rechnung: Muss AG nochmals zahlen?
Zahlt der Auftraggeber den Schlussrechnungsbetrag nicht auf das Konto des Werkunternehmers, weil die Rechnung durch einen Dritten manipuliert wurde, so erfüllt AG zwar nicht seine Zahlungsverpflichtung, er hat jedoch einen Schadensersatzanspruch in gleicher Höhe aus Art. 82 DSGVO, den er dem Zahlungsanspruch des AN entgegenhalten kann. Dies hat das OLG Schleswig mit Urteil vom 18.12.2024 (Az.: 12 U 9/24 entschieden. Die Revision wurde zugelassen.
Der Fall: AG und AN verbindet ein Bauvertrag. Unstreitig schuldet AG dem AN noch rund 15.000,00 EUR, worüber AN eine Schlussrechnung stellt. AG zahlt auch, jedoch an einen unbekannten Dritten, weil der E-Mail-Account des AN "gehackt" und die Rechnung von einem Dritten manipuliert wurde, und zwar in der Weise, dass ein falsches, nicht dem AN gehörendes Konto genannt wurde. AN verlangt von AG nochmalige Zahlung, denn der Leistungserfolg gemäß § 362 Abs. 1 BGB sei nicht eingetreten. Das Landgericht Kiel gibt der Klage statt.
Das Urteil: Anders das OLG Schleswig! Zwar stellt auch das OLG im Ansatz fest, dass AG durch Zahlung auf das fremde Konto die geschuldete Leistung nicht bewirkt hat, da der Leistungserfolg (Eingang des Geldes bei AN) nicht eingetreten ist. Der Dritte sei weder zur Einziehung berechtigt gewesen noch habe AN dies nachträglich genehmigt. Allerdings - so das OLG - habe AG einen Schadensersatzanspruch gegen AN, und zwar in Höhe des Betrages, den er unwiederbringlich auf das fremde Konto gezahlt hat (also genau den Rechnungsbetrag!). Dies begründet das OLG Schleswig wie folgt: Gemäß Art. 82 der Datenschutzgrundverordnung (DSGVO) hat AG gegen AN einen Schadensersatzanspruch, wenn erstens AN personenbezogene Daten unter schuldhaftem Verstoß gegen die Bestimmungen der DSGVO verarbeitet hat, zweitens dem AG dadurch ein Schaden entstanden ist und drittens ein Kausalzusammenhang zwischen der rechtswidrigen Datenverarbeitung und dem Schaden besteht. Dies bejaht das OLG Schleswig hier. Zwar liege ein Verstoß gegen die DSGVO nicht allein darin, dass Unbefugte Zugriff auf personenbezogene Daten erhalten hätten. Andererseits entfalle eine Haftung für einen etwaig entstandenen Schaden aber auch nicht allein deshalb, weil dieser Schaden Folge eines unbefugten Zugriffs auf personenbezogene Daten gewesen sei. Vielmehr treffe den Verantwortlichen für die Datenverarbeitung (hier AN) die Pflicht, darzulegen und gegebenenfalls auch zu beweisen, dass die von ihm getroffenen Sicherheitsmaßnahmen geeignet waren, um die personenbezogenen Daten entsprechend den von der DSGVO verlangten Sicherheitsniveau vor dem Zugriff unbefugter Dritter zu schützen. Diesen Beweis habe AN im vorliegenden Fall nicht geführt. Zwar behauptet er, eine sogenannte "Transportverschlüsselung" habe beim Versand des PDF-Dokuments vorgelegen. Diese Frage war zwischen den Parteien streitig, jedoch hielt das OLG Schleswig unabhängig davon eine Transportverschlüsselung nicht für ausreichend. Vielmehr habe AG bei sensiblen Daten wie einer Rechnung eine sogenannte "Ende-zu-Ende-Verschlüsselung" verwenden müssen. Auch ein Mitverschulden des AG, weil er die Abweichung in der Rechnung hätte erkennen können und müssen, verneint das OLG. Weil die Frage höchstrichterlich noch nicht entschieden ist, ließ das OLG die Revision zu.
Fazit: Die Entscheidung ist nicht zwingend. Es wird abzuwarten bleiben, ob und wie der BGH die Sache entscheidet. Das OLG Karlsruhe hat im Jahr 2023 in einer fehlenden "Ende-zu-Ende- Verschlüsselung" keine Pflichtverletzung des AN gesehen. Gleichwohl gilt: Wer vermeiden will, mit seinem Auftraggeber darüber in Streit zu geraten, ob dieser bei einer manipulierten Rechnung zur nochmaligen Zahlung verpflichtet ist, sollte von vornherein jedenfalls bei sensiblen Rechnungen eine "Ende-zu-Ende-Verschlüsselung" verwenden.
