Betrug mit manipulierten PDF-Rechnungen per E-Mail

Rechnungsmanipulation durch externe Eingriffe in die E-Mail-Kommunikation ist ein wachsendes Problem im Geschäftsverkehr. Häufig sendet ein Unternehmer eine Rechnung per E-Mail an den Kunden. Betrüger manipulieren diese Nachricht, indem sie die Bankverbindung durch ihre eigene ersetzen. Der Kunde zahlt auf das falsche Konto, der Unternehmer erhält kein Geld und klagt seine Forderung ein.

Handwerksbetriebe sind gleich doppelt gefährdet:

• Manipulierte Eingangsrechnung: Erhält der Betrieb selbst eine gefälschte Rechnung und überweist den Betrag, landet das Geld bei den Betrügern und die ursprüngliche Forderung bleibt bestehen. Der Betrieb muss somit im schlimmsten Fall zweimal zahlen.
• Manipulierte Ausgangsrechnung: Wird eine vom Betrieb versandte Rechnung auf dem Weg zum Kunden manipuliert, überweist dieser unbemerkt auf das falsche Bankkonto. Die Zahlung bleibt somit aus und der Kunde könnte dem Betrieb zusätzlich mangelnde Sicherheit beim Rechnungsversand vorwerfen. Bei Privatkunden kann dies sogar zu Schadensersatzansprüchen nach DSGVO führen.

Wie unterschiedlich Gerichte in solchen Fällen urteilen, zeigen aktuelle Entscheidungen.

Aktuelle Urteile

1. OLG Karlsruhe, Urteil vom 27.07.2023 (19 U 83/22)

• Sachverhalt: Kaufvertrag über einen gebrauchten PKW zwischen zwei Unternehmen (B2B).
• Ergebnis: Der Kunde muss den Kaufpreis in voller Höhe an den Unternehmer zahlen.
• Begründung: Der Kunde hat keinen Schadensersatzanspruch. Eine Pflichtverletzung wegen unzureichender Sicherheitsvorkehrungen beim Versenden der E-Mail liegt nicht vor. Es liegt keine Pflicht zur Verwendung bestimmter Sicherheitsmaßnahmen, wie End-to-End-Verschlüsselung vor.

2. OLG Schleswig-Holstein, Urteil vom 18.12.2024 (12 U 9/24)

• Sachverhalt: Bauvertrag über Installationsarbeiten (B2C).
• Ergebnis: Der Kunde muss den Werklohn nicht an den Unternehmer zahlen.
• Begründung: Der Unternehmer hätte End-to-End-Verschlüsselung nutzen müssen, um die Anforderungen der DSGVO zu erfüllen. Da dies nicht geschah, besteht ein Schadensersatzanspruch des Kunden gemäß Art. 82 DSGVO in voller Höhe.

3. LG Koblenz, Urteil vom 26.03.2025 (8 O 271/22)

• Sachverhalt: Werkvertrag über Zaunbau (B2C).
• Ergebnis: Der Kunde muss nur 75 % des Werklohns zahlen.
• Besonderheit: Der Kunde hat einen Schadensersatzanspruch nach Art. 82 DSGVO. Das Gericht sah jedoch ein erhebliches Mitverschulden des Kunden, da dieser auf verdächtige E-Mails (z. B. kurzfristige Änderung der Empfängerdaten) hätte reagieren müssen.
   

Zentrale Rechtsfragen

• Pflichten des Unternehmers: Die Gerichte prüfen, ob der Unternehmer ausreichende Sicherheitsmaßnahmen beim Versand von Rechnungen getroffen hat. Während das OLG Karlsruhe keine Pflicht zur End-to-End-Verschlüsselung sieht, verlangt das OLG Schleswig-Holstein diese für die DSGVO-Konformität.
• Mitverschulden des Kunden: Insbesondere bei auffälligen Änderungen in der Kommunikation (z. B. neue Bankverbindung) kann dem Kunden ein Mitverschulden angerechnet werden, was zu einer Kürzung des Zahlungsanspruchs führt.
• DSGVO und Schadensersatz: Die Anwendung der DSGVO ist nicht in jedem Fall gegeben. Entscheidend ist, ob personenbezogene Daten betroffen sind und ob der Unternehmer technische Mindestmaßnahmen eingehalten hat.
   

Fazit und Praxistipps
Die Urteile zeigen, dass die Verantwortung für sichere Kommunikation sowohl beim Unternehmer als auch beim Kunden liegt. Unternehmen sollten prüfen, ob sie angemessene technische Maßnahmen (z. B. Verschlüsselung) einsetzen. Kunden wiederum sollten bei ungewöhnlichen Änderungen in Rechnungen stets Rücksprache mit dem Unternehmer halten.

Empfehlung: Unternehmen sollten ihre E-Mail-Kommunikation regelmäßig auf Sicherheitslücken prüfen und Kunden für die Risiken sensibilisieren. Um sich als Kunde zu schützen, sollten Sie vor der Überweisung die Kontodaten, mit denen auf der offiziellen Website des Unternehmens und/oder den Angebotsdaten abgleichen und die E-Mail sowie die Rechnung auf Unstimmigkeiten prüfen. Bei Verdacht empfiehlt es sich den Rechnungssteller telefonisch zu kontaktieren. Im Falle eines Betruges sollten Sie zudem die Polizei informieren.