LG Karlsruhe: Kein Schadensersatz nach Art. 82 DS-GVO bei manipulierter Zahlungsanweisung
Kriminelle fälschen eine Rechnung, tauschen die Bankverbindung aus und das Geld landet auf einem fremden Konto. Wer haftet? Das Landgericht Karlsruhe hat mit Urteil vom 20. Mai 2026 (Az. 8 O 266/25) klargestellt: Der Verkäufer muss nicht liefern, weil die Zahlung keine Erfüllung bewirkt hat. Und einen Schadensersatzanspruch aus Art. 82 DS-GVO gibt es ebenfalls nicht. Das Urteil hat Bedeutung für alle Unternehmen, die Rechnungen per E-Mail versenden.
Der Fall: 109.000 Euro auf ein falsches Konto überwiesen
Ein Ehepaar kaufte über einen gemeinsamen Freund als Stellvertreter 42 Feingoldbarren bei einem Edelmetallhändler. Der Kaufpreis betrug insgesamt 109.185 Euro. Der Kläger erhielt per E-Mail zwei Rechnungen, die äußerlich den späteren Originalrechnungen des Händlers entsprachen. Nur die Kontonummer wich ab: Statt der Sparkasse des Verkäufers war eine „O-Bank Zweigniederlassung Deutschland“ als Empfänger angegeben.
Der Kläger überwies ohne weitere Prüfung in zwei Tranchen, am 4. und 5. April 2023. Das Gold wurde nie geliefert. Beide Parteien gingen im Laufe des Verfahrens übereinstimmend davon aus, dass ein unbekannter Dritter die Rechnungen auf dem Übermittlungsweg manipuliert hatte.
Keine Erfüllung: Das Geld ist weg, die Kaufpreisschuld besteht fort
Das Gericht wies die Klage auf Lieferung der Goldbarren ab. Eine Zahlung an ein falsches Konto erfüllt die Kaufpreisschuld nicht. Gemäß § 362 Abs. 1 BGB erlischt ein Schuldverhältnis nur, wenn der geschuldete Betrag auf dem Konto des Gläubigers gutgeschrieben wird. Das war hier nicht der Fall. Die O-Bank hatte mit dem Verkäufer nichts zu tun.
Die Kläger trugen auch die Verlustgefahr selbst. Nach § 270 Abs. 1 BGB hat der Schuldner Geld auf eigene Gefahr an den Gläubiger zu übermitteln. Eine Ausnahme käme nur in Betracht, wenn der Gläubiger durch eigenes Verhalten die Gefahrlage geschaffen hätte. Das war hier nicht der Fall: Die Fälschung geschah, als die Daten bereits außerhalb des Einflussbereichs des Verkäufers lagen.
Das Fälschen einer E-Mail auf dem Übermittlungsweg ist nach Auffassung des Gerichts ein derart ungewöhnlicher Vorgang, dass er dem Verkäufer rechtlich nicht zugerechnet werden kann. Das erfordere hohen technischen Aufwand und kriminelle Energie und sei noch unwahrscheinlicher als das Herausgreifen eines bereits eingeworfenen Briefes.
Kein DSGVO-Schadensersatz: Anwendungsbereich nicht eröffnet
Die Kläger beriefen sich hilfsweise auf Art. 82 DS-GVO und verlangten Erstattung der 109.185 Euro als Schadensersatz wegen eines datenschutzrechtlichen Verstoßes des Verkäufers. Das Oberlandesgericht Schleswig hatte in einem ähnlichen Fall im Dezember 2024 einen solchen Anspruch bejaht.
Das LG Karlsruhe folgte dieser Linie ausdrücklich nicht. Es verneinte bereits den Anwendungsbereich der DS-GVO. Gemäß Art. 2 DS-GVO gilt die Verordnung nur für die Verarbeitung personenbezogener Daten natürlicher Personen. Personenbezogene Daten sind nach Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Im vorliegenden Fall wurden aber nicht die Daten der Kläger manipuliert, sondern die Bankverbindungsdaten des Verkäufers. Der Verkäufer ist eine juristische Person und fällt nicht unter den Schutzbereich der DS-GVO. Der Schaden entstand auch nicht wegen einer Verletzung personenbezogener Daten, sondern durch die kriminelle Veränderung fremder Kontodaten. Die Daten der Kläger blieben unverändert. Das Gericht formulierte es pointiert: Der Schaden aktiviere lediglich eine zufällige Betroffenheit der Kläger.
Keine Pflicht zur Ende-zu-Ende-Verschlüsselung im E-Mail-Verkehr
Die Kläger argumentierten, der Verkäufer hätte die Rechnungen mit Ende-zu-Ende-Verschlüsselung (E2EE) versenden müssen. Das Gericht lehnte auch das ab.
Art. 24 DS-GVO verpflichtet Verantwortliche zu geeigneten technischen und organisatorischen Maßnahmen. Welches Schutzniveau dabei konkret erforderlich ist, richtet sich nach den Umständen des Einzelfalls und den berechtigten Sicherheitserwartungen des Rechtsverkehrs. Eine Ende-zu-Ende-Verschlüsselung wird im allgemeinen Geschäftsverkehr nicht vorausgesetzt. Sie hat sich dort faktisch nicht durchgesetzt und erfordert die aktive Mitwirkung beider Seiten.
Das Gericht verwies auf das Verhalten der Kläger selbst: Sie hatten keine besonderen Sicherheitserwartungen geäußert, eine Ausweiskopie unverschlüsselt per E-Mail übermittelt und noch nach dem bekannt gewordenen Betrug sensible Informationen ungesichert versandt. Es kann nicht einerseits auf Verschlüsselung bestehen, wer selbst keine solche einsetzt. Auch die zivilrechtliche Nebenpflicht aus § 241 Abs. 2 BGB begründet keine Pflicht zur E2EE, wenn weder Vereinbarung noch Sicherheitserwartungen darauf hindeuten.
Das Gericht stellte ferner fest, dass an der Kausalität zwischen behauptetem Pflichtverstoß und eingetretenem Schaden erhebliche Zweifel bestehen. Ob die Manipulation beim Absender, beim Empfänger oder auf dem Übertragungsweg stattfand, ließ sich nicht klären. Die Kläger hatten dazu keinen hinreichenden Vortrag erbracht.
Unsere Empfehlungen
Unternehmen und KMU
Wer Rechnungen per E-Mail versendet, haftet grundsätzlich nicht für Manipulationen auf dem Übertragungsweg. Das ändert nichts daran, dass Prävention sinnvoll ist. Unternehmen sollten ihre Kunden aktiv darauf hinweisen, Bankverbindungen bei großen Beträgen telefonisch zu verifizieren. Die Angabe eines einzigen offiziellen Kommunikationskanals für Zahlungsänderungen reduziert das Risiko erheblich. Wer digitale Signaturen einsetzt, kann die Authentizität von Rechnungen nachweisbar sichern, ohne E2EE zu fordern. Schulungen zur Erkennung von CEO-Fraud und Rechnungsmanipulation gehören in jedes KMU-Sicherheitskonzept.
Behörden und öffentliche Stellen
Behörden versenden regelmäßig Bescheide und Rechnungen per E-Mail. Das Urteil bestätigt, dass keine generelle Pflicht zur E2EE besteht. Trotzdem empfiehlt sich ein dokumentiertes Verfahren für ausgehende Zahlungsaufforderungen. Interne Richtlinien sollten festlegen, auf welchem Weg Kontodaten kommuniziert werden und wie Änderungen kommuniziert werden dürfen. Verdächtige Zahlungsaufforderungen sollten über einen zweiten Kanal bestätigt werden.
Gesundheitseinrichtungen
Krankenhäuser und Praxen wickeln Abrechnungen mit Kassen und Lieferanten per E-Mail ab. Hier gelten durch SGB V und weitere Vorschriften erhöhte Anforderungen an die IT-Sicherheit. Das Urteil entbindet nicht von diesen spezifischen Pflichten. Eine Zwei-Faktor-Prüfung bei unbekannten oder geänderten Bankverbindungen ist eine einfache, wirksame Maßnahme.
Kanzleien und Freiberufler
Rechtsanwälte und Steuerberater stellen hohe Rechnungsbeträge per E-Mail in Rechnung. Das Risiko einer Manipulation ist real. Kanzleien sollten in ihren AGB oder im Mandatsschreiben ausdrücklich darauf hinweisen, dass Bankverbindungsänderungen nur per Post oder telefonisch bestätigt werden. Die DS-GVO verpflichtet auch Freiberufler zu geeigneten technischen und organisatorischen Maßnahmen nach Art. 24 DS-GVO. Was konkret zumutbar ist, richtet sich nach den Umständen des Einzelfalls.
Quelle: LG Karlsruhe, Urteil vom 20.05.2026, Az. 8 O 266/25
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Art. 17 DS-GVO – Recht auf Löschung (Recht auf Vergessenwerden)
- Meldung von Datenschutzverletzungen nach Art. 33 DS-GVO
- Nachweis der Datenlöschung – So dokumentieren Sie korrekt
- Datenschutzrisiko E-Mails – Was Unternehmen wissen müssen
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking – Blickschutz hilft
Dieser Absatz enthält Affiliatelinks/Werbelinks