Vor nicht allzu langer Zeit hatte ich hier davon berichtet, dass Unternehmen für unzureichende Sicherheitsvorkehrungen beim Versand geschäftlicher E-Mails haften können. Der Fall betrifft eine manipulierte Rechnung, die nach einer Sicherheitslücke per E-Mail versandt wurde, wodurch eine Zahlung an ein fremdes Konto erfolgte.

Anders entschied jetzt das Landgericht (LG) Rostock in seinem Urteil vom 20.11.2025 zum Az. 2 O 450/24, welches jedoch erst kürzlich veröffentlicht wurde.

Das LG Rostock hat entschieden, dass der Beklagte die Rechnung trotz einer vorangegangenen Zahlung nochmals leisten muss. Die Begründung lässt sich in drei zentralen Punkten zusammenfassen:

1. Keine Erfüllung im Sinne des § 362 Abs. 1 BGB

Die Zahlung des Beklagten erfolgte nicht auf das Konto der Klägerin, sondern auf ein Konto mit abweichenden Bankdaten, das in einer manipulierten E-Mail angegeben war. Damit wurde die geschuldete Leistung nicht an die Gläubigerin erbracht, wie es § 362 BGB verlangt.

Das Gericht stellte klar:

„Mit der Angabe eines bestimmten Girokontos ist grds. nicht das Einverständnis mit der Überweisung auf ein anderes Konto verbunden.“

Die Klägerin hatte nicht autorisiert, dass Zahlungen auf ein anderes Konto erfolgen dürfen. Eine Erfüllung der Zahlungspflicht liegt daher objektiv nicht vor.

2. Kein Mitverschulden der Klägerin – kein „dolo agit“-Einwand

Die Beklagte argumentierte, die Klägerin habe durch ein unsicheres E-Mail-System fahrlässig gehandelt, was zum sogenannten „dolo agit“-Einwand führen sollte („Wer treuwidrig etwas verlangt, das er sofort zurückgeben müsste“). Das Gericht wies diesen Einwand zurück:

• Es sei nicht bewiesen, dass die Klägerin gehackt worden sei.
• Selbst wenn ein Angriff erfolgt wäre, hätte dieser nicht zwingend auf einer Pflichtverletzung der Klägerin beruhen müssen.
• Vielmehr sei allgemein bekannt, dass E-Mails unsicher sind; wer diese nutzt, muss entsprechende Vorsicht walten lassen.
• Der zentrale Vorwurf des Gerichts: Die Beklagte hätte erkennen müssen, dass die erhaltene E-Mail manipuliert war.

Beispiele: HTML-Zeichen wie „Ü“ statt „Ü“ und eine geänderte Bankverbindung zu einer ausländischen Bank, was besonders auffällig war.

3. Pflicht zur Rückversicherung

Die Beklagte hätte sich bei Zweifeln an der Authentizität der E-Mail und der Bankdaten mit der Klägerin in Verbindung setzen müssen – vor allem, da sie in der Vergangenheit auf eine andere, ihr bekannte Bankverbindung überwiesen hatte. Diese Pflicht zur Rückversicherung ergibt sich aus dem allgemeinen Sorgfaltsmaßstab und wurde verletzt.

Fazit

Das LG Rostock verlangt die erneute Zahlung, weil:

• keine Erfüllung gegenüber der Gläubigerin vorlag,
• ein eigenes Verschulden der Beklagten an der Fehlüberweisung überwiegt,
• und keine Pflichtverletzung der Klägerin nachgewiesen wurde.

Die Beklagte trägt damit das Risiko der Zahlung an ein gefälschtes Konto – und muss erneut zahlen.

So schützen Sie sich vor gefälschten Rechnungen – 5 einfache Regeln

1. Prüfen Sie die Absenderadresse – Achten Sie auf Tippfehler oder ungewöhnliche Domains (z. B. statt „firma.de“ plötzlich „firma-info.com“).
2. Vergleichen Sie die Bankverbindung – Stimmen die Kontodaten mit früheren Rechnungen überein? Bei Abweichungen: misstrauisch werden!
3. Seien Sie vorsichtig bei PDF-Anhängen oder Links – Öffnen Sie keine Dateien aus unbekannten oder auffälligen E-Mails.
4. Rufen Sie bei Unklarheiten an – Klären Sie Änderungen der Zahlungsmodalitäten immer telefonisch über bekannte Rufnummern.
5. Verlassen Sie sich nicht nur auf die Optik – Auch professionell gestaltete E-Mails können gefälscht sein. Vertrauen ist gut – Kontrolle ist sicherer.

Diese beiden Fälle sind zudem ein ausgezeichnetes Beispiel dafür, dass jeder Fall einzeln zu prüfen ist und nicht jeder Fall gleich entschieden wird, nur weil die Prämisse:

Überweisung auf eine falsches Konto aufgrund gefälschter E-Mail

gleich scheint.