Das Oberlandesgericht Linz als Berufungsgericht hat durch die Richter Mag. Bernhard Telfser als Vorsitzenden, Dr. Werner Gratzl und Mag. Christine Mayrhofer in der Rechtssache der Klägerin A*. , RNr. 20-06-033263, **, **, Ungarn, vertreten durch die Nusterer Mayer Rechtsanwälte OG in St. Pölten, gegen die Beklagte B* GmbH , FN **, **straße **, ** C*, vertreten durch Hawel Eypeltauer Gigleitner Huber Partner, Rechtsanwälte in Linz, wegen EUR 95.348,00 sA, über die Berufung der Klägerin (Berufungsgegenstand: EUR 47.674,00 sA) gegen das Urteil des Landesgerichtes Linz vom 20. August 2024, Cg*-49, in nichtöffentlicher Sitzung zu Recht erkannt:
Der Berufung wird Folge gegeben. Das angefochtene Urteil wird dahingehend abgeändert, dass es wie folgt zu lauten hat:
„1. Die Beklagte ist schuldig, der Klägerin binnen 14 Tagen EUR 95.348,00 samt 8,5 % Zinsen seit 17. November 2021 zu bezahlen.
2. Die Beklagte ist weiters schuldig, der Klägerin binnen 14 Tagen die mit EUR 38.943,08 (darin EUR 3.330,18 USt und EUR 18.962,00 Barauslagen) bestimmten Prozesskosten zu ersetzen.“
Die Beklagte ist schuldig, der Klägerin binnen 14 Tagen die mit EUR 5.993,12 (darin EUR 2.288,00 Barauslagen und EUR 617,52 USt) bestimmten Kosten des Berufungsverfahrens zu ersetzen.
Die ordentliche Revision ist nicht zulässig.
Entscheidungsgründe:
Die Klägerin liefert der Beklagten geschäftlich seit mehreren Jahren unter anderem Mohn. Die von der Klägerin für zwei Mohnlieferungen gestellten Rechnungen vom 15. und 17. November 2021 über je EUR 47.674,00 überwies die Beklagte auf ein polnisches Konto, das jedoch nicht der Klägerin zuzurechnen ist. Grund dafür war ein Hacker-Angriff auf den E-Mail-Verkehr zwischen den Parteien.
Die Klägerin begehrt wegen der unterbliebenen Begleichung der Rechnungen nun das Punktum. Sie wirft der Beklagten vor, der Hacker-Angriff sei ihrer Sphäre zuzuordnen und es sei der E-Mail-Account der Beklagten unterminiert worden. Ihrer Mitarbeiterin hätte auffallen müssen, dass das polnische Konto nicht der Klägerin zuzurechnen sei. Da die Beklagte für den rechtzeitigen Zahlungseingang bei der Klägerin hafte, schulde sie das Klagebegehren.
Die Beklagte bestritt und beantragte die Abweisung der Klage. Sie wendete ein, der Hacker-Angriff liege in der Sphäre der Klägerin, weil deren E-Mail-Provider gehackt worden sei. Die Sicherheitsvorkehrungen der Klägerin seien nicht ausreichend gewesen, weshalb die Verantwortung für das Hacking ausschließlich im Bereich der Klägerin liege.
Mit dem angefochtenen Urteil erkannte das Erstgericht , ausgehend von einer Verschuldensteilung von 1:1, die Beklagte – unbekämpft geblieben - schuldig, EUR 47.674,00 sA zu bezahlen. Das Mehrbegehren betreffend die zweite Hälfte des Klagebegehrens wies es ab.
Es ging dabei von folgendem wesentlichen Sachverhalt aus (§ 500a ZPO):
Die Beklagte hat ihren Hauptsitz in C*; in D* befindet sich die Abteilung „Gewürze und Backsaaten“ unter der Leitung von DI E* F* und insgesamt 11 Dienstnehmern, unter anderem G* H*. Die Korrespondenz zwischen den Parteien erfolgte überwiegend per E-Mail. Nicht alle E-Mails wurden sowohl an G* H* als auch an DI E* F* geschickt. Die meisten Mails sendete I* J*, die Mitarbeiterin der Klägerin, nur an den jeweilige Adressaten. Lediglich in Ausnahmefällen kam es zu Telefonaten zwischen DI F* und J*. Rechnungen wurden der Beklagten auch postalisch übermittelt, allerdings immer nur in die Zentrale nach C*, wo sich auch die Buchhaltung befindet. Diese Rechnungen wurden – auch von der Buchhaltung – nie an die Abteilung in D* übermittelt.
Der Geschäftsverkehr wurde üblicherweise so abgewickelt, dass die von DI F* unterfertigten Verträge von G* H* eingescannt und per E-Mail an die Klägerin übersandt wurden. Nach Vereinbarung des Liefertermins erfolgte die Lieferung samt CMR-Papieren. Diese wurden von G* H* eingescannt und der Klägerin über Aufforderung zurück übersandt. Danach legte die Klägerin Rechnung, die von G* H* auf Menge und Preis überprüft und dann der Buchhaltung in C* übermittelt wurde. Nachdem die Buchhalter die formalen Voraussetzungen überprüft hatten, übermittelten sie die Rechnungen an DI F*, der sie nach nochmaliger Überprüfung formal frei gab.
In der Abteilung „Gewürze und Backsaaten“ langten monatlich etwa 100 Rechnungen ein.
Mit E-Mail vom 21. Oktober 2021, gerichtet an DI F* und in Kopie an G* H*, teilte I* J* unter Anderem mit, dass sich die Bankdaten der Klägerin geändert haben. Der Nachricht war eine mit 21. Oktober 2021 datierte und vom Geschäftsführer der Klägerin unterfertigte Bestätigung über die neue Bankverbindung angeschlossen (Beil./1).
Am 10. November 2021 übermittelte J* um 09.02 Uhr eine E-Mail-Nachricht an H* und in Kopie an DI F*, in der sie die nächste Lieferung für den 12. November 2021 ankündigte (Beil./3, S. 2).
Am selben Tag erhielt nur H* um 09.17 Uhr eine (weitere) E-Mail mit dem Absender I* J*, die abermals den 12. November 2021 als Datum der nächsten Lieferung bekannt gab. Darüber hinaus wurde darin unter Hinweis auf Untersuchungen der Steuerbehörde ersucht, bis auf Weiteres nicht auf die zuletzt bekannt gegebene Kontoverbindung einzuzahlen. Diese Nachricht stammte allerdings nicht von der Klägerin, sondern von Dritten, die sich in den E-Mail-Verkehr zwischen den Parteien eingehackt hatten.
H* hielt es für möglich, dass die zweite Nachricht nicht von der Klägerin stammte, überprüfte die E-Mail-Adresse mehrfach und hielt sie für unauffällig. Trotzdem antwortete sie I* J* auf deren E-Mail vom 10. November 2021 (09.02 Uhr) und fragte nach, ob die Nachricht vom 10. November 2021, 09.17 Uhr tatsächlich von ihr war. Gleichzeitig verwies sie darauf, dass sie die Bekanntgabe geänderter Bankdaten per E-Mail wegen zu vieler Hacker-Angriffe für gefährlich halte (Beil./8). Auf die Idee, derartige Bedenken telefonisch aufzuklären, kam sie nicht, weil Telefonate zwischen den Parteien nicht üblich waren. Auch für J* waren Telefonate anlässlich solcher Bedenken keine Option.
G* H* bekam in der Folge am 15. November 2021 um 10.55 Uhr eine Nachricht per E-Mail, die tatsächlich von der Klägerin stammte, in dem auf weitere Liefertermine hingewiesen wurde (Beil./C, S. 1).
Um 16.43 Uhr desselben Tages bekam H* eine E-Mail der Hacker, die dem echten E-Mail von 10.55 Uhr sehr ähnlich war, jedoch einen Hinweis auf einen Anhang betreffend einen neuen Bank-Account mit dem Ersuchen um Zahlung auf dieses Konto enthielt. Der Anhang enthält eine der Bestätigung über eine neue Bankverbindung der Klägerin vom 21. Oktober 2021 (Beil./1) sehr ähnliche, jedoch undatierte Bestätigung über eine Bankverbindung einer Bank in ** (Polen).
Da damit die Bedenken von H* ausgeräumt waren, übermittelte sie die Rechnung an die Buchhaltung, die allerdings auf die unterschiedlichen Bankdaten hinwies. H* fragte daher am 16. November 2021 noch einmal per E-Mail nach, worauf sie die – nicht von der Klägerin stammende – Nachricht bekam, auf das neu bekanntgegebene Konto zu überweisen (Beil./9).
Am selben Tag erhielt H* um 10.32 Uhr eine tatsächlich von der Klägerin stammende E-Mail, die auch die Nachricht vom 15. November 2021, 10.55 Uhr, enthielt. H* achtete nicht darauf, ob E-Mails der Klägerin nur an sie oder auch an DI F* adressiert waren. In der Adresszeile forschte sie nie besonders nach; so fiel ihr nie auf, dass E-Mails an sie mit der Adresszeile „@K*“ versehen waren. Auch J* fiel nie eine E-Mail mit einer derartigen Adresszeile auf. Im E-Mail-Verkehr zwischen den Parteien wird nicht die vollständige Adresszeile angezeigt, das Überprüfen der vollständigen Adresszeile wäre nur möglich gewesen, wenn man den stattdessen aufscheinenden Namen anklickt. Das haben weder J*, noch H* oder DI F* gemacht.
Ziel der Attacke der Hacker war der Server der Klägerin; deren Mail-Infrastruktur wurde für den Angriff genutzt. Dabei wurde in den E-Mail-Verkehr zwischen den Parteien eine gefälschte E-Mail-Adresse für G* H* (@K* statt @L*) eingeschleust.
Sowohl G* H*, DI F*, als auch I* J* hätte der Angriff aufgrund der geänderten E-Mail-Adresse auffallen können.
Es kann nicht festgestellt werden, wie genau der Hacker-Angriff stattgefunden hat, welche Sicherheitsstandards beim Provider der Klägerin vorherrschen oder ob ein allfälliger Mangel im Sicherheitsstandard kausal für den Angriff war.
Rechtlich urteilte das Erstgericht unter Verweis auf § 907a Abs 1 ABGB, wonach eine Geldschuld am Wohnsitz oder an der Niederlassung des Gläubigers zu erfüllen sei (Bringschuld), es stehe fest, dass auf dem Konto der Klägerin betreffend die beiden relevanten Rechnungen noch keine Zahlung der Beklagten eingelangt sei. Es liege auf der Hand, dass die Leistung an die Dritten nicht schuldbefreiend wirke. Der bloße Umstand, dass sich der Hacker-Angriff in der Sphäre der Klägerin ereignet habe, sei ohne rechtliche Bedeutung, zumal sich ein Verschulden der Klägerin in diesem Zusammenhang nicht erweisen habe lassen. Eine Verpflichtung, irgendwelche konkreten Sicherheitsvorkehrungen einzuhalten, gebe es nicht.
Allerdings treffe beide Parteien ein gleichteiliges Verschulden daran, dass der Hacker-Angriff nicht rechtzeitig entdeckt worden sei. Die Mitarbeiter beider Parteien hätten dazu in der Lage sein können. Sowohl J* als auch H* und DI F* hätten durch aufmerksame Kontrolle der Adressdaten feststellen können, dass die Adresszeile von G* H* von „@L*“ auf „@K*“ ausgetauscht worden sei. Angesichts der Bedenken, die bei H* ohne Zweifel aufgekommen seien, andererseits des Umstands, dass sie diese Bedenken auch J* gegenüber geäußert habe, hätten zumindest diese beiden Personen die Verpflichtung gehabt, genauer nachzuforschen, ob der E-Mail-Verkehr tatsächlich unbedenklich sei. Da beide Seiten die Möglichkeit gehabt hätten, die Hacker-Angriffe rechtzeitig zu unterbinden, liege gleichteiliges Verschulden vor. Das Klagebegehren bestehe daher mit einer Hälfte zu Recht.
Dagegen richtet sich die Berufung der Klägerin aus dem Berufungsgrund der unrichtigen rechtlichen Beurteilung mit dem Abänderungsantrag, der Klage zur Gänze statt zu geben.
Die Beklagte beantragt in ihrer Berufungsbeantwortung die Bestätigung des Ersturteils.
Die Berufung ist berechtigt.
Die Klägerin führt zunächst ins Treffen, dass auf das sie betreffende Konto zu den beiden gelegten Rechnungen keine Zahlung eingelangt sei und dass sie kein Verschulden für den Angriff auf ihren Server zu vertreten habe.
Eine Geldschuld sei, wenn diese durch Banküberweisung erfüllt werde, gemäß § 907a Abs 2 ABGB derart zu leisten, dass der Überweisungsauftrag so rechtzeitig zu erteilen sei, dass der geschuldete Betrag bei Fälligkeit auf dem Konto des Gläubigers wertgestellt sei. Der Schuldner (die Beklagte) trage die Gefahr für die Verzögerung oder das Unterbleiben der Gutschrift auf dem Konto des Gläubigers, soweit die Ursache dafür nicht beim Bankinstitut des Gläubigers liege. Da die beiden Mails vom 15. November 2021, 16.43 Uhr, und vom 16. November 2021, 14.37, Uhr nicht von der Klägerin gestammt hätten, sei es zu keiner Änderung der von der Klägerin am 21. Oktober 2021 bekannt gegebenen neuen Bankverbindung gekommen. Eine schuldbefreiende Zahlung wäre daher nur auf das tatsächlich von der Klägerin mit Mail vom 21. Oktober 2021 bekannt gegebene Konto möglich gewesen. Die Verlust- und Verspätungsgefahr treffe damit die Beklagte. Diese hätte im Hinblick auf die Nachricht vom 15. November 2021 16.43 Uhr erkennen können, dass es sich um keine Nachricht der Klägerin handelt und somit auch keine Änderung der Bankverbindung vorzunehmen sei. Der Klägerin stehe der Klagsbetrag nach der Bestimmung des § 907a Abs 2 ABGB zu. Eine rechtliche Subsumtion des Sachverhalts unter Bestimmungen des Schadenersatzrechts sei unrichtig.
Die Ansicht der Klägerin, die Bestimmung des § 907a Abs 2 ABGB verdränge Schadenersatzansprüche des Schuldners gegenüber dem Gläubiger zur Gänze, wird vom Berufungsgericht nicht geteilt. Schon Reischauergeht davon aus, dass bei Abwicklungsstörungen von Zahlungen es im Hinblick auf Schäden des Schuldners, die – wie hier – aus Gefahrtragungsbestimmungen resultieren, bei beiderseitigem Verschulden zu einer Schadensteilung (§ 1304 ABGB) kommen könne ( Reischauer in Rummel/Lukas ABGB 4Rz 52 zu § 907a ABGB). Auch die Berufungsbeantwortung verweist zutreffend darauf, dass man sich mit der jeweiligen Ursache einer Abwicklungsstörung auseinandersetzten müsse und § 907a ABGB nicht so auszulegen sei, dass automatisch bei jedem Unterbleiben der Gutschrift auf dem Konto eines Gläubigers der jeweilige Schuldner die Alleinverantwortung trage.
Das Erstgericht prüfte daher zutreffend das Verschulden an der Abwicklungsstörung auf Seiten der Klägerin. Die Prüfung an sich wird vom Berufungsgericht geteilt. Das Ergebnis eines beiderseitigen gleichteiligen Verschuldens wird vom Berufungssenat jedoch aus folgenden Überlegungen nicht geteilt:
Ausgehend von der unbekämpften Negativfeststellung, wie genau der Hackerangriff stattgefunden hat und ob ein allfälliger Mangel im Sicherheitsstandard beim Provider der Klägerin kausal für den Angriff war, führt der Umstand, dass die Hacker für den Angriff die Mail-Infrastruktur der Kläger nutzten, nicht zur Zuweisung eines Verschuldens zur Klägerin (so schon zutreffend das Erstgericht).
Der festgestellte Umstand, dass I* J* der Angriff aufgrund der geänderten E-Mail-Adressen auffallen hätte können, führt zu keiner entscheidenden Zuweisung von Verschulden zur Klägerin, weil bei ihr – anders als auf Seiten der Beklagten - gar keine Vermutung und kein Verdacht aufgekommen ist und aufkommen musste, dass ein Hackerangriff vorliegen könnte. Es liegt keine Feststellung vor, dass die Nachfrage und Warnung von G* H* vom 12. November 2021 der Mitarbeiterin der Klägerin zugegangen ist. Diesbezüglich liegt die Behauptungs- und Beweislast bei der Beklagten. Der Vorwurf des Unterlassens der Überprüfung der Mailadresse und des Umstands, dass I* J* die geänderte E-Mailadresse auffallen hätte können, geht ins Leere, weil gerade keine Feststellung dazu getroffen wurde, dass das warnende E-mail I* J* überhaupt zugegangen ist. Insofern besteht kein Anhaltspunkt für eine Verschuldenszuweisung zur Klägerin. Zutreffend führt die Berufungsbeantwortung (S. 5) aus, „dass sich die Mitarbeiterin der Beklagten den Vorwurf gefallen lassen müsse, dass sie die Zweifel, welche bei ihr aufgekommen sind, nicht über E-Mail, sondern auf eine andere Art der Kommunikation (etwa telefonisch) aufklären hätte müssen“ (SV-GA ON 27, 47; Tipps des Bundeskriminalamts vor BEC-Angriffen). Warum umgekehrt der Mitarbeiterin der Klägerin auffallen hätte müssen, dass die E-Mails mit der Adresszeile „@K*“ versehen waren, bleibt ohne Begründung; nach den Feststellungen war ja nur die E-Mail-Adresse der G* H* manipuliert. Dass I* J* ein gefälschtes Mail von G* H* mit der Endung „@K*“ zugegangen wäre, wurde ebenfalls nicht festgestellt.
Dass der Sachverständige im Ergänzungsgutachten zum Ergebnis kam, es hätte der Klägerin einmal mehr als der Beklagten auffallen können, dass Mails mit dem Account „@K*“ bei ihr eingehen (ON 38.1, 14), ändert an dieser Beurteilung nichts.
Die von der Klägerin gerügten sekundären Feststellungsmängel befassen sich mit weiteren Verschuldenselementen auf Seiten der Beklagten, weshalb sie für die Frage, ob auf Seiten der Klägerin ein (Mit)Verschulden an der Abwicklungsstörung vorliegt, dahingestellt bleiben können.
Mangels Verschuldens der Klägerin an der Abwicklungsstörung der Zahlungen war der Berufung aufgrund der Gefahrtragungsregelung des § 907a ABGB Folge zu geben und das Ersturteil spruchgemäß abzuändern.
Die neu zu treffende Kostenentscheidung erster Instanz gründet sich auf die §§ 41, 54 Abs 1a ZPO. Die Rücküberweisung des unverbrauchten Kostenvorschusses an die Klägerin war zu berücksichtigen.
Die Kostenentscheidung im Berufungsverfahren gründet sich auf die §§ 50, 41 ZPO.
Die ordentliche Revision nach § 502 Abs 1 ZPO ist nicht zulässig, weil keine über den Einzelfall hinaus bedeutsamen Rechtsfragen zu klären waren.
Rückverweise
Keine Verweise gefunden
