Das Oberlandesgericht Wien hat als Berufungsgericht durch den Senatspräsidenten Mag. Weixelbraun als Vorsitzenden, die Richterin Mag a . Viktorin und den Richter Mag. Eilenberger-Haid in der Rechtssache der klagenden Partei A* GmbH , FN **, **, vertreten durch Urbanek&Rudolph Rechtsanwälte OG in St. Pölten, wider die beklagte Partei B* Gesellschaft m.b.H. , FN **, **, vertreten durch Dr. Christian Leskoschek, Rechtsanwalt in Wien, wegen EUR 20.000 samt Zinsen, über die Berufung der Klägerin gegen das Urteil des Landesgerichts Korneuburg vom 4.3.2025, **-26, in nicht öffentlicher Sitzung zu Recht erkannt:
Der Berufung wird nicht Folge gegeben.
Die Klägerin ist schuldig, der Beklagten die mit EUR 2.220,42 (darin EUR 370,07 USt) bestimmten Kosten des Berufungsverfahrens binnen 14 Tagen zu ersetzen.
Die Revision ist nicht zulässig.
Entscheidungsgründe
Die Klägerin beauftragte die Beklagte mit der Lieferung von 27.915 kg Stahl. Als Entgelt wurden EUR 52.859,75 vereinbart.
Die Streitteile korrespondierten per E-Mail. Die Geschäftsführerin der Klägerin war zu diesem Zeitpunkt C* D* [ GF der Klägerin ]. E*, damals Mitarbeiterin der Beklagten, schickte über ihren E-Mail-Account F* am 22.3.2022 um 10.26 Uhr ein E-Mail an G * ; diese Mail-Adresse wurde von der GF der Klägerin verarbeitet und verwaltet. F* ersuchte in der genannten E-Mail um Überweisung des vereinbarten Entgelts; die Rechnung wurde angeschlossen.
Die Klägerin erhielt auf die E-Mail-Adresse G * um 11.10 Uhr am selben Tag folgende E-Mail:
[Bild entfernt]
Die GF der Klägerin überwies daraufhin im Namen der Klägerin EUR 52.859,75 auf das in der E-Mail von 11.10 Uhr genannte deutsche Konto. Dieses deutsche Konto ist nicht der Beklagten zuzuordnen. Später überwies die Klägerin denselben Betrag auf das Konto der Beklagten.
Die Klägerin begehrt von der Beklagten Schadenersatz von EUR 20.000 samt Zinsen.
Das IT-System der Beklagten habe ein Sicherheitsleck aufgewiesen und dadurch gehackt werden können, sodass der Hacker die E-Mail-Adresse und das Briefpapier der Beklagten in betrügerischer Absicht verwenden hätten können. Die Beklagte habe gegenüber der Klägerin ihre vertraglichen Sorgfaltspflichten verletzt, weil sie ihr ITSystem nicht ausreichend gegen Hackerangriffe abgesichert habe. Die gefälschte E-Mail mit der Information über die geänderte Bankverbindung sei der Beklagten zurechenbar. Diese E-Mail von 11.10 Uhr sei eine Antwort auf die erste Mail von 10.26 Uhr gewesen, hätte den gleichen Betreff gehabt und sei ebenfalls von der Adresse F* abgesendet worden. Auch die übermittelte neue Rechnung sei mit dem Briefpapier der Rechnung der Beklagten von 10.26 Uhr ident gewesen. Die Muttersprache der GF der Klägerin sei Bosnisch, weshalb ihr allfällige grammatikalische Auffälligkeiten in diesem E-Mail nicht ins Auge gefallen seien. Auch die Änderung der Bankdaten sei nicht weiter bemerkenswert gewesen. Die GF der Klägerin führe täglich zahlreiche Online-Transaktionen durch. Es komme öfters vor, dass Geschäftspartner ihre Bankverbindungen änderten. Das IT-System der Klägerin sei nicht gehackt worden. Es sei durch Firewall und Virenschutzsoftware abgesichert. Die Klägerin habe noch nie solche gefälschten E-Mails empfangen.
Die Klägerin stütze ihre Forderung in eventu auch auf die Haftung der Beklagten aus dem Titel der Risikoteilung bei Gefahrtragung wegen höherer Gewalt, zumal die Vertragsparteien den Schaden zu gleichen Teilen zu tragen hätten, wenn sich der Schaden keiner Sphäre zuordnen lasse, sowie der Datenschutzverletzung gemäß § 82 DSGVO.
Die Beklagte beantragte die Abweisung der Klage.
Das IT-System der Beklagten, das einer laufenden Kontrolle durch Spezialisten unterliege, habe kein Sicherheitsleck gehabt. Vielmehr sei der Hackerangriff im IT-System der Klägerin erfolgt. Die E-Mail von 11.10 Uhr sei von der fremden E-Mail-Adresse H* aus den USA versendet worden und der Beklagten nicht zuzuordnen. Es handle sich um eine gefälschte E-Mail, die nicht von E* stamme. Angesichts der relativ hohen Rechnungssumme, der auffälligen, nicht angekündigten angeblichen gesellschaftsrechtlichen Änderungen („Fusion“) und einem völlig anderen Zahlungsempfänger sei das Verhalten der Klägerin, die die Überweisung des Rechnungsbetrags ohne vorherige Kontaktaufnahme mit der Beklagten getätigt habe, insgesamt grob fahrlässig gewesen. Ein einfacher Anruf bei der Beklagten hätte die Fehlüberweisung verhindert. Die Klägerin hätte zudem die UID Nummer überprüfen müssen. Die E-Mail enthalte auch keine Umlaute. All dies hätte der Klägerin auffallen und Zweifel begründen müssen.
Mit dem angefochtenen Urteil wies das Erstgerichtdas Klagebegehren von EUR 20.000 samt 9,2 % Zinsen über dem Basiszinssatz gemäß § 456 UGB seit 3.8.2024 ab und verpflichtete die Klägerin zum Kostenersatz an die Beklagte.
Über den eingangs dargestellten, unstrittigen Sachverhalt hinaus traf es folgende Feststellungen:
Die IT-Betreuung der Computer der Beklagten erfolgt durch ein spezialisiertes Unternehmen, die I* GmbH. Die E-Mails werden durch einen eignen Server verwaltet, der Zugang erfolgt über eine VPN-Verbindung. Dies ist dem Stand der Technik entsprechend. Die Beklagte war im Zeitraum März 2022 nicht Opfer eines Hackerangriffs, der dazu geführt hätte, dass das E-Mail vom 22.3.2022 von 11.10 Uhr an die Klägerin gesandt wurde.
Die IT-Betreuung der Computer der Klägerin war im Zeitraum März 2022 nicht professionell. Ob das E-Mail vom 22.3.2022 von 11.10 Uhr deshalb erstellt werden konnte, weil das IT-System der Klägerin nicht professionell betreut wurde, kann nicht festgestellt werden.
Für die damals als GF der Klägerin fungierende C* D*, die sich generell bis dato im Unternehmen um die Buchhaltung und Überweisungen kümmert, war es ein Novum, dass ein Geschäftspartner kurzfristig den IBAN änderte.
In rechtlicher Hinsicht führte das Erstgericht im Wesentlichen aus, der Abschluss eines Vertrages lasse nicht bloß die Hauptpflichten entstehen, die für die betreffende Vertragstype charakteristisch seien, sondern erzeuge auch eine Reihe von Nebenpflichten, zu denen auch die Schutzpflichten und Sorgfaltspflichten gehörten. Der Schuldner habe die geschuldete Hauptleistung nicht nur zu erbringen, sondern er habe sie so sorgfältig zu bewirken, dass alle Rechtsgüter des Gläubigers, mit denen er in Berührung komme, nach Tunlichkeit vor Schaden bewahrt und beschützt blieben. Auf Basis der Feststellungen habe das IT-System der Beklagten dem Stand der Technik entsprochen und sei daher nicht Ursprung für die gefälschte E-Mail gewesen, die zur Transaktion geführt habe.
Ob Lücken im IT-System der Klägerin ursächlich gewesen seien, habe nicht festgestellt werden können. Selbst bei der Annahme, bereits dieses Szenario bedeute höhere Gewalt, liege keine Begründung für das Klagebegehren vor: Höhere Gewalt sei ein von außen einwirkendes elementares Ereignis, das auch durch die äußerste zumutbare Sorgfalt nicht zu verhindern gewesen und so außergewöhnlich sei, dass es nicht als typische Betriebsgefahr anzusehen sei.
Aufgrund des außer Streit gestellten Sachverhalts und der Feststellungen wäre bei äußerst zumutbarer Sorgfalt erkannt worden, dass es sich um ein gehacktes E-Mail handle, da einerseits die Regeln der deutschen Sprache in verdächtiger Weise nicht eingehalten worden seien (insbesondere keine Umlaute) und andererseits ein ungewöhnlicher Vorgang geschildert worden sei. Zudem habe es sich bei der kurzfristigen Änderung des IBANs eines Geschäftspartners um ein Novum für die GF der Klägerin gehandelt. Eine die äußerst zumutbare Sorgfalt einhaltende GF hätte sich daher zumindest durch einen Anruf beim Geschäftspartner vergewissert, bevor sie die Überweisung einer derart hohen Summe vorgenommen hätte. Die Klägerin könne somit auch nicht mit dem Anspruchsgrund der höheren Gewalt einen (teilweisen) Schadenersatz begehren.
Zur Anspruchsgrundlage nach Art 82 DSGVO werde darauf verwiesen, dass kein Schadenersatz zu leisten sei, wenn der Verarbeiter nicht für den eingetretenen Schaden verantwortlich sei, dh die Schadensursachen außerhalb des Verantwortungsbereiches des Schädigers lägen bzw er keine Möglichkeit gehabt habe, den Schadenseintritt – zB wegen eines Ereignisses höherer Gewalt oder eines unvorhersehbaren Eingriffs eines Dritten in den Verarbeitungsvorgang – zu verhindern. Da die Schadensursache außerhalb des Verantwortungsbereichs der Beklagten gelegen sei, greife auch diese Anspruchsgrundlage nicht.
Gegen dieses Urteil richtet sich die Berufung der Klägerin wegen unrichtiger Beweiswürdigung und unrichtiger rechtlicher Beurteilung mit dem Abänderungsantrag, dem Klagebegehren stattzugeben. Hilfsweise wird ein Aufhebungsantrag gestellt.
Die Beklagte beantragt, der Berufung nicht Folge zu geben.
Die Berufung ist nicht berechtigt.
1.1 Mit ihrer Beweisrüge bekämpft die Klägerin folgende Feststellung:
„ Die IT-Betreuung der Computer der Klägerin war im Zeitraum März 2022 nicht professionell.“
Anstelle dieser Feststellung begehrt die Klägerin folgende Ersatzfeststellungen:
„ Die IT-Betreuung der Computer der Klägerin erfolgte im Zeitraum 2022 professionell, zumal sie einem Bekannten des Zeugen D* übertragen war, der IT-kundig war. Dieser Bekannte hat das IT-System der Klägerin auch nach dem Vorfall vom 22.3.2022 durchsucht und keinen Sicherheitsmangel oder Fehler festgestellt .“
1.2 Das Erstgericht gründete die beanstandete Feststellung auf das als nachvollziehbar und einwandfrei begründet erachtete Gutachten des Sachverständigen J*, Msc [ SV]. Dabei nahmen sowohl das Erstgericht als auch der SV auf die von der Berufung ins Treffen geführte Aussage des nunmehrigen GF der Klägerin, K* D*, Bedacht. Aus dem von diesem geschilderten Vorhandensein eines – nicht näher definierten – Virenschutzes sowie der Kontrolle des IT-Systems durch einen „ Bekannten“, dessen fachliche Qualifikation während des gesamten erstinstanzlichen Verfahrens nicht ansatzweise dargelegt wurde, ist – entgegen der Auffassung der Klägerin – gerade nicht abzuleiten, dass eine professionelle IT-Betreuung des von der Klägerin verwendeten Computersystems erfolgte. Schließlich nahm der SV bei seinen gutachterlichen Schlussfolgerungen auch auf die Reaktion der Klägerin Bezug, die – im Gegensatz zur Beklagten, deren IT-System unstrittig durch ein spezialisiertes Unternehmen verwaltet wurde – aufgrund der Löschung der E-Mails „ aus Angst vor schädlichem Inhalt“ einer konkreten Befundaufnahme durch den SV entgegenstand. Dass der SV die Betreuung der Computer zwar als „ nicht unüblich “, aber „ nicht als professionell “ bezeichnete, ist angesichts dessen durchaus nachvollziehbar (SV-Gutachten ON 18, S 2 f). Die Beweiswürdigung des Erstgerichts – der die Berufung nichts Stichhaltiges entgegensetzt – ist damit nicht zu beanstanden.
1.3 Soweit die Beweisrüge im Übrigen auf die Feststellung einer nach dem Vorfall vom 22.3.2022 erfolgten Kontrolle des IT-Systems der Klägerin durch den „ Bekannten “ abzielt, ist sie nicht gesetzmäßig ausgeführt, weil z wischen der bekämpften Feststellung und der Ersatzfeststellung kein inhaltlicher Gegensatz (Widerspruch) besteht. In Wahrheit macht die Klägerin damit sekundäre Feststellungsmängel geltend. Da die begehrte Feststellung für die Frage, ob der Hackerangriff der Sphäre der Klägerin tatsächlich zuzurechnen ist, jedoch nicht aussagekräftig ist, ist für die Klägerin auch unter diesem Gesichtspunkt nichts zu gewinnen.
1.4 Schließlich lässt die Klägerin die weitere Negativfeststellung des Erstgerichts unbekämpft („ Ob das E-Mail vom 22.3.2022 von 11:10 Uhr deshalb erstellt werden konnte, weil das IT-System der Klägerin nicht professionell betreut wurde, kann nicht festgestellt werden “), weshalb die begehrten Ersatzfeststellungen – mit Blick auf die Berufung der Klägerin auf ein Ereignis höherer Gewalt – auch in rechtlicher Hinsicht nicht von Entscheidungsrelevanz sind (→2.3).
1.5Das Berufungsgericht übernimmt damit die Tatsachenfeststellungen des Erstgerichts als Ergebnis einer unbedenklichen Beweiswürdigung und legt sie seiner Entscheidung zugrunde (§ 498 Abs 1 ZPO).
2.1 Im Rahmen der Rechtsrüge wendet sich die Klägerin gegen die Ansicht des Erstgerichts, wonach die Klägerin nicht die äußerst zumutbare Sorgfalt eingehalten habe, um den als höhere Gewalt zu qualifizierenden Hackerangriff abzuwenden. A ls sekundäre Mangelhaftigkeit des Verfahrens macht die Klägerin in diesem Zusammenhang das Fehlen folgender Feststellungen geltend:
„ Der Zeugin C* D* musste auch bei äußerst zumutbarer Sorgfalt nicht auffallen, dass es sich um ein gehacktes E-Mail handelte, zumal ihre Muttersprache nicht Deutsch, sondern Bosnisch ist. Im Bosnischen gibt es kein Ü oder Ä, die Zeugin macht selber manchmal vergleichbare sprachliche Fehler .“
Aufgrund dieser Feststellung hätte das Erstgericht zur Ansicht gelangen müssen, dass die Klägerin kein Verschulden an der Fehlüberweisung treffe und sich der Schaden insofern keiner Sphäre zuordnen lasse.
2.2 Vorauszuschicken ist, dass sich die Klägerin in ihrer Rechtsrüge ausschließlich mit dem (eventualiter) herangezogenen Anspruchsgrund der Haftung der Beklagten aus dem Titel der „Risikoteilung bei Gefahrtragung wegen höherer Gewalt“ auseinandersetzt und sich nicht mehr auf die weitere rechtliche Beurteilung des Erstgerichts bezieht, wonach ein Schadenersatzanspruch wegen Verletzung vertraglicher Schutz-und Sorgfaltspflichten sowie ein Anspruch der Klägerin nach Art 82 DSGVO gegenüber der Beklagten zu verneinen ist. Auf diese – vom Berufungsgericht geteilte – Rechtsansicht des Erstgerichts ist daher nicht weiter einzugehen.
2.3.1 Unter dem – gesetzlich nicht definierten – Begriff der höheren Gewalt sind nach ständiger Rechtsprechung von außen einwirkende , nicht aus der Sphäre der Vertragspartner stammende untypische und elementare Ereignisse zu verstehen, die auch durch äußerste zumutbare Sorgfalt weder abgewendet noch in ihren Folgen unschädlich gemacht werden können und so außergewöhnlich sind, dass sie nicht als typische Betriebsgefahr anzusehen sind, wie Naturkatastrophen (Wirbelstürme, Überschwemmungen oder Erdbeben), akute Kriegsgefahr, bürgerkriegsähnliche Zustände oder Pandemien ( Holly in Kletečka/Schauer , ABGB-ON 1.07§ 1447 Rz 16). Höhere Gewalt ist demnach dann anzunehmen, wenn ein außergewöhnliches Ereignis von außen einwirkt, das nicht in einer gewissen Regelmäßigkeit vorkommt bzw zu erwarten ist und selbst durch äußerste zumutbare Sorgfalt weder abgewendet noch in seinen Folgen unschädlich gemacht werden kann (vgl 1 Ob 66/19s; RS0027309; RS0029808;).
2.3.2 Davon ausgehend kann sich die Klägerin im vorliegenden Fall nicht auf ein Ereignis höherer Gewalt als Anspruchsgrundlage stützen: Dazu ist zunächst auf die Feststellung zu verweisen, wonach gerade nicht feststeht, dass sich der Hackerangriff nicht in der Sphäre der Klägerin ereignete. Selbst wenn man – ungeachtet dessen – diesen Hackerangriff nicht als im Zusammenhang mit dem Betrieb eines IT-Systems stehende typische Gefahr, sondern als Ereignis höherer Gewalt im Sinne obiger Erwägungen qualifizieren wollte, ist zu berücksichtigen, dass der von der Klägerin behauptete Schaden nicht unmittelbar durch den Cyberangriff (Übermittlung einer E-Mail mit falschen Kontodaten durch eine dritte Person) eingetreten ist. Der Schaden entstand vielmehr erst durch die von der Klägerin infolgedessen selbst vorgenommene (fehlerhafte) Überweisung des Rechnungsbetrags auf das von den Betrügern bekanntgegebene Konto.
2.3.3 Diesbezüglich ist der Klägerin anhand des festgestellten Sachverhalts jedoch (zumindest leichte) Fahrlässigkeit vorzuwerfen: Die fremde dritte Person hat nur etwa 45 Minuten nach Übermittlung der (Original-)Rechnung samt Angabe der (österreichischen: ./C) Bankverbindung durch die Beklagte unter Hinweis auf einen „ gerade abgeschlossenen “ komplexen gesellschaftsrechtlichen Vorgang („ Fusion “) eine geänderte, (erstmals) ausländische Bankverbindung (Bankkonto eines deutschen Kreditinstituts) bekanntgegeben (vgl ./B, ./C, ./D). Abgesehen von den – im Vergleich zu den vorangegangenen E-Mails der Beklagten – sprachlichen Auffälligkeiten der verfassten E-Mail, hätte diese ungewöhnliche Vorgehensweise der GF der Klägerin – wie bereits vom Erstgericht zutreffend ausgeführt (US 5) – merkwürdig erscheinen müssen, zumal die kurzfristige Änderung der Bankverbindung eines Geschäftspartners nach den Feststellungen auch aus Sicht der GF der Klägerin ein Novum darstellte. Insofern fällt es der Klägerin aber zur Last, die Überweisung der beträchtlichen Rechnungssumme von über EUR 50.000 ohne (auch nur den Versuch einer) vorherigen Kontaktaufnahme bzw Rücksprache mit der Beklagten getätigt zu haben.
2.3.4 Auf die individuellen Deutschkenntnisse der GF der Klägerin kommt es – entgegen der in der Berufung vertretenen Auffassung – aufgrund der vorhandenen Verdachtsmomente insofern nicht an. Abgesehen davon unterliegt die GF der Klägerin als solche einem objektiven Sorgfaltsmaßstab und hat demnach nicht für jene Sorgfalt einzustehen, die sie in eigenen Angelegenheiten an den Tag zu legen pflegt oder aufzubieten überhaupt im Stande ist, sondern haftet vielmehr für jene Sorgfalt, Kenntnisse und Fähigkeiten, die man von einem GF einer Gesellschaft der betreffenden Größe und Branche üblicherweise erwarten darf (vgl Feltl, GmbHG § 25 E 84ff). Auch vor diesem Hintergrund ist der Einwand der Klägerin, die Muttersprache der GF der Klägerin sei Bosnisch, weshalb ihr die sprachlichen Unregelmäßigkeiten der betrügerischen E-Mail nicht hätten auffallen müssen, nicht berechtigt. Der von der Klägerin gerügte sekundäre Feststellungsmangel liegt daher nicht vor.
2.3.5 Da die Klägerin den Schaden (als Folge des Hackerangriffs) bei Einhaltung der äußerst zumutbaren Sorgfalt abwenden hätte können, scheitert deren Berufung auf ein Ereignis höherer Gewalt auch aus diesem Grund. Eine Auseinandersetzung mit der von der Klägerin ins Treffen geführten „Risikoteilung bei Gefahrtragung wegen höherer Gewalt“ und der in diesem Zusammenhang zitierten Entscheidung des Obersten Gerichtshofs zu 4 Ob 84/98a erübrigt sich daher.
2.4.1 Soweit sich die Klägerin in ihrer Berufung unter Bezugnahme auf die Entscheidung des Obersten Gerichtshofs zu 8 Ob 121/24perstmals darauf beruft, die Beklagte sei nicht sorgsam mit den Anwendungsmöglichkeiten einer qualifizierten elektronischen Signatur umgegangen und habe daher scheinbar echte Mails durch die Betrüger ermöglicht, verstößt sie gegen das im Berufungsverfahren geltende Neuerungsverbot des § 482 ZPO.
2.4.2 Im Übrigen ist aus der zitierten Entscheidung für den rechtlichen Standpunkt der Klägerin nichts zu gewinnen:
Darin führte der Oberste Gerichtshof aus, dass man bei einer E-Mail ohne qualifizierte elektronische Signatur („einfache E-Mail“) – wie der hier (.(B) vorliegenden – nur (allenfalls) „mit einiger Wahrscheinlichkeit“ von der Identität des Anderen ausgehen und somit gerade nicht – zumindest ohne Weiteres – darauf vertrauen kann, dass die E-Mail tatsächlich von jenem stammt, unter dessen Namen sie abgesendet wurde. Es überspannte die allgemeinen Anforderungen, verlangte man von Verwendern gewöhnlicher E-Mails, dass diese ihre EDV-Systeme durch stets aktuelle Schutzprogramme absichern, nur um sicherzustellen, dass kein Hacker unter missbräuchlicher Verwendung von deren Identität, somit in deren Namen, E-Mails versendet. Wer eine nicht qualifiziert elektronisch signierte E-Mail erhält, kann sich – der Grundkonzeption des Signatur-und Vertrauensdienstegesetzes (SVG) entsprechend – auch gerade nicht sicher sein, dass die E-Mail von jenem stammt, von dem sie zu stammen scheint (8 Ob 121/24p).
2.4.3 Angewendet auf den vorliegenden Fall scheidet demnach nicht nur eine Haftung der Beklagten wegen Erklärungsfahrlässigkeit aus, sondern es wird dadurch die der Klägerin selbst anzulastende Fahrlässigkeit in Bezug auf die Überweisung des Rechnungsbetrags auf das im Zuge des Hackerangriffs von dritten Personen bekanntgegebene Konto (← 2.3.3 ) zusätzlich untermauert.
3. Der Berufung war daher nicht Folge zu geben.
Die Kostenentscheidung beruht auf §§ 50, 41 ZPO.
Die ordentliche Revision war nicht zuzulassen, weil Rechtsfragen von der in § 502 Abs 1 ZPO geforderten Qualität nicht zur Beurteilung standen.
Rückverweise
Keine Ergebnisse gefunden
RIS