Entscheidungen zum Datenschutzrecht  ·  01. Juni 2026

Manipulierte Rechnung per E-Mail: Keine generelle Pflicht zur Ende-zu-Ende-Verschlüsselung

Gericht: LG Karlsruhe, 8. Zivilkammer
Entscheidungsdatum: 20.05.2026
Aktenzeichen: 8 O 266/25
Dokumenttyp: Urteil

 

Rechtssatz

Wird eine per E-Mail übermittelte Rechnung von unbekannten Dritten manipuliert und der Kaufpreis deshalb auf ein fremdes Konto überwiesen, tritt grundsätzlich keine Erfüllung der Zahlungspflicht ein.

 

Eine allgemeine Pflicht, Rechnungen im geschäftlichen E-Mail-Verkehr Ende-zu-Ende-verschlüsselt zu versenden, folgt nach Ansicht des LG Karlsruhe weder aus der DSGVO noch aus zivilrechtlichen Nebenpflichten.

 

Ein Anspruch aus Art. 82 DSGVO scheidet zudem aus, wenn nicht personenbezogene Daten der betroffenen Person, sondern lediglich die Bankverbindungsdaten des Vertragspartners verändert wurden.

 

Sachverhalt

Die Kläger erwarben von der Beklagten insgesamt 42 Feingoldbarren zu einem Kaufpreis von 109.185 Euro. Der Kläger erhielt per E-Mail Rechnungen, die äußerlich den später postalisch übermittelten Originalrechnungen entsprachen. Abweichend von den Originalen enthielten die E-Mail-Rechnungen jedoch eine andere Bankverbindung.

In der Annahme, es handle sich um die korrekten Zahlungsdaten der Verkäuferin, überwies der Kläger den gesamten Kaufpreis auf das angegebene Konto. Die Zahlung gelangte allerdings nicht an die Beklagte. Die Goldbarren wurden daraufhin nicht geliefert.

Im Verfahren war letztlich unstreitig, dass unbekannte Dritte die Kontodaten in den Rechnungen verändert hatten. Nicht mehr nachvollziehbar war jedoch, zu welchem Zeitpunkt und in welchem technischen Umfeld die Manipulation erfolgt war. Offen blieb insbesondere, ob der Zugriff im Bereich der Absenderin, beim Empfänger oder während der Übertragung stattgefunden hatte.

Die Kläger begehrten in erster Linie die Lieferung der Goldbarren und hilfsweise Schadenersatz in Höhe des fehlgeleiteten Kaufpreises. Sie argumentierten unter anderem, die Rechnungen hätten nur verschlüsselt per E-Mail versendet werden dürfen.

 

Rechtliche Begründung

Keine Erfüllung durch Zahlung auf ein fremdes Konto

Das LG Karlsruhe wies die Klage ab. Nach Auffassung des Gerichts war die Kaufpreisforderung nicht erfüllt. Eine Geldschuld erlischt grundsätzlich erst dann, wenn der geschuldete Betrag dem Gläubiger oder einer wirksam ermächtigten Person gutgeschrieben wurde. Die Überweisung auf ein fremdes Konto genügt dafür nicht.

Da die manipulierte Bankverbindung weder von der Beklagten stammte noch dieser zugerechnet werden konnte, blieb die Kaufpreisforderung bestehen. Die Beklagte durfte die Lieferung daher bis zur Zahlung des Kaufpreises verweigern.

 

Keine allgemeine Pflicht zur Ende-zu-Ende-Verschlüsselung

Das Gericht verneinte auch eine Verletzung vertraglicher Nebenpflichten. Eine generelle Verpflichtung, geschäftliche Rechnungen ausschließlich Ende-zu-Ende-verschlüsselt zu versenden, bestehe nicht.

Nach dem Urteil gibt es keine allgemeine gesetzliche Vorgabe, wonach jede geschäftliche E-Mail-Kommunikation mit einem bestimmten Verschlüsselungsverfahren abgesichert werden muss. Das erforderliche Sicherheitsniveau richtet sich vielmehr nach den Umständen des Einzelfalls, den berechtigten Sicherheitserwartungen der Beteiligten und der Zumutbarkeit der Maßnahmen.

Das LG Karlsruhe hob hervor, dass eine Ende-zu-Ende-Verschlüsselung zusätzliche organisatorische und technische Schritte erfordert. Insbesondere muss ein sicherer Austausch der Schlüssel gewährleistet sein. Im gewöhnlichen Geschäftsverkehr habe sich dieses Verfahren bislang nicht als allgemeiner Standard durchgesetzt.

Entscheidend war zudem, dass die Kläger selbst keine besonderen Sicherheitsanforderungen verlangt hatten. Sie hatten ihre E-Mail-Adresse für die Übermittlung der Unterlagen bereitgestellt und auch nach Bekanntwerden des Vorfalls weiterhin unverschlüsselt kommuniziert.

 

Kein Anspruch aus Art. 82 DSGVO

Einen Schadenersatzanspruch nach Art. 82 DSGVO lehnte das Gericht ebenfalls ab.

Nach Ansicht des LG Karlsruhe war bereits der sachliche Anwendungsbereich der DSGVO nicht eröffnet. Die manipulierten Daten waren die Bankverbindungsdaten der beklagten Gesellschaft. Diese Angaben bezogen sich nicht auf eine natürliche Person und waren auch nicht personenbezogene Daten der Kläger.

Das Gericht stellte klar, dass die DSGVO den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten bezweckt. Maßgeblich sind insbesondere Art. 2 DSGVO und die Definition personenbezogener Daten in Art. 4 DSGVO. Ein Vermögensschaden allein eröffnet noch keinen Anspruch nach Art. 82 DSGVO, wenn er nicht auf einer DSGVO-widrigen Verarbeitung personenbezogener Daten beruht.

 

Auch bei unterstellter Anwendbarkeit kein nachgewiesener DSGVO-Verstoß

Das Gericht ergänzte, dass selbst bei unterstellter Anwendbarkeit der DSGVO kein Verstoß nachgewiesen worden wäre.

Nach Art. 24 DSGVO müssen Verantwortliche geeignete technische und organisatorische Maßnahmen treffen. Das Sicherheitsniveau richtet sich nach Art, Umfang, Umständen und Zwecken der Verarbeitung sowie nach Eintrittswahrscheinlichkeit und Schwere möglicher Risiken. Ergänzend konkretisiert Art. 32 DSGVO die Sicherheit der Verarbeitung.

Die DSGVO schreibt jedoch kein bestimmtes technisches Sicherungsmittel für jeden Fall vor. Insbesondere lässt sich aus ihr keine ausnahmslose Pflicht zur Ende-zu-Ende-Verschlüsselung jeder Rechnung ableiten.

Hinzu kam ein Beweisproblem: Es ließ sich nicht feststellen, an welcher Stelle der Kommunikationskette die Manipulation erfolgt war. Damit konnte auch nicht nachgewiesen werden, dass eine bestimmte Sicherheitsmaßnahme auf Seiten der Beklagten den Schaden verhindert hätte.

 

Einordnung der Entscheidung

Die Entscheidung setzt einen wichtigen Akzent in der Diskussion über manipulierte Rechnungen und fehlgeleitete Überweisungen.

Das LG Karlsruhe widerspricht einer pauschalen Betrachtung, wonach Unternehmen im geschäftlichen E-Mail-Verkehr stets eine Ende-zu-Ende-Verschlüsselung einsetzen müssten.

Das bedeutet jedoch nicht, dass unverschlüsselte E-Mails in jedem Fall ausreichend sind. Die DSGVO verlangt eine risikobasierte Betrachtung. Je sensibler die Daten, je höher das Missbrauchsrisiko und je gravierender die möglichen Folgen, desto sorgfältiger müssen Verantwortliche ihre Schutzmaßnahmen auswählen und dokumentieren.

Gerade bei hohen Rechnungsbeträgen ist es daher sinnvoll, Zahlungsdaten nicht ausschließlich auf Basis einer einzelnen E-Mail zu verifizieren. Organisatorische Sicherungen können in der Praxis ebenso wichtig sein wie technische Maßnahmen.

 

Fazit

Das LG Karlsruhe verneint eine allgemeine Pflicht zur Ende-zu-Ende-Verschlüsselung im geschäftlichen E-Mail-Verkehr.

Wird eine Rechnung von unbekannten Dritten manipuliert und der Rechnungsbetrag auf ein fremdes Konto überwiesen, ist die Zahlungspflicht gegenüber dem eigentlichen Vertragspartner grundsätzlich nicht erfüllt.

 

Ein Anspruch nach Art. 82 DSGVO setzt voraus, dass ein Schaden auf einem Verstoß gegen die DSGVO beruht. Werden lediglich die Bankverbindungsdaten einer juristischen Person verändert, ohne dass eine DSGVO-widrige Verarbeitung personenbezogener Daten der betroffenen Person nachgewiesen werden kann, reicht dies nach Auffassung des LG Karlsruhe nicht aus.

Download
LG_Karlsruhe_8_O_266-25_NJRE001642363.pd
Adobe Acrobat Dokument 80.3 KB
Download
Tags: Manipulierte Rechnung; E-Mail-Betrug; Rechnungsmanipulation; falsche IBAN; Ende-zu-Ende-Verschlüsselung; E-Mail-Sicherheit; Art. 82 DSGVO; Schadenersatz; techni

Kommentar schreiben

Kommentare: 0
1 Gilt für Lieferungen in folgendes Land: Österreich. Lieferzeiten für andere Länder und Informationen zur Berechnung des Liefertermins siehe hier: Liefer- und Zahlungsbedingungen
2 inkl. MwSt.
Impressum | AGB | Widerrufsbelehrung und -formular | Datenschutz | Cookie-Richtlinie | Sitemap | Vertrag widerrufen
(C) by dataprotect schweiger.legal Rechtsanwälte OG | Dr. Thomas Schweiger, LL.M. (Duke)
Anmelden Abmelden | Bearbeiten