Zahlung auf falsches Konto nach Hackerangriff – Wer haftet

Stellen Sie sich vor, Sie beauftragen einen Handwerker, der die vereinbarten Arbeiten zuverlässig erledigt – doch als Sie zahlen, landet das Geld nicht bei ihm, sondern auf dem Konto eines Betrügers. Genau mit dieser Situation sah sich das Landgericht Koblenz in seinem Urteil vom 26.03.2025 (Az. 8 O 271/22) konfrontiert.

Ein Hacker hatte den E-Mail-Verkehr manipuliert und den Kunden zu Überweisungen auf ein fremdes Konto veranlasst. Die spannende Rechtsfrage: Wer trägt das Risiko für den entstandenen Schaden – der Kunde oder der Unternehmer?

Der Sachverhalt: Betrug durch E-Mail-Manipulation

Der Fall ist schnell erzählt, aber juristisch hochinteressant: Ein Unternehmer führte Zaunbauarbeiten auf einem Grundstück durch. Der Werklohn betrug pauschal 11.000 Euro. Die Rechnung enthielt die korrekte Kontoverbindung des Unternehmers.

Wenig später erhielt der Auftraggeber (Beklagter) eine E-Mail – augenscheinlich vom Absender des Unternehmers – mit dem Hinweis, die Bankverbindung habe sich geändert. Nach Bestätigung der Nachricht folgte eine neue E-Mail mit geänderter Kontoverbindung. Der Kunde zahlte insgesamt 11.000 Euro auf das Konto eines Dritten namens „Ronald Serge B.“ – in zwei Raten à 6.000 und 5.000 Euro.

Die Überweisungsbelege schickte er dem Unternehmer per WhatsApp. Dieser stellte fest, dass das Geld nicht bei ihm angekommen war und klagte auf Zahlung.

Die Entscheidung des LG Koblenz: Zahlungspflicht trotz Überweisung

Das Landgericht Koblenz gab dem Unternehmer überwiegend recht. Der Kunde wurde zur Zahlung von 8.250 Euro verurteilt. Nur einen Teilbetrag von 2.750 Euro musste der Unternehmer sich anrechnen lassen.

a) Kein Erlöschen der Schuld – Zahlung auf falsches Konto gilt nicht

Das Gericht stellte klar: Die Zahlung auf ein falsches Konto erfüllt die Schuld nicht. Zwar war die E-Mail scheinbar vom Unternehmer versandt worden, doch das allein genügt nicht. Es bestand kein Anscheinsbeweis dafür, dass die E-Mail tatsächlich von ihm stammte. Vielmehr sei allgemein bekannt, dass E-Mail-Konten leicht gehackt werden können – ein Risiko, das beide Seiten kennen.

b) Unternehmer trägt nicht das volle Risiko

Entscheidend war: Der Unternehmer hatte keinen Einfluss darauf, dass sein E-Mail-Account offenbar kompromittiert worden war. Die Manipulation ging nicht auf sein aktives Verhalten zurück.

Zwar muss ein Unternehmer grundsätzlich dafür sorgen, dass personenbezogene Daten und seine IT-Systeme geschützt sind – daraus folgt jedoch nicht automatisch eine volle Haftung für jede Sicherheitslücke.

Datenschutzrechtliche Aufrechnung – aber nur teilweise

Interessant ist der zweite Teil der Entscheidung: Das Gericht erkannte einen DSGVO-Schadensersatzanspruch des Kunden gegen den Unternehmer an – gemäß Art. 82 DSGVO. Denn der Unternehmer hätte den Zugang zu seinem E-Mail-Account technisch besser absichern müssen, um die personenbezogenen Daten des Kunden zu schützen.

Diesen Verstoß ließ das Gericht nicht folgenlos: Der Kunde durfte in Höhe von 2.750 Euro mit seinem Schaden aufrechnen.

Mitverschulden des Kunden – der Knackpunkt

Der maßgebliche Punkt war jedoch das Mitverschulden des Kunden. Hier zeigte das Gericht wenig Verständnis. Spätestens als eine völlig fremde Kontoverbindung mit einem unbekannten Zahlungsempfänger („Ronald Serge B.“) auftauchte, hätte eine Rückversicherung beim Unternehmer erfolgen müssen.

Auch dass Screenshots der Überweisungen per WhatsApp verschickt wurden, änderte nichts: Der Unternehmer war nicht verpflichtet, diese umgehend sorgfältig auf Richtigkeit zu prüfen. WhatsApp sei – so das Gericht – kein geeigneter Kommunikationsweg, um solche sensiblen Informationen zuverlässig zu kontrollieren.

Fazit: Geteiltes Risiko, aber Schwerpunkt beim Kunden

Das LG Koblenz entschied salomonisch, aber mit klarer Tendenz:
Der Unternehmer muss den Werklohn nicht vollständig abschreiben.
Der Kunde bleibt auf einem Großteil seines Schadens selbst sitzen.
Beide Seiten tragen ein Risiko, doch das größere liegt beim Kunden.

Warum das Urteil wichtig ist:

• E-Mail ist unsicher: Wer geschäftlich über E-Mail kommuniziert, muss das Risiko von Hackerangriffen einkalkulieren.
• Prüfungspflicht des Kunden: Bei ungewöhnlichen Kontoangaben muss Rücksprache gehalten werden.
• Datensicherheit ist Pflicht: Unternehmer müssen ihre IT-Systeme gegen Datenmissbrauch absichern – ansonsten droht Schadensersatz.

Fazit: Das Urteil des LG Koblenz schafft wichtige Klarheit für die Praxis: Wer blind auf veränderte Kontodaten vertraut, trägt ein hohes Risiko. Gleichzeitig müssen Unternehmer ihre digitale Infrastruktur absichern, um Datenschutzverletzungen zu vermeiden. Im Ergebnis liegt die Hauptverantwortung aber beim Zahlungspflichtigen – denn das Geld, das beim Falschen landet, ist nicht gezahlt.