Zahlung an Betrüger nach E-Mail-Betrug: Erlischt der Werklohnanspruch aus § 631 BGB und ist eine Aufrechnung mit Schadensersatz nach Art. 82 DSGVO möglich? (LG Koblenz)
Geschätzte Lesezeit: ca. 5 Minuten
Relevanz für das erste Staatsexamen: Hoch
Relevanz für das zweite Staatsexamen: Hoch
Wichtigste Erkenntnisse:
- Eine Zahlung an einen Betrüger befreit den Schuldner nicht von seiner Leistungspflicht gegenüber dem eigentlichen Gläubiger, da keine Erfüllungswirkung nach § 362 Abs. 1 BGB eintritt.
- Ein unzureichend gesicherter E-Mail-Account kann einen Verstoß gegen Art. 32 DSGVO darstellen und einen Schadensersatzanspruch nach Art. 82 DSGVO für den geschädigten Zahler begründen.
- Das Gericht kann eine Haftungsverteilung vornehmen, bei der das Verschulden des Unternehmers (mangelnde IT-Sicherheit) gegen das Mitverschulden des Zahlers (mangelnde Sorgfalt bei Änderung der Bankverbindung) abgewogen wird.
- Die Entscheidung verdeutlicht die wachsende Bedeutung des Datenschutzrechts als Korrektiv und Verteidigungsmittel im klassischen Zivilrecht.
Inhaltsverzeichnis
Die Digitalisierung des Geschäftsverkehrs bringt enorme Effizienzgewinne, birgt jedoch auch neue Risiken. Ein besonders perfides und zunehmend häufigeres Problem ist der E-Mail-Betrug, bei dem Kriminelle die Kommunikation zwischen Unternehmen und ihren Kund:innen kapern, um Zahlungen auf ihre eigenen Konten umzuleiten. In einem solchen Fall stellt sich eine für Deine juristische Ausbildung und Praxis hochrelevante Frage: Was passiert, wenn ein Auftraggeber den Werklohn auf das Konto eines Betrügers überweist? Erlischt der ursprüngliche Werklohnanspruch des Unternehmers? Und kann der Auftraggeber möglicherweise mit einem Schadensersatzanspruch aus der Datenschutz-Grundverordnung (DSGVO) aufrechnen? Genau mit dieser Konstellation, die klassisches Zivilrecht mit modernem Datenschutzrecht verknüpft, befasste sich das Landgericht (LG) Koblenz in einer aufsehenerregenden Entscheidung. Das Urteil beleuchtet die komplexe Haftungsverteilung bei einer Zahlung an Betrüger nach E-Mail-Betrug und klärt, unter welchen Umständen der Werklohnanspruch aus § 631 BGB bestehen bleibt und eine Aufrechnung mit Schadensersatz nach Art. 82 DSGVO in Betracht kommt.
Bleibt der Werklohnanspruch aus § 631 BGB bei einer Zahlung an Betrüger bestehen?
Stell Dir folgendes Szenario vor: Ein Werkunternehmer erbringt eine Leistung und schickt seinem Auftraggeber die Rechnung per E-Mail. Bevor der Auftraggeber zahlt, hacken sich Kriminelle in den E-Mail-Account des Unternehmers, fangen die Kommunikation ab und senden im Namen des Unternehmers eine neue E-Mail mit einer geänderten Bankverbindung. Der Auftraggeber überweist den geschuldeten Betrag gutgläubig auf das neue Konto – direkt in die Hände der Betrüger. Der Werkunternehmer erhält sein Geld nie. Hat der Auftraggeber seine Schuld trotzdem beglichen? Das LG Koblenz hat in seinem Urteil vom 26. März 2025 (Az. 8 O 271/22) hierzu eine klare zivilrechtliche Position bezogen (nachzulesen u.a. auf LTO und Steuerzahlerbund).
Der Dreh- und Angelpunkt der zivilrechtlichen Beurteilung ist die Frage der Erfüllung nach § 362 Abs. 1 BGB. Eine Schuld, wie der Werklohnanspruch aus § 631 BGB, erlischt durch Erfüllung nur dann, wenn die geschuldete Leistung an den Gläubiger bewirkt wird. Gläubiger ist hier der Werkunternehmer. Eine Zahlung an einen beliebigen Dritten, in diesem Fall den Betrüger, führt grundsätzlich nicht zum Erlöschen der Forderung. Der Leistende – hier der Auftraggeber – trägt das Risiko, an den richtigen Empfänger zu zahlen. Das Gericht stellte unmissverständlich klar, dass die Überweisung auf das Konto des Betrügers keine Erfüllungswirkung entfaltet. Folglich besteht der ursprüngliche Werklohnanspruch des Unternehmers in voller Höhe weiter. Er kann vom Auftraggeber verlangen, erneut zu zahlen, obwohl dieser das Geld bereits einmal – wenn auch an die falsche Person – überwiesen hat. Diese Risikoverteilung mag auf den ersten Blick hart für den zahlenden Auftraggeber erscheinen, folgt aber der konsequenten Logik des Schuldrechts. Die Tatsache, dass die betrügerische E-Mail vom gehackten Account des Unternehmers versendet wurde, ändert an dieser grundlegenden Wertung zunächst nichts. Allein dieser Umstand beweist noch kein Verschulden des Unternehmers, das ihm im Rahmen des § 362 BGB entgegengehalten werden könnte.
Die datenschutzrechtliche Wende: Aufrechnung mit Schadensersatz nach Art. 82 DSGVO
Während die werkvertragsrechtliche Prüfung zu einem für den Auftraggeber niederschmetternden Ergebnis führt, eröffnete das LG Koblenz eine zweite, hochmoderne Verteidigungslinie: die Aufrechnung mit einem Gegenanspruch aus dem Datenschutzrecht. Hier zeigt sich, wie entscheidend interdisziplinäres Wissen für die juristische Falllösung geworden ist. Das Gericht prüfte, ob dem Auftraggeber ein Schadensersatzanspruch nach Art. 82 DSGVO gegen den Werkunternehmer zustehen könnte. Nach dieser Norm hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen.
Die entscheidenden Voraussetzungen für einen solchen Anspruch sind:
- Ein Verstoß gegen die DSGVO durch den Verantwortlichen.
- Ein entstandener Schaden (materiell oder immateriell).
- Ein Kausalzusammenhang zwischen dem Verstoß und dem Schaden.
Im vorliegenden Fall sah das Gericht einen Verstoß des Werkunternehmers gegen seine Pflichten als datenschutzrechtlich Verantwortlicher. Indem er seinen E-Mail-Account nicht ausreichend gegen unbefugten Zugriff durch Hacker schützte, verletzte er die Pflicht zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 DSGVO. Durch diesen Account wurden personenbezogene Daten des Auftraggebers verarbeitet, wie etwa seine E-Mail-Adresse und Abrechnungsdaten. Der materielle Schaden für den Auftraggeber war ebenfalls offensichtlich: Er bestand in der Höhe der fehlgeleiteten Zahlung, die er nun doppelt zu leisten drohte. Den Kausalzusammenhang bejahte das Gericht ebenfalls. Der unzureichende Schutz des E-Mail-Kontos war die direkte Ursache dafür, dass die Betrüger die Kommunikation manipulieren und die Falschüberweisung herbeiführen konnten.
Auf dieser Grundlage sprach das Gericht dem Auftraggeber einen Schadensersatzanspruch in Höhe des verlorenen Geldes zu. Diesen Anspruch konnte der Auftraggeber nun dem fortbestehenden Werklohnanspruch des Unternehmers im Wege der Aufrechnung (§§ 387 ff. BGB) entgegenhalten (LTO). Die Aufrechnung führte im Ergebnis dazu, dass sich die beiden gegenseitigen Forderungen teilweise aufhoben und der Werkunternehmer nicht mehr seinen vollen Lohn verlangen konnte.
Haftungsverteilung und Mitverschulden: Eine salomonische Lösung
Die Anerkennung beider Ansprüche – des Werklohnanspruchs und des DSGVO-Schadensersatzanspruchs – führte zur entscheidenden Frage: Wer trägt am Ende welchen Teil des Schadens? Anstatt einer „Alles-oder-Nichts“-Entscheidung wählte das LG Koblenz einen differenzierten Ansatz und nahm eine Haftungsverteilung vor. Das Gericht argumentierte, dass beide Parteien eine gewisse Verantwortung für den entstandenen Schaden tragen. Es lastete dem Werkunternehmer ein erhebliches Mitverschulden an, da er seine IT-Sicherheit vernachlässigt und den Hack seines E-Mail-Kontos erst ermöglicht hatte. Dieser Datenschutzverstoß war der Ausgangspunkt für den gesamten Betrugsfall.
Gleichzeitig sah das Gericht aber auch ein Mitverschulden aufseiten des Auftraggebers. Im Geschäftsverkehr ist bei der Ankündigung einer neuen Bankverbindung, insbesondere wenn diese kurzfristig und ohne weitere Ankündigung per E-Mail erfolgt, eine erhöhte Sorgfalt geboten. Ein kurzer Kontrollanruf oder eine Rückfrage auf einem anderen Kommunikationsweg hätte den Betrug verhindern können. Diese Sorgfaltspflicht hat der Auftraggeber verletzt. Das Gericht wog diese beiderseitigen Verschuldensbeiträge gegeneinander ab und kam zu einer Haftungsquote. Laut Berichten wurde der Werklohnanspruch des Unternehmers gekürzt (Steuerzahlerbund). Im Ergebnis musste der Auftraggeber nicht die volle Summe erneut zahlen. Konkret wurde dem Unternehmer nur ein Teil seines ursprünglichen Anspruchs zugesprochen (8.250 Euro statt 11.000 Euro). Dies entspricht einer Haftungsverteilung, bei der der Unternehmer 25 % des Schadens aufgrund seines Datenschutzverstoßes selbst tragen musste, während der Auftraggeber auf den restlichen 75 % sitzen blieb. Diese Entscheidung betont eindrücklich, dass im digitalen Geschäftsverkehr beide Parteien Pflichten haben: der Leistende hat für eine sichere digitale Infrastruktur zu sorgen, und der Zahlende muss bei ungewöhnlichen Vorgängen wachsam sein (bakertilly.de).
Zentrale Leitsätze und die Bedeutung für Deine juristische Praxis
Das Urteil des LG Koblenz ist von erheblicher praktischer Relevanz und ein exzellentes Beispiel für Klausuren und die spätere Berufspraxis, da es klassische BGB-Dogmatik mit den hochaktuellen Anforderungen des Datenschutzrechts verwebt. Die zentralen Erkenntnisse lassen sich wie folgt zusammenfassen:
| Leitsatz | Juristische Einordnung |
|---|---|
| Werklohnanspruch bleibt bestehen | Eine Zahlung an einen Betrüger hat keine Erfüllungswirkung nach § 362 Abs. 1 BGB, da die Leistung nicht an den Gläubiger (Werkunternehmer) bewirkt wird. Der Anspruch aus § 631 BGB erlischt nicht. |
| Risiko der Falschüberweisung | Grundsätzlich trägt der Schuldner (Auftraggeber) das Risiko, an den richtigen Gläubiger zu leisten. |
| Aufrechnung mit DSGVO-Schadensersatz | Ein unzureichender Schutz personenbezogener Daten (z.B. E-Mail-Account) kann einen Verstoß gegen Art. 32 DSGVO darstellen und einen Schadensersatzanspruch nach Art. 82 DSGVO begründen. |
| Haftungsabwägung bei Mitverschulden | Liegt auf beiden Seiten ein Verschulden vor (mangelnde IT-Sicherheit vs. mangelnde Sorgfalt bei der Zahlung), kann der Schaden nach den Grundsätzen des Mitverschuldens (§ 254 BGB analog) verteilt werden. |
| Pflicht zu Schutzmaßnahmen | Unternehmer:innen sind als Verantwortliche verpflichtet, angemessene technische und organisatorische Maßnahmen (TOMs) zu ergreifen, um die Sicherheit der von ihnen verarbeiteten Daten zu gewährleisten. |
Für Dich als angehende:n Jurist:in ist diese Entscheidung ein Weckruf. Sie zeigt, dass das Verständnis der DSGVO nicht mehr nur auf Datenschutzspezialist:innen beschränkt ist, sondern tief in das allgemeine Zivil- und Wirtschaftsrecht hineinwirkt. Ein Schadensersatzanspruch aus Art. 82 DSGVO kann zu einer mächtigen Waffe in vertraglichen Auseinandersetzungen werden. Künftig wird es bei der Beratung von Mandant:innen in ähnlichen Fällen entscheidend sein, nicht nur die vertraglichen Ansprüche zu prüfen, sondern auch proaktiv zu untersuchen, ob ein Datenschutzverstoß des Gegners vorliegt, der eine Aufrechnung oder einen eigenen Anspruch begründen könnte. Gleichzeitig müssen Unternehmen dringend in ihre IT-Sicherheit investieren, da eine Nachlässigkeit nicht nur zu direkten Schäden, sondern auch zum Verlust von berechtigten Forderungen führen kann.
Die Verknüpfung von Werkvertragsrecht und Datenschutzrecht durch das LG Koblenz ist ein Paradebeispiel für die dynamische Entwicklung des Rechts im digitalen Zeitalter. Um in solchen komplexen, fächerübergreifenden Fällen den Überblick zu behalten, ist eine strukturierte Lern- und Wissensverwaltung unerlässlich. Digitale Hilfsmittel wie Lernpläne, Vorlagen zur Notenerfassung oder digitale Karteikartensysteme können Dir dabei helfen, die Verbindungen zwischen BGB und DSGVO zu verinnerlichen und dieses Wissen für Deine Klausuren und die spätere Praxis parat zu haben. Diese Entscheidung lehrt uns, dass ein moderner Rechtsbeistand über den Tellerrand des klassischen BGB blicken muss, um den Herausforderungen der digitalen Welt gewachsen zu sein.
