🛑Vorsicht beim Überweisen: Wer auf gefälschte Mails hereinfällt, zahlt doppelt

Das Landgericht Koblenz hat in einem Urteil entschieden: Wer auf eine gefälschte E-Mail mit falscher Kontoverbindung hereinfällt, bleibt auf dem Schaden sitzen – zumindest größtenteils. Der Fall zeigt eindrucksvoll, wie riskant der digitale Zahlungsverkehr geworden ist.

🧱 Der Fall: Ein Zaun, eine Rechnung – und ein Betrug

Ein Auftraggeber lässt sich für 11.000 Euro einen Zaun errichten. Nach getaner Arbeit verschickt der Unternehmer die Rechnung – doch das Geld landet auf einem fremden Konto. Warum? Weil der Auftraggeber angeblich per E-Mail eine neue Kontoverbindung erhalten hatte. Der Haken: Diese Mail war nicht echt. Ein Hacker hatte sich offenbar Zugriff auf das E-Mail-Konto des Werkunternehmers verschafft.

Der Unternehmer klagte – und bekam vom Landgericht Koblenz weitgehend recht (Urt. v. 26.03.2025, Az. 8 O 271/22).

⚖️ Das Urteil: Wer blind überweist, haftet mit

Das Gericht stellte klar:
Eine Zahlung auf ein falsches Konto erfüllt nicht die Pflicht zur Werklohnzahlung nach § 631 Abs. 1 BGB.

Das bedeutet: Auch wenn der Auftraggeber glaubt, gezahlt zu haben – wenn das Geld beim falschen Empfänger landet, bleibt die Forderung bestehen. Der Werkunternehmer hatte also weiterhin Anspruch auf seinen Werklohn.

❗ Auftraggeber hätte Warnsignale erkennen müssen

Besonders schwer wog für das Gericht das Verhalten des Auftraggebers:

  • Er hatte eine geänderte Kontoverbindung per E-Mail erhalten – ohne diese zu hinterfragen.
  • Er rief nicht zurück oder stellte eine Nachfrage beim Unternehmer.
  • Der Zahlungsempfänger hieß plötzlich „Ronald Serge B.“, ein völlig unbekannter Name.

Diese Auffälligkeiten hätten laut Gericht alarmieren müssen. Es sei zumutbar, in solchen Fällen zumindest telefonisch Rücksprache zu halten. Dass der Auftraggeber stattdessen einfach überwies, wertete das LG als grob fahrlässig.

💬 WhatsApp ersetzt keine Rückfrage

Zwar hatte der Auftraggeber dem Unternehmer per WhatsApp Screenshots der Überweisungen geschickt – aber das reichte dem Gericht nicht:

„WhatsApp ist kein geeignetes Medium, um rechtsverbindliche Informationen wie Zahlungsdetails abzusichern.“

Die Screenshots enthielten zudem den falschen Namen des Empfängers – doch der Unternehmer war laut Gericht nicht verpflichtet, das im Chat zu prüfen oder zu korrigieren.

Kurz: Die Verantwortung lag beim Auftraggeber.

📉 DSGVO-Verstoß führt zu Teilschuld des Unternehmers

Das Urteil zeigt aber auch: Ganz ohne Fehler war auch der Unternehmer nicht.

Das Gericht sah einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO). Grund:

  • Der Unternehmer hatte die personenbezogenen Daten des Auftraggebers (E-Mail, Rechnungsdaten) nicht ausreichend geschützt.
  • Daraus ergab sich nach Art. 82 DSGVO ein Schadensersatzanspruch des Auftraggebers.

Dieser Schadensersatz wurde mit 25 % des Werklohns bewertet – also 2.750 Euro. Der Restbetrag in Höhe von 8.250 Euro war dennoch zu zahlen.

🛡 Handlungsempfehlungen für Händler

Der Fall ist ein Warnschuss für alle Unternehmer und Auftraggeber im digitalen Zahlungsverkehr – insbesondere im E-Commerce und Handwerk.

✅ Für Händler und Dienstleister:

  • SPF, DKIM und DMARC einrichten: Diese Technologien schützen vor E-Mail-Spoofing.
  • Zwei-Faktor-Authentifizierung (2FA) für E-Mail-Konten aktivieren.
  • Kunden aktiv sensibilisieren: Keine geänderten Kontodaten per E-Mail ohne vorherigen Anruf bestätigen.
  • Klare Zahlungsbedingungen mit festen Kontodaten in Rechnungen festhalten.

✅ Für Auftraggeber und Kunden:

  • Jede Kontodatenänderung hinterfragen – per Rückruf beim Ansprechpartner.
  • Auf ungewöhnliche Namen achten – „Ronald Serge B.“ ist kein Zaunbauer.
  • Nie nur auf eine E-Mail vertrauen – gerade bei hohen Beträgen.

🔍 Einordnung für die E-Commerce-Praxis

Was für Zaunbauer gilt, betrifft auch Onlinehändler, Dienstleister und Plattformbetreiber:

  • Betrügerische E-Mails mit Zahlungsaufforderungen sind Alltag im E-Commerce.
  • Technische Sicherheitsmaßnahmen alleine reichen nicht – auch organisatorische Vorkehrungen sind nötig.
  • Unternehmen müssen Rechtssicherheit und IT-Sicherheit zusammen denken.

Besonders kritisch: Viele Kunden gehen immer noch davon aus, dass jede Mail mit bekannter Adresse auch wirklich vom Unternehmen stammt – das ist ein trügerischer Irrtum.

🧠 Fazit

Das Urteil des LG Koblenz zeigt: Wer leichtgläubig überweist, verliert – zumindest größtenteils. Auch wenn beide Seiten durch den Betrug geschädigt wurden, bleibt der Auftraggeber auf dem Großteil der Zahlung sitzen.

Digitale Kommunikation ersetzt nicht gesunden Menschenverstand.

Wer Kontodaten ändert – oder neue erhält – sollte immer persönlich nachfragen. Denn bei E-Mail-Betrug geht es nicht nur um Technik, sondern auch um Verantwortung.

🔴Hier sind die wichtigsten Schritte, mit denen du dich schützen kannst:

✅ 1. SPF, DKIM und DMARC richtig konfigurieren

Diese drei Schutzmechanismen sagen Mailservern weltweit: „Nur diese Server dürfen E-Mails in meinem Namen senden.“

🔹 SPF (Sender Policy Framework)

  • Gibt an, welche Server berechtigt sind, E-Mails für deine Domain zu verschicken.
  • Beispiel-Eintrag:
    v=spf1 include:mailserver.de -all
  • Füge diesen als TXT-Eintrag in deiner Domainverwaltung hinzu.

🔹 DKIM (DomainKeys Identified Mail)

  • Signiert jede ausgehende E-Mail kryptografisch.
  • Empfänger können dadurch prüfen, ob die Mail wirklich vom angegebenen Absender stammt und nicht verändert wurde.

🔹 DMARC (Domain-based Message Authentication, Reporting and Conformance)

  • Legt fest, was passieren soll, wenn SPF oder DKIM fehlschlagen.
  • Beispiel-Eintrag:
    v=DMARC1; p=reject; rua=mailto:[email protected];

➡️ Empfehlung: SPF, DKIM und DMARC aktivieren UND regelmäßig prüfen, z. B. mit Tools wie MxToolbox oder DMARC Analyzer.

✅ 2. E-Mail-Anbieter mit Sicherheitsfunktionen nutzen

  • Nutze professionelle Anbieter wie Microsoft 365, Google Workspace, Mailbox.org oder ProtonMail.
  • Diese Dienste haben integrierte Schutzmechanismen gegen Spoofing, Phishing und unbefugten Zugriff.

✅ 3. Absenderadressen absichern (z. B. no-reply@ vs. info@)

  • Beliebte Mailadressen wie [email protected] werden oft gefälscht.
  • Verwende seltener genutzte Adressen mit internen Bezeichnungen für besonders kritische Kommunikation.

✅ 4. Zugang zur Domain absichern

  • Wenn jemand deine Domain verwalten kann, kann er DNS-Einträge manipulieren.
  • Verwende starke Passwörter, 2FA und sichere Registrar-Accounts (z. B. bei IONOS, All-Inkl, GoDaddy etc.).

✅ 5. Überwachung und Benachrichtigung einrichten

  • Aktiviere Berichte bei deinem DMARC-Eintrag (rua=), damit du siehst, wer E-Mails in deinem Namen verschickt.
  • Nutze Monitoring-Tools, die dich warnen, wenn jemand deine Domain missbraucht.

❗ Was du nicht verhindern kannst

E-Mail-Spoofing bedeutet nicht, dass jemand deinen Account gehackt hat – nur, dass er deinen Namen (Adresse) als Absender angibt. Diese Mails kommen trotzdem nicht immer durch:

  • Seriöse Mailserver blockieren sie bei korrektem SPF/DKIM/DMARC.
  • Empfänger sehen häufig Warnungen wie „Diese Nachricht stammt möglicherweise nicht von…“

🛡 Fazit: Mit Technik und Disziplin vorbeugen

Wenn du SPF, DKIM und DMARC korrekt einrichtest und deine Domain absicherst, bist du gegen Spoofing sehr gut gewappnet. Einen hundertprozentigen Schutz gibt es zwar nicht – aber mit diesen Maßnahmen schließt du über 95 % aller gängigen Missbrauchsmöglichkeiten aus.

Wortfilter Facebook Community Gruppe
Komm in die Wortfilter Community auf Facebook und diskutiere mit

➡️Melde dich zum wöchentlichen Newsletter an!⬅️