Schuldbefreiende Wirkung bei „Fehlüberweisung“ in Zusammenhang mit Cyberangriffen?

Währenddessen § 1412 ABGB die Frage regelt, wie ein Schuldner schuldbefreiend leisten kann, bezieht sich § 1424 ABGB auf die Frage, an wen der Schuldner seine Leistung zu erbringen hat. Primär kann eine schuldbefreiende Leistung nur an den Gläubiger selbst erfolgen, also an denjenigen, der aufgrund eines Vertrags zur Einforderung einer Leistung berechtigt ist. Neben dem Gläubiger kommen allerdings auch Machthaber des Gläubigers als Leistungsempfänger in Betracht. Darunter fallen im Wesentlichen Personen, die kraft Gesetzes oder aufgrund rechtsgeschäftlicher Ermächtigung berechtigt sind, eine Leistung im Namen des Gläubigers entgegenzunehmen. Eine Sonderregel zur Erfüllung sogenannter Geldschulden hat der Gesetzgeber in § 907a ABGB vorgesehen. Demnach ist eine Geldschuld am Wohnsitz oder an der Niederlassung des Gläubigers zu erfüllen, indem der Geldbetrag dort übergeben oder auf ein vom Gläubiger bekanntgegebenes Bankkonto überwiesen wird. Anstelle der körperlichen Übergabe des geschuldeten Geldbetrags anerkennt der Gesetzgeber somit auch die Möglichkeit der Überweisung als schuldbefreiende Leistung.

In einer erst kürzlich ergangenen Entscheidung befasste sich der Oberste Gerichtshof (OGH) mit den Fragen der Erfüllung und Gefahrtragung bei einer durch einen Cyberangriff bedingten Überweisung des vertraglich geschuldeten Geldbetrags auf ein falsches Dritt-Konto. Dieser Entscheidung lag folgender Sachverhalt zu Grunde. 

Die in Frankreich ansässige Klägerin schloss mit der in Österreich ansässigen Beklagten einen Kaufvertrag über die Lieferung von Titanspänen ab. Nach Durchführung der Lieferung wurden von der Klägerin als Verkäuferin Rechnungen über mehr als € 80.000,00 ausgestellt, wobei die Klägerin von der Beklagten keine Zahlungen erhielt. Auf den Rechnungen der Klägerin war ein von der Klägerseite benanntes Konto als Überweisungsziel angeführt. Nach dem erfolglosen Versuch zur Überweisung des ausständigen Betrags durch eine Mitarbeiterin der Beklagten, erhielt diese Mitarbeiterin von einer fremden dritten Person eine E-Mail, im Rahmen derer sie aufgefordert wurde, eine Überweisung auf ein anderes Konto vorzunehmen. Der fremde Dritte erweckte durch die E-Mail den Eindruck, als würde diese E-Mail von der Klägerseite selbst stammen. Nach Rückfrage der Mitarbeiterin der Beklagtenseite, warum ein neuer Empfängername angeführt wird und erneutem Misslingen zur Überweisung an das neue Konto, erhielt die für die Beklagte zuständige Mitarbeiterin erneut eine E-Mail, die wiederum eine neue Kontonummer vorsah, auf die die Überweisung zu erfolgen habe. Diese Überweisung erfolgte schlussendlich erfolgreich, wobei während des gesamten E-Mail-Verkehrs aus Sicht der Beklagtenseite der Anschein bestand, als würden die E-Mails tatsächlich von der Klägerin und nicht von einem fremden Dritten übermittelt werden. Strittig war im Ausgangsfall einerseits, ob die in Österreich ansässige Beklagtenseite und damit Käuferin verpflichtet ist, trotz Überweisung des geschuldeten Betrags auf das vom Dritten benannte Dritt-Konto erneut eine Zahlung gegenüber der Klägerin zu tätigen. Andererseits war strittig, ob in Anlehnung an § 907a Absatz 1 letzter Satz ABGB die Verzögerungs- und Verlustgefahr für die durch einen Cyberangriff bewirkte Falschüberweisung eines Geldbetrags auf ein Drittkonto beim Gläubiger der Geldschuld, somit im Ausgangsfall bei der Klägerseite, oder beim Schuldner liegt.

Eingangs beurteilte das Höchstgericht die Frage, ob eine der Klägerin zurechenbare Aufforderung zu der letztlich erfolgten Überweisung auf das den Betrügern zurechenbare Konto vorliegt. Dies ist insofern von Bedeutung, zumal im Falle einer Zurechnung die Beklagtenseite ihre Verbindlichkeit wirksam durch Überweisung erfüllt hätte und somit eine Schuldbefreiung eingetreten wäre. Eine solche Zurechnung musste im Ergebnis verneint werden. Zu beachten ist, dass die Erklärung, wonach die Überweisung auf das Dritt-Konto der Betrüger zu erfolgen hatte, nicht von der Klägerin selbst abgegeben wurde. Auch eine Zurechnung dieser Erklärung an die Klägerin über das Rechtsinstitut der Erklärungsfahrlässigkeit ist zu verneinen. Begründend führt das Höchstgericht hierzu aus, dass im Rahmen des E-Mail-Verkehrs für Parteien die Möglichkeit besteht, sich einer qualifizierten elektronischen Signatur zu bedienen. Die Verwendung einer solchen Signatur rechtfertigt es, auf die Identität eines Erklärenden zu vertrauen. Vor dem Hintergrund, dass im Ausgangsfall eine solche Signatur gerade nicht verwendet wurde, ist auch das Vertrauen darauf, dass die E-Mail tatsächlich von jenem stammt, in dessen Name sie abgesendet wurde, nicht schutzwürdig. Gerade dieser Umstand führt dazu, dass die Beklagtenseite auch nicht darauf vertrauen durfte, dass die im Namen der Klägerin abgesendete E-Mail auch tatsächlich von ihr stammt, sodass eine Zurechnung der Betrüger über die Erklärungsfahrlässigkeit ausscheidet. Auch eine Zurechnung der Willenserklärungen der Betrüger über die Anscheinsvollmacht wurde verneint. Grundvoraussetzung der Anscheinsvollmacht ist der gute Glaube des Dritten auf den Anschein. Aufgrund des Umstandes, dass die Beklagte aufgefordert wurde, eine Banküberweisung zunächst auf ein deutsches Bankkonto und schlussendlich auf ein belgisches Bankkonto durchzuführen, obwohl ursprünglich auf den Rechnungen ein französisches Bankkonto angeführt war, kann der Beklagten zumindest leichte Fahrlässigkeit vorgeworfen werden. Die Beklagtenseite hätte jedenfalls nochmals mit der Klägerseite telefonisch Kontakt aufnehmen müssen, um sich von der Richtigkeit des geänderten Kontos zu überzeugen. Mangels Gutgläubigkeit der Beklagtenseite scheidet somit auch eine Zurechnung über die Anscheinsvollmacht aus und somit konnte die Überweisung auf das Dritt-Konto jedenfalls nicht als für die Beklagtenseite schuldbefreiend qualifiziert werden.

Weiters stellte sich die Frage, ob die Klägerin oder die Beklagte die Gefahr einer durch einen Cyberangriff bedingten fälschlichen Überweisung auf das Dritt-Konto der Betrüger zu tragen hat. § 907a Absatz 1 Satz ABGB normiert, dass bei Geldschulden der Schuldner den geschuldeten Betrag auf das vom Gläubiger bekannt gegebene Konto zu überweisen hat. Der Gesetzgeber normiert somit bezüglich sogenannter Geldschulden eine Bringschuld zulasten des Schuldners. Dieser Grundgedanken wird nach § 907a Abs 1 Satz 2 ABGB nur in zwei Fällen durchbrochen: Sollte der Gläubiger nach Entstehung der Forderung den Wohnsitz oder seine Niederlassung, oder dessen Bankverbindung ändern, so tragt der Gläubiger eine dadurch bewirkte Erhöhung der Gefahr und der Kosten für die Erfüllung. Nach dem Wortlaut des Gesetzes kommt eine Verzögerungs- und Verlustgefahr zu Lasten des Gläubigers bei Änderung der Bankverbindung nur dann in Betracht, wenn diese Änderung vom Gläubiger selbst vorgenommen wird. Maßgeblich ist, dass gerade durch eine Änderung des Erfüllungsortes durch den Gläubiger eine erhöhte Gefahr entsteht, die folglich berechtigterweise vom Gläubiger selbst und nicht vom Schuldner zu tragen ist. Da aber im Ausgangsfall eine Änderung der Bankverbindung des Gläubigers nicht durch diesen selbst, sondern durch eine ihm nicht zurechenbare dritte Person erfolgte, kommt der von Beklagtenseite behauptete Übergang der Gefahrtragung auf die Klägerseite als Gläubiger nicht in Betracht. Der OGH verneinte auch die von der Beklagten behauptete analoge Anwendung des § 907a Abs 1 Satz 2 ABGB. Die klare Absicht des Gesetzgebers besteht darin, durch das Bringschuldkonzept bei Geldüberweisungen dem Schuldner und nicht dem Gläubiger die Gefahrtragung aufzuerlegen. Dies gilt nach Satz 2 nur dann nicht, wenn der Gläubiger seine Bankverbindung ändert. Die Annahme einer planwidrigen Lücke, die für eine Analogie erforderlich ist, dahingehend, dass auch Fälle vom Gefahrenübergang erfasst sein sollten, in denen der Gläubiger nichts von der Änderung der Kontodaten weiß, liegt gerade nicht vor. Im Ergebnis wurde somit der von der Klägerin behauptete Anspruch auf Zahlung des immer noch offenen Rechnungsbetrags von über € 80.000,00 bejaht.