A. Ein fiktiver Fall
Ein Buchhaltungsmitarbeiter eines Maschinenbauers stellt Mitte Januar bei Bereinigung der OP-Liste fest, dass die Mitte November gelieferte und in Rechnung gestellte CNC-Fräsmaschine für 1,8 Millionen Euro an den Industriekunden in Norditalien immer noch nicht gezahlt ist. Die Kommunikation läuft – wie üblich – per E-Mail zwischen dem Vertriebsmitarbeiter der M-TEC GmbH und der Einkaufsabteilung des Kunden.
Auf einen Anruf beim Ansprechpartner des Kunden reagiert der völlig überrascht. Man habe die Rechnung fristgerecht bezahlt. Die E-Mail, dass auf ein anderes Konto als jenes, das in der Rechnung genannt war, bezahlt werden solle, war zwar etwas ungewöhnlich, aber so etwas komme ja vor.
Bei der Aufarbeitung, die nun auf beiden Seiten im absoluten Alarmmodus geschieht, stellt sich heraus, dass der norditalienische Käufer tatsächlich eine täuschend echt aussehende E-Mail erhalten hat, in der um Zahlung auf eine andere Bankverbindung als die ursprünglich angegebene gebeten worden war.
B. Die rechtliche Lösung
Schnell entwickelt sich nun eine Diskussion um die Schuldfrage, die gegebenenfalls auch unsachlich geführt wird. Dabei lohnt es sich, den Fall einmal rechtlich aufzuarbeiten, denn die entscheidende Frage ist doch, ob der Verkäufer aus unserem Beispiel die Zahlung noch einmal fordern kann oder nicht.
Dabei wird man zunächst feststellen, dass das Gerüst einer solchen Prüfung völlig identisch mit dem jeder anderen Zahlungsklage aus Warenlieferung zwischen Unternehmern ist. Eine ausschließlich materiellrechtliche Prüfung ist dabei regelmäßig nicht hilfreich – vielmehr geht es darum zu prüfen, wie ein Anspruch auf Kaufpreiszahlung durchzusetzen wäre.
I. Zuständiges Gericht oder Schiedsgericht
Dabei stellt sich wie in jeder anderen Lieferbeziehung die Frage nach dem zuständigen Gericht oder Schiedsgericht. Hier treten regelmäßig komplexe Fragen des internationalen Zivilprozessrechts oder aber der Wirksamkeit von Schiedsvereinbarungen auf.
In unserem Fall wäre – mangels Schiedsvereinbarung oder Gerichtsstandsvereinbarung – Zahlungsklage am Sitz des italienischen Käufers in Italien zu erheben (Art. 4 Abs. 1 Brüssel Ia-Verordnung), wenn nicht, was wir hier annehmen wollen, ein Gerichtsstands am Erfüllungsort einschlägig ist (Art. 7 Nr. 1, lit. b) Brüssel Ia-Verordnung), was z. B. bei Vereinbarung der Incoterms-Klausel FCA der Fall ist. Nun könnte Klage vor einem deutschen Gericht am Lieferort (FCA) erhoben werden.
II. Anspuch auf „erneute“ Kaufpreiszahlung
Das deutsche Gericht würde dann – mangels Abwahl – das UN-Kaufrecht (CISG), das sowohl Deutschland als auch Italien unterzeichnet haben, anwenden. Aus dem UN-Kaufrecht ergibt sich die klare Pflicht aus Art. 54 CISG, den Kaufpreis zu zahlen.
Nun stellt sich jedoch die zentrale Frage, ob der Käufer seine Zahlungspflicht bereits erfüllt hat. Nach der derzeitigen Rechtslage ist umstritten, ob dies nach CISG oder nach deutschem Recht zu beurteilen ist; die Rechtsprechung hat sich hierzu bislang nicht abschließend positioniert. Nach überwiegender Auffassung und praktischer Relevanz für die gerichtliche Durchsetzung ist jedoch deutsches Recht, insbesondere das BGB, maßgeblich.
Das BGB ist – mittlerweile durch die Rechtsprechung in solchen Fällen konkretisiert – sehr klar: Durch die Überweisung auf ein Drittkonto im Rahmen manipulierter Zahlungshinweise tritt keine Erfüllung nach § 362 Abs. 1 i. V. m. § 185 BGB ein. Dies hat der BGH so schon am 07.06.2001 (Az. IX ZR 173/00) entschieden und das OLG Karlsruhe (Urteil vom 27.07.2023, Az. 19 U 83/22) für Phishing-Angriffe konkretisiert. Der BGH hat diese Grundsätze in einem Urteil vom 08.10.2025 (Az. IV ZR 161/24) noch einmal bestätigt, auch wenn dieser Fall sich analog abspielte.
Es bleibt also zunächst einmal festzuhalten, dass die Zahlung auf das Konto eines Dritten nicht zur Erfüllung führt. Allerdings bedeutet das noch nicht zwingend, dass der Käufer noch einmal zahlen muss, denn die Gerichte prüfen in solchen Fällen, ob nicht der Käufer einen Schadensersanspruch aus § 280 Abs. 1 BGB hat, wenn der Verkäufer Schutzpflichten aus § 241 Abs. 2 BGB verletzt hat. Nun kommt es darauf an, präzise festzustellen, was überhaupt passiert ist. Hat sich der Dritte in die Systeme des Verkäufers gehackt? Liegt ein Fall des Spoofings oder Phishing vor? An dieser Stelle, aber auch erst hier, ist die detaillierte tatsächliche Aufarbeitung des Geschehenen relevant. Es kommt auf Beweisfragen an und tatsächliche, teilweise technisch komplexe Feststellungen dazu, ob der Vorfalll durch den Verkäufer und bessere Maßnahmen hätte verhindert werden können. Abhängig vom Gegenstandswert kann es sich lohnen, hier tiefergehende Feststellungen zu treffen.
Fazit
Ein Vorfall wie jener in unserem fiktiven Ausgangsfall sollte Anlass zu folgenden Maßnahmen geben:
- Wenn auch hier nicht hauptsächlicher Gegenstand sollte IT-Sicherungsmaßnahmen überprüft werden.
- Dann sollten Verkäufer wie Käufer Anzeige erstatten und einen Versicherungsfall prüfen und schnellstmöglich melden.
- Parallel dazu sollte der Verkäufer detailliert prüfen, wie die Rechtslage hinsichtlich der Kaufpreiszahlung ist und die Erfolgsaussichten einer gerichtlichen Durchsetzung prüfen. Auf dieser Basis kann möglicherweise eine Verständigung mit dem Käufer erfolgen. Der Schwerpunkt liegt hier aber auf klassischer Commercial Litigation, erst später auf IT-Spezialfragen.
