Vorsicht bei Kontoänderungen: Wenn Handwerker gehackt werden und Kunden doppelt zahlen

Der Fall: Zaun gebaut, Geld weg

In 2022 beauftragte ein Kunde einen Handwerksbetrieb mit dem Bau eines neuen Zauns. Der vereinbarte Werklohn: 11.000 Euro. Nach Abschluss der Arbeiten stellte der Handwerker die Rechnung ordnungsgemäß zu – inklusive korrekter Bankverbindung. Die Kommunikation lief über E-Mail und WhatsApp. Doch dann schlug ein Hacker zu.

Cyberkriminelle kaperten das E-Mail-Konto des Zaunbauers und täuschten eine Änderung der Bankverbindung vor. Nichtsahnend überwies der Kunde die gesamte Summe an das von den Betrügern angegebene Konto. Die Zahlung bestätigte er per WhatsApp – allerdings unter Angabe eines fremden Empfängernamens: Ronald Serge B., einem Unbekannten in diesem Zusammenhang.

Vor Gericht: Wer trägt den Schaden?

Als das Geld beim Handwerker nicht ankam, kam es zum Streit – und schließlich zur Klage. Der Handwerker forderte seinen Lohn. Der Kunde wiederum berief sich auf die vermeintlich erhaltene Nachricht vom Unternehmer und verwies auf die geleistete Zahlung.

Das Landgericht Koblenz entschied am 26. März 2025 (Az. 8 O 271/22): Der Kunde muss den Großteil der 11.000 Euro erneut zahlen. Das Gericht stellte klar: Auch bei E-Mail-Korrespondenz gilt eine erhöhte Sorgfaltspflicht. Insbesondere bei Mitteilungen über neue Bankverbindungen müsse der Empfänger kritisch prüfen, ob diese authentisch sind – zum Beispiel durch Rückruf oder persönliche Rückversicherung. Eine einfache Weiterleitung oder WhatsApp-Nachricht reicht dafür nicht aus.

Gericht sieht geteilte Verantwortung

Gleichzeitig entließ das Gericht aber auch den Handwerker nicht aus der Verantwortung. Denn: Das gehackte E-Mail-Konto war unzureichend gesichert – ein Verstoß gegen seine Pflicht als Unternehmer, personenbezogene Daten zu schützen. Nach Art. 82 DSGVO muss ein Unternehmer sicherstellen, dass sensible Informationen wie Rechnungen oder Kontodaten geschützt sind.

Daher urteilte das Gericht, dass der Handwerker auf 25 Prozent des Schadens sitzen bleibt – also 2.750 Euro. Der Kunde muss 8.250 Euro erneut bezahlen.

WhatsApp schützt nicht vor Haftung

Ein interessanter Aspekt des Urteils betrifft die Verwendung von WhatsApp. Zwar hatte der Kunde Screenshots der Überweisungen geschickt, auf denen der falsche Empfängername deutlich sichtbar war. Doch laut Gericht entlastet ihn das nicht. WhatsApp sei ein informeller Kommunikationsweg. Niemand könne erwarten, dass der Empfänger – hier der Handwerker – eine auf dem Handy empfangene Nachricht auf solche Details hin überprüft.

Lehren aus dem Fall: Sorgfalt und IT-Sicherheit sind Pflicht

Der Fall zeigt, wie anfällig Geschäftsbeziehungen im digitalen Zeitalter sein können – besonders, wenn wichtige Informationen wie Kontodaten per E-Mail versendet werden. Für Auftraggeber bedeutet das: Misstrauen ist keine Unhöflichkeit, sondern gesunder Menschenverstand – besonders bei Kontoänderungen. Ein kurzer Anruf kann teure Fehler verhindern.

Für Unternehmer gilt: IT-Sicherheit ist kein Luxus. Wer personenbezogene Daten verarbeitet, muss seine Systeme angemessen schützen – nicht nur aus eigenem Interesse, sondern auch, um rechtlich nicht in Haftung zu geraten.