Die IT-Recht Kanzlei München hat die Thematik aus rechtlicher Sicht mal genauer beleuchtet. Laut Rechtsanwalt Arndt Joachim Nagel tauchen dabei in der Beratungspraxis vor allem immer wieder zwei Fallkonstellationen auf, bei denen Händlerkonten ihrer Mandanten bei Amazon oder bei eBay von Dritten gehackt bzw. manipuliert wurden und diese sich dann Forderungen von Kunden ausgesetzt sehen.
FALL 1: WARENVERKAUF VON GEISTERHAND
Ein unbekannter Dritter hackt den Amazon-Account eines Händlers bei Amazon Marketplace und stellt über dessen Account mehrere Angebote für Waren ein, über die der Händler überhaupt nicht verfügt und von denen der Händler auch nichts weiß. In der Folge erhält der Händler elektronisch generierte Auftragsbestätigungen von Amazon mit entsprechenden Verkaufsmitteilungen.
Auf diese Art und Weise hat einer unserer Mandanten bei Amazon kürzlich Waren in einem fünfstelligen Euro-Wert „verkauft“ und sah sich entsprechenden Lieferaufforderungen seiner „Kunden“ ausgesetzt. Das Dumme war nur, dass der Händler weder von den Verkaufsvorgängen wusste, noch über die „verkauften“ Waren verfügte.
In diesem Zusammenhang fragte sich der Händler, ob er denn nun liefern müsse.
Antwort: Nach unserer Auffassung ist der Händler nicht zur Lieferung verpflichtet. Denn im vorliegenden Fall ist schon kein wirksamer Kaufvertrag zwischen dem Händler und den getäuschten Kunden zustande gekommen. Dies gilt auch für den Fall, dass über das System von Amazon bereits eine Auftragsbestätigung an den Kunden verschickt wurde, dieser nach dem äußeren Anschein also von einem wirksam geschlossenen Kaufvertrag ausgehen konnte.
Für einen wirksamen Vertragsschluss müssen zwei übereinstimmende Willenserklärungen (Angebot und Annahme) vorliegen. Geht man davon aus, dass das Angebot via Online-Bestellung vom Kunden kam und der Händler das Angebot durch automatisch versandte Auftragsbestätigung scheinbar angenommen hat, so liegt jedenfalls keine wirksame Annahmeerklärung des Händlers vor. Denn dem Händler fehlte insoweit der für eine Willenserklärung zwingend erforderliche Handlungswille. Ähnlich wie bei einer nicht vom Willen gesteuerten Reflexbewegung fehlt es auch im vorliegenden Fall an einer Willensbetätigung, die dem Händler zurechenbar wäre.
Dieses Ergebnis entspricht auch dem gesunden Menschenverstand. Denn anderenfalls könnten Hacker Personen mit einem Account bei einer elektronischen Verkaufsplattform gezielt in den wirtschaftlichen Ruin treiben.
FALL 2: MANIPULIERTE KONTODATEN
Ein unbekannter Dritter hackt den eBay-Account eines Händlers bei eBay und tauscht dessen Kontodaten im jeweiligen Angebot bei eBay durch andere Kontodaten aus. In der Folge erhält der Händler von seinen Kunden die Anfrage, wo denn nun die erworbene Ware bleibe. Schließlich habe man ja schon längst per Banküberweisung auf das angegebene Konto gezahlt.
Erst jetzt stellt der Händler fest, dass die Kontodaten in seinem eBay-Angebot manipuliert wurden und der jeweilige Betrag daher nie auf seinem Konto eingegangen ist. Tatsächlich erfolgte die Zahlung auf ein Konto im Ausland, dessen Inhaber nicht zu ermitteln ist.
Nun stellt sich der Händler die Frage, ob er gleichwohl an den Kunden liefern muss, ohne dass der Kunde „noch einmal“ an ihn zahlen .muss.
Dieser Fall unterscheidet sich von der vorgenannten Fallkonstellation insbesondere dadurch, dass über einen vom Händler tatsächlich angebotenen Artikel auch ein wirksamer Kaufvertrag geschlossen wurde. Das Problem liegt hier also nicht auf der Ebene des Verpflichtungsgeschäftes (Kaufvertrag) sondern auf der Ebene der Vertragserfüllung. Haben die Parteien vereinbart, dass der Händler die Ware erst nach Zahlung durch den Kunden an diesen liefern muss (Vorauskasse), kann der Händler die verkaufte Ware so lange zurückbehalten, bis der Kunde den vereinbarten Kaufpreis vollständig an den Händler gezahlt hat. Bei Vorauskasse per Banküberweisung muss der Kunde den Kaufpreis auf das vom Händler angegebene Bankkonto überweisen.
Doch genau das passiert in der vorgenannten Fallkonstellation nicht. Hier überweist der Kunde den Kaufpreis zwar auf ein Bankkonto, welches scheinbar zu dem Händler gehört, mit dem er einen Kaufvertrag geschlossen hat. Tatsächlich fließt das Geld aber an einen unbekannten Dritten.
Fraglich ist, ob der Kunde in diesem Fall seine Zahlungspflicht gegenüber dem Händler erfüllt hat. Hier hat der Kunde nicht an den Händler, sondern – wenn auch unbewusst – an einen Dritten geleistet. Die Leistung an einen Dritten hat gem. §§ 362 II BGB insbesondere dann befreiende Wirkung, wenn der Gläubiger den Dritten zur Entgegennahme der Leistung oder den Schuldner zur Leistungserbringung an den Dritten ermächtigt hat oder wenn der Gläubiger die Leistung an den Dritten nachträglich genehmigt (§ 185 II BGB) . Hier liegt aber keine der vorgenannten Voraussetzungen vor, so dass zunächst einmal davon auszugehen ist, dass keine Erfüllung eingetreten ist. Zu einem anderen Ergebnis könnte man eventuell dann gelangen, wenn der Händler durch sein Verhalten Anlass zu der Falschzahlung gegeben hätte, er diese durch sein Verhalten also provoziert hätte. Auch dies kann aber nicht ohne weiteres unterstellt werden, wenn dem Händler die Manipulation der Kontodaten weder bekannt war noch hätte bekannt sein müssen, etwa wenn vergleichbare Fälle bereits in der Vergangenheit vorgekommen sind. Daher gehen wir in dieser Fallkonstellation davon aus, dass eine Erfüllung seitens des Kunden nicht erfolgt ist und dieser damit zur Zahlung des Kaufpreises verpflichtet bleibt.
Allerdings gibt es hierzu ebenfalls noch keine Rechtsprechung. Zu bedenken ist jedoch, dass grundsätzlich zwar weder der Verkäufer noch der Käufer etwas dafür können, dass durch das Hacking die Kontodaten falsch hinterlegt sind. Allerdings hat der Händler normalerweise eher die Möglichkeit, das Hacking des Verkäuferkontos festzustellen als der Kunde, so dass ihn wohl auch eine größere Verantwortlichkeit hierfür trifft. Andererseits hätte es dem Käufer je nach Lage der Dinge im Einzelfall auch auffallen bzw. zumindest stutzig machen müssen, dass für die Zahlung ein ausländisches Konto angegeben ist, während etwa der Händler seinen Sitz in Deutschland haben soll. Wie Gerichte einen solchen Fall am Ende entscheiden würden, lässt sich daher keineswegs sicher prognostizieren.
PRAXISTIPP
Die zweite Fallkonstellation setzt voraus, dass der Händler seine Kontodaten in seinen Angeboten bei eBay veröffentlicht, was aber selbst bei Vereinbarung der Zahlungsart Banküberweisung nicht erforderlich ist. Denn der Händler könnte dem Kunden die Kontodaten auch nach Bestellabschluss, z. B. per E-Mail zukommen lassen. Nicht zuletzt aufgrund der oben dargestellten Missbrauchsgefahr raten wir dringend davon ab, persönliche Kontodaten im Internet zu veröffentlichen.
Beide Fälle zeigen, dass der elektronische Geschäftsverkehr immer ein gewisses Missbrauchsrisiko birgt, gegen das selbst große Marktplatzbetreiber wie eBay oder Amazon nicht gewappnet sind. Online-Händler sollten Ihre Angebote daher regelmäßig zumindest stichprobenartig im Hinblick auf mögliche Manipulationen überprüfen. Wird eine Manipulation festgestellt, sollte der Betreiber des Online-Marktplatzes unverzüglich hierüber informiert werden. Außerdem sollte eine Strafanzeige gegen Unbekannt in Betracht gezogen werden, auch wenn diese in vielen Fällen im Sande verlaufen, da die Täter – gerade wenn sie im Ausland sitzen – häufig nicht ermittelt werden können.