Deutsches Architektenblatt Logodab-logo Deutsches Architektenblatt Logodab-logo-description

Gefälschte Rechnung nicht bemerkt: Wer haftet für Überweisung?

Müssen Architekten prüfen, ob auf einer Rechnung die Kontonummer korrekt ist? Und wer haftet im Schadensfall?

 

08.07.2024 4min
Recht rund ums Büro Recht Haftung

Laptop mit Vorhängeschloss
Muss man nachprüfen, ob auf einer als PDF verschickten Rechnung die Kontonummer korrekt ist?. Foto: FlyD / Unsplash

Dieser Beitrag ist unter dem Titel „Rechnung mit Risiko“ im Deutschen Architektenblatt 07.-08.2024 erschienen.

Architekturbüros und Handwerksbetriebe geraten zunehmend in das Fadenkreuz von Cyber-Kriminellen (hier ein Beitrag mit wichtigen Hinweisen für Vorsorge und Ernstfall). Dies zeigt sich in der Praxis durch die in diesem Bereich zunehmende Anzeige von Haftpflichtschäden. Ziel der Hackerangriffe ist es unter anderem, Kontodaten auf Rechnungen zu manipulieren oder falsche Kontodaten in Umlauf zu bringen, um auf diese Weise Zahlungen umzuleiten.

Ein Einfallstor für die Kriminellen können die durch Architekten durchzuführenden Rechnungsprüfungen sein. In diesem Rahmen können Architekten zum Beispiel mit manipulierten Handwerkerrechnungen in Berührung kommen und diese arglos an ihre Bauherren weiterleiten.

Gefälschte Rechnung mit falscher Kontonummer

In einem vorliegenden Schadensfall wurde ein Architekt von seinem Bauherrn für einen Schaden in Höhe von circa 25.000 Euro wegen einer manipulierten Handwerkerrechnung haftbar gemacht. Der Architekt hatte die Rechnung vom Handwerksbetrieb per E-Mail erhalten und sie fachtechnisch und sachlich geprüft. Anschließend leitete der Architekt die mit einem Freigabevermerk versehene Rechnung per E-Mail an seinen Bauherrn weiter.

Was der Architekt nicht wusste und wissen konnte: Die Rechnung als PDF-Datei war bereits bei Eingang auf seinem Server mit einer falschen Kontoverbindung versehen. Nach Erhalt der Rechnung zahlte der Bauherr den Rechnungsbetrag an die falsche Kontoverbindung. Bemerkt wurde dieser Betrugsfall erst, nachdem der Handwerksbetrieb die ausstehende Zahlung angemahnt hatte.

In wessen Sphäre geschah die Manipulation?

Vordergründig mag die Reaktion des Bauherrn nachvollziehbar sein, seinen Architekten haftbar machen zu wollen, weil dieser ihm die manipulierte Rechnung weitergeleitet hat. Die Haftungslage ist jedoch komplexer. In derartigen Fällen ist aufzuklären, in wessen Sphäre die Manipulation stattgefunden hat.

Wenn der Manipulationsvorgang weder auf dem Computersystem noch im Einflussbereich des Architekten stattgefunden hat und die Manipulation für ihn auch nicht erkennbar war, fehlt es an einem Verschulden des Architekten. Die Abgleichung der Kontoverbindung gehört nicht zu den Leistungspflichten im Rahmen der von Architekten vorzunehmenden Rechnungsprüfung, sodass sich hieraus auch keine Anspruchsgrundlage für etwaige Schadensersatzansprüche ableiten lässt.

Dahingegen könnte ein Anspruch in Betracht kommen, wenn der Hackerangriff mangels ausreichenden Schutzes der eigenen Computersysteme im Verantwortungsbereich des Architekten stattgefunden hätte.

Rechnungen nur mit Hinweis weiterleiten

In allen Fällen ist geschädigten Bauherren oder Planungsbüros anzuraten, eine Cyber-Attacke zeitnah zur Anzeige zu bringen und forensisch klären zu lassen, wo die Manipulation stattgefunden hat. Haben Architekten selbst Rechnungen zu begleichen, sollten auch sie zuvor die Kontodaten gesondert mit dem Unternehmen abgleichen oder auf eine postalische Übersendung der Rechnung bestehen.

Im Rahmen der Rechnungsprüfung können Architekten bei der Weiterleitung der Rechnungen ihren Bauherren vorsorglich mitteilen, dass sie im eigenen Interesse vor Auszahlung die Kontoverbindungsdaten durch Kontaktaufnahme mit den Unternehmen verifizieren lassen sollten. Ob mit den E-Rechnungen Manipulationen merklich zurückgehen werden, bleibt abzuwarten.

Cyberversicherungen für den Schadensfall

Aufgrund der in diesem Bereich vermehrt vorkommenden Schadensfälle ist Planungsbüros anzuraten, sich durch ihre Versicherungsmakler umfassend über die Absicherungsmöglichkeiten gegen Cyber-Risiken beraten zu lassen und den eigenen Versicherungsschutz anzupassen.

Spezielle Cyberversicherungen kommen in bestimmten Konstellationen nicht nur im Schadensfall auf, sondern beinhalten auch die zur Aufklärung notwendigen forensischen Leistungen – also als Erstes die technische Klärung der Frage, ob Architekten sich überhaupt haftbar gemacht haben.

Richard Schwirtz ist Syndikusrechtsanwalt und Leiter der Schadensabteilung der Euromaf, eines Schwesterunternehmens der AIA in Düsseldorf.