eBay-Kaufvertrag: Verkäufer muss Phishing nachweisen

Wer trägt die Beweislast, dass der eBay-Account des Verkäufers gehackt wurde und nur ein Fake-Angebot vorlag? Das Landgericht Coburg entschied mit Urteil vom 29.04.2014, Az. 21 O 135/13: Der Verkäufer muss beweisen, zum Opfer einer Phishing-Attacke geworden zu sein, wenn er einen über seinen eBay-Account geschlossenen Kaufvertrag nicht gegen sich gelten lassen möchte.

Was war geschehen?

Über den eBay-Account des späteren Beklagten wurde ein Porsche für 36.000 € zum Sofortkauf angeboten. Als Zahlungsart war Barzahlung bei Abholung angegeben. Die Klägerin kaufte das Auto über die Sofort-Kaufen-Funktion. Sie verlangte von dem eBay-Verkäufer, den Kaufvertrag zu erfüllen. Der Verkäufer verteidigte sich, er sei Opfer einer Phishing-Attacke geworden – er habe das Auto gar nicht zum Verkauf angeboten.
Da der Beklagte nicht lieferte, trat die Klägerin vom Kaufvertrag zurück. Im Prozess machte sie unter anderen nach §§ 280 Abs. 1, Abs. 3, 281 BGB Schadensersatz wegen Nichterfüllung des Kaufvertrages in Höhe von 16.400 € geltend: Ein vergleichbares Fahrzeug mit der gleichen Ausstattung ist auf dem Markt mit einem Mittelwert von 53.000 € erhältlich.

Auch im Prozess verteidigte sich der beklagte Account-Inhaber, er sei Opfer einer Phishing-Attacke geworden. Offenbar aber legte der Beklagte hierfür keinerlei Nachweise vor. Selbst für seine Behauptung, deswegen Anzeige bei der Polizei erstattet zu haben, legte der Beklagte keine Nachweise vor.

Wie entschied das Landgericht Coburg zur Beweislast für Phishing-Attacken?

Das Landgericht Coburg entschied zugunsten der Klägerin. Der Einwand des Beklagten, das Angebot sei von ihm dieser Form nicht zu eingestellt gewesen, sondern infolge eines Hacking-Angriffs manipuliert worden, sei unsubstantiiert und nicht nachgewiesen. Der Beklagte habe lediglich pauschal behauptet, er sei Opfer eines Phishing-Angriffs geworden und habe deswegen auch Anzeige bei der zuständigen Polizeidienststelle erstattet. Einen Nachweis für seinen von der Klägerin bestrittenen Sachvortrag habe der Beklagte jedoch nicht erbracht. Er habe prozessual weder das Ergebnis polizeilicher Ermittlungen mitgeteilt noch entsprechende Belege hierfür vorgelegt. Im Rahmen der Klageerwiderung habe der Beklagte selbst eingeräumt, dass er einen aussagekräftigen Nachweis für seine Verhaftung nicht vorliegen könne.

Welche Auswirkung hat das Urteil auf die Praxis?

Die Entscheidung des Landgerichts betrifft einen Extremfall: Der Beklagte behauptete lediglich, Opfer einer Phishing-Attacke geworden zu sein. Der Beklagte legte jedoch keinerlei Nachweis vor. Nicht einmal den Nachweis der Polizeidienststelle über den Eingang der Strafanzeige legte der Beklagte vor. Ein solcher Nachweis wäre ihm sicherlich auch nachträglich ohne weiteres möglich gewesen, werden doch Strafanzeigen in den Polizeitagebüchern der Dienststellen dokumentiert.

Offen bleibt in der Entscheidung des Landgerichts Coburg, wie weit die Darlegungs- und Beweislast des Account-Inhabers tatsächlich reicht, wenn sich dieser mit dem Vortrag verteidigen möchte, Opfer einer Phishing-Attacke geworden zu sein. Mit anderen Worten: Was muss der Account-Inhaber in einzelnen beweisen? Reicht es aus, wenn er nachweist, eine Strafanzeige erstattet zu haben? Muss er das Ergebnis des strafrechtlichen Ermittlungsverfahrens präsentieren können? Wenn ja: was muss das Ergebnis des Ermittlungsverfahrens sein? Reicht es aus, wenn eine Phishing-Attacke möglich ist, aber nicht letztgültig nachgewiesen werden kann? Oder muss die Phishing-Attacke mit an Sicherheit grenzender Wahrscheinlichkeit nachgewiesen sein?

Eines steht jedenfalls fest: Wer sich als eBay-Verkäufer mit einem Kaufvertrag konfrontiert sieht, den er, der Verkäufer, angeblich persönlich gar nicht abgeschlossen hat, muss jede ihm zumutbare Anstrengungen unternehmen, einen eventuellen Hacking-Angriff auf den eigenen Account nachzuweisen. Lässt der Account-Inhaber hier die Dinge schleifen, können die finanziellen Folgen schmerzhaft sein.