Händlerkonto bei Amazon oder bei eBay gehackt bzw. manipuliert – wie sind die Rechtsfolgen?
In letzter Zeit erreichen uns immer mal wieder Anfragen von Mandanten, deren Händlerkonto bei Amazon oder bei eBay von Dritten gehackt bzw. manipuliert wurde und die sich in der Folge Forderungen von Kunden ausgesetzt sehen, die sie entweder nicht erfüllen können oder nicht erfüllen wollen. Dabei tauchen in unserer Beratungspraxis immer wieder zwei bestimmte Fallkonstellationen auf. Grund genug für uns, dieses Thema aus rechtlicher Sicht etwas genauer zu beleuchten.
Inhaltsverzeichnis
Fall 1: Der Warenverkauf von Geisterhand
Ein unbekannter Dritter hackt den Amazon-Account eines Händlers bei Amazon Marketplace und stellt über dessen Account mehrere Angebote für Waren ein, über die der Händler überhaupt nicht verfügt und von denen der Händler auch nichts weiß. In der Folge erhält der Händler elektronisch generierte Auftragsbestätigungen von Amazon mit entsprechenden Verkaufsmitteilungen.
Auf diese Art und Weise hat einer unserer Mandanten bei Amazon kürzlich Waren in einem fünfstelligen Euro-Wert „verkauft“ und sah sich entsprechenden Lieferaufforderungen seiner „Kunden“ ausgesetzt. Das Dumme war nur, dass der Händler weder von den Verkaufsvorgängen wusste, noch über die „verkauften“ Waren verfügte.
In diesem Zusammenhang fragte sich der Händler, ob er denn nun liefern müsse.
Antwort: Nach unserer Auffassung ist der Händler nicht zur Lieferung verpflichtet. Denn im vorliegenden Fall ist schon kein wirksamer Kaufvertrag zwischen dem Händler und den getäuschten Kunden zustande gekommen. Dies gilt auch für den Fall, dass über das System von Amazon bereits eine Auftragsbestätigung an den Kunden verschickt wurde, dieser nach dem äußeren Anschein also von einem wirksam geschlossenen Kaufvertrag ausgehen konnte.
Für einen wirksamen Vertragsschluss müssen zwei übereinstimmende Willenserklärungen (Angebot und Annahme) vorliegen. Geht man davon aus, dass das Angebot via Online-Bestellung vom Kunden kam und der Händler das Angebot durch automatisch versandte Auftragsbestätigung scheinbar angenommen hat, so liegt jedenfalls keine wirksame Annahmeerklärung des Händlers vor. Denn dem Händler fehlte insoweit der für eine Willenserklärung zwingend erforderliche Handlungswille. Ähnlich wie bei einer nicht vom Willen gesteuerten Reflexbewegung fehlt es auch im vorliegenden Fall an einer Willensbetätigung, die dem Händler zurechenbar wäre.
Dieses Ergebnis entspricht auch dem gesunden Menschenverstand. Denn anderenfalls könnten Hacker Personen mit einem Account bei einer elektronischen Verkaufsplattform gezielt in den wirtschaftlichen Ruin treiben.
Die Rechtsprechung hat einen solchen oder ähnlichen Fall – soweit ersichtlich – bislang noch nicht entschieden. Lediglich die Nutzung eines fremden eBay-Kontos durch eine andere Person als der Kontoinhaber war bereits Gegenstand von einigen Gerichtsentscheidungen. Nach Auffassung des BGH (Urteil vom 11.5.2011 – Az. VIII ZR 289/09) ist es zwar möglich, dass durch die Fremdnutzung ein Kaufvertrag eines Dritten mit dem Kontoinhaber zustandekommt. Dies soll aber nur gelten, wenn der Kontoinhaber der anderen Person Zugang zu seinem Konto gewährt oder zumindest ermöglicht hat, indem er das Passwort weitergegeben oder nicht ordnungsgemäß verwahrt hat.
Dabei ging es aber stets um Personen, die aus dem Umfeld des Kontoinhabers stammten, etwa Familienmitglieder. Übertragen auf ein Amazon-Verkäuferkonto würde das bedeutet, dass ein Verkäufer unter Umständen dann für Verkäufe haften muss, wenn eine Person aus seinem Umfeld, etwa ein Mitarbeiter oder ein Familienmitglied, das betroffene Verkaufsangebot zu verantworten hat. Dies würde in einem solchen Fall selbst dann gelten, wenn der verkaufte Gegenstand normalerweise gar nicht im Sortiment des Verkäufers geführt wird.
Fall 2: Die manipulierten Kontodaten
Ein unbekannter Dritter hackt den eBay-Account eines Händlers bei eBay und tauscht dessen Kontodaten im jeweiligen Angebot bei eBay durch andere Kontodaten aus. In der Folge erhält der Händler von seinen Kunden die Anfrage, wo denn nun die erworbene Ware bleibe. Schließlich habe man ja schon längst per Banküberweisung auf das angegebene Konto gezahlt.
Erst jetzt stellt der Händler fest, dass die Kontodaten in seinem eBay-Angebot manipuliert wurden und der jeweilige Betrag daher nie auf seinem Konto eingegangen ist. Tatsächlich erfolgte die Zahlung auf ein Konto im Ausland, dessen Inhaber nicht zu ermitteln ist.
Nun stellt sich der Händler die Frage, ob er gleichwohl an den Kunden liefern muss, ohne dass der Kunde „noch einmal“ an ihn zahlen .muss.
Dieser Fall unterscheidet sich von der vorgenannten Fallkonstellation insbesondere dadurch, dass über einen vom Händler tatsächlich angebotenen Artikel auch ein wirksamer Kaufvertrag geschlossen wurde. Das Problem liegt hier also nicht auf der Ebene des Verpflichtungsgeschäftes (Kaufvertrag) sondern auf der Ebene der Vertragserfüllung. Haben die Parteien vereinbart, dass der Händler die Ware erst nach Zahlung durch den Kunden an diesen liefern muss (Vorauskasse), kann der Händler die verkaufte Ware so lange zurückbehalten, bis der Kunde den vereinbarten Kaufpreis vollständig an den Händler gezahlt hat. Bei Vorauskasse per Banküberweisung muss der Kunde den Kaufpreis auf das vom Händler angegebene Bankkonto überweisen.
Doch genau das passiert in der vorgenannten Fallkonstellation nicht. Hier überweist der Kunde den Kaufpreis zwar auf ein Bankkonto, welches scheinbar zu dem Händler gehört, mit dem er einen Kaufvertrag geschlossen hat. Tatsächlich fließt das Geld aber an einen unbekannten Dritten.
Fraglich ist, ob der Kunde in diesem Fall seine Zahlungspflicht gegenüber dem Händler erfüllt hat. Hier hat der Kunde nicht an den Händler, sondern – wenn auch unbewusst - an einen Dritten geleistet. Die Leistung an einen Dritten hat gem. §§ 362 II BGB insbesondere dann befreiende Wirkung, wenn der Gläubiger den Dritten zur Entgegennahme der Leistung oder den Schuldner zur Leistungserbringung an den Dritten ermächtigt hat oder wenn der Gläubiger die Leistung an den Dritten nachträglich genehmigt (§ 185 II BGB) . Hier liegt aber keine der vorgenannten Voraussetzungen vor, so dass zunächst einmal davon auszugehen ist, dass keine Erfüllung eingetreten ist. Zu einem anderen Ergebnis könnte man eventuell dann gelangen, wenn der Händler durch sein Verhalten Anlass zu der Falschzahlung gegeben hätte, er diese durch sein Verhalten also provoziert hätte. Auch dies kann aber nicht ohne weiteres unterstellt werden, wenn dem Händler die Manipulation der Kontodaten weder bekannt war noch hätte bekannt sein müssen, etwa wenn vergleichbare Fälle bereits in der Vergangenheit vorgekommen sind. Daher gehen wir in dieser Fallkonstellation davon aus, dass eine Erfüllung seitens des Kunden nicht erfolgt ist und dieser damit zur Zahlung des Kaufpreises verpflichtet bleibt.
Allerdings gibt es hierzu ebenfalls noch keine Rechtsprechung. Zu bedenken ist jedoch, dass grundsätzlich zwar weder der Verkäufer noch der Käufer etwas dafür können, dass durch das Hacking die Kontodaten falsch hinterlegt sind. Allerdings hat der Händler normalerweise eher die Möglichkeit, das Hacking des Verkäuferkontos festzustellen als der Kunde, so dass ihn wohl auch eine größere Verantwortlichkeit hierfür trifft. Andererseits hätte es dem Käufer je nach Lage der Dinge im Einzelfall auch auffallen bzw. zumindest stutzig machen müssen, dass für die Zahlung ein ausländisches Konto angegeben ist, während etwa der Händler seinen Sitz in Deutschland haben soll. Wie Gerichte einen solchen Fall am Ende entscheiden würden, lässt sich daher keineswegs sicher prognostizieren.
Praxistipp:
Die zweite Fallkonstellation setzt voraus, dass der Händler seine Kontodaten in seinen Angeboten bei eBay veröffentlicht, was aber selbst bei Vereinbarung der Zahlungsart Banküberweisung nicht erforderlich ist. Denn der Händler könnte dem Kunden die Kontodaten auch nach Bestellabschluss, z. B. per E-Mail zukommen lassen. Nicht zuletzt aufgrund der oben dargestellten Missbrauchsgefahr raten wir dringend davon ab, persönliche Kontodaten im Internet zu veröffentlichen.
Beide Fälle zeigen, dass der elektronische Geschäftsverkehr immer ein gewisses Missbrauchsrisiko birgt, gegen das selbst große Marktplatzbetreiber wie eBay oder Amazon nicht gewappnet sind. Online-Händler sollten Ihre Angebote daher regelmäßig zumindest stichprobenartig im Hinblick auf mögliche Manipulationen überprüfen. Wird eine Manipulation festgestellt, sollte der Betreiber des Online-Marktplatzes unverzüglich hierüber informiert werden. Außerdem sollte eine Strafanzeige gegen Unbekannt in Betracht gezogen werden, auch wenn diese in vielen Fällen im Sande verlaufen, da die Täter – gerade wenn sie im Ausland sitzen – häufig nicht ermittelt werden können.
Hinweis: Exklusiv für Mandanten hält die IT-Recht Kanzlei ein Muster-Reaktionsschreiben für betroffene Kunden nach einem Hacking-Angriff bereit.
Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
5 Kommentare
Die Zahlungsdetails werden hierbei von EBay generiert und der Kunde muss die Zahlung nur autorisieren - er hat dabei garnicht die Möglichkeit zu sehen, dass die Zahlung an ein andere bzw. ausländisches Konto geht.
Muss der Händler hierbei nicht dennoch liefern, da der Fehler auf Seiten des Verkäufers liegt, welche dem Kunden garnicht auffallen kann?
Keine Ahnung wie, da ich auf Sicherheit achte.
Wichtig ist, dass man dann als Ebay Shopbetreiber sofort (!) reagiert, die Bankdaten checkt, ggfls ändert, Paypal wieder aktiviert und das Passwort ändert.
Ein Screenshot mit den „falschen Kontodaten“ in den Ebay Einstellungen und die Ebay Email über die Kontoänderung dienen der eigenen Dokumentation.
Ein Telefonat mit Ebay beruhigt das Gewissen, bringt aber keine Abhilfe, Ebay Standardantwort ist „ach schon wieder Polen …“ , aber ich denke fürs Telefon-Protokoll bei Ebay ist es schon hilfreich.
Ob mit den falschen Bankdaten Geschäfte abgewickelt werden, ist natürlich stark abhängig von der Frequenz des Ebay-Shops. Wenn Sie schnell zurücksetzen und die in der Zwischenzeit aufgelaufenen Verkäufe / Kunden entsprechend informieren, sollte der Schaden beherrschbar sein.