Dieser Beitrag ist unter dem Titel „Rechnung mit Risiko“ im Deutschen Architektenblatt 07.-08.2024 erschienen.
Architekturbüros und Handwerksbetriebe geraten zunehmend in das Fadenkreuz von Cyber-Kriminellen (hier ein Beitrag mit wichtigen Hinweisen für Vorsorge und Ernstfall). Dies zeigt sich in der Praxis durch die in diesem Bereich zunehmende Anzeige von Haftpflichtschäden. Ziel der Hackerangriffe ist es unter anderem, Kontodaten auf Rechnungen zu manipulieren oder falsche Kontodaten in Umlauf zu bringen, um auf diese Weise Zahlungen umzuleiten.
Ein Einfallstor für die Kriminellen können die durch Architekten durchzuführenden Rechnungsprüfungen sein. In diesem Rahmen können Architekten zum Beispiel mit manipulierten Handwerkerrechnungen in Berührung kommen und diese arglos an ihre Bauherren weiterleiten.
Gefälschte Rechnung mit falscher Kontonummer
In einem vorliegenden Schadensfall wurde ein Architekt von seinem Bauherrn für einen Schaden in Höhe von circa 25.000 Euro wegen einer manipulierten Handwerkerrechnung haftbar gemacht. Der Architekt hatte die Rechnung vom Handwerksbetrieb per E-Mail erhalten und sie fachtechnisch und sachlich geprüft. Anschließend leitete der Architekt die mit einem Freigabevermerk versehene Rechnung per E-Mail an seinen Bauherrn weiter.
Was der Architekt nicht wusste und wissen konnte: Die Rechnung als PDF-Datei war bereits bei Eingang auf seinem Server mit einer falschen Kontoverbindung versehen. Nach Erhalt der Rechnung zahlte der Bauherr den Rechnungsbetrag an die falsche Kontoverbindung. Bemerkt wurde dieser Betrugsfall erst, nachdem der Handwerksbetrieb die ausstehende Zahlung angemahnt hatte.
In wessen Sphäre geschah die Manipulation?
Vordergründig mag die Reaktion des Bauherrn nachvollziehbar sein, seinen Architekten haftbar machen zu wollen, weil dieser ihm die manipulierte Rechnung weitergeleitet hat. Die Haftungslage ist jedoch komplexer. In derartigen Fällen ist aufzuklären, in wessen Sphäre die Manipulation stattgefunden hat.
Wenn der Manipulationsvorgang weder auf dem Computersystem noch im Einflussbereich des Architekten stattgefunden hat und die Manipulation für ihn auch nicht erkennbar war, fehlt es an einem Verschulden des Architekten. Die Abgleichung der Kontoverbindung gehört nicht zu den Leistungspflichten im Rahmen der von Architekten vorzunehmenden Rechnungsprüfung, sodass sich hieraus auch keine Anspruchsgrundlage für etwaige Schadensersatzansprüche ableiten lässt.
Dahingegen könnte ein Anspruch in Betracht kommen, wenn der Hackerangriff mangels ausreichenden Schutzes der eigenen Computersysteme im Verantwortungsbereich des Architekten stattgefunden hätte.
Rechnungen nur mit Hinweis weiterleiten
In allen Fällen ist geschädigten Bauherren oder Planungsbüros anzuraten, eine Cyber-Attacke zeitnah zur Anzeige zu bringen und forensisch klären zu lassen, wo die Manipulation stattgefunden hat. Haben Architekten selbst Rechnungen zu begleichen, sollten auch sie zuvor die Kontodaten gesondert mit dem Unternehmen abgleichen oder auf eine postalische Übersendung der Rechnung bestehen.
Im Rahmen der Rechnungsprüfung können Architekten bei der Weiterleitung der Rechnungen ihren Bauherren vorsorglich mitteilen, dass sie im eigenen Interesse vor Auszahlung die Kontoverbindungsdaten durch Kontaktaufnahme mit den Unternehmen verifizieren lassen sollten. Ob mit den E-Rechnungen Manipulationen merklich zurückgehen werden, bleibt abzuwarten.
Cyberversicherungen für den Schadensfall
Aufgrund der in diesem Bereich vermehrt vorkommenden Schadensfälle ist Planungsbüros anzuraten, sich durch ihre Versicherungsmakler umfassend über die Absicherungsmöglichkeiten gegen Cyber-Risiken beraten zu lassen und den eigenen Versicherungsschutz anzupassen.
Spezielle Cyberversicherungen kommen in bestimmten Konstellationen nicht nur im Schadensfall auf, sondern beinhalten auch die zur Aufklärung notwendigen forensischen Leistungen – also als Erstes die technische Klärung der Frage, ob Architekten sich überhaupt haftbar gemacht haben.
Richard Schwirtz ist Syndikusrechtsanwalt und Leiter der Schadensabteilung der Euromaf, eines Schwesterunternehmens der AIA in Düsseldorf.
War dieser Artikel hilfreich?
Weitere Artikel zu:
Die traditionelle analoge Methode, dass die ausführenden Firmen ihre Rechnungen formal, direkt an den Auftraggeber versenden und die Architekten nur eine Kopie bekommen, auf deren Basis sie die Rechnungsprüfung erstellen, ist in diesem Zusammenhang wohl gar nicht so schlecht. Damit bleibt das Risiko von Rechnungsmanipulationen allein bei Auftraggeber und Auftragnehmer und nicht bei den beteiligten Architekten.
Die Pflicht des Auftraggebers, eine formelle Rechnungsprüfung (Pflichtangaben etc.) kann dann auch wieder unabhängig von den Architekten geschehen und der Auftraggeber erhält vom Architekten nur den empfohlenen Zahlbetrag.
Auch diesen hat der Auftraggeber im Übrigen dahingehend zu überprüfen, ob die vom Architekten angenommenen bisherigen Zahlungen mit den tatsächlich getätigten Zahlungen übereinstimmen.
Guten Tag. Aus gegebenem Anlass bin ich auf Ihren Fall gestoßen und bin erstaunt, dass Ihr Fall fast „identisch“ ist mit meinem Fall von vor ca. drei Wochen. In meinem Fall hat der Architekt eine Rechnung (die richtige!) per Mail erhalten und 20 Minuten später die gleiche (leider gefälschte) Rechnung mit dem Hinweis, dass sich die Kontonummer geändert hat. Der Architekt hat „leider“ nur oberflächlich geprüft und mir die gefälschte Rechnung zugesandt. Geld ist weg und kann nicht mehr zurück geholt werden. Keine Ahnung, wie es weitergeht und wer Schadensersatz leisten muss?