Categorieën
Cybercrime & Cybersecurity Technologie- & IT-Recht

Aansprakelijkheid van bedrijven bij phishing en CEO-fraude

Juridische kaders en actuele rechtspraak bij CEO-Fraud in Duitsland: Phishing en CEO-fraude behoren inmiddels tot het standaardinstrumentarium van georganiseerde cybercriminelen. Steeds vaker fungeren ondernemingen niet alleen als doelwit, maar ook als toegangspoort voor financiële transacties die worden uitgevoerd op basis van geraffineerde manipulatie. De juridische vraag is voorspelbaar maar complex: wie draait op voor het financiële verlies als een medewerker, onder valse voorwendselen, een betaling initieert? Is de onderneming aansprakelijk, of rust die plicht bij de bank – of zelfs bij interne functionarissen?

Dit artikel analyseert het juridische kader met betrekking tot de aansprakelijkheid van slachtoffers van phishing en CEO-fraude, en bespreekt daarbij uitvoerig de recente Duitse rechtspraak, mede in het licht van de Europese PSD2-richtlijn en de toenemende compliance-verplichtingen rond digitale veiligheid.

I. Phishing als opmaat naar CEO-fraude

Klassieke phishing is vaak gericht op het verkrijgen van inloggegevens. CEO-fraude daarentegen maakt gebruik van een combinatie van technische vervalsing en sociale manipulatie. De daders doen zich bijvoorbeeld voor als de CEO en sturen een ogenschijnlijk authentieke e-mail aan de financiële administratie met het verzoek een dringende en vertrouwelijke betaling te verrichten. Zulke aanvallen zijn meestal alleen succesvol als er vooraf gegevens zijn buitgemaakt via phishing.

Kernvragen in de juridische beoordeling zijn:
Is de betaling rechtsgeldig geautoriseerd?
Kan het slachtoffer aansprakelijk worden gehouden voor het handelen op basis van gemanipuleerde communicatie?

II. Juridisch uitgangspunt: § 675u BGB (Duits Burgerlijk Wetboek)

Volgens § 675u BGB moet de betalingsdienstaanbieder (bijvoorbeeld de bank) onmiddellijk het bedrag van een ongeautoriseerde betaling terugbetalen. Van een geldige autorisatie is slechts sprake als de betaler of een daartoe bevoegde vertegenwoordiger de opdracht daadwerkelijk heeft goedgekeurd (§ 675j BGB).

Slechts indien de klant grof nalatig heeft gehandeld, vervalt het recht op terugbetaling (§ 675v BGB).

De beoordeling draait dus om:

  • Was de betaling werkelijk geautoriseerd?
  • Was er sprake van grove nalatigheid van de klant?

III. Autorisatie en schijn van bevoegdheid: strikte toetsing

Duitse rechters hanteren een strikte uitleg van het begrip “autorisatie”. Zo oordeelde het Landgericht Karlsruhe (BKR 2019, 151) dat een per e-mail ingezonden betalingsopdracht met een vervalste handtekening niet als geautoriseerd kan gelden. In een andere zaak (LG Düsseldorf, BKR 2019, 154) werd eveneens bepaald dat de bank het risico draagt van een fraudeur die een geloofwaardige, maar vervalste instructie indient.

De leer van schijn van volmacht (Rechtsscheinhaftung) wordt slechts bij hoge uitzondering toegepast. Het LG Heilbronn (vonnis van 02.04.2024, Bm 6 O 378/23) verwierp het argument dat een klant die zijn gegevens invoerde in een vervalst formulier, een geldige volmacht zou hebben verleend.

IV. Grove nalatigheid: hoge drempel voor uitsluiting van aansprakelijkheid

Grove nalatigheid kan een uitsluitingsgrond vormen, maar wordt slechts aangenomen bij een duidelijk en ernstig verzuim van de zorgvuldigheidsplicht.

Het LG Köln (BKR 2024, 339) vond géén grove nalatigheid bij een klant die, na een telefoontje van een vermeende bankmedewerker (via spoofing), een pushTAN bevestigde voor het activeren van Apple Pay op een apparaat van de dader. De omschrijving “kaartregistratie” in de app was dermate vaag dat zelfs een oplettende klant niet kon weten dat hij een nieuwe digitale betaalmogelijkheid op een onbekend toestel activeerde.

Ook andere rechtbanken erkennen dat zelfs goed geïnformeerde klanten het slachtoffer kunnen worden van uitgekiende misleiding – en dat dit niet automatisch leidt tot verlies van bescherming.

V. Interne controle en rol van de onderneming

Bij CEO-fraude staat de interne organisatie onder het vergrootglas. Belangrijke vragen zijn:

  • Wie was bevoegd om de betaling te initiëren?
  • Was het vierogenprincipe toegepast?
  • Heeft de bank haar controleverplichting nageleefd?

In de zaak van het LG Karlsruhe werd een grote internationale overboeking uitgevoerd op basis van e-mailverkeer met een vervalste afzender. De medewerker die handelde, was formeel niet tekeningsbevoegd. De rechtbank oordeelde dat de bank de vervalsing had moeten onderkennen en dus aansprakelijk was.

Anderzijds wordt van bedrijven verwacht dat ze passende veiligheidsmaatregelen treffen. Als er sprake is van organisatorisch falen, kan dat leiden tot eigen schuld in de zin van § 254 BGB.

VI. Eigen schuld en tekortschietende IT-beveiliging

Hoewel slachtoffers juridisch beschermd zijn, kan het nalaten van elementaire veiligheidsmaatregelen leiden tot een (gedeeltelijke) eigen verantwoordelijkheid.

Een sprekend voorbeeld is het arrest van het OLG Karlsruhe (MMR 2023, 761), waarin een bedrijf facturen per onbeveiligde e-mail verstuurde, waarna het rekeningnummer werd gewijzigd door een aanvaller. De ontvanger betaalde aan het verkeerde rekeningnummer. De rechter oordeelde dat de vordering van de schuldeiser niet is vervallen, maar overwoog wél een eigen fout aan diens kant vanwege gebrekkige e-mailbeveiliging.

Van bedrijven wordt tegenwoordig minimaal verwacht dat zij tweefactorauthenticatie, sterke wachtwoorden en bewuste IT-training voor personeel implementeren.

De aansprakelijkheid van ondernemingen bij phishing en CEO-fraude wordt door de Duitse rechter met nuance beoordeeld. Slachtoffers behouden hun recht op terugbetaling tenzij zij evident nalatig waren. Tegelijkertijd wordt verwacht dat bedrijven hun interne processen zodanig inrichten dat zij cybercrime kunnen weerstaan. Cybercriminaliteit is niet alleen een technisch fenomeen – het is een juridische en organisatorische uitdaging voor het management.

VII. Conclusie en aanbeveling voor compliance

De tendens in de Duitse rechtspraak is duidelijk: wie slachtoffer wordt van phishing of CEO-fraude, wordt in beginsel juridisch beschermd. Maar de bescherming vervalt als er sprake is van grove nalatigheid – en dat risico stijgt naarmate de interne beveiliging tekortschiet.

Beveiliging is anno 2025 geen exclusieve taak van de IT-afdeling. Het is een kwestie van organisatie, leiderschap en juridische verantwoordelijkheid. Compliance, riskmanagement en technische beveiliging moeten hand in hand gaan – en dat vereist structurele investeringen in processen, techniek en mensen. Een bedrijf dat er niet in slaagt zijn betalingsprocedures, e-mailverkeer en bevoegdheden aantoonbaar veilig te organiseren, loopt het risico niet alleen geld te verliezen, maar ook zijn juridische bescherming te verspelen.

Duitse Advocaat Jens Ferner
Duitse Advocaat Jens Ferner
Advocaat bij Advocatenkantoor Ferner Alsdorf
Ik ben een gespecialiseerde advocaat voor strafrecht + gespecialiseerde advocaat voor IT-recht en wijd mijn professionele leven volledig aan strafrechtelijke verdediging - en IT-recht als advocaat voor creatieve & digitale bedrijven en greentech. Voordat ik advocaat werd, was ik softwareontwikkelaar. Ik ben auteur in een gerenommeerd StPO-commentaar en in vakbladen.

Ons kantoor is gespecialiseerd in strafrechtelijke verdediging, witteboordenstrafrecht en IT-recht. Let op ons werk in kunstrecht, digitaal bewijs en softwarerecht.
Duitse Advocaat Jens Ferner
Laatste berichten van Duitse Advocaat Jens Ferner (alles zien)

Door Duitse Advocaat Jens Ferner

Ik ben een gespecialiseerde advocaat voor strafrecht + gespecialiseerde advocaat voor IT-recht en wijd mijn professionele leven volledig aan strafrechtelijke verdediging - en IT-recht als advocaat voor creatieve & digitale bedrijven en greentech. Voordat ik advocaat werd, was ik softwareontwikkelaar. Ik ben auteur in een gerenommeerd StPO-commentaar en in vakbladen.

Ons kantoor is gespecialiseerd in strafrechtelijke verdediging, witteboordenstrafrecht en IT-recht. Let op ons werk in kunstrecht, digitaal bewijs en softwarerecht.